Asp的安全管理（7）_ASP文摘

快速连接。利用 Kerberos 身份验证，服务器不必转向域控制器。它可通过检查客户提供的凭据来验证客户的身份。客户可一次获得对特定服务器的凭据并在整个 ASP 登录会话中重复使用。

相互身份验证。NTLM 允许服务器验证其客户的身份。它不允许客户验证服务器的身份，也不允许一台服务器验证另一服务器的身份。NTLM 身份验证是为网络环境设计的，假定该环境中的服务器是真实的。Kerberos 协议不做这种假设。网络连接两端的 ASP 和客户可以知道另一端的一方声称是什么人。

委派的身份验证。当代表客户机访问资源时，Windows 服务就模拟成客户机。许多情况下，服务可通过访问本地计算机上的资源为客户机完成其工作。NTLM 和 Kerberos 都可提供服务在本地模拟其客户机时需要的信息。但是，一些分布式的应用程序是这样设计的：当连接到其它计算机上的后端服务时，前端服务必须模拟客户机。Kerberos 协议有一个代理机制，允许当某个服务连接到其它服务时模拟其客户机。

公钥基本结构 (PKI)

公钥基本结构 (PKI) 是新出现的标准，适用于利用数字证书来验证用户的身份。PKI 使用三种技术来提供避免安全破坏的保护：数字信封、数字签名和数字证书。这些技术经常用于 Extranet 和 ASP 解决方案。可使用 PKI 的例子有：

安全电子邮件

基于 PK 的安全电子邮件产品（包括 Microsoft Exchange），依靠 PK 技术完成：

数字签名，用来证明电子邮件的来源和可靠性

没有预先共享密码的大量加密，用以保守通信者之间的机密

操作中，这些系统利用用户的私钥为发出的电子邮件添加数字签名。证书和电子邮件一起发送，这样接收者可验证该签名。S/MIME 为这些证书定义一个配置文件以确保互操作性，并采用一种层次模型来提供可伸缩的信任管理。若要对电子邮件加密，用户可从以前的电子邮件或目录服务中获得接收方的加密证书。一旦验证了该证书，用户就可用所包含的公钥对所用的密钥加密，从而实现对电子邮件的加密。

确认/加密文件系统

Windows 2000 加密文件系统 (EFS) 支持 Windows NT 文件系统 (NTFS) 中在磁盘上存储的文件的透明加密和解密。用户可指定要加密的个别文件或需要对其内容保持加密格式的文件夹。应用程序可以像访问非加密文件一样访问用户的加密文件。但是，它们无法对任何其他用户的加密文件进行解密。

PKI 和 UPN

Windows 2000 PKI 执行一项安全服务，该服务使用证书信息来映射到存储于 Active Directory 中的帐户，以便确定已验证身份的客户的访问权限。该目录操作可根据证书中的用户主要名称 (UPN) 来执行，或通过在目录中搜索与客户证书中的属性、颁发者或颁发者和主题匹配的帐户来执行。如果 UPN 都不匹配，或者颁发者未被授权颁发域身份验证的证书，则用户可以登录。这样，它就增强了登录的安全性。

通过 SSL 的安全 Web

加密套接字协议层 (SSL) 协议依赖于基于 PK 的身份验证技术，并使用基于 PK 的密钥协商来为每个客户端/服务器会话生成唯一的加密密钥。它们最常与基于 Web 的应用程序及 HTTP 协议（称为 HTTPS）相关联。

ASP 可通过使用加密的安全 SSL 通道，利用 SSL 协议进行保密的网络通讯。服务器和客户端针对要使用的加密算法进行协商。它们还协商用于安全通讯的保密的共享会话密钥。如果客户没有有效的受信任的身份验证证书（它可以降低拒绝服务攻击的风险），则 ASP 可用 SSL 来防止（可能的）客户与 ASP 解决方案进行通讯。您还可以用 SSL 协议来保护所有 Web 通讯的通道，以保护机密信息，例如个人信息和信用卡号码。

虚拟专用网络 (VPN)

VPN 技术使用了隧道协议，该协议可使 ASP 在公用 Internet 上建立专用数据网。换句话说，通过“共享管道”进行安全的隧道客户通信，VPN 能使 ASP 降低成本。