《安全网络中认证授权主要技术介绍肖慧程冲V13.doc》由会员分享,可在线阅读,更多相关《安全网络中认证授权主要技术介绍肖慧程冲V13.doc(22页珍藏版)》请在三一文库上搜索。
1、安全网络中认证授权主要技术介绍文档密级:内部公开华为技术有限公司研究管理部文档中心产品版本密级1.3内部公开产品名称:安全网络中认证授权主要技术介绍共 22 页安全网络中认证授权主要技术介绍 拟制肖 慧 101159程 冲 104328日期2007年10月22日审核朱彦 52071日期2007-10-22审核日期批准日期 华为技术有限公司版权所有 侵权必究修订记录日期修订版本描述作者2007-10-171.0初稿完成。肖慧00101159程冲001043282007-10-221.1对行文的修改,以及CA和AD部分的内容进行了调整。程冲001043282007-11-071.2针对组内文档评审
2、过程中的意见进行了修改。程冲001043282007-12-121.31)增加Radius报文交互说明2)增加LDAP三种认证机制和报文交互说明3)增加CA证书格式的说明4)增加Kerberos交互说明5)增加Anmeng公司SecurID认证机制说明6)增加参考文献7)调整文章的行文以及图表格式等程冲00104328肖慧00101159目录安全网络中认证授权主要技术介绍11、引言52、Radius62.1 Radius基本介绍62.2 Radius的主要特性62.3 Radius使用场景72.4 Radius涉及协议简介83、LDAP83.1 LDAP基本介绍83.2 LDAP主要特性83.
3、3 LDAP应用场景93.4 LDAP涉及协议简介104、CA124.1 CA基本介绍124.2 CA主要特性134.3 CA应用场景144.4 CA涉及协议简介145、其他认证方式165.1 AD基本介绍以及特性165.2 SecurID简介195.3各种认证授权方式的比较206、后记217、参考文献22安全网络中认证授权主要技术介绍摘 要:本文介绍了网络认证授权的几种主要技术:Radius、LDAP、CA、AD、SecurID等,并对其进行相应的分析对比。关键词:网络认证 网络授权 Radius LDAP CA AD SecurID缩略语清单: 缩略语英文全名中文解释RadiusRemot
4、e Authentication Dial In User Service远程认证拨号用户服务协议LDAPLightweight Directory Access Protocol轻量级目录访问协议CACertification Authority证书颁发机构ADActive Directory活动目录NASNetwork Access Server网络接入服务器PKIPublic Key Infrastructure 公钥基础设施SecurIDSecure Identifier安全标识SSLSecure Sockets Layer安全套接字层PKCS Public-Key Cryptogra
5、phy Standards 公开密钥加密标准SASLSimple Authentication and Secure Layer简单认证与安全层NASNetwork Access Server网络接入服务器KDCKey Distribution Center密钥分配中心TGSTicket Granting Server门票分配服务器1、引言网络安全是Internet必须面对的一个实际问题,作为一个综合性的技术,我们需要从以下几个方面考虑整个网络的安全:1、保护网络物理线路不会轻易遭受攻击2、有效识别合法和不合法的用户3、实现有效的访问控制4、保证内部网络的隐蔽性5、有效的访问手段,重要的数据重
6、点保护6、对网络设备、网络拓扑的安全管理7、病毒方法8、提高安全防范意识这上面的第2和第3条措施就分别从认证和授权这两个角度来保障网络的安全。提及认证授权技术,就不能忽视AAA,即Authentication(认证)、Authorization(授权)、Accounting(计费)。它是一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。这里的网络安全主要指访问控制,包括哪些用户可以访问网络服务器;具有访问权的用户可以得到哪些服务;以及如何对正在使用网络资源的用户进行记账。AAA的整体实现结构如下图所述:图1-1在AAA这个一致性框架下,有很多具体的实现机制
7、,比如Radius就是其中一员,基于UDP协议的Radius报文是NAS和Radius服务器之间的交互手段。认证授权方法分门别类,各行起道,如:Radius、LDAP、CA、AD、SecurID等。同时由于其特点各异,也适合不同的应用场景,比如Radius主要适用于远程拨号用户,不仅可以认证、授权还可以实现计费功能;而SecurID只能用于认证,通过增加密码以外的第二个物理认证因素使得认证的确定性按指数递增。正是由于认证授权方法的多样化,就迫切地需要我们对其进行总结分类和比较,掌握其主要原理、特点、适用场景,这也是本文的主旨所在,给大家提供一个直观的印象和一个深入学习的RFC导向,但是对每一种
8、具体认证方式不做深入剖析,点到为止。2、Radius2.1 Radius基本介绍Radius(Remote Authentication Dial In User Service,远程认证拨号用户服务协议)是目前使用最广泛、也是最流行的用于实现对远程电话拨号用户的身份认证、授权和计费的协议。Radius协议的认证授权端口号为1812,计费端口号为1813。虽然RFC2865上明确说明1645端口已用于datametrics服务,RFC2866也指明1646端口用于sa-msg-port服务,但是现在很多服务器仍缺省地使用这两个端口。Radius采用典型的客户/服务器(Client/Server
9、)结构,有两种认证方式,一种本地认证方式,客户端和服务器端都在NAS上;另一种Radius服务器认证方式,NAS作为客户端,Radius服务器作为服务器端。第二种认证方式使用最为普遍,NAS作为客户端负责传输用户信息到指定的Radius服务器,然后根据从服务器返回的信息进行相应处理(如接入/挂断用户)。Radius服务器通过建立一个唯一的用户数据库,存储用户名和用户密码来进行认证;存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS计费通过在会话的开始和结束的时候发送包含有关会话的消息执行。RADIUS计费功能允许在服务开始和结束时发送数据,标识会话期间众多信息中资源的数量。2.
10、2 Radius的主要特性翻阅RFC2865,其第一章就阐述了Radius协议四个关键特性:1、 客户/服务器模式(Client/Server)网络接入服务器(NAS)是作为Radius的客户端运作的。这个客户端负责将用户信息传递给指定的Radius服务器,并负责执行返回的响应。Radius服务器负责接收用户的连接请求,认证用户,并为客户端返回所有为用户提供服务所必须的配置信息。一个Radius服务器可以为其他的Radius服务器或其他种类认证服务器担当代理。2、 网络安全(Network Security)客户端和Radius服务器之间的事务是通过使用一种从来不会在网上传输的共享机密进行鉴别
11、的。另外,在客户端和Radius服务器之间的任何用户密码都是被MD5异或运算后传输的。3、 灵活的认证机制(Flexible Authentication Mechanisms)Radius服务器能支持多种认证用户的方法。当用户提供了用户名和原始密码后,Radius服务器可以支持点对点的PAP认证(PPP PAP)、点对点的CHAP认证(PPP CHAP)、UNIX的登录操作(UNIX Login)和其他认证机制。4、 扩展协议(Extensible Protocol)Radius协议具有很好的扩展性。Radius包是由包头和一定数目的属性(Attribute)构成的。所有的属性都是通过Att
12、ribute-Length-Value这样的三元组构成的,而且新的属性可以在不中断已存在协议执行的前提下进行增加。2.3 Radius使用场景正如前面介绍的,Radius采用典型的客户/服务器(Client/Server)结构:1) Radius的客户端通常运行于NAS上,Radius服务器通常运行于一台工作站上,一台Radius服务器可以同时支持多个Radius客户(NAS)。2) Radius的服务器上存放着大量的信息,NAS上无须保存这些信息,而是通过Radius协议对这些信息进行访问。3) Radius服务器可以作为一个代理,以客户的身份同其他的Radius服务器或者其他类型的认证服务
13、器进行通信。用户的漫游通常就是通过Radius代理实现的。简单地说,代理就是一台服务器,可以作为其他Radius服务器的代理,负责转发Radius认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的Radius服务器进行认证。Radius认证授权报文主要包括:Access-request、Access-accept、Access-reject、Access-challenge,而计费报文主要是Accounting-request、Accounting-response。其中Radius认证功能:主要验证用户名的合法性,通过Access-request报文进行
14、验证;Radius授权功能:Radius服务器在认证成功后的响应中加入用户ACL、带宽等属性下发给客户端,实现授权功能;Radius计费功能:主要是实现相关的计费策略和计费方法。最常用的场景如下:图2-1NAS给Radius服务器发Access-Request报文请求认证,Radius服务器则回应Access-Accept报文表明认证通过,或是Access-Reject报文表明认证失败。Access-Accept报文中包含了相关的访问属性,NAS可以据此进行授权操作。而Radius服务器通过发送Accounting-Request报文请求计费,NAS则回应Accounting-Response
15、表明计费开始。计费结束也是同样的Accounting-Request和Accounting-Response报文交互。2.4 Radius涉及协议简介Radius涉及到的最主要的RFC有两个,一个是RFC2865,有关认证授权;一个是RFC2866,有关计费。具体的Radius相关协议的RFC列表如下:协议类型RFC编号RFC标题描述AuthenticationRFC2865Remote Authentication Dial In User Service (RADIUS)AccountingRFC2866RADIUS AccountingRFC2867RADIUS Accounting M
16、odifications for Tunnel Protocol SupportExtensionsRFC2868RADIUS Attributes for Tunnel Protocol SupportRFC2869RADIUS Extensions表2-13、LDAP3.1 LDAP基本介绍LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是由美国Michigan大学研发的新的目录访问协议,是一个信息目录,基于树形结构。它是在继承了X.500标准的所有优点的基础上发展起来的,并对其进行了改进。LDAP协议从1993年批准,产生了LDA
17、P V1版本,随后于1997年发布了第三个版本LDAP V3,它的出现是LDAP协议发展的一个里程碑性标志,使得LDAP协议不仅仅作为X.500的简化版,同时提供了LDAP协议许多自有的特性,。样一来, LDAP协议功能更为完备,具有了更大的生命力。LDAP默认端口号为389,基于TCP协议。LDAP提供三种认证机制:匿名认证、基本认证、SASL(Simple Authentication and Secure Layer,简单认证与安全层)认证。其中,匿名认证是不对用户名进行认证;基本认证通过用户名和密码进行身份识别,又分为简单密码认证和摘要密码认证;SASL则提供了一种认证框架,它融合了各
18、种的认证机制,如Anonymous、CARM-MD5、External、GSSAPI、Kerberos以及SecurID等。同时LDAP还提供在SSL和TLS安全通道基础上进行的身份认证,包括数字证书的认证。LDAP访问控制异常灵活和丰富,用户数据管理和访问标识是一体的。在LDAP中,可以把整个目录、目录的子数、指定条目、特定条目属性集或符合某过滤条件的条目作为控制对象进行授权;可以把特定用户、属于特定组或所有目录用户作为授权主题进行授权;还可以对特定位置(例如IP地址或DNS名称)进行访问。3.2 LDAP主要特性LDAP的主要特性如下:1、 卓越的检索性能由于树形结构,LDAP Serve
19、r在处理大量用户并发访问问题上优势明显,具有比关系数据库系统更快的响应速度。2、 完善的安全机制LDAP Server通过访问控制列表ACL设置对目录数据的读和写的权限,通过支持基于SSL(Secure Sockets Layer,安全套接字层)的安全机制完成对明文加密,为金融、电信、公安等行业提供更安全的保障。3、 跨平台支持由于 LDAP Server 运行在 TCP/IP 上层,互联网上的各种应用无论是运行在Unix下还是Windows下,都可以通过TCP/IP访问LDAP Server上的目录信息。4、 同步复制功能分布在不同地域的两台目录服务器通过使用“推”、“拉”技术使服务器保持数
20、据的同步和一致。除此之外,还具备可扩展性强,费用低廉以及维护简单等特点,正是由于这些强大的优势,在信息安全、科学计算、网络管理、电子政务管理等行业领域应用广泛。RFC3377介绍了LDAP V3的规范,除了介绍LDAP的语法结构、URL格式等,还介绍了LDAP安全机制以及基于SSL传输的LDAP。这里还需要说明的是,LDAP这种树状结构适合于相对稳定的数据存储,这和关系数据库中频繁变更的数据结构截然不同,这个特点也使得其在查找数据条目时具有得天独厚的速度优势。3.3 LDAP应用场景LDAP也是基于C/S架构的,LDAP服务器负责对来自应用服务器的请求进行认证,同时还指定用户登录的应用服务器所
21、允许访问的资源范围等,主要应用场景如下:图3-1下面再具体看一下LDAP协议的认证与授权的交互流程图:图3-2客户端会先发送Bind Request报文对管理员进行绑定认证;绑定成功后,发送Search Request报文查找待认证用户的相关属性;当客户端获取到相关属性后,再发送Bind Request报文绑定认证这个用户。LDAP授权则是先绑定管理员,然后直接通过Search Request报文获取用户的相关访问规则。图3-3是LDAP授权的交互流程图:图3-3LDAP报文有多种类型,Bind、Search、add、Del等,Bind Request报文主要用于认证,除了匿名认证,LDAP服
22、务器会要求在访问相关权限的目录之前先要进行Bind认证。Search Request则用于查询LDAP服务器上的相关树状条目。这里需要注意的是,不管有没有查询到相关的条目(Entry),即只要是查找成功或是查找结束,LDAP服务器都会在Search Result报文中返回Success。3.4 LDAP涉及协议简介LDAP的RFC文档分为Initial LDAP specs、LDAP V3 specs、 Additional LDAP specs三类,我们都能在LDAPman网站上(www.ldapman.org)找到,具体的协议与RFC列表如下:LDAP规范RFC编号RFC标题描述Initi
23、al LDAP specsRFC 1487X.500 Lightweight Directory Access Protocol (obsoleted by RFC 1777)RFC 1558A String Representation of LDAP Search Filters (obsoleted by RFC 1960)RFC 1777Lightweight Directory Access ProtocolRFC 1778The String Representation of Standard Attribute SyntaxesRFC 1779String Representa
24、tion of Distinguished NamesRFC 1959An LDAP URL Format (obsoleted by RFC 2255)RFC 1960A String Representation of LDAP Search Filters (obsoleted by RFC 2254)LDAP v3specsRFC 2251LDAPv3: The specification of the LDAP on-the-wire protocolRFC 2252LDAPv3: Attribute Syntax DefinitionsRFC 2253LDAPv3: UTF-8 S
25、tring Representation of Distinguished NamesRFC 2254LDAPv3: The String Representation of LDAP Search FiltersRFC 2255LDAPv3: The LDAP URL FormatRFC 2256A Summary of the X.500(96) User Schema for use with LDAPv3Additional LDAPspecsRFC 1823The LDAP Application Program InterfaceRFC 2079Definition of an X
26、.500 Attribute Type and an Object Class to Hold Uniform Resource IdentifiersRFC 2116X.500 Implementations Catalog-96RFC 2164Use of an X.500/LDAP directory to support MIXER address mappingRFC 2247Using DNS Domain names in LDAP/X.500 Distinguished NamesRFC 2307An Approach for Using LDAP as a Network I
27、nformation ServiceRFC 2377Naming Plan for Internet Directory-Enabled ApplicationsRFC 2559Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2RFC 2596Use of Language Codes in LDAPRFC 2649An LDAP Control and Schema for Holding Operation SignaturesRFC 2696LDAP Control Extension for S
28、imple Paged Results ManipulationRFC 2829Authentication Methods for LDAPRFC 2830Lightweight Directory Access Protocol (v3): Extension for Transport Layer SecurityRFC 3377Lightweight Directory Access Protocol (v3): Technical Specification表3-14、CA4.1 CA基本介绍网络上商业应用的大规模繁殖,对网络安全和网络信用的要求越来越高。电子交易行为随处所见,为了确
29、保交易的顺利进行,必须在互连网中建立并维护一种可以信任的环境和机制。为了应对这种对安全的需求,国际上提出了基于公钥基础设施(PKI)的数字证书解决方案,已被普遍采用。PKI(Public Key Infrastructure,公钥基础设施)是在公开密钥的理论和技术基础上发展起来的一种综合安全平台。它能够为所有网络应用透明地提供加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,能够安全地从事各种活动。CA(C
30、ertification Authority,证书颁发机构)是PKI的核心执行机构,是PKI的主要组成部分,在业界通常把它称为认证中心。它是一种权威性、可信任性和公正性的第三方机构。认证机构CA的建设要根据国家市场准入政策由国家主管部门批准,具有权威性;CA机构本身的建设应具备条件、采用的加密算法及技术保障是高度安全的,具有可信任性;CA是不参与交易双方利益的第三方机构,具有公正性。CA认证机构在电子签名法中被称作“电子认证服务提供者”。CA的组成主要有证书签发服务器、密钥管理中心、目录服务器等。证书签发服务器负责证书的签发和管理,包括证书归档、撤销和更新等等;密钥管理中心主要负责用硬件加密机
31、产生公/私密钥对,提供CA证书的签发;目录服务器负责证书和证书撤销列表(CRL)的发布和查询。CA主要有五种模式:1、级联模式,类似于LDAP的树状结果,适用于一个组织机构内部。2、网状模式,现在应用较少,适用于一个机构内部或者是数目不多的多个机构。3、混合模式,是级联模式和网状模式的混合体,适用于数目不多的多个机构。4、桥接模式,是公司之间、国家之间必选的一种模式,适用于数目不限的多个机构。5、多根模式,CA内置于浏览器中,访问WEB网站,适用于多个机构。下面是个CA级联模式的结构图:图4-1从上图可以看出,注册机构(RA)相当于密钥管理中心,负责接受终端实体的请求,并对终端实体进行注册认证
32、等操作;认证机构(CA)相当于证书的签发服务器,负责证书签发、更新等操作。当然,组织机构比较小的情况下,RA与CA可以合二为一。下面是个CA证书的式例:图4-24.2 CA主要特性通过自动管理密钥和证书,对要传输的数字信息进行加密和签名,保证信息传输的机密性、完整性、鉴别性和不可抵赖性,从而保证信息的安全传输。具体特性如下:1、 机密性数据的保密性服务,数字签名确保数据在传输过程中,除了接收者之外,无人能访问数据的关键部分。2、 完整性数据的完整性服务,确保数据在传输和存储过程中,没有有意或无意的修改;PKI 采用数字签名和消息认证码MAC实现完整性服务。3、 鉴别性认证的安全性服务,确保发送
33、方与接收方的真实身份,即身份识别与鉴别,PKI采用数字签名技术实现认证。4、 不可抵赖性抗抵赖性服务,即不可否认性服务,PKI 采用身份认证的机制确保发送方不能否认其发送的信息。4.3 CA应用场景CA应用场景包括:1) 商业应用,涉及到电子交易行为时引用较为广泛。(SET)2) 访问Web服务器。(SSL)3) 安全电子邮件(S/MIME)4) 虚拟专用网(VPN)Windows域登陆(IPSEC,SSL VPN)下图反映了CA在整个安全体系中的位置和作用:图4-34.4 CA涉及协议简介CA整个流程涉及到的标准协议:CA证书流程涉及到的协议/协议族证书格式X.509密钥生成PKCS系列证书
34、签发X.500、X.509、PKCS系列、SCEP证书吊销OCSP、LDAP、AD、SCEP证书验证X.509、PKCS系列证书存储LDAP、AD、X.500表4-1上表中,CA涉及最多协议族的就是X.500、X.509、PKCS三种。X.500是一套已被国际标准化组织(ISO)接受的目的服务系统标准,它定义了一个机构如何在全局范围内共享其名字和与之相关的对象,被认为是实现目录服务器的最佳途径。X.509国际电信联盟ITU X.509协议,是PKI技术体系中应用最为广泛、也是最为基础的一个国际标准。它主要目的在于定义一个规范的数字证书的格式,以便为基于X.500协议的目录服务提供一种强认证手段
35、。目前国内使用的是X.509v3 格式的证书。PKCS(Public-Key Cryptography Standards,公开密钥加密标准)是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。常用的有:(1) PKCS#7 Cryptographic Message Syntax Standard(2) PKCS#10 Certification Request Standard(3) PKCS#12 Personal Information Exchange Syntax Standard目前,由PKCS和X.509派生出多
36、种数字证书格式,例如:(1) PKCS#7 常用的后缀是:*.P7B、 *.P7C、*.SPC(2) PKCS#12 常用的后缀有:*.P12、*.PFX(3) X.509 DER 编码(ASCII)的后缀是:*.DER、*.CER、*.CRT(4) X.509 PAM 编码(Base64)的后缀是:*.PEM、*.CER、*.CRT 这三种协议族对应的RFC列表如下:协议类型RFC编号RFC标题描述X.500RFC1279 X.500 and DomainsRFC1487X.500 Lightweight Directory Access ProtocolRFC1488The X.500 S
37、tring Representation of Standard AttribRFC1562Naming Guidelines for the AARNet X.500 Directory ServiceRFC1567X.500 Directory Monitoring MIBRFC1632A Revised Catalog of Available X.500 ImplementationsRFC1943Building an X.500 Directory Service in the USRFC2079Definition of an X.500 Attribute Type and a
38、n Object Class to Hold Uniform Resource Identifiers(URLs)RFC2116X.500 Implementations Catalog-96RFC2120Managing the X.500 Root Naming ContextRFC 2256LDAPv3: A Summary of the X.500(96) User Schema for use with LDAPv3RFC 2247Using Domains in LDAP/X.500 Distinguished NamesX.509RFC 2459Internet X.509 Pu
39、blic Key Infrastructure Certificate and CRL ProfileRFC 2510Internet x.509 Public Key Infrastructure Certificate Management Protocols RFC 2511Internet X.509 Certificate Request Message FormatRFC 2528Internet x.509 Public Key Infrastructure Representation of Key ExRFC 2560X.509 Internet Public Key Inf
40、rastructure Online Certificate Status Protocol(OCSP)RFC 2559X.509 Internet Public Key Infrastructure Online Certificate Status Protocol(OCSP)RFC 3029Internet X.509 Public Key Infrastructure Data Validation and Certification Server ProtocolsRFC 3161Internet x.509 Public Key Infrastructure Time-Stamp
41、Protocol(TSP)RFC 3280Internet x.509 Public Key Infrastructure Certification and Certificate Recovation List(CRL) ProfileRFC 4043Internet X.509 Public Key Infrastructure Permanent IdentifierRFC 4059Internet x.509 Public Key Infrastructure Waqrranty Certificate Extension Warranty Certificate Extension
42、RFC 4683Internet X.509 Public Key Infrastructure Subject Identification Method(SIM)PKCSRFC 2313PKCS #1: RSA Encryption Version 1.5RFC 2437PKCS #1: RSA Cryptography Specifications Version 2.0RFC 2898PKCS #5: Password-Based Cryptography Specification Version 2.0RFC 2986PKCS #10: Certification Request
43、Syntax Specification Version 1.7PKCS #7: Cryptographic Message Syntax Standard. Version 1.5PKCS #12: Personal Information Exchange Syntax Standard. Version 1.0表4-25、其他认证方式5.1 AD基本介绍以及特性AD(Active Directory,活动目录)是一种存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。活动目录将安全性通过登录身份验证以及目录对象的访问控制集成在一起,通过单点网络登录,管理员可以管理分散在网络各处的目
44、录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。活动目录是目录服务的异类,它保存网络上所有的资源和可以访问活动目录的客户在活动目录中信息以安全的形式保存,每个活动目录中的对象有一个访问控制表(ACL),在其中有资源的列表和访问权限。AD的主要特点如下:(1) 信息以安全形式保存,每个活动目录中的对象有一个访问控制表(ACL),在其中有资源的列表和访问权限。(2) 由活动产生的全局类目使查询更加灵活,任何支持活动目录的客户都可以查询这个类目。(3) 将目录复制到所有域控制器,意味着对域名的访问更容易,而且可靠性更好。(4) 由对象组成的层次结构,其中任何一个对象(根目录除外)又被
45、另外的对象包含。(5) 因为它的基础是X.500,所以它可以在不同的协议基础上进行通信。 AD认证一般是通过Kerberos协议进行的,Kerberos协议的精髓是整个鉴别体系依赖可信的第三方认证服务。其典型交互流程如下:KDC ASKDC TGSUser/ClientApplication Server123456图5-1上图中,KDC AS(KDC Authentication Server)是Kerberos认证服务器,也是客户与其交互的第一个子协议,而KDC TGS(KDC Ticket-Granting Server)是Kerberos的票据分配服务器,是颁发票据的子协议,可以有一个
46、或多个。我们可以这样看待整个认证体系:User首先通过了AS的认证,即User与AS是相互信任的,而AS与TGS已是相互信任的,这样User与TGS之间的相互认证就可以通过AS来进行。以此类推,User已与TGS相互信任,而TGS又与Application Server相互信任,User与Application Server之间的相互认证就可以通过TGS来进行。AD的应用场景如下所示:图5-2AD支持的标准协议如下:协议用途DHCP协议网络地址管理动态DNS更新机器名称管理SNTP分布式网络时间管理LDAP目录访问LDIF目录同步Kerberos身份认证X.509身份认证表5-1活动目录使用域名系统 (DNS)来为服务器目录命名,DNS是将更容易理解的主机名(如Mike.M)转换为数字IP地址的Internet标准服务,利于在TCP/IP网络中计算机之间的相互识别和通讯。AD的命名规范与LDAP类似,基于X.509规范