一种安全的身份认证模型的研究与实现.pdfVIP

第4O卷 第 1期 航 空 计 算 技 术 Vo1．40No．1 2010年 1月 AeronauticalComputingTechnique Jan．2010 一 种安全的身份认证模型的研究与实现 丁振 国，陈陆艳 墨 (西安电子科技大学 计算机学院，陕西 西安 710071) 摘 要：研究分析了Radius身份认证协议，就其在安全性方面的不足给 出了解决办法，同时根据给 出的解决方案构建一种身份认证模型，最后对新构建的模型进行安全性分析，通过实例证明该模型 是安全的、可靠的、实现简单的、并具有很强的实用价值。 关键词：Radius；身份认证；认证模型；网络安全 中图分类号：TP393．08 文献标识码：A 文章编号：1671—654X(2010)01—0131．04 引言 在一些缺陷 ，，实际应用时在安全性方面还存在隐 身份认证是安全技术的一个重要方面，用于鉴别 患，本文首先对 Radius协议存在 的安全隐患进行分 用户身份，限制非法用户访问系统资源。在任何一个 析，由此提出解决方案，并根据解决方案构建一个身份 安全的网络通信中，通信各方必须通过某种形式的身 认证模型，最后通过实例对该模型进行分析，证明其是 安全的、简单的、可行的。 份验证机制来证明他们的身份，然后才能实现对于不 同用户的访问控制。身份认证是安全系统的第一道关 卡，用户在访 问系统之前，首先经过身份认证系统识别 1 Radius协议的安全隐患及解决措施 其身份是否与所宣称的一致 ，然后 由安全系统根据用 RADIUS协议是一项通用的网络认证、计费协议，定 户的身份和授权数据库决定用户是否能够访问某个资 义于IETF提交的RFC2865和 RFC2866文件 中。它以 源。一旦身份认证系统被攻破 ，那么系统的所有安全措 Client／Server方式工作，客户端向服务器提交认证信息， 施将形同虚设。黑客攻击 的目标往往就是身份认证系 RADIUS服务器处理信息并将结果返回给客户端。 统，完善的身份认证体系对维护网络安全起着十分重要 虽然 Radius协议在安全性方面采取了一些措施 ， 的作用，因此构建一个安全的身份认证模型很必要。 但是 Radius在这几个方面都存在不同程度 的安全隐 目前 存 在 的身份 认 证 协 议 主 要 有 Radius、 患 J，本文针对这些隐患均提出了解决措施。 TACACS+和Diameter，虽然 TACACS+使用 TCP传输 1)共享密钥的设置 机制来传输，比Radius使用 UDP进行连接更加可靠， 安全措施 ：在 RadiusClient和 RadiusServer之间 但 TACACS+没有代理机制，不能适应漫游和移动 IP 通过共享密钥建立信任，而此共享密钥从不在网络上 等新的应用要求 ，因此其应用远没有 Radius广泛。 进行传输。 从文献 [9—12]可知，虽然 Diameter是 IETF制定的作 安全隐患：攻击者可以使用基于ResponseAuthen． 为Radius的升级版本而产生的，它在未来有可能取代 ticator和基于User—Password属性对共享密钥进行攻 Radius协议，但 目前该协议需要考虑和解决的问题还 击 。只要攻击者观察到一个有效 的Access—Re— 比较多，协议本身比较复杂，其应用协议还不够完善。 qu