dacsgrid - 云端在线

程序：

您的姓名

dacsgrid - 管理基于网格的一次性密码

概要

达克斯网格 [选项[1]][-挑战[-克伦 NUM[-复制 vfs_uri]
[-dec 象征[-删除[-禁用[-使能够[-enc 挑战[-已到期]
[-平面[-get[-格 STR[-h | -救命[-html[-htmlcss]
[-inkeys 物品种类[-寿命 几天[-list[-长[-ncols NUM]
[-n行 NUM[-外键 物品种类[针 [NUM]][-刷新[-rnd[-种子 STR]
[-serial[-组[-尺寸[-测试[-文本[-证实 挑战 响应]
[-vfs vfs_uri]

商品描述

该程序是 DACS 套房。

达克斯网格 实用程序提供基于软件的一次性密码 DACS 认证
使用挑战-响应架构。 它管理用户使用的帐户
本地网格验证[2] 认证模块。 这些账户是完全独立的
从使用的帐户 本地密码验证[3] 或任何其他 DACS 认证
模块。

达克斯网格 生成一个矩形的单元格网格。 每个单元格由一个字母组成，后跟
由一个数字，后跟一个字母，产生 6,760 (26*10*26) 个可能的三字符长
字符串。 每个单元格的内容都是从加密强
伪随机字节。 最大网格大小为 99 行 x 26 列，最小网格
大小为 3 x 3。列标记为 A 到 Z，行标记为 1 到
99. 对于推荐的网格大小，生成的每个网格很可能是
唯一的，因此每个用户将被分配一个不同的网格。

这是一个 10x10 的网格（默认大小）：

ABCDEFGHIJ
1 x7m p7m k4c q9s q2k d9l s5m r8c y3v g2m
2 o0c t6h q7k l3w p8a q3e b9c l0w z8y c8v
3 v8n n1w r6i i0g e9y q1n p0g g9v x4y c5u
4 z8a o9d l1e e8n u8z h3y p2s b9z c6w d5f
5 x8y o2a y4g d9i s4p c9n c1e m5z o6j m0f
6 p2s x4c a2x p4f w7y b8k e6c q9g q5v s4z
7 b8k r4s r2p z5x v3e s0h h5l z6y e9o g6m
8 r5x m4r a1w f8c f5g l2z q7j r4m w0c x9a
9 p7s r3g i7c p8a t5x c4h h0k k9d i7k r9n
10 W4L V0A P9G I0L V2N B8H V9J S0Y R3K V0M

Serial: 2497a62a83ad4bc4
创建时间：太平洋夏令时间 14 年 10 月 25 日星期一 03:2006:XNUMX

一个单元格由它的列标签（一个字母）和它的行标签（一个数字）来标识；
例如，在上面的示例中，单元格 F6 的值为 b8k。

每个网格都分配了一个随机（并且可能是唯一的）标识字符串（标记为
上例中的“串行”）； 此字符串与其他网格一起存储在服务器上
账户数据。 它可以在登录时由管辖区显示，作为一种方式
对用户进行身份验证，前提是它是保密的（一种方法可能是
为每一方提供不同的身份字符串的一半给
其他）。

在身份验证时，用户会收到一个随机生成的质询，该质询是
适合用户的网格。 挑战显示给用户； 例如，“A3、C9、
B1, F9"。也可能会显示网格的序列号或其中的一部分。用户
必须咨询他的网格以找到给定挑战的每个单元格并输入它们
内容作为密码。 字母不区分大小写，空格、制表符和逗号是
忽略。 对于上面的网格和挑战，用户将输入以下字符
作为密码：

v8ni7cp7mc4h

请注意，一个挑战可能会不止一次地要求相同的单元格。

质询在可配置的时间长度内有效，之后将不再有效
用于认证； 看 AUTH_GRID_CHALLENGE_SECS[4]。

为了判断一个挑战应该持续多长时间，假设选择了用户选择的密码
从键盘上可用的大约 100 个字符中随机和统一地。 这是
一个在实践中很少实现的非常慷慨的假设。 四个网格的挑战
单元格比用户选择的六个字符的密码强得多（69604 与 1006）
五个单元格的网格挑战比用户选择的九个密码强得多
字符（69605 对 1009）。 然而，与典型的用户密码相比，网格
三个单元格的挑战可能与用户选择的七个或七个密码一样强
八字。

网格是通过访问 DACS的 使用项目类型 auth_grid 的虚拟文件存储。 这是
假设对网格数据库的文件权限是所有访问都受到限制
给管理员和 本地网格验证.

在运行时可配置的时间段之后，网格将过期并且不会被接受
身份验证目的 本地网格验证 （见 AUTH_GRID_LIFETIME_SECS[5]) 或
达克斯网格 （见 -寿命）。 网格的有效期可能基于几个因素，
例如它在辖区的使用频率、网格中的单元格数量、
所需的安全程度，或者将电网分配给
它的用户。

在生成网格时， 达克斯网格 可以将随机选择的 PIN 与其关联。 一种
PIN 作为辅助密码，由字母-数字-字母序列组成
细胞。 可以在命令中覆盖两个单元格（6 个字符）的默认 PIN 长度
线。 如果为用户提供了 PIN，则应在开始时输入
用户对质询的响应，紧接在第一个单元格的内容之前
挑战被输入。

安保行业
如果使用得当，这种认证方式可以比较安全。 主要的
挑战在于，网格和 PIN 码必须通过一种方式分发给用户。
足够安全的方法； 例如，通过打印它们并将硬拷贝直接邮寄到
用户，或使用现有的安全通道。 每个用户都必须了解网格
本质上是一个密码列表，因此必须在其期间保密
有效期。 使用 PIN 时，必须使用安全通道分发它们
不同于用于分配网格的那个。 剩下的分配是如何完成的
到 DACS 管理员。

信息在写入网格帐户文件之前被加密。 默认情况下，
虚拟文件存储项类型 auth_grid_keys 标识要使用的加密密钥；
此 -inkeys 和 -外键 标志指定替代品（见 达斯基(1)[6]）。 文件
必须设置权限，以便加密密钥只能由 达克斯网格。 如果
加密密钥丢失，帐户条目几乎无法恢复。

只有 DACS 管理员应该能够从
命令行。 因为 DACS 密钥和配置文件，包括用于
存储帐户，必须限制为管理员，这通常是
情况，但细心的管理员会设置文件权限来拒绝所有访问
其他用户。

这种认证方式有以下优点：

· 每次用户认证时，都会要求不同的密码（高
可能性）

· 需要的密码在认证之前是未知的，所以用户不能
告诉其他人他的密码是什么，而不是通过共享整个网格（以及
PIN，如果有）

· 因为密码不太可能是一个容易猜到的词或词组，所以应该是
比用户选择的密码强

· 如果在用户的计算机上安装了密钥嗅探器，则嗅探密码不会
对攻击者有任何好处，因为它极不可能被重用。 如果
攻击者也可以获得相应的挑战，例如通过
网络钓鱼攻击，部分网格将被暴露

· 挑战的长度（决定密码的长度）是
管理员可配置，可随意更改

· 管理员可以根据实际情况轻松更改用户的网格

· 该方法比基于硬件的一次性密码便宜，提供分发
成本低

这种身份验证方法具有以下潜在缺点：

· 身份验证方法本质上是交互式的，因为密码未知
a 先验，虽然这并不能保证用户在场

· 需要安全通道来分发网格和密码

· 身份验证网格可以轻松复制，因此最好与
PIN 码或至少一种其他身份验证方法； 保持网格的挑战
在所有情况下的秘密是该方法不如的主要原因
基于硬件令牌的方法，更难以复制并且可以通过
一个密码。 该方法最适用于不太可能出现网格的情况
被盗、容易复制，甚至被识别，例如用于远程访问。

这种身份验证方法介于“你知道的东西”形式和
“你拥有的东西”形式。 人们也许能够记住一个较小的网格，将其放入
前一类，但很少有人能够记住一个大网格，这使得它
有必要拥有一份副本。 使用 PIN 提供了更接近于
双因素身份验证并加强了该方法，因为捕获的网格不是直接的
可用。

备注
可以为不同的用户分配不同大小的网格。 阻止
产生无法满足的挑战，当挑战是
要求相应的网格必须是默认大小，尺寸
必须指定网格，或者必须指定用户名。

配置

除了标准 选项[1]，以下命令行标志是
认可：

-挑战
发出随机挑战。 如果 用户名 已指定，大小合适的挑战将
被生产； 否则，如果已指定网格尺寸，则适当的挑战
将生产； 否则，当生成一个默认的网格尺寸时将使用
挑战。

-克伦 NUM
将挑战长度设置为 NUM 细胞。 最小长度为 3 个单元格，默认为
长度为 4 个单元格。

-复制 vfs_uri
将输入网格复制到由指定的网格 vfs_uri, 删除任何现有的
内容。

-dec 象征
解密由生成的挑战令牌 -enc 选项并打印出来。

-删除
删除帐户 用户名.

-禁用
禁用登录 用户名. 暗示 -组.

-使能够
启用登录 用户名. 暗示 -组.

-enc 挑战
加密挑战（通常由 -挑战 选项）并打印出来。 这
项目类型 federation_keys 用于此目的，这意味着任何司法管辖区
在联邦中可以解密挑战。

-已到期
仅列出过期的网格，相对于有效的网格生命周期。 暗示 -list.

-平面
以简洁的文本表示形式打印一个网格，该网格包含三个
逗号分隔字段：序列号、启用/禁用标志（非零表示
已启用）、网格（作为空格分隔行的有序序列）、PIN（如果
没有 PIN）和创建日期（作为自纪元以来的秒数）。

-get
检索网格 用户名 并使其成为用于显示的“当前”网格。

-格 STR
他们成为 STR，展平表示中的网格，用于显示的“当前”网格
目的或 -组 旗。

-h
-救命
显示帮助消息并退出。

-html
将网格作为 HTML 文档的片段发出。

-htmlcss
将网格作为带有一些 CSS 的 HTML 文档的片段发出。

-inkeys 物品种类
要解密帐户信息，请使用标识的商店 物品种类.

-寿命 几天
考虑网格的生命周期为 几天 天。 网格没有固定的生命周期；
只记录它们的创建日期。 默认生命周期为 7 天。

-list
清单 用户名, 如果给定，否则为所有用户名。

-长
生成更详细的列表输出。 暗示 -list.

-ncols NUM
将网格列数设置为 NUM, 介于 3 和 26 之间。这用于
生成网格和挑战。

-n行 NUM
将网格行数设置为 NUM, 介于 3 和 99 之间。这用于
生成网格和挑战。

-外键 物品种类
要加密帐户信息，请使用由标识的商店 物品种类.

针[NUM]
如果未指定其他操作，请打印 PIN（如果有），用于 用户名。 随着 -组
标志，生成一个新的PIN 用户名. 如果将非负整数附加到
标志（例如， -pin0, -pin4)，PIN 长度（以单元格为单位）设置为该数字
关于 PIN 的生成。 默认 PIN 长度为 2 个单元格。 设置密码长度
归零关闭 PIN 生成。

-刷新
如果一个 用户名 给定，为该用户生成一个新网格。 如果不 用户名 给出，
为每个已经拥有网格的用户生成一个新网格。 任何现有网格
立即失效。 所有这些网格都将具有相同的尺寸。 如果
-格 给出标志，它被忽略。 默认情况下，会保留任何现有的 PIN。 老人
网格的启用/禁用状态被保留。 如果 针 标志被给出，一个新的 PIN 将
生成； 如果 -pin0 给出，但是，新网格将没有 PIN。

-rnd
保留以备将来使用。

-种子 STR
保留以备将来使用。

-serial
打印当前网格的序号。

-组
设置或替换网格 用户名.

-尺寸
根据命令行标志显示网格尺寸 -ncols 和 -n行.
暗示 -list.

-测试
发出网格和质询，从响应中提示，并验证响应。

-文本
发出一个漂亮的打印网格。

-证实 挑战 响应
验证 响应 驳 挑战.

-vfs vfs_uri
不使用项目类型 auth_grid 来指定要作用于哪些网格，而是使用 vfs_uri
（见 VFS[7] 配置指令）。

默认操作是显示当前网格。 除了错误消息，
打印到标准错误，所有输出都转到标准输出。

通常，一个 选择权 将被指定选择代表的司法管辖区
正在创建网格。

示例

这些示例假设要使用的司法管辖区名称是EXAMPLE，其域是
example.com。

要使用此身份验证方法， DACS 管理员将执行以下步骤：

· 在审查了该方法的运行方式后，决定网格将如何安全
分发给用户，选择网格参数，决定是否使用 PIN 以及
如何安全地分发它们，并确定刷新网格的时间表
（也许还有 PIN 码）。

· 决定网格的存储位置并将合适的 VFS 指令添加到 dacs.conf，
例如：

VFS "[auth_grid]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/grids"

· 生成密钥，决定它们的存储位置，并添加合适的 VFS 指令到
例如 dacs.conf（您的用户 ID、组 ID 和路径可能会有所不同）：

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj 示例 -q auth_grid_keys
% chgrp www auth_grid_keys
％chmod 0640 auth_grid_keys

VFS "[auth_grid_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_grid_keys"

· 在dacs.conf中配置合适的Auth子句，例如：


网址“https://example.com/cgi-bin/dacs/local_grid_authenticate”
STYLE“通行证”
控制“足够”


· 对于能够使用此方法进行身份验证的每个用户： a) 生成一个
必要尺寸的网格，带或不带 PIN（根据需要）； b) 获得
以最合适的格式将网格交给其所有者； c) 如果有 PIN，
获取 PIN 并将其提供给其所有者。

· 按计划刷新网格（以及可选的 PIN），并为用户提供
更换网格。

创建和显示网格（但不创建帐户）：

% dacsgrid -uj 示例

生成默认尺寸的网格并将其分配给用户名 bobo（替换任何
该用户的现有网格）：

% dacsgrid -uj 示例 -set bobo

要生成 6x6 网格并将其分配给用户名 bobo（替换任何现有网格）：

% dacsgrid -uj 示例 -nrows 6 -ncols 6 -set bobo

为用户名 bobo 检索和打印网格（作为 HTML）：

% dacsgrid -uj 示例 -get -html bobo

要显示用户名 bobo 的 PIN：

% dacsgrid -uj 示例 -pin bobo

如果此用户没有网格或网格没有，则退出状态将为非零
有一个密码。

要将当前的网格集复制到文件 /secure/grids：

% dacsgrid -uj 示例 -copy "dacs-kwv-fs:/secure/grids"

要刷新文件 /secure/grids 中的一组备用网格：

% dacsgrid -uj 示例 -copy "dacs-kwv-fs:/secure/grids"
% dacsgrid -uj 示例 -vfs "dacs-kwv-fs:/secure/grids" -refresh

生成用于网格身份验证的最小 HTML 登录页面的示例 shell 脚本
包含在发行版中。 它假定所有网格都是默认大小。

如果不同的用户可能有不同大小的网格，或者如果一个司法管辖区想要
显示用户网格的序列号作为一种权限认证形式，然后
登录程序必须先确定用户名，然后才能获得质询或序列号
数。

使用 onworks.net 服务在线使用 dacsgrid