用 Kerberos 为 AIX 实现双因素身份验证

核心提示： 重要的 GSS-API 接口可以使用 Kerberos GSS-API 实现的两个重要功能是身份验证和消息加密，下面是有助于实现这两个功能的重要接口：gss_init_sec_context(...) 在上下文发起者和上下文接受者之间建立安全上下文，用 Kerberos 为 AIX 实现双

重要的 GSS-API 接口

可以使用 Kerberos GSS-API 实现的两个重要功能是身份验证和消息加密。下面是有助于实现这两个功能的重要接口：

gss_init_sec_context(...) 在上下文发起者和上下文接受者之间建立安全上下文。 gss_accept_sec_context(...) 接受由上下文发起者创建的安全上下文。 gss_wrap(...) 执行加密签名，还可以执行消息加密。 gss_unwrap (...) 对用 gss_wrap 子例程加密的消息进行解密并检查嵌入的签名。

关于 GSS-API 的更多信息，请参见产品附带的 IBM Network Authentication Service Version 1.4 Application Development Reference。

使用 GSS-API 和 OTP 设计双因素身份验证系统

图 1 给出一个为 Kerberos 服务器系统配置的使用 Kerberos 的客户机。客户机和服务器都是 AIX 计算机，都安装和配置了 IBM Network Authentication Service。

图 1. 使用 GSS-API 和 OTP 实现双因素身份验证系统的设计步骤

下面解释使用标准 Kerberos GSS-API 实现使用 OTP 的双因素身份验证登录模块的步骤。

步骤 1 —— 提示用户输入 Kerberos 用户名和 Kerberos 密码。

步骤 2、3、4、5、6、7 —— 使用 Kerberos 用户名和对应的 Kerberos 密码（用户在脑子里记住的信息）获得 Kerberos 凭证 (TGT-Ticket Granting Ticket)。如果输入的密码不正确，那么身份验证失败，不允许用户进行任何访问。如果成功地获得了 Kerberos 票据 (TGT)，第一因素身份验证就完成了。这与基于 Kerberos 身份验证的常规登录模块相似。