基于数字证书和Kerberos协议的身份认证方案.pdf
基于数字证书和Kerberos协议的身份认证方案‘
邓科峰谭子军周先奉
国防科学技术大学,湖南长沙410073
摘要:分布式系统面临的一十重要问题是用户的身份认证。Ke巾ems协议是目前分布式环境下应用
最为广连的认妊协议之一.本文分析T
身储认证解击方案,并对其蛋全性进行T分析。
关链诃:分布式系统身份认证数字证书K“bems协议
1引 言
分布加密存储技术集成了加解密技术和分布存储技术,具有安伞、容错、海量存储等技术优势,是当
前信息安全领域的新的研究疗向和热点。麒麟分布式加密存储系统基于面向服务器的加密文件系统KsFs,
采用分布存储、集中索引的分布加密存储系统结构为用户提供数据加密存储以及秘密接享服务,系统结构
如图1所示。系统采用带外管理模式”l,用户的管理操作通过元数据服务器集中进行处理,数据访问请求则
直接发送到存储服务器进行并行处理。为了保证服务器只响应授权用户的访问请求.服务器必须能够对发
出请求的用户身份进行认证。
圃 鼠
圆豳圃
&《#%Ⅲ*∞ &“#*m*糟 #“#%m§掣
围1分布式加密存储系统结构
身份验证是个验证用户身份的过程,通常采用指定的第三方授权方式。为了让服务器进行验证,用
户必须提供某种形式的凭据表明自己的身份。只有在确认了用户的身份后.服务器才能授予用户执行操作
和访问数据的权力。在集中式存储系统中,系统的安全性可以在服务器端进行集中控制。这样的情况下,
安全性比较容易实现,一般采用简单的身份验证和访问授权的形式即可。在分布式加密存储系统中,客户
端小仅可以直接访问元数据服务器,而且还可以直接访问数据存储服务器.因此需要采用额外的手段来实
现系统中数据的安全访问。
:亲黧。君鬣嚣i’£鬣嚣簧嚣裂;;嚣器≥;鬻。,.、;,。+。她研。。。。。。安鱼。
先幸(197*),男,硕士研究生,I程师,研究方向为信息安±
2相关技术
用户认证可采用多种方法。目前,分布式环境下应用比较广泛的认证手段主要有:NTLM身份认证协
议【2l’Kerberos协议【4'5,61。
2.1NTLM身份验证机制
2000
NTLM认证协议是用于windowsNT和windows
协议通过质询/应答的方式对用户进行身份验证【31,其流程如图2所示。
/,
、
\
DDma证Controller
\ / ≤懿‰
Kerberos密钥分配中心
厂 、 y 、 2工少
———1 access’———>
1)Userrequests Senrer 《泥
s∞ds
Client chall翎gemessagr
·q2)Senrer
一
sends
—-(3)Clientresponsemessagc_》 用服务器)
§
\ to
√∈-吖6)Serversendsrcsponseclient_一\、———————√
图2NrLM质询/应答机制