linux查看智能卡命令,Linux PAM 模块建立“智能卡”登录(2)

最新推荐文章于 2024-01-29 11:37:48 发布
最新推荐文章于 2024-01-29 11:37:48 发布
阅读量398 收藏
点赞数
文章标签: linux查看智能卡命令

具体的用法、约定有很多,不在这里解释了,可以 man 一下相应的函数或者看看 pam

的文档。

总体设计

认证过程与标准的 UNIX 认证差不多,只不过密码是存储在卡上的随机数,不是通过键

盘输入的就是了。

首先是认证标记:

typedef struct {

int magic;      /* 这里是'CARD',用来确认是不是一个有效的标记 */

int magic1;     /* 这里也是'CARD',但是如果有 PIN 的话,这个标记会一起被

加密 */

int id;   /* 一个随机数,只是个记号 */

char token[56]; /* 56个字节的随机数,充当密码使用 */

} token;

如果设定了 PIN的话,magic1、id和token[56]这三个域都要使用AES 加密存储,密钥

就是 PIN的 MD5值。

magic1、id和token[56]这几个加起来正好是64 个字节,也就是 AES blocksize的4

倍,这样就可以不要 padding 了;同时也是 SHA512 的输出的大小(下文会说到)。magic1

用来判断解密是否正确,PIN 不正确的话这里就不会是'CARD'。即使使用错误的PIN解密出

来的 magic1是'CARD',也不会通过接下来的测试。

存储在电脑上的"shadow"文件保存在/etc/cards,对每一个用户只储存这些项:用户名,

对应的认证标记种的 id,认证标记的 hash。hash 的算法作者采用的是重复 20000 次的

SHA512,hash的内容就是上一段说的那64个字节,这样可以省去第一次的特殊处理。

因为 SIM 卡中每一条电话号码记录是28 字节,每一条短信记录是 176 字节,所以认证

标记只能放到短信文件里(下文会说到)。

代码编写,PAM部分

#include

#include

#include

#include

#define _ gettext

#define PAM_SM_AUTH /* 要求有 pam_sm_authenticate的定义 */

#include

#include

#include

#include "common.h" /* 各种辅助函数, 会有相应的解释 */

#include "card.h" /* 智能卡的读写函数 */

#include "settings.h"

#define msg_error(args...) \

if(!(flags & PAM_SILENT)) { \

pam_prompt(pamh, PAM_ERROR_MSG, NULL, args); \

}

#define msg_info(args...) \

if(!(flags & PAM_SILENT)) { \

pam_prompt(pamh, PAM_TEXT_INFO, NULL, args); \

}

PAM_EXTERN int pam_sm_authenticate(pam_handle_t *pamh, int flags, int argc,

const char **argv)

/*

这个就是认证的函数了,他的返回值决定了认证是成功还是失败

pamh: 应用程序由pam_start函数获得的句柄

flags: 标志位 具体请看PAM 的文档

argc/argv: 在配置文件中指定的参数

*/

{

int retval = PAM_AUTHINFO_UNAVAIL; /* 返回代码 */

token tok, *ptok; /* 认证标记 */

userinfo *uih = NULL, *u; /* 机器上存储的"shadow"文件 */

const char *desired_user = NULL, *rhost = NULL;

char hash[64];

setlocale(LC_ALL, ""); /* 这3 句是 L10N 相关的 */

bindtextdomain("pam_iccard", ".");

textdomain("pam_iccard");

parse_file("/etc/pam_iccard.conf", 0);

parse_args(argc, (char**)argv, 1);

if(on("silent")) {

flags |= PAM_SILENT;

}

if(PAM_SUCCESS == pam_get_item(pamh, PAM_RHOST, (const void **)&rhost)) {

if(rhost && strlen(rhost)) {

/* 不支持远程登录:

远程登录的时候(比如 ssh),认证的结果取决于那台机器上是否有智能

卡,这很显然不合理 */

msg_error(_("pam_iccard doesn't support remote login."));

retval = PAM_AUTH_ERR;

goto last;

炎火鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iso7816 linux driver,android – ISO 7816-4 APDU命令选择文件和写入...
weixin_29061425的博客
05-14 561
您的Android HCE模拟智能卡应用程序理解和处理的命令完全取决于您(只要它们被格式化为有效的ISO 7816-4 APDU).在您的情况下,您的Android HCE服务显然处理SELECT(通过DF名称)APDU,00 A4 04 00 07 F0010203040506 00并将此作为回应:48 65 6C 6C 6F 20 44 65 73 6B 74 6F 70 21 ("Hello...
linux查看智能卡命令,如何在Linux上使用Java访问智能卡
weixin_39710396的博客
04-29 238
我试图访问虚拟机上的Linux系统上的智能卡。 USB设备映射到虚拟机,并可通过lsusb(ID 076b:3021 OmniKey AG CardMan 3121)列出。我可以通过pkcs11-tool和pkcs15-tool访问智能卡。另外firefox可以通过/usr/lib/opensc-pkcs11.so库访问令牌。如何在Linux上使用Java访问智能卡?但是当我尝试从Java访问智能...
Linux 调试智能卡环境搭建(一)
阿乐的博客
12-06 1281
1、首先,你的读卡器需要支持PCSC应用接口编程,具体参见你的读卡器使用手册 2、然后按照以下放方法来配置环境,具体安装包下载网上搜索即可 Linux 平台下Libusb & ccid & pcsc-lite & OpenSC 通用安装步骤 3、安装通过之后就可以根据PCSC API来编程调用智能卡了,具体的PCSC API在pcsc-lite 安装包的自带测试程序中可以找到。请仔细阅读readme文件 4、一些实用命令 枚举当前PC中的读卡器 opensc-tool --li
智能卡
A_ChenMin的博客
06-27 437
Linux 平台下 Libusb & ccid & pcsc-lite & OpenSC 通用安装步骤 一、libusb 安装步骤: 1.下载安装包:   http://www.libusb.org/    2.解压安装包:   $ tar zxvf libusb-版本号.tar.gz    3.编译且安装:   $ cd libu
linux 认证 硬件,linux-使用硬件令牌登录
weixin_33334565的博客
05-13 301
我是密码学的新手,正在研究PKI和PKCS等.我了解PKI的基本概念以及如何将其用于加密/解密.但是我对如何使用诸如USB令牌或智能卡之类的硬件令牌来安全登录计算机感到困惑.以下是我理解的步骤以及我困惑的部分(对于问题的长度,我们深表歉意):方案:网络上的计算机xyz包含仅属于SECRET组的用户可以访问的数据.用户Bob和Joe属于该组,并且已获得USB令牌,可以使用它们来提供凭据,使他们能够访...
基于Linux智能卡登陆操作系统的实现方法.pdf
09-06
通过编写定制的PAM模块,可以将智能卡认证集成到Linux的GDM(Gnome Display Manager)中,实现智能卡自动登录操作系统。 配置GDM时,需要调整其配置文件以启用新的认证方法。一旦完成这些步骤,用户在登录时只需...
Linux平台下智能卡移除策略实现.pdf
09-06
同时,为了确保安全,守护进程需要与PAM模块集成,确保只有插入正确的智能卡才能解锁系统。 守护进程的设计应包括以下几个关键部分: 1. **智能卡状态监测**:使用内核驱动或者OpenSC等库来监控智能卡插拔事件。 2...
Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1
09-23
3. **配置**:编辑/etc/pam.d/下的配置文件,将PAM模块添加到相应服务的配置中。 4. **测试**:确保修改后的配置无误,可以通过测试工具或实际服务进行验证。 PAM的灵活性和可扩展性使其成为Linux系统安全的重要...
基于Linux智能卡身份认证系统设计与实现.pdf
09-06
总之,基于Linux智能卡身份认证系统通过结合PAM机制,实现了在电子商务环境下的高效安全验证。这种双因子认证不仅提升了安全性,也为未来网络应用的安全架构提供了有价值的参考。随着技术的不断进步,我们期待看到...
Linux-PAM模块实现用户登陆的控制.pdf
09-07
Linux-PAM 模块还提供了一些预定义的验证机制,如基于密码的验证机制、基于智能卡的验证机制等。 Linux-PAM 模块在身份验证中的应用非常广泛,例如在网络认证、远程访问、系统登录等场景中。 Linux-PAM 模块可以...
linux smart card驱动
qq_31050687的博客
06-15 949
sim属于smartcard的一个子类,smartcard包括信用卡、银行卡,sim卡等,其实就是一块IC芯片,继承的cpu、rom、ram等,麻雀虽小五脏俱全。 协议直接看ISO7816-3和ISO7816-4,网上都有。 SIM部分直接看SIM卡的技术规范《3GPP TS 11.11 v8.14.0(2007-06)》,里面有具体的SIM操作命令。 主要的几个APDU命令: SELECT :选择一个文件/目录。 GET RESPONSE:此功能返回与当前文件目录(根目录或应用目录)有关的信..
ic 卡获取帐号apdu指令_APDU命令来获取智能卡的序列号
weixin_39908948的博客
12-22 336
How can I get the serial number of a smart card using APDU command?I have tried to query it by using SCardGetAttrib function of winscard.dll with no luck, I've been told to use an APDU command to do t...
pam会话函数详解
求索
07-12 2457
会话函数也叫转换函数,是服务(如sshd,vsftpd)中的函数。Pam模块可以取到这个函数并且使用这个函数。         会话函数的作用就是处理与用户之间的会话。就是说,可以向用户、服务或设备显示消息,并从中收集输入内容。会话可采用多种形式,例如,文本终端设备中常见的”Login:”提示 此部分主要包括会话函数的注册、实现、获得、使用。其中注册、实现在服务(sshd服务)中完成。获得、使
Linux操作系统安全登陆设计与实现
热门推荐
一定要站在自己热爱的生活里闪闪发光
01-13 2万+
本实验使用了VMware来搭建虚拟化环境,在其之上,安装Ubuntu16.04LTS操作系统作为实验平台。 实验设计了一种Linux操作系统的动态登陆验证方式,在常规的密码验证之前先进行动态验证。实验使用向个人邮箱(QQ邮箱)发送实时验证码的方式,来实现动态验证。验证码由6至8位字符组成,字符均从数字、大小写字母、'$'、'@'中随机选取。如果连续3次错误输入验证码,系统会自动重发一个新的验证码到邮箱;验证码的有效时间为3分钟,若验证码超时失效,当用户输入失效验证码后,系统会自动重发新的验证码到邮箱。实.
PAM应用程序开发笔记记录(二)
I_am_Stars的博客
11-02 865
PAM应用程序开发笔记记录(二)一、PAM应用程序开发1.1 pam_start()函数1.2 pam_end()函数1.3 认证管理pam_authenticate()函数1.4 账户管理pam_acct_mgmt()函数1.5 会话管理pam_open_session()函数1.6 会话管理pam_close_session()函数1.7 密码管理pam_chauthtok()函数1.8 认证管理pam_setcred()函数二、PAM服务模块开发2.1 认证管理pam_sm_authenticate(
PAM从入门到精通(七)
phmatthaus的专栏
10-19 552
PAM从入门到精通(七)
记录SSH链接创建过程,Server端日志
最新发布
fhl13017599952的专栏
01-29 966
Ubuntu SSH链接过程
PAM入门介绍
cksrs1010的博客
03-07 452
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给...
PAM(4)
Micheal
03-22 1029
有了前面的知识,今天将和大家一起写一个简单的PAM模块 好了废话不说了直接写吧(文件为 pam_test.c) [cpp] view plain copy #define PAM_SM_AUTH   #include    #include    #include    #include    #include       #defi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值