WEB开发网
开发学院数据库DB2 DB2 UDB 安全性: 使用 GSS-API 安全机制(SPKM/LI... 阅读

DB2 UDB 安全性: 使用 GSS-API 安全机制(SPKM/LIPKEY)的安全插件

 2008-11-10 16:32:20 来源:WEB开发网   
核心提示: LIPKEY(A Low Infrastructure Public Key Mechanism using SPKM, IETF RFC-2847):诸如 Kerberos V5[IETF RFC-1964] 和 SPKM [IETF RFC-2025] 之类的 GSS-API 机制需要

LIPKEY(A Low Infrastructure Public Key Mechanism using SPKM, IETF RFC-2847):

诸如 Kerberos V5[IETF RFC-1964] 和 SPKM [IETF RFC-2025] 之类的 GSS-API 机制需要大量的基础设施。正如在 IETF RFC 2847 中所提到的,LIPKEY 是一种基于 GSS-API 安全机制的低基础设施,该安全机制对应于典型的 TLS(Transport Layer Security)部署场景。其包括一台没有公钥证书的客户机,该客户机通过公钥证书访问服务器。

在该机制中,客户机:

获得服务器证书。

核实证书是由受信任的认证权威(Certification Authority ,CA)所签署的。

生成随机会话对称密钥。

使用服务器公钥对会话密钥进行加密。

将加密的会话密钥发送给服务器。

此时,客户机和服务器有了一条安全通道。然后,客户机就可以向服务器提供用户名称和口令,以验证客户机身份。当发起者(客户机)没有证书而是使用用户 ID 和口令进行验证身份时,就可以使用 LIPKEY 机制。

使用较新的受支持的 GSS-API 机制的 DB2 UDB 身份验证

DB2 UDB V8.2 支持 GSS-API 身份验证机制。事实上,IBM 为 DB2 UDB 提供的示例 Kerberos 安全插件是基于 GSS-API 的。换言之,IBM 的 Kerberos 支持是作为一个 GSS-API 安全插件来提供的,您可将该插件用于服务器身份验证和用户身份验证。此外,用于 DB2 UDB 的 GSS-API 安全插件可以带来更大的价值,因为 NFS V2 的实现使您将会具有这样的 GSS-API 库:其既支持传统的对称密钥安全机制(即 Kerberos),又支持未来的非对称密钥安全机制,如 SPKM 和 LIPKEY。

要允许 DB2 UDB 使用 SPKM/LIPEY 机制进行身份验证:

编写支持 SPKM/LIPKEY 安全机制的定制的 GSS-API 安全插件。当然,这将需要支持 SPKM/LIPKEY 机制的 GSS-API 产品。为了定制身份验证,DB2 UDB 通过向开发人员提供某些 API 使其可以编写自己的身份验证插件,从而提供一种框架。在开发安全插件时,需要实现 DB2 UDB 调用的标准身份验证函数。编写支持 SPKM/LIPKEY 的 GSS-API 插件非常类似于编写 Kerberos 安全插件,只是存在非常微小的差别,后面将进行说明。为了更好地理解如何编写 GSS-API 安全插件,应阅读并且理解 IBM 提供的用于 DB2 UDB 的 Kerberos 安全插件,其基于 GSS-API(参阅 参考资料)。

上一页  1 2 3 4 5 6 7  下一页

Tags:DB UDB 安全性

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接