Windows 2000中的信息网络安全技术

dn001 2009-07-10 23:20:15

使用Kerberos认证协议的客户端、KDC和应用服务器之间的关系:

　　在初始连接消息中，Kerberos把会话票据提交给远程服务，会话票据中的一部分使用了服务和KDC共享的密钥进行了加密。因为服务器端的Kerberos有服务器密钥的缓存拷贝，所以，服务器不需要到KDC进行认证，而直接可以通过验证会话票据来认证客户端。在服务器端，采用Kerberos认证系统的会话建立速度要比NTLM认证快得多，因为使用NTLM，服务器获取用户的信任书以后，还要与域控制器建立连接，来对用户进行重新认证。

　　 Kerberos会话票据中包含有一个唯一的、由KDC创建的、用于客户端和服务器之间传输数据和认证信息加密的会话密钥。在Kerberos模型中，KDC是作为产生会话密钥的可信第三方而存在的，这种形式更适合于分布式计算环境下的认证服务。

　　 Kerberos作为基本的Windows 2000认证协议，与Windows2000认证和存取控制安全框架进行了紧密整合。初始的Windows域登录由WinLogon提供，它使用Kerberos安全提供者（security provider）来获取一个初始的Kerberos票据。操作系统的其他组件，如转向器（ReDirector）则使用安全提供者的SSPI接口来获取一个会话票据，以连接对远程文件存取的SMB服务器。

　　 Kerberos V5协议在会话票据中定义了一个携带授权数据的加密域，该域的使用留给了应用开发，而Windows2000则使用Kerberos票据中的授权数据来附带代表用户和组成员的Windows安全ID。在服务器端的Kerberos安全提供者则使用授权数据来建立代表用户的一个Windows安全存取控制令牌，可以模拟客户端来请求提供相应服务。

　　 Windows2000中应用了Kerberos协议的扩展，除共享密钥外，还支持基于公/私钥对的身份认证机制。Kerberos公钥认证的扩展允许客户端在请求一个初始TGT时使用私钥，而KDC则使用公钥来验证请求，该公钥是从存储在活动目录中用户对象的X.509证书中获取的。用户的证书可以由权威的第三方，如VeriSign和Digital IDs等来发放，也可以由Windows2000中的微软证书服务器来产生。初始认证以后，就可以使用标准的Kerberos来获取会话票据，并连接到相应的网络服务。

　　通过对Kerberos协议进行公钥扩展，可以使用户采用多种方式来登录工作站和网络，如采用智能卡技术。智能卡中一般存储有用户的私钥，可用于Kerberos的初始化认证处理。

　　目前，使用公钥技术来扩展Kerberos协议的计划和建议已经提交到IETF来进行标准化推广。

　　 3 公钥基础设施PKI和认证机构CA

　　 Windows 2000作为新推出的操作系统，对PKI做了全面支持。PKI在提供高强度安全性的同时，还与操作系统进行了紧密集成，并作为操作系统的一项基本服务而存在，避免了购买第三方PKI所带来的额外开销。组成Windows2000 PKI的基本逻辑组件中最核心的为微软证书服务系统（Microsoft Certificate Services），它允许用户配置一个或多个企业CA，这些CA支持证书的发放和废除，并与活动目录和策略配合，共同完成证书和废除信息的发布。

　　 Windows 2000 PKI并没有替换掉基于域控制器DC （Domain Controller）和Kerberos密钥分配中心KDC的Windows NT 域信任和认证机制，相反，Windows 2000 PKI反而对这些服务进行了增强，适合于Extranet和Internet的不同应用，并可应用于具有可伸缩性和分布式环境下，提供身份识别、认证、完整性验证和机密性等安全服务。

　　 Windows 2000 PKI建立在微软久经考验的PKI组件基础之上，其基本组件包括如下几种：

　　 ² 证书服务（Certificate Services）。证书服务作为一项核心的操作系统级服务，允许组织和企业建立自己的CA系统，并发布和管理数字证书。

　　 ² 活动目录。活动目录服务作为一项核心的操作系统级服务，提供了查找网络资源的唯一位置，在PKI中为证书和CRL等信息提供发布服务。

　　 ² 基于PKI的应用。Windows 本身提供了许多基于PKI的应用，如Internet Explorer、Microsoft

　　 Money、Internet Information Server、OutLook和Outlook

　　 Express等。另外，一些其它第三方PKI应用也同样可以建立在Windows 2000 PKI基础之上。

　　 ² Exchange密钥管理服务KMS（Exchange Key Management Service）。KMS是Microsoft Exchange提供的一项服务，允许应用存储和获取用于加密e-mail的密钥。在将来版本的Windows系统中，KMS将作为Windows操作系统的一部分来提供企业级的KMS服务。

　　 Windows 2000中的集成PKI系统提供了证书服务功能，可以让用户通过Internet/ extranets/intranets安全地交互敏感信息。证书服务验证一个电子商务交易中参与各方的有效性和真实性，并使用智能卡等提供的额外安全措施来使域用户登录到某个域。

标签：