【文章內(nèi)容簡介】 一的ID[7]。口令認證的安全性僅僅基于用戶口令的保密性，而用戶口令為方便記憶，一般較短而容易猜測，因此該方式不能抵御口令猜測攻擊；其次，口令的明文傳輸使得系統(tǒng)攻擊者很容易遭到竊聽；再者，由于系統(tǒng)以明文形式保存口令，一旦攻擊者獲得口令表，整個系統(tǒng)的安全性就會受到威脅。但是，由于該種認證方式實施簡單，其普遍應(yīng)用于各種網(wǎng)絡(luò)認證中。l 基于生物學特征的認證基于生物學信息的身份認證就是利用用戶所特有的生物學特征來區(qū)分和確認用戶的身份。這些個人特征是每個用戶特有的，且在一定時期內(nèi)不會改變，如指紋、聲音、視網(wǎng)膜、DNA圖案等[8]。由于這些特征不會丟失、被盜或忘記，因此適用于對用戶身份的鑒別和認證。但這種方案造價較高，適用于保密程度很高的場合。l 基于智能卡的認證智能卡是由一個或多個集成電路芯片組成的集成電路卡。集成電路中的微處理器和存儲器使智能卡具有數(shù)據(jù)存儲和處理的能力。智能卡可存儲用戶的個人參數(shù)和秘密信息(如IDX、PWX和密鑰)。用戶訪問系統(tǒng)時必須持有該智能卡?；谥悄芸ǖ恼J證方式是一種雙因子的認證方式(PIN+智能卡)。只有在用戶正確輸入PIN口令后，才能從智能卡中讀取秘密信息，進而利用該秘密信息與主機之間進行認證[9]。這種認證方案的安全性依賴于智能卡，由于智能卡本身提供硬件保護措施和加密算法，因此它既不易被偽造，也不能被直接讀取數(shù)據(jù)，可以利用這些功能加強系統(tǒng)整體的安全性能。但這種方法硬件投入較大，不管是客戶端的智能卡，還是服務(wù)器端的讀卡設(shè)備，造價都較高，因而限制了它的普遍性。認證協(xié)議是認證主體通過一系列有序的步驟證明自己身份的一個過程。認證協(xié)議定義了參與認證服務(wù)的所有通信方在認證過程中需要交換的所有消息格式和這些消息發(fā)生的次序以及消息的語義，采用密碼學機制來保證消息的完整性、保密性、消息來源、消息目的、時間性等。認證協(xié)議是認證機制的基礎(chǔ)，認證協(xié)議的安全性決定了某種認證機制的優(yōu)劣。 Kerberos認證系統(tǒng)Kerberos認證協(xié)議是一種應(yīng)用于開放式網(wǎng)絡(luò)環(huán)境、基于可信任第三方的TCP/IP網(wǎng)絡(luò)認證協(xié)議，可以在不安全的網(wǎng)絡(luò)環(huán)境中為用戶對遠程服務(wù)器的訪問提供自動鑒別、數(shù)據(jù)安全性和完整性服務(wù)、以及密鑰管理服務(wù)。該協(xié)議是美國麻省理工學院（MIT）為其Athena項目開發(fā)的，基于NeedhamSchroeder認證模型，使用DES算法進行加密和認證。至今，Kerberos系統(tǒng)已有五個版本，其中Version1到Version 3是在實驗室里開發(fā)和測試的。1988年開發(fā)的Version 4是公諸于眾的第一個版本，它是分布式計算環(huán)境（DCE）框架的組成部分，已在一些Unix系統(tǒng)中應(yīng)用過。1990年推出Version 5進一步對Version 4中的某些安全缺陷做了改進，不僅完善了Version 4所采用的基于DES的加密算法，而且還采用獨立的加密模塊，允許用戶根據(jù)自己的實際需要選擇其它的加密算法，使得安全性得到了進一步的提高。目前Kerberos V5已經(jīng)被IETF正式命名為RFC1510。協(xié)議原理：在Kerberos協(xié)議過程中，發(fā)起認證服務(wù)的通信方稱為客戶端，客戶端需要訪問的對象稱為應(yīng)用服務(wù)器。首先是認證服務(wù)交換，客戶端從認證服務(wù)器（AS）請求一張票據(jù)許可票據(jù)（Ticket Granting Ticket,TGT），作為票據(jù)許可服務(wù)（TicketGranting Server,TGS），2；接著是票據(jù)授權(quán)服務(wù)交換，客戶端向TGS請求與服務(wù)方通信所需要的票據(jù)及會話密鑰，4；最后是客戶端/應(yīng)用服務(wù)器雙向認證，客戶端在向應(yīng)用服務(wù)器證實自己身份的同時，證實應(yīng)用服務(wù)器的身份，6。 Kerberos認證系統(tǒng)結(jié)構(gòu)及其協(xié)議過程 輕量級目錄訪問協(xié)議在Kerberos域內(nèi)，Kerberos系統(tǒng)可以提供認證服務(wù)，系統(tǒng)內(nèi)的訪問權(quán)限和授權(quán)則需要通過其他途徑來解決。輕量級目錄訪問協(xié)議（LDAP）使用基于訪問控制策略語句的訪問控制列表（Access Control List,ACL）來實現(xiàn)訪問控制與應(yīng)用授權(quán)，不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫和應(yīng)用系統(tǒng)，訪問控制異常靈活和豐富。因此，本次課程設(shè)計將輕量級目錄訪問協(xié)議（LDAP）與Kerberos認證機制、PAM機制結(jié)合在一起，共同完成域內(nèi)的用戶認證與應(yīng)用授權(quán)。1. 協(xié)議模型LDAP協(xié)議采用的通用協(xié)議模型是一個由客戶端（Client）發(fā)起操作的客戶端／服務(wù)器（Server）響應(yīng)模型。在此協(xié)議模型中，LDAP客戶端通過TCP/IP的系統(tǒng)平臺和LDAP服務(wù)器保持連接，這樣任何支持TCP/IP的系統(tǒng)平臺都能安裝LDAP客戶端。應(yīng)用程序通過應(yīng)用程序接口（API）調(diào)用把操作要求和參數(shù)發(fā)送給LDAP客戶端，客戶端發(fā)起LDAP請求，通過TCP/IP傳遞給LDAP服務(wù)器；LDAP服務(wù)器必須分配一個端口來監(jiān)聽客戶端請求，其代替客戶端訪問目錄庫，在目錄上執(zhí)行相應(yīng)的操作，把包含結(jié)果或者錯誤信息的響應(yīng)回傳給客戶端；應(yīng)用程序取回結(jié)果。當客戶端不再需要與服務(wù)器通信時，由客戶端斷開連接。： LDAP協(xié)議模型在LDAPV1與LDAPV2中，服務(wù)器需要追蹤全部參考節(jié)點和執(zhí)行協(xié)議操作，將最終結(jié)果返回給客戶端。為了提高效率，在LDAPV3中，允許服務(wù)器將指向它的服務(wù)器的參考指針返回給客戶端，由客戶端自己去查找。這樣，雖然增加了客戶端軟件的復(fù)雜程度，但是可以有效分擔服務(wù)器的負載，提高服務(wù)器的效率和分布式應(yīng)用能力。2. 數(shù)據(jù)模型LDAP是以樹狀方式組織信息，稱為目錄信息樹。DIT的根節(jié)點是一個沒有實際意義的虛根，樹上的節(jié)點被稱為條目（Entry），是樹狀信息中的基本數(shù)據(jù)單元。條目的名稱由一個或多個屬性組成，稱為相對識別名,此為條目在根節(jié)點下的唯一名稱標識，用來區(qū)別與它同級別的條目。從一個條目到根的直接下級條目的RDN序列組成該條目的識別名（Distinguishe Name,DN），DN是該條目在整個樹中的唯一名稱標識。DN的每一個RDN對應(yīng)DIT的一個分支，從Root一直到目錄條目。 LDAP目錄信息樹結(jié)構(gòu)3. LDAP的實現(xiàn)OpenLDAP ，最新的版本()可以支持LDAPV3協(xié)議的絕大部分特性，包括一些擴展功能。OpenLDAP支持模式訪問控制和模式擴展，但是不支持動態(tài)模式擴展，無法在運行時擴展模式，只能通過修改服務(wù)器的配置文件來實現(xiàn)。OpenLDAP通過配置文件中的referral指令字實現(xiàn)到其他命名上下文或其他LDAP服務(wù)器的引用。OpenLDAP支持的安全機制比較全面，支持多種SASL認證機制，也可以利用各種認證系統(tǒng)和加密系統(tǒng)實現(xiàn)安全性較高的目錄服務(wù)。OpenLDAP使用獨立進程slurpd實現(xiàn)目錄復(fù)制服務(wù)，可以通過結(jié)合slurpd和slapd的配置文件設(shè)計復(fù)制策略。OpenLDAP也提供自己的訪問控制機制。主要通過服務(wù)器配置文件中的access指令字實現(xiàn)，access提供了豐富的語法，支持各種通配符，可以實現(xiàn)強大的訪問控制功能。本課題利用OpenLDAP目錄服務(wù)存儲用戶信息并實現(xiàn)基于Kerberos認證系統(tǒng)的用戶認證，利用其訪問控制實現(xiàn)應(yīng)用的授權(quán)。3用戶認證與授權(quán)方案的研究與實現(xiàn)本課題基于Linux的PAM機制、Kerberos認證系統(tǒng)、LDAP目錄服務(wù)系統(tǒng)設(shè)計了域內(nèi)用戶認證與應(yīng)用授權(quán)的架構(gòu)，該架構(gòu)運行在操作系統(tǒng)為Linux的主機上，提供基本的Kerberos登錄認證服務(wù)，以及Kerberos化的遠程登錄服務(wù)（ktelnet）、Kerberos化的文件傳輸（kftp）等網(wǎng)絡(luò)應(yīng)用服務(wù)。OpenLDAP目錄服務(wù)系統(tǒng)完成用戶信息的存儲以及相應(yīng)權(quán)限的設(shè)置。本課題編寫了客戶端程序，作為認證接口，提供給應(yīng)用程序調(diào)用，實現(xiàn)用戶的登錄認證與應(yīng)用的授權(quán)。：組成模塊的安裝與配置由MIT開發(fā)的Kerberos系統(tǒng)，其源代碼是公開的，并且一直在不間斷的進行維護和更新，因此代碼的穩(wěn)定性以及成熟性都非常好，同時提供了對多種操作系統(tǒng)的支持。下面介紹其在Linux操作系統(tǒng)下的安裝與配置。首先，使用GNU自動配置工具(autoconf)進行安裝。安裝完畢后，系統(tǒng)必須先建立起相關(guān)的Kerberos配置文件，從而使系統(tǒng)能夠到指定的文件里讀取配置信息。它使用幾個端口進行密鑰的分發(fā)和管理，需要在Linux系統(tǒng)的/etc/services文件末尾增加Kerberos使用的端口號。同時。此時，還未將Kerberos集成到域名解析服務(wù)器DNS。Kerberos系統(tǒng)使用時間戳來防止重放攻擊，因此，還需要設(shè)置時間同步服務(wù)器ntp server，需要在配置文件中添加與其同步的機器的IP地址，如下：server server 、用于該域的KDC以及管理服務(wù)器的位置、用于當前域和Kerberos的缺省設(shè)置以及將主機名映射到Kerberos域的設(shè)置。，：[libdefaults]default_realm=……[realms]={kdc=admin_server=}……：kdc_ports=750,88[realms]={……kdc_ports=750,88max_life=10h 0m 0smax_renewable_life=7d 0h 0m 0smaster_key_type=des3hmacsha1……}數(shù)據(jù)庫的創(chuàng)建與管理編輯完上述配置文件后，、需要創(chuàng)建并填充存放主信息條的Kerbcros的數(shù)據(jù)庫、創(chuàng)建系統(tǒng)管理員、創(chuàng)建新的密鑰列表、創(chuàng)建新的參與者等。l 創(chuàng)建數(shù)據(jù)庫在主KDC上使用kdb5_util程序來創(chuàng)建數(shù)據(jù)庫和可選的stash文件。stash文件是加密格式駐留在KDC內(nèi)部磁盤上的master key的復(fù)制，它是在kadmind和krb5kdc守護進程啟動之前自動認證KDC的。l 創(chuàng)建系統(tǒng)管理員Kerberos基本認證系統(tǒng)需要由系統(tǒng)管理員來對主體數(shù)據(jù)庫及密鑰數(shù)據(jù)庫進行管理與維護，創(chuàng)建系統(tǒng)管理員的方法如下：⑴在訪問控制(ACL)文件里增加系統(tǒng)管理員至少需要添加一個系統(tǒng)管理員的Kerberos主體。,其文件格式為：Kerberosprincipal permission