4.其它网络
(1)远程作业登录(RJE)
RJE(remote job entry)系统提供了一组程序及相应的硬件,允许UNIX系统与IBM主机上的JES(job entry subsystems)通讯.可通过两条命令的send和usend存取RJE.send命令是RJE的通用的作业提供程序,它将提供文件给JES,就好像这些作业文件是从卡片阅读机读入的"穿孔卡片"一样.usend命令用于在使用了RJE系统的UNIX系统间传送文件,它将建立一个"作业"(虚拟的一叠穿孔卡片),并以send命令的送文件的同样方式将该作业提供给JES.该作业卡片叠中的控制卡告诉JES数据传送到何处(这里,数据是正被传送的文件).文件传送的目的地是UNIX系统,但JES认为是一个"行式打印机".RJE系统通常以每秒9600位的速率与JES通讯.典型的usend命令句法如下:
usend -d system -u login file(s)
system是挂到IBM JES上的另一个UNIX系统名,login是另一个系统上的接收用户的登录名,file(s)是用户希望传送的文件.
几个关于RJE的安全问题:
. 缺省时,RJE将把文件传送到接收用户的HOME目录中的rje目录.该目录必须对其他人可写,可执行,这意味着存入rje目录的文件易受到检查,移动,修改.然而如果该目录的许可方式是733,其他用户就不能用ls列目录内容寻找感兴趣的文件.被建立的文件对所有者,小组或其他人都是可读的,所以通过RJE网络传送的安全文件在系统上都是可读的.为什么这些问题不同于UUCP和/usr/uucppublic目录?* UUCP定期地清除/usr/spool/uucppublic目录的内容,几天前或几星期前的老文件将被删除,通常用户将把自己的文件移出uucppublic目录,以免文件被删除,而存在用户rje目录中的文件不会被清除,所以有些用户从来不把自己的文件移到其它目录.
* 用户清楚地知道uucppublic目录是一个公共目录,存入重要信息之前,首先注意将其加密.但是用户却总是容易忘记自己rje目录实际上也是公共目录,经常忘记将重要文件加密.
. usend命令在其他人可写的目录中建立文件,并重写其他人可写的文件.. RJE服务子程序是执行一些功能而不是执行文件传送.RJE系统像UUCP一样也执行远程命令,运行RJE的大多数系统用远程命令执行转送电子邮件.因为RJE的传输率通常比UUCP更高.遗憾的是RJE没有像UUCP那样的能力限制能执行的命令和能存取的文件.一个好的经验是将连接到同一个JES的一组系统,看作这些系统是在同一系统上.
(2)NSC网络系统
NSC(network systems corporation)宽信道网络是一个高速局域网络(LAN).NSC可将数千个最远相距5000英尺的系统挂在一起,传输速率可高达50MBIT/S,NSC也可通过的通讯如微波或人造卫星通讯线连接不同系统.
UNIX用户可通过nusend命令存取NSC宽信道,nusend命令的句法与usend命令相同,除用-c选项传送其他人不可存取的文件外,大多数情况下,nusend的用法与usend是一样的,换言之,如果无-c选项,文件就是可读的,而且文件路径名中列出所有目录对其他人也都是可搜索的,前边讨论过的关于RJE的安全问题的考虑也适合于NSC网络.
可查看NSC记录文件,了解NSC是否正在执行任何不应执行的命令.记录文件保存在目录/usr/nsc/log中.下面的命令将打印出所有由NSC在本系统上执行的命令(rmail除外):
grep execute /usr/nsc/log/LOGFILE|grep -v rmail
5.通讯安全
有两种方法可以提供安全的通讯:第一种是保证传输介质的物理安全,即使任何人都不可能在传输介质上接上自己的窃密线或"窃听",第二种方法是加密重要数据.
(1)物理安全
如果所有的系统都锁在屋里,并且所有连接系统的网络和接到系统上的终端都在上锁的同一屋内,则通讯与系统一样安全(假定没有MODEM).但是系统的通讯线在上锁的室外时,就会发生问题了.尽管从网络通讯线提取信息所需要的技术,比从终端通讯线获取数据的技术高几个数量级,上述的同样的问题也倒发生在网络连接上.
用一种简单的(但很昂贵)高技术加压电缆,可以获得通讯的物理安全.这一技术是若干年前,为美国国家电话系统而发展的.通讯电缆密封在塑料中,埋置于地下,并在线的两端加压.线上连接了带有报警器的监示器,用来测量压力.
如果压力下降,则意味电缆可能破了,维修人员将被派出寻找与修复出问题的电缆.
电缆加压技术提供了安全的通讯线.不是将电缆埋置于地下,而是架线于整座楼中,每寸电缆都将暴露在外.如果任何人企图割电缆,监示器会启动报警器,通知安全保卫人员电缆已被破坏.如果任何人成功地在电缆上接了自己的通讯线,安全人员定期地检查电缆的总长度,应可以发现电缆拼接处.加压电缆是屏蔽在波纹铝钢包皮中的,因此几乎没有电磁发射,如果要用电磁感应窃密,势必需用大量可见的设备.这样终端就不必锁在办公室,而只需将安全电缆的端头锁在办公室的一个盒子里.
另一个增加外部终端物理安全的方法,是在每天下午5点使用计算机的时间结束时,即当所有用户回家时,断开终端的连接.这样某人若想非法进入系统,将不得不试图在白天人们来来回回的时间里获取终端的存取权,或不得不在下午5点手试图潜入计算机房(如果5点后计算机房有操作人员或有安全人员,潜入计算机房的企图就不可能得逞).
光纤通讯线曾被认为是不可搭线窃听的,其断破处立即可被检测到,拼接处的传输会令人难以忍耐的缓慢.光纤没有电磁幅射,所以也不能用电磁感应窃密.不幸的是光纤的最大长度有限制,长于这一长度的光纤系统必须定期地放大(复制)信号.这就需要将信号转换成电脉冲,然后再恢复成光脉冲,继续通过另一条线传送.完成这一操作的设备(复制器)是光纤通讯系统的安全薄弱环节,因为信号可能在这一环节被搭线窃听.有两个办法可解决这一问题:距离大于最大长度限制的系统间,不要用光纤线通讯(目前,网络覆盖范围半径约100公里),或加强复制器的安全(用加压电缆,警报系统,警卫).
(2)加密
加密也可提高终端和网络通讯的物理安全,有三种方法加密传输数据:. 链接加密:在网络节点间加密,在节点间传输加密,传送到节点后解密,不同节点对间用不同的密码.. 节点加密:与链接加密类似,不同的只是当数据在节点间传送时,不用明
码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常旋转在安全保险箱中.
. 首尾加密:对进入网络的数据加密,然后待数据从网络传送出后再进行解密.网络本身并不会知道正在传送的数据是加密数据.这一方法的优点是,网络上的每个用户(通常是每个机器的一个用户)可有不同的加密关键词,并且网络本身不需增添任何专门的加密设备.缺点是每个系统必须有一个加密设备和相应的软件(管理加密关键词).或者每个系统必须自己完成加密工
作(当数据传输率是按兆位/秒的单位计算时,加密任务的计算量是很大的).
终端数据加密是一特殊情况,此时链接加密法和首尾加密法是一样的方法,终端和计算机都是既为节点又为终止端点.
通讯数据加密常常不同于文件加密,加密所用的方法不应降低数据的传送速度.丢失或被歪曲了的数据不应当引起丢失更多的数据位,即解密进程应当能修复坏数据,而不能由于坏数据对整个文件或登录进行不正确地解密.对于登录会话,必须一次加密一个字节,特别是在UNIX系统的情况下,系统要将字所返回给用户,更应一次加密一个字节.在网络中,每一链可能需要不同的加密关键字,这就提出了对加密关键词的管理,分配和替换问题.
DES传送数据的一般形式是以代入法密码格式按块传送数据,不能达到上述的许多要求.DES采用另一加密方法,一次加密一位或一个字节,形成密码流.密码流具有自同步的特点,被传送的密码文本中发生的错误和数据丢失,将只影响最终的明码文本的一小段(64位).这称为密码反馈.在这种方法中,DES被用作虚拟随机数发生器,产生出一系列用于对明码文本的随机数.明码文本的每n位与一个DESn位的加密输出数进行异或,n的取值为1-64,DES加密处理的输入是根据前边传送的密码文本形成的64位的数值.
发n为1时,加密方法是自同步方式:错一位或丢失1位后,64位的密码文本将不能被正确地解密,因为不正确的加密值将移入DES输入的末端.但是一旦接收到正确的64位密码,由于DES的加密和解密的输入是同步的,故解密将继续正确地进行.
DES的初始输入称为种子,是一个同时由传输器和接收器认可的随机数.通常种子由一方选择,在加密前给另一方.而加密关键词不能以明码格式通过网络传送,当加密系统加电时在两边都写入加密关键词,并且在许多阶段期间加密关键词都保持不变,用户可以选择由主关键词加密的阶段关键词,发送到数据传送的另一端,当该阶段结束后,阶段关键词就不再使用了.主关键词对用户是不可见的,由系统管理员定期改变,选择哪一种关键词管理方法,常由所用的硬件来确定.如果加密硬件都有相应的设备,则用种子还是用主关键词阶段关键词是无关紧要的.
(3)用户身份鉴别
口令只是识别一个用户的一种方法,实际上有许多方法可以用来识别用户.. CALL BACK MODEM:则维护系统有效用户表及其相应电话号码的设备.当用户拨号调用系统时,CALL BACK MODEM获得用户的登录户头,挂起,再回头调用用户的终端.这种方法的优点是,限制只有电话号码存于MODEM中的人才是系统的用户,从而使非法侵入者不能从其家里调用系统并登录,这一方法的缺点是限制了用户的灵活性,并仍需要使用口令,因为MODEM不能仅从用户发出调用的地方,唯一地标识用户.
. 标记识别:标记是口令的物理实现,许多标记识别系统使用某种形式的卡(如背面有磁条的信用卡),这种卡含有一个编码后的随机数.卡由连接到终端的阅卡机读入,不用再敲入口令.为了增加安全性,有的系统要求读入卡和敲入口令.有些卡的编码方法使得编码难于复制.标记识别的优点是,标识可以是随机的并且必须长于口令.不足之处是每个用户必须携带一个