在系统之间提供安全性(加密和身份验证)的好方法是什么,任何一方都可以启动连接?
在我的情况下,有一个主系统和许多子系统。子系统启动与主系统的连接,以便它们可以报告数据,主系统启动与子系统的连接以发出命令。目前,我们通过Windows上的kerberos实现安全性,但是我们正在引入未连接到Active Directory的Linux儿童,因此kerberos将不再是一种选择。
有没有办法做到这一点,而树中的每台计算机都有自己的私钥/公钥对?这似乎是一团糟。
我认为最好的选择是将 SASL 用于两个 reaon:
- 客户端和服务器之间具有有状态的双向连接
- 您可以自由选择身份验证机制。如果可以使用 Kerberos,则可以完全加密整个流量。如果没有,您仍然可以将 STARTTLS 与 PKI 一起使用。