[发明专利]一种基于国密算法的Kerberos身份认证协议改进方法

说明书

本发明公开了一种基于国密算法的Kerberos身份认证协议改进方法，利用会话密钥动态化，以及基于国密算法的混合密码体制改进传统的Kerberos协议，改进后的Kerberos协议包括注册过程和认证过程；所述认证过程包括三个阶段，分别为：客户端与AS互相认证；客户端与TGS通信；以及客户端与应用服务器通信；客户端与AS之间的共享密钥使用动态密钥，认证过程中采用基于国密算法的混合密码体制进行加解密。本发明可有效抵抗弱口令导致的彩虹表攻击、爆破攻击、假冒用户攻击、时间同步导致的重放攻击、中间人攻击等，提高了Kerberos身份认证协议的安全性和效率。

技术领域

本发明属于密码学中身份认证和隐私保护技术领域，具体涉及一种基于国密算法的Kerberos身份认证协议改进方法。

背景技术

身份认证是保障网络安全的基石，用于保障认证双方的真实性。Kerberos协议作为最常用的身份认证协议，广泛应用于许多身份认证系统如银行系统、公安系统等等。因此，探讨Kerberos协议的缺陷以及改进Kerberos安全方案对保证计算机系统的安全性变得十分重要。同时，自从2012年我国发布商用密码以来，我国密码领域发展迅速，广泛应用于电子政务、电子商务、国民经济及公民生活等各个领域。

近年来，国内外许多学者都提出了针对Kerberos协议的改进方案，例如基于混合加密体制和密钥协商协议的改进Kerberos协议、使用Diffie-Hellman密钥取代用户口令加密需要传输的数据改进Kerberos协议、Weil对与Kerberos协议结合、将视觉密码与Kerberos协议相结合等。通过分析，虽然有效解决了原协议部分固有的安全问题，但同时也产生了其他诸如增大开销、密钥管理困难等问题。同时，如今国际经常使用的AES、RSA等算法，不排除有后门威胁，因此将商用密码算法与Kerberos协议相结合，具有实际意义和应用价值。

发明内容

本发明所要解决的技术问题是针对上述现有技术的不足，提供一种基于国密算法的Kerberos身份认证协议改进方法，设计一种基于动态密钥的改进Kerberos协议，并将基于国密算法的混合密码体制嵌入该协议中，本发明提出的改进Kerberos协议可以解决弱口令导致的彩虹表攻击问题和时间同步导致的重放攻击等，本发明具有抵抗爆破攻击、假冒用户攻击、重放攻击、中间人攻击的能力，同时身份认证具备正确性。

为实现上述技术目的，本发明采取的技术方案为：

一种基于国密算法的Kerberos身份认证协议改进方法，利用会话密钥动态化，以及基于国密算法的混合密码体制改进传统的Kerberos协议，改进后的Kerberos协议包括注册过程和认证过程；

所述认证过程包括三个阶段，分别为：

客户端与AS互相认证；

客户端与TGS通信；

以及客户端与应用服务器通信；

客户端与AS之间的共享密钥使用动态密钥；

认证过程中采用基于国密算法的混合密码体制进行加解密。

为优化上述技术方案，采取的具体措施还包括：

上述的基于国密算法的混合密码体制，其加密算法包括以下步骤：

步骤1：通过伪随机数生成器构建会话秘钥；

步骤2：会话密钥通过SM3杂凑，生成杂凑值；

步骤3：将杂凑值作为SM4的秘钥，同时也作为SM2加密的明文，首先使用SM2公钥对会话密钥进行加密，使用SM2私钥解密，实现数字签名；

步骤4：使用SM4算法和会话密钥对明文消息加密；

步骤5：将密文消息和加密后的会话密钥一同封装成报文发送给接收方。