随着分布式计算及云计算的发展,分布式系统各节点之间的身份认证及数据传输的安全问题日益突出,Kerberos是在各类信息系统中应用最为广泛的身份认证协议,因此通过对Kerberos的分析,研究实现口令恢复及安全加固技术极具应用价值和意义。Kerberos拥有多种实现方法,采用了多种主流的哈希函数及加解密技术,目前较为常用的为AES和RC4版本。本文通过研究该协议的相关RFC文档,分析了该协议的认证流程、口令的生成方式及加密方法;通过Wireshark获取网络间传递的认证数据,使用口令穷举方法,还原加密流程,将结果和抓包得到的加密数据比对,最终得到用户口令;论文还结合拟态防御思想改进了Kerberos认证协议。本文所做的主要工作有以下三项:(1)提出了一种面向Kerberos认证协议的口令恢复的优化算法。通过对加密数据的内容及结构进行分析,发现加密内容中的时间戳每位数值均为0～9,对时间戳部分提前解密,并对时间戳格式进行判断,可以得到当前穷举口令正确与否,而不用使用RFC文档中给出的解密全部加密数据并比对校验和的方法进行判断。该算法基于时间戳校验,使得每步算法循环中的HMAC-MD5算法由3次减少为2次,使得HMAC-MD5-RC4口令恢复算法进入第二轮RC4循环的概率减少为原方案的6万分之一,提高了口令恢复效率,通过实验比对口令恢复性能提升了30%。这部分工作对应本文第三章的内容。(2)在FPGA上实现了Kerberos认证协议的口令恢复算法。其中程序前半部分HMAC-MD5算法采用64轮并行计算的流水线算法进行密钥计算,后半部分RC4算法采用140个算法并行计算,两部分之间采用轮询方案为后半部分分配密钥,并对其中使用到的HMAC-MD5、MD5、RC4算法进行了算法、寄存器等优化。通过实验结果比对,FPGA平台较GPU平台上算法效率提升了30%,较CPU平台上提升了200余倍。这部分工作对应本文第四章的内容。(3)结合拟态防御提出了一种Kerberos认证协议的改进方案。通过不断变换的盐值及哈希函数,使得协议内部结构时刻处于主动变化的过程中,通过负反馈机制赋予协议被动变化属性,使得Kerberos认证协议对外界展示出了一种不确定性,混淆了密文结构,口令猜测攻击难以实施。这部分工作对应本文第五章的内容。