Authentication and Authorization 鉴别与授权 在分布式计算环境中,除了附属于本地服务器的资源以外,用户通常还能访问其它资源。传统上,用户访问本地资源前须登录,当访问远距离资源时(可能在其它城市)用户必须再登录一次。这种访问每种资源前都须登录的方法不仅麻烦,而且很难管理。带有当前口令的用户帐户必须保存于每个服务器。另外,与远距离设备的连接并非安全可靠,入侵者能够监视线路并且截取登录信息为自己所用。明显地,需要有更好的方法。如果入侵者装作另外的合法用户并且截获了加密的口令,那么口令加密方法也会失败。
UNIX、NetWare 4.x以及其它操作系统使用“可靠主机”的概念,即一个系统相信另一个系统已经正确地检查了用户身份合法性。关于它的方法将在接下去的段中讨论。用户一旦被验证,他就可以访问所授权的任何资源。用于检验用户对远距离资源访问的信息随着用户登录时间的不同而不同,所以即使信息被截取了,一旦用户注销后它将不能被再次使用。
鉴别技术必须判断请求是否来自正确的用户或应用以及请求没有被某种方法修改。一旦请求被检验后,授权过程就决定用户对资源的访问类型。
下面谈到的是在分布式网络环境中提供鉴别服务的两种重要产品。
Kerberos
Kerberos鉴别服务是由麻省理工学院的Athena工程作为分布式环境中开放系统的鉴别机制而开发的。它用于开放软件基金会(OSF)分布式计算环境(DCE)和由广大网络操作系统供应商提供。
RSA Data SecurityRSA数据安全性
RSA密码系统是位于加利福利亚州Redwood市的RSA 数据安全有限公司的产品,它被准许用于许多公司的产品中。它是一个有鉴别功能的公开密钥加密方案,其中最出名的是提供NetWare 4.x的鉴别服务用在RSA系统中,密钥大得实际上可以保证它决不会被推导出来。
传统加密方法使用一个密钥,而公开密钥加密系统使用两个密钥。私人密钥具有保密性而公开密钥供公共使用。公开密钥用于加密信息,私人密钥用于解密。RSA系统用这项技术提供鉴别、签名检验及其它安全性需求。
NetWare 4.x验证
NetWare 4.x采用RSA安全性系统来验证用户并且授予他们使用网络的权力,它与包含对象信息的访问控制表协同工作。由于它工作在后台,所以用户不知道鉴别过程。它为每位登录的用户分配一个唯一的标识,这个标识不是用户的口令而是用来鉴别网络用户的每次请求。鉴别保证每位用户的口令仅仅用于登录处理,并且它很快转变为一个不同代码,用于标识用户和用户在现行会话中登录的工作站。鉴别还保证消息来自当前会话工作站的合法用户,并且未被破坏、伪造或修改。
相关条目:Kerberos Authentication Kerberos鉴别;RSA Data Security RSA数据安全性;Security 安全性。
新闻热点
疑难解答