網络应用系统统一口令认证的研究与实现.docVIP

网络应用系统统一口令认证的研究与实现 ? 刘启新，蒋东兴，石碞，沈锡臣 （清华大学计算机与信息管理中心，北京，100084） 摘 要：随着网络的发展，网络应用系统不断增加，迫切要求能够提供一个安全、可靠、高效的口令认证系统。本文研究了认证系统的需求，提出了一套安全、可靠、高效的口令认证算法，并着重介绍了统一口令认证系统的设计与实现的关键技术。 关键词：口令；认证；认证服务器；Kerberos；RADIUS 中图分类号：TP309 [1] The Research and Design of Universal Authentication System ? Liu Qixin，Jiang Dongxing，Shi Yan，Shen Xichen (Tsinghua Univ. Computer and Information Management Center, Beijing, 100084) 【Abstract】With the development of Internet, network applications increasing daily, which strongly demands a more securely, reliable and efficient Password Based Authentication System. In this paper, we study the requirement of the authentication system and bring out a securely, reliable and efficient password based authentication algorithm, and emphasizes the design and key technology of the authentication system. 【Key words】Password; Authentication; Authentication Server; Kerberos; RADIUS ? 1 引言 自“211”工程建设以来，清华大学在校园网络环境下已建立了多个信息系统，为学校领导、各部门及全校教师、学生提供多种服务。如综合信息服务系统、综合教务管理系统、选课系统、办公自动化系统、网上学术沙龙、清华网络学堂等。今后还会不断增加新的应用系统，用户数量也会不断增加，这样就带来了信息安全方面的两个问题，一是上网的信息资源越多，受黑客攻击的可能性越大（尤其是一些敏感数据），二是众多用户面对多个系统要重复输入帐号、口令等信息，不仅烦琐，更重要的是容易出现口令丢失，一旦口令泄漏不仅会造成不可估量的损失。因此，信息系统急需有一个统一的、具有较高安全控制的身份验证系统，以保证数据安全和用户操作方便。 开发本系统的目的就是要解决不同的网络应用系统用户名和口令不统一的问题，期望提供一种方便、安全的口令认证方法，让用户只要一套用户名和口令就可以使用校园网络上他有权使用的所有应用系统。 2 常用的认证技术 对于一些计算机资源，只有经过授权的合法用户才能访问，而如何正确鉴别用户的真实身份是问题的关键。用户认证，也称为用户鉴别，就是用户向服务系统以一种安全的方式提交自己的身份证明，由服务系统确认用户的身份是否真实。 一般而言，认证的机制分为两类：简单认证机制和强认证机制。 简单的认证中只有名字和口令被服务系统所接受。由于明文的密码在网上传输极容易被窃听截取，一般的解决办法是使用一次性口令（OTP，One-Time Password）机制。这种机制的最大优势是无须在网上传输用户的真实口令，并且由于具有一次性的特点，可以有效防止重放攻击（Replay Attack）。根据一次性口令生成机制的不同，通常OTP可分为：Time Synchronization的Secure ID（安全标志符），Challenge-Response的Crypto Card（密码卡）和增强的S/Key（安全密钥）等。RADIUS协议就是属于这种类型的认证协议。 强认证机制一般将运用多种加密手段来保护认证过程中相互交换的信息，其中，Kerberos协议是此类认证协议中比较完善、较具优势的协议，得到了广泛的应用。Kerberos协议的基础是基于信任第三方，用户需要向服务系统提供身份证明时，首先需要向认证服务器（AS，Authentication Server）验证自己身份，通过后用户将会获得一张票据（Ticket），并提交给票据许可服务器（TGS，Ticket Granting Server）确认有效，并经过服务器和客户之间的相互认证后，才可以使用服务系统提供的服务。Kerberos协议具有以下的一些优势