DB2 UDB 安全性: 使用 GSS-API 安全机制（SPKM/LIPKEY）的安全插件

核心提示： LIPKEY（A Low Infrastructure Public Key Mechanism using SPKM, IETF RFC-2847）：诸如 Kerberos V5[IETF RFC-1964] 和 SPKM [IETF RFC-2025] 之类的 GSS-API 机制需要

LIPKEY（A Low Infrastructure Public Key Mechanism using SPKM, IETF RFC-2847）：

诸如 Kerberos V5[IETF RFC-1964] 和 SPKM [IETF RFC-2025] 之类的 GSS-API 机制需要大量的基础设施。正如在 IETF RFC 2847 中所提到的，LIPKEY 是一种基于 GSS-API 安全机制的低基础设施，该安全机制对应于典型的 TLS（Transport Layer Security）部署场景。其包括一台没有公钥证书的客户机，该客户机通过公钥证书访问服务器。

在该机制中，客户机：

获得服务器证书。

核实证书是由受信任的认证权威（Certification Authority ，CA）所签署的。

生成随机会话对称密钥。

使用服务器公钥对会话密钥进行加密。

将加密的会话密钥发送给服务器。

此时，客户机和服务器有了一条安全通道。然后，客户机就可以向服务器提供用户名称和口令，以验证客户机身份。当发起者（客户机）没有证书而是使用用户 ID 和口令进行验证身份时，就可以使用 LIPKEY 机制。

使用较新的受支持的 GSS-API 机制的 DB2 UDB 身份验证

DB2 UDB V8.2 支持 GSS-API 身份验证机制。事实上，IBM 为 DB2 UDB 提供的示例 Kerberos 安全插件是基于 GSS-API 的。换言之，IBM 的 Kerberos 支持是作为一个 GSS-API 安全插件来提供的，您可将该插件用于服务器身份验证和用户身份验证。此外，用于 DB2 UDB 的 GSS-API 安全插件可以带来更大的价值，因为 NFS V2 的实现使您将会具有这样的 GSS-API 库：其既支持传统的对称密钥安全机制（即 Kerberos），又支持未来的非对称密钥安全机制，如 SPKM 和 LIPKEY。

要允许 DB2 UDB 使用 SPKM/LIPEY 机制进行身份验证：

编写支持 SPKM/LIPKEY 安全机制的定制的 GSS-API 安全插件。当然，这将需要支持 SPKM/LIPKEY 机制的 GSS-API 产品。为了定制身份验证，DB2 UDB 通过向开发人员提供某些 API 使其可以编写自己的身份验证插件，从而提供一种框架。在开发安全插件时，需要实现 DB2 UDB 调用的标准身份验证函数。编写支持 SPKM/LIPKEY 的 GSS-API 插件非常类似于编写 Kerberos 安全插件，只是存在非常微小的差别，后面将进行说明。为了更好地理解如何编写 GSS-API 安全插件，应阅读并且理解 IBM 提供的用于 DB2 UDB 的 Kerberos 安全插件，其基于 GSS-API（参阅 参考资料）。