用 Kerberos 为 AIX 实现双因素身份验证

核心提示：简介在任何系统中，身份验证都是最重要的组成部分之一，用 Kerberos 为 AIX 实现双因素身份验证，Kerberos 是用于网络身份验证和保护数据传输的最流行的安全机制，几乎所有基于 UNIX® 的操作系统都支持可插入的身份验证模块，因此，在双因素身份验证中使用 OTP 会提高安全性，因此都可以实现基于

简介

在任何系统中，身份验证都是最重要的组成部分之一。Kerberos 是用于网络身份验证和保护数据传输的最流行的安全机制。几乎所有基于 UNIX® 的操作系统都支持可插入的身份验证模块，因此都可以实现基于 Kerberos 的身份验证。IBM® AIX® V5.3 提供一个与 Kerberos 集成的登录模块，并且还在 SSH、rlogin、telnet 等实用程序中使用 Kerberos。IBM AIX 附带一个称为 IBM Network Authentication Service 的 Kerberos 实现，它可以在 AIX 的 Expansion Pack CD 上找到。

随着对环境安全性的需求日益增加，系统（包括操作系统）的身份验证模块正在从传统的单因素身份验证（通常基于静态密码）向多因素身份验证发展。双因素身份验证是增强安全性的流行方法。本文描述如何在双因素身份验证系统中使用 Kerberos，讲解如何按照多因素身份验证方式使用 Kerberos 和 One Time Password (OTP)，从而实现更安全的系统。最后，本文引导您用 Kerberos 和 Generic Security Service API (GSS-API) 实现一个双因素身份验证系统。

使用 Kerberos 和 OTP 的双因素身份验证

身份验证是出于安全目的检查人员身份的过程，而身份验证因素是用来实现身份验证的信息。在双因素身份验证中，使用两个不同的身份验证因素，因此能够增强安全性。通常，在双因素身份验证系统中，使用的第一个身份验证因素是用户知道的某种信息，比如静态密码或个人身份码（pin）；第二个因素是用户拥有的某种东西，比如信用卡、手机或硬件安全令牌（它生成一个 One-Time Password (OTP) 令牌）。OTP 系统通常采用客户机-服务器模型，在给定的时刻对于给定的用户，在客户端生成相同的一次性密码。客户机可以是手持的硬件设备、通过 USB 等电子接口连接个人计算机的硬件设备或驻留在个人计算机上的软件模块，由服务器端进行检验。在这些系统中，密码是不断变化的，这会大大降低未授权访问的风险。因此，在双因素身份验证中使用 OTP 会提高安全性，适合许多需要高安全性身份验证模块的系统。