（计算机应用技术专业论文）ldap的安全性分析及改进.pdf

信息l 群人学硕十学付论文 摘要 l d a p 作为一种目录信息的轻量级访问协议，提供了简易、高效、可定制的目录服务。 其良好的跨平台性、高效的数掘读耿性能及业界的广泛认可，使l d a p 在企业公共信息服 务、计算机网络信息管理、数字证书服务等一系列应用中得到了广泛应用。由于大量敏感 信息的涉及，l d a p 自身的安全性对于l d a p 目录服务至关重要。 许多文献对l d a p 的安全性进行了分析和探讨，但通常只涉及其中一部分内容，全面、 系统、深入的分析还比较少。本文在总结l d a p 基本概念、发展历程和安全现状的基础上， 试图从l d a p 的可认证性、机密性、完整性以及访问控制等四个方面入手，逐一进行深入 的分析和比较。 身份认证是l d a p 最基础的安全机制，本文根据系统结构将现有的认证机制分为e 2 e 型和t 1 1 p 型，并分别加以分析。e 2 e 型认证机制只涉及认证双方，认证流程简单快速，但 容易遭受攻击；t t p 型认证机制通过引入可信任第三方( t t p ) 来提高安全性，但实现相 对较复杂。通过全面的分析、归纳和对比，表明l d a p 需要引入更为安全、可靠、高效的 认证机制。 数据通信的机密性和完整性保护对l d a p 目录服务具有重要意义，通常采用数据加密 和消息摘要技术来实现，l d a p 自身对此的支持还不太完善。由本文分析可见，密钥交换 协议的安全性直接影响到数据机密性和完整性。现有的密钥交换和完整性支持方案存在许 多缺陷，需要进一步的改进。 l d a p 授权与访问控制用于控制合法用户对l d a p 目录信息的访问权限。随着l d a p 应用的广泛与深入，访问控制机制越加重要。l d a p 中对此并未规定具体方案，各厂商都 分别实现了自己的访问控制机制，导致不同产品在兼容性和互操作性上存在问题。本文以 主流l d a p 产品的不同实现为讨论对象，对访问控制进行了细致的分析和总结。 为解决现存多方面的缺陷，本文给出了一种针对l d a p 的安全改进方案。它采用新兴 的d - b a s e d 密码技术，以无可信任第三方的认证协议为核心。此方案结合e 2 e 型和r r p 型认证机制的优点，通过互补达到简洁安全的特性。在安全双向认证和会话密钥交换的基 础上，将身份认证、机密性和完整性有机融合到一起。此外还探讨了如何通过s a s l 框架 将此方案应用于l d a p 中，更具有实用性。 关键词：l d a p ；安全性；可认证性；机密- 性；完整性；访问控制；i d - b a s e d 第l l i 页 信息胂 t - f 1 人宁硕十学衍论文 a b s t r a c t a sal i g h t w e i g h ta c c e s sp r o t o c o l ，l d a pc a np r o v i d ee a s y , e f f i c i e n t ，a n dc u s t o m i z e d d i r e c t o r ys e r v i c e s b e c a u s eo fa d v a n t a g e sl i k ec r o s s p l a t f o r mo p e r a t i n g ，h i g h p e r f o r m a n c ed a t a r e a d i n g ，a n db r o a d l yi n d u s t r i a ls u p p o r t s ，l d a ph a sb e e nw i d e l yu s e df o rp u b l i ce n t e r p r i s e i n f o r m a t i o ns e r v i c e s ，n e t w o r ki n f o r m a t i o nm a n a g e m e n t s ，d i 舀t a lc e r t i f i c a t e sm a n a g e m e n t s ，a n d e t c s e c u r i t yo fl d a pd i r e c t o r ys e r v i c e si sv e r yi m p o r t a n t ，d u et os e n s i t i v ed a t al o c a t e di nl d a p d i r e c t o r i e s m a n yl i t e r a t u r e sp a r t l ya n a l y z e da n dd i s c u s s e ds o m ei s s u e sa b o u ts e c u r i t yo fl d a p , b u t s e l d o md i dc o m p r e h e n s i v e l y , s y s t e m a t i c l y , a n dd e e p l ys i m u l t a n e o u s l y i nt h i st h e s i s ，w ew i l l s u m m a r i z eb a s i cc o n c e p t s ，d e v e l o p i n gp a t h ，a n dc u r r e n ts e c u r i t ys t a t eo fl d a p ，a n dt h e na n a l y z e a u t h e n t i c a t i o n ，c o n f i d e n t i a l i t y , i n t e g r i t y , a n da c c e s sc o n t r o lo f l d a p , r e s p e c t i v e l y a u t h e n t i c a t i o ni sap r i m i t i v ew a yf o rl d a ps e c u r i t y a c c o r d i n gt oa r c h i t e c t u r e ，e x i s t i n g l d a pa u t h e n t i c a t i o ns c h e m a sa r ed i v i d e di n t oe 2 ea n dt 卯g r o u p s e 2 e t y p es c h e m a so n l y i n v o l v et w op a r t i e s m a n yo f w h i c hh a v es i m p l ep r o c e d u r ea n dw e a ks e c u r i t y ；m t y p es c h e m a s i n t r o d u c et r u s t e dt h i r d p a r t y ( t t p ) r e s u l t i n gi nh i g hs e c u r i t ya n dc o m p l i c a t e dp r o c e d u r e a r e r c o m p r e h e n s i v ea n a l y z i n g ，s u m m a r i z i n ga n dc o m p a r i n g ，w es u g g e s tt h a tl d a ps h o u l db r i n gi n m o r es e c u r ea n de f f i c i e n ta u t h e n t i c a t i o ns c h e m a s c o n f i d e n t i a l i t ya n di n t e g r i t ya r ev e r yi m p o r t a n tt ol d a ps e r v i c e s ，o f t e ni m p l e m e n t e dw i t h e n c r y p t i o na n dm e s s a g ed i g e s tt e c h n i q u e s l d a pd o e sn o ts u p p o r tt h e s et w ow e l l a c c o r d i n gt o a n a l y s i si n t h i st h e s i s ，s e c u r i t yo fk e ye x c h a n g es c h e m ad i r e c t l ya f f e c t sc o n f i d e n t i a l i t ya n d i n t e g r i t yi nl d a p m o r ee f f o r t sa r en e e d e df o re x i s t i n gv u l n e r a b i l i t i e s a u t h o r i z a t i o na n da c c e s sc o n t r o la r eu s e df o rc o n t r o l l i n gv a l i du s e r s a u t h o r i t i e st oa c c e s s d i r e c t o r yi n f o r m a t i o n a l o n gw i t hb r o a da n dt h o r o u g ha p p l i c a t i o mo fl d a p ia c c e s sc o n t r o li s b e c o m i n gi n c r e a s i n g l yi m p o r t a n t c u r r e n t l yl d a pd o e sn o td e f i n ea na c c e s sc o n t r o lm o d e ls o t h a td i f f e r e n tv e n d o r sh a v em a d et h e i ro w ns c h e m a s ，b r i n g i n gp r o b l e m so fc o m p a t i b i l i t ya n d i n t e r - o p e r a t i o n a l i t y b a s e do na c c e s sc o n t r o ls c h e m a so fs e v e r a ll d a pp r o d u c t s ，w ew i l l t h o r o u g h l ya n a l y z ea u t h o r z a t i o ni nl d a p a s e c u r i t ys c h e m af o rm a k i n gl d a ps a f e ri si n t r o d u c e di n t h i st h e s i s ，w h i c hu t i l i z e sa n a u t h e n c a t i o np r o t o c o lw i t h o u tt r u s t e dt h i r d - p a r t yb a s e do ni d - b a s e d c r y p t o s y s t e m i th a s a d v a n t a g e so fb o t he 2 e t y p ea n dt t p t y p ea u t h e n t i c a t i o ns c h e m a s ，b e i n gs i m p l ea n ds e c u r e s i m u l t a n e o u s l y b e s i d e s ，t h es c h e m ai n t e g r a t e sa u t h e n t i c a t i o n ，c o n f i d e n t i a l i t ya n di n t e g r i t y , b a s e do ns e c u r eb i d i r e c t i o n a la u t h e n t i c a t i o na n ds e s s i o nk e ye x c h a n g e k e y w o r d s ：l d a p ； s e c u r i t y ； a u t h e n t i c a t i o n ；c o n f i d e n t ；a l i t y ； i n t e g r i t y ； a c c e s s c o n t r o l ；i d - b a s e d 第1 v 页 论文原创性声明和使用授权 本人声明所呈交的论文是我个人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了本文中特别加以标注和致谢中 所罗列的内容外，论文中不包含其它人已经发表或撰写过的研究成 果；也不包含为获得信息工程大学或其它教育机构的学位或证书而 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中做了明确的说明并表示了谢意。 本人完全了解信息工程大学电子技术学院有关保留和使用学位 论文的规定，即：学院有权保留论文的复印件，允许查阅和借阅论 文；可以公布论文的全部或部分内容；可以采用影印、缩印或其它 手段保存论文。涉密论文按保密规定执行。本论文取得的研究成果 归学院所有，学院对该研究成果享有处置权。 本人签名：云i ia 寺西亳 日期：p 舌 玷 导师戥e 驯乞 吼“皈埒 信息l 手￥人学硕f - 。r 何论文 第一章引言 1 1 研究背景 随着网络规模的快速膨胀以及人们利用网络资源的频率的增加，如何有效地整合和共 享资源、服务及其它可访问对象直接影响到整个网络运行的效率。网络可访问的各种信息， 如涉及用户、应用、文件、打印机等资源的信息，通常都存储在一种被称为“目录”的特殊 数掘库中。而各种专用信息目录的快速发展，造成了相互共享及管理上的极大困难。因此， 迫切需要一种满足一致性和可控性的方式束管理和访问这些目录，将分白式的应用环境整 合为一致无缝的系统。 轻量级目录访问协议( l i g h td i r e c t o r ya c c e s sp r o t o c o l ，简称l d a p ) 是一种丌放式的 工业标准，它定义了规范的方式来访问和更新目录中的信息。作为独立于厂商的标准， l d a p 为集中式的信息存储和管理提供了一种可扩展的架构，而这恰恰是当前分布式系统 和服务所需要的。由于行业内许多领先级软件厂商的支持，l d a p 已被广泛接纳为一种互 联网访问标准，并整合到许多应用中。 l d a p 涉及到信息的共享和访问，它的安全性自然成为一个十分重要的问题，必须防 止信息遭受未授权访问或篡改等攻击。可事实上l d a p 的安全形势越来越严峻。从技术角 度看，安全攻防理论及技术的快速发展为攻击者提供了愈加锐利的“武器”，攻击群体的“质” 和“量”都在快速提升。l d a p 暴露出越来越多的安全隐患；从动机角度看，l d a p 的广泛 应用涉及了商业机密以及国家安全相关的敏感信息。一次有效攻击造成的破坏和获取的利 益都大大增加，从而导致更大的攻击可能性。 撰写本文的目的，旨在于通过对l d a p 安全性系统、全砸、深入的分析，一方面揭示 l d a p 安全性的现状，为l d a p 相关领域的研究人员以及应用厂商提供参考依据：另一方 面则是找出现有安全机制存在的缺陷，提出解决方案，推动l d a p 的进一步改进和发展， 以实现更加安全可靠的l d a p 。 1 2 研究内容 l d a p 可能遭受到的攻击种类很多。有一些是针对非目录服务的，如利用操作系统、 数据库系统本身的安全漏洞。而主要的攻击模式是针对目录服务，如非授权的访问、窃听、 篡改、身份欺骗等。从安全体系的角度考虑，l d a pf ，j ：准提 的安全体系t 要从四个方面 束保证具安伞巾f ： i 可认证性。身份认证足l d a p 采，玎的。种很重要的安全机制，存某种程度一卜所自 其他的安全机制都依赖j 。岂。它足瞥个安拿体系的挂彳彳，拧制j j 有棚何合法身份j 能通过 认订进入l d a p 系统最大f i ! 度抵制i e 法川1 造成的潜在威胁。 i j 机密性。使用l d a p 服务必然涉及刮数1 l l ：通仔0 而公只刚络卸很m 做到通f ；数捌 不被俄获。为保证通f 一数引的安全性，胁l ”鼎，j 晶婴_ = i 乏川数= l l ：加密暂技术保证其机密r l 。 笫l 艇 信息iw 人。丫硕 中f 4 论文 i i i 完整性。通伯过雕中，嵩璺确保发送和接收的信总是一敛的，也就是数捌旮通信 过秤中没仃被篡改过。可使用数字签名、数捌校验等技术保h e 其完骼。陀。 i v 访问拧制。认i n 虽然十分有效但j0 能拧制“入口”，无法控；0 通过了认i p 的用户的 行为。访问拧制也就足控制合法用户只能进行权限范内的操作，有效防jj 越权操作造成 的威胁。l d a p 中通常使用访问拎制技术对此进行支持。 一些文献已经对l d a p 的安全性问题从各种角度以不同形式进行了探讨，但都j 涉及 上述一个或几个方面。尤其对l d a p 中机密性、完整性和访问控制的分析很少。本文将尝 试从这四方面对l d a p 的安全性进行系统、全面且深入的分析，介绍现有安全机制框架、 理论基础及实现，并分析在各种攻击模式下的安全强度，以及已有和潜在的安全隐患。通 过分析可以看出，现有的l d a p 安全机制在可认证性、机密性、完整性和访问控制四个方 面都存在许多不足，如何对l d a p 的安全性进行改进凸现为一个十分重要的问题。针对这 些缺陷，本文给出种结合多种优点的l d a p 安全方案，它采用新兴的以i d - b a s e d 密码体 系为基础的身份认证技术为核心，通过安全的密钥交换以及完整性支持，将认证、机密性 和完整性保护进行了有效的融合。 1 3 论文结构 本论文由七章组成，安排如下。 第一章，引言。介绍课题的研究背景、研究内容、论文结构安排。 第二章，综述。本章对l d a p 及其与x 5 0 0 协议的关系进行简单的介绍，并分析l d a p 的研究现状以及存在的问题与对策。 第三章，l d a p 的安全性分析可认证性。l d a p 从v 2 到v 3 ，在身份认证上作了很 大的改进，尤其是引入了s a s l 机制。本章将l d a pv 2 与v 3 进行比较，着重分析s a s l 框架下的各种身份认证机制的特点。本章还对已有的身份认证机制进行分类和全面的比 较，讨论各自的优缺点，重点对l d a p 中的s s l 和k e r b e m s 机制进行详细的分析和讨论。 第四章，l d a p 的安全性分析机密性与完整性。l d a p 中的数据机密性和完整性 问题一直受到忽视，现有l d a p 安全方案中除了s s l 和k e r b e r o s 协议外，几乎都末对其 提供有效的支持。本章在分析l d a p 中各种安全方案机密性和完整性的基础上，着重分析 s s l 和k e r b e r o s 协议的机密性和完整性实现以及存在的安全隐患。其中特别讨论安全数掘 加密所依赖的密钥交换问题。 第血章，l d a p 的安全性分析访问控制。l d a p 标准中的安伞体系虽然包括了访 问控制，但并未对其其体实现进行规定。市商卜符种l d a p 产品部实现了自己的授访问控 制机制。术章对l d a p 访问摔a 月进 j 【括。r # 介缁，9j 纳总绍脱行方聚的类掣，并分析对比 各自的特点、适刚。件及安令件：。最历，分析总 船地仃访问拧制机制中存，l 。的一世安个降岂。 第人章，l d a p 的安个r i 改逊。本审刈i d b a s e d 身份认讯：力粲的发眨协w 、肌论j l l l t l 、 衄川馁式、支全性都姐 j - t 钏的7 “f “1 - “, l ”- 分析。仃此j l ln 4 ：1 给出一种源j i d 。b a s e d 密体系 的l d a p 安令方案，l 幺方枭结合传统的身份认i i 术的1 ) b k ，n 保i l 岛一一j 1 1 0 + r 的i ，d 时简化 信息i 手￥人学硕1 。学何论文 身份认：的复杂r ，h 时实现对敛捌机密忡、完糖性的支持，j q 财份认谢进 j 囱效融合。 最后简币讨论了如f n j 利斤js a s l 机制将此办案应川到l d a pt i 。 第七章，结束语。总结课题的形f ，( 情况，行眨键进一步的研究方向。 筇3 页 f 息j 拌人7 硕r 学忙论文 第二章l d a p 综述 2 1 l d a p 简介 2 1 1x 5 0 0 ：目录服务标准 计算机网络经过长期的发展，不同的操作系统和应用程序均以不同的格式存网络上存 储了大量的信息。网络管理人员无法对一个信息库中的所有网络信息资源方便地进行管 理，用户也必须使用不同的程序i 能获取不同的信息和资源。这大大增加了网络管理人员 和用户的负担，也使许多信息资源难于共享，制约了网络的发展。为解决此问题，需要有 一种新的技术以通用的格式和方式柬实现信息的存储和共享。目录服务就是这样的一种技 术。 目录本质上是一种特殊的数据库，它以对象的形式存放描述性的、基于属性的信息。 它的目的是在一定的环境中，将各种信息进行存储、确认并提供检索等服务。在分布式计 算系统或i n t e m e t 等公共计算机网络中，目录可以存储各种各样的对象，例如打印机、应 用程序、数据库以及用户信息等。可以为不同的对象定义各种属性信息以对其进行描述， 如打印机的属性信息可以包括打印机所在的地点、每分钟打印的页数、支持的文件类型等。 目录服务对目录中所存储的大量有用信息进行有效组织，为用户和应用提供有效的服 务。通过使用目录服务，网络上所有信息和资源在网络管理员、用户和应用程序面前都表 现为有序统一的目录结构。通过组织各种目录束提供有效的目录服务，目录中的信息就可 以为用户和应用程序所共享。这不仅简化了用户管理和应用程序的配置，而且为信息的统 计和查询提供了方便。例如：它可以使用户通过简单的搜索查找所需资源或其他用户；它 可以帮助网络管理员收集和控制散布相关的敏感信息，并可以使他们通观地审视这些信 息。 目录服务的通用标准是c c i t t ( i t u t ) 于1 9 8 8 年制定的基于i s o o s i 的x 5 0 0 ， 它是种全面、完善而又复杂的目录服务标准。它定义了目录服务的各个方面，包括目录 信息模型、名字空间、功能模型以及安全模型等。x 5 0 0 以一种能够存储大量信息的层次 名字空间组织目录项，同时定义了强大的搜索能力，使得榆索信息变得更为容易。为保证 它的可用性和可升级性，x5 0 0 通常需要同其他模块一起来实现不兼容目录服务日j 的互操 作。， x ，5 0 0 是一个非常庞大的卡，j 、准，可用于每一个可能的f 1 录需求。伯是由r 其规模犬、 复杂高。1 ，爵加 ：它建讥台i s o 的7 层网络协议模型之卜，过于消耗系统资源，所以在 实际应用巾表现得并不好。撮终的x 5 0 0 实片j 产品很少，其实现和发展受剑了j 瞳人限i 制。 此外，x 5 0 0 没有舰范化的复制科序和访问控制机制，不支持增强的搜索功能，对搜索结 果的拧制能力较差。虽然简一t 认i l 做酱逾实现，们慢认证安个性的实蜣较少，不适合安全 性要求离的场合。与虑剑t c p i pt z 绐成为i n t e m e t # 实l ：f l ；j j | 亘w c , j 、准，t i 对x 5 0 01 1 录服 第5 贞 信息i 拌人中硕 。中忙论文 务的局限性，并兼删! 具强人功能及放存性，i e e e 卜的a s i d 小组制定r 坫jt c p i p 的轻 量级月求访问协议l d a p 。 2 1 2l d a p ：轻量级的x 5 0 0 x 5 0 0 标准的庞杂影响了其应用，为此i e t f 制定了轻蕈级目录访问协议l d a p 。 l d a p 基于x 5 0 0 标准，但是更为简单并且可以根掘需要进行定制。作为对目录信息的访 问( 查询、读取、修改) 协议，它简化了目录服务的使用。l d a p 的核心规范在其r f c ( r e q u e s t f o rc o m m e n t s ) 中进行定义，但有竹l 当部分使用了x 5 0 0 的规定，尤其是一些基本概念。 严格来说，l d a p 不是数据库而是用来访问存储在目录中的信息的协议。l d a p 服务器是 用来处理查询和更新l d a p 目录的，并以数掘库方式对其进行查询。通过使用l d a p ，可 以在信息目录中读取或存储数掘。通过l d a p 被访问的目录是数掘库，l d a p 的目录不是 关系型数据库，它的主要作用是优化数掘读取的性能。 l d a p 主要使用x 5 0 0 标准的两个组成部分：信息模型它确定了信息格式( 特别 是从用户视角观察的模式) ；名称空| 日j 用于索引和引用信息。访问x 5 0 0 目录需要特定 的协议如d a p ，然而d a p 需要大量的系统资源和支持机制束处理复杂的协议。l d a p 通 过仅包含原始x 5 0 0 目录访问协议的功能子集来减少必需的系统资源。 l d a p 也支持基于客户机朋务器的模式，许多x 5 0 0 中d a p 客户机必须的重要资源 交由l d a p 服务器处理。l d a p 服务器只能向客户机返回结果或错误，而很少发送请求给 客户机。 l d a p 一般是在t c p 或t l s 连接上提供对目录的访问”；同时l d a p 也是跨平台的和 杯准的协议，可以在任何计算机平台上，使多个l d a p 客户端程序高效的同时访问l d a p 目录；而且也可以定制应用程序并为其增加u ) a p 的支持，因而得到了业界的广泛认可。 l d a p 允许根据需要使用a c l ( a c c e s sc o n t r o ll i s t ，访问控制列表) 控制对数据读和写的 权限。这些都是由l d a p 目录服务器完成的“1 。 l d a p 对于分却存放但是不需要经常更新的数据访问最为适宜。例如，公司员工的汜 录和组织结构图、客户的联系信息、计算机设施管理所需要的信息以及公用证书和安全密 钥等。因为针对读性能进行了优化，大多数的l d a p 目录服务器并不适合存储需频繁更改 的数掘。此外，l d a p 在表示网络元素时承认互联网的松散耦合特性，并不试图给出一个 统一的名字空1 1 日j 。 l d a p 可以使得过去杂乱无序的网络资源和信息管理呈现出一种树状的有序体系，刁i 但使i n t e r n e t 资源的管理和控制变得易于进行，而且同时提高了各种信息和资源的使用效 率，l d a p 用l o 的代价实现了x 5 0 09 0 的功能”1 。 目f j i i ，l d a pl 经不仅可以f 为现存的x 5 0 0 全球n 泵服务的访问h 关柬为支持l d a p 的客户端软件提供x 5 0 0 目采服务，l f l j 崩其本身已给8 兑离了x5 0 0 成为可以独立提供分白 式e i 求服务的绍体水架。山j - l d a p 尤1 衍支持x 5 0 0 的所仃4 p ，所以独、i 的l d a ps e r v e 第6 贞 信息i 拌人中硕十学侍论文 l d a pl d a p 笄户，端i h服务器 ! - q l 幽1 独立l d a p 服务器 自 为i n t e m e t 上分布式应用的实现提供了更为灵活的基础设施。图l 说明了独立l d a ps e r v e r 的使用，其实现全部基于t c p i p 协议栈。 l d a p 作为通用的目录服务，与x 5 0 0 相比具备许多优势： 1 ) l d a p 既是一个x 5 0 0 的访问协议，又是一个灵活的可以独立实现的目录系统； 2 ) l d a p 直接运行在更简单和更通用的t c p 妒之上，避免了在o s i 会话和表示层的 丌销，使连接的建立和包的处理更加简单快捷，对于i n t e r n e t 和i n t r a n e t 应用更为 理想； 。 3 ) l d a p 继承了x 5 0 0 最好的特性，同时去掉了它的复杂性。l d a p 主要在以下两 个方面简化了x 5 0 0 的功能模型：去掉了r e a d ”和“l i s t ”操作( 通过查询操作模拟它 们) ；同时去掉了一些d a p 中过于复杂和很少用到的服务控制和安全特征，只保 留了常用的特性； 4 ) l d a p 对分都式的名字和数据元素使用了简单的字符串编码，而x 5 0 0 即使对简 单的数掘元素也使用了复杂的、结构化的编码； 5 ) l d a p a p i 为客户提供了一种简单的方式来实现对目录服务器的访问。虽然x 5 0 0 也有一个自己的a p i ，即束自x o p e n 的x d s 标准( 它是一个全面的a p i ，提供 对d a p 的完全访问) ，但过于复杂，难以被广泛采用； 6 ) l d a p 具备扩展特性，需要特殊类型数掘的应用程序可以扩展l d a p 来满足自己 的需要； 7 ) l d a p 已经被大多数的面向网络的中i 丑j 件实现，绝大多数网络操作系统、群件和 网络应用程序都已经支持l d a p ； 8 ) l d a p 是一个丌放的标准，它独立于计算机厂商、硬件和操作系统平台并被广泛 支持。 随着网络和目录服务技术的不断发展和完善，l d a p 目录服务的应用范围也越束越广 泛，其主要应用领域集中在以榆索为主而 e 以更新为主的数掘库服务，如黄页、自页检索， e m a i l 地址榆索、书目检索等；在网络服务系统中，目录服务器一玎用十存放用户访问权限； 在p m i ( p r i v i l e g e m a n a g e m e n t i n f r a s t r u c t u r e ，特权荜础设施) 系统巾，可用f l 录服务器存放属 陀词! b 供他人下我等。 信息i 拌人。硕十导f 论文 2 2 l d a p 安全性研究现状 随着目录服务使用越来越普遍，l d a p 的安全问题表现得越来越严蕈。一直以来，不 断有文献讨论和分析l d a p ，但多数以l d a p 的盹用及其整体框架为乇。“1 “。“1 。专门针 对l d a p 安全忭进行分析，找出存在的安全缺陷，并提h 改进方案的文献并不多。因外研 究者对l d a p 的安全性分析起步较早。如v _ h a s s l e r ”比较了x 5 0 0 和l d a p 的安拿性， 分别从认证、数掘安全及授权三个方面对其进行了分析； r f c 2 8 3 l ”“，r f c 2 8 3 0 1 r f c 2 8 2 9 “，r f c 2 1 0 4 ”，r f c 2 4 4 4 “”讨论了l d a p 中的认证方案：r f c 2 2 2 2 ”1 讨论了l d a p 中的s a s l 框架：文献 3 9 】中给出了一种l d a p 的访问撺制模型；近些年，国内对l d a p 及其安全性分析的文献逐渐增多。李澜等“”“”对l d a p 可能受到的安全性威胁进行了简单 分类，并对l d a p v 2 和v 3 中的认证、授权及安全通信进行了初步分析；倪卫民”对l d a p 的安全性进行了比较全面的分析，着重分析各种认证机制的安全性，并提出一种基于公钥 的摘要鉴别机制，能够有效防止各种攻击，并实现对客户机和服务器之问数掘交换的完整性 保护和机密性保护；方璞。”以l d a p 实际应用为背景，探讨了如何对l d a p 的安全性进行 改进。 总体而言，针对l d a p 安全性分析的文献相对还是很少，对l d a p 安全性系统、全面、 深入的分析几乎没有。多数文献只涉及到l d a p 安全性的一部分内容，针对数据安全和访 问控制的安全性分析更是匮乏。 接下来通过总结已有文献，首先对l d a p 的安全性问题进行概述性的介绍。 2 2 1l d a p 面临的主要威胁 目录服务采用c l i e n t s e r v e r 结构，其具体配置，可有以下三种情况 1 本地目录服务。 这种配置( 见图2 ) 只为本地域提供目录服务。 幽2 本地l q 录服务配置 2 带有参考的本地目录服务。 在这种配胃( 见图3 ) 中，既r ，j 为本地域提f j c 目录服务，也可以为那出请求外部域( 非 本地域) 的客户机返m 一个剑其它服务器的参考。这利t 眦芹小仪提供本地t - ：l 采服务，也参 与列个 | j1i 求服务i p 去。 第8 页 信息i 拌人中顺十学竹论文 其它 3 删徘l 一堂竖一 幽3 带有参考的本地目录服务 3 主从复制的目录服务。 这种配置( 见图4 ) 主要用在仅仅一个目录服务不能满足可靠性或可用性需要的场合 称为主从配置，由后台程序定期将变化从主目录服务器复制到从目录服务器。 幽4 具有复制的目录服务 无论采用何种配置，客户机总是首先向目录服务器3 8 9 端口( 标准端口号) 发出连接 请求。服务器收到来自客户机的请求后，检查其中的口令，看是否与服务器上存放的口令 一致，若不一致，则拒绝访问；若致，则要看它要对哪个辨识名( d n ，d i s t i n g u i s h e d n a m e ) 进行操作。若要操作的辨识名在本地服务器上( 本地配置) ，则返回请求的信息；若要操 作的辨识名在其它服务器上，则返回给客户机一个参考，客户机再向参考服务器发出请求。 对于主从复制的目录服务，若一丌始客户机发出请求所指向的是从目录服务器( 图2 4 中 1 ) ，从目录服务器若包含请求操作所需的辨识名则予以响应，若没有，则从目录服务器返 阴一个对主日录服务器的参考( 2 ) ，客户机再向主目匀乏服务器发出请求( 3 ) ，主目录服务 器予以j 蜘应( 4 ) ，同时主目录服务器将有关信息记录到复h ，盯i 忠( 5 ) ，后台 7 序定期奁看 复制门志( 6 ) ，将有关信息从主目录服务器复制到从日求服务器( 7 ) 。 由寸+ l d a p 是一个炎似d n s 、n i s 的关 二r 【录服务的网络仂议，它r 能受到柬自网络 一j ：的恶意攻_ 亍和篡改。另外，目求j j 旺务器也”，能遭剑物艘或近柞攻t 哪0 破坏。l d a p 晦 的宜拿威胁腿本lu 丁以分为两种炎掣：钊对| ih 慕服务的威胁和t l 对l j 采服务的威胁。 第9 负 信息i 群人宁颂 宁1 论文 针对非目录服务的威胁： 1 ) 对l d a p 服务器进行刚络攻击，包拒埘服务器的操作系统、公j l 端u 、土机卜运 行的进程与服务予以攻击末做坏资源的町用忭，如利川病毒、w o r m s 、木马 ? 序等 进行的攻击； 2 、通过物理访问操作系统、文件、目录或周边设备等来攻击毛机，这种攻击将会影 响到资源的可用性、完整性和机密性； 3 ) 对提供目录服务的后端数掘库进行攻击。 针对目录服务的威胁： 1 1 针对认证信息的攻击。如通过监视其他人的访问、未经授权地访问可重用的客户 认证信息、中间人攻击( m a n i n t h e m i d d l e ，如图5 所示) ；重放攻击( r e p l a y a t t a c k ， 如图6 所示) 以及口令字典攻击等。 2 1 针对数据通信的攻击。如窃取数掘加密密钥、通过中l b j 人攻击修改通信数据等。 3 1 针对访问权限的攻击。如通过读数掘操作、未经授权地访问目录数据库中的数据、 未经授权地使用或过度使用资源( 服务否认) 。 4 1 目录欺骗。通过在传递过程中修改数掘或误导客户机的连接，欺骗客户机使之相 信所需信息来自可靠目录而事实上不是。 敌 哆雾 遁壅鱼- 方 主 器 伪响席包 机 响府包、l 1 _ 图5 对目录的中间人攻击 翦i o 贝 信息1 种人中硕十学何论文 2 2 2l d a p 中的安全机制 安全件在讨剪机阀络世界中十分重要，舯于l d a p | l 求服务系统也是f x m i l 。作为使j f j 与管理网络信息和资源的皋础设施，目录服务系统中存f i ；了大量的敏感数捌和私仃甘爿之信 息，当这些数扔：在刁i 安伞的内部或外部网络一h 传输时，就需要被保护起来。嗣时，需要防 止未经授权的非法访问和避免受剑纠络监听的入侵与破坏。通常，目录安全主要包括下面 儿个方面： 1 ) 认证：确保对方( 机器或人) 的确是他她它所声明的身份； 2 ) 完整性：保证信息在传输过程中不被破坏，从而完整到达； 3 ) 机密性：通过数据加密手段，保护信息不被非法用户访问： 4 ) 授权与访问控制：通过对目录信息进行访问授权，防止越级和非法访问； l d a p 在t c p i p 连接的基础上，从认证、授权和数掘安全传输这三方面束保证目录信 息的安全。 1 认证 通过绑定操作，客户可以向一个l d a ps e r v e r 进行认证，甚至进行互认证，并且根据 不同的绑定操作采取不同的安全机制。l d a p v 3 ( r f c2 2 5 1 ) 主要支持3 种认证方式：无 认证、基本认证、s a s l ( s i m p l e a u t h e n t i c a t i o na n ds e c u r i t y l a i r ，简单认证和安全层) 认 证。 1 ) 无认证；又叫匿名认证。不对用户进行认证，该方法仅对完全公丌的方式适用。 2 ) 基本认证：它是通过用户名和密码进行身份认证，又分为简单密码和摘要密码认 证。 3 ) 简单认证和安全层( s a s l ) 认证：s a s l 即l d a p 提供的在s s l 和t l s 安全通 道基础上进行的身份认证，包括数字证书认证。 2 授权 对目录中存储的信息必须用不同的方法加以保护，使得不同的人对于目录中的信息拥 有不同的访问权限。例如，对于管理员是可读且可写的信息，对于大部分用户只能是可读 的，而对于少数用户甚至连读的权力都没有。通过授权，使得不同的用户捌有不同的权限， 从而达到有效防止越级和非法访问的目的。 目前，并没有形成处理授权的正式r f c 舰范，不同的厂商用不同的具体方案实现授权， 但主要都采用访问控制列表( a c c e s sc o m r o ll i s t ，a c l ) 的形式。a c l 是一个可以附加到 目录中的对象和属性上的一个列表，它定义了目录信息的访问者及其权限等访问控制信 息。在通过目录认证后，对目录的访i 廿j 操作权限按a c l 的定义束分配，从而保b e 日录信 息f i 铍非注硐j 尤权用，、所访问。为了使a c l 更恕儿史易0 二管理，通常将只有相同权限的 用户放入剑一个安个组巾。a c lt 要有两种形式的。典脱：作为h 录信息的一部分行储存目 身乏信息树巾，或者设胃红l d a p 服务器的配管文件一1 。 1 ) r 1 录信息埘设霄：把l d a p a c l s 作为泉f 二射、的一 = | j 分存储1 1 日录f 。j 息村巾，按 照目求用f - , 竹级别为其授了；州j 、t 的日录访问杖限，这种疗便一j ：列r i 求用广。进行 第l i 页 信息科人中硕 。中伸沦文 分组拧：# 0 ，权限的级别u j 以多 羊化； 2 ) 服务器配胃：在l d a ps e r v e r 配胃文件中酣管 i 泵访问权限，这种方式便- j - 对整 个目录信息树进行拧制，同叫可以进行目录管理员的配置，使得目采管删员的有 关信息脱离对外服务的目录信息树，从而保障目录安全。 3 数据安全传输 l d a p 应用中一个十分重要的问题足通信数据的机街性和完整性保护，必须保证在网 络上传输的目录信息不会泄露或被篡改。如果肘数据传输不采取加密手段，则l d a p 服务 器与l d a p 客户之间以明文格式进行s a s l 安全机制协商和数掘传输，攻击者就能够通过 干扰协商过程，导致使用最简单的安全机制，这样即使采用了认证和授权机制，也能够达 到对目录信息进行非法访问或破坏的目的。s a s l 框架支持多种安全机制( 例如：k e r b e r o s 和s s l t l s ) ，使用s a s l 框架后，可以灵活添加s a s l 支持的安全认证协议，通过数掘加 密和消息摘要技术防止对目录信息的非法窃听和篡改，从而建立安全的l d a p 会话。 l d a p v 3 支持关于安全的扩展操作， t h et l sp r o t o c o ll a y e rs e c u r i t y ( r l s lf o rl d a p v 3 ”定 义了用t l s 来加密一个l d a p 会话且防止受到欺骗的操作，从而保证了目录数据在传输过 程中的机密性和安全性。 2 2 3l d a p 目录服务的发展趋势 l d a p 目录服务不仅能以通用的格式存储信息，实现网络共享，同时它自身也提供多 种安全机制保障数据传输的安全。随着i n t e r n e t 的迅速发展，信息安全问题正面临新的挑 战，网络协议中的缺陷成为主要的网络安全威胁。l d a p v 3 版是一个可用于多种环境的可 实现协议。它综合了多个d a p 的优点，同时在双多字节语言支持、安全认证等方面有了 提高，并集成了很多扩展特性( 也可称之为高级属性) ，使其能够