基于Kerberos的统一认证授权研究Centralized authentication and authorization based on Kerber

基于Kerberos的统一认证授权研究

Centralized authentication and authorization based on Kerberos

（清华大学 国家CIMS工程技术研究中心，北京 100084）邴晓燕，邵贝恩

BING Xiao-yan，SHAO Bei-en 摘要：应用广泛的Kerberos协议缺乏支持集中式授权的机制，无法解决集团型企业跨域访问控制问题。本文提出一种基于Kerberos的统一认证授权方案KCAA，通过Kerberos与授权中心的无缝集成，有效实现总部对跨域访问的集中式认证授权。KCAA采用抽象用户减少各域内信息同步量，并采用身份代理简化Kerberos的部署。在大规模集团型企业信息化建设中的应用表明，KCAA无需对现有系统进行大规模改造，即可实现集中式跨域访问控制，具有良好应用价值。

关键字：Kerberos; 集团型企业; 访问控制; 认证授权

中图分类号：TP393. 08 文献标志码：A

Abstract:Because of lacking support for centralized authorization, widely-applied Kerberos couldn’t realize cross-domain access control in group enterprises. Therefore, a Kerberos-based Centralized Authentication Authorization (KCAA) scheme is proposed. By integrating centralized authorization into Kerberos, KCAA achieves centralized authentication and authorization in headquarter for cross-domain access. KCAA uses abstract users to reduce information synchronization in different domains, and identity agents to simplify deployment of Kerberos. KCAA shows its application value in the informatization construction of a large group enterprise which proves that it could achieve centralized cross-domain access control without mass transformation of legacy systems.

Key words: Kerberos; group enterprises; access control; authentication and authorization

引言

近年来纷纷涌现的集团型企业大都具有显著的分布式异构特征，需要总部建立一个统一的跨域访问控制平台，对跨分子公司的服务调用进行集中式认证授权，以便最大程度保留各域安全设施的同时，保证跨域访问的安全可靠，实现管理的规范化和灵活性。考虑到该认证授权系统部署在集团型企业内部，可选用“安全/代价比”较为理想的Kerberos协议来实现跨域身份认证。该协议的主要优点在于使用相对便宜的技术实现了一个好的保护水平[1]。

但是，Kerberos是一个主要针对身份认证设计的协议，如果无法实现与服务授权的无缝集成，一个完整的跨域访问控制将无法得到真正实现。然而，现有围绕Kerberos的研究大多集中在对其安全特性的改进上[2][3][4]，少有的研究基于Kerberos的授权实现方案[5]也大多把授权任务下放到了各域中。在集团型企业系统集成过程中，这无疑将加大对遗留系统的改造，加重各分子公司服务器的管理任务，不利于实现管理的规范化和灵活性。

因此，本文针对集团型企业的实际需求，提出了一种新的基于Kerberos的统一认证授权实现方案（Kerberos-based Centralized Authentication Authorization，KCAA），该方案通过建立位于总部的认证授权中心和位于各分子公司的身份代理，实现总部对跨域访问的集中式认证授权，抽象用户和身份代理的运用可避免各域内大量信息的同步，并简化Kerberos的部署。KCAA能有效提高系统的可管理性，减少对遗留系统的改造。

1 KCAA总体结构

如图1所示，整个系统由位于总部的认证授权中心和位于各分子公司的身份代理组成，共同实现以下四大功能：

图1 KCAA总体结构图

1.服务注册：

各域将参与跨域互操作的服务及终端用户信息在总部的注册中心进行注册。注册信息主

要分为以下两类：

1）服务请求者信息：即需要调用其他安全域服务的服务/终端用户的相关信息。

此类注册信息应包含该服务/终端用户本身的属性信息；以及服务/终端用户请求信息，即需要跨域调用哪些服务，需要从哪些身份调用这些服务等。

2）服务提供者信息：即可提供给其他安全域调用的服务信息。

此类注册信息应包含该服务本身的属性信息如服务接口，调用方法等；以及该服务的相关业务权限。

2.服务授权：

总部的授权中心根据各域在注册中心注册的服务及用户信息，进行统一的基于角色的授权，并将相关信息存入位于授权中心的跨域访问授权列表。然后，将授权列表中的角色信息作为抽象用户身份进行管理。同时，将各域相关的用户与抽象用户的对应关系发回各域身份代理处的抽象身份管理进行备份。

3.服务认证：

当一个用户需要进行跨域访问时，首先在本域身份代理处进行身份认证以获取与之对应

的抽象用户身份，然后利用该抽象用户身份向总部认证中心发出跨域访问请求。总部对接收到的请求首先进行身份认证，进而进行授权和令牌发放。

4.令牌发放：

对于通过总部身份认证及授权的用户，位于总部的令牌中心将对其发放令牌，以便合法用户利用该令牌访问其他安全域的服务资源。

在本系统中，利用Kerberos协议建立认证中心和令牌中心，利用J2EE平台开发注册中心和授权中心，并将Kerberos与授权中心进行无缝集成，便可对跨域访问实现有效的集中式认证授权。