提供安全的LDAP目录服务.pdfVIP

提供安全的LDAP目录服务 郑磊 向勐轶 zhengI@nciaccn xi angmy@nci．aG，cn 华北计算技术研究所 摘要：LDAP目录服务丑二决速成为互联网的焦点。对于一个规模日益扩大，用户 日渐激增的Internet网络米说，I．DP目录服务是能将一切对象管理起来的有 效方法。本文分析了LDAP目录服务可能遇到的安全威胁，需要的安全机制；描 述了可为LDAP目录服务提供足够安全保证的具体的安全机制，包括SASL、TLS 协议以及鉴别机制，并提出安全机制组合的几点策略。 关键同：LDAP目录服务安全机制鉴别SASL7[LS协议 1 LDAP目录服务的功能和作用 LDAP目录服务止陕述成为互联网的焦点。对于一个规模日益扩人，Hj户日 渐激增的Internet网络来说，LDAP目录服务是能将一切对象管理起米的有效 方法。 现有网络资源管理系统往往是分隔而零散的。常规意义上的网络管理系统 一般只是针对网络殴备而言，而用户管理(包括川户身份的认证和埘户访问权 限的设定等)常常游离rI现有网络管理系统之外，并且一个j_f=|户在不同的网络 服务中往往需要不同的川户管理机制。比如，一个Ⅲ户庄一次典型网络访问中 经过如F过料：①登录拨号访问服务器，与相应的服务提供者建立网络连接： ⑦登隶电子邮什毗务器，收发电子邮竹：@登录相惠的代理服务器，测览环球 网信息：④中断刚络连接， 在现有的网络系统中，L}j产的每～欠登录都需蛭访问不同的川户信息数据 庠，经过不同的0份认_I止过样，可能会使_L}j完全不同的州户登录名称和口令。 这将给川户的使IH和网络管理员的管理带来极人的不便。随着网络规模越米越 人，川户越来越够，现有的疗式是极不适宜的。 LDAP提供馊鬃、获取、处理目录中再种资源的』JJ能，是一个IJJ能强人的日 录服务协议。LD”[J采服备已经或将庄网络肘界中扮演这样一种角色，邢就是 通过它可以标识，管理网络L的一切对象，协调处理网上废人的人群、设备、 服务雨I应埘软件，二间的天系。目录服务可以使得网络环境被充分利_L}j，发抖‘其 价值，提高连接{怕效率。随荷LDAP的作州越来越人．它的安全。眭叫题也越嫩避 匹要。 2 Internet上目录的典型例子 rmL F．而是Intt I：o!典掣的LDAP目录服痔的类掣，以及他¨对支’i叶E 90 的不同需求。其中的敏感性是指数据如果被泄露拥有者将受剑损害，目录中也 可能有非敏感性的数据需要被保护。 ①只读目录，不包含敏感数据，可对任何人存取，IP哄骗或对TCP连接的 攻击对此类型的目录不构成威胁。这种类型目录除了需管理员对服务进行限制 外不需要其他的安全功能。 @只读目录，不包含敏感数据，读操作需进行身份鉴别。对TCP连接的攻 击对此类型的目录不掏成威胁。趑种类型目录需要安全鉴别功能。 @只读目录，不包含敏感数据。客户需要确信目录数据经过服务器鉴别， 并且当从服务器返回时没被修改。 o可读可写目录，不包含敏感数据，任何人部可读，但数据更新需有权限 的Hj户才可以实施。对TCP连接的攻击对此类型的目录不构成威胁。这种类璎 日录需要安全鉴别功能。 @目录中包含敏感数据。这种类型目录需要期间机密性保护剌安全鉴别。 3对LDAP目录服务基本的安全威胁 LDAP目录服务可能遇剑的宜全威胁包括： ①未经授权通过数据存取操作存取数据； ②1E法获取他人的存取信息．重川该鉴圳信息进行存取操作： @使朋他人存取权限进行存取操作： @未经授权修改数据： ⑤朱经授权修改配置： @未经授权或超越权限使川资源： ⑦哄骟目录：哄蝙客户使其，『cj拮。言息来源r目录而事实}。J丁不是，拉数据 传输时修改数据，或误导客户碰披． 在这七种戚胁中，①、④、@、@峨胁源，敌意的客户：孕、@、0啵胁源 丁住客户和服务器闯敌意的机构_t佑觅的服务器。 4需要的安全机制 LDAP目录服务可jH如r宜仝ffL刹提供保护： ①健州SASL机制的弃户鉴圳，¨J能由rLs证ls交换机制t