什么是身份驗(yàn)證和授權(quán)

什么是身份驗(yàn)證和授權(quán)

根據(jù)RFC2828(Internet Security Glossary，May2000)，驗(yàn)證是“校驗(yàn)被或向某系統(tǒng)實(shí)體聲明的身份的過(guò)程”。此處的關(guān)鍵字是校驗(yàn)，而正確的術(shù)語(yǔ)是“驗(yàn)證系統(tǒng)校驗(yàn)身份”。

驗(yàn)證可以提供保證，確保用戶(或系統(tǒng))是他們所說(shuō)的身份。應(yīng)用程序獲取用戶的憑據(jù)（各種形式的標(biāo)識(shí)，如用戶名和密碼）并通過(guò)某些授權(quán)機(jī)構(gòu)驗(yàn)證那些憑據(jù)。如果這些憑據(jù)有效，則提交這些憑據(jù)的實(shí)體被視為經(jīng)過(guò)身份驗(yàn)證的標(biāo)識(shí)。授權(quán)指用戶訪問(wèn)網(wǎng)絡(luò)資源的能力，通過(guò)對(duì)已驗(yàn)證身份授予或拒絕特定權(quán)限來(lái)限制訪問(wèn)權(quán)限。

驗(yàn)證可以直接在用戶試圖訪問(wèn)的計(jì)算機(jī)上執(zhí)行，但在分布式環(huán)境中，用戶帳戶和安全信息通常由特殊的安全服務(wù)器存儲(chǔ)和管理。當(dāng)用戶登錄時(shí)，用戶名和密碼靠安全服務(wù)器進(jìn)行校驗(yàn)。如果校驗(yàn)正確，密碼將不會(huì)再通過(guò)電纜發(fā)送。用戶密碼保持秘密并從不通過(guò)網(wǎng)絡(luò)是至關(guān)重要的，尤其是當(dāng)密碼為可讀文本時(shí)，竊聽(tīng)者可以輕易捕獲這些信息并使用它假裝成該用戶訪問(wèn)安全系統(tǒng)。相反，獨(dú)特的握手式方案如此處所述以安全方式驗(yàn)證用戶身份。

盡管單獨(dú)的安全服務(wù)器提供許多好處(集中的安全和安全管理)，但在分布式環(huán)境中對(duì)用戶進(jìn)行身份驗(yàn)證呈現(xiàn)出許多有趣的挑戰(zhàn)。

例如，假設(shè)某用戶希望訪問(wèn)稱為DOCS的安全服務(wù)器，當(dāng)該用戶登錄時(shí)，其登錄信息直接或間接地用于驗(yàn)證其身份?，F(xiàn)在該用戶試圖訪問(wèn)DOCS服務(wù)器，假設(shè)DOCS“信任”該安全服務(wù)器，并假設(shè)它可正確地驗(yàn)證該用戶。安全服務(wù)器已經(jīng)驗(yàn)證了該用戶的身份，因此DOCS也嘗試驗(yàn)證該用戶的身份就沒(méi)有意。所需要的是“一次注冊(cè)”驗(yàn)證方案，該方案可在無(wú)需進(jìn)一步的登錄請(qǐng)求的情況下使該用戶訪問(wèn)信托網(wǎng)絡(luò)環(huán)境中的任何系統(tǒng)，假設(shè)該用戶具有整個(gè)網(wǎng)絡(luò)的一個(gè)用戶帳戶。這可以按如下所示完成。

?該用戶的登錄信息可以被緩存。當(dāng)該用戶訪問(wèn)另一臺(tái)服務(wù)器時(shí)，該服務(wù)器獲取登錄信息，并用安全服務(wù)器校驗(yàn)登錄信息。

?當(dāng)該用戶第一次登錄時(shí)，安全服務(wù)器可以發(fā)出登錄憑證。該用戶在登錄會(huì)話的期間訪問(wèn)其他系統(tǒng)時(shí)將使用這些憑證。根據(jù)RFC l704 (On Internet Authentication， October 1994)釋義，一個(gè)安全驗(yàn)證方案必須提供如下所示的“強(qiáng)相互驗(yàn)證”：

?相互驗(yàn)證 交換中的雙方使用可靠的方法了解對(duì)方身份的真實(shí)性。

?強(qiáng)驗(yàn)證 雙方都不獲取可用于在另一會(huì)話中假冒對(duì)方的信息。

密碼可用于相互驗(yàn)證，但不用于強(qiáng)驗(yàn)證。如果一方將其密碼直接交給另一方，則會(huì)將有關(guān)自身的某些內(nèi)容暴露出來(lái)，而其他系統(tǒng)可以使用這些信息冒充它。本質(zhì)上，第一個(gè)“說(shuō)話者”放棄了密碼，并且變得易受攻擊。竊聽(tīng)者也可以捕獲密碼并在以后使用(除非密碼為一次性密碼)。

強(qiáng)驗(yàn)證方案允許雙方顯示它們知道秘密而不展現(xiàn)實(shí)際秘密。再看前面的示例，假設(shè)某用戶具有一個(gè)機(jī)密密碼，他必須向安全服務(wù)器證明他知道密碼，但不將密碼通過(guò)網(wǎng)絡(luò)傳輸。下面的四路握手方案是一個(gè)示例：

1、當(dāng)該用戶登錄時(shí)，他的計(jì)算機(jī)生成隨機(jī)數(shù)，并使用密鑰對(duì)其加密。請(qǐng)注意，此密鑰是從密碼中導(dǎo)出的，或者是從本地加密文件獲取的，而該加密文件只有在輸入了正確的密碼后才可訪問(wèn)。

2、結(jié)果發(fā)送到安全服務(wù)器，后者使用共享的密鑰進(jìn)行解密。

3、現(xiàn)在安全服務(wù)器具有該用戶的服務(wù)器生成的隨機(jī)數(shù)。它將該數(shù)字加1，然后生成自己的隨機(jī)數(shù)，并用共享密鑰為兩者分別加密。

4、該用戶的計(jì)算機(jī)接收該消息并解密。消息的第一部分應(yīng)該是此計(jì)算機(jī)原來(lái)發(fā)送到安全服務(wù)器并加1的隨機(jī)數(shù)，它證明此計(jì)算機(jī)與知道共享密鑰的系統(tǒng)有聯(lián)系。

5、下一步，該用戶的計(jì)算機(jī)將從安全服務(wù)器接收的隨機(jī)數(shù)加1，進(jìn)行加密，然后將它返回到服務(wù)器。

6、當(dāng)服務(wù)器接收此消息時(shí)，其隨機(jī)數(shù)已經(jīng)加1，服務(wù)器知道客戶端一定是可信的。

經(jīng)過(guò)驗(yàn)證后，客戶端和服務(wù)器建立新密鑰，在會(huì)話的剩余時(shí)間內(nèi)該新密鑰用于加密。這使登錄密鑰的使用變得最小。當(dāng)然，共享的秘密必須保持秘密。如果有人獲得它，這個(gè)人即可偽裝成客戶端或服務(wù)器。

經(jīng)過(guò)這么多年，已經(jīng)開(kāi)發(fā)了許多驗(yàn)證協(xié)議和技術(shù)。CHAP(挑戰(zhàn)握手驗(yàn)證協(xié)議)是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令，其中包括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串。遠(yuǎn)程客戶必須使用MD5單向哈希算法（one-way hashing algorithm）返回用戶名和加密的挑戰(zhàn)口令，會(huì)話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。

另一個(gè)協(xié)議是EAP(可擴(kuò)展驗(yàn)證協(xié)議)。EAP是一種框架，支持可選擇的多重PPP驗(yàn)證機(jī)制，包括純文本密碼，挑戰(zhàn)-響應(yīng)和任意對(duì)話順序。

下面概述其他幾種更先進(jìn)的方案：

?雙因子驗(yàn)證 在此方法中，使用令牌設(shè)備(如智能卡)生成一個(gè)附加登錄代碼。此登錄代碼與服務(wù)器知道的代碼在時(shí)間上同步。用戶在登錄時(shí)輸入此代碼、用戶名及密碼。因而需要兩項(xiàng)才能登錄：用戶知道的某些內(nèi)容(用戶密碼)以及用戶具有的某些內(nèi)容(令牌)。此方案要求所有用戶都要有智能卡，并且此方案通常是為遠(yuǎn)程用戶實(shí)現(xiàn)的。

?Kerberos Kerberos是一個(gè)根據(jù)票證執(zhí)行驗(yàn)證的制定得很好的協(xié)議。其命名是根據(jù)希臘神話中守衛(wèi)冥王大門(mén)的長(zhǎng)有三頭的看門(mén)狗做的。定名是貼切的，因?yàn)镵erberos是一個(gè)三路處理方法，根據(jù)稱為密匙分配中心（KDC）的第三方服務(wù)來(lái)驗(yàn)證計(jì)算機(jī)相互的身份，并建立密匙以保證計(jì)算機(jī)間安全連接。

票證是由稱為KDC(密鑰分發(fā)中心)的專用安全服務(wù)器發(fā)放的加密數(shù)據(jù)分組。KDC通常在企業(yè)網(wǎng)的內(nèi)部進(jìn)行維護(hù)，而企業(yè)網(wǎng)是KDC的授權(quán)區(qū)或管轄區(qū)。當(dāng)用戶登錄時(shí)，由KDC處理驗(yàn)證。如果用戶驗(yàn)證正確，則KDC向該用戶頒發(fā)票證(稱為“票證授權(quán)票”或TGT)。當(dāng)此用戶希望訪問(wèn)某個(gè)網(wǎng)絡(luò)服務(wù)器時(shí)，KDC檢查自己先前提供給用戶的TGT(以校驗(yàn)票證依然可信)，然后向用戶頒發(fā)服務(wù)票證，以允許用戶訪問(wèn)目標(biāo)服務(wù)器。目標(biāo)服務(wù)器具有自己的校驗(yàn)票證以確認(rèn)用戶可信的方法，并根據(jù)預(yù)定義的訪問(wèn)控制授予用戶訪問(wèn)權(quán)限。

Kerberos協(xié)議基本上是可行的，因?yàn)槊颗_(tái)計(jì)算機(jī)分享KDC一個(gè)秘密，KDC有兩個(gè)部件：一個(gè)Kerberos認(rèn)證服務(wù)器和一個(gè)授票服務(wù)器。如果KDC不知請(qǐng)求的目標(biāo)服務(wù)器，則求助于另一個(gè)KDC完成認(rèn)證交易。Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，允許一臺(tái)計(jì)算機(jī)通過(guò)交換加密消息在整個(gè)非安全網(wǎng)絡(luò)上與另一臺(tái)計(jì)算機(jī)互相證明身份。一旦身份得到驗(yàn)證，Kerberos協(xié)議給這兩臺(tái)計(jì)算機(jī)提供密匙，以進(jìn)行安全通訊對(duì)話。Kerberos協(xié)議認(rèn)證試圖等錄上網(wǎng)用戶的身份，并通過(guò)使用密匙密碼為用戶間的通信加密。

?證書(shū)、公鑰和PKI(公共密鑰基礎(chǔ)結(jié)構(gòu)) 如果要求安全登錄到因特網(wǎng)服務(wù)器或其他公共服務(wù)器，則證書(shū)方案是適當(dāng)?shù)?。證書(shū)基本上是數(shù)字ID，它受眾所周知的證書(shū)頒發(fā)機(jī)構(gòu)(如VeriSign)保護(hù)。它可以證明在連接另一端的人是其所說(shuō)的身份。此方案使用公鑰加密，并為用戶提供一種方法，以向您提供其用于身份驗(yàn)證的公鑰，以及在客戶端和服務(wù)器之間加密會(huì)話。此方案與Kerberos的區(qū)別是Kerberos要求聯(lián)機(jī)安全服務(wù)器對(duì)用戶進(jìn)行驗(yàn)證。證書(shū)是自包含的數(shù)據(jù)分組，其中包括對(duì)用戶進(jìn)行驗(yàn)證所需的所有內(nèi)容。但是，它要求某實(shí)體頒發(fā)證書(shū)。這可以通過(guò)公共服務(wù)(如VeriSign)完成，可通過(guò)內(nèi)部證書(shū)服務(wù)器完成(當(dāng)公司希望頒發(fā)自己的證書(shū)給雇員時(shí))。

?

?ZOOMIT VIA 一個(gè)元目錄服務(wù)，它使得設(shè)計(jì)、自定義和布署統(tǒng)一的企業(yè)目錄服務(wù)變得容易。對(duì)于此討論最重要的是，VIA對(duì)多個(gè)系統(tǒng)提供一次注冊(cè)。