The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A study on Kerberos Authentication and Key Exchange based on PKINIT

PKINIT기반의 Kerberos 인증과 키 교환에 관한 연구

  • 신광철 (벽성대학 컴퓨터계열 소프트웨어 개발) ;
  • 정일용 (조선대학교 컴퓨터공학부) ;
  • 정진욱 (성균관대학교 전기전자 및 컴퓨터공학부)
  • Published : 2002.06.01
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, proposes Kerberos certification mechanism that improve certification service of PKINIT base that announce in IETF CAT Working Ggroup. Did to certificate other realm because search position of outside realm through DNS and apply X.509 directory certification system, acquire public key from DNS server by chain (CertPath) between realms by certification and Key exchange way that provide service between realms applying X.509, DS/BNS of PKINIT base. In order to provide regional services, Certification and key exchange between realms use Kerberos' symmetric method and Session connection used Directory service to connection X.509 is designed using an asymmetric method. Excluded random number ($K_{rand}$) generation and duplex encryption progress to confirm Client. A Design of Kerberos system that have effect and simplification of certification formality that reduce Overload on communication.

본 논문에서는 IETF CAT Working Group에서 발표한 PKNIT 기반의 인증서비스를 향상시킨 Kerberos 인증 메커니즘을 제안한다. PHNIT기반의 X.509, BS/DNS를 적용하여 영역간의 서비스를 제공하는 인증과 키 교환방식으로 DNS를 통해 외부영역의 위치를 탐색하고 X.509 디렉토리 인증 시스템을 적용, 영역간 체인(CertPath)으로 DNS 서버로부터 공개키를 획득하여 다른 영역을 인증하도록 하였다. 영역간 인증과 키 교환은 Kerberos의 관용키 암호방식을 사용하고 세션 연결은 공개키 방식에 기반을 둔 X.509를 연동시키기 위하여 디렉토리서비스를 이용하였다. 이로써 Client를 확인하기 위한 임의 난수 키($K_{rand}$) 생성과 이로 인한 이중 암호화 과정을 배제하였으며 통신상의 Overload를 감소시키는 효과와 인증절차의 간소화를 가지는 Kerberos 시스템을 설계하였다.

Keywords

References

  1. B. C. Neuman, Theodore Ts'o. Kerberos, 'An Authentication Service for computer Networks,' IEEE Communications, 32(9) : 33-38, September, 1994 https://doi.org/10.1109/35.312841
  2. J. G. Steiner, B. C. Neuman, and J. I. Schiller, 'Kerberos : An Authentication Service for Open Network System,' pp. 191-202 in Usenix Conference Proceedings, Dallas, texas
  3. 최용락, 소우영, 이재광, 이임영 '통신망 정보보호' , 그린출판사, pp.343-393, 2001
  4. B. Tung, C. Neuman, M. Hur, A. Medvinsky, S. Medvinsky, J. Wray, J. Trostle, 'Public Key Cryptography for Initial Authentication in Kerberos,' draft-ietf-cat-kerberos-pk-init-14.txt
  5. http://www.ietf.org/internet%20draft-ietf-dnsop/keyhand-00.txt, IETF, 1999
  6. RFC 1510, Public Key Cryptography for Initial Authentication in Kerberos, draft-ietf-cat-kerberos-pk-init-09.txt, IETF, 1999
  7. J. Kohl and C. Neuman, 'The Kerberos Network Authentication Service(V5),' RFC 1510, September, 1993
  8. 김해영, '일회성 티켓 사용자에게 동기화 된 시계를 요구하지 않는 Kerberos', 한국과학기술원 석사학위논문, 1998
  9. B. Tung, B. C. Neuman, M. Hur, A. Medvinsky, S. Medvinsky 'Public Key Cryptography for Cross-Realm Authentication in Kerberos,' draft-ietf-cat-kerberos-pk-cross-07.txt
  10. A. Medvinsky, M. Hur, S. Medvinsky, C. Neuman, 'Public Key Utilzing Tickets for Application Servers (PKTAPP).'
  11. IETF Draft, 'Internet X.509 Public Key Infrastructure Certificate and CRL profile,' 1998
  12. K. Hornstein, J. Altman, 'Distributing Kerberos KDC and Realm Information with DNS,' draft-ietf-krb-wg-krb-dns-locate-02.txt
  13. http://www.kr.freebsd.org/doc/PoweredByDNS/resolving.html