建筑揚(yáng)塵污染監(jiān)控平臺中的Kerberos協(xié)議改進(jìn)

Word版本，下載可自由編輯建筑揚(yáng)塵污染監(jiān)控平臺中的Kerberos協(xié)議改進(jìn)建造揚(yáng)塵污染監(jiān)控主要包括哪些內(nèi)容？下面我為建造行業(yè)人士帶來建造揚(yáng)塵污染監(jiān)控平臺中的Kerberos協(xié)議改進(jìn)及相關(guān)內(nèi)容。隨著城市建設(shè)的進(jìn)展，對眾多簇?fù)淼墓こ淌┕がF(xiàn)場舉行遠(yuǎn)程在線監(jiān)控、準(zhǔn)時(shí)發(fā)覺違背防塵要求大事、對浮現(xiàn)揚(yáng)塵污染的施工地點(diǎn)準(zhǔn)時(shí)處理，已成為環(huán)保、城管等部門的工作重點(diǎn).監(jiān)管工作需要和網(wǎng)絡(luò)技術(shù)結(jié)合起來，施行新的監(jiān)督監(jiān)察模式，其中網(wǎng)絡(luò)平安問題也凸現(xiàn)出來.在平安接入平臺中，不同密級網(wǎng)絡(luò)間的實(shí)體通信頻繁.為保證該產(chǎn)品具有較高強(qiáng)度的平安性，反抗利用冒充、中間人襲擊等網(wǎng)絡(luò)襲擊，在平臺中必定應(yīng)實(shí)行廣泛且平安強(qiáng)度較高的實(shí)體身份驗(yàn)證手段.在分布式計(jì)算網(wǎng)絡(luò)環(huán)境中，Kerberos可以提供一種通信雙方舉行驗(yàn)證的認(rèn)證方式.Kerberos系統(tǒng)具有高平安性、透亮?????性好、可擴(kuò)展等性能，因此在分布式計(jì)算環(huán)境中得到了廣泛的應(yīng)用.

但是國家保密局規(guī)定，凡是涉密系統(tǒng)的政府內(nèi)網(wǎng)必需和外網(wǎng)舉行物理隔離.目前政府監(jiān)管部門的網(wǎng)絡(luò)結(jié)構(gòu)普通采納三網(wǎng)架構(gòu)，即公共網(wǎng)、外網(wǎng)和內(nèi)網(wǎng).內(nèi)網(wǎng)為政府的平安環(huán)境；公共網(wǎng)可以是互聯(lián)網(wǎng)或其它不相信網(wǎng)；外網(wǎng)介于公共網(wǎng)和內(nèi)網(wǎng)之間，是監(jiān)管部門對外服務(wù)的緩沖網(wǎng)絡(luò).外網(wǎng)和公共網(wǎng)之間由防火墻或VPN隔離.外網(wǎng)為政府監(jiān)管部門服務(wù)提供一個(gè)基本的運(yùn)行環(huán)境，但不作為一個(gè)相信環(huán)境；內(nèi)網(wǎng)是一個(gè)相信環(huán)境.外網(wǎng)和內(nèi)網(wǎng)之間采納物理隔離設(shè)備隔離，網(wǎng)閘是這個(gè)網(wǎng)絡(luò)之間的唯一通道.因?yàn)橥饩W(wǎng)不是一個(gè)相信環(huán)境，當(dāng)敏感數(shù)據(jù)利用外網(wǎng)時(shí)都不得解密，而且外網(wǎng)也不得存有對內(nèi)網(wǎng)敏感信息存取的密碼.

按照這些要求，為了保證建造揚(yáng)塵污染監(jiān)控平臺既具有網(wǎng)閘隔離，又能確保信息交換的平安，身份認(rèn)證成為其最基本的一種保障.因此將身份認(rèn)證應(yīng)用于建造揚(yáng)塵污染監(jiān)控平臺有一定現(xiàn)實(shí)意義和有用價(jià)值.Kerberos身份認(rèn)證協(xié)議是應(yīng)用較為廣泛的一種機(jī)制，但仍有許多不足.本文對Kerberos認(rèn)證機(jī)制舉行了分析，在此基礎(chǔ)上針對其不足提出一種改進(jìn)的協(xié)議模型，以及此協(xié)議在建造揚(yáng)塵污染監(jiān)控平臺中的詳細(xì)應(yīng)用.

1Kerberos系統(tǒng)簡介

Kerberos[1-3]最初是1985年麻省理工學(xué)院的雅典娜項(xiàng)目中被開發(fā)的認(rèn)證協(xié)議.其平安機(jī)制建立在用戶的身份驗(yàn)證上，對于通信的發(fā)出哀求方，可以確認(rèn)其是否為合法用戶，以此判定申請用戶是否有權(quán)拜訪主機(jī)系統(tǒng).為了減輕每個(gè)服務(wù)器的負(fù)擔(dān)，Kerberos把身份認(rèn)證的任務(wù)集中在身份認(rèn)證服務(wù)器上.Kerberos的認(rèn)證服務(wù)任務(wù)被分配到兩個(gè)相對自立的服務(wù)器：認(rèn)證服務(wù)器AS和票據(jù)許可服務(wù)器TGS，它們同時(shí)銜接并維護(hù)一個(gè)中央數(shù)據(jù)庫，存放用戶口令、標(biāo)識等重要信息.

囫圇Kerberos系統(tǒng)由四部分組成：AS，TGS，Client，Server.

Kerberos協(xié)議的基本工作原理[4-5]如圖1：分為3個(gè)階段共6個(gè)步驟.

第1階段：是客戶端與認(rèn)證服務(wù)器互相交換認(rèn)證服務(wù)的過程[6-8].

(1)客戶(C)向認(rèn)證服務(wù)器(AS)發(fā)送包含有客戶方名字(用戶名)、服務(wù)器名字的消息，這些由客戶在工作站上完成.C->AS:C,tgs.

(2)認(rèn)證服務(wù)器驗(yàn)證客戶的合法身份后，返回會(huì)話密鑰和授權(quán)票據(jù)給客戶.AS->C:{Kctgs,{Tc,tgs}Ktgs}Kc.

第2階段：客戶與票據(jù)服務(wù)器互相交換認(rèn)證服務(wù)的過程.

(3)C->TGS:{AC}Kc,tgs,{Tc,tgs}Ktgs.

(4)TGS->C:{Kc,S,{Tc,S}KS}Kc,tgs.

第3階段：用戶與應(yīng)用服務(wù)器(S)互相完成用戶服務(wù)認(rèn)證哀求.

(5)C->S:{AC}Kc,s,{TC,S}KS.

(6)S->C:{t}Kc,s.

2Kerberos協(xié)議的缺陷

在分布式計(jì)算網(wǎng)絡(luò)環(huán)境中，Kerberos可以提供一種通信雙方舉行驗(yàn)證的認(rèn)證方式，但是它存在著一定的缺陷，假如不加以改進(jìn)直接應(yīng)用，會(huì)帶來一定的平安隱患.主要的缺陷[9-10]如下：

實(shí)體身份的認(rèn)證主要依靠于主機(jī)的時(shí)鐘始終保持統(tǒng)一，然而保持較好的時(shí)鐘同步實(shí)際很困難.

Kerberos是一種建立在對稱加密算法DES基礎(chǔ)上的協(xié)議，抗擊冒充襲擊的能力相當(dāng)弱，這就給密鑰的交換、存儲和管理帶來極大的平安隱患，不適合接入平臺系統(tǒng).

在接入平臺的授權(quán)體系中必需采納屬性證書AC來對資源申請者的操作權(quán)限舉行控制，并且AC不能裸露在外網(wǎng)環(huán)境，因此不能直接沿用Kerberos協(xié)議中由用戶申請票據(jù)這一動(dòng)作.

3Kerberos協(xié)議的改進(jìn)和應(yīng)用

原有些建造揚(yáng)塵污染監(jiān)控平臺，客戶端每次拜訪服務(wù)提供者都必需咨詢授權(quán)服務(wù)中心該用戶的身份和權(quán)限，這樣增強(qiáng)了時(shí)光開銷.因此在原系統(tǒng)中引入Kerberos體系，就是為了提升認(rèn)證授權(quán)的速度，同時(shí)也不影響原有系統(tǒng)的平安強(qiáng)度.鑒于Kerberos自身的局限性以及平安接入平臺的特征，本文對Kerberos協(xié)議舉行了改進(jìn)，在身份確認(rèn)信息中加入了屬性證書，更好地將實(shí)施融合到現(xiàn)有些系統(tǒng)機(jī)制中，調(diào)換了Kerberos中用戶與服務(wù)提供者的身份，將協(xié)議中的C更換為內(nèi)網(wǎng)服務(wù)或用戶用A來表示，將S更換為外網(wǎng)服務(wù)或用戶用B來表示.

3.1身份驗(yàn)證體系規(guī)律結(jié)構(gòu)

身份驗(yàn)證體系規(guī)律結(jié)構(gòu)如圖2.

圖2中包含4個(gè)實(shí)體：

(1)AS：負(fù)責(zé)密鑰分發(fā)，其職責(zé)和功能包括保管與用戶分享的密鑰，隨機(jī)生成會(huì)話密鑰，生成時(shí)光戳，保管屬性證書；

(2)TGS：票據(jù)授予中心，負(fù)責(zé)分發(fā)票據(jù)；

(3)A：內(nèi)網(wǎng)服務(wù)或用戶，合法用戶擁有公鑰證書和屬性證書；

(4)B：外網(wǎng)服務(wù)或用戶.因?yàn)榻尤肫脚_的平安體系機(jī)制中不提供外網(wǎng)服務(wù)直接拜訪可信中心的機(jī)制，因此每一次身份驗(yàn)證過程都必需由內(nèi)網(wǎng)實(shí)體發(fā)出哀求.A首先向CA中心發(fā)出要與另一實(shí)體B通信的哀求，發(fā)出的哀求信息中包括證實(shí)自己合法身份的公鑰證書、會(huì)話密鑰，以及能夠證實(shí)自己合法操作權(quán)限的屬性證書和另一實(shí)體的身份標(biāo)識.若A的身份被確認(rèn)為合法且具有相應(yīng)的權(quán)限，CA中心將A、B間通信的會(huì)話密鑰連同給B的信息一道發(fā)送給A，該哀求用CA與A之間的共同密鑰加密KA，B的信息用B的密鑰加密KB，A留下自己的信息，轉(zhuǎn)發(fā)B信息.B解密，只要容易確認(rèn)一下參數(shù)時(shí)光戳和過期時(shí)光是否吻合即可以確認(rèn)A的身份.

3.2試驗(yàn)測試步驟

在啟動(dòng)Kerberos機(jī)制以前，實(shí)體TGS、A和B，首先從授權(quán)認(rèn)證中心CA獵取公鑰證書，能夠用DiffieHellmen算法生成密鑰對公鑰和私鑰(Ks)：

A與B建立了平安綁定，商議得到密鑰對KAP，KAS，KBP，KBS；

A與TGS商議得到KTP，KTS.

因?yàn)閮?nèi)網(wǎng)是可相信網(wǎng)段，A與KDC通信可以使用AES格式的密碼.試驗(yàn)的測試共分三個(gè)步驟：步驟1完成認(rèn)證業(yè)務(wù)交換，首先是內(nèi)網(wǎng)實(shí)體A向AS發(fā)送哀求，然后在接收TGS通信時(shí)使用的憑據(jù).

(1)A->AS：A向AS發(fā)送身份證實(shí)ACA，B的身份標(biāo)識以及拜訪TGS的哀求；KAES{Aname,TGSname,Bname}；

(2)AS->A：AS用KAES解密，確認(rèn)了A的身份后，咨詢CA，B用戶是否合法，咨詢AA中心B是否擁有所要求的權(quán)限，并取回屬性證書AC.如利用，AS將構(gòu)造一個(gè)包含B的名字、KKP以及屬性證書AC的憑證票據(jù)TGT，用KAP對該申請授權(quán)票據(jù)舉行加密.得到KAP{KTP{Aname,Bname,AC}}；步驟2票據(jù)中心確認(rèn)申請者身份以及票據(jù)分發(fā)階段.

(3)A->TGS：A用私鑰KAS解密，得到KTP{Aname,Bname,AC}，將其轉(zhuǎn)發(fā)給TGS；

(4)TGS->A：TGS用私鑰解密KTS{KTP{Aname,KAP,,AC}}，得到Aname,Bname,AC；將KAP{KTS{Bname,AC}}發(fā)給A.步驟3A確認(rèn)B的身份并轉(zhuǎn)發(fā)票據(jù)階段.這里由KAP和KAS組成的密鑰對稱為會(huì)話密鑰，與KBP和KBS組成的密鑰對相等.

(5)A->B：A用私鑰若能解開，則得到KTS{Bname，AC}，然后KBP{KTS{Bname，AC}}轉(zhuǎn)給B；

(6)B->A：B解密取出信息,用