3.8 安全服務(wù)

安全服務(wù)允許客戶機(jī)和服務(wù)器彼此認(rèn)證并執(zhí)行被認(rèn)證的RPC。安全系統(tǒng)的核心使得客戶機(jī)被認(rèn)證并得到PAC特權(quán)屬性證書(shū)（Privilege Attribute Certificates），而又不讓它們的口令出現(xiàn)在網(wǎng)絡(luò)上，甚至不能以加密的形式出現(xiàn)。PAC給客戶機(jī)提供了一種既方便又安全可靠的方法以證明身份。

圖3-11示出單個(gè)DCE信元中安全系統(tǒng)的主要部件。

圖3-11 單個(gè)DCE信元中安全系統(tǒng)的主要部件

DCE中的每個(gè)單元都有安全服務(wù)器，包括：

（1）注冊(cè)服務(wù)機(jī)構(gòu)，管理和維護(hù)數(shù)據(jù)庫(kù)（口令登錄許可證TGT）。

（2）認(rèn)證服務(wù)機(jī)構(gòu)，確認(rèn)給用戶存取資源的權(quán)力。

（3）特權(quán)服務(wù)機(jī)構(gòu)。

當(dāng)用戶登錄到系統(tǒng)后，它就可以使用通過(guò)認(rèn)證的RPC來(lái)執(zhí)行一個(gè)可以與服務(wù)器進(jìn)程進(jìn)行安全通信的客戶機(jī)進(jìn)程。當(dāng)經(jīng)過(guò)認(rèn)證的RPC請(qǐng)求到達(dá)時(shí)，服務(wù)器就使用PAC來(lái)判斷用戶的身份，同時(shí)檢查它自己所保存的訪問(wèn)控制表，以判斷是否能夠執(zhí)行用戶所請(qǐng)求的操作。服務(wù)器都有一個(gè)用來(lái)保護(hù)自己對(duì)象的訪問(wèn)控制表管理器。通過(guò)使用訪問(wèn)控制表編輯程序，不僅可以在列表中增加或刪除用戶，而且也可以增加或刪除用戶所具有的權(quán)限。