DES鉴别系统的安全性建立在发送者对当前时间的编码能力上,它使接收
者能解码并对照自己的时钟来进行检验.时钟标记也使用DES编码.这样的机制
要工作有两件事是必须的:
. 发送者和接收者双方必须对什么是当前时间进行约定.
. 发送者和接收者必须使用同样的编码关键字.
如果网络有时间同步机制,那么客户机服务器之间的时间同步将自己执行.
如果没有这样的机制,时间标记将按服务器的时间来计算.为计算时间,客户机
在开始RPC调用之前必须向服务器询问时间,然后计算自己和服务器之间的时
间差,当计算时间标记时,这个差值将校正客户方面的时钟.一旦客户机和服务
器时钟不同步,服务器就开始拒绝客户机的请求,并且DES鉴别系统将使它们的
时间同步.
客户和服务器是怎样来获得相同的编码关键字的呢?当客户希望与服务器
交谈时,它生成一个随机关键字来对时间标记进行编码;这个关键字称为会话
关键字CK,客户对CK按公用关键字模式进行编码,并在第一次会话时发送给服
务器.这个CK是唯一使用公用关键字编码的关键字.这时只有这一客户与服务
器两者才知道它们的DES关键字,这个关键字称为共有关键字.
第一次请求时,客户的证书包括三项:名字,用共有关键字编码的会话关键
字和用会话关键字编码的时窗,时窗告诉服务器:以后即将给你发送许多证书;
也许会有人用伪造的时间标记冒充新的会话向你发送证书.当你收到时间标志
时,请查看你的当前时间是否在时间标记和时间标记加时窗之间,如果不对请
拒绝.
为创建安全的NFS文件,时窗缺省值为30分钟.在发出首次请求时,客户的
核对器中包含被编码的时间标记和特定时窗(WIN 1)的编码核对器.这样做的
原因是:如果某人想写一个程序并且在证书和核对器的编码域中填充一些任意
的二进制值,服务器将CK解码成DES关键字,并且用它来对时窗和时间标记解码,
最后产生随机值.在经过上千次的努力后,这些随机的时窗/时间标记对才有可
能通过鉴别系统,因此时窗核对器将使要猜测出正确的证书变得更困难,以提
高安全性.
在对客户进行鉴别后,服务器将在证书表中存放四项值:客户名A,会话关
键字CK,时窗,时间标记.在服务器中保留前三项的目的是以备将来使用.保留
时间标记的目的是为防止再次执行,服务器只接收比以前的时间标记晚的时间
标记.服务器将向客户返回的核对器包括一个序号ID和负的时间标记(该标记
是被CK编码后的).客户机知道,只有服务器能返送回这样的核对器,因为只有
服务器知道时间标记.
第一次会话过程是很复杂的,以后就容易多了,客户每次向服务器发送它
的ID和编码后的时间标记,而服务器则返送回编码后的时间标记.
(6)公共关键字的编码
SUN OS使用Diffie-Hellman法进行公共关键字的编码,该算法随机产生一
个秘密关键字(SK),简称密钥.可用一个公式来计算出公共关键字(PK),公共关
键字存放在公共目录中,而密钥存放在专用的目录中.由PK和SK生成普通关键
字K,由于计算K必须知道两个密钥中的一个,所以除了服务器和客户外没有任
何人能计算K.计算将与另一个已知常数M求模.尽管某人的密钥可能会被人采
用对公共关键字求对数的方法来得到,但是由于M的值很大,要计算出M来几乎
是不可能的.为了确保安全,K必须有较多位的二进制数来作DES密钥,最多可从
K中取56位来形成DES密钥.
PK和SK都是以在文件publickey,byname中的网络名的顺序存放,SK用登录
号时的口令编码后存放.当你登录到一个站时,Login程序先取你的编码关键字
推荐阅读
- 三星手机文件夹怎么删除?三星手机怎么删除文件夹?
- 划龙舟的寓意和象征
- 什么叫线切割脉冲
- 微信怎么不绑定手机号
- 三星手机按键音怎么取消?三星怎么取消按键震动?
- 唐代文学家韩愈和谁发起了古文运动 唐代文学家韩愈是和谁发起了古文运动
- 三星手机短信背景怎么设置?三星怎么设置短信背景?
- 微信如何查看辅助记录
- 房屋证书号码是哪个房屋证书号码在哪里看
- 荣耀x1路由器需要升级吗