【正文】 協(xié)議的藍(lán)本NeedhamSchroeder認(rèn)證協(xié)議，熟悉其協(xié)議過程、自身缺陷、各次攻擊以及改進(jìn)過程，并基于可信平臺模塊（TPM）對其進(jìn)行改進(jìn)，以增強其安全性。所以希望能夠?qū)⒄J(rèn)證功能從應(yīng)用中獨立出來，單獨進(jìn)行模塊化的設(shè)計、實現(xiàn)和維護(hù)；另一方面，希望為認(rèn)證模塊建立標(biāo)準(zhǔn)API，以便各個應(yīng)用程序能方便的調(diào)用它們所提供的各種功能；同時認(rèn)證機(jī)制對其上層用戶(包括應(yīng)用程序和最終用戶)是透明的。，PAM API是應(yīng)用程序?qū)优cPAM服務(wù)模塊之間聯(lián)系的紐帶，起著承上啟下的作用。認(rèn)證包括信息認(rèn)證和身份認(rèn)證。該機(jī)制中要求至少有一個可信任的第三方能夠同時識別發(fā)送方和接收方。但是，由于該種認(rèn)證方式實施簡單，其普遍應(yīng)用于各種網(wǎng)絡(luò)認(rèn)證中。用戶訪問系統(tǒng)時必須持有該智能卡。 Kerberos認(rèn)證系統(tǒng)Kerberos認(rèn)證協(xié)議是一種應(yīng)用于開放式網(wǎng)絡(luò)環(huán)境、基于可信任第三方的TCP/IP網(wǎng)絡(luò)認(rèn)證協(xié)議，可以在不安全的網(wǎng)絡(luò)環(huán)境中為用戶對遠(yuǎn)程服務(wù)器的訪問提供自動鑒別、數(shù)據(jù)安全性和完整性服務(wù)、以及密鑰管理服務(wù)。 Kerberos認(rèn)證系統(tǒng)結(jié)構(gòu)及其協(xié)議過程 輕量級目錄訪問協(xié)議在Kerberos域內(nèi)，Kerberos系統(tǒng)可以提供認(rèn)證服務(wù)，系統(tǒng)內(nèi)的訪問權(quán)限和授權(quán)則需要通過其他途徑來解決。為了提高效率，在LDAPV3中，允許服務(wù)器將指向它的服務(wù)器的參考指針返回給客戶端，由客戶端自己去查找。OpenLDAP支持模式訪問控制和模式擴(kuò)展，但是不支持動態(tài)模式擴(kuò)展，無法在運行時擴(kuò)展模式，只能通過修改服務(wù)器的配置文件來實現(xiàn)。OpenLDAP目錄服務(wù)系統(tǒng)完成用戶信息的存儲以及相應(yīng)權(quán)限的設(shè)置。此時，還未將Kerberos集成到域名解析服務(wù)器DNS。⑵在Kerberos數(shù)據(jù)庫里增加系統(tǒng)管理員，要增加的管理員主體應(yīng)是ACL文件中的主體。在此context中的數(shù)據(jù)應(yīng)該用krb5_free_context()來釋放。l 證書緩存函數(shù)Krb5_cc_resolve()此函數(shù)用來把字符串格式的名字轉(zhuǎn)化為相應(yīng)的ID，并添寫相關(guān)信息。krb5_rd_req()此函數(shù)用來分析一個KRB_AP_REQ信息，并返回其內(nèi)容。krb5_rd_priv()此函數(shù)用來分析輸入緩沖區(qū)里的KRB_PRIV格式的消息。本課程設(shè)計中，將Kerberos化的ktelnet、ftp服務(wù)分別簡稱為ktelnet、kftp，分析如下：l ktelnet應(yīng)用服務(wù)在ktelnet應(yīng)用服務(wù)系統(tǒng)中，其服務(wù)器端程序始終運行在提供服務(wù)的機(jī)器上，等待來自客戶方的服務(wù)請求。將telnet和ftp等網(wǎng)絡(luò)應(yīng)用服務(wù)Kerberos化后，用戶需要通過kinit命令來獲得Kerberos初始票據(jù)，利用Kerberos作為可信任的第三方認(rèn)證系統(tǒng)，為不安全的網(wǎng)絡(luò)環(huán)境提供了較為可靠的用戶認(rèn)證方式。第二種創(chuàng)建數(shù)據(jù)庫的方法是使用slapd提供的特殊的應(yīng)用程序脫機(jī)執(zhí)行。此處指定的DN和口令總是能夠工作，無論該條目的名稱實際上是否存在，或者無論其口令是什么。如通常使用ldap_search()函數(shù)及相應(yīng)的參數(shù)發(fā)送搜索請求，其函數(shù)返回值能被ldap_first_entry(),ldap_next_entry()等函數(shù)解析。例如，調(diào)用dap_search_s()實現(xiàn)同步查詢，調(diào)用ldap_search()實現(xiàn)異步查詢。命令如下：/usr/sbin/saslpasswd root，之后可以設(shè)置用戶密碼。OpenLDAP定義的訪問控制語法的最基本形式是：Access toWhat[ByWhoAccessControl]其中，What定義訪問的資源，可以是：*：所有目錄項DN：某一個目錄項Filter：某一類目錄項After:每個目錄項的某一個屬性Who定義訪問資源的用戶，可以是：*：所有目錄項Self：目錄項本身用戶Anonymous：匿名用戶User：經(jīng)過認(rèn)證的用戶、或按目錄項屬性確定的用戶等Access定義該用戶具有什么權(quán)限，可以是：None：沒有權(quán)利Auth：必須綁定Compare：比較Search：查找Read：讀Write：寫這些權(quán)限有包含關(guān)系，如果用戶具有Write權(quán)利，其必然具有Auth、Compare、Search、Read權(quán)限。OpenLDAP目錄服務(wù)器通過其訪問控制列表（ACL）驗證用戶是否有權(quán)限訪問所要訪問的網(wǎng)絡(luò)應(yīng)用服務(wù)，若ACL允許用戶訪問該網(wǎng)絡(luò)應(yīng)用，用戶就可以獲得必要的訪問信息，可以實現(xiàn)對該網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問，否則，用戶不能獲得訪問某種網(wǎng)絡(luò)應(yīng)用服務(wù)的權(quán)限。本文詳細(xì)分析了LDAP的協(xié)議模型、數(shù)據(jù)模型、數(shù)據(jù)訪問操作、安全機(jī)制、系統(tǒng)實現(xiàn)等，最終采用開放源代碼的OpenLDAP實現(xiàn)目錄服務(wù)功能。接著在對比分析現(xiàn)有認(rèn)證機(jī)制的基礎(chǔ)上，采用Kerberos認(rèn)證系統(tǒng)作為認(rèn)證策略，分析了Kerberos的系統(tǒng)組成、協(xié)議原理、數(shù)據(jù)庫管理等，最后，對其局限性進(jìn)行了分析并基于可信平臺模塊(TPM)提出了改進(jìn)方案。 客戶端應(yīng)用接口的編寫本課程設(shè)計所編寫的客戶端應(yīng)用接口提供的主要功能為：首先通過kerberos認(rèn)證，接著是一段訪問LDAP目錄服務(wù)的代碼，取到必要的訪問信息，然后可以連接到具有訪問權(quán)限的網(wǎng)絡(luò)應(yīng)用服務(wù)。 實現(xiàn)訪問控制 上述工作完成后，OpenLDAP在這個階段相當(dāng)于一個支持kerberos身份驗證的普通應(yīng)用。SASL認(rèn)證獨立于OpenLDAP服務(wù)器，SASL認(rèn)證的用戶和LDAP的所有用戶都沒有任何關(guān)系，因此，在使用SASL認(rèn)證之前，首先需要在目錄/usr/lib/sasa2/,：root dn “uid=root”,接著設(shè)置SASL root用戶。操作能同步或異步執(zhí)行。l 綁定到目錄，認(rèn)證LDAP服務(wù)器調(diào)用函數(shù)ldap_bind()綁定到DN，連接至目錄服務(wù)器，ldap_bind()友好地支持各種認(rèn)證方式?？梢耘渲媚夸泚頌樵摬僮髦付ㄒ粋€特定的超級管理員用戶。通過這種方法，只需要簡單的啟動slapd，然后使用LDAP客戶端向其中增加條目。進(jìn)入ftp處理程序后，它就要對用戶提供的ftp命令進(jìn)行分析，在完成一系列準(zhǔn)備之后，向服務(wù)器方發(fā)送認(rèn)證信息，得到認(rèn)證后完成用戶提交的遠(yuǎn)程文件傳輸任務(wù)。⑷將網(wǎng)絡(luò)應(yīng)用添加到超級服務(wù)器INETD里，取代原來不安全的應(yīng)用服務(wù)。krb5_rd_safe()此函數(shù)用來分析輸入緩沖區(qū)里的KRB_SAFE格式的消息。krb5_get_in_tkt()客戶利用此函數(shù)獲得使用某種服務(wù)的初始票據(jù)。krb5_parse_name()此函數(shù)用來將主體名稱的單字符串表示方式轉(zhuǎn)化為協(xié)議中所使用的多個組成部分的主體名稱格式。此函數(shù)提供了對存儲在context結(jié)構(gòu)里的數(shù)據(jù)的訪問，而這些數(shù)據(jù)是不能被開發(fā)人員直接訪問的。,其文件格式為：Kerberosprincipal permissions optionaltargetprincipal該文件里的權(quán)限包括:a、d、m、c、i等，并且可以包含匹配符。它使用幾個端口進(jìn)行密鑰的分發(fā)和管理，需要在Linux系統(tǒng)的/etc/services文件末尾增加Kerberos使用的端口號。本課題利用OpenLDAP目錄服務(wù)存儲用戶信息并實現(xiàn)基于Kerberos認(rèn)證系統(tǒng)的用戶認(rèn)證，利用其訪問控制實現(xiàn)應(yīng)用的授權(quán)。DN的每一個RDN對應(yīng)DIT的一個分支，從Root一直到目錄條目。當(dāng)客戶端不再需要與服務(wù)器通信時，由客戶端斷開連接。協(xié)議原理：在Kerberos協(xié)議過程中，發(fā)起認(rèn)證服務(wù)的通信方稱為客戶端，客戶端需要訪問的對象稱為應(yīng)用服務(wù)器。認(rèn)證協(xié)議定義了參與認(rèn)證服務(wù)的所有通信方在認(rèn)證過程中需要交換的所有消息格式和這些消息發(fā)生的次序以及消息的語義，采用密碼學(xué)機(jī)制來保證消息的完整性、保密性、消息來源、消息目的、時間性等。集成電路中的微處理器和存儲器使智能卡具有數(shù)據(jù)存儲和處理的能力?？诹钫J(rèn)證的前提是請求認(rèn)證者必須具有一個在用戶數(shù)據(jù)庫中唯一的ID[7]。如果通信雙方?jīng)]有共享信息，可以采用零知識證明技術(shù)進(jìn)行認(rèn)證。認(rèn)證機(jī)制目前，網(wǎng)絡(luò)通信主要提供五種通用的安全服務(wù)：認(rèn)證服務(wù)、訪問控制服務(wù)、機(jī)密性服務(wù)、完整性服務(wù)和非否認(rèn)性服務(wù)。PAM模塊化的體系結(jié)構(gòu)，可以集成范圍廣泛的認(rèn)證機(jī)制，輕易地做到認(rèn)證應(yīng)需而改變，使得軟件的定制、維持和升級更加輕松。⑶用戶可以調(diào)用課題所編寫的認(rèn)證接口函數(shù)，完成用戶認(rèn)證與應(yīng)用授權(quán)過程。本課程設(shè)計的理論研究情況列舉如下：Linux操作系統(tǒng)相關(guān)的理論知識，包括其組成模塊、內(nèi)部已有的安全機(jī)制、安全缺陷及其安全需求等。當(dāng)用戶訪問某種網(wǎng)絡(luò)服務(wù)時，首先通過Kerberos的認(rèn)證，登錄到LDAP目錄服務(wù)系統(tǒng)，然后LDAP可以通過其ACL驗證用戶是否擁有訪問該服務(wù)的權(quán)限。已有包括微軟、IBM在內(nèi)的幾十家大型軟件公司采用了LDAP技術(shù)。Linux操作系統(tǒng)更好的安全性保證可以由Kerberos來實現(xiàn)[2,3]，目前，基于Linux操作系統(tǒng)，利用Kerberos協(xié)議增強其用戶認(rèn)證的安全性的方案在國內(nèi)外均有提出。其新功能的不斷加入及安全機(jī)制的錯誤配置或錯誤使用，都會帶來很多問題。該系統(tǒng)作為信息安全實踐創(chuàng)新平臺的一部分，可應(yīng)用于信息安全教學(xué)的實踐環(huán)節(jié)，還可以將其應(yīng)用于黨政機(jī)關(guān)辦公自動化與協(xié)同辦公，保護(hù)黨政內(nèi)網(wǎng)的安全。 應(yīng)當(dāng)提交的文件：（1）課程設(shè)計報告。長沙理工大學(xué)《Linux高級操作系統(tǒng)》課程設(shè)計報告基于Linux的用戶認(rèn)證與授權(quán)研究廖正磊學(xué) 院 計算機(jī)與通信工程 專業(yè) 計算機(jī)科學(xué)與技術(shù)班 級 計算機(jī)063班 學(xué)號 200650080309 學(xué)生姓名 廖正磊 指導(dǎo)教師 王艷華 課程成績 完成日期 2009年5月29日課程設(shè)計任務(wù)書計算機(jī)與通信工程學(xué)院 計算機(jī)科學(xué)與技術(shù)專業(yè) 課程名稱網(wǎng)絡(luò)系統(tǒng)課程設(shè)計時間2008～2009學(xué)年第1學(xué)期19～20周學(xué)生姓名廖正磊指導(dǎo)老師王艷華題