版权所有:内蒙古大学图书馆 技术提供:维普资讯• 智图
内蒙古自治区呼和浩特市赛罕区大学西街235号 邮编: 010021
作者机构:北京工业大学信息学部北京100124 可信计算北京重点实验室北京100124
出 版 物:《信息安全研究》 (Journal of Information Security Research)
年 卷 期:2021年第7卷第4期
页 面:374-383页
学科分类:0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术(可授工学、理学学位)]
主 题:Intel SGX Kerberos 身份认证 密钥管理 安全
摘 要:Kerberos是广泛应用于云计算、物联网等场景下的身份认证系统,其密钥分发中心(key distribution center,KDC)的数据库存储着明文的密钥信息,在分布式环境中存在存储管理、内存泄露等安全隐患,进而影响身份认证系统的安全.因此提出基于Intel SGX(software guard extensions)的Kerberos安全增强方案,将密钥的初始化和身份认证流程中涉及密钥使用模块迁移至SGX提供的安全隔离区域Enclave中,通过基于硬件支持的内存隔离机制动态保护密钥;在安全区内使用密封机制密封存储至数据库.通过实验证明了该方案能够保障密钥动态和静态的机密性和完整性,减小了可信计算基础的范围.而性能评估显示,该方案在保障密钥运行和存储安全的同时,性能的额外开销也在可接受范围之内.