操作系统登录身份认证.docx

操作系统登录身份认证
操作系统登录身份认证
信息安全问题是信息化系统建设必须考量的问题之一。从网络到应用，各种各样的安全保障机制随着安全的需要不断的更新着。各种应用系统的正常运行都离不开其所依赖的操作系统，操作系统的安

操作系统登录身份认证
操作系统登录身份认证
信息安全问题是信息化系统建设必须考量的问题之一。从网络到应用，各种各样的安全保障机制随着安全的需要不断的更新着。各种应用系统的正常运行都离不开其所依赖的操作系统，操作系统的安全隐患可能会导致应用系统安全的失效。操作系统的安全涉及身份认证、边界防护、补丁更新、关闭没有使用的服务、数据加密、备份、不间断电源支持以及入侵检测等很多方面。其中，身份认证是取得系统管理权限的手段，一般使用比较普通的“用户名＋口令”的方式登录，这种基于静态口令的登录认证存在很多的隐患，《2004年度全球密码调查报告》结果显示：为了防止遗忘，50%的员工仍将他们的密码记录下来；超过三分之一的被调查者与别人共享密码；超过80%的员工有三个或更多密码；67%的被调查者用一个密码访问五个或五个以上的程序或系统，另有31%访问九个或更多程序或系统。
从安全角度考虑，我们很容易理解和接受密码，不过，随着密码应用范围的增多，密码被忘记、丢失、偷听、窃取的几率也在增加。随着信息数据的增多和重要性加强，需要更好的技术来保证密码的安全。身份认证目前有很多种手段：一种是使用“用户名＋口令”的静态口令方式，这是最原始、最不安全的身份确认方式，非常容易泄漏或被伪造；第二种是生物特征识别技术（包括指纹、声音、手迹、虹膜等），该技术以人体唯一的生物特征为依据，具有很好的安全性和有效性，但实现的技术复杂，实施成本昂贵；第三种是与PKI技术相结合的USB KEY，安全性较高，同样实现的技术复杂，实施成本昂贵；这里，我们采用基于电子令牌的身份认证体系来实现操作系统的身份认证。


令牌是产生动态口令的电子设备，动态口令具有一次性、动态性、随机性、不可复制、抗窃听、抗穷举等特点，安全性较高且实施成本较低。
PAM是 PLUGGABLE AUTHENTICATION MODULES 的缩写，可插入的认证模块，用于实现系统的认证机制，在Linux/UNIX它已经被广泛的应用了。它最大的优点是它的弹性和可扩充性. 你可以随意修改认证机制, 按你的实际需要来定制系统。
PAM的功能被分为四个部分:
(1)authentication(认证) 提示口令输入并检查输入的口令，设置保密字如用户组或KERBEROS通行证。
(2)account(账号管理) 负责检查并确认是否可以进行认证（比如，帐户是否到期，用户此时此刻是否可以登入，等等）。
(3)session(对话管理) 用来做使用户使用其帐户前的初始化工作，如安装用户的HOME目录啦，使能用户的电子邮箱啦，等等。
(4