基于PUF的Kerberos認(rèn)證協(xié)議

馮志華，張宇軒，盧文濤，羅 重

(中國航天科工集團(tuán)第二研究院 七〇六所，北京 100854)

0 引 言

Kerberos協(xié)議是一種能夠在不安全網(wǎng)絡(luò)中實(shí)現(xiàn)安全認(rèn)證的協(xié)議，可以對(duì)通信實(shí)體進(jìn)行身份認(rèn)證[1]，作為一種可信任的第三方認(rèn)證協(xié)議，它通過對(duì)稱加密的方式執(zhí)行認(rèn)證服務(wù)。目前，Kerberos協(xié)議被廣泛應(yīng)用于各主流操作系統(tǒng)以及云存儲(chǔ)、無線網(wǎng)絡(luò)等場景[2]，但它仍存在一定的缺陷，比如易受口令攻擊、重放攻擊以及存在密鑰管理困難等問題[3]。

國內(nèi)外學(xué)者針對(duì)Kerberos協(xié)議出現(xiàn)的安全漏洞，提出了很多改進(jìn)方案。針對(duì)重放攻擊，文獻(xiàn)[3]提出使用隨機(jī)數(shù)來代替協(xié)議中使用的時(shí)間戳，在達(dá)到相同效果的同時(shí)，可以解決時(shí)鐘不同步導(dǎo)致的重放攻擊問題。針對(duì)口令猜測(cè)攻擊，文獻(xiàn)[4-6]提出將公鑰體制引入Kerberos協(xié)議中，利用公鑰證書來進(jìn)行雙向的身份認(rèn)證，文獻(xiàn)[7]提出利用公鑰密碼體制實(shí)現(xiàn)的一次性口令(one-time password，OTP)認(rèn)證機(jī)制來進(jìn)行改進(jìn)。以上方案對(duì)Kerberos協(xié)議易遭受口令猜測(cè)攻擊的缺陷進(jìn)行了改進(jìn)，但是這些方案將公鑰密碼體制引入到協(xié)議中，導(dǎo)致整體系統(tǒng)需要承擔(dān)過多的計(jì)算資源和通信代價(jià)。文獻(xiàn)[8]提出在客戶端上使用物理不可克隆函數(shù)(physical unclonable function，PUF)來代替協(xié)議中客戶端使用的口令，從而可以抵抗口令猜測(cè)攻擊，并且可以減少整體系統(tǒng)的密鑰管理復(fù)雜度，但是沒有解決協(xié)議易受到重放攻擊的問題和缺陷。

針對(duì)Kerberos協(xié)議當(dāng)前存在的問題，本文提出一種基于物理不可克隆函數(shù)(PUF)的Kerberos改進(jìn)協(xié)議，可以減輕密鑰管理的復(fù)雜度，抵抗口令猜測(cè)攻擊和重放攻擊問題。

1 背景介紹

1.1 物理不可克隆函數(shù)

物理不可克隆函數(shù)(physical unclonable function，PUF)的概念最早在2002年提出，它是一種硬件安全技術(shù)，是在電子器件生產(chǎn)過程中所自然產(chǎn)生的不能被復(fù)現(xiàn)的物理變化，類似于人類的指紋，PUF可以利用內(nèi)在的物理構(gòu)造來對(duì)電子器件進(jìn)行唯一標(biāo)識(shí)。PUF的特點(diǎn)是“唯一性”和“不可預(yù)測(cè)性”，在電子器件的制造中，由于隨機(jī)因素影響，在相同條件下制作出來的電子器件也不會(huì)在物理結(jié)構(gòu)特性上完全一致[8]。

PUF具有運(yùn)算快、抗克隆和不可預(yù)測(cè)的特點(diǎn)，在認(rèn)證領(lǐng)域具有很高的研究價(jià)值[9]?；赑UF設(shè)計(jì)的身份認(rèn)證協(xié)議通常需要對(duì)應(yīng)設(shè)備利用PUF生成多個(gè)激勵(lì)響應(yīng)對(duì)，然后把上述驗(yàn)證數(shù)據(jù)和該設(shè)備的身份識(shí)別標(biāo)識(shí)保存在認(rèn)證服務(wù)器的安全數(shù)據(jù)庫中[8]，在進(jìn)行認(rèn)證時(shí)，設(shè)備首先將身份標(biāo)識(shí)發(fā)送給認(rèn)證服務(wù)器，之后認(rèn)證服務(wù)器從數(shù)據(jù)庫獲取對(duì)應(yīng)身份標(biāo)識(shí)的激勵(lì)并發(fā)送給設(shè)備，設(shè)備利用PUF輸入激勵(lì)獲取響應(yīng)，并發(fā)送給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器進(jìn)行比對(duì)，若與數(shù)據(jù)庫中的響應(yīng)一致則認(rèn)證成功。

1.2 Kerberos協(xié)議

Kerberos協(xié)議模型中設(shè)計(jì)了客戶端C、應(yīng)用服務(wù)器S、認(rèn)證服務(wù)器AS、票據(jù)發(fā)放服務(wù)器TGS這4個(gè)實(shí)體。Kerberos認(rèn)證協(xié)議描述如圖1所示，步驟(1)到步驟(6)皆為網(wǎng)絡(luò)通信，并且消息皆為密文。整體認(rèn)證流程由3個(gè)階段構(gòu)成：

第一階段：包括步驟(1)和步驟(2)，客戶端C與認(rèn)證服務(wù)器AS進(jìn)行認(rèn)證，認(rèn)證成功后，認(rèn)證服務(wù)器AS生成訪問票據(jù)授權(quán)服務(wù)器TGS的授權(quán)票據(jù)TGT，并發(fā)放給客戶端C；

圖1 Kerberos協(xié)議流程

第二階段：包括步驟(3)和步驟(4)，客戶端C利用第一階段得到的票據(jù)TGT與票據(jù)授權(quán)服務(wù)器TGS進(jìn)行認(rèn)證，認(rèn)證成功后，票據(jù)授權(quán)服務(wù)器TGS生成訪問應(yīng)用服務(wù)器S的票據(jù)ST，并發(fā)放給客戶端C；

第三階段：包括步驟(5)和步驟(6)，客戶端C利用第二階段得到的票據(jù)ST與應(yīng)用服務(wù)器S進(jìn)行認(rèn)證，認(rèn)證成功后，客戶端C可以獲得整體應(yīng)用系統(tǒng)的訪問權(quán)限。

2 基于PUF的Kerberos認(rèn)證協(xié)議

2.1 改進(jìn)思路分析

Kerberos協(xié)議的具體缺陷分析如下：

(1)在客戶端發(fā)出認(rèn)證申請(qǐng)后，認(rèn)證服務(wù)器基于用戶口令生成會(huì)話密鑰，對(duì)發(fā)送給客戶端的信息進(jìn)行加密，攻擊方很容易就通過截獲大量的請(qǐng)求信息得到大量的密文材料，進(jìn)而利用口令猜測(cè)攻擊破解密碼的方法口令[11]；

(2)Kerberos協(xié)議為了抵抗其它攻擊者的重放攻擊，選擇在協(xié)議中使用時(shí)間戳保證消息的唯一性，但是使用時(shí)間戳的前提是需要保證參與認(rèn)證的各方的機(jī)器時(shí)間保持一致，當(dāng)攻擊者將參與認(rèn)證的某一方的機(jī)器時(shí)間進(jìn)行更改后，就能實(shí)現(xiàn)消息的重放，從而使得非法用戶可以違規(guī)訪問服務(wù)系統(tǒng)，導(dǎo)致系統(tǒng)遭到重放攻擊[12]；

(3)Kerberos協(xié)議中，所有參與方必須存儲(chǔ)大量的共享密鑰，密鑰使用與分配繁瑣，需要非常詳細(xì)的安全管理技術(shù)方法，需要花費(fèi)很大的系統(tǒng)代價(jià)[8]。

基于以上對(duì)Kerberos協(xié)議的缺陷分析，改進(jìn)方案的設(shè)計(jì)思路如下：

(1)針對(duì)口令猜測(cè)攻擊，利用Hash加鹽的方式進(jìn)行防御，利用口令中添加隨機(jī)數(shù)的形式來抵抗口令猜測(cè)攻擊，具體步驟如2.3所述；

(2)針對(duì)重放攻擊，利用隨機(jī)數(shù)來代替協(xié)議中使用的時(shí)間戳，從而可以做到抵抗重放攻擊的作用，具體改進(jìn)后的步驟如2.3所述；

(3)針對(duì)密鑰管理和維護(hù)困難的問題，選擇將PUF放置在應(yīng)用服務(wù)器端，從而做到應(yīng)用服務(wù)器不用保存服務(wù)器端的私有密鑰，做到減輕密鑰的維護(hù)困難等問題，具體改進(jìn)如2.3所述。

2.2 符號(hào)描述

為了方便描述，本文為描述協(xié)議所使用的符號(hào)及描述見表1。

2.3 Kerberos改進(jìn)協(xié)議描述

Kerberos 模型包括的實(shí)體如下：

(1)客戶端C：發(fā)出認(rèn)證和服務(wù)請(qǐng)求的實(shí)體；

(2)應(yīng)用服務(wù)器S：向用戶提供特定應(yīng)用服務(wù)功能的服務(wù)器；

(3)密鑰分發(fā)中心KDC：包括認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器TGS，實(shí)現(xiàn)密鑰的生成、存儲(chǔ)和發(fā)放。認(rèn)證服務(wù)器AS與客戶端C進(jìn)行認(rèn)證，產(chǎn)生并發(fā)放給客戶端訪問票據(jù)授權(quán)服務(wù)器TGS的授權(quán)票據(jù)TGT；票據(jù)授權(quán)服務(wù)器TGS與客戶端傳送過來的認(rèn)證授權(quán)票據(jù)TGT進(jìn)行認(rèn)證，驗(yàn)證成功后生成并發(fā)送給客戶端訪問應(yīng)用服務(wù)器S的服務(wù)票據(jù)ST。

表1 符號(hào)及其含義

本文提出的改進(jìn)工作主要集中在標(biāo)準(zhǔn)Kerberos協(xié)議的初始化階段和認(rèn)證階段，使用隨機(jī)數(shù)和基于物理不可克隆函數(shù)生成的激勵(lì)響應(yīng)對(duì)來對(duì)標(biāo)準(zhǔn)協(xié)議進(jìn)行改進(jìn)。

首先是初始化階段，應(yīng)用服務(wù)器S利用PUF產(chǎn)生多個(gè)激勵(lì)認(rèn)證信息對(duì) {IDS,rS,hash(pufS⊕rS)}。 其中pufS值是PUF產(chǎn)生的激勵(lì)響應(yīng)，只有PUF才能計(jì)算出來，rS為隨機(jī)產(chǎn)生的隨機(jī)數(shù)。之后將PUF產(chǎn)生的認(rèn)證信息對(duì)安全存儲(chǔ)在認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器TGS共同信任的數(shù)據(jù)庫中。

其次是注冊(cè)階段，此階段與Kerberos原有協(xié)議一致，密鑰分發(fā)中心KDC在數(shù)據(jù)庫中保存進(jìn)行注冊(cè)的客戶端C的用戶名IDC及用戶口令KeyC。

之后是認(rèn)證階段，認(rèn)證階段與Kerberos原有協(xié)議的步驟個(gè)數(shù)一致，包括6個(gè)步驟，具體流程如下：

(1)C→AS

EncKeyC,AS{IDC‖IPC‖IDTGS}, Enchsah(KeyC){r1}
(KeyC,AS=hash(KeyC⊕r1))

(1)

客戶端C生成隨機(jī)數(shù)r1，并且與用戶的口令KeyC進(jìn)行異或運(yùn)算后，并對(duì)結(jié)果進(jìn)行哈希摘要運(yùn)算得到與認(rèn)證服務(wù)器AS之間進(jìn)行通信的會(huì)話密鑰KeyC,AS， 如式(1)所示，利用會(huì)話密鑰KeyC,AS加密用戶的用戶名IDC、IP地址IPC以及票據(jù)授權(quán)服務(wù)器TGS的標(biāo)識(shí)IDTGS，并對(duì)口令KeyC進(jìn)行哈希運(yùn)算后作為加密密鑰加密隨機(jī)數(shù)r1，將以上密文一同發(fā)送給AS。

(2)AS→C

EncKeyC,AS{IDC‖IPC‖KeyC,TGS},TGT
(TGT=EncKeyTGS{IDC‖IPC‖ETT‖KeyC,TGS})

(2)

認(rèn)證服務(wù)器AS接收到客戶端C傳送的認(rèn)證信息后，查詢客戶端C對(duì)應(yīng)的口令KeyC，解密認(rèn)證信息得到隨機(jī)數(shù)r1，判斷隨機(jī)數(shù)是否與之前接受過的信息有重復(fù)，若重復(fù)則舍棄，若不重復(fù)則根據(jù)步驟(1)的操作得到會(huì)話密鑰KeyC,AS， 解密接收到的認(rèn)證信息，并對(duì)比IDC、IPC等信息是否正確。假如正確，則AS認(rèn)證服務(wù)器需要返回給客戶端C如式(2)所示的信息，第一個(gè)數(shù)據(jù)包中包括客戶端的用戶名IDC、IP地址IPC以及客戶端C與TGS進(jìn)行通信的會(huì)話密鑰KeyC,TGS， 并使用上述生成的會(huì)話密鑰KeyC,AS進(jìn)行加密；而數(shù)據(jù)包TGT則是包括客戶端的用戶名IDC、IP地址IPC、票據(jù)有效期ETT以及下一步中客戶端與票據(jù)分發(fā)服務(wù)器TGS的會(huì)話密鑰KeyC,TGS， 并且使用的密鑰KeyTGS進(jìn)行加密。

(3)C→TGS

TGT,IDS,Authenticator1
(Authenticator1=EncKeyC,TGS{IDC‖IPC‖r2})

(3)

客戶端接收到AS發(fā)送的認(rèn)證信息后，首先解密得到密鑰KeyC,TGS， 并用此密鑰加密自己的用戶名IDC、IP地址IPC以及隨機(jī)生成的隨機(jī)數(shù)r2，該密文被稱為Authenticator1。如式(3)所示，客戶端C將得到的票據(jù)TGT、需要訪問的應(yīng)用服務(wù)器標(biāo)識(shí)IDS，以及密文Authenticator1一起發(fā)送給票據(jù)授權(quán)服務(wù)器TGS。

(4)TGS→C

EncKeyC,TGS{KeyC,S‖IDS‖IPS‖rS‖r3},ST
(ST=EncKeypuf{IDC‖IPC‖ETST‖KeyC,S},
Keypuf=hash(hash(pufS⊕rS)))

(4)

當(dāng)票據(jù)授權(quán)服務(wù)器TGS接收到客戶端C傳遞過來的認(rèn)證數(shù)據(jù)后，解析數(shù)據(jù)包，查看身份標(biāo)識(shí)IDS是否存在于數(shù)據(jù)庫中，若存在，則使用TGS的密鑰KeyTGS解密票據(jù)TGT，得到TGS與客戶端C的臨時(shí)會(huì)話密鑰KeyC,TGS， 并檢查ETT是否在有效期內(nèi)，然后使用密鑰KeyC,TGS解密Authenticator1，判斷隨機(jī)數(shù)r2是否重復(fù)以防止重放攻擊，并校對(duì)TGT和Authenticator1中的客戶端名稱IDC是否符合。符合要求后，TGS會(huì)生成一個(gè)用于客戶端C與應(yīng)用服務(wù)器進(jìn)行通信的會(huì)話密鑰KeyC,S， 并且TGS會(huì)從數(shù)據(jù)庫中尋找IDS對(duì)應(yīng)的激勵(lì)響應(yīng)對(duì) {IDS,rS,hash(pufS⊕rS)}， 利用這些值得到加密密鑰Keypuf，按照式(4)對(duì)客戶端IDC、IP地址IPC、票據(jù)存活時(shí)間ETST加密后得到訪問應(yīng)用服務(wù)器S的服務(wù)票據(jù)ST并發(fā)送給客戶端C。

(5)C→S

ST,Authenticator2,rS
(Authenticator2=EncKeyC,S{IDC‖r4})

(5)

當(dāng)客戶端C收到TGS傳遞的信息后，利用密鑰KeyC,TGS解密得到服務(wù)器名IDS、服務(wù)器地址IPS、與服務(wù)器通信的臨時(shí)密鑰KeyC,S、 隨機(jī)數(shù)rS以及隨機(jī)數(shù)r3，判斷符合要求之后生成隨機(jī)數(shù)r4，用臨時(shí)密鑰KeyC,S加密IDC以及隨機(jī)數(shù)r4得到密文Authenticator2，然后將上述得到的密文Authenticator2、訪問應(yīng)用服務(wù)器S的服務(wù)票據(jù)ST以及隨機(jī)數(shù)rS發(fā)送給服務(wù)器S，進(jìn)行認(rèn)證。

(6)S→C

EncKeyC,S{r4}

(6)

應(yīng)用服務(wù)器端S收到客戶端發(fā)送的認(rèn)證信息后，利用服務(wù)器自帶的PUF計(jì)算得到密鑰Keypuf，解密ST得到用戶名、票據(jù)有效期以及后續(xù)的臨時(shí)會(huì)話密鑰KeyC,S， 首先查看票據(jù)是否在有效期內(nèi)，然后解密得到隨機(jī)數(shù)r4、用戶名IDC，判斷隨機(jī)數(shù)是否重復(fù)，并與ST解密得到的數(shù)據(jù)進(jìn)行比較，判斷用戶名是否一致，若以上均符合，則說明認(rèn)證客戶端成功，應(yīng)用服務(wù)器使用密鑰KeyC,S加密隨機(jī)數(shù)r4并發(fā)送給客戶端C，表明服務(wù)器對(duì)客戶端認(rèn)證成功。

3 協(xié)議安全性分析及形式化驗(yàn)證

3.1 抵抗惡意攻擊的安全分析

3.1.1 抵抗口令猜測(cè)攻擊

在Kerberos協(xié)議中，客戶端C和認(rèn)證服務(wù)器AS之間的通信報(bào)文都是采用對(duì)稱算法加密后的密文，其中加密數(shù)據(jù)所使用的密鑰則是對(duì)用戶的口令采用摘要函數(shù)計(jì)算得到的。但是假如用戶使用的口令強(qiáng)度不高，則對(duì)于整體系統(tǒng)網(wǎng)絡(luò)進(jìn)行監(jiān)聽的攻擊者可以通過采集大量的數(shù)據(jù)包來對(duì)口令進(jìn)行猜測(cè)攻擊，從而威脅到整體系統(tǒng)的安全性。

本改進(jìn)協(xié)議中使用隨機(jī)數(shù)參與到生成客戶端密鑰的過程中，利用哈希加鹽的方式來抵抗口令猜測(cè)攻擊，每一次客戶端C與認(rèn)證服務(wù)器AS之間進(jìn)行通信時(shí)，客戶端都生成一個(gè)隨機(jī)數(shù)，利用哈希加鹽的方式得到客戶端密鑰。并且利用用戶口令的哈希值作為密鑰加密此隨機(jī)數(shù)，并發(fā)送給認(rèn)證服務(wù)器AS，AS解密得到對(duì)應(yīng)隨機(jī)數(shù)，之后可以自己生成與客戶端進(jìn)行交互的會(huì)話密鑰，做到與客戶端之間的加密通信。此方式可以做到用戶口令強(qiáng)度不夠的情況下有效阻止攻擊者通過收集大量票據(jù)對(duì)密鑰進(jìn)行猜測(cè)攻擊。

3.1.2 抵抗重放攻擊

為了防止重放攻擊，Kerberos協(xié)議中引入了時(shí)間戳機(jī)制，在每個(gè)票據(jù)中都包含有時(shí)間戳，可以在各個(gè)參與認(rèn)證的通信方時(shí)鐘同步的基礎(chǔ)上做到對(duì)重放攻擊的抵抗。但在實(shí)際環(huán)境中，不同的參與通信方之間可能會(huì)存在不可預(yù)見的網(wǎng)絡(luò)延遲，導(dǎo)致各方的時(shí)鐘做不到精準(zhǔn)地同步，從而存在重放攻擊的隱患[6]。在客戶端C向應(yīng)用服務(wù)器S發(fā)送請(qǐng)求服務(wù)時(shí)，攻擊方可以竊聽并復(fù)制該消息，重放給應(yīng)用服務(wù)器S，在時(shí)間差允許的范圍內(nèi)，應(yīng)用服務(wù)器S不會(huì)丟棄此信息數(shù)據(jù)包，而是再次處理該消息。

本改進(jìn)協(xié)議中使用隨機(jī)數(shù)來代替時(shí)間戳，在客戶端C與服務(wù)器S進(jìn)行通信時(shí)，不使用時(shí)間戳作為防重放攻擊的手段，而是采用隨機(jī)數(shù)來代替時(shí)間戳，利用隨機(jī)數(shù)每一次的不同做到接收到重復(fù)的認(rèn)證信息時(shí)，判斷隨機(jī)數(shù)是否相同，從而防止外部攻擊者進(jìn)行重放攻擊，并且消除了使用時(shí)間戳帶來的各種缺點(diǎn)和隱患。

3.2 基于Scyther工具進(jìn)行形式化驗(yàn)證

Scyther由牛津大學(xué)的Cremers教授及其團(tuán)隊(duì)所開發(fā)[13]，它是一款對(duì)安全協(xié)議進(jìn)行形式化分析的軟件。Scyther工具具有可視化應(yīng)用界面以及協(xié)議分析結(jié)果，可以簡單直觀地展示出安全協(xié)議的漏洞和缺陷。此外，Scyther工具使用的協(xié)議形式化語言 SPDL簡潔易懂，可以對(duì)整體協(xié)議的具體細(xì)節(jié)和攻擊場景進(jìn)行較為精確地定義[14]。以上特點(diǎn)及優(yōu)點(diǎn)使得Scyther工具被廣泛用于對(duì)協(xié)議的形式化分析與研究。

實(shí)驗(yàn)中所使用的Scyther形式化分析工具版本為Scyther v1.1.3，選擇的系統(tǒng)環(huán)境為AMD R7 5800 H的處理器、Windows 11操作系統(tǒng)、16 G內(nèi)存的筆記本電腦，安裝python 2.7以及Scyther v1.1.3后即可對(duì)協(xié)議進(jìn)行形式化分析。

本文在使用Scyther工具對(duì)Kerberos改進(jìn)協(xié)議的建模中，定義了4個(gè)角色，分別為：C、AS、T與S，表示參與協(xié)議的通信方：客戶端、認(rèn)證服務(wù)器、票據(jù)授權(quán)服務(wù)器以及應(yīng)用服務(wù)器。并且在形式化驗(yàn)證中，對(duì)每個(gè)通信方發(fā)送和接收的每條消息都做了相應(yīng)的秘密聲明，其中客戶端C通信的形式化協(xié)議描述如圖2所示。

圖2 客戶端C的形式化語義描述

第1行為對(duì)客戶端C的角色定義，角色定義完成后，首先需要聲明和定義本角色中傳遞的消息所使用到的數(shù)據(jù)變量或者常量(圖中略去)，之后需要對(duì)協(xié)議流程進(jìn)行描述，第2行到第7行表示本角色在協(xié)議中參與的行為事件，第2行和第3行為客戶端C向認(rèn)證服務(wù)器AS發(fā)送和接收認(rèn)證信息，第4行和第5行為客戶端C向票據(jù)授權(quán)服務(wù)器TGS發(fā)送和接受認(rèn)證信息，第6行和第7行為客戶端C向應(yīng)用服務(wù)器S發(fā)送和接收認(rèn)證信息。

認(rèn)證服務(wù)器AS、票據(jù)授權(quán)服務(wù)器TGS以及應(yīng)用服務(wù)器S的形式化語義描述與客戶端C類似，因此不贅述過程，它們的形式化語義描述如圖3所示。

圖3 其它角色的形式化語義描述

在對(duì)改進(jìn)協(xié)議的形式化語義描述定義完成后，使用Scyther工具進(jìn)行運(yùn)行驗(yàn)證。驗(yàn)證結(jié)果見表2，認(rèn)證聲明：Alive、Weakagree、Niagree和Nisynch分別用于檢測(cè)重放攻擊、反射攻擊、中間人攻擊以及前后向安全性等惡意攻擊[15]。結(jié)果表明Scyther工具在以上惡意攻擊的檢測(cè)中無法有效攻破基于PUF的Kerberos改進(jìn)協(xié)議，本改進(jìn)協(xié)議可以抵抗重放攻擊、反射攻擊和中間人攻擊等威脅。

表2 形式化驗(yàn)證結(jié)果

4 結(jié)束語

本文在分析Kerberos認(rèn)證協(xié)議安全缺陷的基礎(chǔ)上，提出一種基于物理不可克隆函數(shù)(PUF)的Kerberos改進(jìn)協(xié)議。利用PUF產(chǎn)生的激勵(lì)響應(yīng)對(duì)代替Kerberos標(biāo)準(zhǔn)協(xié)議中的密鑰，同時(shí)利用隨機(jī)數(shù)與用戶口令結(jié)合運(yùn)算生成會(huì)話密鑰，并且采用隨機(jī)數(shù)來代替時(shí)間戳。使用Scyther形式化分析工具分析表明，該擴(kuò)展協(xié)議可以做到抵抗口令猜測(cè)攻擊以及重放攻擊，并且可以降低系統(tǒng)中的密鑰存儲(chǔ)開銷和密鑰泄露風(fēng)險(xiǎn)。在日益嚴(yán)峻的信息安全大環(huán)境下，該認(rèn)證協(xié)議可以提高系統(tǒng)的安全性，抵御惡意攻擊。