什么是身份驗證和授權

根據RFC2828(Internet Security Glossary，May2000)，驗證是“校驗被或向某系統(tǒng)實體聲明的身份的過程”。此處的關鍵字是校驗，而正確的術語是“驗證系統(tǒng)校驗身份”。

驗證可以提供保證，確保用戶(或系統(tǒng))是他們所說的身份。應用程序獲取用戶的憑據（各種形式的標識，如用戶名和密碼）并通過某些授權機構驗證那些憑據。如果這些憑據有效，則提交這些憑據的實體被視為經過身份驗證的標識。授權指用戶訪問網絡資源的能力，通過對已驗證身份授予或拒絕特定權限來限制訪問權限。

驗證可以直接在用戶試圖訪問的計算機上執(zhí)行，但在分布式環(huán)境中，用戶帳戶和安全信息通常由特殊的安全服務器存儲和管理。當用戶登錄時，用戶名和密碼靠安全服務器進行校驗。如果校驗正確，密碼將不會再通過電纜發(fā)送。用戶密碼保持秘密并從不通過網絡是至關重要的，尤其是當密碼為可讀文本時，竊聽者可以輕易捕獲這些信息并使用它假裝成該用戶訪問安全系統(tǒng)。相反，獨特的握手式方案如此處所述以安全方式驗證用戶身份。

盡管單獨的安全服務器提供許多好處(集中的安全和安全管理)，但在分布式環(huán)境中對用戶進行身份驗證呈現(xiàn)出許多有趣的挑戰(zhàn)。

例如，假設某用戶希望訪問稱為DOCS的安全服務器，當該用戶登錄時，其登錄信息直接或間接地用于驗證其身份。現(xiàn)在該用戶試圖訪問DOCS服務器，假設DOCS“信任”該安全服務器，并假設它可正確地驗證該用戶。安全服務器已經驗證了該用戶的身份，因此DOCS也嘗試驗證該用戶的身份就沒有意。所需要的是“一次注冊”驗證方案，該方案可在無需進一步的登錄請求的情況下使該用戶訪問信托網絡環(huán)境中的任何系統(tǒng)，假設該用戶具有整個網絡的一個用戶帳戶。這可以按如下所示完成。

?該用戶的登錄信息可以被緩存。當該用戶訪問另一臺服務器時，該服務器獲取登錄信息，并用安全服務器校驗登錄信息。

?當該用戶第一次登錄時，安全服務器可以發(fā)出登錄憑證。該用戶在登錄會話的期間訪問其他系統(tǒng)時將使用這些憑證。根據RFC l704 (On Internet Authentication， October 1994)釋義，一個安全驗證方案必須提供如下所示的“強相互驗證”：

?相互驗證 交換中的雙方使用可靠的方法了解對方身份的真實性。

?強驗證 雙方都不獲取可用于在另一會話中假冒對方的信息。

密碼可用于相互驗證，但不用于強驗證。如果一方將其密碼直接交給另一方，則會將有關自身的某些內容暴露出來，而其他系統(tǒng)可以使用這些信息冒充它。本質上，第一個“說話者”放棄了密碼，并且變得易受攻擊。竊聽者也可以捕獲密碼并在以后使用(除非密碼為一次性密碼)。

強驗證方案允許雙方顯示它們知道秘密而不展現(xiàn)實際秘密。再看前面的示例，假設某用戶具有一個機密密碼，他必須向安全服務器證明他知道密碼，但不將密碼通過網絡傳輸。下面的四路握手方案是一個示例：

1、當該用戶登錄時，他的計算機生成隨機數(shù)，并使用密鑰對其加密。請注意，此密鑰是從密碼中導出的，或者是從本地加密文件獲取的，而該加密文件只有在輸入了正確的密碼后才可訪問。

2、結果發(fā)送到安全服務器，后者使用共享的密鑰進行解密。

3、現(xiàn)在安全服務器具有該用戶的服務器生成的隨機數(shù)。它將該數(shù)字加1，然后生成自己的隨機數(shù)，并用共享密鑰為兩者分別加密。

4、該用戶的計算機接收該消息并解密。消息的第一部分應該是此計算機原來發(fā)送到安全服務器并加1的隨機數(shù)，它證明此計算機與知道共享密鑰的系統(tǒng)有聯(lián)系。

5、下一步，該用戶的計算機將從安全服務器接收的隨機數(shù)加1，進行加密，然后將它返回到服務器。

6、當服務器接收此消息時，其隨機數(shù)已經加1，服務器知道客戶端一定是可信的。

經過驗證后，客戶端和服務器建立新密鑰，在會話的剩余時間內該新密鑰用于加密。這使登錄密鑰的使用變得最小。當然，共享的秘密必須保持秘密。如果有人獲得它，這個人即可偽裝成客戶端或服務器。

經過這么多年，已經開發(fā)了許多驗證協(xié)議和技術。CHAP(挑戰(zhàn)握手驗證協(xié)議)是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發(fā)送一個挑戰(zhàn)口令，其中包括會話ID和一個任意生成的挑戰(zhàn)字串。遠程客戶必須使用MD5單向哈希算法（one-way hashing algorithm）返回用戶名和加密的挑戰(zhàn)口令，會話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。

另一個協(xié)議是EAP(可擴展驗證協(xié)議)。EAP是一種框架，支持可選擇的多重PPP驗證機制，包括純文本密碼，挑戰(zhàn)-響應和任意對話順序。

下面概述其他幾種更先進的方案：

?雙因子驗證 在此方法中，使用令牌設備(如智能卡)生成一個附加登錄代碼。此登錄代碼與服務器知道的代碼在時間上同步。用戶在登錄時輸入此代碼、用戶名及密碼。因而需要兩項才能登錄：用戶知道的某些內容(用戶密碼)以及用戶具有的某些內容(令牌)。此方案要求所有用戶都要有智能卡，并且此方案通常是為遠程用戶實現(xiàn)的。

?Kerberos Kerberos是一個根據票證執(zhí)行驗證的制定得很好的協(xié)議。其命名是根據希臘神話中守衛(wèi)冥王大門的長有三頭的看門狗做的。定名是貼切的，因為Kerberos是一個三路處理方法，根據稱為密匙分配中心（KDC）的第三方服務來驗證計算機相互的身份，并建立密匙以保證計算機間安全連接。

票證是由稱為KDC(密鑰分發(fā)中心)的專用安全服務器發(fā)放的加密數(shù)據分組。KDC通常在企業(yè)網的內部進行維護，而企業(yè)網是KDC的授權區(qū)或管轄區(qū)。當用戶登錄時，由KDC處理驗證。如果用戶驗證正確，則KDC向該用戶頒發(fā)票證(稱為“票證授權票”或TGT)。當此用戶希望訪問某個網絡服務器時，KDC檢查自己先前提供給用戶的TGT(以校驗票證依然可信)，然后向用戶頒發(fā)服務票證，以允許用戶訪問目標服務器。目標服務器具有自己的校驗票證以確認用戶可信的方法，并根據預定義的訪問控制授予用戶訪問權限。

Kerberos協(xié)議基本上是可行的，因為每臺計算機分享KDC一個秘密，KDC有兩個部件：一個Kerberos認證服務器和一個授票服務器。如果KDC不知請求的目標服務器，則求助于另一個KDC完成認證交易。Kerberos是一種網絡認證協(xié)議，允許一臺計算機通過交換加密消息在整個非安全網絡上與另一臺計算機互相證明身份。一旦身份得到驗證，Kerberos協(xié)議給這兩臺計算機提供密匙，以進行安全通訊對話。Kerberos協(xié)議認證試圖等錄上網用戶的身份，并通過使用密匙密碼為用戶間的通信加密。

?證書、公鑰和PKI(公共密鑰基礎結構) 如果要求安全登錄到因特網服務器或其他公共服務器，則證書方案是適當?shù)摹ＷC書基本上是數(shù)字ID，它受眾所周知的證書頒發(fā)機構(如VeriSign)保護。它可以證明在連接另一端的人是其所說的身份。此方案使用公鑰加密，并為用戶提供一種方法，以向您提供其用于身份驗證的公鑰，以及在客戶端和服務器之間加密會話。此方案與Kerberos的區(qū)別是Kerberos要求聯(lián)機安全服務器對用戶進行驗證。證書是自包含的數(shù)據分組，其中包括對用戶進行驗證所需的所有內容。但是，它要求某實體頒發(fā)證書。這可以通過公共服務(如VeriSign)完成，可通過內部證書服務器完成(當公司希望頒發(fā)自己的證書給雇員時)。

?

?ZOOMIT VIA 一個元目錄服務，它使得設計、自定義和布署統(tǒng)一的企業(yè)目錄服務變得容易。對于此討論最重要的是，VIA對多個系統(tǒng)提供一次注冊。