《网络系统课程设计基于Linux的用户认证与授权研究》由会员分享,可在线阅读,更多相关《网络系统课程设计基于Linux的用户认证与授权研究(36页珍藏版)》请在金锄头文库上搜索。
1、长沙理工大学基于Linux的用户认证与授权研究XXX学 院 计算机与通信工程 专业 计算机科学与技术 班 级 计算机0802班 学号 学生姓名 XXX 指导教师 课程成绩 完成日期 2011年3月4日课程设计任务书计算机与通信工程学院 计算机科学与技术专业 课程名称网络系统课程设计时间20102011学年第2学期12周学生姓名曹骏指导老师邓江沙题 目基于Linux的用户认证与授权研究主要内容:本课程设计主要完成一个基于Linux的用户认证与授权的研究实现。1、重点分析了Kerberos认证系统与LDAP目录服务系统的消息格式、数据库管理、安装配置、配置文件、接口函数等。2、利用可信平台模块(T
2、PM)对Kerberos协议及其蓝本NeedhamSchroeder协议进行了改进,增强了它们的安全性。并搭建了Kerberos认证系统,实现了用户登录的Kerberos认证、网络应用的Kerberos化。要求:(1)要求能独立地运用程序语言和数据库方面知识,编制一个功能简单的小型信息模拟系统。(2)学生按要求编写课程设计报告书,能正确阐述设计和实验结果。(3)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。(4)学生应抱着严谨认真的态度积极投入到课程设计过程中。 应当提交的文件:(1)课程设计报告。(2)课程设计附件(源程序、各类图纸、实验数据、运行截图等)。课程设计成绩评
3、定学 院 计算机与通信工程 专 业 计算机科学与技术班 级 计算机0802班 学 号 200850080212 学生姓名 曹骏 指导教师 邓江沙 课程成绩 完成日期 2011年3月4日 指导教师对学生在课程设计中的评价评分项目优良中及格不及格课程设计中的创造性成果学生掌握课程内容的程度课程设计完成情况课程设计动手能力文字表达学习态度规范要求课程设计论文的质量指导教师对课程设计的评定意见综合成绩 指导教师签字 年 月 日基于Linux的用户认证与授权系统的研究实现学生姓名:曹骏 指导老师:邓江沙摘 要 本课程设计在对可信计算的体系结构、Linux的安全机制、现有的认证协议等深入研究的基础上,提出
4、了基于Linux操作系统的用户认证与应用授权的架构,并最终完成了整个系统的搭建。本文重点分析了Kerberos认证系统与LDAP目录服务系统的消息格式、数据库管理、安装配置、配置文件、接口函数等。利用可信平台模块(TPM)对Kerberos协议及其蓝本NeedhamSchroeder协议进行了改进,增强了它们的安全性。并搭建了Kerberos认证系统,实现了用户登录的Kerberos认证、网络应用的Kerberos化;搭建了OpenLDAP目录服务系统,并利用SASL机制实现了其与Kerberos认证系统的结合。在此基础上,利用OpenLDAP的访问控制机制实现了对各种网络应用服务的授权访问。
5、利用我们编写的客户端应用接口,用户可以完成上述认证与授权过程。该系统作为信息安全实践创新平台的一部分,可应用于信息安全教学的实践环节,还可以将其应用于党政机关办公自动化与协同办公,保护党政内网的安全。关键词 身份认证;目录服务;应用授权Linux-based user authentication and authorizationStudent name: Caojun Advisor:DengjiangshaAbstract The curriculum design in the architecture of Trusted Computing, Linux security mech
6、anisms, the existing authentication protocol, such as in-depth study, based on the Linux operating system based on user authentication and authorization framework for applications, and ultimately the completion of the entire system structures. This paper analyzes the Kerberos authentication system a
7、nd LDAP directory services system message format, database management, installation configuration, configuration files, and other interface functions. The use of Trusted Platform Module (TPM) on the Kerberos protocol and the Needham-Schroeder protocol based on improvements to enhance their security.
8、 And to set up Kerberos authentication system, the Kerberos user login authentication, the Kerberos network applications of; build the OpenLDAP directory service system, and the use of SASL mechanisms with a combination of Kerberos authentication system. On this basis, the use of OpenLDAP access con
9、trol mechanisms on the application of a variety of network services, unauthorized access. Prepared to use our client application interface, the user can complete authentication and authorization process of the above. The system of information security as part of practical innovation platform, has be
10、en applied to the practice of information security aspects of teaching, but also can be used in party and government organs of office automation and collaboration of office to protect the security of government network.Key words Authentication;Directory Service;Authorization目录1引言11.1课题背景11.2课程设计目的21
11、.3问题描述32用户认证与授权方案概述52.1 Linux的安全机制52.1.1 PAM机制52.1.2 认证机制72.2 Kerberos认证系统92.3 轻量级目录访问协议102.3.1 协议模型102.3.2数据模型112.3.3 LDAP的实现113用户认证与授权方案的研究与实现133.1搭建Kerberos认证系统133.1.1、组成模块的安装与配置133.1.2、数据库的创建与管理153.1.3、源代码分析153.1.4、网络应用的Kerberos化183.2搭建OpenLDAP服务器193.2.1、组成模块的安装与配置193.2.2、数据库的创建与管理203.3 Kerberos
12、认证系统与OpenLDAP的结合223.4 实现访问控制233.5 客户端应用程序的编写25参考文献27结束语28 曹骏 基于Linux的用户认证与授权系统的研究实现 第21页 共 28 页1引言1.1课题背景 Linux是一个类UNIX的多用户、多任务、功能强大的操作系统。最初版本是芬兰的Linus Torvalds于1991年独立开发的。由于其免费提供源代码及可执行文件,吸引了全世界各地的UNIX行家为其编写了大量的驱动程序和应用软件,在短短的几年时间里,Linux迅速发展成为一个相当完善的操作系统。不仅稳定可靠,而且还具有良好的兼容性、可移植性。近几年来,Linux操作系统以其高效性、灵
13、活性以及开放性得到了蓬勃发展,不仅被广泛应用于PC、服务器,还广泛的应用于手机、PDA等高端嵌入设备。但是,目前的Linux版本在安全方面还存在着许多不足,其安全级别低于C2级。其新功能的不断加入及安全机制的错误配置或错误使用,都会带来很多问题。出于系统安全考虑,Linux提供的安全机制主要有:身份标识与鉴别、文件访问控制、特权管理、安全审计、IPC资源的访问控制。目前,UNIX下的一种新的安全机制已被开发并且在Linux中实现。这种机制称为可插入身份认证模块,即为PAM机制1。当用户在登录Linux时,首先要通过系统的PAM验证。PAM机制可以用来动态地改变身份验证的方法和要求,允许身份认证
14、模块按需要被加载到内核中,模块在加入后即可用于对用户进行身份认证,而不需要重新编译其它公用程序。PAM体系结构的模块化设计及其定义的良好接口,使得无需改变或者干扰任何现有的登录服务就可以集成范围广泛的认证和授权机制,因此,近年来,对PAM的底层鉴别模块的扩展广泛应用于增强Linux操作系统的安全性。Kerberos认证协议是目前应用最广泛的、基于可信任第三方的网络身份认证协议。Linux操作系统更好的安全性保证可以由Kerberos来实现2,3,目前,基于Linux操作系统,利用Kerberos协议增强其用户认证的安全性的方案在国内外均有提出。Kerberos认证协议最初是麻省理工学院(MIT)为其Athena项目开发的,其从提出到现在,共经历了五个版本的发展4。目前广泛应用的版本是其第五版本Kerberos V5。其本身存在着一定的局限性,针对其安全缺陷,已有诸多的解决方案提出。同时,伴随着其软件的优化、升级,Kerberos认证系统的应用将会越来越广泛。轻量级目录访问协议(LDAP)作为目前广泛应用的目录访问协议,可以实现授权管理、网络用户管理、电子政务目录体系等服务。其基于访问控制策略语句的访问控制列表(Access Control List,
