翻译:中国科学技术大学信息安全专业老师 旦你解决( sort out)了你的策略,你就已经决定了如何执行他们。必须回答下面的显 而易见的问题: ·在哪儿认证一个用户 ·在哪儿做访问控制的决策? 这些“哪儿”可以用两种方式来解释。你可以考虑在1.4.4节提到的第五个设计决策:决 定是否执行集中安全或者局部安全。在第一种情况下,你可以采用像 Kerberos(1022节) 样的认证服务器( authentication servers)和通行票授予服务器( ticket-granting servers), 或者安装一个防火墙来控制对内部网络的访问(134节)。在第二种方式中,各个结点的操 作系统负责安全执行,比如数字设备公司ODEC)的分布式系统安全体系结构(10.22节)。另 外一个可选方案是,你可以从1.42节提出的第二种设计决策中获得启示,然后决定在最合 适的层次上实现分布式系统的安全。我们在104节中讨论这个问题。 102认证 不经过任何保护的口令在网络上传输是一个非常明显的脆弱性。发掘这种脆弱性可以容 易地自动实现。口令嗅探器 sniffers是一个网络程序,它可以侦听通信流,从中提取出包含 口令的包和其他与安全相关的信息。因此。作为走向分布式系统安全的第一步,我们应该考 察更好的认证方案。下面介绍的这两种方案是集中安全实施方案和局部安全实施方案的实 例 10.2.1 Kerberos认证 Kerberos系统是美国麻省理工学院MT在二十世纪80年代的雅典娜( Athena)项目中 开发出来的。雅典娜为MT的校园学生提供了计算资源,但是它的范围已经超出了MT的 校园范围,包括了一些附加的管理功能,比如财会功能。由 Kerberos声明的危险和威胁, 如在文献【103】中描述的,有: 这种环境对敏感数据或者高度风险(risk,危险;风险)的操作是不适合的,如银行事 务处理、机密的政府数据、学生成绩、对危险实验的控制等等。这些危险主要是不能控制非 授权的当事人使用资源,对系统或用户资源完整性的破坏,大规模地侵犯个人隐私,比如偶 然地完全浏览个人文件。 因此 Kerberos在其后被广泛地接受了。有几个工业标准采用了 Kerberos作为分布式系 统的认证系统,值得注意地是作为RFC151080发布。 Kerberos在分布式系统中认证需要 服务的客户( client)。认证是围绕通行票( ticket,票(标签,证明书);票证,入场券)和集中 式安全服务器的概念建立的。术语“主体”(“ principals”)代表客户(用户)和参与网络通 信的服务器 Kerberos认证服务器(KAS):认证登录的主体,然后发给其通行票。在一般情况 下,通行票只在一次登录会话中有效,可以让主体从通行票授予服务器获得其他的通行票 认证服务器有时也被称为“密钥分发中心”(KDC) 通行票授予服务器(TGSs):向主体发布通行票,用来访问要求认证的网络服务 Kerberos来自于 Needham- -Schroeder密钥交换协议(12.3.2节)。像DES这样的对称密 码系统常常被用来加密数据。用户名和口令用来认证用户,但是口令不能通过网络进行传输 因特网RFC1510给出了 Kerberos版本5的一个详细规范说明,包括当一个协议运行不能继 续时发出的出错信息等。下面的简单描述省略了在 Kerberos消息中的一些数据域,并且仅 仅处理了协议运行成功地完成时的情况。将使用下面列出的约定: 第3页共16页 创建时间:2002/223152100翻译：中国科学技术大学信息安全专业老师 第 3 页 共 16 页 创建时间：2002/12/23 15:21:00 一旦你解决（sort out）了你的策略，你就已经决定了如何执行他们。必须回答下面的显 而易见的问题： ·在哪儿认证一个用户？ ·在哪儿做访问控制的决策？ 这些“哪儿”可以用两种方式来解释。你可以考虑在 1.4.4 节提到的第五个设计决策；决 定是否执行集中安全或者局部安全。在第一种情况下，你可以采用像 Kerberos（10.2.2 节） 一样的认证服务器（authentication servers）和通行票授予服务器（ticket-granting servers）， 或者安装一个防火墙来控制对内部网络的访问（13.4 节）。在第二种方式中，各个结点的操 作系统负责安全执行，比如数字设备公司(DEC)的分布式系统安全体系结构（10.2.2 节）。另 外一个可选方案是，你可以从 1.4.2 节提出的第二种设计决策中获得启示，然后决定在最合 适的层次上实现分布式系统的安全。我们在 10.4 节中讨论这个问题。 10.2 认 证 不经过任何保护的口令在网络上传输是一个非常明显的脆弱性。发掘这种脆弱性可以容 易地自动实现。口令嗅探器 sniffers 是一个网络程序，它可以侦听通信流，从中提取出包含 口令的包和其他与安全相关的信息。因此。作为走向分布式系统安全的第一步，我们应该考 察更好的认证方案。下面介绍的这两种方案是集中安全实施方案和局部安全实施方案的实 例。 10.2.1 Kerberos 认证 Kerberos 系统是美国麻省理工学院 MIT 在二十世纪 80 年代的雅典娜（Athena）项目中 开发出来的。雅典娜为 MIT 的校园学生提供了计算资源，但是它的范围已经超出了 MIT 的 校园范围，包括了一些附加的管理功能，比如财会功能。由 Kerberos 声明的危险和威胁， 如在文献【103】中描述的，有： 这种环境对敏感数据或者高度风险（risk，危险；风险）的操作是不适合的，如银行事 务处理、机密的政府数据、学生成绩、对危险实验的控制等等。这些危险主要是不能控制非 授权的当事人使用资源，对系统或用户资源完整性的破坏，大规模地侵犯个人隐私，比如偶 然地完全浏览个人文件。 因此 Kerberos 在其后被广泛地接受了。有几个工业标准采用了 Kerberos 作为分布式系 统的认证系统，值得注意地是作为 RFC 1510[80] 发布。Kerberos 在分布式系统中认证需要 服务的客户（client）。认证是围绕通行票（ticket，票(标签,证明书)；票证, 入场券）和集中 式安全服务器的概念建立的。术语“主体”（“principals”）代表客户（用户）和参与网络通 信的服务器。 ·Kerberos 认证服务器（KAS）：认证登录的主体，然后发给其通行票。在一般情况 下，通行票只在一次登录会话中有效，可以让主体从通行票授予服务器获得其他的通行票。 认证服务器有时也被称为“密钥分发中心”（KDC）。 ·通行票授予服务器（TGSs）：向主体发布通行票，用来访问要求认证的网络服务。 Kerberos 来自于 Needham-Schroeder 密钥交换协议（12.3.2 节）。像 DES 这样的对称密 码系统常常被用来加密数据。用户名和口令用来认证用户，但是口令不能通过网络进行传输。 因特网 RFC 1510 给出了 Kerberos 版本 5 的一个详细规范说明，包括当一个协议运行不能继 续时发出的出错信息等。下面的简单描述省略了在 Kerberos 消息中的一些数据域，并且仅 仅处理了协议运行成功地完成时的情况。将使用下面列出的约定：