在分布式环境中使用 DCE 安全性框架的安全考虑因素
2010-08-26 00:00:00 来源:WEB开发网查看原图(大图)
使用 PSTkt
客户端现在向目标服务器发出一个 RPC 调用,向它发送包含会话密钥和 PAC 的 PSTkt。目标服务器接收 PSTkt 并使用自己的秘密密钥解密。为了保证 PAC 确实是由特权服务发出的,目标服务器检查并确认在 PSTkt 中指定的客户端确实是特权服务。最后,服务器执行 RPC 调用,将结果返回到客户端。
注册表服务
注册表服务是 DCE 安全机制所提供的第三种网络服务。注册表服务为一个单元的所有主体、组和帐户信息维护一个数据库。此信息供前两个服务(身份验证服务和特权服务)和 DCE API 使用。它主要包含以下信息:
单元信息:包含单元名称、单元 UUID、运行的注册表服务的版本和注册表可以分配给主体的 UNIX® ID 的范围。它还存储了单元的整体信息,比如单元范围的安全策略、票证有效期等。
主体、组和组织信息:包含单元的所有主体、组和组织(PGO)的列表。对于每个 PGO 条目,还存储了相应的 UUID、名称和 UNIX ID。
帐户信息:DCE 帐户就像操作系统上任何其他本地帐户一样。用户必须登录到 DCE 帐户才能使用 DCE 提供的服务。每个帐户表示一个主体和该主体所属的组列表。帐户信息包含两部分:网络和本地系统。网络部分包含获取票证和其他服务所需的信息(比如,它包含主体秘密密钥)。本地部分包含主目录和要运行的 shell 等信息。它还负责支持网络范围的单点登录,这意味着登录到 DCE 帐户也会自动将用户登录到所有相关联的本地帐户。
DCE 安全性与 Kerberos 有何不同
从前面的细节可以看到,DCE 实现的身份验证服务非常类似于 Kerberos 协议中所遵循的过程。这种相似性源于这样一个事实:DCE 身份验证服务建立在 Kerberos V5 的源代码之上。尽管 DCE 安全机制是对 Kerberos V5 的扩展,但它在许多方面不同于 Kerberos。最明显的不同就是特权服务和注册表服务,它们只有 DCE 才有。此外,一些 DCE 工具,比如身份验证 RPC 和 DCE、ACL,也不是由 Kerberos 提供的。而且,除了 UDP/IP 以外,DCE 身份验证服务还使用 DCE RPC 在网络上进行通信。这与 Kerberos 仅使用 UDP 协议进行通信的事实形成了鲜明对比。
结束语
本文主要介绍了分布式系统安全性的背景知识。我们首先强调了安全性对分布式环境的重要性,概述了 DCE 安全模型。然后详细介绍了分布式安全领域所使用的一般技术,以及 Kerberos。最后,本文详细解释了 DCE 安全机制的工作原理和实现,简略提及了它与 Kerberos 的不同。本文可以作为更深入理解使用 DCE 的分布式安全机制的起点。
更多精彩
赞助商链接