第2章操作系統(tǒng)安全策略

1、第2章 操作系統(tǒng)安全與策略 本章學習目標 了解操作系統(tǒng)的安全性。 掌握windows2000中的用戶安全和管理策略。 掌握windows2000的文件訪問權限及其策略。 掌握windows2000中的資源審計。 本章要點內(nèi)容 windows2000中的用戶安全和管理策略 windows2000的文件訪問權限及其策略 windows2000中的資源審計 2.1 2.1 操作系統(tǒng)安全概述操作系統(tǒng)安全概述 2.2 windows20002.2 windows2000安全概述安全概述 2.3 windows20002.3 windows2000的用戶安全和管理策略的用戶安全和管理策略 2.4 ntfs

2、2.4 ntfs文件和文件夾的存取控制文件和文件夾的存取控制 2.5 2.5 使用審核資源使用審核資源 2.6 windows20002.6 windows2000的安全應用的安全應用 2.1 操作系統(tǒng)安全概述 2.1.1 操作系統(tǒng)安全 2.1.2 操作系統(tǒng)的安全機制 2.1.3 操作系統(tǒng)的安全策略 2.1.4 操作系統(tǒng)的漏洞和威脅 1系統(tǒng)安全 不允許未經(jīng)核準的用戶進入系統(tǒng)，從而可以防止他人非法 使用系統(tǒng)的資源是系統(tǒng)安全管理的任務。主要采取的手段 有注冊和登錄。 注冊：指系統(tǒng)設置一張注冊表，記錄了注冊用戶名和口令等信息， 使系統(tǒng)管理員能掌握進入系統(tǒng)的用戶情況，并保證用戶名在系統(tǒng)中 的唯一性。

3、登錄：指用戶每次使用時，首先要核對用戶和口令，核查用戶的合 法性。 2用戶安全 操作系統(tǒng)中，用戶安全管理,是為用戶分配文件“訪問權限” 而設計。用戶對文件訪問權限的大小，是根據(jù)用戶分類、 需求和文件屬性來分配的?？梢詫ξ募x建立、刪除、 打開、讀、寫、查詢和修改的訪問權限。 2.1.1 操作系統(tǒng)安全 3資源安全 資源安全是通過系統(tǒng)管理員或授權的資源用戶對資源屬性的 設置，來控制用戶對文件、打印機等的訪問。 4通信網(wǎng)絡安全 網(wǎng)絡中信息有存儲、處理和傳輸三個主要操作，其中傳輸中 受到的安全威脅最大。 用戶身份驗證和對等實體鑒別 訪問控制 數(shù)據(jù)完整性 防抵賴 審計 操作系統(tǒng)的安全機制主要有身份鑒別

4、機制、訪問控制和授權 機制和加密機制。 1身份鑒別機制 身份鑒別機制是大多數(shù)保護機制的基礎。分為內(nèi)部和外部身 份鑒別兩種。 外部身份鑒別機制是為了驗證用戶登錄系統(tǒng)的合法性，關鍵 是口令的保密。 內(nèi)部身份鑒別機制用于確保進程身份的合法性。 2.1.2 操作系統(tǒng)的安全機制 2訪問控制和授權機制 訪問控制是確定誰能訪問系統(tǒng)（鑒別用戶和進程）， 能訪問系統(tǒng)何種資源（訪問控制）以及在何種程度上 使用這些資源（授權）。 授權：即規(guī)定系統(tǒng)可以給哪些主體（一種能訪問對象的活 動實體，如人、進程或設備）訪問何種客體的特權。 確定訪問權限，并授權和實施：即規(guī)定以讀或寫，或執(zhí)行， 或增加，或刪除的方式進行訪問。 3

5、加密機制 加密是將信息編碼成像密文一樣難解形式的技術. 安全策略是安全策略是指在一個特定的環(huán)境里，為保 證提供一定級別的安全保護所必須遵守的規(guī)則。根據(jù) 組織現(xiàn)實要求所制定的一組經(jīng)授權使用計算機及信息 資源的規(guī)則，它的目標是防止信息安全事故的影響降 為最小，保證業(yè)務的持續(xù)性，保護組織的資源，防范 所有的威脅。 2.1.3 操作系統(tǒng)的安全策略 制定安全策略是通?？蓮囊韵聝蓚€方面來考慮: 1 物理安全策略 物理安全策略包括以下幾個方面： 一是為了保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通 信鏈路，以免受自然災害、人為破壞和搭線攻擊； 二是驗證用戶的身份和使用權限，防止用戶越權操作； 三是確保計

6、算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境； 四是建立完備的安全管理制度，防止非法進入計算機控制室和各 種偷竊、破壞活動的發(fā)生。 2 訪問控制策略 訪問控制是對要訪問系統(tǒng)的用戶進行識別，并對訪問權 限進行必要的控制。 訪問控制策略是維護計算機系統(tǒng)安全、保護其資源的重 要手段。 訪問控制的內(nèi)容有入網(wǎng)訪問控制、目錄級安全控制、屬 性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控 制、網(wǎng)絡端口和節(jié)點的安全控制等。另外，還有加密策 略、防火墻控制策略等。 1口令策略：口令的控制（口令不允許顯示、限制 措施、口令的更換、最短口令長度等）、口令的檢 查、口令的安全存儲 2訪問控制與授權策略 3系統(tǒng)監(jiān)控和審計策略

7、 （1）建立并保存事件記錄 （2）對系統(tǒng)使用情況進行監(jiān)控 1）以操作系統(tǒng)為手段，獲得授權以外或未授權的信息。它危 害計算機及其信息系統(tǒng)的保密性和完整性。例如，“特洛伊木 馬”、“邏輯炸彈”等都是如此。 2）以操作系統(tǒng)為手段，阻礙計算機系統(tǒng)的正常運行或用戶的 正常使用。 3）以操作系統(tǒng)為對象，破壞系統(tǒng)完成指定的功能。除了計算 機病毒破壞系統(tǒng)運行和用戶正常使用外，還有一些人為因素， 如干擾、設備故障和誤操作也會影響軟件的正常運行。 4）以軟件為對象，非法復制和非法使用。 5）以操作系統(tǒng)為手段，破壞計算機及其信息系統(tǒng)的安全，竊 聽或非法獲取系統(tǒng)的信息。 2.1.4 操作系統(tǒng)的漏洞和威脅 2.2 wi

8、ndows 2000安全概述 2.2.1 安全登錄 2.2.2 訪問控制 2.2.3 安全審計 2.2.4 windows2000的安全策略 2.2.1 安全登陸 1. windows 系統(tǒng)登錄 windows 要求每一個用戶提供唯一的用戶名和口令來登錄到計算機上， 這種強制性登錄過程不能關閉。 強制性登錄和使用ctrl+alt+del組合鍵啟動登錄,優(yōu)勢: 用以確定用戶身份的合法性, 確定用戶的身份從而確定用戶對系統(tǒng)資源的 訪問權限。 在強制登錄期間，掛起對用戶模式程序的訪問，防止創(chuàng)建或偷竊用戶帳戶 和口令的應用程序。入侵者可能模仿一個windows的登錄界面，然后讓用 戶進行登錄從而獲得用

9、戶登錄名和相應的密碼，使用ctrl+alt+del會造成 用戶程序被終止，而真正的登錄程序可由ctrl+alt+del啟動，來阻止這種 欺騙行為。 允許用戶具有單獨的配置，包括桌面和網(wǎng)絡連接，這些配置在用戶退出時 自動保存，在用戶登錄后自動調出。多個用戶可以使用同一臺機器，并且 仍然具有他們自己的專用設置。 成功的登錄過程有4個步驟： （1）win 32的winlogon過程給出一個對話框，要求要有一個用戶 名和口令，這個信息被傳遞給安全性賬戶管理程序。 （2）安全性賬戶管理程序查詢安全性賬戶數(shù)據(jù)庫，以確定指定的 用戶名和口令是否屬于授權的系統(tǒng)用戶。 （3）如果訪問是授權的，安全性系統(tǒng)構造一個

10、存取令牌，并將它 傳回到win 32的 winlogin過程。 （4）winlogin調用win 32子系統(tǒng)，為用戶創(chuàng)建一個新的進程，傳 遞存取令牌給子系統(tǒng)，win 32對新創(chuàng)建的過程連接此令牌。 2. 賬戶鎖定 為了防止有人企圖強行闖入系統(tǒng)中，用戶可以設定最大登錄次數(shù)，如果用 戶在規(guī)定次數(shù)內(nèi)未成功登錄，則系統(tǒng)會自動被鎖定，不可能再用于登錄。 3. windows 全性標識符（sid） 在安全系統(tǒng)上標識一個注冊用戶的唯一名字，它可以用來標識一個用戶或 一組用戶。 例如：s-1-5-21-76965814-1898335404-322544488-1001 u sid是唯一的數(shù)值，即用于代表一個

11、用戶的sid在以后應該永遠不會被另一 個用戶，用戶用一個用戶信息、時間、日期和域信息的結合體來創(chuàng)建。在 同一臺計算機上，可以創(chuàng)建相同的用戶帳戶名，而每個對應的sid是唯一。 要求在允許用戶訪問系統(tǒng)之前，輸入惟一的登錄標 識符和密碼來標識自己。安全特性有： （1）用戶帳號 （2）組 （3）kerberos 身份驗證協(xié)議 2.2.2 訪問控制 允許資源的所有者決定哪些用戶可以訪問資源和他們可以如 何處理這些資源。所有者可以授權給某個用戶或一組用戶， 允許他們進行各種訪問。安全特性有： 1）活動目錄： 2）ntfs的權限。 3）共享文件訪問許可。 4）分布式文件系統(tǒng)。 2.2.3 安全審計 提供檢測

12、和記錄與安全性有關的任何創(chuàng)建、訪問或刪除系統(tǒng) 資源的事件或嘗試的能力。登錄標識符記錄所有用戶的身份， 這樣便于跟蹤任何執(zhí)行非法操作的用戶。 1）審計資源的使用。 2）監(jiān)控網(wǎng)絡資源的訪問行為。 2.2.4 windows2000的安全策略 1windows 2000安全策略的內(nèi)容 安全策略主要包括如下3個方面：本地安全策略，域安全策略， 域控制器安全策略。 （1）本地組策略 使用這些對象，組策略設置可以存儲在個人計算機上，無論這 些計算機是否為active directory環(huán)境或網(wǎng)絡環(huán)境的一部分。 （2）域安全策略和域控制器安全策略 域安全策略和域控制器安全策略應用于域內(nèi)，針對站點、域或 組織

13、單位設置組策略. 域安全策略與域控制器安全策略的配置內(nèi)容相似。 2.3 windows2000 的用戶安全和管理策略 2.3.1 用戶賬戶和組 2.3.2 windows 2000系統(tǒng)的用戶賬戶的管理 2.3.3 windows 2000組管理與策略 2.3.1 用戶賬戶和組 在網(wǎng)絡環(huán)境中，用戶帳戶能用來保證系統(tǒng)安全，防止用戶非法 使用計算機資源。 用戶帳號最重要的組成部分是用戶名和密碼。 1用戶帳戶 （1）用戶帳號的類型 在windows 2000中有兩種用戶帳戶：本地用戶帳戶和域用戶帳 戶。 （2）內(nèi)置用戶帳戶 1）administrator帳戶 2）guest帳戶 2組 組是用戶帳戶的集

14、合。通過組能夠極大地簡化用戶帳戶的管理 任務。 2.3.2 windows 2000系統(tǒng)的用戶賬戶的管理 1管理的基本內(nèi)容 為使管理過程合理化和實現(xiàn)適當?shù)陌踩胧?，在管理?戶賬戶時應考慮如下5個問題： 1）命名約定：確立了在網(wǎng)絡上如何識別用戶。用戶帳戶 名稱既是用戶在網(wǎng)絡上的唯一身份，又是用戶登錄網(wǎng)絡或計 算機系統(tǒng)的標識。 2）密碼要求：為了保護對域或計算機資源的訪問 。 3）登錄時間與站點限制； 4）主文件夾的位置：存儲用戶的文件和程序的文件夾。 5）配置文件的設置：包含用戶自行設置的工作環(huán)境。 2設置賬戶策略 為了增強用戶賬戶密碼的安全性和有效性，windows2000將賬 戶密碼的設置

15、作為安全策略之一提供給管理員。 帳戶策略設置的對象是系統(tǒng)上的所有帳戶。 設置的方法是使用組策略編輯器中的賬戶策略設置功能，賬戶 策略包括 賬戶的密碼策略：密碼最長存留期（密碼的有效期限）、密碼最短存 留期（不允許用戶頻繁更換密碼）、最小密碼長度、強制密碼歷史 （避免用戶在短時間內(nèi)重復使用相同的密碼）、復雜性要求、用戶必 須登錄以更改密碼。 賬戶的鎖定策略：用來設置用戶注冊失敗時的處理動作。 kerberos策略：服務器與客戶及服務器到服務器的相互身份驗證方法。 （1）密碼策略 密碼策略中的設置是有關密碼的設置，如圖所示，密碼策略 包括下列6項限制。 1）密碼最長存留期:設置用戶密碼的有效期限

16、2）密碼最短存留期：密碼最短存留期限制不允許用戶頻繁更 換密碼，默認設置0表示用戶可以任何時候更換密碼。 3）最小密碼長度：這是設置用戶所使用的密碼的最小長度。 4）強制密碼歷史：該項設置的目的是為了避免用戶在短時間 內(nèi)重復使用相同的密碼，默認情況下系統(tǒng)不會記錄密碼歷史， 允許用戶不斷使用相同的密碼。 5）密碼必須符合安裝的密碼篩選器的復雜性要求。 6）用戶必須登錄以更改密碼。 （2）賬戶鎖定策略 賬戶鎖定是用來設置用戶注冊失敗時的處理動作。在下圖中 的賬戶鎖定區(qū)中，如果選擇了賬戶不鎖定策略的話，系統(tǒng)將 對用戶的失敗注冊不做任何處理。為了防止他人猜中用戶的 密碼，建議使用賬戶鎖定功能。 2.3

17、.3 windows 2000組管理與策略 1 windows 2000組的形式 從組的使用領域分為本地組、全局組和通用組三種形式。 （1）本地組：在professional和成員服務器中使用本地組， 本地組給用戶訪問本地計算機上的資源提供權限。 （2）全局組：全局組主要是用來組織用戶，也就是將多個網(wǎng) 絡訪問權類似的用戶賬戶加人到同一個全局組內(nèi)。 （3）通用組：主要用于指定對多個域中相關資源的訪問權限。 2windows 2000組的規(guī)劃 建立組應按照下面準則進行： 1）根據(jù)用戶的公共需求，邏輯上將用戶組織起來； 2）在用戶賬戶駐留的每個域中，為每個用戶的邏輯組建立一 個全局組，然后將適當?shù)挠?/p>

18、戶賬戶添加到適當?shù)娜纸M中； 3）資源訪問需求為依據(jù)建立本地組； 4）為本地組分配適當?shù)臋嘞蓿?5） 將全局組添加到本地組中。 6）作出組賬戶的規(guī)劃表。 將組的信息列表，建立組賬戶規(guī)劃 表，既便于清楚組及其關系，又有利于檢查和審計組賬戶的內(nèi) 容。 2.4 ntfs文件和文件夾的存取控制 2.4.1 windows 2000中的ntfs權限 4.4.2 在在ntfsntfs下用戶的有效權限下用戶的有效權限 4.4.3 ntfs權限的規(guī)劃 2.4.4 共享文件和文件夾的存取控制 2.4.1 windows 2000中的ntfs權限 ntfs（new technology file systetm

19、新技術文件系統(tǒng)）是 微軟專為windows nt操作環(huán)境所設計的文件系統(tǒng)，并且廣泛 應用在windows nt操作環(huán)境環(huán)境所設計的文件系統(tǒng)，并且廣 泛應用在windows nt的后續(xù)版本windows 2000與windows xp 中。與windows系統(tǒng)過去使用的fat/fat32格式的文件系統(tǒng)相 比，ntfs具有如下優(yōu)勢。 1）長文件名支持 2）對文件目錄的安全控制。 3）先進的容錯能力。 4）不易受到病毒和系統(tǒng)崩潰的侵襲。. （1）ntfs文件權限的類型 ntfs文件權限共有5種類型 : 讀取 寫入 讀取及運行 修改 完全控制 （2）ntfs文件夾權限的類型 windows 2000中

20、，ntfs文件夾的權限的類型有6種： 讀取、寫入、列出文件夾目錄 、讀取及運行 、修 改 、完全控制 4.4.2 在ntfs下用戶的有效權限 以下是用戶有效權限的使用規(guī)則： 1權限是累積的:一個用戶的總體是所有準許用戶使用或訪 問一個對象的權限的總和. 2拒絕權限會覆蓋所有其他的權限 3文件權限會覆蓋文件夾權限 2.4.3 ntfs權限的規(guī)劃 規(guī)劃ntfs權限要考慮以下問題： （1）對資源是建立本地組，還是使用內(nèi)置本地組? （2）確定文件或文件夾需要什么權限，以及將它們分配給誰。 1）對于程序文件夾，將“完全控制”權限分配給 administrators組和升級或調試軟件的組。將“讀取”權限分

21、配 給users組。 2）對于數(shù)據(jù)文件夾，只將“完全控制”權限分配給 administrators組和所屬權(owner)組，為users組分配“寫 入和讀取”權限。 3）應用% username % 自動將用戶賬戶名分配給主文件夾， 并自動將ntfs權限“完全控制”分配給各用戶。 2.4.4 共享文件和文件夾的存取控制 1 共享文件夾的概念 所謂共享文件夾，就是給定適當權限后，用戶可以通過網(wǎng)絡 來訪問的文件和文件夾。 2 共享文件夾的權限 為了控制用戶對共享文件夾的訪問，可以利用共享文件夾的 權限進行。共享文件夾的權限規(guī)定了用戶可以對共享文件夾 進行的操作。 3 共享文件夾的規(guī)劃 在開始設置

22、共享文件夾之前，需要對共享文件夾進行規(guī)劃， 以保證共享文件夾的安全與有效。 2.5 使用資源審核 2.5.1 審核事件 2.5.2 事件查看器 2.5.3 使用審核資源 2.5.1 審核事件 審核功能用于跟蹤用戶訪問資源的行為與windows 2000 的活動情況，這些行為或活動，稱為事件，會被記錄到 日志文件內(nèi)，利用“事件查看器”可以查看這些被記錄 的審核數(shù)據(jù)。 在windows 2000中，可以被審核并記錄在安全日志中的事件 類型有： 1）審核策略更改； 2）審核登錄事件； 3）審核對象訪問； 4）審核過程追蹤； 5）審核目錄服務訪問； 6）審核特權使用； 7）審核系統(tǒng)事件； 8）審核賬戶

23、登錄事件； 9）審核賬戶管理； 2.5.2 事件查看器 1 查看事件記錄 可以通過以下兩種方法來啟動“事件查看器”： （1）用鼠標右鍵單擊桌面上的“我的電腦” “管 理”“系統(tǒng)工具” “事件查看器”； （2）“開始” “程序” “管理工具” “事件查看 器”。 2 設置日志文件的大小 可以針對每個日志文件（系統(tǒng)、安全、應用程序等）來更改 其設置，例如，日志文件容量的大小等。 3篩選事件日志中的事件 如果日志文件內(nèi)的事件太多，造成不易查找事件時，可以利 用篩選事件的方式，讓它只顯示特定的事件. 4 存儲日志文件的格式 存儲日志文件的格式可以是以下3種形式： 1）事件日志，其擴展名為.evt 。

24、2）文本（以制表符分隔） ，其擴展名為txt。 3）csv（逗號分隔） ，其擴展名為csv。 2.5.3 使用審核資源 1 制定審核策略 制定審核策略時主要考慮以下問題； （1）確定要審核的事件類型，如： 1）訪問網(wǎng)絡資源，如文件、文件夾或打印機等。 2）用戶登錄和注銷。 3）關閉和重新啟動運行windows 2000 server的計算機。 4）修改用戶賬戶和組。 （2）確定審核成功的事件還是審核失敗的事件，或者兩者都 審核。推薦的審核是： 1）賬戶管理：成功、失??； 2）登錄事件：成功、失??； 3）對象訪問：失?。?4）策略更改：成功、失??； 5）特權使用：失敗； 6）系統(tǒng)事件：成功、失敗

25、； 7）目錄服務訪問：失敗； 8）賬戶登錄事件：成功、失敗。 2.6 windows2000的安全應用 在應用windows 2000 server操作系統(tǒng)的過程中，應對 windows 2000 server操作系統(tǒng)進行安全地配置與應用，主 要從下面幾點出發(fā)。 1服務器的安全 服務器應該安放在安裝有監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器 要保留15天以上的攝像記錄。另外，機箱、鍵盤、電腦桌抽 屜要上鎖，以確保即使旁人進入房間也無法使用計算機，鑰 匙要放在安全的地方。 2用戶安全設置 （1）禁用guest賬號 在計算機管理的用戶里面將guest賬號禁用。 （2）限制不必要的用戶 去掉所有的duplic

26、ate user用戶、測試用戶、共享用戶等等。 （3）創(chuàng)建兩個或多個管理員賬號 創(chuàng)建一個一般權限用戶，用來收信并處理一些日常事務，另一個擁有 administrators權限的用戶只在需要的時候使用。 （4）將系統(tǒng)administrator賬號改名 （5）創(chuàng)建一個陷阱用戶 陷阱用戶就是創(chuàng)建一個名為“administrator”的本地用戶，把它的權 限設置成最低，并且加上一個超過10位的超級復雜密碼。 （6）將共享文件的權限從everyone組改成授權用戶 任何時候都不要把共享文件的用戶設置成“everyone”組，包括打印 機，默認的屬性就是“everyone”組的，一定不要忘了改。 （7）開

27、啟用戶策略 使用用戶策略，分別設置復位用戶鎖定計數(shù)器時間為20 min，用戶鎖 定時間為20 min，鎖定閾值為3次。 （8）不讓系統(tǒng)顯示上次登錄的用戶名 （9）密碼安全設置 3應用程序安全策略 創(chuàng)建一個只有系統(tǒng)管理員才有訪問及運行權限的目錄，將 %system%system32目錄下的網(wǎng)絡應用程序及對文件、目錄、注冊表操作 的文件移到新建的目錄中。 4使用syskey.exe對系統(tǒng)口令數(shù)據(jù)庫存進行加密 sam加密算法強度不夠，使得密碼很容易就被入侵者猜出來。syskey.exe 是windowsnt4.0從sp3開始提供的小工具，它對賬號數(shù)據(jù)庫提供附加保護， 防止crack 工具直接提取用戶

28、信息。 5刪除%system%repair目錄 是系統(tǒng)保存sam備份文件的目錄,通過破解此文件,入侵者就能獲得主機上 的用戶名和口令信息。并且此備份文件不會被系統(tǒng)鎖定，任何時候都能 對它進行復制和編輯。 6審計日志 7掃描程序 評估一個系統(tǒng)的安全與否最基本的方法就是使用掃描程序。 8口令攻擊程序 口令攻擊程序并不完全只是一種安全威脅，也可以是一個有用的工具。 9防火墻 10日志及審計工具 12安全恢復 11建立好的安全恢復機制 （1）創(chuàng)建系統(tǒng)緊急修復盤 （2）定期將系統(tǒng)中的重要數(shù)據(jù)進行備份 本章小結 操作系統(tǒng)是信息系統(tǒng)最基本、最關鍵的系統(tǒng)軟件，它為用戶及 其應用程序和硬件之間提供了一個接口，對

29、計算機的有效、合 理使用，對資源的管理和保護是十分重要的。 操作系統(tǒng)的安全表現(xiàn)在系統(tǒng)安全、用戶安全、資源安全和通信 安全等方面，其保證機制就是用戶身份驗證、授權訪問和審計。 本章主要講述了操作系統(tǒng)的安全性及安全配置，windows 2000 server中的用戶管理及其策略，windows 2000 server中的文 件訪問權限及其策略，windows 2000 server中的資源審計。 本章作業(yè) 1.將p79的填空題和選擇題做在書上. 2.書面作業(yè) p80 1、2、3 kerberoskerberos認證服務認證服務 是美國麻省理工學院（mit）開發(fā)的一種身份鑒別服務。 “kerbero

30、s”的本意是希臘神話中守護地獄之門的守護者。 kerberos提供了一個集中式的認證服務器結構，認證服務器的 功能是實現(xiàn)用戶與其訪問的服務器間的相互鑒別。 kerberos建立的是一個實現(xiàn)身份認證的框架結構。 其實現(xiàn)采用的是對稱密鑰加密技術，而未采用公開密鑰加密。 公開發(fā)布的kerberos版本包括版本4和版本5。 kerberos 的設計目標 安全性 能夠有效防止攻擊者假扮成另一個合法的授權用戶。 可靠性 分布式服務器體系結構，提供相互備份。 對用戶透明性 可伸縮 能夠支持大數(shù)量的客戶和服務器。 kerberos的設計思路（1） 基本思路： 使用一個（或一組）獨立的認證服務器（as auth

31、entication server），來為網(wǎng)絡中的客戶提供身份認證服務； 認證服務器 (as)，用戶口令由 as 保存在數(shù)據(jù)庫中； as 與每個服務器共享一個惟一保密密鑰（已被安全分發(fā)）。 會話過程： (1) c as: idc （用戶的標識符）| pc （用戶口令）| idv （服 務器的標識符） (2) as c: ticket (3) c v : idc | ticket ticket = ekvidc | adc | idv 客戶網(wǎng)絡地址：防止攻擊者從 另一臺工作站上冒充用戶c kerberos的設計思路 （2） 問題： 用戶希望輸入口令的次數(shù)最少。 口令以明文傳送會被竊聽。 解決辦法 票據(jù)重用（ticket reusable）。 引入票據(jù)許可服務器（tgs - ticket-granting server） 用于向用戶分發(fā)服務器的訪問票據(jù)； 認證服務器 as 并不直接向客戶發(fā)放訪問應用服務器的票據(jù)，而是 由 tgs 服務器來向客戶發(fā)放。 kerberos中的票據(jù) 兩種票據(jù) 服務許可票據(jù)（service granting ticket） 是客戶訪問服務器時需要提供的票據(jù)； 用 ticketv 表示訪問應用服務器 v 的票據(jù)。 ticketv 定義為 ekv idcadcid