一种基于一次性口令的增强Kerberos协议方法及其形式化分析

doi:10.3969/j.issn.1671-1122.2019.10.008

信息网络安全 ›› 2019, Vol. 19 ›› Issue (10): 57-64.doi: 10.3969/j.issn.1671-1122.2019.10.008

一种基于一次性口令的增强Kerberos协议方法及其形式化分析

马利民(), 张伟, 宋莹

北京信息科技大学计算机学院,北京 100101

收稿日期:2019-06-10 出版日期:2019-10-10 发布日期:2020-05-11
通讯作者: 马利民 E-mail:markgoogle@qq.com
作者简介:
作者简介：马利民（1983—）,男,山东,讲师,博士,主要研究方向为网络安全协议、大数据安全、物联网安全;张伟（1980—）,男,山东,副教授,博士,主要研究方向为大数据存储与安全、软硬件协同设计;宋莹（1979—）,女,山东,副教授,博士,主要研究方向为大数据存储与安全、大数据分析技术。
基金资助:
国家自然科学基金[61872043];中央引导地方科技发展专项：量子通信技术创新与行业应用[Z171100004717002];北京市教育委员会科技计划项目[KM201811232017]

An Enhanced Kerberos Protocol Based on OTP with Formal Analysis

Limin MA(), Wei ZHANG, Ying SONG

Computer School, Beijing Information Science &Technology University, Beijing 100101, China

Received:2019-06-10 Online:2019-10-10 Published:2020-05-11
Contact: Limin MA E-mail:markgoogle@qq.com

摘要/Abstract

摘要：

Kerberos协议是分布式网络中一种重要的基于可信第三方认证协议,广泛应用于各主流操作系统以及云计算、无线网络等场景,但容易受到口令猜测攻击、重放攻击等。虽然基于公钥密码学的PKINIT协议可以增强Kerberos协议对这些攻击的抵抗能力,但需引入过多的计算资源和通信代价。为此,文章提出并实现了一种基于一次性口令机制以增强Kerberos协议安全性的方案,并基于BAN逻辑进行形式化分析。实验结果显示,该方案与PKINIT协议相比,计算复杂度降低,初始认证服务所需时间减少为PKINIT协议的67.7%,并具有容易部署的优点。

关键词: Kerberos, PKINIT, 一次性口令, 口令猜测攻击, BAN逻辑

Abstract:

Kerberos protocol is an important trusted third-party authentication protocol in distributed networks. It is widely used in mainstream operating systems, cloud computing, wireless networks and other application scenarios, but it is vulnerable to password guessing attacks, replay attacks and so on. Although PKINIT protocol based on public key cryptography can enhance the resistance of Kerberos protocol to these attacks, it needs to introduce too much computing resources and communication costs. Therefore, this paper proposes and implements a scheme based on one-time password mechanism to enhance the security of Kerberos protocol, and makes formal analysis based on BAN logic. The experimental results show that compared with the PKINIT protocol, the scheme reduces the computational complexity, reduces the initial authentication service time to 67.7% of the PKINIT protocol, and has the advantage of easy deployment.

Key words: Kerberos, PKINIT, OTP, password guessing attack, BAN logic

中图分类号:

TP309

马利民, 张伟, 宋莹. 一种基于一次性口令的增强Kerberos协议方法及其形式化分析[J]. 信息网络安全, 2019, 19(10): 57-64.

Limin MA, Wei ZHANG, Ying SONG. An Enhanced Kerberos Protocol Based on OTP with Formal Analysis[J]. Netinfo Security, 2019, 19(10): 57-64.

图/表 4

表1

表2

表3

表4

参考文献 13

[1]	RFC 4120. The Kerberos Network Authentication Service(V5)FC 4120. The Kerberos Network Authentication Service(V5)[S]. USA: IETF, 2005.
[2]	RFC 6113. A Generalized Framework for Kerberos Pre-AuthenticationFC 6113. A Generalized Framework for Kerberos Pre-Authentication[S]. USA: IETF, 2011
[3]	HOJABRI M, RAO K V.Innovation in Cloud Computing: Implementation of Kerberos Version5 in Cloud Computing in Order to Enhance the Security Issues[C]//IEEE. 2013 International Conference on Information Communication & Embedded Systems, February 21-22, 2013, Chennai, India. NJ: IEEE, 2013: 452-456.
[4]	SHAO Yeqin, CHEN Jianping, GU Xiang.Improved Kerberos Single Sign-on Protocol[J]. Computer Engineering, 2011, 37(24): 109-111.
	邵叶秦,陈建平,顾翔. 改进的Kerberos单点登录协议[J]. 计算机工程, 2011,37(24):109-111.
[5]	ZHUANG Xiaomei, TANG Xilin.Enhanced Security Scheme of Kerberos Protocol Based on Hybrid Cryptosystem[J]. Computer systems & applications, 2015, 24(5): 257-260.
	庄小妹,唐西林. 基于混合机制的 Kerberos 安全性增强方案[J]. 计算机系统应用,2015,24(5):257-260.
[6]	YANG Ping, NING Hongyun.Security Analysis and Strategy Research of Kerberos Protocol[J]. Computer Engineering, 2015, 41(5): 144-148.
	杨萍,宁红云. Kerberos 协议的安全分析及对策研究[J]. 计算机工程,2015,41(5):144-148.
[7]	REN Xiaolie.Application and Improvement Research of Kerberos in Wireless Network[J]. Journal of Chengdu University of Information Technology, 2011, 26(2): 137-143.
[8]	RFC 4556. Public Key Cryptography for Initial Authentication in Kerberos(PKINIT)[S]. USA: IETF, 2006.
[9]	ZHANG Xiao.Improvement of Kerberos Protocol Based on PKI[J]. Information Technology, 2011, 10:211-213.
	张晓,基于PKI的Kerberos协议的改进[J]. 信息技术,2011,10:211-213.
[10]	ZHANG Lihua, YANG Xiuqing.Scheme of Enhanced Security for Kerberos Protocol[J]. Computer Engineering and Design, 2009, 30(9): 2124-2126.
	张利华,杨秀青. Kerberos协议的安全性增强方案[J]. 计算机工程与设计,2009,30(9):2124-2126.
[11]	AL-JANABI S T F, RASHEED M A S. Public-key Cryptography Enabled Kerberos Authentication[C]//IEEE. The 2011 Developments in E-Systems Engineering, December 6-8, 2011, Dubai, United Arab Emirates. NJ: IEEE, 2011: 209-214.
[12]	RFC1760. The S/Key One-time Password System(OTP)[S]. USA: IETF, 1995.
[13]	BICAKCI K, BAYKAL N.Improving the Security and Flexibility of One-Time Passwords by Signature Chains[J]. Turk J Elec Engin, 2003, 11(3): 223-236.

符号	含义
C	用户端
AS	认证服务器
TGS	票据授权服务器
Realm	标识用户所属的域
KDC	密钥分配中心
Ticket_tgs	票据授权票据
ID_x	实体x的标识
Times	时间戳
Nonce	某阶段使用的随机数
K_x	用户x的对称密钥
K_x_,_y	用户x和用户y的会话密钥
PU_x	用户x的公钥
PR_x	用户x的私钥
E(K[M])	使用对称密钥K对消息M进行加密
S_PRx(M)	使用用户x的私钥PR_x对消息M进行签名
V_PUx(M)	使用用户x的公钥PU_x对签名进行验证

语句	含义
	A相信X, A认为X为真
	A看到X, A收到包含X的消息
	A曾经说过X, A曾经发送过X
	A对X具有管辖权
#(X)	X是新鲜的,即X在协议当前执行中未被传送过
	K是A和B的对称会话密钥
{X }_K	使用K加密X
	K是A的公钥

协议操作	Kerberos协议	PKINIT 协议	文献[10] 方案	ECC-OTP-Kerberos 协议
对称密钥加密操作	2T_SK	T_SK	T_SK	T_SK
公钥加密操作	0	2T_PU?2T_PR	2T_PU?2T_PR	T_PU?T_PR

时间协议	初始认证服务耗费时间/ms	相较PKINIT协议百分比
Kerberos协议	8	25.8%
PKINIT协议	31	100%
ECC-OTP-Kerberos协议	21	67.7%

一种基于一次性口令的增强Kerberos协议方法及其形式化分析

An Enhanced Kerberos Protocol Based on OTP with Formal Analysis

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 4

参考文献 13

相关文章 6

编辑推荐

Metrics

本文评价

[1]	张小红, 郭焰辉. 基于椭圆曲线密码的RFID系统安全认证协议研究[J]. 信息网络安全, 2018, 18(10): 51-61.
[2]	段然, 徐乃阳, 胡爱群. 基于形式化分析工具的认证协议安全性研究[J]. 信息网络安全, 2015, 15(7): 71-76.
[3]	朱劭;崔宝江. 基于SAML的Hadoop云计算平台安全认证方法研究[J]. , 2013, 13(12): 0-0.
[4]	金松昌;杨树强;樊华;刘斐. 面向大型关键业务的Hadoop云计算平台数据安全策略研究[J]. , 2012, 12(8): 0-0.
[5]	方科;王荣. IEEE802.16安全认证协议的形式化分析[J]. , 2008, 8(9): 0-0.
[6]	宗锐;刘鹏. 基于Kerberos的高兼容性桥接信任模型[J]. , 2008, 8(9): 0-0.