【正文】 戶/服務(wù)器認(rèn)證所涉及各種功能的內(nèi)容，通常包括密鑰區(qū)、地址、序列號(hào)、認(rèn)證符和校驗(yàn)類(lèi)型等信息。在此context中的數(shù)據(jù)應(yīng)該用krb5_free_context()來(lái)釋放。此函數(shù)提供了對(duì)存儲(chǔ)在context結(jié)構(gòu)里的數(shù)據(jù)的訪問(wèn)，而這些數(shù)據(jù)是不能被開(kāi)發(fā)人員直接訪問(wèn)的。l krb5_context用來(lái)代表任意進(jìn)程的狀態(tài)。源代碼分析 MIT的kerberos源代碼非常龐大，對(duì)其進(jìn)行簡(jiǎn)要的分析。⑵在Kerberos數(shù)據(jù)庫(kù)里增加系統(tǒng)管理員，要增加的管理員主體應(yīng)是ACL文件中的主體。,其文件格式為：Kerberosprincipal permissions optionaltargetprincipal該文件里的權(quán)限包括:a、d、m、c、i等，并且可以包含匹配符。stash文件是加密格式駐留在KDC內(nèi)部磁盤(pán)上的master key的復(fù)制，它是在kadmind和krb5kdc守護(hù)進(jìn)程啟動(dòng)之前自動(dòng)認(rèn)證KDC的。：[libdefaults]default_realm=……[realms]={kdc=admin_server=}……：kdc_ports=750,88[realms]={……kdc_ports=750,88max_life=10h 0m 0smax_renewable_life=7d 0h 0m 0smaster_key_type=des3hmacsha1……}數(shù)據(jù)庫(kù)的創(chuàng)建與管理編輯完上述配置文件后，、需要?jiǎng)?chuàng)建并填充存放主信息條的Kerbcros的數(shù)據(jù)庫(kù)、創(chuàng)建系統(tǒng)管理員、創(chuàng)建新的密鑰列表、創(chuàng)建新的參與者等。此時(shí)，還未將Kerberos集成到域名解析服務(wù)器DNS。它使用幾個(gè)端口進(jìn)行密鑰的分發(fā)和管理，需要在Linux系統(tǒng)的/etc/services文件末尾增加Kerberos使用的端口號(hào)。首先，使用GNU自動(dòng)配置工具(autoconf)進(jìn)行安裝。：組成模塊的安裝與配置由MIT開(kāi)發(fā)的Kerberos系統(tǒng)，其源代碼是公開(kāi)的，并且一直在不間斷的進(jìn)行維護(hù)和更新，因此代碼的穩(wěn)定性以及成熟性都非常好，同時(shí)提供了對(duì)多種操作系統(tǒng)的支持。OpenLDAP目錄服務(wù)系統(tǒng)完成用戶信息的存儲(chǔ)以及相應(yīng)權(quán)限的設(shè)置。本課題利用OpenLDAP目錄服務(wù)存儲(chǔ)用戶信息并實(shí)現(xiàn)基于Kerberos認(rèn)證系統(tǒng)的用戶認(rèn)證，利用其訪問(wèn)控制實(shí)現(xiàn)應(yīng)用的授權(quán)。OpenLDAP也提供自己的訪問(wèn)控制機(jī)制。OpenLDAP支持的安全機(jī)制比較全面，支持多種SASL認(rèn)證機(jī)制，也可以利用各種認(rèn)證系統(tǒng)和加密系統(tǒng)實(shí)現(xiàn)安全性較高的目錄服務(wù)。OpenLDAP支持模式訪問(wèn)控制和模式擴(kuò)展，但是不支持動(dòng)態(tài)模式擴(kuò)展，無(wú)法在運(yùn)行時(shí)擴(kuò)展模式，只能通過(guò)修改服務(wù)器的配置文件來(lái)實(shí)現(xiàn)。DN的每一個(gè)RDN對(duì)應(yīng)DIT的一個(gè)分支，從Root一直到目錄條目。條目的名稱(chēng)由一個(gè)或多個(gè)屬性組成，稱(chēng)為相對(duì)識(shí)別名,此為條目在根節(jié)點(diǎn)下的唯一名稱(chēng)標(biāo)識(shí)，用來(lái)區(qū)別與它同級(jí)別的條目。2. 數(shù)據(jù)模型LDAP是以樹(shù)狀方式組織信息，稱(chēng)為目錄信息樹(shù)。為了提高效率，在LDAPV3中，允許服務(wù)器將指向它的服務(wù)器的參考指針?lè)祷亟o客戶端，由客戶端自己去查找。當(dāng)客戶端不再需要與服務(wù)器通信時(shí)，由客戶端斷開(kāi)連接。在此協(xié)議模型中，LDAP客戶端通過(guò)TCP/IP的系統(tǒng)平臺(tái)和LDAP服務(wù)器保持連接，這樣任何支持TCP/IP的系統(tǒng)平臺(tái)都能安裝LDAP客戶端。因此，本次課程設(shè)計(jì)將輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP）與Kerberos認(rèn)證機(jī)制、PAM機(jī)制結(jié)合在一起，共同完成域內(nèi)的用戶認(rèn)證與應(yīng)用授權(quán)。 Kerberos認(rèn)證系統(tǒng)結(jié)構(gòu)及其協(xié)議過(guò)程 輕量級(jí)目錄訪問(wèn)協(xié)議在Kerberos域內(nèi)，Kerberos系統(tǒng)可以提供認(rèn)證服務(wù)，系統(tǒng)內(nèi)的訪問(wèn)權(quán)限和授權(quán)則需要通過(guò)其他途徑來(lái)解決。協(xié)議原理：在Kerberos協(xié)議過(guò)程中，發(fā)起認(rèn)證服務(wù)的通信方稱(chēng)為客戶端，客戶端需要訪問(wèn)的對(duì)象稱(chēng)為應(yīng)用服務(wù)器。1990年推出Version 5進(jìn)一步對(duì)Version 4中的某些安全缺陷做了改進(jìn)，不僅完善了Version 4所采用的基于DES的加密算法，而且還采用獨(dú)立的加密模塊，允許用戶根據(jù)自己的實(shí)際需要選擇其它的加密算法，使得安全性得到了進(jìn)一步的提高。至今，Kerberos系統(tǒng)已有五個(gè)版本，其中Version1到Version 3是在實(shí)驗(yàn)室里開(kāi)發(fā)和測(cè)試的。 Kerberos認(rèn)證系統(tǒng)Kerberos認(rèn)證協(xié)議是一種應(yīng)用于開(kāi)放式網(wǎng)絡(luò)環(huán)境、基于可信任第三方的TCP/IP網(wǎng)絡(luò)認(rèn)證協(xié)議，可以在不安全的網(wǎng)絡(luò)環(huán)境中為用戶對(duì)遠(yuǎn)程服務(wù)器的訪問(wèn)提供自動(dòng)鑒別、數(shù)據(jù)安全性和完整性服務(wù)、以及密鑰管理服務(wù)。認(rèn)證協(xié)議定義了參與認(rèn)證服務(wù)的所有通信方在認(rèn)證過(guò)程中需要交換的所有消息格式和這些消息發(fā)生的次序以及消息的語(yǔ)義，采用密碼學(xué)機(jī)制來(lái)保證消息的完整性、保密性、消息來(lái)源、消息目的、時(shí)間性等。但這種方法硬件投入較大，不管是客戶端的智能卡，還是服務(wù)器端的讀卡設(shè)備，造價(jià)都較高，因而限制了它的普遍性。只有在用戶正確輸入PIN口令后，才能從智能卡中讀取秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證[9]。用戶訪問(wèn)系統(tǒng)時(shí)必須持有該智能卡。集成電路中的微處理器和存儲(chǔ)器使智能卡具有數(shù)據(jù)存儲(chǔ)和處理的能力。但這種方案造價(jià)較高，適用于保密程度很高的場(chǎng)合。這些個(gè)人特征是每個(gè)用戶特有的，且在一定時(shí)期內(nèi)不會(huì)改變，如指紋、聲音、視網(wǎng)膜、DNA圖案等[8]。但是，由于該種認(rèn)證方式實(shí)施簡(jiǎn)單，其普遍應(yīng)用于各種網(wǎng)絡(luò)認(rèn)證中。口令認(rèn)證的前提是請(qǐng)求認(rèn)證者必須具有一個(gè)在用戶數(shù)據(jù)庫(kù)中唯一的ID[7]。主要有下面三種認(rèn)證方式：l 口令認(rèn)證方式口令認(rèn)證是一種最簡(jiǎn)單的用戶身份認(rèn)證方式。身份認(rèn)證的本質(zhì)是被認(rèn)證方擁有的一些信息(秘密信息、特殊硬件或特有生物學(xué)信息)，除被認(rèn)證方外，任何網(wǎng)絡(luò)用戶(認(rèn)證權(quán)威除外)都不能偽造。該機(jī)制中要求至少有一個(gè)可信任的第三方能夠同時(shí)識(shí)別發(fā)送方和接收方。如果通信雙方?jīng)]有共享信息，可以采用零知識(shí)證明技術(shù)進(jìn)行認(rèn)證。認(rèn)證機(jī)制可以分為兩類(lèi)：一類(lèi)是通過(guò)雙方之間的交互式來(lái)證明對(duì)方身份的認(rèn)證機(jī)制。本課程設(shè)計(jì)重點(diǎn)研究Linux的安全機(jī)制用戶身份認(rèn)證機(jī)制，對(duì)其認(rèn)證方式與相關(guān)的認(rèn)證協(xié)議進(jìn)行了詳細(xì)的分析。認(rèn)證包括信息認(rèn)證和身份認(rèn)證。認(rèn)證機(jī)制目前，網(wǎng)絡(luò)通信主要提供五種通用的安全服務(wù)：認(rèn)證服務(wù)、訪問(wèn)控制服務(wù)、機(jī)密性服務(wù)、完整性服務(wù)和非否認(rèn)性服務(wù)。 PAM層次結(jié)構(gòu) 工作原理：應(yīng)用程序?qū)优cPAM服務(wù)模塊通過(guò)PAM API建立聯(lián)系，按照需要調(diào)用相關(guān)的服務(wù)模塊，完成對(duì)某種應(yīng)用程序的認(rèn)證。接著，應(yīng)用程序?qū)拥膮?shù)通過(guò)PAMAPI傳遞給底層的PAM服務(wù)模塊。，PAM API是應(yīng)用程序?qū)优cPAM服務(wù)模塊之間聯(lián)系的紐帶，起著承上啟下的作用。PAM模塊化的體系結(jié)構(gòu)，可以集成范圍廣泛的認(rèn)證機(jī)制，輕易地做到認(rèn)證應(yīng)需而改變，使得軟件的定制、維持和升級(jí)更加輕松。從而可以在應(yīng)用程序中根據(jù)需要靈活地插入所需要的認(rèn)證模塊或替換原先的認(rèn)證組件，而不必對(duì)應(yīng)用程序做任何修改。層次結(jié)構(gòu)：可插入式認(rèn)證模塊(PAM)機(jī)制采用模塊化設(shè)計(jì)和插件功能，提供有關(guān)執(zhí)行用戶認(rèn)證與賬號(hào)維護(hù)的服務(wù)。所以希望能夠?qū)⒄J(rèn)證功能從應(yīng)用中獨(dú)立出來(lái)，單獨(dú)進(jìn)行模塊化的設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)；另一方面，希望為認(rèn)證模塊建立標(biāo)準(zhǔn)API，以便各個(gè)應(yīng)用程序能方便的調(diào)用它們所提供的各種功能；同時(shí)認(rèn)證機(jī)制對(duì)其上層用戶(包括應(yīng)用程序和最終用戶)是透明的。⑶用戶可以調(diào)用課題所編寫(xiě)的認(rèn)證接口函數(shù)，完成用戶認(rèn)證與應(yīng)用授權(quán)過(guò)程?？蛻舳刷抛鳛镵erberos系統(tǒng)的客戶端用戶在此登錄，完成用戶認(rèn)證、服務(wù)請(qǐng)求，經(jīng)由認(rèn)證服務(wù)器認(rèn)證后，調(diào)用某種Kerberos化的網(wǎng)絡(luò)應(yīng)用服務(wù)，完成與應(yīng)用服務(wù)器的相互認(rèn)證。研究輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP），包括其命名模型、協(xié)議原理、數(shù)據(jù)庫(kù)創(chuàng)建與管理、安全機(jī)制、應(yīng)用接口函數(shù)，及其如何與Kerberos認(rèn)證系統(tǒng)相結(jié)合等。學(xué)習(xí)現(xiàn)有的認(rèn)證協(xié)議，著重分析Kerberos協(xié)議的藍(lán)本NeedhamSchroeder認(rèn)證協(xié)議，熟悉其協(xié)議過(guò)程、自身缺陷、各次攻擊以及改進(jìn)過(guò)程，并基于可信平臺(tái)模塊（TPM）對(duì)其進(jìn)行改進(jìn)，以增強(qiáng)其安全性。本課程設(shè)計(jì)的理論研究情況列舉如下：Linux操作系統(tǒng)相關(guān)的理論知識(shí)，包括其組成模塊、內(nèi)部已有的安全機(jī)制、安全缺陷及其安全需求等。本課題編寫(xiě)了客戶端程序，作為認(rèn)證接口，提供給應(yīng)用程序調(diào)用，實(shí)現(xiàn)用戶的登錄認(rèn)證與應(yīng)用的授權(quán)。該架構(gòu)運(yùn)行在操作系統(tǒng)為L(zhǎng)inux的主機(jī)上，提供基本的Kerberos登錄認(rèn)證服務(wù)，以及Kerberos化的遠(yuǎn)程登錄服務(wù)（ktelnet）、Kerberos化的文件傳輸（kftp）等網(wǎng)絡(luò)應(yīng)用服務(wù)。該系統(tǒng)可以應(yīng)用于信息安全教學(xué)、信息安全系統(tǒng)的開(kāi)發(fā)與實(shí)現(xiàn)，并將應(yīng)用于黨政機(jī)關(guān)辦公自動(dòng)化與協(xié)同辦公，保護(hù)黨政內(nèi)網(wǎng)的安全，具有實(shí)用意義與創(chuàng)新意義。當(dāng)用戶訪問(wèn)某種網(wǎng)絡(luò)服務(wù)時(shí)，首先通過(guò)Kerberos的認(rèn)證，登錄到LDAP目錄服務(wù)系統(tǒng)，然后LDAP可以通過(guò)其ACL驗(yàn)證用戶是否擁有訪問(wèn)該服務(wù)的權(quán)限。Kerberos是目前應(yīng)用最廣泛的認(rèn)證協(xié)議，本課程設(shè)計(jì)將其作為認(rèn)證模塊擴(kuò)展到PAM中，基于PAM的程序就可以調(diào)用該認(rèn)證模塊用于用戶認(rèn)證等驗(yàn)證機(jī)制，可以增強(qiáng)系統(tǒng)及各種應(yīng)用的安全性。任何認(rèn)證機(jī)制都可以加入到PAM的底層鑒別模塊中，可以被任何基于PAM開(kāi)發(fā)的程序調(diào)用。 用戶認(rèn)證與應(yīng)用授權(quán)是安全機(jī)制的前提，基于Linux操作系統(tǒng)，深入研究用戶認(rèn)證與應(yīng)用授權(quán)機(jī)制，不僅可以深入理解現(xiàn)有的安全機(jī)制，隨著研究的深入，也可以發(fā)現(xiàn)其現(xiàn)有安全機(jī)制的問(wèn)題所在。已有包括微軟、IBM在內(nèi)的幾十家大型軟件公司采用了LDAP技術(shù)。其基于訪問(wèn)控制策略語(yǔ)句的訪問(wèn)控制列表（Access Control List,ACL）來(lái)實(shí)現(xiàn)訪問(wèn)控制與應(yīng)用授權(quán)，不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)，訪問(wèn)控制異常靈活和豐富[5]。同時(shí)，伴隨著其軟件的優(yōu)化、升級(jí)，Kerberos認(rèn)證系統(tǒng)的應(yīng)用將會(huì)越來(lái)越廣泛。目前廣泛應(yīng)用的版本是其第五版本Kerberos V5。Linux操作系統(tǒng)更好的安全性保證可以由Kerberos來(lái)實(shí)現(xiàn)[2,3]，目前，基于Linux操作系統(tǒng)，利用Kerberos協(xié)議增強(qiáng)其用戶認(rèn)證的安全性的方案在國(guó)內(nèi)外均有提出