【文章內(nèi)容簡介】 一的ID[7]?？诹钫J(rèn)證的安全性僅僅基于用戶口令的保密性，而用戶口令為方便記憶，一般較短而容易猜測，因此該方式不能抵御口令猜測攻擊；其次，口令的明文傳輸使得系統(tǒng)攻擊者很容易遭到竊聽；再者，由于系統(tǒng)以明文形式保存口令，一旦攻擊者獲得口令表，整個(gè)系統(tǒng)的安全性就會受到威脅。但是，由于該種認(rèn)證方式實(shí)施簡單，其普遍應(yīng)用于各種網(wǎng)絡(luò)認(rèn)證中。l 基于生物學(xué)特征的認(rèn)證基于生物學(xué)信息的身份認(rèn)證就是利用用戶所特有的生物學(xué)特征來區(qū)分和確認(rèn)用戶的身份。這些個(gè)人特征是每個(gè)用戶特有的，且在一定時(shí)期內(nèi)不會改變，如指紋、聲音、視網(wǎng)膜、DNA圖案等[8]。由于這些特征不會丟失、被盜或忘記，因此適用于對用戶身份的鑒別和認(rèn)證。但這種方案造價(jià)較高，適用于保密程度很高的場合。l 基于智能卡的認(rèn)證智能卡是由一個(gè)或多個(gè)集成電路芯片組成的集成電路卡。集成電路中的微處理器和存儲器使智能卡具有數(shù)據(jù)存儲和處理的能力。智能卡可存儲用戶的個(gè)人參數(shù)和秘密信息(如IDX、PWX和密鑰)。用戶訪問系統(tǒng)時(shí)必須持有該智能卡?；谥悄芸ǖ恼J(rèn)證方式是一種雙因子的認(rèn)證方式(PIN+智能卡)。只有在用戶正確輸入PIN口令后，才能從智能卡中讀取秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證[9]。這種認(rèn)證方案的安全性依賴于智能卡，由于智能卡本身提供硬件保護(hù)措施和加密算法，因此它既不易被偽造，也不能被直接讀取數(shù)據(jù)，可以利用這些功能加強(qiáng)系統(tǒng)整體的安全性能。但這種方法硬件投入較大，不管是客戶端的智能卡，還是服務(wù)器端的讀卡設(shè)備，造價(jià)都較高，因而限制了它的普遍性。認(rèn)證協(xié)議是認(rèn)證主體通過一系列有序的步驟證明自己身份的一個(gè)過程。認(rèn)證協(xié)議定義了參與認(rèn)證服務(wù)的所有通信方在認(rèn)證過程中需要交換的所有消息格式和這些消息發(fā)生的次序以及消息的語義，采用密碼學(xué)機(jī)制來保證消息的完整性、保密性、消息來源、消息目的、時(shí)間性等。認(rèn)證協(xié)議是認(rèn)證機(jī)制的基礎(chǔ)，認(rèn)證協(xié)議的安全性決定了某種認(rèn)證機(jī)制的優(yōu)劣。 Kerberos認(rèn)證系統(tǒng)Kerberos認(rèn)證協(xié)議是一種應(yīng)用于開放式網(wǎng)絡(luò)環(huán)境、基于可信任第三方的TCP/IP網(wǎng)絡(luò)認(rèn)證協(xié)議，可以在不安全的網(wǎng)絡(luò)環(huán)境中為用戶對遠(yuǎn)程服務(wù)器的訪問提供自動鑒別、數(shù)據(jù)安全性和完整性服務(wù)、以及密鑰管理服務(wù)。該協(xié)議是美國麻省理工學(xué)院（MIT）為其Athena項(xiàng)目開發(fā)的，基于NeedhamSchroeder認(rèn)證模型，使用DES算法進(jìn)行加密和認(rèn)證。至今，Kerberos系統(tǒng)已有五個(gè)版本，其中Version1到Version 3是在實(shí)驗(yàn)室里開發(fā)和測試的。1988年開發(fā)的Version 4是公諸于眾的第一個(gè)版本，它是分布式計(jì)算環(huán)境（DCE）框架的組成部分，已在一些Unix系統(tǒng)中應(yīng)用過。1990年推出Version 5進(jìn)一步對Version 4中的某些安全缺陷做了改進(jìn)，不僅完善了Version 4所采用的基于DES的加密算法，而且還采用獨(dú)立的加密模塊，允許用戶根據(jù)自己的實(shí)際需要選擇其它的加密算法，使得安全性得到了進(jìn)一步的提高。目前Kerberos V5已經(jīng)被IETF正式命名為RFC1510。協(xié)議原理：在Kerberos協(xié)議過程中，發(fā)起認(rèn)證服務(wù)的通信方稱為客戶端，客戶端需要訪問的對象稱為應(yīng)用服務(wù)器。首先是認(rèn)證服務(wù)交換，客戶端從認(rèn)證服務(wù)器（AS）請求一張票據(jù)許可票據(jù)（Ticket Granting Ticket,TGT），作為票據(jù)許可服務(wù)（TicketGranting Server,TGS），2；接著是票據(jù)授權(quán)服務(wù)交換，客戶端向TGS請求與服務(wù)方通信所需要的票據(jù)及會話密鑰，4；最后是客戶端/應(yīng)用服務(wù)器雙向認(rèn)證，客戶端在向應(yīng)用服務(wù)器證實(shí)自己身份的同時(shí)，證實(shí)應(yīng)用服務(wù)器的身份，6。 Kerberos認(rèn)證系統(tǒng)結(jié)構(gòu)及其協(xié)議過程 輕量級目錄訪問協(xié)議在Kerberos域內(nèi)，Kerberos系統(tǒng)可以提供認(rèn)證服務(wù)，系統(tǒng)內(nèi)的訪問權(quán)限和授權(quán)則需要通過其他途徑來解決。輕量級目錄訪問協(xié)議（LDAP）使用基于訪問控制策略語句的訪問控制列表（Access Control List,ACL）來實(shí)現(xiàn)訪問控制與應(yīng)用授權(quán)，不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫和應(yīng)用系統(tǒng)，訪問控制異常靈活和豐富。因此，本次課程設(shè)計(jì)將輕量級目錄訪問協(xié)議（LDAP）與Kerberos認(rèn)證機(jī)制、PAM機(jī)制結(jié)合在一起，共同完成域內(nèi)的用戶認(rèn)證與應(yīng)用授權(quán)。1. 協(xié)議模型LDAP協(xié)議采用的通用協(xié)議模型是一個(gè)由客戶端（Client）發(fā)起操作的客戶端／服務(wù)器（Server）響應(yīng)模型。在此協(xié)議模型中，LDAP客戶端通過TCP/IP的系統(tǒng)平臺和LDAP服務(wù)器保持連接，這樣任何支持TCP/IP的系統(tǒng)平臺都能安裝LDAP客戶端。應(yīng)用程序通過應(yīng)用程序接口（API）調(diào)用把操作要求和參數(shù)發(fā)送給LDAP客戶端，客戶端發(fā)起LDAP請求，通過TCP/IP傳遞給LDAP服務(wù)器；LDAP服務(wù)器必須分配一個(gè)端口來監(jiān)聽客戶端請求，其代替客戶端訪問目錄庫，在目錄上執(zhí)行相應(yīng)的操作，把包含結(jié)果或者錯誤信息的響應(yīng)回傳給客戶端；應(yīng)用程序取回結(jié)果。當(dāng)客戶端不再需要與服務(wù)器通信時(shí)，由客戶端斷開連接。： LDAP協(xié)議模型在LDAPV1與LDAPV2中，服務(wù)器需要追蹤全部參考節(jié)點(diǎn)和執(zhí)行協(xié)議操作，將最終結(jié)果返回給客戶端。為了提高效率，在LDAPV3中，允許服務(wù)器將指向它的服務(wù)器的參考指針返回給客戶端，由客戶端自己去查找。這樣，雖然增加了客戶端軟件的復(fù)雜程度，但是可以有效分擔(dān)服務(wù)器的負(fù)載，提高服務(wù)器的效率和分布式應(yīng)用能力。2. 數(shù)據(jù)模型LDAP是以樹狀方式組織信息，稱為目錄信息樹。DIT的根節(jié)點(diǎn)是一個(gè)沒有實(shí)際意義的虛根，樹上的節(jié)點(diǎn)被稱為條目（Entry），是樹狀信息中的基本數(shù)據(jù)單元。條目的名稱由一個(gè)或多個(gè)屬性組成，稱為相對識別名,此為條目在根節(jié)點(diǎn)下的唯一名稱標(biāo)識，用來區(qū)別與它同級別的條目。從一個(gè)條目到根的直接下級條目的RDN序列組成該條目的識別名（Distinguishe Name,DN），DN是該條目在整個(gè)樹中的唯一名稱標(biāo)識。DN的每一個(gè)RDN對應(yīng)DIT的一個(gè)分支，從Root一直到目錄條目。 LDAP目錄信息樹結(jié)構(gòu)3. LDAP的實(shí)現(xiàn)OpenLDAP ，最新的版本()可以支持LDAPV3協(xié)議的絕大部分特性，包括一些擴(kuò)展功能。OpenLDAP支持模式訪問控制和模式擴(kuò)展，但是不支持動態(tài)模式擴(kuò)展，無法在運(yùn)行時(shí)擴(kuò)展模式，只能通過修改服務(wù)器的配置文件來實(shí)現(xiàn)。OpenLDAP通過配置文件中的referral指令字實(shí)現(xiàn)到其他命名上下文或其他LDAP服務(wù)器的引用。OpenLDAP支持的安全機(jī)制比較全面，支持多種SASL認(rèn)證機(jī)制，也可以利用各種認(rèn)證系統(tǒng)和加密系統(tǒng)實(shí)現(xiàn)安全性較高的目錄服務(wù)。OpenLDAP使用獨(dú)立進(jìn)程slurpd實(shí)現(xiàn)目錄復(fù)制服務(wù)，可以通過結(jié)合slurpd和slapd的配置文件設(shè)計(jì)復(fù)制策略。OpenLDAP也提供自己的訪問控制機(jī)制。主要通過服務(wù)器配置文件中的access指令字實(shí)現(xiàn)，access提供了豐富的語法，支持各種通配符，可以實(shí)現(xiàn)強(qiáng)大的訪問控制功能。本課題利用OpenLDAP目錄服務(wù)存儲用戶信息并實(shí)現(xiàn)基于Kerberos認(rèn)證系統(tǒng)的用戶認(rèn)證，利用其訪問控制實(shí)現(xiàn)應(yīng)用的授權(quán)。3用戶認(rèn)證與授權(quán)方案的研究與實(shí)現(xiàn)本課題基于Linux的PAM機(jī)制、Kerberos認(rèn)證系統(tǒng)、LDAP目錄服務(wù)系統(tǒng)設(shè)計(jì)了域內(nèi)用戶認(rèn)證與應(yīng)用授權(quán)的架構(gòu)，該架構(gòu)運(yùn)行在操作系統(tǒng)為Linux的主機(jī)上，提供基本的Kerberos登錄認(rèn)證服務(wù)，以及Kerberos化的遠(yuǎn)程登錄服務(wù)（ktelnet）、Kerberos化的文件傳輸（kftp）等網(wǎng)絡(luò)應(yīng)用服務(wù)。OpenLDAP目錄服務(wù)系統(tǒng)完成用戶信息的存儲以及相應(yīng)權(quán)限的設(shè)置。本課題編寫了客戶端程序，作為認(rèn)證接口，提供給應(yīng)用程序調(diào)用，實(shí)現(xiàn)用戶的登錄認(rèn)證與應(yīng)用的授權(quán)。：組成模塊的安裝與配置由MIT開發(fā)的Kerberos系統(tǒng)，其源代碼是公開的，并且一直在不間斷的進(jìn)行維護(hù)和更新，因此代碼的穩(wěn)定性以及成熟性都非常好，同時(shí)提供了對多種操作系統(tǒng)的支持。下面介紹其在Linux操作系統(tǒng)下的安裝與配置。首先，使用GNU自動配置工具(autoconf)進(jìn)行安裝。安裝完畢后，系統(tǒng)必須先建立起相關(guān)的Kerberos配置文件，從而使系統(tǒng)能夠到指定的文件里讀取配置信息。它使用幾個(gè)端口進(jìn)行密鑰的分發(fā)和管理，需要在Linux系統(tǒng)的/etc/services文件末尾增加Kerberos使用的端口號。同時(shí)。此時(shí)，還未將Kerberos集成到域名解析服務(wù)器DNS。Kerberos系統(tǒng)使用時(shí)間戳來防止重放攻擊，因此，還需要設(shè)置時(shí)間同步服務(wù)器ntp server，需要在配置文件中添加與其同步的機(jī)器的IP地址，如下：server server 、用于該域的KDC以及管理服務(wù)器的位置、用于當(dāng)前域和Kerberos的缺省設(shè)置以及將主機(jī)名映射到Kerberos域的設(shè)置。，：[libdefaults]default_realm=……[realms]={kdc=admin_server=}……：kdc_ports=750,88[realms]={……kdc_ports=750,88max_life=10h 0m 0smax_renewable_life=7d 0h 0m 0smaster_key_type=des3hmacsha1……}數(shù)據(jù)庫的創(chuàng)建與管理編輯完上述配置文件后，、需要創(chuàng)建并填充存放主信息條的Kerbcros的數(shù)據(jù)庫、創(chuàng)建系統(tǒng)管理員、創(chuàng)建新的密鑰列表、創(chuàng)建新的參與者等。l 創(chuàng)建數(shù)據(jù)庫在主KDC上使用kdb5_util程序來創(chuàng)建數(shù)據(jù)庫和可選的stash文件。stash文件是加密格式駐留在KDC內(nèi)部磁盤上的master key的復(fù)制，它是在kadmind和krb5kdc守護(hù)進(jìn)程啟動之前自動認(rèn)證KDC的。l 創(chuàng)建系統(tǒng)管理員Kerberos基本認(rèn)證系統(tǒng)需要由系統(tǒng)管理員來對主體數(shù)據(jù)庫及密鑰數(shù)據(jù)庫進(jìn)行管理與維護(hù)，創(chuàng)建系統(tǒng)管理員的方法如下：⑴在訪問控制(ACL)文件里增加系統(tǒng)管理員至少需要添加一個(gè)系統(tǒng)管理員的Kerberos主體。,其文件格式為：Kerberosprincipal permission