在分布式环境中使用 DCE 安全性框架的安全考虑因素
2010-08-26 00:00:00 来源:WEB开发网核心提示: 身份验证服务DCE 身份验证服务是 Kerberos 模型中的密钥分发服务,它提供了票证和会话密钥,在分布式环境中使用 DCE 安全性框架的安全考虑因素(5),但身份验证服务在 Kerberos 中只是密钥分发服务的一个组成部分,DCE 通过两种类型的票证服务强化了这一服务,TGT 会话密钥是
身份验证服务
DCE 身份验证服务是 Kerberos 模型中的密钥分发服务。它提供了票证和会话密钥。但身份验证服务在 Kerberos 中只是密钥分发服务的一个组成部分。DCE 通过两种类型的票证服务强化了这一服务。
服务票证 (Service ticket,STkt)
票证授权票证(Ticket-granting ticket,TGT)
票证是一条加密消息,包含一个会话密钥和一些其他的服务器/客户端标识信息。
服务票证(STkt)
在 DCE 中,服务票证是一种数据结构,身份验证服务使用该结构将客户端身份和会话密钥传递给服务器。客户端必须获得 STkt 来对服务器进行身份验证。它之所以称为服务票证,是因为客户端使用它来获取服务。
服务票证对服务器进行身份验证,包含两部分,如图 3 所示。第一部分是目标服务器的主体名称。票证的第二部分对客户端不可见。它使用目标服务器的秘密密钥进行了加密。STkt 的加密部分包含客户端的名称、身份验证服务生成的一个可供客户端和服务器使用的会话密钥,以及 STkt 的有效期。
图 3. 服务票证的结构
票证授权票证 (TGT)
在 DCE 中,TGT 用于获取服务票证 (STkt)。TGT 包含供在客户端与身份验证服务之间使用的会话密钥。基本上,TGT 包含两部分,如图 4 所示。第一部分包含身份验证服务及服务器,第二部分是加密的,包含票证有效期和 TGT 会话密钥。TGT 会话密钥是 TGT 最重要的部分。这个密钥由身份验证服务生成,由客户端和身份验证服务共同用于所有未来通信。
更多精彩
赞助商链接