webst网络安全技术机制 - 北京同方信息安全技术股份有限公司.doc

WebST核心技术机制 技术白皮书 分布计算环境（DCE）的安全机制 信息安全与密码技术  本手册及其中所包含内容的版权属得实发展集团所有。除版权法允许使用的方式外，未经事先书面许可，不得对全部或部分内容复制、转载、改编或翻译。 本手册及相应的软件受产品所附的《软件许可协议》的约束，只能在符合该许可协议条款下使用和复制。 得实发展集团尽最大努力保证本手册的准确性和完整性，对手册中的错误和遗漏不承担任何责任。对本手册内容可能随时修改，恕不另行通知。 WebST是得实发展集团注册商标，WebSEAL、NetSEAL、NetSEAT、Smart Junctions和DASCOM DCE是得实发展集团注册名称。 本手册提到的其它产品名称是各自公司的注册商标，特此声明。 1999年7月  目录 分布计算环境（DCE）的安全机制 一、 DCE概述 1 1. DCE的特征 1 二、 DCE提供的服务 2 1. 远程过程调用（RPC Remote Procedure Call） 2 2. DCE的目录服务 3 3. DCE分布时间服务 3 4. 安全服务 3 5. 多线程 4 6. 分布文件系统（DFS） 4 三、 DCE安全服务 4 1. DCE安全模型 6 2. 安全服务器组成部分 6 3. 标签（Ticket）和身份认证标记（Authenticator） 7 4. 安全RPC 8 5. 安全RPC流程 8 6. 访问控制表 ACL 10 信息安全与密码技术 一、 安全需求与国家政策 13 二、 对称密钥密码技术 14 1. 序列密码 14 2. 分组密码 14 三、 非对称密钥密码技术 15 1. RSA公开密钥密码算法 16 2. Diffie-Hellman密钥交换协议 16 3. DSA美国数字签名算法 17 4. 其他公钥体制 17 分布计算环境（DCE）的安全机制 DCE概述 分布计算(Distributed Computing)也称网络计算(Networking Computing)，它是充分利用网络资源的计算模型。该模型旨在提供一套有组织的系统方法，以实现一种开放型的标准化系统结构，使程序和数据都具有透明的分布能力和网络联结能力，以及互操作性和可移植性的能力。 开放软件基金会OSF(Open Software Foundation)，是一个由200家计算机公司组成的非营利组织，专门从事于创立一个将所有平台联网的标准。它定义的分布计算由三个层次组成：基础性物理连接和分组交换机构，分布式计算环境，用户与网络接口。 分布式样计算环境(Distributed Computing Environment──DCE)是利用操作系统提供的功能，统一管理网络资源，向用户和应用程序提供方便的管理机制、使用方法和开发手段，充分利用网络性能和资源。它的目标是使不同厂家的计算机或具有不同操作系统平台的计算机，能集成为一个统一的计算环境，使程序和数据具有透明的分布能力和网络联结能力以及互操作性、可移木植性的能力。 最早的分布计算环境是以Sun Microsystem公司提出的SUN NFS(网络文件系统)为基础的ONC(开放网络计算)，应是开发人员可高效地使用网络分散资源和异构机上的资源，并为网络管理员提供了各种网络管理工具。ONC环境目前已得到世界上主要计算机厂家的支持，如IBM公司、Microsoft公司等。 尽管如此，目前的计算环境仍存在不少问题，如不同厂商的网络环境不能协同工作，网络计算能力未能得到充分利用等，而且网络新技术层出不穷。为适应这种潮流，需要一种全新的统一的分布式计算环境标准。 未来的分布式计算环境与现在的联网环境大有区别。现在的网络环境，只是把一大批机器连在一起，计算机之间进行异步的信息传输。在新的分布式环境中，将是异种机器联网的紧耦合系统，也就是说，最终用户、应用开发者、系统管理人员所看到的是一个单一的系统，他们共处在一个共同的界面上，机器与机器之间的数据、资源、名称等的差异都是透明的。 DCE的特征 新的分布式环境至少需要具备以下特征： 每个对象如用户、文件、资源和服务等，在这个系统中有其唯一的名称，即无论在系统的何处访问这个对象，其名称不变。 可以在系统的任何地方使用系统提供的任何一种服务，而不管该种服务现居何处。 系统各处使用相同的用户认证方式，此外，系统的所有设备(打印机、文件等)采用相同的访问控制机制。 有相应权限的用户可以在系统的任何地方管理系统的资源对象。 为此，开放软件基金会OSF于1991年9月17日在波士顿推出分布式计算环境DCE。在这个环境上，世界上所有机器联成一个网络，网上任何机器可以方便地进行互访、资源共享和互相协同工作。 DCE软件由OSF组织成员分别负责开发，各厂家纷纷推出各自的DC