隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是Internet的不斷普及，如何防止信息不被非法截獲和破壞，即有效維護(hù)網(wǎng)絡(luò)信息的安全性，成為越來(lái)越多的人關(guān)注的焦點(diǎn)，

Windows 2000中信息網(wǎng)絡(luò)安全技術(shù)

。作為新一代的操作系統(tǒng)的Windows 2000，可通過(guò)多種技術(shù)和手段來(lái)控制用戶對(duì)資源的訪問(wèn)，提高網(wǎng)絡(luò)的安全性，其中包括與活動(dòng)目錄（Active Directory）服務(wù)的集成、支持認(rèn)證Windows 2000用戶的Kerberos v5認(rèn)證協(xié)議、提供了公鑰基礎(chǔ)設(shè)施PKI支持，用公鑰證書對(duì)外部用戶進(jìn)行認(rèn)證、使用加密文件系統(tǒng)EFS（Encrypting File System）保護(hù)本地?cái)?shù)據(jù)以、使用Internet協(xié)議安全I(xiàn)PSec（Internet Protocol security）來(lái)保證通過(guò)公有網(wǎng)絡(luò)的通信的安全性，以及基于Windows 2000的安全應(yīng)用開發(fā)的可擴(kuò)展性等等。

　　1 活動(dòng)目錄技術(shù)

　　活動(dòng)目錄服務(wù)在Windows 2000信息安全和網(wǎng)絡(luò)安全中具有重要作用，它是關(guān)于用戶、硬件、應(yīng)用和網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)中心，也存儲(chǔ)用戶的認(rèn)證信息，以及用戶使用某一資源的授權(quán)信息等。活動(dòng)目錄與Windows 2000的其他安全服務(wù)緊密集成，如Kerberos認(rèn)證協(xié)議、公鑰基礎(chǔ)設(shè)施PKI、加密文件系統(tǒng)EFS、安全設(shè)置管理器和組策略等。同Windows NT中的平面文件（flat-file）目錄不同，Windows 2000活動(dòng)目錄采用了代表商業(yè)企業(yè)組織結(jié)構(gòu)的分層目錄結(jié)構(gòu)來(lái)存儲(chǔ)信息，這樣可以簡(jiǎn)化管理，具有良好的可伸縮性。為了創(chuàng)建這種分層結(jié)構(gòu)，同Windows采用文件和文件夾來(lái)組織本地資源的方法類似，活動(dòng)目錄使用域（domains）、組織單元OUs（Organizational Units）和對(duì)象來(lái)管理和使用網(wǎng)絡(luò)資源。

　　一個(gè)域是網(wǎng)絡(luò)對(duì)象，包括組織單元、用戶賬號(hào)、組和計(jì)算機(jī)等的集合，它們共享一個(gè)公共目錄數(shù)據(jù)庫(kù)，并組成活動(dòng)目錄中邏輯結(jié)構(gòu)的核心單元。每個(gè)域中可能包含多個(gè)組織單元和用戶（對(duì)象），這樣更符合公司或企業(yè)的組織模式。大的企業(yè)或組織可能包含多個(gè)域，這種情況下的域分層就稱為域樹（Domain Tree）。創(chuàng)建的第一個(gè)域?yàn)楦�（root）域，也稱為父域，在其下面創(chuàng)建的域?yàn)樽樱╟hild）域。為了支持更大的組織結(jié)構(gòu)，多個(gè)域樹連接起來(lái)可以組成森林（forest），在這種情況下，需要使用多個(gè)域控制器，活動(dòng)目錄就可以定時(shí)在多個(gè)域控制器之間復(fù)制信息，從而保持目錄數(shù)據(jù)庫(kù)信息的同步，

電腦資料

《Windows 2000中信息網(wǎng)絡(luò)安全技術(shù)》(http://www.zwdianwu.cn)。

　　在域中，一個(gè)組織單元OU是把對(duì)象組織成邏輯管理組的容器，其中包括一個(gè)或多個(gè)對(duì)象，如用戶賬號(hào)、組、計(jì)算機(jī)、打印機(jī)、應(yīng)用、文件共享或其他OU等。一個(gè)對(duì)象包括一個(gè)獨(dú)立個(gè)體，如特定的用戶、計(jì)算機(jī)或硬件信息（屬性），如一個(gè)用戶的屬性可能包括名字、電話號(hào)碼和電子郵件等；一個(gè)計(jì)算機(jī)對(duì)象的屬性可能包括計(jì)算機(jī)位置和指定哪些用戶或組能夠訪問(wèn)該計(jì)算機(jī)資源的存取控制列表ACL（Access Control List）等。通過(guò)域和OU的組織形式，系統(tǒng)就可以以集合的形式來(lái)管理對(duì)象的安全性，如用戶組和計(jì)算機(jī)組等，而不需要對(duì)每個(gè)獨(dú)立的用戶和對(duì)象進(jìn)行配置。

　　為了使用戶登錄一次而在整個(gè)網(wǎng)絡(luò)中使用資源，即單次登錄（single sign-on），Windows 2000支持域之間的信任關(guān)系。在域之間建立起相互認(rèn)證的邏輯關(guān)系，允許計(jì)算機(jī)和用戶只需在域樹（甚至森林）中的任何一個(gè)域中進(jìn)行身份認(rèn)證，然后就可以在整個(gè)網(wǎng)絡(luò)中使用經(jīng)過(guò)授權(quán)的資源。

　　2 Kerberos認(rèn)證

　　Kerberos認(rèn)證協(xié)議定義了客戶端和稱為密鑰分配中心KDC（Key Distribution Center）的認(rèn)證服務(wù)之間的安全交互過(guò)程。Windows 2000在每一個(gè)域控制器中應(yīng)用KDC認(rèn)證服務(wù)，其域同Kerberos中的realm功能類似，具體可參考RFC 1510協(xié)議。Windows 2000中采用多種措施提供對(duì)Kerberos協(xié)議的支持：Kerberos客戶端使用基于SSPI的Windows 2000安全提供者，初始Kerberos認(rèn)證同WinLogon的單次登錄進(jìn)行了集成，而Kerberos KDC也同運(yùn)行在域控制器中的安全服務(wù)進(jìn)行了集成，并使用活動(dòng)目錄作為用戶和組的賬號(hào)數(shù)據(jù)庫(kù)。

　　Kerberos是基于共享密鑰的認(rèn)證協(xié)議，用戶和密鑰分配中心KDC都知道用戶的口令，或從口令中單向產(chǎn)生的密鑰，并定義了一套客戶端、KDC和服務(wù)器之間獲取和使用Kerberos票據(jù)的交換協(xié)議。當(dāng)用戶初始化Windows登錄時(shí)，Kerberos SSP利用基于用戶口令的加密散列獲取一個(gè)初始Kerberos票據(jù)TGT，Windows 2000把TGT存儲(chǔ)在與用戶的登錄上下文相關(guān)的工作站的票據(jù)緩存中。當(dāng)客戶端想要使用網(wǎng)絡(luò)服務(wù)時(shí)，Kerberos首先檢查票據(jù)緩存中是否有該服務(wù)器的有效會(huì)話票據(jù)。如果沒(méi)有，則向KDC發(fā)送TGT來(lái)請(qǐng)求一個(gè)會(huì)話票據(jù)，以請(qǐng)求服務(wù)器提供服務(wù)。請(qǐng)求的會(huì)話票據(jù)也會(huì)存儲(chǔ)在票據(jù)緩存中，以用于后續(xù)對(duì)同一個(gè)服務(wù)器的連接，直到票據(jù)超期為止。票據(jù)的有效期由域安全策略來(lái)規(guī)定，一般為8個(gè)小時(shí)。如果在會(huì)話過(guò)程中票據(jù)超期，Kerberos SSP將返回一個(gè)響應(yīng)的錯(cuò)誤值，允許客戶端和服務(wù)器刷新票據(jù)，產(chǎn)生一個(gè)新的會(huì)話密鑰，并恢復(fù)連接。