WEB开发网
开发学院操作系统Linux/Unix 在分布式环境中使用 DCE 安全性框架的安全考虑因素... 阅读

在分布式环境中使用 DCE 安全性框架的安全考虑因素

 2010-08-26 00:00:00 来源:WEB开发网   
核心提示: 查看原图(大图)使用 PSTkt客户端现在向目标服务器发出一个 RPC 调用,向它发送包含会话密钥和 PAC 的 PSTkt,在分布式环境中使用 DCE 安全性框架的安全考虑因素(10),目标服务器接收 PSTkt 并使用自己的秘密密钥解密,为了保证 PAC 确实是由特权服务发出的,本文详细解释

查看原图(大图)

使用 PSTkt

客户端现在向目标服务器发出一个 RPC 调用,向它发送包含会话密钥和 PAC 的 PSTkt。目标服务器接收 PSTkt 并使用自己的秘密密钥解密。为了保证 PAC 确实是由特权服务发出的,目标服务器检查并确认在 PSTkt 中指定的客户端确实是特权服务。最后,服务器执行 RPC 调用,将结果返回到客户端。

注册表服务

注册表服务是 DCE 安全机制所提供的第三种网络服务。注册表服务为一个单元的所有主体、组和帐户信息维护一个数据库。此信息供前两个服务(身份验证服务和特权服务)和 DCE API 使用。它主要包含以下信息:

单元信息:包含单元名称、单元 UUID、运行的注册表服务的版本和注册表可以分配给主体的 UNIX® ID 的范围。它还存储了单元的整体信息,比如单元范围的安全策略、票证有效期等。

主体、组和组织信息:包含单元的所有主体、组和组织(PGO)的列表。对于每个 PGO 条目,还存储了相应的 UUID、名称和 UNIX ID。

帐户信息:DCE 帐户就像操作系统上任何其他本地帐户一样。用户必须登录到 DCE 帐户才能使用 DCE 提供的服务。每个帐户表示一个主体和该主体所属的组列表。帐户信息包含两部分:网络和本地系统。网络部分包含获取票证和其他服务所需的信息(比如,它包含主体秘密密钥)。本地部分包含主目录和要运行的 shell 等信息。它还负责支持网络范围的单点登录,这意味着登录到 DCE 帐户也会自动将用户登录到所有相关联的本地帐户。

DCE 安全性与 Kerberos 有何不同

从前面的细节可以看到,DCE 实现的身份验证服务非常类似于 Kerberos 协议中所遵循的过程。这种相似性源于这样一个事实:DCE 身份验证服务建立在 Kerberos V5 的源代码之上。尽管 DCE 安全机制是对 Kerberos V5 的扩展,但它在许多方面不同于 Kerberos。最明显的不同就是特权服务和注册表服务,它们只有 DCE 才有。此外,一些 DCE 工具,比如身份验证 RPC 和 DCE、ACL,也不是由 Kerberos 提供的。而且,除了 UDP/IP 以外,DCE 身份验证服务还使用 DCE RPC 在网络上进行通信。这与 Kerberos 仅使用 UDP 协议进行通信的事实形成了鲜明对比。

结束语

本文主要介绍了分布式系统安全性的背景知识。我们首先强调了安全性对分布式环境的重要性,概述了 DCE 安全模型。然后详细介绍了分布式安全领域所使用的一般技术,以及 Kerberos。最后,本文详细解释了 DCE 安全机制的工作原理和实现,简略提及了它与 Kerberos 的不同。本文可以作为更深入理解使用 DCE 的分布式安全机制的起点。

上一页  5 6 7 8 9 10 

Tags:分布式 环境 使用

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接