Win2000的网络安全机制

陈耀光 

信息安全对今天的网络系统来说,是一个非常重要又非常严重的问题,它涉及到从硬件到软件、从单机到网络的各个方面的安全性机制。在保护一个企业的信息技术方面,防火墙、加密设备和其他的许多相关部件都有着重要的作用。而网络操作系统的安全性是整个网络系统安全体系中的基础环节。   

    Windows 2000的安全性设计 

    作为新一代的企业级网络操作系统,Windows 2000在安全特性方面的设计注重了三个方面: 
    1.对于基于Internet的新型企业的支持。Windows 2000的设计突破了原有的企业网络和Internet的界限,满足移动办公、远程工作和随时随地接入Internet进行通信和电子商务的需要。

 2.微软在Windows 2000中提供的是一个安全性框架,并不偏重于任何一种特定的安全特性、新的安全协议、加密服务提供者或者第三方的验证技术,可以方便地使其结合到Windows 2000的安全服务提供者接口(SSPI)中,供用户选用。 

      
3.考虑到用户向下兼容的需要,Windows 2000可以完全无缝地对Windows NT 4.0的网络提供支持,提供对Windows NT 4.0中采用的NTLM(NT LAN Manager)安全验证机制的支持。用户可以选择依照自己的步调迁移到Windows 2000中替代NTLM的Kerberos安全验证机制。

    从下图中可以看到,通过Windows 2000实现了应用协议和底层安全验证协议的分离。不管是NTLM、Kerberos、Secure Channel(Schannel,是Web访问的常用验证方法),还是DPA(分布式口令认证,社团/内容网站常用的验证方法),它们对于应用层来说都是一致的。应用厂商还可以通过微软提供的SDK产品包中的SecurityAPI来开发自己的验证机制。 

    Kerberos是在Internet上长期被采用的一种安全验证机制,它是基于共享密钥的方式。Kerberos协议定义了一系列客户机/密钥发布中心(KDC)/服务器之间获得和使用Kerberos票证的通信过程。 

    当已被验证的客户机试图访问一个网络服务时,Kerberos服务(即KDC)就会向客户端发放一个有效期一般为8个小时的“对话票证(Session Ticket)”。网络服务不需要访问目录中的验证服务,就可以通过对话票证来确认客户端的身份,这种对话的建立过程比Windows NT 4.0中的速度要快许多。 

    Kerberos加强了Windows 2000的安全特性,它体现在更快的网络应用服务验证速度,允许多层次的客户机/服务器代理验证和跨域验证建立可传递的信任关系。可传递的信任关系的实现,是因为每个域中的验证服务(KDC)信任都是由同一棵树中其他KDC所发放的票证,这就大大简化了大型网络中多域模型的域管理工作。 

    Kerberos还具有强化互操作性的优点。在一个多种操作系统的混合环境中,Kerberos协议提供了通过统一的用户数据库为各种计算任务进行用户验证的能力。即使在非Windows 2000平台上通过KDC验证的用户,比如从Internet进入的用户,也可以通过KDC域之间的信任关系,获得无缝的Windows 2000网络访问。 

    Windows 2000的安全特性 

    正因为采用上述的安全机制,Windows 2000实现了如下的特性:数据安全性、企业间通信的安全性、企业和Internet网的单点安全登录以及易用和良好扩展性的安全管理。 

    1.数据安全性 
    Windows 2000所提供的保证数据保密性和完整性的特性,主要表现在以下三个方面: 
    1)用户登录时的安全性:从用户登录网络开始,Windows 2000借助Kerberos和PKI等验证协议提供了强有力的口令保护和单点登录。 
    2)网络数据的保护:本地网络中的数据是由验证协议来保证其安全性的。如果需要更高的安全性,还可以通过IPsec的方法,提供点到点的数据加密安全性。 
    3)存储数据的保护:可以采用数字签名来签署软件产品(防范运行恶意的软件)或者加密文件系统。加密文件系统基于Windows 2000中的CryptoAPI架构,实施DES加密算法,对每个文件都采用随机密钥来加密。加密文件系统不但可以加密本地的NTFS文件或文件夹,还可以加密远程的文件,不影响文件的输入输出。其恢复策略由Windows 2000的整体安全性策略决定,具有恢复权限的管理员才可以恢复数据,但是不能恢复用来加密的密钥。 

    2.企业间通信的安全性 
    Windows 2000为不同企业之间的通信提供了多种安全协议和用户模式的内置的集成支持。它的实现可以从以下三种方式中选择。 
    1)在目录服务中创建专门为外部企业开设的用户账号:通过Windows 2000的活动目录,可以设定组织单元、授权或虚拟专用网等方式,并对它们进行管理。 
    2)建立域之间的信任关系:用户可以在Kerberos或公用密钥体制得到验证之后,远程访问已经建立信任关系的域。 
    3)公用密钥体制:包括证书、智能卡和PKI证书可以用于提供用户身份确认和授权,企业可以把通过电子证书验证的外部用户映射为目录服务中的一个用户账号;Windows 2000支持采用智能卡证书登录,同时还支持使用智能卡存储用于安全E-mail和其他与公用密码有关的证书,包括客户机验证、登录机制、代码签名和保护E-mail。 

    3.企业和Internet网的单点安全登录 
    当用户成功地登录到网络之后,Windows 2000透明地管理一个用户的安全属性,而不管这种安全属性是通过用户账号和用户组的权限规定(这是企业网的通常做法)来体现的,还是通过数字签名和电子证书(这是Internet的通常做法)来体现的。先进的应用服务器都应该能从用户登录时所使用的SSPI获得用户的安全属性,从而使用户做到单点登录,访问所有的服务。 
    4.易用的管理性和高扩展性 
    通过在活动目录中使用组策略,管理员可以集中地把所需要的安全保护加强到某个容器(SDOU)的所有用户/计算机对象上。Windows 2000包括了一些安全性模板,既可以针对计算机所担当的角色来实施,也可以作为创建定制的安全性模板的基础。 
    Windows 2000提供了两个微软管理界面(MMC)的插件作为安全性配置工具,即安全性模板和安全性配置/分析。安全性模板MMC提供了针对十多种角色的计算机的管理模板,这些角色包括从基本工作站、基本服务器一直到高度安全的域控制器。它们的安全性要求是不同的。通过安全性配置/分析MMC,管理员可以创建针对当前计算机的安全性策略。当然通过对加载模板的设置,该插件就会智能地运行配置或分析功能,并产生出报告。 

    安全性管理的扩展性表现为,在活动目录中可以创建非常巨大的用户结构,用户可以根据需要访问目录中存储的所有信息,但是用户所在的域或组织单元仍然是安全性的边界,对访问的权限进行管制。 

    VPN支持 

    各种VPN的实现都使用了“隧道”技术来传输数据。数据在通过“隧道”传输前,被封装为公共网络中传输所使用的报文格式,然后进行传输,到达“隧道”终点后,再除去添加的封装信息,还原为原来的报文格式。 

    Windows 2000中提供3种技术来创建VPN。 
    PPTP——这是在NT4.0中使用的VPN技术,建立在PPP协议基础上,具有验证和握手功能,缺点是只能应用在拨号连接线路上。 
    L2TP——L2TP被认为是PPTP的增强版。相比PPTP的一个主要优点是支持MPPP(多链接点对点协议),并且可以在许多Internet连接线路上运行,如帧中继、 X.25和ATM,支持帧头压缩可以比PPTP消耗更少的带宽。 
    IP Security(IPSec)——IPSec是下一代的隧道协议,相比PPTP和L2TP其最大优势在于标准化,所有网络厂商都纷纷声明对该技术的支持。IPSec通过通信双方身份验证和数据加密,使信息能更安全地在公共网络上传输。