204004.htm

探索Windows 2000发展策略以及中介层技术设计的基本概念

<html><body><span  id=Layer1><a name=204004><font color=#3e70d7 face=arial size=5><b>搭配Kerberos使用公开金钥技术</span><span  id=Layer2></b></font><p><font size=2 color=#3c3c3c face=arial>Kerberos最早是由MIT发展的，Kerberos只需要秘密金钥加密。然而，今天有IETF规格可用在智慧卡和公开金钥技术以便取得Kerberos ticket-granting ticket （TGT），而Windows 2000支援这个选项。使用这个解决方案排除了Kerberos潜在的弱点，它信赖使用者选择的密码。在标准的Kerberos，若我可以猜测或偷取你的密码，我就可以以你的身份登入。若使用智慧卡的方式登入，这就办不到了。假设你的公开金钥是储存在智慧卡上，若没有拥有智慧卡和卡片的PIN，我便无法假冒你的身份登入。</span><span  id=Layer3></font></p><p><font size=2 color=#3c3c3c face=arial>Windows  2000 Kerberos允许使用 Smart Card而不使用密码来登入</span><span  id=Layer4></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>Windows  2000 Kerberos允许使用 Smart Card而不使用密码来登入</span><span  id=Layer5></font></p><hr><p><font size=2 color=#3c3c3c face=arial>这个智慧卡选项有时也称为PKINIT，它运作的过程如图4-17。不采用输入密码的方式登入，使用者将智慧卡插入智慧卡读取器，然後输入卡片的PIN。接着便从智慧卡读取使用者的凭证，和为一个TGT而签章过的要求，传送到KDC。（将凭证的资讯取代掉Windows 2000 Kerberos传送的事先验证之资料。）KDC透过检查数位签章的方式来验证凭证，也有可能要建构一个凭证链。（在Windows 2000中，使用者的凭证必需由一个企业CA发行以便用来登入。）</span><span  id=Layer6></font></p><p><font size=2 color=#3c3c3c face=arial>客户端传送一个数位签章和凭证来验证它的使用者</span><span  id=Layer7></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>客户端传送一个数位签章和凭证来验证它的使用者</span><span  id=Layer8></font></p><hr><p><font size=2 color=#3c3c3c face=arial>假设核对了使用者提供的凭证资讯，KDC便从凭证中取得使用	者的公开金钥，然後使用它来验证提供的数位签章，之後在Active 	Directory资料库中查询使用者的项目。</span><span  id=Layer9></font></p><br><center><a target=_new href=imagesh/4-17.gif><img border=0 src='imagesl/4-17.gif'></a></center></span><span  id=Layer10><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b>&nbsp;图4-17</span><span  id=Layer11>&nbsp;</b></font>客户端可以使用智慧卡来取得Kerberos TGT。</span><span  id=Layer12></td></table></font></center><p><font size=2 color=#3c3c3c face=arial>接着KDC回传一个TGT，这个TGT以KDC的秘密金钥K</span><span  id=Layer13><sub><font size=2 color=#3c3c3c  face=arial>K</span><span  id=Layer14></font></sub>加密，就如同标准的Kerberos一样。一如往常，KDC同样会回传一个加密的Session金钥K</span><span  id=Layer15><sub><font size=2 color=#3c3c3c  face=arial>C,K</span><span  id=Layer16></font></sub>，不过用来加密这个Session金钥的金钥不是从使用者的密码而来的。取代的做法，KDC产生一个暂时的秘密金钥K</span><span  id=Layer17><sub><font size=2 color=#3c3c3c  face=arial>T</span><span  id=Layer18></font></sub>，使用它来加密客户端KDC的Session金钥，然後传送它的暂时金钥（temporary key）。暂时金钥本身传送时也是使用客户端的公开金钥	K</span><span  id=Layer19><sub><font size=2 color=#3c3c3c  face=arial>Pub</span><span  id=Layer20></font></sub>加密，它是由客户端所提供的凭证中萃取出来的。为了向客户端证明它是正确的KDC，则加密的Session金钥是使用KDC的秘密金钥来签章的。最後为了要让客户端验证这个签章，伺服器同样地会回传它的凭证或凭证链。</span><span  id=Layer21></font></p><p><font size=2 color=#3c3c3c face=arial>KDC验证数位签章，然後传回一个TGT</span><span  id=Layer22></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>KDC验证数位签章，然後传回一个TGT</span><span  id=Layer23></font></p><hr><p><font size=2 color=#3c3c3c face=arial>当这个讯息到达客户端时，便有许多事发生了。首先客户端验证接收到的数位签章，满意的话，那麽这个讯息是从正确的KDC而来的。接下来，客户端使用它的秘密金钥来解密伺服器回传的暂时金钥KT。一旦知道这把金钥，客户端便可以解密Session金钥K</span><span  id=Layer24><sub><font size=2 color=#3c3c3c  face=arial>C,K</span><span  id=Layer25></font></sub>，然後就像以传统的Kerberos登入方式一样，现在客户端已有一个TGT，以及一个有效的客户端KDC Session金钥。</span><span  id=Layer26></font></p><p><font size=2 color=#3c3c3c face=arial>PKINIT只用来更改如何获得TGT与它相关的Session金钥，在Kerberos中，所有东西运作的方式就和平常一样。在智慧卡很普遍的环境中，PKINIT能提供Windows 2000网域额外的安全性评量。而PKINIT结合Kerberos与公开金钥技术，它将目前领先的两种解决方案有效地结合以适用在分散式的安全性。</span><span  id=Layer27></font></p><p><font size=2 color=#3c3c3c face=arial>结合 Kerberos与公开金钥技术以发扬这两个领先的安全性解决方案</span><span  id=Layer28></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>结合 Kerberos与公开金钥技术以发扬这两个领先的安全性解决方案</span>
	</body></html>