保存重要数据或提供重要服务的计算机系统必须建立完善的身份认证机制,防止未经授权的非法访问。也只有在进行安全可靠的身份认证的基础上,各种安全系统才能最有效地发挥安全防护的作用。对于使用口令或密码学等方法进行认证的系统,由于在加密或解密过程中都需要使用一些关键的保密数据,其安全性直接影响系统的总体安全性能。如果与智能卡技术相结合,将这些数据存储于卡内以防止被非法用户轻易探测和操作,则可以实现更为安全、高效的身份认证。 本课题针对Linux系统,实现基于智能卡的身份认证。主要内容包括:1 采用PAM模块的方式实现Linux系统下基于智能卡的本地身份认证系统。通过配置智能卡认证模块,使系统的本地身份认证工作需要在出示有效的智能卡后才能完成。2 将智能卡认证功能嵌入SSH的客户端和服务器端程序,从而在SSH机制中使用智能卡实现远程身份认证功能。3 将智能卡认证过程集成到Web认证中,实现基于智能卡的Web身份认证。使用时将提供智能卡访问的模块作为安全设备模块加载进浏览器中,并在服务器端发出认证请求,让浏览器能够调用该模块的功能完成对智能卡的访问。 本文对上述功能模块进行了详细分析,采用LDAP服务器统一管理域中所有主机的用户信息,利用PC/SC中间件完成智能卡认证系统的设计。针对本系统的管理员用户,详细描述了系统配置并设计相应的管理工具以方便对用户、卡片等的管理工作。 本文最后对系统的安全性能进行了详细地分析,并指出系统存在的不足。在此基础上,对利用智能卡进一步提高系统安全性能提出了自己的设想。