魏 宏

（甘肅省成縣職業(yè)中等專業(yè)學(xué)校 甘肅 742500）

1 統(tǒng)一身份認(rèn)證系統(tǒng)簡介

統(tǒng)一身份認(rèn)證系統(tǒng)是集中對用戶的信息進(jìn)行認(rèn)證管理的環(huán)境，該系統(tǒng)可以管理用戶的身份和權(quán)限信息，以統(tǒng)一的用戶管理、身份認(rèn)證方式來為不同的應(yīng)用程序提供服務(wù)。

統(tǒng)一身份認(rèn)證系統(tǒng)主要的作用是將用戶的登錄信息和數(shù)據(jù)庫中的信息進(jìn)行對比，對客戶端的登錄請求進(jìn)行驗證，經(jīng)過驗證，若客戶端身份信息合法，認(rèn)證系統(tǒng)則向客戶端返回統(tǒng)一的認(rèn)證標(biāo)志（ticket），同時認(rèn)證系統(tǒng)需要對認(rèn)證標(biāo)志進(jìn)行驗證，保證認(rèn)證標(biāo)志的有效性。使用統(tǒng)一身份認(rèn)證后，用戶利用同一個用戶名和密碼就可以登錄多個應(yīng)用程序，方便用戶的記憶。

2 數(shù)據(jù)加密技術(shù)簡介

數(shù)據(jù)加密技術(shù)應(yīng)用在網(wǎng)絡(luò)中主要是為了提高數(shù)據(jù)存儲、傳輸?shù)陌踩?，避免?shù)據(jù)外泄的一種有效的技術(shù)手段。數(shù)據(jù)加密技術(shù)主要是采用密碼學(xué)中的技術(shù)將數(shù)據(jù)的明文信息進(jìn)行加密處理，如利用加密函數(shù)和加密密鑰的方式，將數(shù)據(jù)信息變換為密文信息，該密文信息不能被直接讀取，數(shù)據(jù)信息的接收方利用解密函數(shù)和解密密鑰對密文信息進(jìn)行解密，從而還原數(shù)據(jù)信息。數(shù)據(jù)加密技術(shù)實現(xiàn)了數(shù)據(jù)的隱蔽傳輸，為數(shù)據(jù)的傳輸過程提供安全保障。

數(shù)據(jù)加密技術(shù)主要包括對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)是指數(shù)據(jù)的發(fā)送發(fā)和數(shù)據(jù)的接收方使用同一個密鑰來處理數(shù)據(jù)加密解密的過程，這就需要數(shù)據(jù)的發(fā)送方和接收方提前商量一個共享密鑰，只要密鑰沒有泄露，就可以保證數(shù)據(jù)的保密性。非對稱密鑰技術(shù)是指數(shù)據(jù)的發(fā)送方和接收方使用不同的密鑰來處理數(shù)據(jù)加密和解密的過程，密鑰分為公鑰（e）和私鑰（d），公鑰用來加密，私鑰用來解密。使用非對稱密鑰，通信雙方不需要提前商定密鑰，解決了密鑰傳輸中的安全隱患，提高了數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄浴?/p>

3 基于統(tǒng)一身份認(rèn)證的數(shù)據(jù)加密技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

為了保證網(wǎng)絡(luò)數(shù)據(jù)的安全，提出統(tǒng)一身份認(rèn)證的數(shù)據(jù)加密技術(shù)，將其應(yīng)用在網(wǎng)絡(luò)安全中，保證數(shù)據(jù)在網(wǎng)絡(luò)中的安全性和保密性。本文主要對kerberos認(rèn)證服務(wù)進(jìn)行介紹。

kerberos即網(wǎng)絡(luò)認(rèn)證協(xié)議，它是第三方認(rèn)證系統(tǒng)，利用密鑰系統(tǒng)來實現(xiàn)客戶端/服務(wù)器之間的身份認(rèn)證，使服務(wù)器和客戶端實現(xiàn)雙向認(rèn)證，避免通信雙方身份造假的情況發(fā)生，提高系統(tǒng)和自身的安全性。kerberos協(xié)議采用對稱的加密算法，以較小的成本投入獲得較高的效率。

kerberos認(rèn)證系統(tǒng)主要包括認(rèn)證服務(wù)器（AS）、票據(jù)授權(quán)服務(wù)器（TGS）、服務(wù)器，其中 AS主要是用于驗證用戶登錄時的身份信息，AS與每一個用戶共享一個口令，TGS發(fā)放認(rèn)證票據(jù)，使客戶端所訪問的服務(wù)器相信持有TGS票據(jù)信息的客戶端是合法的，TGS與AS公用一個口令。利用kerberos認(rèn)證協(xié)議完成登錄的具體步驟如下：

（1）如果客戶端需要獲得服務(wù)器上的信息，首先應(yīng)該向kerberos認(rèn)證系統(tǒng)中的認(rèn)證服務(wù)器提出 TGS票據(jù)的請求，AS對提出請求的客戶身份進(jìn)行認(rèn)證，若身份合法，則將客戶端請求的票據(jù)信息返回到客戶端，該票據(jù)包括了相應(yīng)的密鑰，同時，TGS需要將客戶端相應(yīng)的身份信息存儲到數(shù)據(jù)庫中，以方便管理。

（2）客戶端接收到請求的 TGS票據(jù)，利用 TGS票據(jù)及kerberos會話密鑰簽名信息向kerberos認(rèn)證系統(tǒng)的TGS提出服務(wù)器的通行票據(jù)請求，統(tǒng)一身份認(rèn)證服務(wù)對kerberos服務(wù)請求票據(jù)進(jìn)行解密，獲得kerberos通信密鑰，并對簽名進(jìn)行驗證，若驗證合格，則返回客戶端所需的票據(jù)、經(jīng)過kerberos通信密鑰加密的認(rèn)證密鑰，以及相對應(yīng)的簽名信息。

（3）客戶端對簽名信息進(jìn)行驗證，根據(jù)所獲得的票據(jù)信息，用kerberos通信密鑰進(jìn)行解密從而獲得認(rèn)證密鑰，客戶端利用票據(jù)信息和認(rèn)證密鑰就可以對支持統(tǒng)一身份認(rèn)證的各個應(yīng)用系統(tǒng)進(jìn)行自由訪問。應(yīng)用程序通過對統(tǒng)一身份認(rèn)證服務(wù)進(jìn)行調(diào)用，來實現(xiàn)對客戶端身份的驗證，實現(xiàn)客戶端的訪問。

圖1為kerberos協(xié)議認(rèn)證模式。

圖1 kerberos認(rèn)證模式

現(xiàn)對kerberos協(xié)議在windows中的應(yīng)用進(jìn)行介紹。用戶在登錄windows網(wǎng)絡(luò)之前會根據(jù)用戶名和密碼進(jìn)行登錄。成功登錄要通過以下步驟：在登錄界面輸入用戶名和密碼；登錄界面將用戶名和密碼傳遞給本地安全授權(quán)進(jìn)行身份驗證；本地安全授權(quán)查詢數(shù)據(jù)庫，若用戶為合法用戶，則安全賬戶管理器返回用戶信息給安全授權(quán)，安全授權(quán)將創(chuàng)建一個訪問令牌；若此次登錄為域登錄，啟用kerberos認(rèn)證，即登錄界面將用戶名和密碼傳遞給密鑰分發(fā)中心KDC，KDC傳遞到AS進(jìn)行認(rèn)證，返回用戶會話密鑰，然后用戶采用會話密鑰向TGS取得訪問票據(jù)，從而自由訪問各個應(yīng)用程序。而用戶的信息在后臺被統(tǒng)一進(jìn)行管理，統(tǒng)一進(jìn)行身份認(rèn)證和授權(quán)。圖2顯示了windows系統(tǒng)中利用kerberos協(xié)議的單點域登錄認(rèn)證結(jié)構(gòu)。

圖2 單點域登錄認(rèn)證過程

4 結(jié)語

網(wǎng)絡(luò)安全是長期存在的問題，隨著計算機技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全越來越受到重視。密碼學(xué)作為保證網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一，應(yīng)用范圍非常廣。本文對統(tǒng)一身份認(rèn)證系統(tǒng)和數(shù)據(jù)加密技術(shù)的基本情況進(jìn)行介紹，重點講述了kerberos網(wǎng)絡(luò)認(rèn)證協(xié)議在網(wǎng)絡(luò)安全中的應(yīng)用，最大程度的保證用戶數(shù)據(jù)信息的安全性，為網(wǎng)絡(luò)的安全通信提供保障。

[1]青華. 數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用：安全技術(shù).2012（05）：91.

[2]繆黎明. 基于PKI的身份認(rèn)證和數(shù)據(jù)加密的研究[D].浙江大學(xué).2008.