Windows2000中的信息網(wǎng)絡(luò)安全技術(shù)

字號:

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是Internet的不斷普及,如何防止信息不被非法截獲和破壞,即有效維護(hù)網(wǎng)絡(luò)信息的安全性,成為越來越多的人關(guān)注的焦點(diǎn)。作為新一代的操作系統(tǒng)的Windows
     2000,可通過多種技術(shù)和手段來控制用戶對資源的訪問,提高網(wǎng)絡(luò)的安全性,其中包括與活動目錄(Active Directory)服務(wù)的集成、支持認(rèn)證Windows 2000用戶的Kerberos v5認(rèn)證協(xié)議、提供了公鑰基礎(chǔ)設(shè)施PKI支持,用公鑰證書對外部用戶進(jìn)行認(rèn)證、使用加密文件系統(tǒng)EFS(Encrypting File
     System)保護(hù)本地數(shù)據(jù)以、使用Internet協(xié)議安全I(xiàn)PSec(Internet Protocol security)來保證通過公有網(wǎng)絡(luò)的通信的安全性,以及基于Windows 2000的安全應(yīng)用開發(fā)的可擴(kuò)展性等等。
     1 活動目錄技術(shù)
    活動目錄服務(wù)在Windows 2000信息安全和網(wǎng)絡(luò)安全中具有重要作用,它是關(guān)于用戶、硬件、應(yīng)用和網(wǎng)絡(luò)數(shù)據(jù)的存儲中心,也存儲用戶的認(rèn)證信息,以及用戶使用某一資源的授權(quán)信息等。活動目錄與Windows
     2000的其他安全服務(wù)緊密集成,如Kerberos認(rèn)證協(xié)議、公鑰基礎(chǔ)設(shè)施PKI、加密文件系統(tǒng)EFS、安全設(shè)置管理器和組策略等。
    同Windows NT中的平面文件(flat-file)目錄不同,Windows 2000活動目錄采用了代表商業(yè)企業(yè)組織結(jié)構(gòu)的分層目錄結(jié)構(gòu)來存儲信息,這樣可以簡化管理,具有良好的可伸縮性。為了創(chuàng)建這種分層結(jié)構(gòu),同Windows采用文件和文件夾來組織本地資源的方法類似,活動目錄使用域(domains)、組織單元OUs(Organizational Units)和對象來管理和使用網(wǎng)絡(luò)資源。
    一個域是網(wǎng)絡(luò)對象,包括組織單元、用戶賬號、組和計算機(jī)等的集合,它們共享一個公共目錄數(shù)據(jù)庫,并組成活動目錄中邏輯結(jié)構(gòu)的核心單元。每個域中可能包含多個組織單元和用戶(對象),這樣更符合公司或企業(yè)的組織模式。
    大的企業(yè)或組織可能包含多個域,這種情況下的域分層就稱為域樹(Domain Tree)。創(chuàng)建的第一個域?yàn)楦╮oot)域,也稱為父域,在其下面創(chuàng)建的域?yàn)樽樱╟hild)域。為了支持更大的組織結(jié)構(gòu),多個域樹連接起來可以組成森林(forest),在這種情況下,需要使用多個域控制器,活動目錄就可以定時在多個域控制器之間復(fù)制信息,從而保持目錄數(shù)據(jù)庫信息的同步。
    在域中,一個組織單元OU是把對象組織成邏輯管理組的容器,其中包括一個或多個對象,如用戶賬號、組、計算機(jī)、打印機(jī)、應(yīng)用、文件共享或其他OU等。
    一個對象包括一個獨(dú)立個體,如特定的用戶、計算機(jī)或硬件信息(屬性),如一個用戶的屬性可能包括名字、電話號碼和電子郵件等;一個計算機(jī)對象的屬性可能包括計算機(jī)位置和指定哪些用戶或組能夠訪問該計算機(jī)資源的存取控制列表ACL(Access Control List)等。通過域和OU的組織形式,系統(tǒng)就可以以集合的形式來管理對象的安全性,如用戶組和計算機(jī)組等,而不需要對每個獨(dú)立的用戶和對象進(jìn)行配置。
    為了使用戶登錄一次而在整個網(wǎng)絡(luò)中使用資源,即單次登錄(single sign-on),Win2000支持域之間的信任關(guān)系。在域之間建立起相互認(rèn)證的邏輯關(guān)系,允許計算機(jī)和用戶只需在域樹(甚至森林)中的任何一個域中進(jìn)行身份認(rèn)證,然后就可以在整個網(wǎng)絡(luò)中使用經(jīng)過授權(quán)的資源。
     2 Kerberos認(rèn)證
     Kerberos認(rèn)證協(xié)議定義了客戶端和稱為密鑰分配中心KDC(Key Distribution Center)的認(rèn)證服務(wù)之間的安全交互過程。Windows2000在每一個域控制器中應(yīng)用KDC認(rèn)證服務(wù),其域同Kerberos中的realm功能類似,具體可參考RFC 1510協(xié)議。Windows2000中采用多種措施提供對Kerberos協(xié)議的支持:Kerberos客戶端使用基于SSPI的Windows2000安全提供者,初始Kerberos認(rèn)證同WinLogon的單次登錄進(jìn)行了集成,而Kerberos KDC也同運(yùn)行在域控制器中的安全服務(wù)進(jìn)行了集成,并使用活動目錄作為用戶和組的賬號數(shù)據(jù)庫。
     Kerberos是基于共享密鑰的認(rèn)證協(xié)議,用戶和密鑰分配中心KDC都知道用戶的口令,或從口令中單向產(chǎn)生的密鑰,并定義了一套客戶端、KDC和服務(wù)器之間獲取和使用Kerberos票據(jù)的交換協(xié)議。當(dāng)用戶初始化Windows登錄時,Kerberos SSP利用基于用戶口令的加密散列獲取一個初始Kerberos票據(jù)TGT,Windows2000把TGT存儲在與用戶的登錄上下文相關(guān)的工作站的票據(jù)緩存中。當(dāng)客戶端想要使用網(wǎng)絡(luò)服務(wù)時,Kerberos首先檢查票據(jù)緩存中是否有該服務(wù)器的有效會話票據(jù)。如果沒有,則向KDC發(fā)送TGT來請求一個會話票據(jù),以請求服務(wù)器提供服務(wù)。
    請求的會話票據(jù)也會存儲在票據(jù)緩存中,以用于后續(xù)對同一個服務(wù)器的連接,直到票據(jù)超期為止。票據(jù)的有效期由域安全策略來規(guī)定,一般為8個小時。如果在會話過程中票據(jù)超期,
     Kerberos SSP將返回一個響應(yīng)的錯誤值,允許客戶端和服務(wù)器刷新票據(jù),產(chǎn)生一個新的會話密鑰,并恢復(fù)連接。