日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Windows 2000中的信息網(wǎng)絡(luò)安全技術(shù)

云知道


隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展 , 特別是Internet的不斷普及 , 如何防止信息不被非法截獲和破壞 , 即有效維護(hù)網(wǎng)絡(luò)信息的安全性 , 成為越來越多的人關(guān)注的焦點(diǎn) 。作為新一代的操作系統(tǒng)的Windows
2000 , 可通過多種技術(shù)和手段來控制用戶對資源的訪問 , 提高網(wǎng)絡(luò)的安全性 , 其中包括與活動(dòng)目錄(Active Directory)服務(wù)的集成、支持認(rèn)證Windows 2000用戶的Kerberos v5認(rèn)證協(xié)議、提供了公鑰基礎(chǔ)設(shè)施PKI支持 , 用公鑰證書對外部用戶進(jìn)行認(rèn)證、使用加密文件系統(tǒng)EFS(Encrypting File
System)保護(hù)本地?cái)?shù)據(jù)以、使用Internet協(xié)議安全I(xiàn)PSec(Internet Protocol security)來保證通過公有網(wǎng)絡(luò)的通信的安全性 , 以及基于Windows 2000的安全應(yīng)用開發(fā)的可擴(kuò)展性等等 。
1 活動(dòng)目錄技術(shù)
活動(dòng)目錄服務(wù)在Windows 2000信息安全和網(wǎng)絡(luò)安全中具有重要作用 , 它是關(guān)于用戶、硬件、應(yīng)用和網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)中心 , 也存儲(chǔ)用戶的認(rèn)證信息 , 以及用戶使用某一資源的授權(quán)信息等 。活動(dòng)目錄與Windows
2000的其他安全服務(wù)緊密集成 , 如Kerberos認(rèn)證協(xié)議、公鑰基礎(chǔ)設(shè)施PKI、加密文件系統(tǒng)EFS、安全設(shè)置管理器和組策略等 。
同Windows NT中的平面文件(flat-file)目錄不同 , Windows 2000活動(dòng)目錄采用了代表商業(yè)企業(yè)組織結(jié)構(gòu)的分層目錄結(jié)構(gòu)來存儲(chǔ)信息 , 這樣可以簡化管理 , 具有良好的可伸縮性 。為了創(chuàng)建這種分層結(jié)構(gòu) , 同Windows采用文件和文件夾來組織本地資源的方法類似 , 活動(dòng)目錄使用域(domains)、組織單元OUs(Organizational Units)和對象來管理和使用網(wǎng)絡(luò)資源 。
一個(gè)域是網(wǎng)絡(luò)對象 , 包括組織單元、用戶賬號、組和計(jì)算機(jī)等的集合 , 它們共享一個(gè)公共目錄數(shù)據(jù)庫 , 并組成活動(dòng)目錄中邏輯結(jié)構(gòu)的核心單元 。每個(gè)域中可能包含多個(gè)組織單元和用戶(對象) , 這樣更符合公司或企業(yè)的組織模式 。
大的企業(yè)或組織可能包含多個(gè)域 , 這種情況下的域分層就稱為域樹(Domain Tree) 。創(chuàng)建的第一個(gè)域?yàn)楦╮oot)域 , 也稱為父域 , 在其下面創(chuàng)建的域?yàn)樽樱╟hild)域 。為了支持更大的組織結(jié)構(gòu) , 多個(gè)域樹連接起來可以組成森林(forest) , 在這種情況下 , 需要使用多個(gè)域控制器 , 活動(dòng)目錄就可以定時(shí)在多個(gè)域控制器之間復(fù)制信息 , 從而保持目錄數(shù)據(jù)庫信息的同步 。
在域中 , 一個(gè)組織單元OU是把對象組織成邏輯管理組的容器 , 其中包括一個(gè)或多個(gè)對象 , 如用戶賬號、組、計(jì)算機(jī)、打印機(jī)、應(yīng)用、文件共享或其他OU等 。
一個(gè)對象包括一個(gè)獨(dú)立個(gè)體 , 如特定的用戶、計(jì)算機(jī)或硬件信息(屬性) , 如一個(gè)用戶的屬性可能包括名字、電話號碼和電子郵件等;一個(gè)計(jì)算機(jī)對象的屬性可能包括計(jì)算機(jī)位置和指定哪些用戶或組能夠訪問該計(jì)算機(jī)資源的存取控制列表ACL(Access Control List)等 。通過域和OU的組織形式 , 系統(tǒng)就可以以集合的形式來管理對象的安全性 , 如用戶組和計(jì)算機(jī)組等 , 而不需要對每個(gè)獨(dú)立的用戶和對象進(jìn)行配置 。
為了使用戶登錄一次而在整個(gè)網(wǎng)絡(luò)中使用資源 , 即單次登錄(single sign-on) , Win2000支持域之間的信任關(guān)系 。在域之間建立起相互認(rèn)證的邏輯關(guān)系 , 允許計(jì)算機(jī)和用戶只需在域樹(甚至森林)中的任何一個(gè)域中進(jìn)行身份認(rèn)證 , 然后就可以在整個(gè)網(wǎng)絡(luò)中使用經(jīng)過授權(quán)的資源 。
2 Kerberos認(rèn)證
Kerberos認(rèn)證協(xié)議定義了客戶端和稱為密鑰分配中心KDC(Key Distribution Center)的認(rèn)證服務(wù)之間的安全交互過程 。Windows2000在每一個(gè)域控制器中應(yīng)用KDC認(rèn)證服務(wù) , 其域同Kerberos中的realm功能類似 , 具體可參考RFC 1510協(xié)議 。Windows2000中采用多種措施提供對Kerberos協(xié)議的支持:Kerberos客戶端使用基于SSPI的Windows2000安全提供者 , 初始Kerberos認(rèn)證同WinLogon的單次登錄進(jìn)行了集成 , 而Kerberos KDC也同運(yùn)行在域控制器中的安全服務(wù)進(jìn)行了集成 , 并使用活動(dòng)目錄作為用戶和組的賬號數(shù)據(jù)庫 。

推薦閱讀