Linux 使用硬件令牌进行登录
我不熟悉密码学,正在学习PKI和PKCS等。我了解PKI的基本概念以及如何将其用于加密/解密。然而,我对如何使用USB令牌或智能卡等硬件令牌安全登录到您的计算机感到困惑。以下是我理解的步骤,以及我感到困惑的部分(很抱歉,问题太长了): 场景:网络上的计算机xyz包含只有属于组机密的用户才能访问的数据。用户Bob和Joe属于此组,他们已获得USB令牌,可用于提供凭据,使他们能够访问这些资源。USB令牌采用双因素身份验证,需要输入pin。该令牌与PKCS11兼容Linux 使用硬件令牌进行登录,linux,pam,pkcs#11,Linux,Pam,Pkcs#11,我不熟悉密码学,正在学习PKI和PKCS等。我了解PKI的基本概念以及如何将其用于加密/解密。然而,我对如何使用USB令牌或智能卡等硬件令牌安全登录到您的计算机感到困惑。以下是我理解的步骤,以及我感到困惑的部分(很抱歉,问题太长了): 场景:网络上的计算机xyz包含只有属于组机密的用户才能访问的数据。用户Bob和Joe属于此组,他们已获得USB令牌,可用于提供凭据,使他们能够访问这些资源。USB令牌采用双因素身份验证,需要输入pin。该令牌与PKCS11兼容 Bob将USB令牌插入Linux机器
- 查找根证书以检查受信任的CA
- 检查证书有效期和吊销列表
- 将令牌上的ID与用户文件(其中?,缺少步骤)或目录(LDAP等)匹配
1.我知道
2.我有
3.我是
典型的用户名/密码组合适用于1。而代币或其他PKCS设备则排在第二位,虹膜识别或指纹识别等生物识别技术则排在第三位 安全性中的这些方面越多,安全性就越好/越紧。在这种情况下,登录符合1和2,因此比用户名和密码更安全。如果有人从他身上取下他的pin码并偷走他的设备,那么是的,它不会证明是鲍勃在使用它。但是如果鲍勃把他的用户名和密码也给了别人,这也不会发生 令牌的要点是引入“拥有”某物的第二个因素,您还需要PIN这一事实意味着“知道”某物也是必需的。这样,系统就可以更加自信地相信这个人就是他们声称的那个人
您所指的缺失部分是授权,如前所述,这是一个独立于身份验证的过程,只有在用户自己进行了身份验证之后才会发生。在这种情况下,PAM已经对Bob进行了身份验证,并向操作系统提供了Bob确实正在使用系统的确认。然而,操作系统随后必须在步骤5中执行一些其他检查,以确认Bob有权访问该资源 大卫,你说得对,我没有把授权部分分开。与此相关,pam_pkcs模块将不负责加密/解密任务。。仅向pam感知的应用程序或服务传递用户身份信息,而不是用户权限(包括用户是否可以使用该应用程序)。感谢与身份验证相关的问题,模块将使用令牌上的一些描述性信息来识别目录或平面文件中的用户。pam如何将此标识传递给pam感知应用程序,以便它可以采取进一步的行动来确定身份?我对pam模块不太熟悉,无法回答这个问题,但是我希望最简单的答案是从操作系统请求登录用户。如果PAM API允许应用程序请求,那么它可能会返回用于标识用户的X509证书,这是PCKS令牌提供的标识。我在谷歌上搜索了Linux PAM用户标识,并找到了一些好的线索。谢谢你给我指出了正确的方向和话语!!没有足够的rep进行编辑,但第二句和第三句中有拼写错误:“prooving”应该是“proving”,而“Proove”应该是“Prove”。除此之外,回答得很好。