发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 网络安全(15)
发信站: cs3 BBS (Mon Jun 16 13:50:55 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

  (3)远程过程调用(RPC)鉴别
      RPC是网络安全的核心,要明白这一点就必须清楚在RPC中鉴别机制是怎样
  工作的.RPC的鉴别机制是端口开放式的,即各种鉴别系统都可插入其中并与之
  共存.当前SUN OS有两个鉴别系统:UNIX和DES,前者是老的,功能也弱.后者是
  在本节要介绍的新系统.对于RPC鉴别机制有两个词是很重要的:证书和核对器
  (credentials和verify).这好比身份证一样,证书是识别一个人的姓名,地址,
  出生日期等;而核对器就是身份证的照片,通过这张照片就能对持有者进行核
  对.在RPC机制中也是这样:客户进程在RPC请求时要发出证书和核对器信息.而
  服务器收到后只返回核对器信息,因为客户是已知道服务的证书的.

  (4)UNIX鉴别机制
      SUN早期的各种网络服务都建立在UNIX鉴别机制之上,证书部分包含站名,
  用户号,组号和同组存取序列,而核对器是空白.这个系统存在两个问题:首先,
  最突出的问题是核对器是空的,这就使得伪造一份证书是非常容易的.如果网
  络中所有的系统管理员都是可以信赖的,那不会有什么问题.但是在许多网络
  (特别是在大学)中,这样是不安全的.而NFS对通过查寻发出mount请求的工作
  站的INTERNET地址作为hostname域的核对器来弥补UNIX鉴别系统的不足,并且
  使它只按受来自特权INTERNET口的请求.但这样来确保系统安全仍然是不够的,
  因为NFS仍然无法识别用户号ID.
      另一个问题是UNIX鉴别系统只适用于UNIX系统,但需要在一个网络中所有
  的站都使用UNIX系统是不现实的.因为NFS可运行于MS-DOS和VMS系统的机器上,
  但在这些操作系统中UNIX鉴别系统是不能运行的,例如:MS-DOS系统甚至就没
  有用户号的概念.
      由此可知,应该有这样的鉴别系统:它具有独立于操作系统证书并使用核
  对器.这就如像DES鉴别系统.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]