CISSP的成长之路（二十四）（3）

CISSP的成长之路（二十四）（3）

　SESAME：

　　SESAME是多厂商环境下的欧洲安全系统的缩写，是一个由欧盟委员会资助的研究项目，SESAME同时也是该项目所产生的技术的名称。SESAME技术能够提供单点登录功能和分布式的访问控制，所有在网络上传输的数据都可以使用对称和非对称加密方法进行处理。SESAME的认证过程类似于Kerberos，实际上SESAME也能够使用Kerberos 第5版协议。下图是SESAME的验证过程示意图：

　　除了上述3种最为常见的分布式访问控制方法外，CISSP CBK中还介绍了其他两个与分布式访问控制有关的设计：安全域(Security Domain)和瘦客户端(Thin Client)。

　　安全域：安全域的概念常见于ERP系统中的访问控制，它把资源和客户端根据其权限的不同，分成不同类别不同等级的域中，高权限客户端能够访问同类别的不同等级域，而低权限的客户端只能访问低级别的域。特定权限的资源，也能够由不同等级的客户端组成的域所访问。

　　瘦客户端(Thin Client)

　　瘦客户端是从2002年开始兴起的一个新技术，它以更高的安全性和较低的成本而著称。把瘦客户端归类为分布式访问控制的理由是，瘦客户端类似于用户进行身份验证和访问数据的一个前端。

　Kerberos：

　　在希腊神话中，Kerberos是守卫地狱入口的三头犬。如同神话传说中的Kerberos，现代信息系统中有一种验证协议也通过三个参素来保护网络入口，因此开发者将这种协议命名为Kerberos。Kerberos可能是至今为止使用最为广泛的身份验证协议，它在上个世纪80年代由麻省理工学院(MIT)设计并在雅典娜计划中使用，适用于大规模的异构网络中。

　　Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，Kerberos验证服务器，它通常也称为密钥发放服务器(KDC)，负责执行用户和服务的安全验证。Kerberos协议在网络上传输的数据都是用DES加密方法进行处理。Kerberos除了提供验证服务外，还能够提供网络信息的保密性和完整性保障。

　　在一个封闭的小型网络，所有的节点都有一个组织所拥有并维护的情况下，使用Kerberos并不是部署验证服务的必然选项。但在一个开放的，分布式的网络环境中，尤其是有许多异构系统，用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效的简化网络的验证过程。Kerberos服务可以采取多个服务器的分布式部署方式，以冗余的方式来保证Kerberos验证服务不成为网络的单点故障。Kerberos服务通过核对用户及其要使用的服务之间的授权状态，来确定用户是否能访问服务，核对通过后，Kerberos会为用户提供访问服务所需的“票据”(Ticket)，票据有使用时限并保存在用户系统的缓存中。