没见过这类情况,估计是不行,毕业论文都需要独立完成的,都查重呢,何况你是两个人一起,不想那些学术论文,说白了,毕业论文就像考试一样!
当工作进行到一定阶段或告一段落时,需要我们来对前段时期所做的工作认真地分析研究一下,肯定成绩,找出问题,归纳出 经验 教训,以便于更好的做好下一步工作。下面是我给大家精心挑选的大学生 毕业 论文 总结 六篇,希望能帮助到大家!
更多大学生 毕业 自我鉴定 相关内容推荐↓↓↓
大 学 生 毕 业 个 人 总 结 心 得 体 会 范 文
大 学 生 毕 业 心 得 体 会 【 五 篇】
大 学 生 毕 业 的 个 人 总 结
大 学 生 毕 业 个 人 心 得
大 学 生 毕 业 个 人 感 想 及 体 会 5 篇
毕业论文总结篇一
随着毕业日子的到来,毕业设计也接近了尾声。经过几周的奋战我的毕业设计终于完成了。在没有做毕业设计以前觉得毕业设计只是对这几年来所学知识的单纯总结,但是通过这次做毕业设计发现自己的看法有点太片面。毕业设计不仅是对前面所学知识的一种检验,而且也是对自己能力的一种提高。通过这次毕业设计使我明白了自己原来知识还比较欠缺。自己要学习的东西还太多,以前老是觉得自己什么东西都会,什么东西都懂,有点眼高手低。通过这次毕业设计,我才明白学习是一个长期积累的过程,在以后的工作、生活中都应该不断的学习,努力提高自己知识和综合素质。
在这次毕业设计中也使我们的同学关系更进一步了,同学之间互相帮助,有什么不懂的大家在一起商量,听听不同的看法对我们更好的理解知识,所以在这里非常感谢帮助我的同学。
我的心得也就这么多了,总之,不管学会的还是学不会的的确觉得困难比较多,真是万事开头难,不知道如何入手。最后终于做完了有种如释重负的感觉。此外,还得出一个结论:知识必须通过应用才能实现其价值!有些东西以为学会了,但真正到用的时候才发现是两回事,所以我认为只有到真正会用的时候才是真的学会了。
在此要感谢我的指导老师___对我悉心的指导,感谢老师给我的帮助。在设计过程中,我通过查阅大量有关资料,与同学交流经验和自学,并向老师请教等方式,使自己学到了不少知识,也经历了不少艰辛,但收获同样巨大。在整个设计中我懂得了许多东西,也培养了我独立工作的能力,树立了对自己工作能力的信心,相信会对今后的学习工作生活有非常重要的影响。而且大大提高了动手的能力,使我充分体会到了在创造过程中探索的艰难和成功时的喜悦。虽然这个设计做的也不太好,但是在设计过程中所学到的东西是这次毕业设计的收获和财富,使我终身受益。
毕业论文总结篇二
毕业设计是我们作为学生在学习阶段的最后一个环节,是对所学基础知识和专业知识的一种综合应用,是一种综合的再学习、再提高的过程,这一过程对学生的学习能力和独立思考及工作能力也是一个培养,同时毕业设计也是一个重要的环节,是我们步入社会参与实际工作的一次极好的演示,也是对我们自学能力和解决问题能力的一次考验,是学校生活与社会生活间的过渡。
在完成毕业设计的这段时间里,我收获颇多,掌握了很多会计职业道德的知识,对我所学过的知识有所巩固和提高,让我对当今会计职业道德的现状有所了解。我明白了:
当今会计人员职业道德现状是不容忽视的,会计职业道德建设关乎会计工作的诚信与准确,关乎国家的利益、企业与个人的发展。所以加强会计人员的道德建设也是迫在眉睫。会计职业道德的树立并不单单是会计人员,而是需要社会、企业领导、负责人等等多方面的来共同配合,并且不断的追求崇高的会计职业道德观念。如果领导能够把好财务收支关口,公正明确地反映方方面面的利益关系,不滥用职权。并且会计人员能树立强烈的法律意识,提高自身素质,不存私心,不怕打击报复,能自觉、大胆地同各种违规违纪行为作坚决斗争,用法律保护自己的利益。那么会计人员职业道德将会渐渐走出两难的境地,会计人员的诚信度也会渐渐的提高。这样会达到高的会计职业道德境界,造就出高尚的会计职业道德品质。只有努力加强会计职业道德建设,加强会计人员 爱岗敬业 、熟悉法规、依法办事、搞好服务和保密守信内容建设,才能在金融海啸到来前建立一个规范的会计工作秩序,营造良好的会计从业氛围。只有这样,才能通过准确可靠的会计经济数据,为国家、企业与个人抵御金融海啸风暴打好坚实的基础。
我想:我作为一个会计专业的学生,我要从现在开始养成良好的职业道德素质,秉承正确的理念服务社会,服务人民。对社会负责,对自己负责。热爱会计事业,把个人的理想同会计职业发展结合起来,培养吃苦耐劳,脚踏实地、精益求精的精神。精通专业知识与技能胜任会计工作,争做一个合格的职业人。在毕业设计的整个过程中,我学到了新知识,增长了见识。脚踏实地,认真严谨,实事求是的 学习态度 ,不怕困难、坚持不懈、吃苦耐劳的精神是我在这次设计中另一大收益。我想这是对我实际能力的一次提升,也会对
我未来的学习和工作有很大的帮助。在今后的日子里,我仍然要不断地充实自己,争取在会计领域有所作为。
在这次毕业设计中也使我们的同学关系更进一步了,同学之间互相帮助,有什么不懂的大家在一起商量,听听不同的看法对我们更好的理解知识,所以在这里非常感谢帮助我的同学。
接下来,我还要完成毕业论文PPT 演讲稿 ,在此更要感谢我的老师们,是你们的细心指导和关怀,使我能够顺利的完成毕业设计。在我的学业和毕业设计的调查研究工作中无不倾注着老师们辛勤的汗水和心血。老师的严谨治学态度、渊博的知识、无私的奉献精神使我深受启迪。从尊敬的老师身上,我不仅学到了专业知识,也学到了做人的道理。在此我要向我的老师致以最衷心的感谢和深深的敬意。
毕业论文总结篇三
转眼间毕业设计已接近尾声,在这两个多月里,无论是在专业知识,还是在专业技能方面自己都得到了很好的锻炼,并有相应的提高,作为大学四年学习的总结,使我认识到学习过程中的许多缺陷与不足,并对所学的专业知识进行了重新温习与整理,使许多独立的专业课程在实践中得到了融会贯通。这将对我今后的学习和工作起到了很大的帮助作用,让我认识到了必须踏踏实实的学习,决不能眼高手低,要注重理论与实践的结合。
整个设计按照毕业指导书的有关内容,在参阅了大量资料后,做的紧张而有条理。在经历了许多挫折,走了许多弯路,最终独立完成设计。虽然设计中仍有许多缺陷和不稳定因素,但我们力争在现有水平和经验的基础上做得更好。在整个设计过程是在指导老师的悉心指导下完成的,老师严谨的治学态度和渊博的学识给我留下了深刻的印象,使我受益匪浅。同时还得到了同组其他同学的帮助,在此表示衷心感谢。
我不会忘记这难忘的几个月的时间。毕业论文的制作给我了难忘的回忆。在我徜徉书海查找资料的日子里,面对无数书本的罗列,最难忘的是每次找到资料时的激动和兴奋,记忆最深的是每一步小小的思路实现时那幸福的心情:为了论文我曾赶稿到深夜,但看着亲手打出的一字一句,心里慢慢的只有喜悦毫无疲惫。这段旅程看似艰难,实则蕴藏着无尽的宝藏。我从资料的收集中,掌握了很多 人力资源管理 的知识,对我有了很大的提高,并且让我对当今的数据流量计有了最新的了解。在整个过程中,我学到了新知识,增长了见识。在今后的日子里,我仍绕要不断的充实自己,争取在该领域有所作为。
脚踏实地,认真严谨,实事求是的学习态度,不怕困难、坚持不懈、吃苦耐劳的精神是我在这次设计中的收益。我想这是一次意志的磨练,是我对实际能力的一次提升,也会对我未来的学习和工作有很大的帮助。
在这次毕业设计中也使我们的同学关系更进一步了,同学之间互相帮助,有什么不懂的大家一起商量,听听同学的看法对我们好的理解知识,所以在这里也非常感谢帮助我的同学。
在此更要感谢我的老师,是你们的细心指导,让我能够顺利的完成毕业论文,在我的血液和论文的研究工作中无不倾注着老师们的辛勤的汗水和心血。老师严谨治学态度,无私的奉献精神是我深受启迪。从导师的身上,我不仅学到了扎实、宽广的专业知识,也学到了做人的道理。在此我要向我的导师致以最衷心的感谢和深深的敬意。
论文种.种,颇为周折。现在我真诚的感念我所经历的一切,请允许我在此鸣谢这些帮助和照顾我的人们,是他们让我明白了如何写毕业设计,更让我明白如何面对以后的生活。
毕业论文总结篇四
三年的大学生活,使我自身的综合素质、修养、为人处事能力以及交际能力等都有了质的飞跃;让我懂得了除学习以外的个人处事能力的重要性和交际能力的必要性。我成长了很多,也收获了很多。
在大学期间,我始终以提高自身的综合素质为目标,以自我的全面发展为努力方向,树立正确的人生观、价值观和世界观。为适应社会发展的需求,我认真学习各种专业知识,发挥自己的特长;挖掘自身的潜力,结合每年的暑期 社会实践 机会,从而逐步提高了自己的学习能力和分析处理问题的能力以及一定的协调组织和管理能力。
(一)思想方面,本人具有优秀道德修养,并有坚定的政治方向。我热爱祖国,热爱人民,坚决拥护中国共产党领导和社会主义制度,努力学习马克思列宁主义、毛泽东思想和邓小平理论,不断提高自己的政治觉悟和道德修养,严格遵守国家宪法及 其它 各项法律规定。由于本人表现突出,思想上积极向党组织靠拢,在大二时被确定为入党积极分子,并且顺利的结业了党校学习。
本人品德兼优、性格开朗、热爱生活,有较强的实践能力和组织能力。我学习勤奋,积极向上,喜欢和同学讨论并解决问题,经常积极参加班级及学校组织的各种活动。大学三年我学到了很多书本上学不到的知识,思想比以前有了很大的提高,希望以后能做一个有理想,有抱负,有 文化 的人,为建设社会主义中国做出自己的努力。
(二)学习方面我觉得大学生的首要任务还是学好文化知识,所以在学习上我踏踏实实,一点也不放松。通过三年学习,我学习了微观经济学、宏观经济学、 市场营销 、国际金融等专业课程,在课堂上,认真听课,跟着老师的思路思考和研究,把想不明白的问题通过答疑板得到反馈和解决,掌握一些例题的分析思路,
本人学习态度端正,勤奋好学,基本上牢固的掌握金融专业知识和技能,课余参加了社团模拟炒股比赛,做到了将所学用于实践中;除了专业知识的学习外,还注意各方面知识的扩展,广泛的涉猎其他学科的知识,从而提高了自身的思想文化素质。
我认为好的 学习 方法 对学好知识很有帮助,所以在每次考试后,我都会总结一下 学习经验 。我利用课余时间经常去图书馆阅览金融方面的书籍,了解国内金融业的发展情况。图书馆就是一个改变人思想的地方。而且我认为学习是学生的职业,这份职业同样需要有智慧、毅力和恒心。在当今这个快速发展的信息时代,我们只有不断汲取新知识,才不会落伍。
(三)工作方面学习固然重要,一个人能力的培养也不容忽视。本人担任班级学习委员职务,负责班里多方面的工作。与同学相处融洽,对工作热情,责任心强,具有良好的组织交际能力,注重配合其他班委出色完成各项工作,促进了团队沟通与合作。
三年的大学生活给了我很多挑战自我的机会,如学生会的竞选,院里组织的演讲比赛,棋弈比赛等。我成功当选棋弈组织部部长。在工作中我认真努力,积极组织活动,在参与这些活动的过程中,我结交了一些很好的朋友,学到了为人处事的方法,锻炼了自己的能力。这些经历使我明白有些事情如果尝试了,成功的机会就有一半,如果不去尝试,成功的几率只能为零。机会来临时,我们就要好好地把握住。
(四)生活方面我非常感谢学校能够提供给我国家助学金,缓解了我的经济压力。我利用课余时间和假期时间在外面找兼职,也锻炼了我的社会交往能力。在学校没有父母的照料,让我学会了合理的自理生活。同学们都说我是一个很会理财的人。
在宿舍生活上,养成了良好的生活习惯,生活充实而有条理,有严谨的生活态度和良好的生活态度和生活作风,为人热情大方,诚实守信,乐于助人,平时能够勤俭节约、艰苦朴素。拥有自己的良好处事原则,能与同学们和睦相处。
大学校园就是一个大家庭。在这个大家庭中,我们扮演着被培养对象的角色。老师是我们的长辈,所以我对他们尊敬有加。同学们就像兄弟姐妹,我们一起学习,一起娱乐,互帮互助,和睦的相处。集体生活使我懂得了要主动去体谅别人和关心别人,也使我变得更加坚强和独立。遇到事情要冷静地思考。生活需要自己来勾画,不一样的方式就有不一样的人生。三年的大学生活是我人生中美好的回忆,面对即将到来的新的生活,我将以饱满的热情、坚定的信心、高度的责任感去迎接新的挑战,不断努力,从而实现更加崇高的人生价值。
毕业论文总结篇五
毕业设计完成之后,还以写一份毕业设计 总结 报告 ,这对自己来说,是一个总结,也是一个提醒。因为毕业设计的完成,既为大学四年划上了一个完美的句号,也为将来的人生之路做好了一个很好的铺垫。
我所选的毕业设计的题目是“馨香苑1#楼工程投标文件编制”,之所以选择这个题目,是因为我自己感觉它能够很好地将我大学四年的知识串联起来,起到一个很好的复习作用,正所谓温故而知新,这对于以后的工作有一个很好的作用。
开始是撰写开题报告。在指导老师的指点下,通过老师所给的模板,一步一步的将我自己毕业设计的东西填充进去。此外还通过网络、图书馆搜集相关学术论文、核心期刊、书籍等撰写一篇论文。通过两个星期的撰写,我终于完成了开题报告。
接下来,根据毕业设计任务书的安排,开始绘制图纸。根据学员教务处的要求,我一共需要绘制六张图纸。其中包括机绘四张和手绘四张。在画图开始的时候,我得将之前讲的关于画图的知识温习一遍,这样才能更好地开展工作。此外,我还根据老师提供的相关规范,找出了画图的注意点,以及如何真确的绘制建筑图。基于之前工作的到位,在开始绘图之后就进展的比较快。一共经过了两个星期的时间我将图纸绘制结束了。
根据任务书的安排,在完成熟读图纸和绘制图纸之后,下面的工作就是工程量计算和机算。这是整个毕业设计的重点工程,因为这是我们专业知识的集中体现。这开展工作之前,必须得将《工程造价》这本书重新过一遍,对于里面的计价规范,以及如何正确的计算工程量有一个全面的了解。在计算的过程中,王老师经常到我们教室进行指导,对于我们出现的问题都能及时作答,为我们计算工作的开展打下基础。此外在计算钢筋的时候,需要一些计算规则,以及一些图集,王老师也是尽可能的提供给我们,让我们能顺利的将毕业设计进行下去。在机算套价的过程中,王老师给我们提供了一套江苏省装饰装修工程计价规范,为我们解决了不少难题。
在结束了工程量的计算之后,下面的工作就到了编制施工组织设计以及商务标和技术标工作。我的主要一些步骤是根据一些模板进行修改的。需要的一些数据就是套价生成的一些数据表格等。
最后的工作就是外文翻译以及图纸的输出了。我自己在网上找了一篇学术论文然后用翻译软件进行翻译,修改。
在上面工作都结束之后,就是等待老师审批,自己再修改,直至达到老师的要求。这是一个不断往复的过程。
在整个毕业论文设计的过程中我学到了做任何事情所要有的态度和心态,首先我明白了做学问要一丝不苟,对于出现的任何问题和偏差都不要轻视,要通过正确的途径去解决,在做事情的过程中要有耐心和毅力,不要一遇到困难就打退堂鼓,只要坚持下去就可以找到思路去解决问题的。在工作中要学会与人合作的态度,认真听取别人的意见,这样做起事情来就可以事倍功半。
论文的顺利完成,首先我要感谢我的指导老师王冬梅老师以及周围同学朋友的帮助,感谢他们提出宝贵的意见和建议。另外,要感谢在大学期间所有传授我知识的老师,是你们的悉心教导使我有了良好的专业课知识,这也是论文得以完成的基础。
毕业论文总结篇六
为期两个月的毕业设计即将结束,我也完成了自己的毕业设计任务“气体流量的测量”。时至今日,论文基本完成。从最初的茫然,到慢慢的进入状态,再对思路逐渐的清晰,整个写作过程难以用语言来表达。两个月的奋战,紧张而又充实的毕业设计中古落下帷幕。回想这段日子的经历和感受,我感慨万千,在这次的毕业设计的过程中,我拥有了无数难忘的回忆和收获。通过亲手做毕业设计,我发现了自己知识的匮乏和能力的欠缺,我觉得自己对专业知识的认识、理解是比较肤浅的。
在设计过程中,我遇到了许多问题,例如:各硬件芯片的选择,流量计控制部分设计,软件的编程等。不过这些问题在指导老师的细心帮助下一点一点地解决了。
在搜集资料的过程中,我人很准备了一个 笔记本 。我在学校图书馆,收集资料,还在网上查找各类相关资料,将这些宝贵的资料全部记在笔记本上,尽量使我的资料完整,精确,数量多,这有利于论文的撰写。然后我将收集到的资料仔细整理分类,及时拿给导师进行沟通。
当我终于完成所有的打字、绘图、排版、校对的任务后整个人都很累,但同时看着电脑的屏上的毕业设计时我的心里是甜的,我觉得我这一切都值了。这次毕业论文的制作过程是我的一次再学习,再提高的过程,在论文中我充分地运用了大学期间所学到的知识。
实际的应用加深了我对大学所学的软、 硬件知识 的理解。单片机的选用与学习增强了我们的实际分析解决问题的能力。这次设计让我初次体验了产品设计开发的过程,学习了开发应用的主要方法,也让我意识到理论知识与实际应用之间的距离。在本设计中没有涉及到芯片内部的元件设计,另外就软件设计而言也存在着一些不足之处,我相信这些不足之处在以后的工作和学习中会得到改进。
毕业设计作为大学阶段的最后一项任务,是对自己大学三年来学习水平的综合检验。它能使我对所学的知识有一个系统的把握,并在此基础上做到融会贯通。同时,对自己自学能力的培养等都大有裨益。
大学生毕业论文总结六篇相关 文章 :
★ 毕业大学生个人总结范文精选5篇汇总
★ 论文总结部分万能范文5篇
★ 高校毕业论文工作总结范文
★ 毕业论文写作心得体会总结
★ 学生毕业论文工作总结范文
★ 学生毕业论文个人工作总结范文
★ 毕业设计总结大学生精选
★ 毕业论文实习心得三篇
★ 学生毕业论文总结范文
身份认证系统认证协议的设计与分析
摘 要 认证协议是身份认证系统最关键的部分,研究和分析系统认证协议,是保证网络安全通信的必要条件。Kerberos是一个典型的认证协议,其使用专门的服务器进行统一的身份认证和权限管理,但是由于当初使用环境的原因,并没有使用公钥体制,这影响了系统的扩展性和易管理性。本文描述了一个身份认证系统认证协议的设计思想,使用公钥对kerberos协议进行了改进,并使用BAN逻辑分析了协议的安全性。 关键词 身份认证,认证协议
认证协议是身份认证系统最关键的部分,它直接影响到系统效率、安全性等等。Kerberos是一个典型的认证协议,其使用专门的服务器进行统一的身份认证和权限管理,但是由于当初使用环境的原因,并没有使用公钥体制,这影响了系统的扩展性和易管理性。本文描述了一个身份认证系统认证协议的设计思想,使用公钥对kerberos协议进行了改进,并使用BAN逻辑证明了协议的安全性较高。 1 Kerberos协议分析 Kerberos是一个典型网络安全认证协议,它是应用对称密钥来对客户机(Client)/服务器(Server)应用程序作精确鉴定的。Kerberos主要为网络通信提供可信第三方服务的面向开放系统的认证机制。每当用户(Client)申请得到某服务程序(Server)的服务时,用户和服务程序会首先向Kerberos要求认证对方的身份,认证是建立在用户和服务程序对Kerberos的信任的基础上。在申请认证时,Client和Server都可看成是Kerberos认证服务的用户。为了和其它服务的用户区别,Kerberos将用户和服务器统称为参与者(Principle)。因此Principle既可以是用户也可以是某项服务。认证双方与Kerberos的关系用图1表示。 图1 Kerberos之间的认证关系 当用户登录到工作站时,Kerberos对用户进行初始认证,通过认证的用户可以在整个登录期间得到相应的服务。Kerberos既不依赖用户登录系统的终端,也不依赖用户所请求的服务的安全机制,它凭借本身提供的认证服务来完成对用户的认证工作。而时间戳技术被用来抵御可能发生的重放攻击(Replay Attack)。 Kerberos建立并保存本网络域中每个参与者的名称及其私有密钥的数据库,这样仅有参与者和Kerberos数据库掌握该参与者的私有密钥。使用私有密钥,Kerberos可以对参与者进行身份认证。另外,Kerberos还会随机生成一个会话密钥用来对通信双方的具体内容进行加密。 Kerberos存在以下局限性: 1)原有的认证服务可能被存储或替换,虽然时间戳是专门用于防止重放攻击的,但在票据的有效时间内仍然可能奏效,假设在一个Kerberos认证域内的全部时钟均保持同步,收到消息的时间在规定的范围内(假定规定为5分钟),就认为该消息是新的。而事实上,攻击者可以事先把伪造的消息准备好,一旦得到票据就马上发出伪造的票据,在这5分钟内是难以检查出来的。 2)认证票据的正确性是基于网络中所有的时钟保持同步,如果主机的时间发生错误,则原来的认证票据就是可能被替换的。因为大多数网络的时间协议是不安全的,所以,分布式计算机系统中这将导致极为严重的问题。 3) Kerberos防止口令猜测攻击的能力很弱,攻击者通过长期监听可以收集大量的票据,经过计算和密钥分析进行口令猜测。当用户选择的口令不够强时,就不能有效地防止口令猜测攻击。 4)Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,而是假设只有合法用户拥有口令字。如果攻击者记录申请回答报文,就易形成代码本攻击。 5)实际上,最严重的攻击是恶意软件攻击。Kerberos认证协议依赖于Kerberos软件的绝对可信,而攻击者可以用执行Kerberos协议和记录用户口令的软件来代替所有用户的Kerberos软件,达到攻击的目的。一般而言,装在不安全计算机内的密码软件都会面临这一问题。 6)在分布式系统中,认证中心星罗棋布,域间的会话密钥数量惊人,密钥的管理、分配、存储都是很严峻的问题。 2 认证协议初步设计 Kerberos在最初设计时避免采用公钥体系,这是因为当时应用公钥体系的某些条件不完全成熟。但是随着时间的推移和技术的进步,目前采用公钥体系的一些条件已经具备或者正在具备,特别是从将来的发展来看,将公钥体系结合进现有的系统中去是一种趋势。从对于Kerberos的局限性分析可以看出,其很多缺陷均是由于单独采用对称密钥技术造成的。如果能将公钥技术有机地融合到Kerberos中去,便能克服其保密性不强,扩展性差等缺点。基于这种考虑,这里设计了一个认证协议。在此协议中使用代表用户访问次数的“共享变量”N来防止重放,
符号表示说明: ◆CA:认证中心; ◆AA:认证代理服务器(Authentication Agent); ◆C:客户端(Client)唯一标识; ◆S:应用服务器(Server)唯一标识; ◆PRIx:X的私钥; ◆PUBx:X的公钥; ◆CERTc:C的证书序列号; ◆(Info)SIGNx:用X的私钥对信息Info签名; ◆(Info)ENCpubx:用X的公钥对Info加密; ◆(Info)K:用对称密钥K对Info加密; ◆Ts:认证代理为用户C访问服务器S而颁发的票据; ◆Nc:用户端C保存的一个整数,记录用户访问次数; ◆Ns:应用服务器S所保存的用户访问次数,用于防止重放; ◆N:协议消息中使用的用于防止重放的整数,其值由Nc决定,在此称之为“同步变量”。 协议具体工作流程如下: 1)票据请求 当客户端C想访问服务器S时,客户程序要求其输入私钥口令,以便将私钥文件解密,如果私钥口令不正确,则禁止用户进一步的操作。如果正确则发送Ticket_req消息到认证代理AA: C->AA:(C,S,N)SIGNc,CERTcTicket_req消息的具体构造过程如下: 用户取得本地所保存的Nc,然后使N=Nc 1,而后对用户标识C和要访问应用服务器S使用C的私钥签名,此签名可以证明自已的身份。为了便于身份的认证,客户端还需要将自已的证书序列号CERTc传送给AA。参量N的使用主要为了保持用户发送信息的新鲜性,当请求发送完之后,为了下一次会话做准备,需要使Nc=Nc 1。 2)票据发放 当认证代理服务器AA收到Ticket_req消息后,首先根据CERTc从CA或本地缓冲取得用户证书,利用CRL完成对证书有效性的检查。如果证书验证通过,则从用户终端C的证书中取得其公钥PUBc,用此公钥来验证C对信息(C,S,N)的签名,如果签名验证失败,则向客户端发送验证失败消息。签名验证通过后,AA找出C要访问的服务器S,检查其是否有对服务器S的信 息的访问权限,如果权限满足,将产生Ticket_rep消息: AA->C:Ts,((Kcs,N)SIGNAA)ENCpubc 其中Ts=((C,S,Kcs,N)SIGNAA)ENCpubs为用户用以访问服务的票据 Ticket_rep消息的构造过程如下: AA首先产生一个会话密钥Kcs,用于构造票据Ts,在Ts中要加入用户C的标识,以说明此票据为用户C所拥有,其他人不能使用;加入S说明此票据的目的是用于C向S发出的访问;而后还要加入N以保证票据的新鲜性;然后将这些信息签名,证明是由AA发出的,其它人不能假冒或篡改;最后用S的公钥将其加密,使得其它人不能查看其中的会话密钥Kcs。 Ts构造完后,还要将会话密钥Kcs通知用户C,与对票据Ts的处理相似,首先将其用AA的私钥签名,然后用C公钥加密以防止其他人查看会话密钥Kcs。为了保持其新鲜性,在其中加入了N。 3)服务请求 当用户收到Ticket_rep消息后,用户C利用自己的私钥解开((Kcs,N)SIGNAA)ENCpubc,用户检查得到的N,看N=Nc是否成立,如果成立,则证明了其新鲜性;如果N<Nc,则认为其为重放数据,并将其抛弃;如果N>Nc,则认为某一方程序出现了错误,则退出。而后,C利用AA的证书验证AA对以上数据的签名,如果成功则说明信息的确是AA发送的,而不是别人伪造的。当以上验证都通过后,C将票据Ts和会话密钥Kcs保存下来,用来向服务器申请服务。向服务器S申请服务的S_req消息如下: C->S:Ts,(C,S,N)Kcs S_req具体构造过程如下: C将自己标识C和服务器标识S以及同步变量N用会话密钥Kcs加密后,连同Ts一起发往服务器S。在这里不能单纯地将Ts直接发往S,因为如果这样的话,非法用户可以在第二步中截获Ts,然后去服务器认证。如果加上(C,S,N)Kcs,则可以说明此消息为拥有Kcs的用户发过来的,而且使用N保证了其新鲜性。 4)服务器身份认证 应用服务器S收到服务请求后,首先是对票据Ts的检查:先用自己的私钥将其解密,查看C和S可以知道此票据是否为用户C发出的,并且是发给自己的;然后取得N,检查N>Ns是否成立,如果成立则通过验证,但如果N<=Ns,则认为此数据为重放数据,予以抛弃,并发回出错消息;以上验证通过后,使用AA的证书验证其签名,如果签名不正确发回出错信息。 对票据本身检查完毕后,还要对票据持有者进行检查:使用Kcs解开(C,S,N)Kcs,检查这里C,S,N是否与票据中的相符,以防止非法攻击者将不同的Ts和(C,S,N)Kcs组合。当验证通过后,应该令Ns=N,以防止重放。 对用户验证通过后,服务器S向客户端C发送s_rep消息证明自己的身份: S->C:(N 1)Kcs 当客户端C收到此消息后,首先利用Kcs将其解开,检查N 1=Nc 1是否成立,如果成立,则认为服务器S合法,因为只有S才能将票据Ts解开来获取Kcs。之后二者便可以利用会话密钥Kcs来进行通话。 3 认证协议设计思想的进一步改进 在Kerberos中,采用了发放票据的方法实现了权限的集中管理,我们也吸取这一思想,用户向认证代理AA证实自己的身份来取得票据。此时,认证代理便可以根据用户的权限的情况来决定是否发给用户票据。当应用服务器S取得服务请求后,S应该可以验证票据的发放者和票据的持有者的身份。 由于采用了公钥体制,用户的身份已经包含在证书中了;利用签名,即可以保证消息来源的真实性、完整性和不可否认性;利用接收方的公钥加密,即可以保证只有接收方才能将数据解开,同时也能保证数据的完整性和机密性;使用各方所拥有的本地所保存的同步变量N,就可以保证消息的新鲜性。 在规模较大、各实体比较分散的网络环境下,实现系统各部分的时间同步可以说非常困难。本系统利用了同步变量N来替换Kerberos中的时间戳。对于同步变量N,其应为位数足够大的整数,在初始使用时,由于客户端C、服务器S本地均没有变量N,我们可以认为其值为null,null小于任何一个整数。当客户端第一次进行传输时需要取N=Nc 1,即N=null 1,这时可以取一个适当范围内的随机数,做为第一次会话中使用的N。当应用服务器S收到N后,便可以为此用户设置本地变量N的值。 在上述协议中,用户每次与服务器交互都必须向认证代理AA申请一次票据,这样显然对用户不方便,而且认证代理AA的负担很大。基于这两点考虑,在上述协议中可以引入票据生存期(lifetime)参量,在生存期内用户能够重复使用票据,而不必再向认证代理AA提出申请。对于票据生存时间,可以由应用服务器自己规定,也可以由认证代理AA在发放票据的时候给出。在此本系统采用了后一种方法。通过分析可以看出,在上述协议中,第一步的签名并不是必须的,因为非法用户根本无法得到会话密钥,也就无法向应用服务器证明自己是证书持有者,所以我们也将其去掉,减少不必要的计算。改进后的协议如下: 1)票据请求(Ticket_req),C->AA:C,S,N,CERTc 2) 票据发放(Ticket_rep),AA-> C:Ts, ((Kcs,N) SIGNAA) ENCpubc Ts=((C,S,Kcs,N,lifetime)SIGNAA)ENCpubs 3)服务请求(S_req),C->S:Ts,(N,ra,seq,opinion)Kcs 4)服务器身份认证(S_rep),S->C:(ra)Kcs(可选由 opinion决定) 符号说明如下:
◆Lifetime:票据生存时间,(从服务器第一次接收服务请求后开始计时); ◆ra:随机会话密钥; ◆seq:服务请求序列号; ◆opinion:用户是否要求对服务器验证,1为要求,0为不要求。 在第二步中,认证代理AA在票据中加入了票据的生存期lifetime,说明此票据的生存时间。 在第三步中,用户C除了向应用服务器S提交最初协议中的内容外,还加入了ra和seq,ra为C生成的一个随机数。在最初的协议中,使用Kcs做为会话密钥,在这里使用ra做为二者会话密钥,因为用户C在票据的生存期内可以重复访问服务器S,处于安全性考虑,每次会话都使用不同的会话密钥ra。为了防止在票据的生存期内攻击者对服务器请求消息的重放,协议中引入了请求的序列号seq。seq从1开始,每次加一。 对于服务器S,除了保留同步变量N外,还要保存用户票据的到期时间Texp,以及用户最后一次服务请求的序号seq。 当服务器S收到用户的请求服务消息后,取得票据中的N有可能出现以下三种情况: 1)N>Ns,说明此请求使用的是新票据,在对请求的所有验证通过后,则使Ns=N,设置过期时间Texp=Tnow lifetime,同时使本地所保存的seq为此次请求的中的seq; 2)N=Ns,说明此请求为重新登录请求,此时检查Tnow>Texp,看票据是否过期,在验证票据的发放者和持有者后,还要检查请求中的序列号seq是否大于本地所保存的上次请求的序列号,如果成立,则将seq更新为此次的请求的序列号,否则认为此消息为重放消息。 3)若N<Ns,则认为此消息为重放消息,将其抛弃。 若opinion=1,则用户要求对服务器验证,此时服务器S需要返回消息4,若opinion=0则服务器不需要返回用户对自己的认证消息4。 在第四步中,服务器将ra加密后返回给用户C,由于ra的随机性,所以攻击者无法冒充,也无法进行重放,这样就验证了此消息的真实性和新鲜性。 4 认证协议的安全性分析 分析此协议的安全性时,我们主要从协议的逻辑性方面来分析,因为像拒绝服务等攻击方式,应该由防火墙或入侵检测系统来阻止。这里我们主要采用了BAN逻辑分析协议的安全性,BAN逻辑是基于知识和信仰的形式逻辑分析方法,它是通过认证协议运行过程中消息的接收和发送,来从最初的信仰逐渐发展为协议运行要达到的目的主体的最终信仰。由于协议证明篇幅较长,在此省略,经推理证明,本认证协议最终得到了一级信仰和二级信仰。 5 总结 本文在认证协议设计时,主要是利用公钥对kerberos进行了改进,并根据实际情况,去掉了一些不需要的步骤。用户的身份认证与授权由认证代理服务器负责,整个协议过程分为票据请求、票据发放、服务请求和服务器身份认证等四个阶段,前两步主要是用户和认证代理进行交互,后两步主要是用户同应用服务器进行交互。用户进行身份认证后,用户和应用服务器之间可以动态地建立一个共享的会话密钥,本认证协议相对kerberos认证协议较为简洁,但通过使用BAN逻辑证明协议的安全性较高,具有一定的应用价值。 参考文献 ⑴Brian Tung.Public Key Cryptography for Initial Authentication in Kerberos.draft-ietf-cat- kerberos-pk-init- 15.txt ⑵Matthew Hur.Public Key Cryptography for Cross-Realm Authentication in Kerberos.draft-ietf-cat-kerberos- pk-cross- 08.txt ⑶ M. Sirbu, J. Chuang.Distributed Authentication in Kerberos Using Public KeyRFC 1510:The Kerberos Network Authentication Service (V5). 1993-09
