【正文】 由于時(shí)間倉(cāng)促以及自己水平有限，該課程設(shè)計(jì)尚有一些問(wèn)題有待深入：本課題的研究和系統(tǒng)的架構(gòu)都是基于Kerberos的域內(nèi)認(rèn)證，對(duì)于Kerberos的跨域認(rèn)證研究較少，并未具體實(shí)現(xiàn)；本課題所建立的OpenLDAP的網(wǎng)絡(luò)應(yīng)用服務(wù)的信息模型、創(chuàng)建的訪問(wèn)控制列表較為簡(jiǎn)單，用戶授權(quán)機(jī)制還需要進(jìn)一步的擴(kuò)展；基于Linux的用戶認(rèn)證與應(yīng)用授權(quán)研究已取得了初步的成果，其關(guān)鍵技術(shù)及難點(diǎn)問(wèn)題還需要不斷的探索。本次課程設(shè)計(jì)最終完成了用戶認(rèn)證與應(yīng)用授權(quán)的整個(gè)架構(gòu)。分析了常用的認(rèn)證方式與基于可信第三方的認(rèn)證協(xié)議，并利用可信平臺(tái)模塊TPM對(duì)NeedhamSchroeder認(rèn)證協(xié)議進(jìn)行了改進(jìn)，增強(qiáng)了其安全性。這樣，利用本課程設(shè)計(jì)所架構(gòu)的系統(tǒng)，可以統(tǒng)一管理用戶對(duì)各種應(yīng)用的訪問(wèn)，實(shí)現(xiàn)了用戶的認(rèn)證與應(yīng)用的授權(quán)。這樣就可以實(shí)現(xiàn)通過(guò)LDAP統(tǒng)一管理用戶對(duì)各種網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問(wèn)，從而實(shí)現(xiàn)用戶的認(rèn)證與應(yīng)用的授權(quán)。將其它的網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問(wèn)信息，比如ip地址，端口號(hào)之類記錄在LDAP目錄服務(wù)器的數(shù)據(jù)庫(kù)中，同時(shí)用戶的個(gè)人信息也記錄在LDAP數(shù)據(jù)庫(kù)，這樣，就可以通過(guò)OpenLDAP的訪問(wèn)控制列表(ACL)來(lái)配置哪些用戶可以訪問(wèn)哪些服務(wù)。如果ACL允許用戶訪問(wèn)該應(yīng)用，那么用戶就具有了訪問(wèn)該網(wǎng)絡(luò)應(yīng)用的權(quán)限，反之，LDAP會(huì)拒絕用戶的訪問(wèn)。用戶如果想要訪問(wèn)某種未進(jìn)行Kerberos化的某種網(wǎng)絡(luò)應(yīng)用服務(wù)，過(guò)程如下：支持SASL的客戶端程序首先通過(guò)kerberos認(rèn)證，將獲取一個(gè)帶有該用戶的ticket granting ticket(TGT)的“l(fā)dap”服務(wù)ticket，并且該ticket匹配OpenLDAP服務(wù)器的主機(jī)名。：圖 Kerberos認(rèn)證系統(tǒng)與OpenLDAP的結(jié)合 利用SASL認(rèn)證框架，可以將Kerberos認(rèn)證系統(tǒng)與LDAP目錄服務(wù)系統(tǒng)結(jié)合在一起。所有同步操作返回一個(gè)操作結(jié)果的指示（例如，操作成功返回LDAP_SUCCESS，操作失敗返回錯(cuò)誤代碼）。此外，LDAP操作還解釋出現(xiàn)的錯(cuò)誤。l 關(guān)閉連接調(diào)用函數(shù)ldap_unbind()即關(guān)閉本次連接。一個(gè)應(yīng)用調(diào)用LDAPAPI一般有以下四步：l 打開(kāi)一個(gè)到LDAP服務(wù)器的連接調(diào)用ldap_init()函數(shù)創(chuàng)建一個(gè)到服務(wù)器的連接，該函數(shù)返回一個(gè)連接句柄，允許立即建立多聯(lián)接。最后，還應(yīng)該確保數(shù)據(jù)庫(kù)定義包含了需要的索引定義：index{attrlist|default}[pres,eq,approx,sub,none]上述工作完成后，啟動(dòng)slapd，使用LDAP客戶軟件連接到LDAP，開(kāi)始增加條目。接著配置slapd，以便可以以具有增加條目權(quán)限的用戶身份連接。本課題采用第一種方法創(chuàng)建數(shù)據(jù)庫(kù)。： OpenLDAP的體系結(jié)構(gòu)數(shù)據(jù)庫(kù)的創(chuàng)建與管理 首先，可以聯(lián)機(jī)使用LDAP來(lái)創(chuàng)建數(shù)據(jù)庫(kù)。組成模塊的安裝與配置由GUN開(kāi)發(fā)的OpenLDAP軟件包，其源代碼是公開(kāi)的，可以支持LDAP V3的絕大部分特性，包括一些擴(kuò)展功能。當(dāng)用戶鍵入krb5ftp命令后，其客戶端程序就開(kāi)始在本地系統(tǒng)上運(yùn)行。當(dāng)用戶鍵入krb5telnet后，客戶端程序就開(kāi)始在本地系統(tǒng)上運(yùn)行，執(zhí)行下述動(dòng)作：⑴根據(jù)提供給telnet命令的遠(yuǎn)程主機(jī)地址參數(shù)獲得相應(yīng)服務(wù)器主體信息；⑵獲得用戶的Kerberos證書(shū)文件信息及訪問(wèn)ktelnet的票據(jù)信息；⑶創(chuàng)建一個(gè)與遠(yuǎn)程登錄服務(wù)器的TCP網(wǎng)絡(luò)連接；⑷將Kerberos認(rèn)證信息傳送給服務(wù)方；⑸接收來(lái)自服務(wù)方的認(rèn)證應(yīng)答信息，認(rèn)證成功則繼續(xù)正常的會(huì)話。⑶在網(wǎng)絡(luò)應(yīng)用服務(wù)器運(yùn)行的主機(jī)上保留一份root只讀的密鑰文件。網(wǎng)絡(luò)應(yīng)用的Kerberos化Kerberos作為可信任的第三方認(rèn)證系統(tǒng)，必須和其它應(yīng)用服務(wù)系統(tǒng)相結(jié)合才能發(fā)揮作用[9]。krb5_mk_safe()此函數(shù)用來(lái)生成一個(gè)KRB_SAFE格式的消息。krb5_mk_rep()此函數(shù)用來(lái)格式化并加密一個(gè)KRB_AP_REP信息。l 其它全局性應(yīng)用函數(shù)krb5_get_credentials()此函數(shù)為使用證書(shū)緩存或TGS交換來(lái)獲得一張額外的票據(jù)。krb5_cc_default()此函數(shù)用來(lái)獲取缺省證書(shū)文件的相關(guān)信息。l 主體訪問(wèn)函數(shù)主體定義了一個(gè)參與一次網(wǎng)絡(luò)通信的唯一命名的客戶或服務(wù)器實(shí)體，如下的兩個(gè)函數(shù)允許用來(lái)生成、修改及訪問(wèn)主體部分信息。krb5_free_context(/*IN/OUT*/krb5_context context)此函數(shù)用來(lái)釋放通過(guò)krb5_init_context()返回的context。在這個(gè)結(jié)構(gòu)里存儲(chǔ)全局參數(shù)，包括缺省域、缺省加密類型、缺省配置文件等。生成系統(tǒng)管理員主體admin/admin::addprinc admin/admin。l 創(chuàng)建系統(tǒng)管理員Kerberos基本認(rèn)證系統(tǒng)需要由系統(tǒng)管理員來(lái)對(duì)主體數(shù)據(jù)庫(kù)及密鑰數(shù)據(jù)庫(kù)進(jìn)行管理與維護(hù)，創(chuàng)建系統(tǒng)管理員的方法如下：⑴在訪問(wèn)控制(ACL)文件里增加系統(tǒng)管理員至少需要添加一個(gè)系統(tǒng)管理員的Kerberos主體。Kerberos系統(tǒng)使用時(shí)間戳來(lái)防止重放攻擊，因此，還需要設(shè)置時(shí)間同步服務(wù)器ntp server，需要在配置文件中添加與其同步的機(jī)器的IP地址，如下：server server 、用于該域的KDC以及管理服務(wù)器的位置、用于當(dāng)前域和Kerberos的缺省設(shè)置以及將主機(jī)名映射到Kerberos域的設(shè)置。安裝完畢后，系統(tǒng)必須先建立起相關(guān)的Kerberos配置文件，從而使系統(tǒng)能夠到指定的文件里讀取配置信息。本課題編寫(xiě)了客戶端程序，作為認(rèn)證接口，提供給應(yīng)用程序調(diào)用，實(shí)現(xiàn)用戶的登錄認(rèn)證與應(yīng)用的授權(quán)。主要通過(guò)服務(wù)器配置文件中的access指令字實(shí)現(xiàn)，access提供了豐富的語(yǔ)法，支持各種通配符，可以實(shí)現(xiàn)強(qiáng)大的訪問(wèn)控制功能。OpenLDAP通過(guò)配置文件中的referral指令字實(shí)現(xiàn)到其他命名上下文或其他LDAP服務(wù)器的引用。從一個(gè)條目到根的直接下級(jí)條目的RDN序列組成該條目的識(shí)別名（Distinguishe Name,DN），DN是該條目在整個(gè)樹(shù)中的唯一名稱標(biāo)識(shí)。這樣，雖然增加了客戶端軟件的復(fù)雜程度，但是可以有效分擔(dān)服務(wù)器的負(fù)載，提高服務(wù)器的效率和分布式應(yīng)用能力。應(yīng)用程序通過(guò)應(yīng)用程序接口（API）調(diào)用把操作要求和參數(shù)發(fā)送給LDAP客戶端，客戶端發(fā)起LDAP請(qǐng)求，通過(guò)TCP/IP傳遞給LDAP服務(wù)器；LDAP服務(wù)器必須分配一個(gè)端口來(lái)監(jiān)聽(tīng)客戶端請(qǐng)求，其代替客戶端訪問(wèn)目錄庫(kù)，在目錄上執(zhí)行相應(yīng)的操作，把包含結(jié)果或者錯(cuò)誤信息的響應(yīng)回傳給客戶端；應(yīng)用程序取回結(jié)果。輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP）使用基于訪問(wèn)控制策略語(yǔ)句的訪問(wèn)控制列表（Access Control List,ACL）來(lái)實(shí)現(xiàn)訪問(wèn)控制與應(yīng)用授權(quán)，不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)，訪問(wèn)控制異常靈活和豐富。目前Kerberos V5已經(jīng)被IETF正式命名為RFC1510。該協(xié)議是美國(guó)麻省理工學(xué)院（MIT）為其Athena項(xiàng)目開(kāi)發(fā)的，基于NeedhamSchroeder認(rèn)證模型，使用DES算法進(jìn)行加密和認(rèn)證。認(rèn)證協(xié)議是認(rèn)證主體通過(guò)一系列有序的步驟證明自己身份的一個(gè)過(guò)程?；谥悄芸ǖ恼J(rèn)證方式是一種雙因子的認(rèn)證方式(PIN+智能卡)。l 基于智能卡的認(rèn)證智能卡是由一個(gè)或多個(gè)集成電路芯片組成的集成電路卡。l 基于生物學(xué)特征的認(rèn)證基于生物學(xué)信息的身份認(rèn)證就是利用用戶所特有的生物學(xué)特征來(lái)區(qū)分和確認(rèn)用戶的身份。系統(tǒng)通過(guò)核對(duì)用戶輸入的用戶名和口令與系統(tǒng)內(nèi)已有的合法用戶名和口令是否匹配來(lái)驗(yàn)證用戶的身份?？尚诺谌阶C實(shí)發(fā)送方的身份，并回送一個(gè)證明信息（證書(shū)或是票據(jù)），從而保證發(fā)送方身份的真實(shí)性。該機(jī)制比較簡(jiǎn)單，可以利用雙方的共享信息，如口令等進(jìn)行身份的認(rèn)證。信息認(rèn)證保證了消息源的可靠性和消息在傳輸過(guò)程中的完整性；身份認(rèn)證可以使通信雙方相互驗(yàn)證身份，以保證通信雙方的真實(shí)性。： PAM工作流程，PAM機(jī)制在運(yùn)行時(shí)，按照?qǐng)D中所標(biāo)示的數(shù)字，依次完成如下步驟：l 用戶調(diào)用某個(gè)應(yīng)用程序，以得到某種服務(wù)；l PAM應(yīng)用程序調(diào)用后臺(tái)的PAM庫(kù)進(jìn)行認(rèn)證工作；l PAM庫(kù)在/etc/， 該文件告訴PAM，此應(yīng)用程序使用何種認(rèn)證機(jī)制；l PAM庫(kù)裝載所需的認(rèn)證模塊；l 上述裝載的認(rèn)證模塊讓PAM與應(yīng)用程序中的會(huì)話函數(shù)進(jìn)行通信；l 會(huì)話函數(shù)向用戶要求有關(guān)信息；l 用戶對(duì)這些要求做出回應(yīng)，提供所需信息；l PAM認(rèn)證模塊通過(guò)PAM庫(kù)將認(rèn)證信息提供給應(yīng)用程序；l 認(rèn)證完成后，應(yīng)用程序做出兩種選擇：將所需權(quán)限賦予用戶，并通知用戶；l 若認(rèn)證失敗，也通知用戶。系統(tǒng)管理員通過(guò)PAM配置文件來(lái)制定不同應(yīng)用程序的不同認(rèn)證策略，當(dāng)應(yīng)用程序調(diào)用PAM API時(shí)，加載相應(yīng)的PAM服務(wù)模塊。應(yīng)用程序只需調(diào)用應(yīng)用編程接口API即可方便的使用PAM提供的各種認(rèn)證功能，而不必了解太多的底層細(xì)節(jié)。應(yīng)此需求，1995年，SUN的研究人員提出可插入式認(rèn)證模塊，目前其已逐漸成為各種UNIX系統(tǒng)上包括Linux操作系統(tǒng)的認(rèn)證方案。⑵作為OpenLDAP目錄服務(wù)系統(tǒng)的客戶端用戶可以對(duì)目錄信息進(jìn)行管理與訪問(wèn)。研究Kerberos認(rèn)證系統(tǒng)，包括其系統(tǒng)組成、協(xié)議原理、數(shù)據(jù)庫(kù)創(chuàng)建與管理、應(yīng)用接口函數(shù)等，并研究如何將其配置在所選操作系統(tǒng)“華擂Linux”的PAM模塊中。根據(jù)所提出的架構(gòu)，在“華鐳Linux操作系統(tǒng)”下配置各個(gè)相關(guān)模塊，同時(shí)編程實(shí)現(xiàn)客戶端用戶認(rèn)證的接口函數(shù)，使得用戶可以調(diào)用該接口函數(shù)完成登錄某種網(wǎng)絡(luò)應(yīng)用服務(wù)的認(rèn)證。 本課程設(shè)計(jì)在深入理論研究的基礎(chǔ)上，基于Linux的PAM機(jī)制、Kerberos認(rèn)證系統(tǒng)、LDAP目錄服務(wù)系統(tǒng)設(shè)計(jì)了域內(nèi)用戶認(rèn)證與應(yīng)用授權(quán)的架構(gòu)。本課程設(shè)計(jì)提出的用戶認(rèn)證與應(yīng)用授權(quán)系統(tǒng)，集成了用戶與各種網(wǎng)絡(luò)應(yīng)用服務(wù)的資源和信息，可以方便有效的實(shí)現(xiàn)對(duì)用戶的統(tǒng)一管理。用戶在登錄Linux操作系統(tǒng)時(shí)，首先要通過(guò)系統(tǒng)的PAM進(jìn)行驗(yàn)證。目前，LDAP已經(jīng)成為Internet上目錄服務(wù)的標(biāo)準(zhǔn)協(xié)議。其本身存在著一定的局限性，針對(duì)其安全缺陷，已有諸多的解決方案提出。Kerb