欧美性猛交xxxx免费看_牛牛在线视频国产免费_天堂草原电视剧在线观看免费_国产粉嫩高清在线观看_国产欧美日本亚洲精品一5区

您好,歡迎來電子發(fā)燒友網(wǎng)! ,新用戶?[免費(fèi)注冊]

您的位置:電子發(fā)燒友網(wǎng)>電子百科>通信技術(shù)>傳輸網(wǎng)/接入網(wǎng)/交換網(wǎng)>

什么是身份驗證和授權(quán)

2010年04月03日 16:03 www.delux-kingway.cn 作者:佚名 用戶評論(0

什么是身份驗證和授權(quán)

根據(jù)RFC2828(Internet Security Glossary,May2000),驗證是“校驗被或向某系統(tǒng)實(shí)體聲明的身份的過程”。此處的關(guān)鍵字是校驗,而正確的術(shù)語是“驗證系統(tǒng)校驗身份”。

驗證可以提供保證,確保用戶(或系統(tǒng))是他們所說的身份。應(yīng)用程序獲取用戶的憑據(jù)(各種形式的標(biāo)識,如用戶名和密碼)并通過某些授權(quán)機(jī)構(gòu)驗證那些憑據(jù)。如果這些憑據(jù)有效,則提交這些憑據(jù)的實(shí)體被視為經(jīng)過身份驗證的標(biāo)識。授權(quán)指用戶訪問網(wǎng)絡(luò)資源的能力,通過對已驗證身份授予或拒絕特定權(quán)限來限制訪問權(quán)限。

驗證可以直接在用戶試圖訪問的計算機(jī)上執(zhí)行,但在分布式環(huán)境中,用戶帳戶和安全信息通常由特殊的安全服務(wù)器存儲和管理。當(dāng)用戶登錄時,用戶名和密碼靠安全服務(wù)器進(jìn)行校驗。如果校驗正確,密碼將不會再通過電纜發(fā)送。用戶密碼保持秘密并從不通過網(wǎng)絡(luò)是至關(guān)重要的,尤其是當(dāng)密碼為可讀文本時,竊聽者可以輕易捕獲這些信息并使用它假裝成該用戶訪問安全系統(tǒng)。相反,獨(dú)特的握手式方案如此處所述以安全方式驗證用戶身份。

盡管單獨(dú)的安全服務(wù)器提供許多好處(集中的安全和安全管理),但在分布式環(huán)境中對用戶進(jìn)行身份驗證呈現(xiàn)出許多有趣的挑戰(zhàn)。

例如,假設(shè)某用戶希望訪問稱為DOCS的安全服務(wù)器,當(dāng)該用戶登錄時,其登錄信息直接或間接地用于驗證其身份?,F(xiàn)在該用戶試圖訪問DOCS服務(wù)器,假設(shè)DOCS“信任”該安全服務(wù)器,并假設(shè)它可正確地驗證該用戶。安全服務(wù)器已經(jīng)驗證了該用戶的身份,因此DOCS也嘗試驗證該用戶的身份就沒有意。所需要的是“一次注冊”驗證方案,該方案可在無需進(jìn)一步的登錄請求的情況下使該用戶訪問信托網(wǎng)絡(luò)環(huán)境中的任何系統(tǒng),假設(shè)該用戶具有整個網(wǎng)絡(luò)的一個用戶帳戶。這可以按如下所示完成。

?該用戶的登錄信息可以被緩存。當(dāng)該用戶訪問另一臺服務(wù)器時,該服務(wù)器獲取登錄信息,并用安全服務(wù)器校驗登錄信息。

?當(dāng)該用戶第一次登錄時,安全服務(wù)器可以發(fā)出登錄憑證。該用戶在登錄會話的期間訪問其他系統(tǒng)時將使用這些憑證。根據(jù)RFC l704 (On Internet Authentication, October 1994)釋義,一個安全驗證方案必須提供如下所示的“強(qiáng)相互驗證”:

?相互驗證 交換中的雙方使用可靠的方法了解對方身份的真實(shí)性。

?強(qiáng)驗證 雙方都不獲取可用于在另一會話中假冒對方的信息。

密碼可用于相互驗證,但不用于強(qiáng)驗證。如果一方將其密碼直接交給另一方,則會將有關(guān)自身的某些內(nèi)容暴露出來,而其他系統(tǒng)可以使用這些信息冒充它。本質(zhì)上,第一個“說話者”放棄了密碼,并且變得易受攻擊。竊聽者也可以捕獲密碼并在以后使用(除非密碼為一次性密碼)。

強(qiáng)驗證方案允許雙方顯示它們知道秘密而不展現(xiàn)實(shí)際秘密。再看前面的示例,假設(shè)某用戶具有一個機(jī)密密碼,他必須向安全服務(wù)器證明他知道密碼,但不將密碼通過網(wǎng)絡(luò)傳輸。下面的四路握手方案是一個示例:

1、當(dāng)該用戶登錄時,他的計算機(jī)生成隨機(jī)數(shù),并使用密鑰對其加密。請注意,此密鑰是從密碼中導(dǎo)出的,或者是從本地加密文件獲取的,而該加密文件只有在輸入了正確的密碼后才可訪問。

2、結(jié)果發(fā)送到安全服務(wù)器,后者使用共享的密鑰進(jìn)行解密。

3、現(xiàn)在安全服務(wù)器具有該用戶的服務(wù)器生成的隨機(jī)數(shù)。它將該數(shù)字加1,然后生成自己的隨機(jī)數(shù),并用共享密鑰為兩者分別加密。

4、該用戶的計算機(jī)接收該消息并解密。消息的第一部分應(yīng)該是此計算機(jī)原來發(fā)送到安全服務(wù)器并加1的隨機(jī)數(shù),它證明此計算機(jī)與知道共享密鑰的系統(tǒng)有聯(lián)系。

5、下一步,該用戶的計算機(jī)將從安全服務(wù)器接收的隨機(jī)數(shù)加1,進(jìn)行加密,然后將它返回到服務(wù)器。

6、當(dāng)服務(wù)器接收此消息時,其隨機(jī)數(shù)已經(jīng)加1,服務(wù)器知道客戶端一定是可信的。

經(jīng)過驗證后,客戶端和服務(wù)器建立新密鑰,在會話的剩余時間內(nèi)該新密鑰用于加密。這使登錄密鑰的使用變得最小。當(dāng)然,共享的秘密必須保持秘密。如果有人獲得它,這個人即可偽裝成客戶端或服務(wù)器。

經(jīng)過這么多年,已經(jīng)開發(fā)了許多驗證協(xié)議和技術(shù)。CHAP(挑戰(zhàn)握手驗證協(xié)議)是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個挑戰(zhàn)口令,其中包括會話ID和一個任意生成的挑戰(zhàn)字串。遠(yuǎn)程客戶必須使用MD5單向哈希算法(one-way hashing algorithm)返回用戶名和加密的挑戰(zhàn)口令,會話ID以及用戶口令,其中用戶名以非哈希方式發(fā)送。

另一個協(xié)議是EAP(可擴(kuò)展驗證協(xié)議)。EAP是一種框架,支持可選擇的多重PPP驗證機(jī)制,包括純文本密碼,挑戰(zhàn)-響應(yīng)和任意對話順序。

下面概述其他幾種更先進(jìn)的方案:

?雙因子驗證 在此方法中,使用令牌設(shè)備(如智能卡)生成一個附加登錄代碼。此登錄代碼與服務(wù)器知道的代碼在時間上同步。用戶在登錄時輸入此代碼、用戶名及密碼。因而需要兩項才能登錄:用戶知道的某些內(nèi)容(用戶密碼)以及用戶具有的某些內(nèi)容(令牌)。此方案要求所有用戶都要有智能卡,并且此方案通常是為遠(yuǎn)程用戶實(shí)現(xiàn)的。

?Kerberos Kerberos是一個根據(jù)票證執(zhí)行驗證的制定得很好的協(xié)議。其命名是根據(jù)希臘神話中守衛(wèi)冥王大門的長有三頭的看門狗做的。定名是貼切的,因為Kerberos是一個三路處理方法,根據(jù)稱為密匙分配中心(KDC)的第三方服務(wù)來驗證計算機(jī)相互的身份,并建立密匙以保證計算機(jī)間安全連接。

票證是由稱為KDC(密鑰分發(fā)中心)的專用安全服務(wù)器發(fā)放的加密數(shù)據(jù)分組。KDC通常在企業(yè)網(wǎng)的內(nèi)部進(jìn)行維護(hù),而企業(yè)網(wǎng)是KDC的授權(quán)區(qū)或管轄區(qū)。當(dāng)用戶登錄時,由KDC處理驗證。如果用戶驗證正確,則KDC向該用戶頒發(fā)票證(稱為“票證授權(quán)票”或TGT)。當(dāng)此用戶希望訪問某個網(wǎng)絡(luò)服務(wù)器時,KDC檢查自己先前提供給用戶的TGT(以校驗票證依然可信),然后向用戶頒發(fā)服務(wù)票證,以允許用戶訪問目標(biāo)服務(wù)器。目標(biāo)服務(wù)器具有自己的校驗票證以確認(rèn)用戶可信的方法,并根據(jù)預(yù)定義的訪問控制授予用戶訪問權(quán)限。

Kerberos協(xié)議基本上是可行的,因為每臺計算機(jī)分享KDC一個秘密,KDC有兩個部件:一個Kerberos認(rèn)證服務(wù)器和一個授票服務(wù)器。如果KDC不知請求的目標(biāo)服務(wù)器,則求助于另一個KDC完成認(rèn)證交易。Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議,允許一臺計算機(jī)通過交換加密消息在整個非安全網(wǎng)絡(luò)上與另一臺計算機(jī)互相證明身份。一旦身份得到驗證,Kerberos協(xié)議給這兩臺計算機(jī)提供密匙,以進(jìn)行安全通訊對話。Kerberos協(xié)議認(rèn)證試圖等錄上網(wǎng)用戶的身份,并通過使用密匙密碼為用戶間的通信加密。

?證書、公鑰和PKI(公共密鑰基礎(chǔ)結(jié)構(gòu)) 如果要求安全登錄到因特網(wǎng)服務(wù)器或其他公共服務(wù)器,則證書方案是適當(dāng)?shù)?。證書基本上是數(shù)字ID,它受眾所周知的證書頒發(fā)機(jī)構(gòu)(如VeriSign)保護(hù)。它可以證明在連接另一端的人是其所說的身份。此方案使用公鑰加密,并為用戶提供一種方法,以向您提供其用于身份驗證的公鑰,以及在客戶端和服務(wù)器之間加密會話。此方案與Kerberos的區(qū)別是Kerberos要求聯(lián)機(jī)安全服務(wù)器對用戶進(jìn)行驗證。證書是自包含的數(shù)據(jù)分組,其中包括對用戶進(jìn)行驗證所需的所有內(nèi)容。但是,它要求某實(shí)體頒發(fā)證書。這可以通過公共服務(wù)(如VeriSign)完成,可通過內(nèi)部證書服務(wù)器完成(當(dāng)公司希望頒發(fā)自己的證書給雇員時)。

?


圣杯一次注冊
SSO(一次注冊)的概念很簡單。用戶只需要一次鍵入其用戶名和密碼(第一次登錄時),以訪問任何網(wǎng)絡(luò)資源。在某些情況下,SSO甚至無需用戶進(jìn)一步提供證書即允許訪問外部網(wǎng)絡(luò)系統(tǒng)和因特網(wǎng)Web服務(wù)器。

Windows 2000網(wǎng)絡(luò)通過使用Kerberos和Secure Sockets Layer (安全套接字層)協(xié)議可提高一次注冊功能。這兩種協(xié)議的優(yōu)點(diǎn)是它們在混合網(wǎng)絡(luò)環(huán)境中允許一次注冊,而混合環(huán)境中的一些服務(wù)器可能是UNIX、Linux或也支持這兩種協(xié)議的NetWare服務(wù)器。Microsoft SNA Server將SSO功能擴(kuò)展到大型機(jī)環(huán)境。Microsoft聲稱Windows 2000是在異類網(wǎng)絡(luò)中用作SSO集線器的最佳選擇,原因是Windows 2000的SSO可以與其他供應(yīng)商如此多的操作系統(tǒng)具有互操作性。在Windows 2000中,每個域控制器都是一個Kerberos密鑰分發(fā)中心,該中心具有對應(yīng)于該域的轄區(qū)。

SSL是由Netscape設(shè)計的一種開放協(xié)議;它指定了一種在應(yīng)用程序協(xié)議(例如http、telnet、NNTP、FTP)和TCP/IP之間提供數(shù)據(jù)安全性分層的機(jī)制。它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。SSL的主要目的是在兩個通信應(yīng)用程序之間提供私密信和可靠性。

任何SSO的一個重要特性是它可以附加到用作網(wǎng)絡(luò)管理信息(包括用戶帳戶)的單個儲備庫的一些目錄服務(wù)上。Novell NetWare和Microsoft Active Directory就是這樣的目錄服務(wù)。目錄服務(wù)提供每個用戶對整個網(wǎng)絡(luò)中系統(tǒng)的權(quán)限和特權(quán)的一個權(quán)威性列表,這簡化了管理和控制,并允許管理員在任何時候從單個位置更改登錄特權(quán)和訪問權(quán)限。

可以使用的SSO解決方案很多,在此將它們列出。

?PassGo驗證服務(wù)器 提供一次注冊或單擊訪問公司企業(yè)網(wǎng)絡(luò)上的所有資源,并有助于強(qiáng)化公司安全標(biāo)準(zhǔn)和規(guī)程。

?Axent Technologies公司的企業(yè)安全管理器 企業(yè)安全管理器使得可以從單個位置自動化計劃、管理和控制安全策略。

?CyberSafe Trust Broker安全套件 這種套件的特點(diǎn)是多平臺、一次注冊驗證,包括公鑰和Kerberos加密。它保護(hù)一個組織的公司網(wǎng)和外部網(wǎng)免受內(nèi)部和外部威脅。

?Platinum Technologies公司的自動安全一次注冊 AutoSecure SSO設(shè)計用于異類環(huán)境,包括大型機(jī)、分布式系統(tǒng)和PC。它不依賴于平臺、應(yīng)用程序、網(wǎng)絡(luò)甚至其他安全機(jī)制。

?ZOOMIT VIA 一個元目錄服務(wù),它使得設(shè)計、自定義和布署統(tǒng)一的企業(yè)目錄服務(wù)變得容易。對于此討論最重要的是,VIA對多個系統(tǒng)提供一次注冊。

非常好我支持^.^

(3) 60%

不好我反對

(2) 40%

( 發(fā)表人:admin )

      發(fā)表評論

      用戶評論
      評價:好評中評差評

      發(fā)表評論,獲取積分! 請遵守相關(guān)規(guī)定!

      ?