翻译:中国科学技术大学信息安全专业老师 Fortezza卡,是为美国国防应用开发的 PCMCIA卡,说明了这种方法。当颁发给用户 张卡时,在卡成为用户模式前,场地安全管理员装入用户的私有密钥。该卡将通过个人身份 识别号码PIN机制被激活。通过用户在他们自己的 PCMCIA卡上执行与安全相关的操作 Fortezza使得各个用户以安全的方式从任何一个结点访问分布式系统 10.3安全AP|s 为了向更深一步提高分布式系统安全的综合体系结构,下面的三个问题必须被提出来 1.分布式系统中的安全要求常常超过了纯粹的认证。 2.在分布式系统中不同的组件不必使用相同的安全机制(在本章中,你已经了解了作 为用户认证的两种不同的体系结构)。因此,安全必须在各种各样的安全机制上实施 3.用户和应用程序员不必是安全专家。你必须找到一个可行的方法给那些不知道安全 的用户提供安全服务。 软件工程提出了能处理所有这些问题的一个非常确实的( well-established,)策略。系统 被分解成多层。应用程序接口(APls)允许应用程序在某一层调用底层的服务。通过隐藏实 现的细节,API可以减轻应用程序员的与安全相关的任务,比如实现或者甚至选择加密算法。 所需的安全专家的水平(安全意识, securIty awareness),是比较安全APls的一个很好的尺 度标准( yardstick) 10.3. 1 GSS-API 通用安全服务应用程序接口(GSS-API)最初被设计用来提高在基于 Kerberos或基于分 布式认证安全服务(DASS)的分布式安全体系结构之间的可移植性。GSS-AP提供了面向 连接应用的安全服务的简单接口。这些服务都可以在一定的底层机制和协议范围内实现,所 以对不同的环境可以提高应用程序源级的可移植性。指导GSS-API设计的主要目标是 机制独立:GSS-API在通用级上定义了对强安全认证和其他安全服务的接口,它独 立于特定的底层机制。安全服务可以通过对称密钥加密(例如, Kerberos)或者公开密钥加 密(例如,X509)实现 协议环境独立: GSS-API独立于使用的通信协议,允许在宽的协议范围内使用。 对实现位置范围的适用性:在GSS-AP实现的系统中,GSS-AP客户不被限制驻留 在系统定义的任何可信计算基( trusted computing base,TcB)的周边( perimeter)内 对GSS-AP来说有两个逻辑部分:与安全服务集合的通用接口,即完全的AP,和提 供安全服务机制的集合。 GSs-AP的特征和概念 个典型的GSS-API调用者本身就是一个通信协议,调用 GSS-AP服务就是为了用认 证、完整性和/或者机密性安全服务保护它的通信。接口驻留在本地系统中,通过一个库提 供对GSS-API调用的入口。接口实现数据转换和对每一个已知的机制调用其接口的任务 ( roles),而对应用程序隐藏了机制的细节。GSS-API的基本安全元素是证书、标记( token)、 安全上下文( context)和状态码。在对等层间初始化安全上下文的操作实现对等实体的认证, 与提供每一个消息数据源的认证和数据完整性保护相分离 过去习惯于提供安全服务的机制在每一次会话开始时选择,且在整个会话期间都保持不 变。对GSS-AP可利用的机制影响了这种机制的选择。在 GSS-API那里多种机制是可利用 的,调用者可以说明一个优先选择的列表。否则,系统选择一种缺省机制 证书 第9页共16页 创建时间:2002/223152100翻译：中国科学技术大学信息安全专业老师 第 9 页 共 16 页 创建时间：2002/12/23 15:21:00 Fortezza 卡，是为美国国防应用开发的 PCMCIA 卡，说明了这种方法。当颁发给用户一 张卡时，在卡成为用户模式前，场地安全管理员装入用户的私有密钥。该卡将通过个人身份 识别号码 PIN 机制被激活。通过用户在他们自己的 PCMCIA 卡上执行与安全相关的操作， Fortezza 使得各个用户以安全的方式从任何一个结点访问分布式系统。 10.3 安全 APIs 为了向更深一步提高分布式系统安全的综合体系结构，下面的三个问题必须被提出来。 1．分布式系统中的安全要求常常超过了纯粹的认证。 2．在分布式系统中不同的组件不必使用相同的安全机制（在本章中，你已经了解了作 为用户认证的两种不同的体系结构）。因此，安全必须在各种各样的安全机制上实施。 3．用户和应用程序员不必是安全专家。你必须找到一个可行的方法给那些不知道安全 的用户提供安全服务。 软件工程提出了能处理所有这些问题的一个非常确实的（well-established，）策略。系统 被分解成多层。应用程序接口（APIs）允许应用程序在某一层调用底层的服务。通过隐藏实 现的细节，API 可以减轻应用程序员的与安全相关的任务，比如实现或者甚至选择加密算法。 所需的安全专家的水平（安全意识，security awareness），是比较安全 APIs 的一个很好的尺 度标准(yardstick)。 10.3.1 GSS-API 通用安全服务应用程序接口（GSS-API）最初被设计用来提高在基于 Kerberos 或基于分 布式认证安全服务（DASS）的分布式安全体系结构之间的可移植性。GSS-API 提供了面向 连接应用的安全服务的简单接口。这些服务都可以在一定的底层机制和协议范围内实现，所 以对不同的环境可以提高应用程序源级的可移植性。指导 GSS-API 设计的主要目标是： ·机制独立： GSS-API 在通用级上定义了对强安全认证和其他安全服务的接口，它独 立于特定的底层机制。安全服务可以通过对称密钥加密（例如，Kerberos）或者公开密钥加 密（例如，X.509）实现。 ·协议环境独立： GSS-API 独立于使用的通信协议，允许在宽的协议范围内使用。 ·对实现位置范围的适用性： 在 GSS-API 实现的系统中，GSS-API 客户不被限制驻留 在系统定义的任何可信计算基（trusted computing base，TCB）的周边（perimeter）内。 对 GSS-API 来说有两个逻辑部分：与安全服务集合的通用接口，即完全的 API，和提 供安全服务机制的集合。 GSS-API 的特征和概念 一个典型的 GSS-API 调用者本身就是一个通信协议，调用 GSS-API 服务就是为了用认 证、完整性和/或者机密性安全服务保护它的通信。接口驻留在本地系统中，通过一个库提 供对 GSS-API 调用的入口。接口实现数据转换和对每一个已知的机制调用其接口的任务 （roles），而对应用程序隐藏了机制的细节。GSS-API 的基本安全元素是证书、标记（token）、 安全上下文（context）和状态码。在对等层间初始化安全上下文的操作实现对等实体的认证， 与提供每一个消息数据源的认证和数据完整性保护相分离。 过去习惯于提供安全服务的机制在每一次会话开始时选择，且在整个会话期间都保持不 变。对 GSS-API 可利用的机制影响了这种机制的选择。在 GSS-API 那里多种机制是可利用 的，调用者可以说明一个优先选择的列表。否则，系统选择一种缺省机制。 证书