Windows 版 (精华区)

发信人: shz (顺子会唱歌), 信区: Windows
标  题: Win2000系列谈开篇：分布式安全性
发信站: 哈工大紫丁香 (2001年04月10日21:45:32 星期二), 站内信件

------------------------------------------------------------------------
--------

http://www.sina.com.cn 2000/03/22 14:06 新浪科技

　　Windows 2000系列谈之六

　　信息安全对今天的网络系统来说，是一个非常重要又非常严重的问题，它涉及
到从硬件到软件、从单机到网络的各个方面的安全性机制。而网络操作系统的安全
性是整个网络系统安全体系中的基础环节。

　　在保护一个企业的信息技术的方面，防火墙、加密设备和其他的许多相关部件
都有着重要的作用。但是最重要的决定仍然是选择一个适当的网络操作系统。企业
不但要考察网络操作系统所能够提供的安全特性，还要考虑达到适当安全水平所需
要花费的成本，以及对企业业务和竞争力的影响。

　　今天，企业越来越向Internet开放，企业网络和Internet网络之间的区分已经
不再明显。企业需要采用基于Internet的技术，与业务伙伴、供货商和顾客进行交
互作用，安全性就成为在企业网络、Internet 和Intranet中控制资源访问权限的
关键因素，同时企业也需要安全管理上的灵活性和简易性。

　　安全性技术也在快速的发展变化之中；在今天日益复杂的环境中，为了达到较
高的安全程度，有两个领域发展很快，即：公用密钥证书和动态口令。企业越来越
多地面临着通过公共网络进行远程访问、通过Internet进行企业间通信的问题。这
是推动安全技术发展的动力。

　　Windows 2000的安全性设计

　　作为新一代的企业级网络系统，Windows 2000在安全特性方面的设计注重了三
个方面：

　　1. 对于基于Internet的新型企业的支持：帮助它们突破原有的企业网络和
Internet的界限，满足移动办公、远程工作，和随时随地接入全球数字神经系统
(Internet)进行通信和电子商务的需要。新一代的Ex tranet应用由此应运而生。


　　2. 微软在Windows 2000中提供的是一个安全性框架，并不偏重于任何一种特
定的安全特性；即微软不是提供给用户一个锤子，让用户去找合适的钉子去敲。新
的安全协议、加密服务提供者或者第三方的验证技术，可以方便地结合到
Windows 2000的"安全服务提供者接口"(SSPI，Security Service Provi der 
Interface)中，供用户选用。

　　3. Windows 2000意识到用户对于向下兼容的需要，完全无缝地对Windows 
NT 4.0的网络提供支持，提供对Windows NT 4.0中采用的NTLM(NT LAN Manager)安
全验证机制的支持。用户可以选择依照自己的步调迁移到Windows 2000中对替代
NTLM的Kerberos安全验证机制。 

　　Windows 2000中的验证服务架构

　　



　　从上图中可以看到，通过安全服务提供者接口(Security Service Provider 
Inte rface，SSPI)，Windows 2000实现了应用协议和底层安全验证协议的分离。
不管是NTLM、Ker beros、Secure Channel (Schannel，是web访问的常用验证方法
)，还是DPA(Dis tributed Password Authentification，社团/内容网站常用的验
证方法)，它们对于应用层来说都是一致的。应用厂商还可以通过微软提供的
Platform SDK产品包中的Security API来开发自己的验证机制。

　　Kerberos的验证机制

　　Kerberos是在Internet上长期被采用的一种安全验证机制，它是基于共享密钥
的方式。Kerbe ros协议定义了一系列客户机/密钥发布中心(Key Distribution 
Center，KDC)/服务器之间进行的获得和使用Kerberos票证的通信过程。

　　当已被验证的客户机试图访问一个网络服务时，Kerberos服务(即KDC)就会向
客户端发放一个有效期一般为8个小时的"对话票证"(Session Ticket)。网络服务
不需要访问目录中的验证服务，就可以通过对话票证来确认客户端的身份，这种对
话的建立过程比Windows NT 4.0中的速度要快许多。

　　Kerberos加强了Windows 2000的安全特性，它体现在更快的网络应用服务验证
速度，允许多层次的客户/服务器代理验证，和跨域验证建立可传递的信任关系。
可传递的信任关系的实现，是因为每个域中的验证服务(K DC)信任都是由同一棵树
中其他KDC所发放的票证，这就大大简化了大型网络中多域模型的域管理工作。

　　Kerberos还具有强化互操作性的优点。在一个多种操作系统的混合环境中，
Kerberos协议提供了通过一个统一的用户数据库为各种计算任务进行用户验证的能
力。即使在非Windows 2000平台上通过KDC验证的用户，比如从Internet进入的用
户，也可以通过KDC域之间的信任关系，获得无缝的Windows 2000网络访问。

　　Windows 2000实现的安全特性

　　正因为采用上述的安全机制，Windows 2000实现了如下的特性：数据安全性、
企业间通信的安全性、企业和Internet网的单点安全登录、以及易用和良好扩展性
的安全管理。

　　1. 数据安全性

　　Windows 2000所提供的保证数据保密性和完整性的特性，主要表现在以下三个
方面：

　　1) 用户登录时的安全性：从用户登录网络开始，对数据的保密性和完整性的
保护就已经开始了。Windows 2000借助Kerberos和PKI等验证协议提供了强有力的
口令保护和单点登录。

　　2) 网络数据的保护：包括在本地网络上的数据或者穿越网络的数据。在本地
网络的数据是由验证协议来保证其安全性的。如果需要更高的安全性，还可以在一
个站点(Site，通常指一个局域网或子网)中，通过IP加密(IP Se curity，简称
IPsec)的方法，提供点到点的数据加密安全性。

　　在站点之间穿越的数据，可以采用如下几个机制来加强安全性：l IP 
Security：为一个或多个IP节点(服务器或者工作站)加密所有的TCP/IP通信。

　　l Windows 2000路由和远程访问服务：配置远程访问的协议和路由以保证安全
性。

　　l Proxy Server：为一个站点与外界的交流提供防火墙或代理服务。

　　另外，Exchange、Outlook和IE等应用程序还可以提供站点间基于公用密钥的
消息加密和交易。

　　3) 存储数据的保护：可以采用数字签名来签署软件产品（防范运行恶意的软
件），或者加密文件系统。加密文件系统基于Windows 2000中的CryptoAPI架构，
实施DES加密算法，对每个文件都采用一个随机产生的密钥来加密。加密文件系统
不但可以加密本地的NTFS文件/文件夹，还可以加密远程的文件，不影响文件的输
入输出。其恢复策略由Windows 2000的整体安全性策略决定，具有恢复权限的管理
员才可以恢复数据，但是不能恢复用来加密的密钥。

　　2. 企业间通信的安全性

　　Windows 2000为不同企业之间的通信，提供了多种安全协议和用户模式的内置
的集成支持。它的实现可以从以下三种方式中选择：1) 在目录服务中创建专门为
外部企业开设的用户账号：通过Windows 2000的活动目录，可以设定组织单元、授
权或虚拟专用网等方式，并对它们进行管理。2) 建立域之间的信任关系：用户可
以在Ker beros或公用密钥体制得到验证之后，远程访问已经建立信任关系的域。
3) 公用密钥体制：电子证书可以用于提供用户身份确认和授权，企业可以把通过
电子证书验证的外部用户映射为目录服务中的一个用户账号。

　　3. 企业和Internet网的单点安全登录

　　当用户成功地登录到网络之后，Windows 2000透明地管理一个用户的安全属性
(Security C redentials)，而不管这种安全属性是通过用户帐号和用户组的权限
规定(这是企业网的通常做法)来体现的，还是通过数字签名和电子证书(这是
Internet的通常做法)来体现的。先进的应用服务器都应该能从用户登录时所使用
的安全服务提供者接口(SSPI)获得用户的安全属性，从而使用户做到单点登录，从
而访问所有的服务。

　　4. 易用的管理性和高扩展性

　　通过在活动目录中使用组策略， 管理员可以集中地把所需要的安全保护加强
到某个容器(SDOU)的所有用户/ 计算机对象上。Windows 2000包括了一些安全性模
版，既可以针对计算机所担当的角色来实施，也可以作为创建定制的安全性模版的
基础。

　　Windows 2000提供了两个微软管理界面(MMC)的插件作为安全性配置工具，即
安全性模版和安全性配置/分析。安全性模版MMC提供了针对十多种角色的计算机的
管理模版，这些角色包括从基本工作站、基本服务器一直到高度安全的域控制器。
它们的安全性要求是不同的。通过安全性配置/分析MMC，管理员可以创建针对当前
计算机的安全性策略。当然通过对加载模版的设置，该插件就会智能地运行配置或
分析功能，并产生报告来。

　　安全性管理的扩展性表现为，在活动目录中可以创建非常巨大的用户结构，用
户可以根据需要访问目录中存储的所有信息，但是用户受到所在的域或组织单元仍
然是安全性的边界，对访问的权限进行管制。

　　结束语

　　今天我们看到企业有越来越多的对外联系的需要，再也不能为了安全性的需要
，人为地把Internet和企业网分离开来。新一代的建立在Internet上的成功企业，
必然要借助Windows 2000的分布式安全机制，实现高度的安全性集成，以保护和促
进业务的发展。 




--
当我想哭的时候，我终于哭了
为什么呢？？？？
我想念她，
顺子真的会唱歌吗？
我想念她!

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: ugserver.hit.edu.cn]