随着PC局域网在执行关键任务应用方面越来越受欢迎，安全问题在许多优先级列表中上升。与传统的集中式存储方法相比，管理跨许多计算机的分布式信息是一个真正的挑战，而且到目前为止还没有真正强调安全性。

但现实是，下行努力正在如火如荼地进行，信息管理人员面临着将他们的应用程序移植到可能不安全的计算机网络上的问题。由于当前PC配置中没有专门用于安全的资源，因此控制对分布式数据的访问要困难得多。

在研究当今的分布式安全问题时，可以观察到两个问题。信息管理人员需要一种经济有效的方案来控制对数据的访问，软件供应商需要一种经济有效的方法来管理许可证分发。尽管这些观察都在分布式安全的保护伞下，但它们是不同的问题。

达拉斯半导体的分布式安全架构

Dallas Semiconductor提供了一种名为Buttons的新技术，它可以作为解决数据访问控制和许可证管理问题的基础。通过使用相同的技术解决这两个问题，信息管理人员可以满足自己的需求，并适应其供应商的需求。在此过程中，两种解决方案可以共存，而无需主要的维护支持工作。

架构的目标如下:

1. 提供一个通用的媒介，它可以作为两个解决方案的桥梁，并尽量减少不兼容性。

2. 为信息管理人员和软件供应商开发解决方案，使其能够以相对于PC成本可承受的价格提供。

3. 提供一条路径，使技术的关键部分可以直接吸收到个人电脑中，而不必强制进行重大的重新设计或破坏其当前的定价结构。

控制数据存取

信息管理人员通常关心的是限制对业务敏感或关键数据的访问。会计数据、交易信息和某些产品设计信息都属于这一类。

密码保护方案
传统上，这些数据是由一个简单的密码方案保护的，用户需要知道这个方案才能获得访问权限。几乎每一个基于大型机或小型计算机的软件应用程序都需要密码才能进入。使密码方案有效的基本假设是:

1. 数据集中存储在受控环境中。

2. 操作系统和(大型机)硬件包含安全钩子。为用户部署的终端往往很少或没有独立处理能力。

因此，访问数据的可行方法的数量是有限和可控的，因此密码方案足以达到合理的安全级别。

密码方案不再有效
然而，分布式拓扑改变了基本假设:

1. 数据不再是集中控制的。

2. 所使用的操作系统(即DOS)实际上不包含安全钩子

3. 昨天的终端通常已经被PC取代，PC具有非常强大的独立处理能力，而且没有安全挂钩。

这些变化以简单的密码方案无法有效保护的方式打开了对数据的访问。结论是，在分布式环境中，仅密码保护方案很容易被击败。

现在需要两级身份验证
为了给PC局域网提供足够的安全性，必须对密码方案进行调整，以补偿基本假设的变化。本文提倡在密码之外增加一个硬件令牌，用于在获取数据的标准之外增加占有，以及知识。

与增加更多的知识相比，要求占有是非常强大的，因为必须发生物理上独立但相关的过程才能获得对数据的访问。附加密码不那么有效，因为该方法本质上重复了原始方案。虽然它可能增加了模糊因素，但它并没有加强安全性的基本强度，因为它没有为基本假设的转变所产生的问题提供解决方案。

两级认证在本文中被称为“带来一些东西，知道一些东西”的安全性。它允许信息管理人员控制对数据的访问，因为他们可以控制令牌的分发，并集中管理他们的身份验证(在LAN服务器上)，这是一个受控的环境。

在许多情况下，使用Buttons作为令牌无需在客户端机器上驻留任何安全软件(或至少公开以供修改)，并且可以独立于主机体系结构或操作系统实现。

独立性是实现足够安全性的关键，因为基于按钮的方案不假设操作系统或PC硬件提供任何安全性。按钮为基本假设的更改提供了解决方案，允许密码再次有效地保护数据。

带点什么/了解一些传统上负担不起的东西
两级身份验证并不新鲜。近年来，人们已经尝试过几次，但收效甚微。这是因为与个人电脑的每个座位的成本相比，带来一些东西的部分相对来说是负担不起的。

向大型机系统添加安全性通常被认为是不昂贵的，因为实现的成本与实现系统本身的成本相比是递增的。对于价值100万美元的大型主机系统来说，花费10万美元用于安全只相当于增加了10%的成本。然而，在购买2000 - 3000美元的电脑时，花费1000美元用于电脑安全意味着33% - 50%的额外成本。

每MIP(计算能力的衡量标准)成本的大幅下降，本质上是PC变得如此流行的原因，再加上对PC安全挂钩供应的忽视，使得PC局域网安全只有少数几个实现。它们本质上是大型机拓扑结构的移植，相对于PC的价格昂贵，而且通常难以实现。忽视是一个关键问题，因为它不允许PC安全解决方案的出现，可以利用较低价格的PC硬件。

最终的结果是，PC局域网的安全性往往负担不起或无法实现。最近出现了价格较低的PC安全解决方案，但它们并没有带来实质性的创新，使其安全性能够优雅地集成到客户机服务器架构中，并且只能产生增量安全性收益(对于关键任务应用程序通常是不够的)。

基于按钮带来的东西是负担得起的
构建基于Button的解决方案的关键区别在于从一开始就使用了PC芯片技术。这使得按钮和它们的阅读器能够以与PC价格曲线一致的价格点出售。

按钮本身是使用与制造PC芯片相同的半导体工艺制造的，因此它们的制造成本基础与PC处于同一水平。此外，随着时间的推移，随着数量的增加，规模经济有助于降低成本。

降低成本的另一个重要特性是达拉斯首创的1-Wire 通信创新。通过标准化通信协议，可以在不改变接口的情况下改变按钮内部的功能。这是分布式安全的一个重要特性，因为这意味着不同功能的按钮可以分布，并且与相同的按钮读取器兼容。

读写按钮所需的技术也得到了极大的简化，因为通信工作马驻留在按钮中。在这种程度上，达拉斯设计了一种读卡器解决方案，可以整合到当前的PC配置中，每台PC的价格低于1美元，几乎对其设计没有影响。

PC厂商第一次可以将安全技术引入PC硬件，而不需要大量的溢价来转售该选项。消除按钮阅读器的成本，再加上它能够被迅速吸收到标准PC架构中，使按钮技术成为一种可能被广泛接受的标准，具有巨大的优势。有效的安全方案可以以非常低的成本引入。

标准化按钮通信还允许今天基于按钮的安全方案利用未来的按钮产品，因为向上兼容性得到了维护。随着时间的推移，达拉斯半导体计划提供按钮产品，以满足可以使用计算机硬件实际实现的每一个安全级别。

密码过多
作为一个实际问题，缩小规模通常并不意味着关闭大型机或小型计算机网络，而打开PC局域网。现实是PC局域网正在演变成它注定的角色。对于许多公司来说，企业范围的计算意味着PC局域网和大型机网络以电子方式连接在一起，这样用户就可以(在某种程度上)透明地访问来自任何系统的信息。

将PC局域网连接到旧(遗留)系统的后果是用户必须记住的密码数量迅速增加，以便访问来自不同应用程序的信息片段。从某种意义上说，这是密码方案成功的产物，因为使用密码保护的粒度已经迁移到应用程序级别。因此，许多应用程序需要自己的密码，并且它们的身份验证独立于同一系统上可能存在的其他应用程序。

PC - LAN需要自己的密码，并且通常允许用户访问更多的遗留应用程序，这也增加了所需密码的数量，从而加剧了密码的爆炸。不幸的是，这种现象将信息管理置于两难境地。控制对数据的访问需要密码，然而密码本身使网络更难使用。

安全性也受到了损害，因为为了记住所有的密码，用户会把它们写下来。此操作削弱了安全方案，因为将知识传递给未经授权的用户可能会发生意外。

虽然计算机供应商在提供解决这一现象的方案方面总体上进展缓慢，但还是取得了一些进展。在他们的辩护中，供应商必须找到一种方案，既不损害任何个人安全性，又允许安全管理在所有应用程序中通用。由于最初开发应用程序时并没有考虑到这一点，所以这个问题非常复杂。

像开放用户推荐解决方案(OURS)安全任务组这样的组织将供应商和信息管理人员聚集在一起讨论这些问题并提供实用的解决方案。像开放系统基金会(Open Systems Foundation)这样的长期组织已经与供应商合作制定了未来的标准(如DCE)。

达拉斯半导体公司继续参与这些活动。然而，在这些标准明确出现之前，Dallas SignOn 今天提供了一个解决方案。

Dallas SignOn是一个基于按钮的PC局域网安全系统，它利用了一个集中安全数据库的简单概念进行身份验证。该数据库(称为中央存储库)包含描述用户对网络上文件的访问权限的记录。该记录还包含按钮ID和登录身份验证信息。信息管理器可以将条目放入中央存储库，并向用户发出button，作为控制登录身份验证的一种方式。

然后按钮变成“带东西”部分，与登录身份验证的密码一起使用。中央存储库还设置了一个基础，使其他密码对用户透明。

可用的应用程序编程接口(API)允许供应商或信息管理人员将遗留系统信息作为用户记录的一部分输入到中央存储库中，并在操作期间向其他应用程序提供安全信息，并且对用户透明。通过这种方式，PC LAN的初始登录可以验证对遗留系统的访问，而无需用户进一步参与。

中央存储库概念是解除用户多重密码的关键。中央存储库的实现是通过Button技术实现的，因为登录身份验证已经提升到适当的级别。

对于需要极高安全性的实现(通常需要使用加密算法)，未来的Dallas SignOn更新将直接满足这些需求。此外，Dallas Semiconductor正在积极地与正在实现基于票证的身份验证方案(例如Kerberos)的关键机构和供应商合作，以便为Dallas SignOn提供另一条迁移路径。

这些基于票证的服务器通常需要两个步骤:

1. 对用户进行身份验证以便向他们发出服务票证的过程。

2. 访问用户信息以帮助进行身份验证的过程。

Button作为用户身份验证的媒介，自然适合基于票据的身份验证，因为该方案的基础是对请求网络服务的用户进行适当的身份验证。达拉斯半导体正在积极设计未来的按钮，以适应适合此应用程序的此类令牌的超高安全性需求。

中央存储库还提供基于票证的安全服务器所需的数据库信息。

分发软件许可证

信息管理人员关心的是对数据的访问控制，而软件供应商则面临着许可证管理问题。在集中式方案中，许可证管理要简单得多。中央处理器维护必要的记帐，以控制访问应用程序的并发用户的数量，并且会话可以很容易地计时，因为它们的有效执行是由中央处理器执行的。

然而，一旦应用程序是分布式的，测量和控制使用情况就变得更加困难，因为实际执行应用程序的CPU不止一个，而且没有办法精确地测量LAN上所有处理器的单独执行情况。

这些问题对以销售许可证为生的软件供应商构成了重大挑战。具体表现在知识产权保护和复杂许可管理两个方面。

知识产权保护

版权保护实际上是一个维护供应商控制软件使用的权利的问题。最常用于授权的机制是支付许可费。未经授权使用软件代表软件供应商的收入损失。随着企业准备面向全球经济进行销售，越来越多的企业开始强调具有成本效益的执行控制，以抵消全球范围内拷贝保护法的差异。在某些情况下，国内使用的复制保护产品已经采用，因为知识产权的价值极高。

拷贝保护是很昂贵的
一个为个人电脑提供主机id的设备市场已经出现。软件供应商可以将他们的软件锁定在一台计算机上并有效地控制执行。其中一些产品被称为加密狗。

然而，由于加密狗本质上代表了PC的外部子系统，因此它们可以提供最低成本。从传统意义上讲，低价格无法吸收加密狗的成本(转售价格为每个20 - 50美元)，并且仍然保留足够的利润来运营业务。因此，加密狗通常不适合广泛的解决方案。

基于按钮的保护是负担得起的所有供应商
今天，基于按钮的保护使用类似于加密狗的按钮和支架概念。按钮功能远远优于传统的加密狗，并且通常实现成本更低(作为外部子系统)。因此，基于现有技术的按钮保护降低了实施保护的成本。

然而，按钮解决方案的真正关键是将阅读器吸收到PC中。按钮准备PC的代表在地板成本的保护，只有通过消除外部子系统硬件实现的实质性转变。

当信息管理人员开始购买Button Ready PC(以满足他们的访问控制需求)时，他们实际上也在适应那些使用Button来保护知识产权的供应商。如果供应商可以可靠地假设客户站点上有一个按钮就绪的PC，他们只需要将按钮的成本(每个低于10美元)纳入其收入流以实施保护。

最终的结果是，任何软件供应商都能负担得起知识产权保护。对于那些熟悉加密狗概念的人来说，推断是最终从安全方案中消除加密狗(和按钮持有人)。

License管理与License服务器技术
对于分布式环境中的软件供应商来说，另一个变得极其复杂的问题是支持现在所需的各种许可证类型。由于应用程序可能分布在整个局域网中，因此基本许可证结构必须适应永久(固定)或临时(浮动)分配许可证的情况。由于缺乏足够的工具来支持许可证管理(再加上前面讨论的缺乏身份验证功能)，导致了管理的复杂性。由于PC中的时间源是用户可访问的(并且几乎可以随意更改)，因此在PC局域网配置中目前不存在保证的时间源来测量使用。

这些问题增加了license管理的复杂性。目前正在进行一些实质性的工作，以提供许可证服务器技术，从而有效地减轻软件供应商在运行时管理许可证的工作。通过合并这些服务器(或要求它们出现在客户系统上)，可以管理各种许可证类型。

这些许可服务器的出现带来了身份验证问题。对用户进行身份验证应该是运行时许可过程的自然组成部分。事实上，许多提供许可证服务器的供应商都包含某种形式的身份验证。

然而，由于许可证服务器本身是分布式应用程序，它们也可能遭受安全漏洞。这就是为什么达拉斯半导体公司正在与供应商合作，将按钮解决方案与许可证服务器紧密结合，并增强许可证服务器软件的安全性。

需求将包括一个Button Holder和一个(仅附属于)承载许可服务器技术的服务器的Button。如果服务器为“Button Ready”，则不需要“Button Holder”。

在这些应用中，按钮的另一个用途是引入防篡改时间源的能力。达拉斯市场上有一种叫做DS1427的按钮，它包含一个实时时钟。有了这些可用的资源，许可证服务器供应商就可以在他们支持的许可证类型组合中构建基于时间的(计量的)许可证，因为他们知道有一个保证的时间源将最终决定计费。

按钮作为分布式计算的通用媒介

上面的讨论揭示了关于使用按钮进行分布式计算机安全的几个关键信息:

1. 技术成本已经充分降低，可以以很少或没有额外成本的方式集成到个人电脑中。

2. 拥有现成的按钮PC可以降低信息管理员的数据访问应用程序和软件供应商的许可证管理应用程序的实现成本。

3. 按钮准备PC的利益供应商和用户的分布式计算机。

4. 合并该技术的低影响为广泛采用该技术作为行业标准提供了强有力的理由。

这些信息表明，本文最初提出的三个目标都得到了满足。总之，该体系结构非常优雅，可以在很少的工程工作下迁移到主流PC市场，并为分布式安全解决方案的出现提供了机会，这些解决方案既经济有效又可靠。

浅谈物理安全
达拉斯半导体公司正在努力将按钮用于物理安全应用(建筑物访问、房间访问、停车场访问等)，同时也在进行计算机安全工作。最终目标是有一天合并这两个应用程序，再次使用按钮作为公共媒介，这样一个按钮就可以授权物理和计算机访问。