对网络安全问题一个通常的办法是针对每一个具体的应用来进行解决.而
更好的办法是在RPC层设置鉴别机构,使对所有的基于RPC的应用都使用标准的
鉴别机构(比如NFS和Yellow pages).于是在SUN OS系统中就可以对用户的机
器都进行鉴别.这样做的优点是使计算机网络系统更像过去的分时系统.在每
台机器上的用户都可登录到任何一台机器;就象分时系统中任何一个终端上的
用户都可登录到主机系统一样,用户的登录口令就是网络的安全保证.用户不
需要有任何有关鉴别系统的基础.SUN系统的目标是让网络系统成为既安全又
方便的分时系统.
要注意以下几点:
. 任何人只要他拥有root存取权并具备较好的网络程序设计知识,他就可
以向网络中加入二进制数据或从网络中获得数据.
. 在采用以太网结构的局域网的工作中不可能发生信息包被窜改(即被传
送的信息包在到达目的站之前,被捕获并将其修改后按原路径发出),因
为所有的信息包都将几乎同时到达目的站之前,被捕获并将其修改后按
原路径发出),但在网关上发生包被窜改则是有可能的.因而应确保网络
中所有网关都是可靠的.
. 对网络系统最危险的攻击是同向网络中加入数据有关的事件,例如通过
生成一个合法的信息包来冒充某个用户;或记录下用户会话的内容,并
在晚一些时候再回答它们.这些都会严重的影响数据的完整性.
. 至于偷看信息这类侵袭(仅仅是偷看网络中传送的内容而不冒充任何人)
将可能造成失密,但并不十分危险,因为数据的完整性没有被破坏,而且
用户可通过对需要保密的数据进行编码来保护数据的专用.
总之,在任何意义上要完全明白网络传送的各种问题并不是很容易的,需
不断实践分析.
(3)远程过程调用(RPC)鉴别
RPC是网络安全的核心,要明白这一点就必须清楚在RPC中鉴别机制是怎样
工作的.RPC的鉴别机制是端口开放式的,即各种鉴别系统都可插入其中并与之
共存.当前SUN OS有两个鉴别系统:UNIX和DES,前者是老的,功能也弱.后者是
在本节要介绍的新系统.对于RPC鉴别机制有两个词是很重要的:证书和核对器
(credentials和verify).这好比身份证一样,证书是识别一个人的姓名,地址,
出生日期等;而核对器就是身份证的照片,通过这张照片就能对持有者进行核
对.在RPC机制中也是这样:客户进程在RPC请求时要发出证书和核对器信息.而
服务器收到后只返回核对器信息,因为客户是已知道服务的证书的.
(4)UNIX鉴别机制
SUN早期的各种网络服务都建立在UNIX鉴别机制之上,证书部分包含站名,
用户号,组号和同组存取序列,而核对器是空白.这个系统存在两个问题:首先,
最突出的问题是核对器是空的,这就使得伪造一份证书是非常容易的.如果网
络中所有的系统管理员都是可以信赖的,那不会有什么问题.但是在许多网络
(特别是在大学)中,这样是不安全的.而NFS对通过查寻发出mount请求的工作
站的INTERNET地址作为hostname域的核对器来弥补UNIX鉴别系统的不足,并且
使它只按受来自特权INTERNET口的请求.但这样来确保系统安全仍然是不够的,
因为NFS仍然无法识别用户号ID.
另一个问题是UNIX鉴别系统只适用于UNIX系统,但需要在一个网络中所有
的站都使用UNIX系统是不现实的.因为NFS可运行于MS-Dos和VMS系统的机器上,
但在这些操作系统中UNIX鉴别系统是不能运行的,例如:MS-DOS系统甚至就没
有用户号的概念.
由此可知,应该有这样的鉴别系统:它具有独立于操作系统证书并使用核
对器.这就如像DES鉴别系统.
(5)DES鉴别系统
推荐阅读
- 三星手机文件夹怎么删除?三星手机怎么删除文件夹?
- 划龙舟的寓意和象征
- 什么叫线切割脉冲
- 微信怎么不绑定手机号
- 三星手机按键音怎么取消?三星怎么取消按键震动?
- 唐代文学家韩愈和谁发起了古文运动 唐代文学家韩愈是和谁发起了古文运动
- 三星手机短信背景怎么设置?三星怎么设置短信背景?
- 微信如何查看辅助记录
- 房屋证书号码是哪个房屋证书号码在哪里看
- 荣耀x1路由器需要升级吗