在分布式环境中使用 DCE 安全性框架的安全考虑因素
2010-08-26 00:00:00 来源:WEB开发网核心提示: PAC 的组成部分身份验证标志:此标志显示此 PAC 是否经过了 DCE 安全机制的身份验证,DCE 单元 UUID:一个单元的 UUID,在分布式环境中使用 DCE 安全性框架的安全考虑因素(8),主体在该单元中的注册表中注册,主体 UUID:一个主体的 UUID,STkt 和会话密钥供客户端
PAC 的组成部分
身份验证标志:此标志显示此 PAC 是否经过了 DCE 安全机制的身份验证。
DCE 单元 UUID:一个单元的 UUID,主体在该单元中的注册表中注册。
主体 UUID:一个主体的 UUID,PAC 中描述了该主体的安全属性。
主要组 UUID:同一单元中此主体主要属于的组的 UUID。
辅助组 UUID:同一单元中此主体所属的所有组的 UUID。
外来组 UUID:此主体所属的、在远程调用中注册的组的 UUID。
特权服务使用 PTGT 和 PSTkt 来交换 PAC。简言之,PTGT 和 PSTkt 分别是 TGT 和 STkt,它们包含 PAC。图 6 展示了 PTGT 和 PSTkt 的结构。从图中很容易看出,PTGT 类似于 TGT,而 PSTkt 类似于 STkt。但是它们之间存在两个重大区别:
特权票证还包含一个客户端 PAC;
特权票证将特权服务指定为客户端,而 TGT 和 STkt 指定了真实的客户端。
图 6. PTGT 和 PSTkt 的结构
下一节通过图 7 介绍 DCE 中的特权服务的工作原理。
获得 PTGT
客户端首先将一个 TGT 发送给授权服务,授权服务然后向客户端提供一个 STkt 和一个会话密钥。STkt 和会话密钥供客户端用来与特权服务通信。客户端将一个 PTGT 请求发送给特权服务,其中包含 STkt 和会话密钥。
更多精彩
赞助商链接