Authentication and Authorization 鑒別與授權 在分布式計算環境中,除了附屬於本地服務器的資源以外,用戶通常還能訪問其它資源。傳統上,用戶訪問本地資源前須登錄,當訪問遠距離資源時(可能在其它城市)用戶必須再登錄一次。這種訪問每種資源前都須登錄的方法不僅麻煩,而且很難管理。帶有當前口令的用戶帳戶必須保存於每個服務器。另外,與遠距離設備的連接並非安全可靠,入侵者能夠監視線路並且截取登錄信息為自己所用。明顯地,需要有更好的方法。如果入侵者裝作另外的合法用戶並且截獲了加密的口令,那麼口令加密方法也會失敗。
UNIX、NetWare 4.x以及其它操作系統使用“可靠主機”的概念,即一個系統相信另一個系統已經正確地檢查了用戶身份合法性。關於它的方法將在接下去的段中討論。用戶一旦被驗證,他就可以訪問所授權的任何資源。用於檢驗用戶對遠距離資源訪問的信息隨著用戶登錄時間的不同而不同,所以即使信息被截取了,一旦用戶注銷後它將不能被再次使用。
鑒別技術必須判斷請求是否來自正確的用戶或應用以及請求沒有被某種方法修改。一旦請求被檢驗後,授權過程就決定用戶對資源的訪問類型。
下面談到的是在分布式網絡環境中提供鑒別服務的兩種重要產品。
Kerberos
Kerberos鑒別服務是由麻省理工學院的Athena工程作為分布式環境中開放系統的鑒別機制而開發的。它用於開放軟件基金會(OSF)分布式計算環境(DCE)和由廣大網絡操作系統供應商提供。
RSA Data SecurityRSA數據安全性
RSA密碼系統是位於加利福利亞州Redwood市的RSA 數據安全有限公司的產品,它被准許用於許多公司的產品中。它是一個有鑒別功能的公開密鑰加密方案,其中最出名的是提供NetWare 4.x的鑒別服務用在RSA系統中,密鑰大得實際上可以保證它決不會被推導出來。
傳統加密方法使用一個密鑰,而公開密鑰加密系統使用兩個密鑰。私人密鑰具有保密性而公開密鑰供公共使用。公開密鑰用於加密信息,私人密鑰用於解密。RSA系統用這項技術提供鑒別、簽名檢驗及其它安全性需求。
NetWare 4.x驗證
NetWare 4.x采用RSA安全性系統來驗證用戶並且授予他們使用網絡的權力,它與包含對象信息的訪問控制表協同工作。由於它工作在後台,所以用戶不知道鑒別過程。它為每位登錄的用戶分配一個唯一的標識,這個標識不是用戶的口令而是用來鑒別網絡用戶的每次請求。鑒別保證每位用戶的口令僅僅用於登錄處理,並且它很快轉變為一個不同代碼,用於標識用戶和用戶在現行會話中登錄的工作站。鑒別還保證消息來自當前會話工作站的合法用戶,並且未被破壞、偽造或修改。
相關條目:Kerberos Authentication Kerberos鑒別;RSA Data Security RSA數據安全性;Security 安全性。