WEB开发网
开发学院操作系统Linux/Unix 在分布式环境中使用 DCE 安全性框架的安全考虑因素... 阅读

在分布式环境中使用 DCE 安全性框架的安全考虑因素

 2010-08-26 00:00:00 来源:WEB开发网   
核心提示: 图 2. Kerberos 身份验证协议(KAP)对图 2 作如下说明:客户端首先向 KDC 发送一条消息,请求一个新的票证,在分布式环境中使用 DCE 安全性框架的安全考虑因素(4),这将指定客户端以及它希望连接到的服务器的身份,KDC 通过生成一个随机会话密钥(K.session)创建一个票

图 2. Kerberos 身份验证协议(KAP)

在分布式环境中使用 DCE 安全性框架的安全考虑因素

对图 2 作如下说明:

客户端首先向 KDC 发送一条消息,请求一个新的票证。这将指定客户端以及它希望连接到的服务器的身份。KDC 通过生成一个随机会话密钥(K.session)创建一个票证,这个票证包含客户端的身份和其他一些有用信息。

KDC 然后加密票证并将加密结果发送给客户端。

客户端接收 KDC 的回复,然后使用自己的秘密密钥解密消息。客户端保留会话密钥,将票证按原样转发给服务器。

服务器从客户端接收票证,然后使用自己的秘密密钥进行解密。这样,服务器将得到客户端的身份和会话密钥。

上述协议是最基本的 KAP 和它在 DCE 身份验证机制中的实际实现。票证包含客户端/服务器相互信任所必需的所有信息。

在此身份验证信息交换过程中生成的会话密钥可用于客户端/服务器与 KDC 之间的所有未来通信。它可用于验证消息、提供完整性检查,以及提供加密密钥来保证数据的机密性。尽管使用了非常有效且易于管理的可信第三方,但 Kerberos 也存在一些不足。在 Kerberos 中,KDC 是整个网络的单一故障点。

DCE 如何扩展 Kerberos

DCE 有效地实现了三种网络服务,它们是:

身份验证服务

特权服务

注册表服务

身份验证服务与 Kerberos 中的 KDC 相同。另两种服务是对 Kerberos 的扩展和增强。将这三种服务相结合,DCE 在分布式环境中实现了一种非常有效的安全机制。在了解每个服务的详细信息之前,您应该记住,所有这些服务都是由一个 RPC 服务器实现的,该服务器称为安全后台程序或 secd。

上一页  1 2 3 4 5 6 7 8 9  下一页

Tags:分布式 环境 使用

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接