安全网络中认证授权主要技术介绍肖慧程冲V.doc

华为技术有限公司研究管理部文档中心产品版本密级1.3内部公开产品名称：安全网络中认证授权主要技术介绍共 22 页安全网络中认证授权主要技术介绍 拟制肖 慧 101159程 冲 104328日期2007年10月22日审核朱彦 52071日期2007-10-22审核日期批准日期 华为技术有限公司版权所有 侵权必究修订记录日期修订版本描述作者2007-10-171.0初稿完成。肖慧00101159程冲001043282007-10-221.1对行文的修改，以及CA和AD部分的内容进行了调整。程冲001043282007-11-071.2针对组内文档评审过程中的意见进行了修改。程冲001043282007-12-121.31）增加Radius报文交互说明2）增加LDAP三种认证机制和报文交互说明3）增加CA证书格式的说明4）增加Kerberos交互说明5）增加Anmeng公司SecurID认证机制说明6）增加参考文献7）调整文章的行文以及图表格式等程冲00104328肖慧00101159目录安全网络中认证授权主要技术介绍11、引言52、Radius62.1 Radius基本介绍62.2 Radius的主要特性62.3 Radius使用场景72.4 Radius涉及协议简介83、LDAP83.1 LDAP基本介绍83.2 LDAP主要特性83.3 LDAP应用场景93.4 LDAP涉及协议简介104、CA124.1 CA基本介绍124.2 CA主要特性134.3 CA应用场景144.4 CA涉及协议简介145、其他认证方式165.1 AD基本介绍以及特性165.2 SecurID简介195.3各种认证授权方式的比较206、后记217、参考文献22安全网络中认证授权主要技术介绍摘 要：本文介绍了网络认证授权的几种主要技术：Radius、LDAP、CA、AD、SecurID等，并对其进行相应的分析对比。关键词：网络认证 网络授权 Radius LDAP CA AD SecurID缩略语清单： 缩略语英文全名中文解释RadiusRemote Authentication Dial In User Service远程认证拨号用户服务协议LDAPLightweight Directory Access Protocol轻量级目录访问协议CACertification Authority证书颁发机构ADActive Directory活动目录NASNetwork Access Server网络接入服务器PKIPublic Key Infrastructure 公钥基础设施SecurIDSecure Identifier安全标识SSLSecure Sockets Layer安全套接字层PKCS Public-Key Cryptography Standards 公开密钥加密标准SASLSimple Authentication and Secure Layer简单认证与安全层NASNetwork Access Server网络接入服务器KDCKey Distribution Center密钥分配中心TGSTicket Granting Server门票分配服务器1、引言网络安全是Internet必须面对的一个实际问题，作为一个综合性的技术，我们需要从以下几个方面考虑整个网络的安全：1、保护网络物理线路不会轻易遭受攻击2、有效识别合法和不合法的用户3、实现有效的访问控制4、保证内部网络的隐蔽性5、有效的访问手段，重要的数据重点保护6、对网络设备、网络拓扑的安全管理7、病毒方法8、提高安全防范意识这上面的第2和第3条措施就分别从认证和授权这两个角度来保障网络的安全。提及认证授权技术，就不能忽视AAA，即Authentication（认证）、Authorization（授权）、Accounting（计费）。它是一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。这里的网络安全主要指访问控制，包括哪些用户可以访问网络服务器；具有访问权的用户可以得到哪些服务；以及如何对正在使用网络资源的用户进行记账。AAA的整体实现结构如下图所述：图1-1在AAA这个一致性框架下，有很多具体的实现机制，比如Radius就是其中一员，基于UDP协议的Radius报文是NAS和Radius服务器之间的交互手段。认证授权方法分门别类，各行起道，如：Radius、LDAP、CA、AD、SecurID等。同时由于其特点各异，也适合不同的应用场景，比如Radius主要适用于远程拨号用户，不仅可以认证、授权还可以实现计费功能；而SecurID只能用于认证，通过增加密码以外的第二个物理认证因素使得认证的确定性按指数递增。正是由于认证授权方法的多样化，就迫切地需要我们对其进行总结分类和比较，掌握其主要原理、特点、适用场景，这也是本文的主旨所在，给大家提供一个直观的印象和一个深入学习的RFC导向，但是对每一种具体认证方式不做深入剖析，点到为止。2、Radius2.1 Radius基本介绍Radius（Remote Authentication Dial In User Service，远程认证拨号用户服务协议）是目前使用最广泛、也是最流行的用于实现对远程电话拨号用户的身份认证、授权和计费的协议。Radius协议的认证授权端口号为1812，计费端口号为1813。虽然RFC2865上明确说明1645端口已用于datametrics服务，RFC2866也指明1646端口用于sa-msg-port服务，但是现在很多服务器仍缺省地使用这两个端口。Radius采用典型的客户/服务器（Client/Server）结构，有两种认证方式，一种本地认证方式，客户端和服务器端都在NAS上；另一种Radius服务器认证方式，NAS作为客户端，Radius服务器作为服务器端。第二种认证方式使用最为普遍，NAS作为客户端负责传输用户信息到指定的Radius服务器，然后根据从服务器返回的信息进行相应处理（如接入/挂断用户）。Radius服务器通过建立一个唯一的用户数据库，存储用户名和用户密码来进行认证；存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS计费通过在会话的开始和结束的时候发送包含有关会话的消息执行。RADIUS计费功能允许在服务开始和结束时发送数据，标识会话期间众多信息中资源的数量。2.2 Radius的主要特性翻阅RFC2865，其第一章就阐述了Radius协议四个关键特性：1、 客户/服务器模式（Client/Server)网络接入服务器（NAS）是作为Radius的客户端运作的。这个客户端负责将用户信息传递给指定的Radius服务器，并负责执行返回的响应。Radius服务器负责接收用户的连接请求，认证用户，并为客户端返回所有为用户提供服务所必须的配置信息。一个Radius服务器可以为其他的Radius服务器或其他种类认证服务器担当代理。2、 网络安全（Network Security）客户端和Radius服务器之间的事务是通过使用一种从来不会在网上传输的共享机密进行鉴别的。另外，在客户端和Radius服务器之间的任何用户密码都是被MD5异或运算后传输的。3、 灵活的认证机制（Flexible Authentication Mechanisms）Radius服务器能支持多种认证用户的方法。当用户提供了用户名和原始密码后，Radius服务器可以支持点对点的PAP认证（PPP PAP）、点对点的CHAP认证（PPP CHAP）、UNIX的登录操作（UNIX Login）和其他认证机制。4、 扩展协议（Extensible Protocol）Radius协议具有很好的扩展性。Radius包是由包头和一定数目的属性（Attribute）构成的。所有的属性都是通过Attribute-Length-Value这样的三元组构成的，而且新的属性可以在不中断已存在协议执行的前提下进行增加。2.3 Radius使用场景正如前面介绍的，Radius采用典型的客户/服务器（Client/Server）结构：1） Radius的客户端通常运行于NAS上，Radius服务器通常运行于一台工作站上，一台Radius服务器可以同时支持多个Radius客户（NAS）。2） Radius的服务器上存放着大量的信息，NAS上无须保存这些信息，而是通过Radius协议对这些信息进行访问。3） Radius服务器可以作为一个代理，以客户的身份同其他的Radius服务器或者其他类型的认证服务器进行通信。用户的漫游通常就是通过Radius代理实现的。简单地说，代理就是一台服务器，可以作为其他Radius服务器的代理，负责转发Radius认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的Radius服务器进行认证。Radius认证授权报文主要包括：Access-request、Access-accept、Access-reject、Access-challenge，而计费报文主要是Accounting-request、Accounting-response。其中Radius认证功能：主要验证用户名的合法性，通过Access-request报文进行验证；Radius授权功能：Radius服务器在认证成功后的响应中加入用户ACL、带宽等属性下发给客户端，实现授权功能；Radius计费功能：主要是实现相关的计费策略和计费方法。最常用的场景如下：图2-1NAS给Radius服务器发Access-Request报文请求认证，Radius服务器则回应Access-Accept报文表明认证通过，或是Access-Reject报文表明认证失败。Access-Accept报文中包含了相关的访问属性，NAS可以据此进行授权操作。而Radius服务器通过发送Accounting-Request报文请求计费，NAS则回应Accounting-Response表明计费开始。计费结束也是同样的Accounting-Request和Accounting-Response报文交互。2.4 Radius涉及协议简介Radius涉及到的最主要的RFC有两个，一个是RFC2865，有关认证授权；一个是RFC2866，有关计费。具体的Radius相关协议的RFC列表如下：协议类型RFC编号RFC标题描述AuthenticationRFC2865Remote Authentication Dial In User Service (RADIUS)AccountingRFC2866RADIUS AccountingRFC2867RADIUS Accounting Modifications for Tunnel Protocol SupportExtensionsRFC2868RADIUS Attributes for Tunnel Protocol SupportRFC2869RADIUS Extensions表2-13、LDAP3.1 LDAP基本介绍LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）是由美国Michigan大学研发的新的目录访问协议，是一个信息目录，基于树形结构。它是在继承了X.500标准的所有优点的基础上发展起来的，并对其进行了改进。LDAP协议从1993年批准，产生了LDAP V1版本，随后于1997年发布了第三个版本LDAP V3，它的出现是LDAP协议发展的一个里程碑性标志，使得LDAP协议不仅仅作为X.500的简化版，同时提供了LDAP协议许多自有的特性，。样一来， LDAP协议功能更为完备，具有了更大的生命力。LDAP默认端口号为389，基于TCP协议。LDAP提供三种认证机制：匿名认证、基本认证、SASL（Simple Authentication and Secure Layer，简单认证与安全层）认证。其中，匿名认证是不对用户名进行认证；基本认证通过用户名和密码进行身份识别，又分为简单密码认证和摘要密码认证；SASL则提供了一种认证框架，它融合了各种的认证机制，如Anonymous、CARM-MD5、External、GSSAPI、Kerberos以及SecurID等。同时LDAP还提供在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。LDAP访问控制异常灵活和丰富，用户数据管理和访问标识是一体的。在LDAP中，可以把整个目录、目录的子数、指定条目、特定条目属性集或符合某过滤条件的条目作为控制对象进行授权；可以把特定用户、属于特定组或所有目录用户作为授权主题进行授权；还可以对特定位置（例如IP地址或DNS名称）进行访问。3.2 LDAP主要特性LDAP的主要特性如下：1、 卓越的检索性能由于树形结构，LDAP Server在处理大量用户并发访问问题上优势明显，具有比关系数据库系统更快的响应速度。2、 完善的安全机制LDAP Server通过访问控制列表ACL设置对目录数据的读和写的权限，通过支持基于SSL(Secure Sockets Layer，安全套接字层)的安全机制完成对明文加密，为金融、电信、公安等行业提供更安全的保障。3、 跨平台支持由于 LDAP Server 运行在 TCP/IP 上层，互联网上的各种应用无论是运行在Unix下还是Windows下，都可以通过TCP/IP访问LDAP Server上的目录信息。4、 同步复制功能分布在不同地域的两台目录服务器通过使用“推”、“拉”技术使服务器保持数据的同步和一致。除此之外，还具备可扩展性强，费用低廉以及维护简单等特点，正是由于这些强大的优势，在信息安全、科学计算、网络管理、电子政务管理等行业领域应用广泛。RFC3377介绍了LDAP V3的规范，除了介绍LDAP的语法结构、URL格式等，还介绍了LDAP安全机制以及基于SSL传输的LDAP。这里还需要说明的是，LDAP这种树状结构适合于相对稳定的数据存储，这和关系数据库中频繁变更的数据结构截然不同，这个特点也使得其在查找数据条目时具有得天独厚的速度优势。3.3 LDAP应用场景LDAP也是基于C/S架构的，LDAP服务器负责对来自应用服务器的请求进行认证，同时还指定用户登录的应用服务器所允许访问的资源范围等，主要应用场景如下：图3-1下面再具体看一下LDAP协议的认证与授权的交互流程图：图3-2客户端会先发送Bind Request报文对管理员进行绑定认证；绑定成功后，发送Search Request报文查找待认证用户的相关属性；当客户端获取到相关属性后，再发送Bind Request报文绑定认证这个用户。LDAP授权则是先绑定管理员，然后直接通过Search Request报文获取用户的相关访问规则。图3-3是LDAP授权的交互流程图：图3-3LDAP报文有多种类型，Bind、Search、add、Del等，Bind Request报文主要用于认证，除了匿名认证，LDAP服务器会要求在访问相关权限的目录之前先要进行Bind认证。Search Request则用于查询LDAP服务器上的相关树状条目。这里需要注意的是，不管有没有查询到相关的条目（Entry），即只要是查找成功或是查找结束，LDAP服务器都会在Search Result报文中返回Success。3.4 LDAP涉及协议简介LDAP的RFC文档分为Initial LDAP specs、LDAP V3 specs、 Additional LDAP specs三类，我们都能在LDAPman网站上（www.ldapman.org）找到，具体的协议与RFC列表如下：LDAP规范RFC编号RFC标题描述Initial LDAP specsRFC 1487X.500 Lightweight Directory Access Protocol (obsoleted by RFC 1777)RFC 1558A String Representation of LDAP Search Filters (obsoleted by RFC 1960)RFC 1777Lightweight Directory Access ProtocolRFC 1778The String Representation of Standard Attribute SyntaxesRFC 1779String Representation of Distinguished NamesRFC 1959An LDAP URL Format (obsoleted by RFC 2255)RFC 1960A String Representation of LDAP Search Filters (obsoleted by RFC 2254)LDAP v3specsRFC 2251LDAPv3: The specification of the LDAP on-the-wire protocolRFC 2252LDAPv3: Attribute Syntax DefinitionsRFC 2253LDAPv3: UTF-8 String Representation of Distinguished NamesRFC 2254LDAPv3: The String Representation of LDAP Search FiltersRFC 2255LDAPv3: The LDAP URL FormatRFC 2256A Summary of the X.500(96) User Schema for use with LDAPv3Additional LDAPspecsRFC 1823The LDAP Application Program InterfaceRFC 2079Definition of an X.500 Attribute Type and an Object Class to Hold Uniform Resource IdentifiersRFC 2116X.500 Implementations Catalog-96RFC 2164Use of an X.500/LDAP directory to support MIXER address mappingRFC 2247Using DNS Domain names in LDAP/X.500 Distinguished NamesRFC 2307An Approach for Using LDAP as a Network Information ServiceRFC 2377Naming Plan for Internet Directory-Enabled ApplicationsRFC 2559Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2RFC 2596Use of Language Codes in LDAPRFC 2649An LDAP Control and Schema for Holding Operation SignaturesRFC 2696LDAP Control Extension for Simple Paged Results ManipulationRFC 2829Authentication Methods for LDAPRFC 2830Lightweight Directory Access Protocol (v3): Extension for Transport Layer SecurityRFC 3377Lightweight Directory Access Protocol (v3): Technical Specification表3-14、CA4.1 CA基本介绍网络上商业应用的大规模繁殖，对网络安全和网络信用的要求越来越高。电子交易行为随处所见，为了确保交易的顺利进行，必须在互连网中建立并维护一种可以信任的环境和机制。为了应对这种对安全的需求，国际上提出了基于公钥基础设施（PKI）的数字证书解决方案，已被普遍采用。PKI（Public Key Infrastructure，公钥基础设施）是在公开密钥的理论和技术基础上发展起来的一种综合安全平台。它能够为所有网络应用透明地提供加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事各种活动。CA（Certification Authority，证书颁发机构）是PKI的核心执行机构，是PKI的主要组成部分，在业界通常把它称为认证中心。它是一种权威性、可信任性和公正性的第三方机构。认证机构CA的建设要根据国家市场准入政策由国家主管部门批准，具有权威性；CA机构本身的建设应具备条件、采用的加密算法及技术保障是高度安全的，具有可信任性；CA是不参与交易双方利益的第三方机构，具有公正性。CA认证机构在电子签名法中被称作“电子认证服务提供者”。CA的组成主要有证书签发服务器、密钥管理中心、目录服务器等。证书签发服务器负责证书的签发和管理，包括证书归档、撤销和更新等等；密钥管理中心主要负责用硬件加密机产生公/私密钥对，提供CA证书的签发；目录服务器负责证书和证书撤销列表（CRL）的发布和查询。CA主要有五种模式：1、级联模式，类似于LDAP的树状结果，适用于一个组织机构内部。2、网状模式，现在应用较少，适用于一个机构内部或者是数目不多的多个机构。3、混合模式，是级联模式和网状模式的混合体，适用于数目不多的多个机构。4、桥接模式，是公司之间、国家之间必选的一种模式，适用于数目不限的多个机构。5、多根模式，CA内置于浏览器中，访问WEB网站，适用于多个机构。下面是个CA级联模式的结构图：图4-1从上图可以看出，注册机构（RA）相当于密钥管理中心，负责接受终端实体的请求，并对终端实体进行注册认证等操作；认证机构（CA）相当于证书的签发服务器，负责证书签发、更新等操作。当然，组织机构比较小的情况下，RA与CA可以合二为一。下面是个CA证书的式例：图4-24.2 CA主要特性通过自动管理密钥和证书，对要传输的数字信息进行加密和签名，保证信息传输的机密性、完整性、鉴别性和不可抵赖性，从而保证信息的安全传输。具体特性如下：1、 机密性数据的保密性服务，数字签名确保数据在传输过程中，除了接收者之外，无人能访问数据的关键部分。2、 完整性数据的完整性服务，确保数据在传输和存储过程中，没有有意或无意的修改；PKI 采用数字签名和消息认证码MAC实现完整性服务。3、 鉴别性认证的安全性服务，确保发送方与接收方的真实身份，即身份识别与鉴别，PKI采用数字签名技术实现认证。4、 不可抵赖性抗抵赖性服务，即不可否认性服务，PKI 采用身份认证的机制确保发送方不能否认其发送的信息。4.3 CA应用场景CA应用场景包括：1） 商业应用，涉及到电子交易行为时引用较为广泛。（SET）2） 访问Web服务器。（SSL）3） 安全电子邮件（S/MIME）4） 虚拟专用网（VPN）Windows域登陆（IPSEC，SSL VPN）下图反映了CA在整个安全体系中的位置和作用：图4-34.4 CA涉及协议简介CA整个流程涉及到的标准协议：CA证书流程涉及到的协议/协议族证书格式X.509密钥生成PKCS系列证书签发X.500、X.509、PKCS系列、SCEP证书吊销OCSP、LDAP、AD、SCEP证书验证X.509、PKCS系列证书存储LDAP、AD、X.500表4-1上表中，CA涉及最多协议族的就是X.500、X.509、PKCS三种。X.500是一套已被国际标准化组织(ISO)接受的目的服务系统标准，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象，被认为是实现目录服务器的最佳途径。X.509国际电信联盟ITU X.509协议，是PKI技术体系中应用最为广泛、也是最为基础的一个国际标准。它主要目的在于定义一个规范的数字证书的格式，以便为基于X.500协议的目录服务提供一种强认证手段。目前国内使用的是X.509v3 格式的证书。PKCS（Public-Key Cryptography Standards，公开密钥加密标准）是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准，PKCS 目前共发布过 15 个标准。常用的有：（1） PKCS#7 Cryptographic Message Syntax Standard（2） PKCS#10 Certification Request Standard（3） PKCS#12 Personal Information Exchange Syntax Standard目前，由PKCS和X.509派生出多种数字证书格式，例如：（1） PKCS#7 常用的后缀是：*.P7B、 *.P7C、*.SPC（2） PKCS#12 常用的后缀有：*.P12、*.PFX（3） X.509 DER 编码(ASCII)的后缀是：*.DER、*.CER、*.CRT（4） X.509 PAM 编码(Base64)的后缀是：*.PEM、*.CER、*.CRT 这三种协议族对应的RFC列表如下：协议类型RFC编号RFC标题描述X.500RFC1279 X.500 and DomainsRFC1487X.500 Lightweight Directory Access ProtocolRFC1488The X.500 String Representation of Standard AttribRFC1562Naming Guidelines for the AARNet X.500 Directory ServiceRFC1567X.500 Directory Monitoring MIBRFC1632A Revised Catalog of Available X.500 ImplementationsRFC1943Building an X.500 Directory Service in the USRFC2079Definition of an X.500 Attribute Type and an Object Class to Hold Uniform Resource Identifiers(URLs)RFC2116X.500 Implementations Catalog-96RFC2120Managing the X.500 Root Naming ContextRFC 2256LDAPv3: A Summary of the X.500(96) User Schema for use with LDAPv3RFC 2247Using Domains in LDAP/X.500 Distinguished NamesX.509RFC 2459Internet X.509 Public Key Infrastructure Certificate and CRL ProfileRFC 2510Internet x.509 Public Key Infrastructure Certificate Management Protocols RFC 2511Internet X.509 Certificate Request Message FormatRFC 2528Internet x.509 Public Key Infrastructure Representation of Key ExRFC 2560X.509 Internet Public Key Infrastructure Online Certificate Status Protocol(OCSP)RFC 2559X.509 Internet Public Key Infrastructure Online Certificate Status Protocol(OCSP)RFC 3029Internet X.509 Public Key Infrastructure Data Validation and Certification Server ProtocolsRFC 3161Internet x.509 Public Key Infrastructure Time-Stamp Protocol(TSP)RFC 3280Internet x.509 Public Key Infrastructure Certification and Certificate Recovation List(CRL) ProfileRFC 4043Internet X.509 Public Key Infrastructure Permanent IdentifierRFC 4059Internet x.509 Public Key Infrastructure Waqrranty Certificate Extension Warranty Certificate ExtensionRFC 4683Internet X.509 Public Key Infrastructure Subject Identification Method(SIM)PKCSRFC 2313PKCS #1: RSA Encryption Version 1.5RFC 2437PKCS #1: RSA Cryptography Specifications Version 2.0RFC 2898PKCS #5: Password-Based Cryptography Specification Version 2.0RFC 2986PKCS #10: Certification Request Syntax Specification Version 1.7PKCS #7: Cryptographic Message Syntax Standard. Version 1.5PKCS #12: Personal Information Exchange Syntax Standard. Version 1.0表4-25、其他认证方式5.1 AD基本介绍以及特性AD（Active Directory，活动目录）是一种存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。活动目录将安全性通过登录身份验证以及目录对象的访问控制集成在一起，通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。活动目录是目录服务的异类，它保存网络上所有的资源和可以访问活动目录的客户在活动目录中信息以安全的形式保存，每个活动目录中的对象有一个访问控制表(ACL)，在其中有资源的列表和访问权限。AD的主要特点如下：（1） 信息以安全形式保存，每个活动目录中的对象有一个访问控制表(ACL)，在其中有资源的列表和访问权限。（2） 由活动产生的全局类目使查询更加灵活，任何支持活动目录的客户都可以查询这个类目。（3） 将目录复制到所有域控制器，意味着对域名的访问更容易，而且可靠性更好。（4） 由对象组成的层次结构，其中任何一个对象(根目录除外)又被另外的对象包含。（5） 因为它的基础是X.500，所以它可以在不同的协议基础上进行通信。 AD认证一般是通过Kerberos协议进行的，Kerberos协议的精髓是整个鉴别体系依赖可信的第三方认证服务。其典型交互流程如下：KDC ASKDC TGSUser/ClientApplication Server123456图5-1上图中，KDC AS（KDC Authentication Server）是Kerberos认证服务器，也是客户与其交互的第一个子协议，而KDC TGS（KDC Ticket-Granting Server）是Kerberos的票据分配服务器，是颁发票据的子协议，可以有一个或多个。我们可以这样看待整个认证体系：User首先通过了AS的认证，即User与AS是相互信任的，而AS与TGS已是相互信任的，这样User与TGS之间的相互认证就可以通过AS来进行。以此类推，User已与TGS相互信任，而TGS又与Application Server相互信任，User与Application Server之间的相互认证就可以通过TGS来进行。AD的应用场景如下所示：图5-2AD支持的标准协议如下：协议用途DHCP协议网络地址管理动态DNS更新机器名称管理SNTP分布式网络时间管理LDAP目录访问LDIF目录同步Kerberos身份认证X.509身份认证表5-1活动目录使用域名系统 (DNS)来为服务器目录命名，DNS是将更容易理解的主机名（如Mike.Mycompany.com）转换为数字IP地址的Internet标准服务，利于在TCP/IP网络中计算机之间的相互识别和通讯。AD的命名规范与LDAP类似，基于X.509规范，同时兼容LDAP协议和Kerberos协议。所以说AD是在大型目录中对现存模型X.500，LDAP和DNS的实现。AD涉及的协议与RFC参考如下：协议类型RFC编号RFC标题描述DHCPRFC 951BOOTSTRAP PROTOCOL (BOOTP)RFC 1084BOOTP Vendor Information ExtensionsRFC 1123Requirements for Internet Hosts - Application and SupportRFC 1533DHCP Options and BOOTP Vendor ExtensionsRFC 1534Interoperation Between DHCP and BOOTPRFC 1497BOOTP Vendor Information ExtensionsRFC 1541Dynamic Host Configuration ProtocolKerberosRFC 1510The Kerberos Network Authentication Service (V5)RFC 1964The Kerberos Version 5 GSS-API MechanismDNSRFC 1034DOMAIN NAMES - CONCEPTS AND FACILITIESRFC 1035DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATIONRFC 1123Requirements for Internet Hosts - Application and SupportRFC 1886DNS Extensions to support IP version 6RFC 1995Incremental Zone Transfer in DNSRFC 1996A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY)RFC 2136Dynamic Updates in the Domain Name System (DNS UPDATE)RFC 2181Clarifications to the DNS SpecificationRFC 2308Negative Caching of DNS Queries (DNS NCACHE)RFC 2535Domain Name System Security ExtensionsRFC 2671Extension Mechanisms for DNS (EDNS0)RFC 2782A DNS RR for specifying the location of services (DNS SRV)LDIFRFC 2849The LDAP Data Interchange Format (LDIF) - Technical SpecificationSNTPRFC 1769Simple Network Time Protocol (SNTP)表5-25.2 SecurID简介Microsoft Internet Security and Acceleration (ISA) Server 2004 引入了基于 RSA Security 公司的 RSA SecurID 产品的身份验证凭据进行用户身份验证的功能。ISA Server 能够通过要求RSA SecurID 身份验证保护Web站点并对远程虚拟专用网络 (VPN) 客户端进行身份验证。SecurID安全解决方案建立在双因素认证技术的基础上，该方法的前提是一个单一的记忆因素（如密码），但密码本身只能对真实性进行低层的认证。因为当任何人听到或者盗窃到密码时，它就会被完全冒用，因此需要增加第二个物理认证因素，以便认证的确定性按指数递增。除了RSA公司以外，四川安盟（Anmeng）公司也提供SecurID认证服务。安盟公司也明确指出这种双因素认证要比口令安全的多，因为为了确认身份，用户必须出示如下两个认证因子：1） 只有用户本人知道的用户个人身份认证码(PIN)2） 一个不能够造假或猜测的最近生成的安盟SecurID令牌码。这些认证因子组合起来形成一个用户的安盟SecurID PASSCODE，安盟SecurID令牌（其中一个构成因子）生成用户的PASSCODE的令牌码那部分。安盟SecurID令牌包括安盟SecurID PINPAD卡，安盟SecurID标准卡或安盟SecurID钥链这些硬件设备。那些要访问在安盟ACE/Agent保护下的资源的用户，他们要被提示输入他们的PASSCODE。用户输入了PASSCODE后，Agent通过网络向安盟ACE/Server发送认证请求来确定这个PASSCODE的有效性。如果PASSCODE有效，用户被授权访问被保护的资源。一张安盟卡就在服务器上对应一个PIN码，而安盟卡上的随机码是一分钟变化一次，它是个随机数。用户登录时，输入PIN码和随机码，将其作为密码传到服务器进行认证的。5.3各种认证授权方式的比较前面介绍了Radius、LDAP、CA、AD、SecurID等五种认证授权方式，各有特色，我们首先通过下表来比较这五种认证方式的功能、特点和适用环境：认证方式功能特点适用环境Radius认证、授权、计费1、网络安全2、灵活的认证方式3、协议可扩展目前使用最广泛、也是最流行的用于实现对远程电话拨号用户的身份认证、授权和计费的协议LDAP认证、授权1、信息查询速度快2、跨平台访问3、可扩展性强4、费用及维护简单在信息安全、科学计算、网络管理、电子政务管理等方面广泛应用CA认证、授权1、可用性2、机密性3、完整性4、非否认性商业应用（电子交易行为）、访问Web服务器、安全电子邮件、虚拟专用网（VPN）Windows域登陆（IPSEC，SSL VPN）等AD认证、授权1、信息的安全性增加2、系统的管理更加明朗3、有很强的可扩展性和伸缩性4、智能的信息负责能力5、与DNS集成紧密6、与其他目录服务有互操作性各种商业应用、跨国机构等SecurID认证1、RSA/安盟公司的私有协议各种商业应用、跨国机构等表5-3Radius主要完成了认证、授权、计费的功能，是AAA架构下的一个基本协议。在网络运营商中应用较为广泛。而其认证方式包括PAP、CHAP、EAP等，使得在网络通信中Radius有广泛的应用。LDAP完成认证、授权功能。目前大型网络的应用系统中都存在着用户资源较分散，用户所在平台不同、资源无法进行有效的共享、管理等问题。而LDAP的出现，以其树状结构的目录服务技术解决了上述的问题。LDAP最大的适用场景，或者说不同于关系数据库的场景是，尤其适用于在相对稳定的存储结构上查找数据。LDAP还适用于不同的平台，同时LDAP服务器非常灵活，管理员可以根据自身的网络情况来定义树状结构，和用户的ACL规则。相对于Radius，LDAP的身份认证分为匿名认证、基本认证、SASL认证，最大限度的兼容了易用性与安全性。为了保证网络安全性，CA证书认证身份被广泛的引用。数字证书认证中，用户证书全部都是权威机构CA发行的，人们在交往时用它来识别身份。根据应用场景不同，证书机构也不同，对一个组织内部而言，使用较多的是级联模式，类似于LDAP的树状结构，而多个组织之间需要互相认证的话，使用较多的是桥接模式（每个组织内部是级联模式），而组织之间或国家之间通过一个桥证书机构相互联系，并相互认证。实际应用中，CA证书通常放置在USB Key中，即数字证书身份验证是通过软件和硬件共同完成了。证书和LDAP格式都遵循x.509格式，而证书存储以及证书吊销列表都是存储在LDAP服务器中的。在活动目录（AD）之前的目录服务器，安装之后就相对固定了，如果要移动、删除等，代价相对来讲比较大。这样的目录服务器影响了整体使用效率，使系统整个管理非常复杂，微软公司为了解决上述问题，提出了活动目录的概念，由于这个目录服务是动态的，它可以做到“由此及彼”的联想、映射。大大减少了网络维护的开销。由于活动目录结合DNS、DHCP等协议，同时由于Windows平台使用及其广泛，使得活动目录在企业内部网络中得到广泛的使用。活动目录的命名规范遵循x.509，同时兼容LDAP协议。SecurID则是RSA/安盟的私有协议，它通过一个物理认证因素使得安全性指数级增加，试想本事再大的黑客获取密码之后也没有这张物理的密钥卡还是只能仰天长叹。6、后记本文试图在从一个联系发展的角度阐述这么多纷繁复杂的认证授权方法，但限于水平和篇幅的原因，我们没能展开来深入探讨每一种认证授权方法，也没能够把这些认证授权方法联系起来进行一个考量，我们只希望能通过这一张张简表、一幅幅略图来给大家一个最直观的印象，它是什么，是怎么做的。我们也希望通过我们搜集来的这一条条RFC，像一串串思维火花能激起大家深入研究认证授权整个大框架的兴趣，抑或是一径径林间小路引导大家通往网络安全壮美风景的顶端。时隔近两个月，在本文的指引下，一篇篇深入研究认证授权技术的文章横空出世，他们是Radius协议及相关属性探究、基于PKI的安全设备应用场景分析、Kerberos V5协议实战分析、LDAP协议探究等。而随着认识水平的提高，原有的论述中也暴露出一些问题，此次一并改正。我们真正能够期望本文能成为整个认证授权领域有参考价值的力作，更希望她能与其他研究总结能够遥相呼应，最终推进形成整个认证授权技术研究的大框架。7、参考文献1、Rigney, C., Willens, S., Rubens, A. and W. Simpson, Remote Authentication Dial In User Service (RADIUS), RFC 2865, June2000.2、Rigney, C., RADIUS Accounting, RFC 2866, June 2000.3、Neuman, C., Yu, T., Hartman, S., and K. Raeburn, The Kerberos Network Authentication Service (V5), RFC 4120, July 2005.4、Kohl, J. and C. Neuman, The Kerberos Network Authentication Service (V5), RFC 1510, September 1993.5、W.Yeong, T.Howes, S.Kille, “Lightweight Directory Access Protocol”, March 19956、M.Wahl ,T.Howes, Isode Limited, ”Lightweight Directory Access Protocol(v3)”, RFC2251, December 19977、J. Hodges、R. Morgan. “Lightweight Directory Access Protocol (v3):Technical Specification”, September 20028、Merike Kaeo.网络安全性设计.2005.99、罗潇.RADIUS协议学习理解.2006.1010、齐忠厚.Kerberos协议原理及应用.计算机工程与科学.2000.511、李冰, 袁野, LD