植基於目錄服務的使用者安全管理系統

Abstract

在分散式網際網路作業環境中，所有的資訊均曝露在公開的網路上，這些資訊可能是一些交易過程或者是使用者的密碼。此外通訊雙方的身份也有遭到偽裝的隱憂。為了解決這方面的問題，Kerberos認證服務與SESAME認證服務等系統均致力於相關方面的研究。 在一個異質性系統環境中，所有主機的系統類型和登入方式不盡相同， 使用者要登入不同的主機，必須使用不同組的帳號密碼，對使用者而言，記憶這麼多組不同的帳號密碼，這些資訊很有可能被遺忘。而且無法確認每一部主機的帳號實際擁有者是誰？“使用者安全管理系統”這個解決方案就是要減少記憶密碼的困擾，以及確認每一個帳號之實際擁有者。 在本篇論文中，我們研究一些重要的認證服務，並且提出一套類似的系統，利用電子憑證與目錄服務之技術，當使用者以智慧卡登入系統時，以簽章方式確認使用者身份，而系統採用“目錄服務”來管理所有使用者，使得帳號管理更為明確，避免不明帳號出現於系統內。

In a distributed network environment, all information are exposed in the public networks. Some of the information are perhaps transactions and some are users’ passwords. Besides, the identities of communicating parties are also under the danger of being masqueraded. A lot of research, such as Kerberos and SESAME, has been devoted to solve these problems. In a heterogeneous environment, all computer hosts are not the same machine type and all login procedures are not the same. When a user is going to login into different computers, he has to use different pairs of identity and password. During the procedure of login, these information might be intercepted resulting in a leakage. “User Security Management System” is the solution to reduce the complexity of the login password and to confirm the identity owner. In this paper, we not only investigated two representative authentication services but also proposed a similar scheme, which is integrated with PKI and directory service. Our scheme works as following: the user logins once using a smart card and management user identity.