[发明专利]一种Kerberos认证中防止票据攻击的方法和系统

说明书

本发明涉及接入认证领域，特别是涉及一种Kerberos认证中防止票据攻击的方法和系统。主要包括：KDC下发票据时，记录申请票据的客户端特征和KDC下发的票据特征，其中，票据包括TGT和ST；获取报文中的客户端特征和票据特征，查询客户端对应的票据特征是否与KDC下发票据特征的一致，根据查询结果判断攻击的类型，或进行相应转发。本发明提供的方法能够在Kerberos认证中准确、有效地检测并阻止白银票据攻击和黄金票据攻击。

技术领域

本发明涉及接入认证领域，特别是涉及一种Kerberos认证中防止票据攻击的方法和系统。

背景技术

Kerberos认证是一种基于票据的认证方式，在认证的不同过程中，会存在白银票据攻击和黄金票据攻击。为了确保通信安全，需要对票据攻击进行防御。

目前防止白银票据攻击一般所采取的防御手段包括：

(1)尽量保证Application Server的主密钥不泄露；

(2)开启PAC—Application Server将ST发送给KDC，由KDC验证ST是否有效；

(3)侦测或监视异常的Kerberos活动。

目前防止黄金票据攻击一般所采取的防御手段包括：

(1)限制KDC管理员的登录行为，以尽量保证KDC的主密钥不泄露；

(2)定期更改KDC的主密钥；

(3)快速更改KDC密码两次，使任何现有的黄金票据失效；

(4)侦测或监视异常的Kerberos活动。

对Kerberos认证中防止票据攻击的现有技术进行分析，主要存在以下问题：

(1)尽量保证不泄露主密钥的方法无法做到万无一失；

(2)采用定期修改主密钥等手段无法做到一劳永逸；

(3)对Kerberos认证协议本身进行修改，通过改变协议原有的流程或是算法来加强其安全性的方式兼容性较差；

(4)还有一些侦测或监视的方法，具有检测攻击的能力，但无法阻止攻击。

鉴于此，如何克服现有技术所存在的缺陷，解决现有Kerberos认证中票据攻击防御方式的缺陷，是本技术领域待解决的问题。

发明内容

针对现有技术的以上缺陷或改进需求，本发明解决了现有Kerberos认证中票据攻击防御方式的一些缺陷。

本发明实施例采用如下技术方案：

第一方面，本发明提供了一种Kerberos认证中防止票据攻击的方法，具体为：KDC下发票据时，记录申请票据的客户端特征和KDC下发的票据特征，其中，票据包括TGT和ST；获取报文中的客户端特征和票据特征，查询客户端对应的票据特征是否与KDC下发票据特征的一致，根据查询结果判断攻击的类型，或进行相应转发。

优选的，记录申请票据的客户端特征和KDC下发的票据特征，具体包括：对于TGT，客户端特征包括Kerberos域和Kerberos Client标识，票据特征为Kerberos Client从KDC获取到的TGT；对于ST，客户端特征包括Kerberos域和Kerberos Client需要访问的Application Server的标识，票据特征为Kerberos Client从KDC申请到的访问Application Server所需要的ST。

优选的，记录申请票据的客户端特征和KDC下发的票据特征，还包括：对于TGT，记录已使用KDC的主密钥进行加密的票据特征；对于ST，记录已使用Application Server的主密钥进行加密的票据特征。