【正文】 eros認(rèn)證協(xié)議是目前應(yīng)用最廣泛的、基于可信任第三方的網(wǎng)絡(luò)身份認(rèn)證協(xié)議。這種機(jī)制稱為可插入身份認(rèn)證模塊，即為PAM機(jī)制[1]。但是，目前的Linux版本在安全方面還存在著許多不足，其安全級別低于C2級。最初版本是芬蘭的Linus Torvalds于1991年獨(dú)立開發(fā)的。利用我們編寫的客戶端應(yīng)用接口，用戶可以完成上述認(rèn)證與授權(quán)過程。本文重點(diǎn)分析了Kerberos認(rèn)證系統(tǒng)與LDAP目錄服務(wù)系統(tǒng)的消息格式、數(shù)據(jù)庫管理、安裝配置、配置文件、接口函數(shù)等。（4）學(xué)生應(yīng)抱著嚴(yán)謹(jǐn)認(rèn)真的態(tài)度積極投入到課程設(shè)計過程中。并搭建了Kerberos認(rèn)證系統(tǒng)，實(shí)現(xiàn)了用戶登錄的Kerberos認(rèn)證、網(wǎng)絡(luò)應(yīng)用的Kerberos化。長沙理工大學(xué)《Linux高級操作系統(tǒng)》課程設(shè)計報告基于Linux的用戶認(rèn)證與授權(quán)研究廖正磊學(xué) 院 計算機(jī)與通信工程 專業(yè) 計算機(jī)科學(xué)與技術(shù)班 級 計算機(jī)063班 學(xué)號 200650080309 學(xué)生姓名 廖正磊 指導(dǎo)教師 王艷華 課程成績 完成日期 2009年5月29日課程設(shè)計任務(wù)書計算機(jī)與通信工程學(xué)院 計算機(jī)科學(xué)與技術(shù)專業(yè) 課程名稱網(wǎng)絡(luò)系統(tǒng)課程設(shè)計時間2008～2009學(xué)年第1學(xué)期19～20周學(xué)生姓名廖正磊指導(dǎo)老師王艷華題 目基于Linux的用戶認(rèn)證與授權(quán)研究主要內(nèi)容：本課程設(shè)計主要完成一個基于Linux的用戶認(rèn)證與授權(quán)的研究實(shí)現(xiàn)。要求：（1）要求能獨(dú)立地運(yùn)用程序語言和數(shù)據(jù)庫方面知識，編制一個功能簡單的小型信息模擬系統(tǒng)。 應(yīng)當(dāng)提交的文件：（1）課程設(shè)計報告。利用可信平臺模塊（TPM）對Kerberos協(xié)議及其藍(lán)本Needham—Schroeder協(xié)議進(jìn)行了改進(jìn)，增強(qiáng)了它們的安全性。該系統(tǒng)作為信息安全實(shí)踐創(chuàng)新平臺的一部分，可應(yīng)用于信息安全教學(xué)的實(shí)踐環(huán)節(jié)，還可以將其應(yīng)用于黨政機(jī)關(guān)辦公自動化與協(xié)同辦公，保護(hù)黨政內(nèi)網(wǎng)的安全。由于其免費(fèi)提供源代碼及可執(zhí)行文件，吸引了全世界各地的UNIX行家為其編寫了大量的驅(qū)動程序和應(yīng)用軟件，在短短的幾年時間里，Linux迅速發(fā)展成為一個相當(dāng)完善的操作系統(tǒng)。其新功能的不斷加入及安全機(jī)制的錯誤配置或錯誤使用，都會帶來很多問題。當(dāng)用戶在登錄Linux時，首先要通過系統(tǒng)的PAM驗(yàn)證。Linux操作系統(tǒng)更好的安全性保證可以由Kerberos來實(shí)現(xiàn)[2,3]，目前，基于Linux操作系統(tǒng)，利用Kerberos協(xié)議增強(qiáng)其用戶認(rèn)證的安全性的方案在國內(nèi)外均有提出。同時，伴隨著其軟件的優(yōu)化、升級，Kerberos認(rèn)證系統(tǒng)的應(yīng)用將會越來越廣泛。已有包括微軟、IBM在內(nèi)的幾十家大型軟件公司采用了LDAP技術(shù)。任何認(rèn)證機(jī)制都可以加入到PAM的底層鑒別模塊中，可以被任何基于PAM開發(fā)的程序調(diào)用。當(dāng)用戶訪問某種網(wǎng)絡(luò)服務(wù)時，首先通過Kerberos的認(rèn)證，登錄到LDAP目錄服務(wù)系統(tǒng)，然后LDAP可以通過其ACL驗(yàn)證用戶是否擁有訪問該服務(wù)的權(quán)限。該架構(gòu)運(yùn)行在操作系統(tǒng)為Linux的主機(jī)上，提供基本的Kerberos登錄認(rèn)證服務(wù)，以及Kerberos化的遠(yuǎn)程登錄服務(wù)（ktelnet）、Kerberos化的文件傳輸（kftp）等網(wǎng)絡(luò)應(yīng)用服務(wù)。本課程設(shè)計的理論研究情況列舉如下：Linux操作系統(tǒng)相關(guān)的理論知識，包括其組成模塊、內(nèi)部已有的安全機(jī)制、安全缺陷及其安全需求等。研究輕量級目錄訪問協(xié)議（LDAP），包括其命名模型、協(xié)議原理、數(shù)據(jù)庫創(chuàng)建與管理、安全機(jī)制、應(yīng)用接口函數(shù)，及其如何與Kerberos認(rèn)證系統(tǒng)相結(jié)合等。⑶用戶可以調(diào)用課題所編寫的認(rèn)證接口函數(shù)，完成用戶認(rèn)證與應(yīng)用授權(quán)過程。層次結(jié)構(gòu)：可插入式認(rèn)證模塊(PAM)機(jī)制采用模塊化設(shè)計和插件功能，提供有關(guān)執(zhí)行用戶認(rèn)證與賬號維護(hù)的服務(wù)。PAM模塊化的體系結(jié)構(gòu)，可以集成范圍廣泛的認(rèn)證機(jī)制，輕易地做到認(rèn)證應(yīng)需而改變，使得軟件的定制、維持和升級更加輕松。接著，應(yīng)用程序?qū)拥膮?shù)通過PAMAPI傳遞給底層的PAM服務(wù)模塊。認(rèn)證機(jī)制目前，網(wǎng)絡(luò)通信主要提供五種通用的安全服務(wù)：認(rèn)證服務(wù)、訪問控制服務(wù)、機(jī)密性服務(wù)、完整性服務(wù)和非否認(rèn)性服務(wù)。本課程設(shè)計重點(diǎn)研究Linux的安全機(jī)制用戶身份認(rèn)證機(jī)制，對其認(rèn)證方式與相關(guān)的認(rèn)證協(xié)議進(jìn)行了詳細(xì)的分析。如果通信雙方?jīng)]有共享信息，可以采用零知識證明技術(shù)進(jìn)行認(rèn)證。身份認(rèn)證的本質(zhì)是被認(rèn)證方擁有的一些信息(秘密信息、特殊硬件或特有生物學(xué)信息)，除被認(rèn)證方外，任何網(wǎng)絡(luò)用戶(認(rèn)證權(quán)威除外)都不能偽造。口令認(rèn)證的前提是請求認(rèn)證者必須具有一個在用戶數(shù)據(jù)庫中唯一的ID[7]。這些個人特征是每個用戶特有的，且在一定時期內(nèi)不會改變，如指紋、聲音、視網(wǎng)膜、DNA圖案等[8]。集成電路中的微處理器和存儲器使智能卡具有數(shù)據(jù)存儲和處理的能力。只有在用戶正確輸入PIN口令后，才能從智能卡中讀取秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證[9]。認(rèn)證協(xié)議定義了參與認(rèn)證服務(wù)的所有通信方在認(rèn)證過程中需要交換的所有消息格式和這些消息發(fā)生的次序以及消息的語義，采用密碼學(xué)機(jī)制來保證消息的完整性、保密性、消息來源、消息目的、時間性等。至今，Kerberos系統(tǒng)已有五個版本，其中Version1到Version 3是在實(shí)驗(yàn)室里開發(fā)和測試的。協(xié)議原理：在Kerberos協(xié)議過程中，發(fā)起認(rèn)證服務(wù)的通信方稱為客戶端，客戶端需要訪問的對象稱為應(yīng)用服務(wù)器。因此，本次課程設(shè)計將輕量級目錄訪問協(xié)議（LDAP）與Kerberos認(rèn)證機(jī)制、PAM機(jī)制結(jié)合在一起，共同完成域內(nèi)的用戶認(rèn)證與應(yīng)用授權(quán)。當(dāng)客戶端不再需要與服務(wù)器通信時，由客戶端斷開連接。2. 數(shù)據(jù)模型LDAP是以樹狀方式組織信息，稱為目錄信息樹。DN的每一個RDN對應(yīng)DIT的一個分支，從Root一直到目錄條目。OpenLDAP支持的安全機(jī)制比較全面，支持多種SASL認(rèn)證機(jī)制，也可以利用各種認(rèn)證系統(tǒng)和加密系統(tǒng)實(shí)現(xiàn)安全性較高的目錄服務(wù)。本課題利用OpenLDAP目錄服務(wù)存儲用戶信息并實(shí)現(xiàn)基于Kerberos認(rèn)證系統(tǒng)的用戶認(rèn)證，利用其訪問控制實(shí)現(xiàn)應(yīng)用的授權(quán)。：組成模塊的安裝與配置由MIT開發(fā)的Kerberos系統(tǒng)，其源代碼是公開的，并且一直在不間斷的進(jìn)行維護(hù)和更新，因此代碼的穩(wěn)定性以及成熟性都非常好，同時提供了對多種操作系統(tǒng)的支持。它使用幾個端口進(jìn)行密鑰的分發(fā)和管理，需要在Linux系統(tǒng)的/etc/services文件末尾增加Kerberos使用的端口號。：[libdefaults]default_realm=……[realms]={kdc=admin_server=}……：kdc_ports=750,88[realms]={……kdc_ports=750,88max_life=10h 0m 0smax_renewable_life=7d 0h 0m 0smaster_key_type=des3hmacsha1……}數(shù)據(jù)庫的創(chuàng)建與管理編輯完上述配置文件后，、需要創(chuàng)建并填充存放主信息條的Kerbcros的數(shù)據(jù)庫、創(chuàng)建系統(tǒng)管理員、創(chuàng)建新的密鑰列表、創(chuàng)建新的參與者等。,其文件格式為：Kerberosprincipal permissions optionaltargetprincipal該文件里的權(quán)限包括:a、d、m、c、i等，并且可以包含匹配符。源代碼分析 MIT的kerberos源代碼非常龐大，對其進(jìn)行簡要的分析。此函數(shù)提供了對存儲在context結(jié)構(gòu)里的數(shù)據(jù)的訪問，而這些數(shù)據(jù)是不能被開發(fā)人員直接訪問的。l Krb5_auth_context用來表示一個連接中直接被客戶/服務(wù)器認(rèn)證所涉及各種功能的內(nèi)容，通常包括密鑰區(qū)、地址、序列號、認(rèn)證符和校驗(yàn)類型等信息。krb5_parse_name()此函數(shù)用來將主體名稱的單字符串表示方式轉(zhuǎn)化為協(xié)議中所使用的多個組成部分的主體名稱格式。krb5_ccinitialize()此函數(shù)用來生成或刷新證書緩存。krb5_get_in_tkt()客戶利用此函數(shù)獲得使用某種服務(wù)的初始票據(jù)。krb5_rd_rep()此函數(shù)用來分析并解密一個KRB_AP_REP信息，調(diào)用者應(yīng)該再調(diào)用krb5_free_ap_rep_enc_part()來釋放此結(jié)構(gòu)。krb5_rd_safe()此函數(shù)用來分析輸入緩沖區(qū)里的KRB_SAFE格式的消息。但由于原有的應(yīng)用系統(tǒng)并不能直接適用于Kerberos環(huán)境，其客戶端和服務(wù)器端的軟件都要做一定的修改，使之可以在成功建立TCP連接后能夠交換加密的認(rèn)證信息。⑷將網(wǎng)絡(luò)應(yīng)用添加到超級服務(wù)器INETD里，取代原來不安全的應(yīng)用服務(wù)。為接受服務(wù)請求，服務(wù)器端應(yīng)用程序?qū)?zhí)行下述動作：⑴準(zhǔn)備好Keytab文件，并生成自身主體信息；⑵等待來自客戶方的服務(wù)請求；⑶接受客戶端的連接請求，與客戶建立初始的TCP網(wǎng)絡(luò)連接；⑷接收并處理來自客戶方的Kerberos認(rèn)證信息；⑸向客戶發(fā)送認(rèn)證響應(yīng)信息。進(jìn)入ftp處理程序后，它就要對用戶提供的ftp命令進(jìn)行分析，在完成一系列準(zhǔn)備之后，向服務(wù)器方發(fā)送認(rèn)證信息，得到認(rèn)證后完成用戶提交的遠(yuǎn)程文件傳輸任務(wù)。版本2之后的OpenLDAP使用了pthread庫，pthread庫是支持搶先式調(diào)度的線程庫。通過這種方法，只需要簡單的啟動slapd，然后使用LDAP客戶端向其中增加條目。使用LDAP客戶端增加條目之前，：suffix〈dn〉該選項(xiàng)定義了該數(shù)據(jù)庫中保存的條目。可以配置目錄來為該操作指定一個特定的超級管理員用戶。比如，要使用ldapadd工具增加一個組織條目和一個組織角色條目，：Organization for Example Corporationdn:dc=secoa,dc=objectClass:dcObjectobjectClass:organizationdc:secoao:Corporation