云南龙网

  1. 首页 > 云知道 > >

Windows 2000中的信息网络安全技术( 二 )

云知道


Kerberos是基于共享密钥的认证协议 , 用户和密钥分配中心KDC都知道用户的口令 , 或从口令中单向产生的密钥 , 并定义了一套客户端、KDC和服务器之间获取和使用Kerberos票据的交换协议 。当用户初始化Windows登录时 , Kerberos SSP利用基于用户口令的加密散列获取一个初始Kerberos票据TGT , Windows2000把TGT存储在与用户的登录上下文相关的工作站的票据缓存中 。当客户端想要使用网络服务时 , Kerberos首先检查票据缓存中是否有该服务器的有效会话票据 。如果没有 , 则向KDC发送TGT来请求一个会话票据 , 以请求服务器提供服务 。
请求的会话票据也会存储在票据缓存中 , 以用于后续对同一个服务器的连接 , 直到票据超期为止 。票据的有效期由域安全策略来规定 , 一般为8个小时 。如果在会话过程中票据超期 ,
Kerberos SSP将返回一个响应的错误值 , 允许客户端和服务器刷新票据 , 产生一个新的会话密钥 , 并恢复连接 。
使用Kerberos认证协议的客户端、KDC和应用服务器之间的关系: 在初始连接消息中 , Kerberos把会话票据提交给远程服务 , 会话票据中的一部分使用了服务和KDC共享的密钥进行了加密 。因为服务器端的Kerberos有服务器密钥的缓存拷贝 , 所以 , 服务器不需要到KDC进行认证 , 而直接可以通过验证会话票据来认证客户端 。在服务器端 , 采用Kerberos认证系统的会话建立速度要比NTLM认证快得多 , 因为使用NTLM , 服务器获取用户的信任书以后 , 还要与域控制器建立连接 , 来对用户进行重新认证 。
Kerberos会话票据中包含有一个唯一的、由KDC创建的、用于客户端和服务器之间传输数据和认证信息加密的会话密钥 。在Kerberos模型中 , KDC是作为产生会话密钥的可信第三方而存在的 , 这种形式更适合于分布式计算环境下的认证服务 。
Kerberos作为基本的Windows 2000认证协议 , 与Windows2000认证和存取控制安全框架进行了紧密整合 。初始的Windows域登录由WinLogon提供 , 它使用Kerberos安全提供者(security provider)来获取一个初始的Kerberos票据 。操作系统的其他组件 , 如转向器(ReDirector)则使用安全提供者的SSPI接口来获取一个会话票据 , 以连接对远程文件存取的SMB服务器 。
Kerberos V5协议在会话票据中定义了一个携带授权数据的加密域 , 该域的使用留给了应用开发 , 而Windows2000则使用Kerberos票据中的授权数据来附带代表用户和组成员的Windows安全ID 。在服务器端的Kerberos安全提供者则使用授权数据来建立代表用户的一个Windows安全存取控制令牌 , 可以模拟客户端来请求提供相应服务 。
Windows2000中应用了Kerberos协议的扩展 , 除共享密钥外 , 还支持基于公/私钥对的身份认证机制 。Kerberos公钥认证的扩展允许客户端在请求一个初始TGT时使用私钥 , 而KDC则使用公钥来验证请求 , 该公钥是从存储在活动目录中用户对象的X.509证书中获取的 。用户的证书可以由权威的第三方 , 如VeriSign和Digital IDs等来发放 , 也可以由Windows2000中的微软证书服务器来产生 。初始认证以后 , 就可以使用标准的Kerberos来获取会话票据 , 并连接到相应的网络服务 。
通过对Kerberos协议进行公钥扩展 , 可以使用户采用多种方式来登录工作站和网络 , 如采用智能卡技术 。智能卡中一般存储有用户的私钥 , 可用于Kerberos的初始化认证处理 。
目前 , 使用公钥技术来扩展Kerberos协议的计划和建议已经提交到IETF来进行标准化推广 。
3 公钥基础设施PKI和认证机构CA
Windows 2000作为新推出的操作系统 , 对PKI做了全面支持 。PKI在提供高强度安全性的同时 , 还与操作系统进行了紧密集成 , 并作为操作系统的一项基本服务而存在 , 避免了购买第三方PKI所带来的额外开销 。组成Windows2000 PKI的基本逻辑组件中最核心的为微软证书服务系统(Microsoft Certificate Services) , 它允许用户配置一个或多个企业CA , 这些CA支持证书的发放和废除 , 并与活动目录和策略配合 , 共同完成证书和废除信息的发布 。

推荐阅读


上一篇:狮子狗打野前期怎么抓人

下一篇:太emo了是什么