基于Kerberos协议的云数据传输过程中安全方案研究

来源:用户上传      作者:

　　摘要：在数据传输至云服务器的过程中，数据会面临着云数据生命周期中第一轮的非法用户恶意攻击的问题，文本针对在传输过程中出现的问题提出了一种基于kerberos协议的云数据传输安全方案，该方案在改进Kerberos认证协议的基础上进行。一方面解决了认证过程中存在的对称加密算法安全性相对较低的问题，将对称加密算法替换为RSA一次一密加密算法;另一方面，在客户端与云服务商之间添加Kerberos认证协议，将两者进行安全连接，保障数据传输在传输过程中的安全。
　　关键词：云数据传输;Kerberos认证协议;基于RSA一次一密的加密算法
　　中图分类号：TP309        文献标识码：A
　　文章编号：1009-3044（2019）13-0030-02
　　在运输局生命周期过程中，传输、存储和删除阶段数据都会面临安全性威胁，数据从客户端传输到云服务器的过程是云数据在生命周期过程中的第一步，数据的安全性也尤为重要。所以，在此阶段，数据需要极强的安全保护措施来防止非法用户的攻击[1]。
　　为保障用户数据的安全性，各个云服务商提出了各种各样的数据安全保护措施，因此也有越来越多的用户使用云来存储自己的数据信息。但是，在技术不断强大的情况下，这些措施对数据的保护力度越来越小，很多用户的数据被非法用户通过不正当的手段破解并盗取。所以，越来越多的用户不会轻易相信云服务商能够保障起数据的安全性。在本文中，基于传输过程中数据的安全性问题，针对Kerberos存在的不足，将Kerberos认证协议进行改进，并提出了一种基于改进的这种协议的数据安全性保护措施，将RSA一次一密加密算法加入该种方案中，极大程度的保障了数据的安全性[2]。
　　1 kerberos协议
　　Kerberos认证协议是一种安全认证的协议，其作用是对于网络的安全进行认证。该协议利用密钥交换用户的机密信息在客户端和云服务应用程序之间进行认证，以此来提供服务。与此同时，该协议还能够防止非法窃听，对于来自非法用户的攻击进行回复。Kerberos认证协议在提供安全认证的功能之外还能够对数据的机密性和完整性进行保护。Kerberos认证协议中的KDC（key distribution center）称为Kerberos认证协议的密钥分发中心，主要用于执行用户和服务在可信第三方平台中的安全认证[3]。Kerberos的身份验证系统由认证服务器AS（authenticate）、 票证授予服务器TGS（ticker granting server）和真实服务器S（server）三个服务器组成[4]。
　　Kerberos认证协议在使用过程中存在很多缺陷，主要包含以下几方面。
　　1）在该协议中使用对称加密算法生成的密钥安全性低。在协议中使用对称加密算法DES，该算法加密密钥和解密密钥相同，密钥的安全性低，容易遭到破解 [5]。
　　2）重放攻击。在Kerberos认证协议中，专门用来防治重放攻击的事时间戳，但是，该时间戳在限制时间内是有效的。假设Kerberos认证协议中一个域中的时钟全部保持一致，那么就认为该消息是真的。但是，攻击用户往往将消息进行伪造，一旦得到了认证许可就会将准备的消息发出，在极短的时间内这种危险很难被检测到。
　　3）系统的安全性和完整性低。在认证系统中，恶意软件的攻击可以通过Kerberos协议和一些用户口令记录的软件来图换掉Kerberos软件，这样就会攻击成功[7]。
　　2 基于非对称加密的Kerberos协议
　　Kerberos认证协议是将用户和云服务器进行连接的纽带，可以将数据从客户端传输给云服务器。本文主要针对Kerberos认证协议的不足之处，提出一种改进协议。首先是将RSA一次一密加密算法代替该协议中的对称加密算法，之后与可信第三方平台相结合，进行数据和密钥的管理。具体的方案实施过程为：
　　3 RSA一次一密加密算法的Kerberos协议分析
　　基于RSA一次一密加密技术的Kerberos认证协议的数据传输安全性方案，是针对Kerberos认证协议过程中的不足之处进行改进，将RSA一次一密加密算法代替DES应用到Kerberos认证协议中，然后将该认证协议置于客户端和云服务器传输的过程中，将两者进行安全地链接，提高了数据在传输过程中的安全性。
　　4 结束语
　　本文针对数据传输过程中所面临的安全性问题，提出了一种基RSA一次一密加密技术的Kerberos认证协议的数据传输安全性方案，通过Kerberos认证协议和非对称加密技术形成一种安全的数据传输通道。Kerberos认证协议能够通过使用密钥交换的机密消息为客户端和服务器提供认证服务，同时可以做到防止攻击和窃听，更好地提高了数据的安全性，解决了数据在传输过程中面临的安全性问题。
　　参考文献：
　　[1] 刘焕平，杨义先. 广义（k，n）-门限方案[J]. 通信学报，1998（8）：73-78.
　　[2] Neuman B C， Ts'O T. Kerberos： an authentication service for computer networks[J]. IEEE Communications Magazine，2002，32（9）：33-38.
　　[3] 刘克龙，卿斯汉，蒙杨. 一种利用公钥体制改进Kerberos协议的方法[J].软件学报，2001， 12（6）：872-877.
　　[4] 文铁华，谷士文. 增强Kerberos协议安全性的改进方案[J]. 通信學报，2004，25（6）：76-79.
　　[5] Yang Kan， Jia Xiaohua. An efficient and secure dynamic auditing protocol for data storage in cloud computing[J]. IEEE Transaction on Parallel and Distributed Systems，2013，24（9）：1717-1726.
　　[6] 董秋香，关志，陈忠.加密数据上的计算密码学技术研究综述[J].计算机应用研究，2016，33（9）：2561-2572.
　　[7] Mutua S， Gu C， Yang H. Visibility graphlet approach to chaotic time series[J]. Chaos，2016， 26（5）：441-449.
　　【通联编辑：唐一东】
转载注明来源:https://www.xzbu.com/8/view-14910039.htm