在不同的网络应用环境中,保护计算机资源的方式是不同的。在没有联网的单用户计算机系统中,用户资源的安全性主要是通过对计算机使用的控制来保护。在早期的多用户计算机系统中,用户使用的是共享的、集中式的、采用分时操作系统的大型计算机来提供服务。在这种环境中,需要共享操作系统来提供安全性。为了提供系统的安全性,操作系统内部通常采用基于用户身份的资源存取方式,用户的身份采用用户登录的方式来进行证实。用户登录后,其资源操作权限也就被确定下来了。
但是随着计算机和互联网技术的飞速发展,当今的计算机环境发生了非常大的变化。具有代表性的应用环境是大量的客户工作站和分布在网络中的公共服务器组成。服务器向网络用户提供各种网络应用的服务,用户使用客户工作站来访问这些服务。在这种开放的分布式计算环境中,工作站上的用户需要访问分布在网络不同位置上的服务。通常为了保护自身资源的安全性,服务提供者需要通过授权来限制用户对资源的访问。对用户进行授权和限制访问策略是建立在对用户服务请求进行鉴别的基础上的。也就是说,用户的服务请求或用户自身必须要通过鉴别或认证,才能访问服务器提供的服务。
网络环境下的身份认证(也称为分布式环境中的身份认证)比较复杂,主要是考虑到验证身份的双方一般都是通过网络而非直接交互,像根据指纹等手段就难以实现。同时大量的黑客随时随地都可能尝试向网络渗透,截获合法用户的口令并冒名顶替以合法身份入网,所以,目前一般采用高强度的密码认证协议来进行网络环境下的身份认证。
在身份认证系统中,最著名的是 Kerberos认证系统和X509认证服务,其中 Kerberos认证系统是基于对称密码体制的身份认证技术,X509认证服务是基于公钥密码体制的身份认证技术。下面系统介绍这两种认证系统的实现。
Kerberos认证系统
Kerberos认证系统是一个基于密码技术的认证机制,提供了一种非常实用的、开放的、分布式网络身份认证系统,改协议的设计目标是保证网络中的各个通信实体可以按照协议相互证明彼此的身份,从而可以抵抗窃听和重放等方式的多种安全攻击,并且还可以保证网络通信数据的完整性和保密性以及对用户的透明性等。
X509认证服务
X509认证服务又称为基于数字证书的身份认证、基于CA的身份认证、基于PKI的身份认证等。
