6.1常规身份验证过程在网络计算领域中，身份验证主要采用下列三种特定形式中的一种（按最低到最高安全级别的序列列出）：1）基本身份验证：服务器维护一个包含用户名和口令的本地文件，并根据它来匹配由客户端提供的用户-口令对。这是最常见的身份验证方式，它的缺点是口令会经常被忘记、盗窃或意外的暴露。2）质询-响应身份验证：身份验证计算机或防火墙产生一个随机的代码和数字（即质询），并将它发送给希望接受身份验证的用户。用户加入他获他的秘密PIN或口令后再提交该代码或数字。3）集中式身份验证服务：一台集中服务器负责处理三个相互独立的基本身份验证过程：身份验证、授权和审核。这些类型的的身份验证中的每一种都要求用户在某个时刻输入口令。因此他们也可以称为单因子身份验证：用户仅需知道一项内容（口令）来启动身份验证过程。像智能卡那样的物理对象或者其他类型的物理令牌则提供了更为严格的双因子身份验证方式，在这种情况下，用户不仅需要拥有某种东西（令牌），而且要知道某些东西（PIN或口令），才可获得访问权限。（使用生理特征如视网膜扫描、指纹等，作为身份验证手段主要应用于大型的保密企业中，如银行机构和信用卡中心）6．2防火墙实现身份验证过程的方式当调用防火墙的规则，将它应用到特定的个人或用户组时，就需要启用身份验证。防火墙可识别具有特定IP地址的用户，在用户经过授权后，该IP地址然后就可以在内部网络主机上用来发送和接收信息。防火墙执行身份验证的确切步骤可能会相互不同，但通常的过程是一样的：1）客户端请求访问一种资源2）防火墙解释请求，并提示用户输入用户名和口令3）用户提交信息给防火墙4）用户通过身份验证5）根据防火墙的规则集检查请求6）如果请求与一条存在的规则相匹配，那么允许用户的访问7）用户访问请求的资源6.3防火墙身份验证的类型6.3.2客户端身份验证客户端身份验证与用户身份验证相似，但附加了使用权限的限制。用户身份验证通过向防火墙提供一对包含在数据库中的用户和口令对来获得通过，然后防火墙就允许用户对所请求的资源访问一段时间（3个小时）或者是一定的次数（3次）。在配置客户端身份验证的过程中，需要创建两种类型的身份验证中的任何一种：1）标准的登录系统，该系统中，客户端通过身份验证后，被允许访问用户需要的任何资源，或是执行任何需要的功能，例如传输文件或查看Web页。2）特殊的登录系统，在系统中，用户每次想访问受保护网络上的服务器或服务时，客户端都需要身份验证。6.3.3会话身份验证无论什么时候客户端需要连接到一个网络资源并建立会话（交换信息的一段时间）时，会话身份验证都需要进行身份验证。会话身份验证可用于任何服务。需要被身份验证的客户端包含一个软件代理来提供身份验证信息；当请求建立连接时，服务器或防火墙会检测该代理。如果必要，防火墙截获连接请求，并与该代理联系。该代理执行身份验证，而防火墙则允许对请求资源的连接。身份验证模式6.4集中式身份验证集中式身份验证的过程：局域网上的客户端请求访问位于应用服务器上的程序时，它首先必须使用身份验证服务器进行身份验证，这基于两个层次的信任关系：客户端信任身份验证服务器保存了正确的身份验证信息；应用服务器信任身份验证服务器能够正确地辨别和验证客户端。6.4.1Kerberos身份验证Kerberos由麻省理工大学Athena项目组开发。他被用来通过标准的客户端和服务器提供身份验证和加密。代之以服务器必须信任非信任网络客户端的是，客户端和服务器均将它们的信任信息存放在Kerberos服务器中。Kerberos提供了一种在Windows2000和XP系统中内部使用的有效的网络身份验证系统。它同时能够向下兼容Microsoft的NRLM协议，该协议用于NT4.0和更早的版本。尽管Kerberos在内部网上非常有用，但却不推荐使用它对外部用户进行身份验证，因为它使用明文口令。远程用户应该使用加密传输或者一次性口令。Kerberos系统中授予客户端对请求服务的访问权限非常的复杂，其步骤如下：1）客户端请求访问一个文件或其他服务2）客户端被提示输入用户名和口令3）客户端提交用户名和口令。该请求发送到作为Kerberos系统一部分的身份验证服务器（AS），AS根据客户端的口令以及与其请求服务相关的随机数字来创建一个称为会话密钥的加密编码。会话密钥用作TGT。4）AS颁发授予TGT5）客户端将TGT提交给TGS服务器，TGS也是Kerberos系统的一部分，并可能是与AS相同的服务器，也可能不是。6）TGS颁发会话票证，并将其转发给拥有被请求文件或服务的服务器。7）客户端获得访问权限。使用Kerberos票证系统的一个巨大优势是口令并不存放在系统上，因而不会被黑客劫取。6.4.2TAC