TMSR超算平台中基于LDAP分布式统一认证系统研究
第1章绪论
1.1研究背景
计算机和互联网已逐渐深入到每个人的生活,现在是每个生命活中不可缺少不可代替的一部分。由于它们的方便快捷和智能准确,计算机和互联网更是深入到了企事业单位的日常生产和管理工作中去了。随着它们的普及,企事业单位对于它们的依赖也是日益加深。同时,计算机和互联网的使用也带来了很多问题。首先,由于企事业单位自身发展需要,它的网络架构和功能需求也在增加。当需要增加不同功能的多台服务器时,按照传统方法,网络工程师需要通过手动一台台地添加,不但麻烦而且效率低下。而集群系统架构的应用可以提高企事业单位网络的可扩展性和可用性。其次,企事业单位一般都有多个分公司或办公区,如果只设置一台认证服务器为员工服务,则存在很多弊端:物理上远距离的人员访问服务器将耗费更多的资源和等待时间;单一服务器无法支持同一时间大量用户同时访问一个服务器,会造成拥堵、响应时间慢的现象;用户的数据库信息都储存在同一个服务器之中导致安全风险,一旦该服务器被攻击或者损坏将造成数据库信息丢失不可用。多服务器的分布式身份认证系统可以解决并行、异地访问和用户数据库信息备份问题。再次,企事业单位生产中常常用到多种软件和程序系统,每种软件或系统都有自己的一套认证体系,有自己的账户名称格式和密码体系。为了使用公司网络环境中的各个应用系统,用户需要记忆不同的账户名和密码,这会产生很多问题:从信息角度看,会产生大量冗余身份数据,系统需要花费更多资源来存储这些数据库;从公司角度看,要维护这些不同的数据库会增加大量的维护成本;从用户角度看,记忆这么多用户名和密码也增加了不必要的负担,在不同应用切换中也要不停地重新认证身份,浪费时间;从安全角度看,密码过多容易忘记,而如果为了方便设置成统一密码,一旦该密码泄露,将威胁该用户所有信息的安全。采用分布式的轻量级目录访问协议(Light weight Directory Access Protocol, LDAP) 该技术能实现统一身份认证系统用户的身份认证,可以提高系统的安全性和用户操作的简易性。
..
1.2研究现状
由于企事业单位对统一身份认证的极大需求和人们的持续关注,国外有许多协议和产品都支持统一身份认证。其中比较典型的有MIT的erberos[2j[3]协议、Liberty协议、微软的Passport以及PI中的X.509数字证书认证技术。erberos协议是麻省理工学院为雅典娜计划而开发的一个网络认证协议。它使用密钥密码学为客户端与服务器提供强认证。X.509和erberos都是基于对称密钥技术的可信第三方认证协议,区别是X.509采用公钥加密体制,实现上更加简易明了。现阶段国内几乎没有成熟稳重的统一身份认证的商业产品,采用的都是国外开发的。目前应用较多的是LDAP认证技术。该协议是由X.500协议结合活动目录技术协议改进而来,原理是将用户账户存在统一的目录服务器中实现统一管理和认证。其优点是方便简易、安全可靠和扩展性好。国内已十分广泛应用LDAP目录服务,很多企事业单位如:中国电信、银行系统、国家电网等都建立了基于LDAP技术的统一认证和用户管理系统。随着统一身份认证系统在大型企事业单位的深入发展,LDAP服务的应用将成为各个领域信息资源标准化不可或缺的重要部分[6]。经过十几年快速发展,很多商业软件公司推出了以LDAP协议为基础的成熟稳重商品。例如,Active Directory 技术(Microsoft 公司提出);基于 XML 的技术 eDirectory(Novell公司提出);Tivoli Directory Server (IBM 公司提出);开源的 OpenLDAP (GNU 组织免费提供)等等。
..
第2章分布式LDAP相关技术概述
2.1 linux 集群
集群系统[14]是一组独立的相互连接的计算机的集合体,这些独立的计算机被称为集群系统的节点。集群系统是并行计算的物理载体,它可以在同一时间内处理多个数据或执行多条指令[15]。在一般情况下,节点数目的增加会提高集群的整体性能,集群不用更改其他过多的配置就可增加节点数目。集群运行大规模运算时,首先将运算分割,然后传送到各个计算节点运行。如果某个计算节点故障,自动接管工作将由其他节点进行。这样避免了由单个节点故障导致的整体运算失败[17]。集群系统一般由普通的PC和高速的网络组成,成本相对较低,并且计算能力也比传统信息共享的系统要高出很多[18]。
..
2.2分布式系统
分布式系统是一个其硬件或软件组件分布在连网的计算机上,组件之间通过传递消息进行通信和动作协调的系统[19]。分布式系统从广义上讲包含两层含义。第一层物理上的分布,即服务器物理地址不在同一处,可以相距很远也可以很近。第二层是服务器数量上的分布,即多台服务器提供用相同或相关的服务。身份认证(Authentication)是指系统对用户身份进行认证的过程,进而判断该用户有无权限访问该资源或者使用某些资源。身份认证技术是信息安全的第一道屏障,是一种识别和认证用户身份的机制[23],因此身份认证在整个信息安全中有着很重要的位置,它是其他安全机制的基础[25]。认证是为了验证发送信息者是合法的;验证发送的消息的是完整的[24]。有效的身份认证机制的切实实施,是保证安全审计、访问控制、入侵防范等安全机制的有效作用的保障[26]。身份认证的途径有三种[27]:第一种是用你所知道的来证明你自己;第二种是用你所拥有的来证明自己;第三种是用你特有的特征来证明自己。你所知道或拥有的信息都可能丢失、泄漏或被其他人窃取,因此只用两种来判断此人的真实身份是不可靠的。
..
第3章TMSR超算平台中分布式LDAP系统的分析与设计........15
3.1TMSR超算平台中分布式LDAP系统的需求分析........15
3.2TMSR超算平台的分布式LDAP系统的设计........18
3.3本章小结........28
第4章TMSR超算平台的分布式LDAP系统实现........30
4.1TMSR超算平台的环境........30
4.2LDAP软件安装与配置........33
4.3LDAP系统实现........36
4.4测试系统性能........44
4.5本章小结........44
第5章erberos认证机制的改进与实现........45
5.1erberos认证机制分析........45
5.2erberos协议的改进........48
5.3改进后erberos协议的实现........51
5.4改进后erberos协议的安全性分析........56
5.5本章小结........56
第5章erberos认证机制的改进与实现
5.1 erberos认证机制分析
erberos协议是麻省理工学院为雅典娜计划而开发的一个网络认证协议。它使用密钥密码学为客户端与服务器端提供强认证。erberos协议使用强密码学。在不安全的网络连接中,客户端通过此协议向服务器证明自己的身份;反之亦然。在客户端与服务器端分别利用erberos协议自证其身后,所有的通信过程也可以被加密来保证隐私和数据完整性。erberos假设其体系结构为许多用户工作站和分布(或集中)的服务器所组成的分布式体系结构,并拥有至少一个erberos服务器提供认证服务。此协议要满足以下需求:
(1)安全性:这个协议很难绕开,潜在的攻击者没法找到认证机制的弱点;监听者也没法得到有用信息来假扮他人。
(2)可靠性:访问分布式系统内的所有服务都依赖此认证服务,erberos不可信赖的话,其他服务的使用也不会可信。
(3)透明性:在理想情况下,除了输入密码,用户感觉不到整个认证过程的存在。
(4)可扩展性:随着分布式系统中用户工作站与服务器的增多,erberos仍然能够提供认证服务。
..
结论
本文针对TMSR超算平台的需求,在Linux集群的网络硬件架构上实现分布式的多台服务器的统一身份认证系统,同时满足运行的稳定和信息的安全。首先,学习了了与分布式LDAP相关的主要技术:分布式系统、统一身份认证、目录服务和LDAP协议等等。为之后的研究做了充足的理论储备和铺垫。其次,对TMSR超算平台中统一身份认证系统进行需求分析和针对性设计。从四个方面分析了 TMSR超算平台对身份认证系统的需求,包括整体需求,数据库需求、安全性需求和可用性需求。设计主要包括目录数据库的存储结构和条目的属性种类设计、安全性的权限控制列表设计、可用性的LDAP分布式服务器之间的同步方式设计。经多方面设计后基本满足系统的需求。再次,针对需求分析和设计所做的实现。安装搭建了基于Open LDAP软件的分布式统一身份认证系统。研究TMSR超算平台的软硬件环境;安装Open LDAP服务器和客户端;对服务器和客户端等一系列软件和环境进行配置。在TMSR超算平台中实现了分布式统一身份认证系统的各方面设计。测试表明,此系统的各项功能均已实现,并且具有安全性、稳定性与可靠性。最后,改进erberos认证机制。分析erberos认证机制的特点、认证过程和其局限性;对erberos认证机制的局限性进行了三方面的改进;分析改进后erberos认证机制的安全性并验证其实现。经改进后的认证协议将使TMSR超算平台的统一身份认证系统更加安全。
参考文献(略)