身份认证与提权攻击中的专属名词与缩略语整理

最近在研究私有云下的政务集成系统，其中大量涉及出于数据安全考虑的身份认证和提权攻击与防御方面的内容，作为学习性的研究内容，随手记录一些感悟或者待神曲学习的内容。

密码学/情报学/身份认证/提权攻击与防御 --- 学科专属名词与缩略语解释 （未完，待续 。。。）

华为NAC：华为NAC（Network Access Control）称为华为网络接入控制，是一种“端到端”的安全结构，包括802.1X认证、MAC认证与Portal认证。

radius认证服务：Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是应用最广泛的AAA协议。在实践中，人们最常使用远程访问拨号用户服务（Remote Authentication Dial In User Service，RADIUS）来实现AAA。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定目的UDP端口号1812、1813分别作为默认的认证、计费端口号。

CA服务：Certificate Authority，证书颁发中心。由一个根CA和多个下级CA组成。根CA是证书颁发机构（CA）层次结构中最顶层的证书颁发机构（CA），是整个CA信任链的起点，其对应的CA证书是自签名的。证书的颁发者和使用者相同则为根CA，不同则为子CA。

PKI认证体系：Public Key Infrastructure，公钥基础设施，是基于公钥密码学，建立起一种普遍适用的基础设施，可以通过数字证书很好地解决公钥归属问题，为各种网络应用提供全面的安全服务。在 PKI 系统中， 由证书认证机构(Certification Authority, CA)签发数字证书、绑定 PKI 用户的身份信息和公钥。 PKI 依赖方(Relying Party)预先存储有自己所信任的根 CA 自签名证书,，用来验证与之通信的 PKI 用户的证书链,，从而可信地获得该用户的公钥、用于各种安全服务。**

域控制器服务：Domain Controller，DC 。用户请求都被发送到域控制器进行身份验证和授权，域控制器通过验证用户名和密码来验证用户身份，并相应地授权访问请求。域控制器管理网络和身份安全，有效地充当用户验证和授权进入域内 IT 资源的门卫。域控制器在微软目录服务术语中尤其重要，作为验证 Windows 用户身份的主要方式，以便让他们访问 Windows 系统、应用程序、文件服务器和网络。它们还托管 Active Directory 服务。

AD（Active Direcotry）域控：AD域控制器（Active Directory Domain Controller）是一种基于Windows Server操作系统的网络认证和授权服务，通常被企业用于集中管理用户和计算机的账户、权限和策略。AD域控制器的主要作用是提供集中的身份认证和授权管理。它通过存储和管理用户和计算机的账户信息，并对用户进行身份认证，从而授权他们访问网络中的各种资源和服务。Active Directory 中的对象泛指存储在 AD 数据库中的任何信息单元，具体可以包括用户、终端、服务器，甚至是其他对象组。AD 中，多个对象的集合就称为组。管理员可以使用组策略对象（GPOs，group policy objects）对一个组进行更改，并将该更改应用于该组中的所有对象。组通常按部门或许可权限对用户或系统进行划分。域是指属于同一个 AD 数据库中用户、计算机和设备的集合。域组合在一起就成了树，多个树又可以组成林。微软还将域的概念扩展到了旗下的云计算服务 Azure。企业可以通过 Azure AD DS 在 Azure 中创建单独的域，独立于本地域，这两种域也可以通过 Azure AD Connect 和 Azure AD 等连接技术进行桥接。搭建 Azure AD 是为了将现有的 AD 实例扩展到云，工作包括：将本地 AD 同步到 Azure AD Connect；将现有的用户身份和组的数据库连接到 Azure 云资源。如果想在 Azure 中创建域，除了 Azure AD 外还需要 Azure AD DS。Azure AD Connect 工具用于将本地 AD 身份与 Azure AD 托管在 Azure 平台内的资源联合，这些资源包括 Office 365和 Azure 系统、服务器和应用程序。