发信人: bali()
整理人: williamlong(1999-12-13 19:09:39), 站内信件
|
发信人: [email protected] (邂逅), 信区: hacker
标 题: 网络安全(15)
发信站: cs3 BBS (Mon Jun 16 14:50:55 1997)
转信站: sjtubbs!sjtunews!cs3
Origin: cs3.xmu.edu.cn
(3)远程过程调用(RPC)鉴别
RPC是网络安全的核心,要明白这一点就必须清楚在RPC中鉴别机制是怎样
工作的.RPC的鉴别机制是端口开放式的,即各种鉴别系统都可插入其中并与之
共存.当前SUN OS有两个鉴别系统:UNIX和DES,前者是老的,功能也弱.后者是
在本节要介绍的新系统.对于RPC鉴别机制有两个词是很重要的:证书和核对器
(credentials和verify).这好比身份证一样,证书是识别一个人的姓名,地址,
出生日期等;而核对器就是身份证的照片,通过这张照片就能对持有者进行核
对.在RPC机制中也是这样:客户进程在RPC请求时要发出证书和核对器信息.而
服务器收到后只返回核对器信息,因为客户是已知道服务的证书的.
(4)UNIX鉴别机制
SUN早期的各种网络服务都建立在UNIX鉴别机制之上,证书部分包含站名,
用户号,组号和同组存取序列,而核对器是空白.这个系统存在两个问题:首先,
最突出的问题是核对器是空的,这就使得伪造一份证书是非常容易的.如果网
络中所有的系统管理员都是可以信赖的,那不会有什么问题.但是在许多网络
(特别是在大学)中,这样是不安全的.而NFS对通过查寻发出mount请求的工作
站的INTERNET地址作为hostname域的核对器来弥补UNIX鉴别系统的不足,并且
使它只按受来自特权INTERNET口的请求.但这样来确保系统安全仍然是不够的,
因为NFS仍然无法识别用户号ID.
另一个问题是UNIX鉴别系统只适用于UNIX系统,但需要在一个网络中所有
的站都使用UNIX系统是不现实的.因为NFS可运行于MS-DOS和VMS系统的机器上,
但在这些操作系统中UNIX鉴别系统是不能运行的,例如:MS-DOS系统甚至就没
有用户号的概念.
由此可知,应该有这样的鉴别系统:它具有独立于操作系统证书并使用核
对器.这就如像DES鉴别系统.
--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: [email protected].]
--
大果子
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.97.225.207]
|
|