日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

網絡安全(15)

云知道


碼,服務器對時間標記編碼,client對它解碼.在SUN3系列中對一個塊進行編碼
的硬件執(zhí)行需1毫秒,軟件執(zhí)行需1.2毫秒.這樣進行一次RPC調用,若由硬件執(zhí)
行需多花2毫秒,若由軟件執(zhí)行需多花5毫秒.進行一次NFS請求大約需20秒,這
樣由DES鑒別會使NFS請求的性能降低10%(假如有編碼硬件),25%(假如沒有編
碼硬件).這就是DES對網絡性能的沖擊,事實上并不是所有的文件操作都需通
過網絡,因而DES對系統(tǒng)性能的影響要低得多.另外是否采用DES鑒別系統(tǒng)是任
選的,因此在需要高速的環(huán)境時可以不采用DES鑒別系統(tǒng).

(11)啟動和setuid程序引起的問題
考慮這樣的情況:計算機因發(fā)生某種事件后重新啟動.這時機內保存的所
有密鑰都被清除,如果采用的是DES鑒別系統(tǒng),那么所有的進程都不能再利用網
絡服務.這時起關鍵作用的是根進程.如果根的密鑰保存在機內同時沒有人輸
入口令,對該密鑰進行編碼,那么根進程就將能夠利用網絡服務.對以上問題的
答案就是將根的密鑰存放在關鍵字服務器可讀的某個文件中.這樣的方式對有
盤工作站來說是很好的,但對無盤工作站來說,即存在一個致命的問題:它的密
鑰必須通過網絡存取.這樣在無盤工作站啟動時,如有人竊聽網絡傳送內容,他
就能發(fā)現(xiàn)編碼后的密鑰,盡管完成,但這一工作并不容易.
眾所周知有一種啟動方式叫單用戶啟動,啟動后根的登錄shell出現(xiàn)在主
終端上,這兒出現(xiàn)的問題是,如果安裝了C2安全系統(tǒng),從單用戶啟動仍需口令;
當沒有安裝C2安全系統(tǒng)時,只要/etc/ttytab文件中的console項標記為secure,
機器的啟動就不需口令.
另一個問題是無盤工作站啟動不安全,因為有人可以冒充啟動服務器,啟
動一個不正當?shù)膬群擞涗涍h程無盤工作站的密鑰,因為僅僅在內核和關鍵字服
務器運行之后,SUN系統(tǒng)才能對這一問題提供保護.在此以前沒有任何方式可以
鑒別回答是否來自正確的啟動服務器.但我們不考慮這種情況,因為一個不知
道源碼的人,要想寫這樣的內核幾乎是不可能的.另外犯罪者也極易留下證據(jù),
只要你對網絡中的啟動服務器進行檢測,就能發(fā)現(xiàn)誰是服務器.
并不是所有的setuid程序都會按我們希望的那樣運行,比如一個由用戶
dave擁有的setuid程序,只要在機器啟動后,dave沒有進行登錄,那么程序
setuid就不能存取安全的網絡服務(即采用DES鑒別系統(tǒng)的網絡服務),好在絕
大多數(shù)setuid程序都為root所擁有,而且根的密鑰在系統(tǒng)忘卻后總是存放在系
統(tǒng)中,因而程序setuid在采用了DES系統(tǒng)之后,仍能象原來那樣運行.

(12)總結
SUN的目標是要讓網絡系統(tǒng)象分時系統(tǒng)一樣安全,這個目標已經達到.在分
時系統(tǒng)中,用戶被口令鑒別,有個DES鑒別系統(tǒng),網絡中的用戶也由口令鑒別.在
分時系統(tǒng)中,用戶信任系統(tǒng)管理員,他的職業(yè)道德不允許他改變用戶的口令以
冒充該用戶.在SUN系統(tǒng)中用戶信息網絡管理員,他不會改變用戶在公共密鑰數(shù)
據(jù)庫中的實體.很,SUN的系統(tǒng)從某種意義上說比系統(tǒng)更安全,因為在SUN的系統(tǒng)
中旋轉"竊聽"裝置來"竊聽"網絡中傳送的口令和編碼用的密鑰是無用的(因為
這些口令和密鑰都已被編碼).而大多數(shù)分時系統(tǒng)對來自終端的數(shù)據(jù)并不進行
編碼,用戶必須相信,沒有人在終端與主機的傳送線上安裝"竊聽"裝置.
DES鑒別系統(tǒng)也許不是最終完善的鑒別系統(tǒng),在將來,很可能有更好的算法
和硬件來證明DES鑒別系統(tǒng)無用并放棄它.但至少可以說DES為將來的發(fā)展指出
了一個方向.從理論上講,協(xié)議從來規(guī)定會話密鑰甚至公共密鑰的編碼要采用
Diff3-Hellman方法.為了使DES鑒別系統(tǒng)更有力,我們要做的僅僅是使會話密

推薦閱讀