網(wǎng)絡(luò)管理與安全技術(shù)課件

網(wǎng)絡(luò)管理與安全技術(shù)1x2020-8-12網(wǎng)絡(luò)管理與安全技術(shù)1x2020-8-12第6章網(wǎng)絡(luò)安全技術(shù)6.1安全通信協(xié)議6.2加密技術(shù)6.3認(rèn)證機(jī)制6.4VPN技術(shù)6.5

網(wǎng)絡(luò)病毒防治技術(shù)2x2020-8-12第6章網(wǎng)絡(luò)安全技術(shù)6.1安全通信協(xié)議2x2020-8-12第6章安全通信協(xié)議6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSecIPSec—IPSecurity6.1.1IPSec的作用

IPSec通過在IP層對所有業(yè)務(wù)流加密和認(rèn)證，保證了所有分布式應(yīng)用程序的安全性。企業(yè)可在公網(wǎng)上建立自己的虛擬專用網(wǎng)。配有IPSec系統(tǒng)的用戶，通過ISP獲取安全訪問。IPSec既可用于建立內(nèi)部網(wǎng)安全連接也可用于外部網(wǎng)的安全連接。IPSec可增加已有的安全協(xié)議的安全性。3x2020-8-12第6章安全通信協(xié)議6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSec3x

IPSec應(yīng)用示例

用戶系統(tǒng)---IPSec---WAN----IPSec---網(wǎng)絡(luò)設(shè)備----IP--LANIP報頭IPSec報頭安全I(xiàn)P負(fù)載IP報頭IPSec報頭安全I(xiàn)P負(fù)載IP報頭IP負(fù)載具有IPSec的用戶系統(tǒng)具有IPSec的網(wǎng)絡(luò)設(shè)備IP報頭IP負(fù)載4x2020-8-12IPSec應(yīng)用示例

用戶系統(tǒng)---IPSec---WANIPSec具有以下意義：IPSec用于防火墻和路由器等網(wǎng)絡(luò)設(shè)備中，以提供安全的業(yè)務(wù)流，而在LAN內(nèi)則可以不必進(jìn)行安全性處理。IPSec用于防火墻可防止用IP的業(yè)務(wù)流繞過防火墻。IPSec位于網(wǎng)絡(luò)層，對于應(yīng)用程序來說是透明的。無需修改用戶或服務(wù)器所使用的軟件。6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSec5x2020-8-12IPSec具有以下意義：6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSeIP層的安全問題涉及了認(rèn)證、保密和密鑰管理三個領(lǐng)域。其安全性應(yīng)達(dá)到：期望安全的用戶能夠使用基于密碼學(xué)的安全機(jī)制；應(yīng)能同時適用于IPv4和IPv6;

算法獨(dú)立；有利于實(shí)現(xiàn)不同安全策略；對沒有采用該機(jī)制的用戶不會有負(fù)面影響。6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSec

6x2020-8-12IP層的安全問題涉及了認(rèn)證、保密和密鑰管理三個領(lǐng)域。其安全性6.1.2IPSec體系結(jié)構(gòu)

IPSec在IP層提供安全業(yè)務(wù)的方式是讓系統(tǒng)選擇所要求的安全協(xié)議、算法和密鑰。安全協(xié)議有：認(rèn)證報頭AH（AuthenticationHeader),即認(rèn)證協(xié)議。封裝的安全負(fù)載ESP（EncapsulatingSecurityPayload),即加密與認(rèn)證協(xié)議。

ESP又分為僅加密和加密與認(rèn)證結(jié)合兩種情況。

7x2020-8-126.1.2IPSec體系結(jié)構(gòu)IPSec在IP層提供安全業(yè)6.1.2IPSec體系結(jié)構(gòu)

體系封裝安全負(fù)載ESP驗(yàn)證頭AH驗(yàn)證算法加密算法解釋域DOI密鑰管理策略8x2020-8-126.1.2IPSec體系結(jié)構(gòu)體系封裝安全負(fù)載ESP驗(yàn)證頭體系：定義IPSec技術(shù)的機(jī)制；ESP：用其進(jìn)行包加密的報文格式和一般性問題；AH：用其進(jìn)行包認(rèn)證的報文包格式和一般性問題加密算法：描述將各種不同加密算法用于ESP的文檔；認(rèn)證算法：描述將各種不同加密算法用于AH以及ESP認(rèn)證選項(xiàng)的文檔；密鑰管理：描述密鑰管理模式DOI：其他相關(guān)文檔，如加密和認(rèn)證算法標(biāo)識及運(yùn)行參數(shù)等。IPSec體系結(jié)構(gòu)中涉及的主要概念有：安全關(guān)聯(lián)、模式、AH、ESP6.1.2IPSec體系結(jié)構(gòu)9x2020-8-12體系：定義IPSec技術(shù)的機(jī)制；6.1.2IPSec體系結(jié)1.安全關(guān)聯(lián)（SecurityAssociations）

SA是IP認(rèn)證和保密機(jī)制中最關(guān)鍵的概念。一個關(guān)聯(lián)就是發(fā)送與接收者之間的一個單向關(guān)系。如果需要一個對等關(guān)系，即雙向安全交換，則需要兩個SA。SA提供安全服務(wù)的方式是使用AH或ESP之一。一個SA可由三個參數(shù)惟一地表示

<安全參數(shù)索引，目標(biāo)IP地址，安全協(xié)議標(biāo)識符>

10x2020-8-121.安全關(guān)聯(lián)（SecurityAssociations）1.安全關(guān)聯(lián)（SecurityAssociations）IPSec的實(shí)現(xiàn)還需要維護(hù)兩個數(shù)據(jù)庫：安全關(guān)聯(lián)數(shù)據(jù)庫SAD

安全策略數(shù)據(jù)庫SPD通信雙方如果要用IPSec建立一條安全的傳輸通路，需要事先協(xié)商好將要采用的安全策略，包括使用的算法、密鑰及密鑰的生存期等。SA就是能在其協(xié)商的基礎(chǔ)上為數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接。（可以是AH或ESP）SA的組合方式有：傳輸模式和隧道模式11x2020-8-121.安全關(guān)聯(lián)（SecurityAssociations）I2.AH和ESP的兩種使用模式傳輸模式傳輸模式主要用于對上層協(xié)議的保護(hù)，如TCP、UDP和ICMP數(shù)據(jù)段的保護(hù)。以傳輸模式運(yùn)行的ESP協(xié)議對IP報頭之后的數(shù)據(jù)（負(fù)載）進(jìn)行加密和認(rèn)證，但不對IP報頭進(jìn)行加密和認(rèn)證。以傳輸模式運(yùn)行的AH協(xié)議對負(fù)載及報頭中選擇的一部分進(jìn)行認(rèn)證。

原IP報頭TCP數(shù)據(jù)ESP報尾ESP認(rèn)證數(shù)據(jù)ESP報頭加密的認(rèn)證的12x2020-8-122.AH和ESP的兩種使用模式傳輸模式原IP報頭TCP數(shù)據(jù)2.AH和ESP的兩種使用模式隧道模式隧道模式用于對整個IP數(shù)據(jù)報的保護(hù)，即給原數(shù)據(jù)報加一個新的報頭（網(wǎng)關(guān)地址）。原數(shù)據(jù)報就成為新數(shù)據(jù)報的負(fù)載。原數(shù)據(jù)報在整個傳送過程中就象在隧道中一樣，傳送路徑上的路由器都有無法看到原數(shù)據(jù)報的報頭。由于封裝了原數(shù)據(jù)報，新數(shù)據(jù)報的源地址和目標(biāo)地址都與原數(shù)據(jù)報不同，從而增加了安全性。新IP報頭原IP報頭數(shù)據(jù)ESP報尾ESP認(rèn)證數(shù)據(jù)ESP報頭加密的認(rèn)證的13x2020-8-122.AH和ESP的兩種使用模式隧道模式新IP報頭原IP報頭6.1.3IPSec服務(wù)與應(yīng)用1.SA的組合方式一個SA能夠?qū)崿F(xiàn)AH協(xié)議或ESP協(xié)議，但卻不能同時實(shí)現(xiàn)這兩種協(xié)議。當(dāng)要求在主機(jī)間和網(wǎng)關(guān)間都實(shí)現(xiàn)IPSec業(yè)務(wù)時，就要求建立多個SA，即采用SA組合方式。14x2020-8-126.1.3IPSec服務(wù)與應(yīng)用1.SA的組合方式LAN實(shí)現(xiàn)IPSec安全網(wǎng)關(guān)安全網(wǎng)關(guān)隧道SA一個或兩個SASA的組合方式LAN15x2020-8-12LAN實(shí)現(xiàn)IPSec安全網(wǎng)關(guān)安全網(wǎng)關(guān)隧道SA一個或兩個SASSA的組合方式SA的基本組合有四種方式每個SA所承載的通信服務(wù)或?yàn)锳H或?yàn)镋SP對主機(jī)到主機(jī)的SA，AH或ESP的使用模式可以是傳輸模式也可以是隧道模式。如果SA的兩個端點(diǎn)中至少有一個安全網(wǎng)關(guān)，則AH或ESP的使用模式必須是隧道模式。16x2020-8-12SA的組合方式SA的基本組合有四種方式16x2020-8-16.1.4傳輸層安全協(xié)議SSL6.1.4SSL協(xié)議概述安全套接層協(xié)議SSL是在Internet上提供一種保證私密性的安全協(xié)議。

C/S通信中，可始終對服務(wù)器和客戶進(jìn)行認(rèn)證。

SSL協(xié)議要求建立在可靠的TCP之上，高層的應(yīng)用協(xié)議能透明地建立在SSL之上。

SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。17x2020-8-126.1.4傳輸層安全協(xié)議SSL6.1.4SS6.1.4Web安全性方法保護(hù)Web安全性的方法有多種，這些方法所提供的安全業(yè)務(wù)和使用機(jī)制都彼此類似，所不同之處在于它們各自的應(yīng)用范圍和在TCP/IP協(xié)議棧中的相對位置。

HTTPFTPSMTPTCPIP/IPSec網(wǎng)絡(luò)層應(yīng)用層HTTPFTPSMTPTCPIPSSLorTLS傳輸層PGPSETTCPIPSMTPUDPKerberosHTTPS/MIME18x2020-8-126.1.4Web安全性方法保護(hù)Web安全性的方法有多種，6.1.4Web安全性方法網(wǎng)絡(luò)層安全實(shí)現(xiàn) 利用IPSec提供Web的安全性，其優(yōu)點(diǎn)是對終端用戶和應(yīng)用程序是透明的，且為Web安全提供一般目的的解決方法。傳輸層安全實(shí)現(xiàn)將SSL或TLS作為TCP基本協(xié)議組的一部分，因此對應(yīng)用程序來說是透明的。還可將SSL嵌套在特定的數(shù)據(jù)包中（如IE等大多數(shù)Web服務(wù)器都裝有SSL）。應(yīng)用層安全實(shí)現(xiàn)對特定應(yīng)用程序來說，其安全業(yè)務(wù)可在應(yīng)用程序內(nèi)部實(shí)現(xiàn)，這種方法的優(yōu)點(diǎn)是安全業(yè)務(wù)可按應(yīng)用程序的特定需要來定制。19x2020-8-126.1.4Web安全性方法網(wǎng)絡(luò)層安全實(shí)現(xiàn)19x2020-6.1.5協(xié)議規(guī)范安全套接字層SSL是由Netscape設(shè)計(jì)的，目前有SSLv3。

SSL協(xié)議主要由SSL記錄協(xié)議和SSL握手協(xié)議兩部分組成。其結(jié)構(gòu)如下：HTTPSSL更改密碼說明協(xié)議SSL握手協(xié)議TCPIPSSL記錄協(xié)議SSL協(xié)議棧SSL警示協(xié)議20x2020-8-126.1.5協(xié)議規(guī)范安全套接字層SSL是由Netsca6.1.5協(xié)議規(guī)范1.SSL記錄協(xié)議

SSL記錄協(xié)議可為SSL連接提供保密性業(yè)務(wù)和消息完整性業(yè)務(wù)。保密性業(yè)務(wù)是通信雙方通過握手協(xié)議建立一個共享的密鑰，用于對SSL負(fù)載的單鑰加密。消息完整性業(yè)務(wù)是通過握手協(xié)議建立一個用于計(jì)算MAC（消息完整性認(rèn)證）的共享密鑰。21x2020-8-126.1.5協(xié)議規(guī)范1.SSL記錄協(xié)議21x2020-8-16.1.5協(xié)議規(guī)范SSL握手協(xié)議握手協(xié)議用于服務(wù)器和客戶機(jī)之間的相互認(rèn)證及協(xié)商加密算法、MAC算法和密鑰，它的執(zhí)行是在發(fā)送應(yīng)用數(shù)據(jù)以前。22x2020-8-126.1.5協(xié)議規(guī)范SSL握手協(xié)議22x2020-8-126.2加密技術(shù)

6.2.1對稱加密在對稱加密方法中，用于加密和解密的密鑰是相同的，接收者和發(fā)送者使用相同的密鑰，即一個秘密密鑰。雙方必須小心翼翼地保護(hù)密鑰，不讓外人得知。密鑰的最初傳輸是非常重要的。如果密鑰被他人截獲，那么保密的信息就不再受到保護(hù)了。23x2020-8-126.2加密技術(shù)6.2.1對稱加密23x2020-86.2.1對稱加密

對稱加密示意圖

24x2020-8-126.2.1對稱加密對稱加密示意圖24x2020-8-126.2.1對稱加密對稱算法

產(chǎn)生一個對稱密鑰可以用許多算法，RSA算法是最常用的商業(yè)算法。既能用于數(shù)據(jù)加密又能用于數(shù)字簽名的算法。

在商業(yè)應(yīng)用程序中RSA算法中的RC2和RC4是最常用的對稱密鑰算法。其密鑰長度為40位。

RC2是由RonRivest開發(fā)的，是一種塊模式的密文，即將信息加密成64位的數(shù)據(jù)。RC4是由Rivest在1987年開發(fā)的，是一種流式的密文，即實(shí)時的把信息加密成一個整體，密鑰的長度也是可變的。在美國密鑰長度是128位，向外出口時密鑰長度限制到40位，LotusNotes,OracleSecureSQL都使用RC4的算法。25x2020-8-126.2.1對稱加密對稱算法25x2020-8-126.2.1對稱加密優(yōu)點(diǎn)和缺點(diǎn)對稱加密的優(yōu)點(diǎn)在于它的高速度和高強(qiáng)度。用該加密方法可以一秒鐘之內(nèi)加密大量的信息。為了使信息在網(wǎng)絡(luò)上傳輸，用戶必須找到一個安全傳遞口令密鑰的方法。如用戶可以直接見面轉(zhuǎn)交密鑰，若使用電子郵件則容易被竊取，影響保密的效果。定期改變密鑰可改進(jìn)對稱密鑰加密方法的安全性，但是改變密碼并及時通知其他用戶的過程是相當(dāng)困難的。而且攻擊者還可以通過字典程序來破譯對稱密鑰。26x2020-8-126.2.1對稱加密優(yōu)點(diǎn)和缺點(diǎn)26x2020-8-126.2.1對稱加密數(shù)據(jù)加密標(biāo)準(zhǔn)DES--最著名的對稱加密技術(shù)，是IBM于70年代為國家標(biāo)準(zhǔn)局研制的數(shù)據(jù)加密標(biāo)準(zhǔn)。DES采用64位長的密鑰（包括8個校驗(yàn)位，密鑰長度為56位），能將原文的若干個64位塊變換成加密的若干個64位代碼塊。其原理是將原文經(jīng)過一系列的排列與置換所產(chǎn)生的結(jié)果再于原文異或合并。該加密過程重復(fù)16次，每次所用的密鑰位排列不同。即使按照目前的標(biāo)準(zhǔn)，采用該方法的加密結(jié)果也是相當(dāng)安全。27x2020-8-126.2.1對稱加密數(shù)據(jù)加密標(biāo)準(zhǔn)27x2020-8-126.2.1對稱加密美國在1998年12月決定將不再使用DES。原因?yàn)?998年5月美國EFF（ElectronicsFrontierFoundation）宣布，他們的一臺專用解密機(jī)，用56小時破譯了56位密鑰的DES。美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會又制定了AES（AdvancedEncryptionStandard）這一新的加密標(biāo)準(zhǔn)。DES對于推動密碼理論的發(fā)展和應(yīng)用起了重大的作用。

28x2020-8-126.2.1對稱加密美國在1998年12月決定將不再使用DES6.2.2非對稱加密

非對稱密鑰加密在加密的過程中使用相互關(guān)聯(lián)的一對密鑰，一個歸發(fā)送者，一個歸接收者。密鑰對中的一個必須保持秘密狀態(tài)，稱為私鑰；另一個則被廣泛發(fā)布，稱為公鑰。這一組密鑰中的一個用于加密，另一個用于解密。

29x2020-8-126.2.2非對稱加密非對稱密鑰加密在加密的過程中使用相互6.2.2非對稱加密非對稱加密示意圖

非對稱加密示意圖30x2020-8-126.2.2非對稱加密非對稱加密示意圖非對稱加密示意圖306.2.2非對稱加密例如，用戶A要向用戶B發(fā)送一條消息，A就必須用B的公鑰對信息進(jìn)行加密，然后再發(fā)送。B接收到經(jīng)過加密的消息之后，用其自己的私鑰加以解密獲取原始信息。在傳輸?shù)倪^程中，任何想竊取信息的人因?yàn)闆]有B的私鑰而無法獲取信息。盡管公鑰和私鑰是相關(guān)的，但要想從公鑰確定私鑰還是極端困難的。31x2020-8-126.2.2非對稱加密例如，用戶A要向用戶B發(fā)送一條消息，A就6.2.2非對稱加密優(yōu)點(diǎn)：由于公鑰是公開的，而私鑰則由用戶自己保存，所以對于非對稱密鑰來說，其密鑰管理相對比較簡單。缺點(diǎn)：因?yàn)閺?fù)雜的加密算法，使得非對稱密鑰加密速度較慢，即使一個很簡單的非對稱加密也是很費(fèi)時間的。

32x2020-8-126.2.2非對稱加密優(yōu)點(diǎn)：由于公鑰是公開的，而私鑰則由用戶自6.2.3單向加密（Hashencryption）單向加密包括一個含有哈希函數(shù)的哈希表，由這個表確定用來加密的十六位進(jìn)制數(shù)。使用單向加密對信息加密，在理論上加以解密是不可能的。HASH加密用于不想對信息解讀或讀取而只需證實(shí)信息的正確性。這種加密方式適用于簽名文件。

33x2020-8-126.2.3單向加密（Hashencryption）單向6.2.3單向加密（Hashencryption）例如，ATM自動取款機(jī)不需要解密用戶的身份證號碼，可以對用戶的身份證號碼進(jìn)行計(jì)算產(chǎn)生一個結(jié)果。即磁條卡將用戶的身份證號單向加密成一段HASH值，一旦插卡，ATM機(jī)將計(jì)算用戶信息的HASH值并產(chǎn)生一個結(jié)果，然后再將其結(jié)果與用戶卡上的HASH值比較，以此進(jìn)行認(rèn)證。34x2020-8-126.2.3單向加密（Hashencryption）例如，A6.2.3單向加密（Hashencryption）HASH算法

HASH加密使用復(fù)雜的數(shù)字算法來實(shí)現(xiàn)有效的加密。典型HASH算法——MD5算法

MD5提供了一種單向的哈希函數(shù)，是一個校驗(yàn)和工具。它將一個任意長的字串做為輸入，產(chǎn)生一個128位的“報文摘要”。通過計(jì)算每個文件的數(shù)字指紋（或數(shù)字簽名），來檢查文件是否被更換，或者是否與原來的一致。一個稱為MD系列的算法集就是進(jìn)行這項(xiàng)工作的。其中最常用到的是MD5的系統(tǒng)。35x2020-8-126.2.3單向加密（Hashencryption）HASH6.2.3單向加密（Hashencryption）數(shù)字簽名在商業(yè)系統(tǒng)中，通常都利用書面文件來規(guī)定契約性的責(zé)任。鑒別技術(shù)可以有效地防止第三者的介入，但卻不能防止接收者的偽造。另一方面，當(dāng)發(fā)送的信息變得對其不利時，發(fā)送方就可能謊稱從未發(fā)過這個信息。在整個爭執(zhí)過程中，第三方也無法分辨情況的真實(shí)性。36x2020-8-126.2.3單向加密（Hashencryption）數(shù)字簽名6.2.3單向加密（Hashencryption）

為了解決上述問題，就必須利用另外一種安全技術(shù)即數(shù)字簽名。數(shù)字簽名的功能:l

接收者能夠核實(shí)發(fā)送者對報文的簽名。l

發(fā)送者事后不能抵賴對報文的簽名。l

任何人不能偽造對報文的簽名。l

保證數(shù)據(jù)的完整性，防止截獲者在文件中加入其他信息。l

對數(shù)據(jù)和信息的來源進(jìn)行保證，以保證發(fā)件人的身份。數(shù)字簽名有一定的處理速度，能夠滿足所有的應(yīng)用需求。37x2020-8-126.2.3單向加密（Hashencryption）為了6.2.4實(shí)用加密舉例實(shí)用加密為確保信息在網(wǎng)上長距離的安全傳輸。通常將對稱、非對稱和HASH加密綜合使用。一些像IIS,PGP,SSL,S-MIME的應(yīng)用程序都是用對稱密鑰對原始信息加密，再用非對稱密鑰加密所使用的對稱密鑰，最后用一個隨機(jī)碼標(biāo)記信息確保不被篡改。例如：發(fā)送和接收E-mail中加密的實(shí)現(xiàn)全部過程38x2020-8-126.2.4實(shí)用加密舉例實(shí)用加密38x2020-8-1239x2020-8-1239x2020-8-126.2.4實(shí)用加密舉例1）發(fā)送方和接收方在發(fā)送信息之前要得到對方的公鑰。2）發(fā)送方產(chǎn)生一個隨機(jī)的會話密鑰，用于加密email信息和附件的。這個密鑰是根據(jù)時間的不同以及文件的大小和日期而隨機(jī)產(chǎn)生的。算法通過使用DES,TripleDES,RC5等等。

3）發(fā)送者將該會話密鑰和信息進(jìn)行一次單向加密得到一個HASH值。這個值用來保證數(shù)據(jù)的完整性因?yàn)樗趥鬏數(shù)倪^程中不會被改變。在這一步通常使用MD2,MD4,MD5或SHA1。MD5用于SSL。

4）發(fā)送者用自己的私鑰對這個HASH值加密。通過使用發(fā)送者的私鑰加密，接收者可以確定信息確實(shí)是從這個發(fā)送者發(fā)過來的。加密后的HASH值稱做信息摘要。40x2020-8-126.2.4實(shí)用加密舉例1）發(fā)送方和接收方在發(fā)送信息之前要得到6.2.4實(shí)用加密舉例5）發(fā)送者用在第二步產(chǎn)生的會話密鑰對E-mail信息和所有的附件加密。這種加密提供了數(shù)據(jù)的保密性。

6）發(fā)送者用接收者的公鑰對這個會話密鑰加密，來確保信息只能被接收者用其自己的私鑰解密。這步提供了認(rèn)證。

7）然后將加密后的信息和數(shù)字摘要發(fā)送給接收方。解密的過程正好以相反的順序執(zhí)行。41x2020-8-126.2.4實(shí)用加密舉例5）發(fā)送者用在第二步產(chǎn)生的會42x2020-8-1242x2020-8-126.2.5加密技術(shù)的實(shí)現(xiàn)1.PGP(PrettyGoodPrivacy)PGP是對電子郵件和文本文件較流行的高技術(shù)加密程序，PGP的成功在于采用對稱加密和非對稱加密技術(shù)以及HASH加密各自的優(yōu)點(diǎn)。2.SecureMIME(S-MIME)S-MIME為一個公共的工業(yè)標(biāo)準(zhǔn)方法，主要應(yīng)用到NetscapeCommunicator’sMessengerE-mail程序上。43x2020-8-126.2.5加密技術(shù)的實(shí)現(xiàn)1.PGP(PrettyG6.2.5加密技術(shù)的實(shí)現(xiàn)3.加密文件除了加密E-mail信息，還可以加密整個硬盤的任何部分，建立隱藏加密的驅(qū)動器。對于Windows平臺可選BestCrypt()。4.MD5sumMD5sum可以應(yīng)用到WindowsNT或Liunx上。Linux系統(tǒng)下的md5sum實(shí)用程序可對一個單獨(dú)的文件建立固定長度的校驗(yàn)和，該文件長度可以任意，但校驗(yàn)和總是保持128位的長度。用于檢查一個文檔是否被損害。44x2020-8-126.2.5加密技術(shù)的實(shí)現(xiàn)3.加密文件44x2020-86.2.5加密技術(shù)的實(shí)現(xiàn)5.Web服務(wù)器加密加密WEB服務(wù)器有兩種模式：安全超文本傳輸協(xié)議（SecureHTTP）安全套接字層（SSL）。這兩種協(xié)議都允許自發(fā)的進(jìn)行商業(yè)交易，SecureHTTP和SSL都使用對稱加密，非對稱加密和單向加密，并使用單向加密的方法對所有的數(shù)據(jù)包簽名。

45x2020-8-126.2.5加密技術(shù)的實(shí)現(xiàn)5.Web服務(wù)器加密45x206.2.5加密技術(shù)的實(shí)現(xiàn)SecureHTTP使用非對稱加密保護(hù)在線傳輸，大多數(shù)瀏覽器都支持這個協(xié)議。SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù)。SSL允許兩個應(yīng)用程序通過使用數(shù)字證書認(rèn)證后在網(wǎng)絡(luò)中進(jìn)行通信。還使用加密及信息摘要來保證數(shù)據(jù)的可靠性。SSL比其它方法更加安全，其加密的過程是發(fā)生在網(wǎng)絡(luò)的較低層。SecureHTTP只能加密HTTP流量。46x2020-8-126.2.5加密技術(shù)的實(shí)現(xiàn)SecureHTTP使用非對稱加6.2.6密碼破譯方法

1．密鑰的窮盡搜索破譯密文就是嘗試所有可能的密鑰組合。雖然大多數(shù)的密鑰嘗試都是失敗的，但最終有一個密鑰讓破譯者得到原文，這個過程稱為密鑰的窮盡搜索。2．密碼分析（1）已知明文的破譯方法（2）選定明文的破譯方法47x2020-8-126.2.6密碼破譯方法 1．密鑰的窮盡搜索47x2020-3．其他密碼破譯方法“窺視”或“偷竊”密鑰內(nèi)容；利用加密系統(tǒng)實(shí)現(xiàn)中的缺陷或漏洞；對用戶使用的加密系統(tǒng)偷梁換柱；從用戶工作生活環(huán)境的其他來源獲得未加密的保密信息；讓口令的另一方透露密鑰或信息；威脅用戶交出密鑰等等。

6.2.6

密碼破譯方法

48x2020-8-123．其他密碼破譯方法6.2.6密碼破譯方法 48x2024．防止密碼破譯的措施（1）強(qiáng)壯的加密算法（2）動態(tài)會話密鑰（3）保護(hù)關(guān)鍵密鑰6.2.6

密碼破譯方法

49x2020-8-124．防止密碼破譯的措施6.2.6密碼破譯方法 49x20常見系統(tǒng)的口令及其對應(yīng)的密鑰長度6.2.6

密碼破譯方法

50x2020-8-12常見系統(tǒng)的口令及其對應(yīng)的密鑰長度6.2.6密碼破譯方法6.3系統(tǒng)訪問控制與認(rèn)證機(jī)制 6.3.1系統(tǒng)登陸1．Unix系統(tǒng)登陸

Unix系統(tǒng)是一個可供多個用戶同時使用的多用戶、多任務(wù)、分時的操作系統(tǒng)，任何一個想使用Unix系統(tǒng)的用戶，必須先向該系統(tǒng)的管理員申請一個賬號，然后才能使用該系統(tǒng)，因此賬號就成為用戶進(jìn)入系統(tǒng)的合法“身份證”。51x2020-8-126.3系統(tǒng)訪問控制與認(rèn)證機(jī)制 6.3.1系統(tǒng)登陸51x 6.3.1系統(tǒng)登陸2．Unix賬號文件

Unix賬號文件/etc/passwd是登錄驗(yàn)證的關(guān)鍵，該文件包含所有用戶的信息，如用戶的登錄名、口令和用戶標(biāo)識號等等信息。該文件的擁有者是超級用戶，只有超級用戶才有寫的權(quán)力，而一般用戶只有讀取的權(quán)力。52x2020-8-12 6.3.1系統(tǒng)登陸2．Unix賬號文件52x2020 6.3.1系統(tǒng)登陸3.WindowsNT/2000系統(tǒng)登錄

WindowsNT要求每一個用戶提供唯一的用戶名和口令來登錄到計(jì)算機(jī)上，這種強(qiáng)制性登錄過程不能關(guān)閉。 成功的登錄過程有4個步驟：（1）Win32的WinLogon進(jìn)程給出一個對話框，要求要有一個用戶名和口令，這個信息被傳遞給安全性賬戶管理程序。（2）安全性賬戶管理程序查詢安全性賬戶數(shù)據(jù)庫，以確定指定的用戶名和口令是否屬于授權(quán)的系統(tǒng)用戶。（3）如果訪問是授權(quán)的，安全性系統(tǒng)構(gòu)造一個存取令牌，并將它傳回到Win32的WinLogin進(jìn)程。（4）WinLogin調(diào)用Win32子系統(tǒng)，為用戶創(chuàng)建一個新的進(jìn)程，傳遞存取令牌給子系統(tǒng)，Win32對新創(chuàng)建的進(jìn)程連接此令牌。53x2020-8-12 6.3.1系統(tǒng)登陸3.WindowsNT/2000 6.3.1系統(tǒng)登陸4.賬戶鎖定 為了防止有人企圖強(qiáng)行闖入系統(tǒng)中，用戶可以設(shè)定最大登錄次數(shù)，如果用戶在規(guī)定次數(shù)內(nèi)未成功登錄，則系統(tǒng)會自動被鎖定，不可能再用于登錄。

5.Windows安全性標(biāo)識符（SID） 在安全系統(tǒng)上標(biāo)識一個注冊用戶的唯一名字，它可以用來標(biāo)識一個用戶或一組用戶。54x2020-8-12 6.3.1系統(tǒng)登陸4.賬戶鎖定54x2020-8-1修改鎖定時間為055x2020-8-12修改鎖定時間為055x2020-8-12修改閥值為356x2020-8-12修改閥值為356x2020-8-126.3認(rèn)證機(jī)制身份認(rèn)證（IdentificationandAuthentication）定義為：為了使某些授予許可權(quán)限的權(quán)威機(jī)構(gòu)滿意，而提供所要求的用戶身份驗(yàn)證的過程。6.3.1認(rèn)證方法用戶或系統(tǒng)能夠通過四種方法來證明其身份：實(shí)物認(rèn)證密碼認(rèn)證生物特征認(rèn)證位置認(rèn)證

57x2020-8-126.3認(rèn)證機(jī)制身份認(rèn)證（Identificationa6.3.1認(rèn)證方法實(shí)物認(rèn)證：智能卡（SmartCard）就是一種根據(jù)用戶擁有的物品進(jìn)行鑒別的手段。自動取款機(jī)ATM。密碼認(rèn)證：口令可以說是其中的一種，但口令容易被偷竊，于是人們發(fā)明了一種一次性口令機(jī)制。58x2020-8-126.3.1認(rèn)證方法實(shí)物認(rèn)證：智能卡（SmartCard6.3.1認(rèn)證方法生物特征認(rèn)證指紋：唯一地識別一個人手印：讀取整個手而不是僅僅手指的特征。聲音圖像：每個人各不相同筆跡或簽名：字母和符號的組合、簽名時某些部分用力的大小、筆接觸紙的時間的長短、筆移動中的停頓等細(xì)微的差別。視網(wǎng)膜掃描：是用紅外線檢查人眼各不相同的血管圖像。59x2020-8-126.3.1認(rèn)證方法生物特征認(rèn)證59x2020-8-126.3.1認(rèn)證方法

位置認(rèn)證該認(rèn)證的策略是根據(jù)用戶的位置來決定其身份。比如UNIX的rlogin和rsh程序通過源IP地址來驗(yàn)證一個用戶、主機(jī)或執(zhí)行過程。60x2020-8-126.3.1認(rèn)證方法位置認(rèn)證60x2020-8-126.3.1認(rèn)證方法3、口令維護(hù)問題 （1）不要幾個人共享一個口令，不要把它記在本子上或計(jì)算機(jī)周圍。（2）不要用系統(tǒng)指定的口令，如root、demo和test等，第一次進(jìn)入系統(tǒng)就要修改口令，不要沿用系統(tǒng)給用戶的缺省口令。（3）最好將口令加密處理后再用電子郵件傳送，一般不用電子郵件傳送。61x2020-8-126.3.1認(rèn)證方法3、口令維護(hù)問題 61x2020（4）如果賬戶長期不用，管理員應(yīng)將其暫停。如果雇員離開公司，則管理員應(yīng)及時把他的賬戶消除，（5）可以限制用戶的登錄時間，如只有在工作時間可登錄。（6）限制登錄次數(shù)。防止對賬戶多次嘗試口令而闖入系統(tǒng)。（7）最后一次登錄，該方法報告最后一次系統(tǒng)登錄的時間、日期，以及在最后一次登錄后發(fā)生過多少次未成功的登錄企圖。這樣可以提供線索了解是否有人非法訪問。62x2020-8-12（4）如果賬戶長期不用，管理員應(yīng)將其暫停。如果雇員離開公司，（8）去掉TFTP服務(wù)，因通過使用TFTP（TrivialFileTransferProtocol）可獲取口令文件（/etc/passwd）。（9）定期地查看日志文件，尤其是登錄末成功的消息日志文件。（10）確保除了root之外沒有任何公共的用戶賬號。不創(chuàng)建guest賬號。63x2020-8-12（8）去掉TFTP服務(wù)，因通過使用TFTP（Trivial6.3.2認(rèn)證類型認(rèn)證服務(wù)器所授權(quán)認(rèn)證的數(shù)字證書類型有以下幾種：

CA證書：CA證書是簽發(fā)并管理正式使用公用密鑰與用戶相關(guān)的證書。該證書只在某一時間內(nèi)有效，因而CA保存一份有效證書及其有效期清單。服務(wù)器證書：是運(yùn)行在Web服務(wù)器上，并且保證服務(wù)器和瀏覽器間的加密的SSL會話個人證書：給用戶授權(quán)的證書，運(yùn)行S/MIME、SSL以及SET。軟件出版商認(rèn)證：允許applets或ActiveX控件的開發(fā)者公開他們的身份。64x2020-8-126.3.2認(rèn)證類型64x2020-8-126.3.3實(shí)用認(rèn)證技術(shù)從上面的認(rèn)證方法中，可以看到使用單獨(dú)的某一種認(rèn)證機(jī)制的安全性是有限的。Kerberos和一次性密碼是用于加強(qiáng)認(rèn)證系統(tǒng)的兩項(xiàng)技術(shù)。其結(jié)合使用加密技術(shù)和其它策略來檢查身份，有效地防止了一些惡意破壞。其認(rèn)證手段得到廣泛應(yīng)用。

65x2020-8-126.3.3實(shí)用認(rèn)證技術(shù)從上面的認(rèn)證方法中，可以看到使用單獨(dú)6.3.3實(shí)用認(rèn)證技術(shù)Kerberos認(rèn)證系統(tǒng)在開放環(huán)境中，為了減輕應(yīng)用服務(wù)器對用戶認(rèn)證的負(fù)擔(dān)，引入一個認(rèn)證服務(wù)器AS（AuthenticationServer）的第三方來承擔(dān)對用戶的認(rèn)證，AS知道每個用戶的口令，并將口令保存于一個中心數(shù)據(jù)庫。（1）用戶如果想訪問某一應(yīng)用服務(wù)器，首先向AS發(fā)出請求，（2）AS將收到的用戶口令與中心數(shù)據(jù)庫存儲的口令相比較以驗(yàn)證用戶的身份。（3）如果驗(yàn)證通過，AS則向用戶發(fā)放一個允許用戶得到應(yīng)用服務(wù)器服務(wù)的票據(jù)，（4）用戶則根據(jù)這一票據(jù)去獲取服務(wù)器的服務(wù)。若用戶需要多次訪問同一服務(wù)器，避免每次都重復(fù)獲取票據(jù)的過程，再引入另一新服務(wù)器稱為票據(jù)許可服務(wù)器TGS（Ticket-grantingServer）。TGS向已以經(jīng)過AS認(rèn)證的客戶發(fā)放用于獲取應(yīng)用服務(wù)器的票據(jù)。66x2020-8-126.3.3實(shí)用認(rèn)證技術(shù)Kerberos認(rèn)證系統(tǒng)66x2Kerberos系統(tǒng)的認(rèn)證過程分為三個階段，共六步。

用戶CKerberos認(rèn)證服務(wù)器AS票據(jù)服務(wù)器TGS數(shù)據(jù)庫①②③④⑤⑥服務(wù)器V67x2020-8-12Kerberos系統(tǒng)的認(rèn)證過程分為三個階段，共六步。用戶C第1階段：認(rèn)證服務(wù)交換，即用戶從AS獲取 訪問TGS的票據(jù)許可票據(jù)。第2階段：用戶從TGS獲取服務(wù)許可票據(jù)， 即票據(jù)許可服務(wù)交換。第3階段：用戶從服務(wù)器獲取服務(wù)，即客戶 機(jī)與服務(wù)器的認(rèn)證交換。6.3.3實(shí)用認(rèn)證技術(shù)68x2020-8-12第1階段：認(rèn)證服務(wù)交換，即用戶從AS獲取 訪問TGS

第1步：客戶向AS發(fā)出訪問TGS的請求，請求中 的時戳用以向AS表示這一請求是新的。第2步：AS向C發(fā)出應(yīng)答，應(yīng)答由用戶的口令導(dǎo) 出的密鑰加密，使得只有C能解讀。應(yīng) 答的內(nèi)容包括C與TGS會話所使用的密 鑰，用以向C表示TGS身份的ID、時戳 TS、AS向C發(fā)放的票據(jù)許可票據(jù)Ticket 以及這一票據(jù)的截止期限lifetime。6.3.3實(shí)用認(rèn)證技術(shù)69x2020-8-12第1步：客戶向AS發(fā)出訪問TGS的請求，請求中 的6.3.3實(shí)用認(rèn)證技術(shù)第3步：C向TGS發(fā)出一個由請求提供服務(wù)的服務(wù)器的身份、第2步獲得的票據(jù)以及一個認(rèn)證符構(gòu)成的消息。其中認(rèn)證符中包括C上用戶的身份、C的地址及一個時戳。與票據(jù)不同，票據(jù)可重復(fù)使用且有效期較長，而認(rèn)證符只能使用一次且有效期很短。TGS用與AS共享的密鑰Kt解密票據(jù)后，知道C已從AS處得到與自己會話的會話密鑰Kctgs，票據(jù)在這里的含義事實(shí)上是“使用密鑰的人就是C”。70x2020-8-126.3.3實(shí)用認(rèn)證技術(shù)第3步：C向TGS發(fā)出一個由請求提供6.3.3實(shí)用認(rèn)證技術(shù)

TGS也使用Kctgs解讀認(rèn)證符，并將認(rèn)證符中的數(shù)據(jù)與票據(jù)中的數(shù)據(jù)加以比較，從而可相信票據(jù)的發(fā)送者的確是票據(jù)的實(shí)際持有者，這時認(rèn)證符的含義實(shí)際上是“在時間TS，C使用KCtgs”。這時的票據(jù)不能證明任何人的身份，只是用來安全地分配密鑰，而認(rèn)證符則是用來證明客戶的身份。因?yàn)檎J(rèn)證符僅能被使用一次且有效期很短，可防止票據(jù)和認(rèn)證符被盜用。71x2020-8-126.3.3實(shí)用認(rèn)證技術(shù)TGS也使用Kctgs解讀認(rèn)證第4步：TGS向C應(yīng)答的消息由TGS和C共享的會話密鑰加密后發(fā)往C，應(yīng)答中的內(nèi)容有C和V共享的會話密鑰Kc,v、V的身份ID，服務(wù)許可票據(jù)TicketV(有C和V的ID、Kc,v、并用TGS與V的共享密鑰KV加密）及票據(jù)的時戳。第5步：C向服務(wù)器V發(fā)出服務(wù)許可票據(jù)TicketV和認(rèn)證符Authenticatorv。服務(wù)器用Kv解密票據(jù)后得到會話密鑰Kc,v，并由Kc,v解密認(rèn)證符，以驗(yàn)證C的身份。第6步：服務(wù)器V向C證明自己的身份。V對從認(rèn)證符得到的時戳加1，再由與C共享的密鑰加密后發(fā)給C，C解讀后對增加的時戳加以驗(yàn)證，從而相信增加時戳的的確是V。6.3.3實(shí)用認(rèn)證技術(shù)72x2020-8-12第4步：TGS向C應(yīng)答的消息由TGS和C共享的會話密鑰加密后

一次性密碼（OTPOneTimePassword

）為了解決固定口令的諸多問題，安全專家提出了一次性口令密碼體制，以保護(hù)關(guān)鍵的計(jì)算資源。OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性。例如：登錄密碼=MD5(用戶名＋密碼

＋時間），系統(tǒng)接收到登錄口令后做一個驗(yàn)算即可驗(yàn)證用戶的合法性。

6.3.3實(shí)用認(rèn)證技術(shù)73x2020-8-12一次性密碼（OTPOneTimePassword6.4虛擬專用網(wǎng)及其安全性虛擬專用網(wǎng)VPN（VirtualPrivateNetworks）是企業(yè)內(nèi)部網(wǎng)在Internet等公共網(wǎng)絡(luò)上的延伸，通過一個專用的通道來創(chuàng)建一個安全的專用連接，從而可將遠(yuǎn)程用戶、企業(yè)分支機(jī)構(gòu)、公司的業(yè)務(wù)合作伙伴等與公司的內(nèi)部網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的企業(yè)內(nèi)部網(wǎng)。通過VPN，網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP或ISP可使用Internet或服務(wù)器將自己的IP主干網(wǎng)向企業(yè)提供遠(yuǎn)程訪問和分支機(jī)構(gòu)互聯(lián)等業(yè)務(wù)，從而擴(kuò)大了自己網(wǎng)絡(luò)的地域范圍，增加了自己的商業(yè)服務(wù)機(jī)會。而對企業(yè)來說可很大程度地降低自己的費(fèi)用，減少對網(wǎng)絡(luò)管理和支持終端用戶的需求，并可使自己的安全規(guī)則更為靈活。74x2020-8-126.4虛擬專用網(wǎng)及其安全性虛擬專用網(wǎng)VPN（Virtual6.4虛擬專用網(wǎng)及其安全性75x2020-8-126.4虛擬專用網(wǎng)及其安全性75x2020-8-126.4虛擬專用網(wǎng)及其安全性76x2020-8-126.4虛擬專用網(wǎng)及其安全性76x2020-8-126.4虛擬專用網(wǎng)及其安全性77x2020-8-126.4虛擬專用網(wǎng)及其安全性77x2020-8-126.4虛擬專用網(wǎng)及其安全性78x2020-8-126.4虛擬專用網(wǎng)及其安全性78x2020-8-126.4.1VPN簡介

VPN指的是在共享網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，其連接技術(shù)稱為隧道。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€VPN網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺（如Internet，ATM，F(xiàn)rameRelay等）之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。其VPN具有虛電路的特點(diǎn)。VPN協(xié)議可以處理數(shù)據(jù)包，并對其有效負(fù)載加密，把數(shù)據(jù)包發(fā)送到目的地址。79x2020-8-126.4.1VPN簡介VPN指的是在共享網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)6.4.1VPN簡介VPN具有以下優(yōu)點(diǎn)：降低成本：企業(yè)不必租用長途專線建設(shè)專網(wǎng)以及大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備的投資。容易擴(kuò)展：網(wǎng)絡(luò)路由設(shè)備配置簡單?？刂浦鲃訖?quán)：VPN上的設(shè)施和服務(wù)完全掌握在企業(yè)手中。企業(yè)可以把撥號訪問交給NSP去做，而自己負(fù)責(zé)用戶的查驗(yàn)、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

VPN通過采用“隧道”技術(shù)，在公網(wǎng)中形成企業(yè)的安全、機(jī)密、順暢的專用鏈路。常見的VPN協(xié)議有PPTP和IPSec。80x2020-8-126.4.1VPN簡介VPN具有以下優(yōu)點(diǎn)：80x2020-6.4.2VPN的安全性對于VPN的實(shí)施來說，安全性也是很重要的。如果不能保證其安全性，黑客就可以假扮用戶以獲取網(wǎng)絡(luò)信息，這樣就會對網(wǎng)絡(luò)安全造成威脅。

1.點(diǎn)對點(diǎn)的隧道協(xié)議（PPTP）PPTP是用來在公用網(wǎng)的通信系統(tǒng)間（通常是客戶機(jī)和服務(wù)器間）建立一個專用通道。該協(xié)議使用Internet通用路由封裝（GREv2，GenericRoutingEncapsulation）協(xié)議封裝數(shù)據(jù)和信息/控制分組。

PPTP是在微軟的撥號網(wǎng)絡(luò)設(shè)備中集成的數(shù)據(jù)加密技術(shù)，采用密鑰長度為40比特的加密算法。在客戶工作站與最終的隧道終結(jié)器協(xié)商PPP時，加密的會話就建立起來了.

81x2020-8-126.4.2VPN的安全性對于VPN的實(shí)施來說，安全性6.4.2VPN的安全性2.IPSec與PPTP的比較IPSec已成為VPN的安全標(biāo)準(zhǔn)，用來進(jìn)行對數(shù)據(jù)包的加密、認(rèn)證和完整性確認(rèn)。IPSec標(biāo)準(zhǔn)是由一系列IP級的協(xié)議組成，這些協(xié)議用于在IP收發(fā)兩端協(xié)商加密方法和數(shù)字簽名方法。與點(diǎn)對點(diǎn)加密技術(shù)相比，IPSec的安全性更高。其具有用戶認(rèn)證、保密性和數(shù)據(jù)完整性。IPSec的另一個優(yōu)點(diǎn)是其安全機(jī)制被松散地結(jié)合在密鑰管理系統(tǒng)中，因此如果將來出現(xiàn)了更新更強(qiáng)大的密碼算法就可直接用于這一體系結(jié)構(gòu)，而無需對安全機(jī)制進(jìn)行修改。

82x2020-8-126.4.2VPN的安全性2.IPSec與PPTP網(wǎng)絡(luò)病毒的特點(diǎn)1、病毒RemoteExplore（探險者）是網(wǎng)絡(luò)病毒的“先驅(qū)者”，于1998年爆發(fā)，是病毒發(fā)展歷史中的一個重要標(biāo)志。

RemoteExplore病毒通過盜取WindowsNT域管理員的帳號進(jìn)行傳播。如果一個具有管理員身份的用戶執(zhí)行了染毒的程序，該病毒便以服務(wù)的方式駐留內(nèi)存，取名為“RemoteExplore”，并在染毒系統(tǒng)中安裝文件\winnt\system32\drivers\ie403r.sys。若另一臺NT機(jī)器只要用同一管理員帳號登錄到染毒的機(jī)器中，該病毒就可以感染局域網(wǎng)附加網(wǎng)絡(luò)驅(qū)動器中的文件。當(dāng)病毒被激活后，它便在共享的網(wǎng)絡(luò)驅(qū)動器上隨機(jī)選擇一個文件夾，感染除.dll或.tmp擴(kuò)展名的文件外的所有其他文件，就連一些DOS下的.exe文件同樣難逃厄運(yùn)。6.5

網(wǎng)絡(luò)病毒防治技術(shù)83x2020-8-12網(wǎng)絡(luò)病毒的特點(diǎn)6.5網(wǎng)絡(luò)病毒防治技術(shù)83x2020-8-網(wǎng)絡(luò)病毒的特點(diǎn)2、Matrix

病毒Matrix在2000年8月發(fā)源于德國，它具有網(wǎng)絡(luò)蠕蟲的特性，利用Internet和LAN進(jìn)行傳播。該病毒以郵件附件的形式傳播。當(dāng)接收者打開附件，該病毒便在網(wǎng)絡(luò)系統(tǒng)內(nèi)安裝文件到c:\windows目錄下，然后將系統(tǒng)內(nèi)的WSOCK32.DLL刪除，把WSOCK32.MTX更名為WSOCK32.DLL。這樣，受感染系統(tǒng)在發(fā)送郵件時增加自動發(fā)送附件的功能，附件即為蠕蟲的副本。病毒還能對網(wǎng)上鄰居中的所有可用資源進(jìn)行搜索，以便能夠同本機(jī)進(jìn)行文件傳輸，從而達(dá)到感染網(wǎng)絡(luò)中其它機(jī)器的目的。病毒通過創(chuàng)建wininit.ini文件，在每次系統(tǒng)啟動后自動運(yùn)行。另外，被安裝的文件MTX.EXE還能夠?qū)⑾到y(tǒng)連接到指定的站點(diǎn)，并下載新的病毒插件，以完成自身更新。

84x2020-8-12網(wǎng)絡(luò)病毒的特點(diǎn)84x2020-8-126.5.1網(wǎng)絡(luò)病毒的特點(diǎn)3.LOVELETTER（愛蟲）病毒LOVELETTER于2000年5月發(fā)源于菲律賓。其最大的特點(diǎn)是通過Email和IRC快速傳播。在通過電子郵件傳播時，它不放過地址簿中的每一個地址而且郵件的主題還是具有誘惑性的“ILOVEYOU”。一旦用戶打開附件，病毒便進(jìn)行感染：搜索outlook地址簿、IRC連接、發(fā)送帶有病毒的郵件、通過IRC感染其它用戶等等。6.5

網(wǎng)絡(luò)病毒防治技術(shù)85x2020-8-126.5.1網(wǎng)絡(luò)病毒的特點(diǎn)6.5網(wǎng)絡(luò)病毒防治技術(shù)85x20其傳播方式有：

l

病毒直接從有盤站拷貝到服務(wù)器中。

l

病毒首先傳染工作站并駐留內(nèi)存，等運(yùn)行網(wǎng)絡(luò)盤內(nèi)程序時再傳染給服務(wù)器?；蛟谶\(yùn)行時直接通過映像路徑傳染到服務(wù)器。

l

若遠(yuǎn)程工作站被病毒侵入，病毒則可通過通信中數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中。

6.5網(wǎng)絡(luò)病毒防治技術(shù)86x2020-8-12其傳播方式有：6.5網(wǎng)絡(luò)病毒防治技術(shù)86x2020-8-在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)：l

感染速度快：在單機(jī)環(huán)境下，病毒只能通過軟盤從一臺計(jì)算機(jī)帶到另一臺，而在網(wǎng)絡(luò)中則可以通過網(wǎng)絡(luò)通信機(jī)制進(jìn)行迅速擴(kuò)散。l

擴(kuò)散面廣：由于病毒在網(wǎng)絡(luò)中擴(kuò)散非常快，擴(kuò)散范圍很大，不但能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī)，還能在瞬間通過遠(yuǎn)程工作站將病毒傳播到千里之外。6.5

網(wǎng)絡(luò)病毒防治技術(shù)87x2020-8-12在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可l

傳播的形式復(fù)雜多樣：計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般是通過“工作站-服務(wù)器-工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣。

l

難于徹底清除：單機(jī)上的計(jì)算機(jī)病毒有時可通過刪除帶毒文件、低級格式化硬盤等措施將病毒徹底清除。而在網(wǎng)絡(luò)中，只要有一臺工作站未能消毒干凈，就可能使整個網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成清除工作的一臺工作站就有可能被網(wǎng)上另一臺帶毒工作站所感染。l

破壞性大。網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰，

破壞服務(wù)器信息，使多年工作毀于一旦。

6.5

網(wǎng)絡(luò)病毒防治技術(shù)88x2020-8-12l

傳播的形式復(fù)雜多樣：計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般6.5.2對網(wǎng)絡(luò)病毒的防御能力(防病毒工具)1.病毒查殺能力病毒查殺能力的強(qiáng)弱體現(xiàn)在可查殺病毒的種類和數(shù)目，并還要關(guān)注對實(shí)際流行病毒的查殺能力。有些病毒雖然曾流行過，但以后可能不會再遇到。2.對新病毒的反應(yīng)能力

對新病毒的反應(yīng)能力是考察一個防病毒工具好壞的重要方面。主要是衡量軟件工具的病毒信息搜集網(wǎng)絡(luò)、病毒代碼的更新周期和供應(yīng)商對用戶發(fā)現(xiàn)的新病毒的反應(yīng)周期。

6.5

網(wǎng)絡(luò)病毒防治技術(shù)89x2020-8-126.5.2對網(wǎng)絡(luò)病毒的防御能力(防病毒工具)6.5網(wǎng)絡(luò)3.病毒實(shí)時監(jiān)測能力病毒通過郵件和網(wǎng)頁傳播的途徑具有一定的實(shí)時性，用戶無法人為地了解可能感染的時間。因此，防病毒軟件的實(shí)時監(jiān)測能力顯得相當(dāng)重要。4.快速、方便的升級防病毒軟件對更新及時性的要求尤為突出。多數(shù)反病毒軟件采用了Internet進(jìn)行病毒代碼和病毒查殺引擎的更新，并可以通過一定的設(shè)置自動進(jìn)行，盡可能地減少人力的介入。這種升級信息應(yīng)該和安裝一樣能方便地“分發(fā)”到各個終端。

6.5

網(wǎng)絡(luò)病毒防治技術(shù)90x2020-8-123.病毒實(shí)時監(jiān)測能力6.5網(wǎng)絡(luò)病毒防治技術(shù)90x2025.智能安裝、遠(yuǎn)程識別由于服務(wù)器和客戶端承擔(dān)的任務(wù)不同，在防病毒方面的要求也不大一樣。在安裝時如果能夠自動區(qū)分服務(wù)器與客戶端，并安裝相應(yīng)的軟件，這對管理員是一件十分方便的事。遠(yuǎn)程安裝和遠(yuǎn)程設(shè)置，可以大大減輕管理員到現(xiàn)場安裝、設(shè)置的繁重工作，可以對全網(wǎng)的機(jī)器進(jìn)行統(tǒng)一安裝，又可以有針對性的設(shè)置。6.管理方便，易于操作對防病毒軟件的參數(shù)設(shè)置以及從系統(tǒng)整體角度出發(fā)對各臺計(jì)算機(jī)上進(jìn)行的設(shè)置。

生成病毒監(jiān)控報告等輔助管理措施將會有助于防病毒軟件應(yīng)用更加得心應(yīng)手。

6.5

網(wǎng)絡(luò)病毒防治技術(shù)91x2020-8-125.智能安裝、遠(yuǎn)程識別6.5網(wǎng)絡(luò)病毒防治技術(shù)91x207.對現(xiàn)有資源的占用情況

防病毒程序進(jìn)行實(shí)時監(jiān)控都或多或少地要占用部分系統(tǒng)資源。一些單位上網(wǎng)速度感覺太慢，有一部分原因是防病毒程序?qū)ξ募斑^濾”帶來的影響。另一個是升級信息的交換，下載和分發(fā)升級信息都將會占用一定的網(wǎng)絡(luò)帶寬，但其占用帶寬；較小，一般為幾百KB。8.系統(tǒng)兼容性系統(tǒng)兼容性是必須考慮的因素。因防病毒軟件的一部分常駐程序如果跟其它軟件不兼容將會帶來很多的問題。

6.5

網(wǎng)絡(luò)病毒防治技術(shù)92x2020-8-127.對現(xiàn)有資源的占用情況6.5網(wǎng)絡(luò)病毒防治技術(shù)92x293x2020-8-1293x2020-8-12網(wǎng)絡(luò)管理與安全技術(shù)94x2020-8-12網(wǎng)絡(luò)管理與安全技術(shù)1x2020-8-12第6章網(wǎng)絡(luò)安全技術(shù)6.1安全通信協(xié)議6.2加密技術(shù)6.3認(rèn)證機(jī)制6.4VPN技術(shù)6.5

網(wǎng)絡(luò)病毒防治技術(shù)95x2020-8-12第6章網(wǎng)絡(luò)安全技術(shù)6.1安全通信協(xié)議2x2020-8-12第6章安全通信協(xié)議6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSecIPSec—IPSecurity6.1.1IPSec的作用

IPSec通過在IP層對所有業(yè)務(wù)流加密和認(rèn)證，保證了所有分布式應(yīng)用程序的安全性。企業(yè)可在公網(wǎng)上建立自己的虛擬專用網(wǎng)。配有IPSec系統(tǒng)的用戶，通過ISP獲取安全訪問。IPSec既可用于建立內(nèi)部網(wǎng)安全連接也可用于外部網(wǎng)的安全連接。IPSec可增加已有的安全協(xié)議的安全性。96x2020-8-12第6章安全通信協(xié)議6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSec3x

IPSec應(yīng)用示例

用戶系統(tǒng)---IPSec---WAN----IPSec---網(wǎng)絡(luò)設(shè)備----IP--LANIP報頭IPSec報頭安全I(xiàn)P負(fù)載IP報頭IPSec報頭安全I(xiàn)P負(fù)載IP報頭IP負(fù)載具有IPSec的用戶系統(tǒng)具有IPSec的網(wǎng)絡(luò)設(shè)備IP報頭IP負(fù)載97x2020-8-12IPSec應(yīng)用示例

用戶系統(tǒng)---IPSec---WANIPSec具有以下意義：IPSec用于防火墻和路由器等網(wǎng)絡(luò)設(shè)備中，以提供安全的業(yè)務(wù)流，而在LAN內(nèi)則可以不必進(jìn)行安全性處理。IPSec用于防火墻可防止用IP的業(yè)務(wù)流繞過防火墻。IPSec位于網(wǎng)絡(luò)層，對于應(yīng)用程序來說是透明的。無需修改用戶或服務(wù)器所使用的軟件。6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSec98x2020-8-12IPSec具有以下意義：6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSeIP層的安全問題涉及了認(rèn)證、保密和密鑰管理三個領(lǐng)域。其安全性應(yīng)達(dá)到：期望安全的用戶能夠使用基于密碼學(xué)的安全機(jī)制；應(yīng)能同時適用于IPv4和IPv6;

算法獨(dú)立；有利于實(shí)現(xiàn)不同安全策略；對沒有采用該機(jī)制的用戶不會有負(fù)面影響。6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSec

99x2020-8-12IP層的安全問題涉及了認(rèn)證、保密和密鑰管理三個領(lǐng)域。其安全性6.1.2IPSec體系結(jié)構(gòu)

IPSec在IP層提供安全業(yè)務(wù)的方式是讓系統(tǒng)選擇所要求的安全協(xié)議、算法和密鑰。安全協(xié)議有：認(rèn)證報頭AH（AuthenticationHeader),即認(rèn)證協(xié)議。封裝的安全負(fù)載ESP（EncapsulatingSecurityPayload),即加密與認(rèn)證協(xié)議。

ESP又分為僅加密和加密與認(rèn)證結(jié)合兩種情況。

100x2020-8-126.1.2IPSec體系結(jié)構(gòu)IPSec在IP層提供安全業(yè)6.1.2IPSec體系結(jié)構(gòu)

體系封裝安全負(fù)載ESP驗(yàn)證頭AH驗(yàn)證算法加密算法解釋域DOI密鑰管理策略101x2020-8-126.1.2IPSec體系結(jié)構(gòu)體系封裝安全負(fù)載ESP驗(yàn)證頭體系：定義IPSec技術(shù)的機(jī)制；ESP：用其進(jìn)行包加密的報文格式和一般性問題；AH：用其進(jìn)行包認(rèn)證的報文包格式和一般性問題加密算法：描述將各種不同加密算法用于ESP的文檔；認(rèn)證算法：描述將各種不同加密算法用于AH以及ESP認(rèn)證選項(xiàng)的文檔；密鑰管理：描述密鑰管理模式DOI：其他相關(guān)文檔，如加密和認(rèn)證算法標(biāo)識及運(yùn)行參數(shù)等。IPSec體系結(jié)構(gòu)中涉及的主要概念有：安全關(guān)聯(lián)、模式、AH、ESP6.1.2IPSec體系結(jié)構(gòu)102x2020-8-12體系：定義IPSec技術(shù)的機(jī)制；6.1.2IPSec體系結(jié)1.安全關(guān)聯(lián)（SecurityAssociations）

SA是IP認(rèn)證和保密機(jī)制中最關(guān)鍵的概念。一個關(guān)聯(lián)就是發(fā)送與接收者之間的一個單向關(guān)系。如果需要一個對等關(guān)系，即雙向安全交換，則需要兩個SA。SA提供安全服務(wù)的方式是使用AH或ESP之一。一個SA可由三個參數(shù)惟一地表示

<安全參數(shù)索引，目標(biāo)IP地址，安全協(xié)議標(biāo)識符>

103x2020-8-121.安全關(guān)聯(lián)（SecurityAssociations）1.安全關(guān)聯(lián)（SecurityAssociations）IPSec的實(shí)現(xiàn)還需要維護(hù)兩個數(shù)據(jù)庫：安全關(guān)聯(lián)數(shù)據(jù)庫SAD

安全策略數(shù)據(jù)庫SPD通信雙方如果要用IPSec建立一條安全的傳輸通路，需要事先協(xié)商好將要采用的安全策略，包括使用的算法、密鑰及密鑰的生存期等。SA就是能在其協(xié)商的基礎(chǔ)上為數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接。（可以是AH或ESP）SA的組合方式有：傳輸模式和隧道模式104x2020-8-121.安全關(guān)聯(lián)（SecurityAssociations）I2.AH和ESP的兩種使用模式傳輸模式傳輸模式主要用于對上層協(xié)議的保護(hù)，如TCP、UDP和ICMP數(shù)據(jù)段的保護(hù)。以傳輸模式運(yùn)行的ESP協(xié)議對IP報頭之后的數(shù)據(jù)（負(fù)載）進(jìn)行加密和認(rèn)證，但不對IP報頭進(jìn)行加密和認(rèn)證。以傳輸模式運(yùn)行的AH協(xié)議對負(fù)載及報頭中選擇的一部分進(jìn)行認(rèn)證。

原IP報頭TCP數(shù)據(jù)ESP報尾ESP認(rèn)證數(shù)據(jù)ESP報頭加密的認(rèn)證的105x2020-8-122.AH和ESP的兩種使用模式傳輸模式原IP報頭TCP數(shù)據(jù)2.AH和ESP的兩種使用模式隧道模式隧道模式用于對整個IP數(shù)據(jù)報的保護(hù)，即給原數(shù)據(jù)報加一個新的報頭（網(wǎng)關(guān)地址）。原數(shù)據(jù)報就成為新數(shù)據(jù)報的負(fù)載。原數(shù)據(jù)報在整個傳送過程中就象在隧道中一樣，傳送路徑上的路由器都有無法看到原數(shù)據(jù)報的報頭。由于封裝了原數(shù)據(jù)報，新數(shù)據(jù)報的源地址和目標(biāo)地址都與原數(shù)據(jù)報不同，從而增加了安全性。新IP報頭原IP報頭數(shù)據(jù)ESP報尾ESP認(rèn)證數(shù)據(jù)ESP報頭加密的認(rèn)證的106x2020-8-122.AH和ESP的兩種使用模式隧道模式新IP報頭原IP報頭6.1.3IPSec服務(wù)與應(yīng)用1.SA的組合方式一個SA能夠?qū)崿F(xiàn)AH協(xié)議或ESP協(xié)議，但卻不能同時實(shí)現(xiàn)這兩種協(xié)議。當(dāng)要求在主機(jī)間和網(wǎng)關(guān)間都實(shí)現(xiàn)IPSec業(yè)務(wù)時，就要求建立多個SA，即采用SA組合方式。107x2020-8-126.1.3IPSec服務(wù)與應(yīng)用1.SA的組合方式LAN實(shí)現(xiàn)IPSec安全網(wǎng)關(guān)安全網(wǎng)關(guān)隧道SA一個或兩個SASA的組合方式LAN108x2020-8-12LAN實(shí)現(xiàn)IPSec安全網(wǎng)關(guān)安全網(wǎng)關(guān)隧道SA一個或兩個SASSA的組合方式SA的基本組合有四種方式每個SA所承載的通信服務(wù)或?yàn)锳H或?yàn)镋SP對主機(jī)到主機(jī)的SA，AH或ESP的使用模式可以是傳輸模式也可以是隧道模式。如果SA的兩個端點(diǎn)中至少有一個安全網(wǎng)關(guān)，則AH或ESP的使用模式必須是隧道模式。109x2020-8-12SA的組合方式SA的基本組合有四種方式16x2020-8-16.1.4傳輸層安全協(xié)議SSL6.1.4SSL協(xié)議概述安全套接層協(xié)議SSL是在Internet上提供一種保證私密性的安全協(xié)議。

C/S通信中，可始終對服務(wù)器和客戶進(jìn)行認(rèn)證。

SSL協(xié)議要求建立在可靠的TCP之上，高層的應(yīng)用協(xié)議能透明地建立在SSL之上。

SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。110x2020-8-126.1.4傳輸層安全協(xié)議SSL6.1.4SS6.1.4Web安全性方法保護(hù)Web安全性的方法有多種，這些方法所提供的安全業(yè)務(wù)和使用機(jī)制都彼此類似，所不同之處在于它們各自的應(yīng)用范圍和在TCP/IP協(xié)議棧中的相對位置。

HTTPFTPSMTPTCPIP/IPSec網(wǎng)絡(luò)層應(yīng)用層HTTPFTPSMTPTCPIPSSLorTLS傳輸層PGPSETTCPIPSMTPUDPKerberosHTTPS/MIME111x2020-8-126.1.4Web安全性方法保護(hù)Web安全性的方法有多種，6.1.4Web安全性方法網(wǎng)絡(luò)層安全實(shí)現(xiàn) 利用IPSec提供Web的安全性，其優(yōu)點(diǎn)是對終端用戶和應(yīng)用程序是透明的，且為Web安全提供一般目的的解決方法。傳輸層安全實(shí)現(xiàn)將SSL或TLS作為TCP基本協(xié)議組的一部分，因此對應(yīng)用程序來說是透明的。還可將SSL嵌套在特定的數(shù)據(jù)包中（如IE等大多數(shù)Web服務(wù)器都裝有SSL）。應(yīng)用層安全實(shí)現(xiàn)對特定應(yīng)用程序來說，其安全業(yè)務(wù)可在應(yīng)用程序內(nèi)部實(shí)現(xiàn)，這種方法的優(yōu)點(diǎn)是安全業(yè)務(wù)可按應(yīng)用程序的特定需要來定制。112x2020-8-126.1.4Web安全性方法網(wǎng)絡(luò)層安全實(shí)現(xiàn)19x2020-6.1.5協(xié)議規(guī)范安全套接字層SSL是由Netscape設(shè)計(jì)的，目前有SSLv3。

SSL協(xié)議主要由SSL記錄協(xié)議和SSL握手協(xié)議兩部分組成。其結(jié)構(gòu)如下：HTTPSSL更改密碼說明協(xié)議SSL握手協(xié)議TCPIPSSL記錄協(xié)議SSL協(xié)議棧SSL警示協(xié)議113x2020-8-126.1.5協(xié)議規(guī)范安全套接字層SSL是由Netsca6.1.5協(xié)議規(guī)范1.SSL記錄協(xié)議

SSL記錄協(xié)議可為SSL連接提供保密性業(yè)務(wù)和消息完整性業(yè)務(wù)。保密性業(yè)務(wù)是通信雙方通過握手協(xié)議建立一個共享的密鑰，用于對SSL負(fù)載的單鑰加密。消息完整性業(yè)務(wù)是通過握手協(xié)議建立一個用于計(jì)算MAC（消息完整性認(rèn)證）的共享密鑰。114x2020-8-126.1.5協(xié)議規(guī)范1.SSL記錄協(xié)議21x2020-8-16.1.5協(xié)議規(guī)范SSL握手協(xié)議握手協(xié)議用于服務(wù)器和客戶機(jī)之間的相互認(rèn)證及協(xié)商加密算法、MAC算法和密鑰，它的執(zhí)行是在發(fā)送應(yīng)用數(shù)據(jù)以前。115x2020-8-126.1.5協(xié)議規(guī)范SSL握手協(xié)議22x2020-8-126.2加密技術(shù)

6.2.1對稱加密在對稱加密方法中，用于加密和解密的密鑰是相同的，接收者和發(fā)送者使用相同的密鑰，即一個秘密密鑰。雙方必須小心翼翼地保護(hù)密鑰，不讓外人得知。密鑰的最初傳輸是非常重要的。如果密鑰被他人截獲，那么保密的信息就不再受到保護(hù)了。116x2020-8-126.2加密技術(shù)6.2.1對稱加密23x2020-86.2.1對稱加密

對稱加密示意圖

117x2020-8-126.2.1對稱加密對稱加密示意圖24x2020-8-126.2.1對稱加密對稱算法

產(chǎn)生一個對稱密鑰可以用許多算法，RSA算法是最常用的商業(yè)算法。既能用于數(shù)據(jù)加密又能用于數(shù)字簽名的算法。

在商業(yè)應(yīng)用程序中RSA算法中的RC2和RC4是最常用的對稱密鑰算法。其密鑰長度為40位。

RC2是由RonRivest開發(fā)的，是一種塊模式的密文，即將信息加密成64位的數(shù)據(jù)。RC4是由Rivest在1987年開發(fā)的，是一種流式的密文，即實(shí)時的把信息加密成一個整體，密鑰的長度也是可變的。在美國密鑰長度是128位，向外出口時密鑰長度限制到40位，LotusNotes,OracleSecureSQL都使用RC4的算法。118x2020-8-126.2.1對稱加密對稱算法25x2020-8-126.2.1對稱加密優(yōu)點(diǎn)和缺點(diǎn)對稱加密的優(yōu)點(diǎn)在于它的高速度和高強(qiáng)度。用該加密方法可以一秒鐘之內(nèi)加密大量的信息。為了使信息在網(wǎng)絡(luò)上傳輸，用戶必須找到一個安全傳遞口令密鑰的方法。如用戶可以直接見面轉(zhuǎn)交密鑰，若使用電子郵件則容易被竊取，影響保密的效果。定期改變密鑰可改進(jìn)對稱密鑰加密方法的安全性，但是改變密碼并及時通知其他用戶的過程是相當(dāng)困難的。而且攻擊者還可以通過字典程序來破譯對稱密鑰。119x2020-8-126.2.1對稱加密優(yōu)點(diǎn)和缺點(diǎn)26x2020-8-126.2.1對稱加密數(shù)據(jù)加密標(biāo)準(zhǔn)DES--最著名的對稱加密技術(shù)，是IBM于70年代為國家標(biāo)準(zhǔn)局研制的數(shù)據(jù)加密標(biāo)準(zhǔn)。DES采用64位長的密鑰（包括8個校驗(yàn)位，密鑰長度為56位），能將原文的若干個64位塊變換成加密的若干個64位代碼塊。其原理是將原文經(jīng)過一系列的排列與置換所產(chǎn)生的結(jié)果再于原文異或合并。該加密過程重復(fù)16次，每次所用的密鑰位排列不同。即使按照目前的標(biāo)準(zhǔn)，采用該方法的加密結(jié)果也是相當(dāng)安全。120x2020-8-126.2.1對稱加密數(shù)據(jù)加密標(biāo)準(zhǔn)27x2020-8-126.2.1對稱加密美國在1998年12月決定將不再使用DES。原因?yàn)?998年5月美國EFF（ElectronicsFrontierFoundation）宣布，他們的一臺專用解密機(jī)，用56小時破譯了56位密鑰的DES。美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會又制定了AES（AdvancedEncryptionStandard）這一新的加密標(biāo)準(zhǔn)。DES對于推動密碼理論的發(fā)展和應(yīng)用起了重大的作用。

121x2020-8-126.2.1對稱加密美國在1998年12月決定將不再使用DES6.2.2非對稱加密

非對稱密鑰加密在加密的過程中使用相互關(guān)聯(lián)的一對密鑰，一個歸發(fā)送者，一個歸接收者。密鑰對中的一個必須保持秘密狀態(tài)，稱為私鑰；另一個則被廣泛發(fā)布，稱為公鑰。這一組密鑰中的一個用于加密，另一個用于解密。

122x2020-8-126.2.2非對稱加密非對稱密鑰加密在加密的過程中使用相互6.2.2非對稱加密非對稱加密示意圖

非對稱加密示意圖123x2020-8-126.2.2非對稱加密非對稱加密示意圖非對稱加密示意圖306.2.2非對稱加密例如，用戶A要向用戶B發(fā)送一條消息，A就必須用B的公鑰對信息進(jìn)行加密，然后再發(fā)送。B接收到經(jīng)過加密的消息之后，用其自己的私鑰加以解密獲取原始信息。在傳輸?shù)倪^程中，任何想竊取信息的人因?yàn)闆]有B的私鑰而無法獲取信息。盡管公鑰和私鑰是相關(guān)的，但要想從公鑰確定私鑰還是極端困難的。124x2020-8-126.2.2非對稱加密例如，用戶A要向用戶B發(fā)送一條消息，A就6.2.2非對稱加密優(yōu)點(diǎn)：由于公鑰是公開的，而私鑰則由用戶自己保存，所以對于非對稱密鑰來說，其密鑰管理相對比較簡單。缺點(diǎn)：因?yàn)閺?fù)雜的加密算法，使得非對稱密鑰加密速度較慢，即使一個很簡單的非對稱加密也是很費(fèi)時間的。

125x2020-8-126.2.2非對稱加密優(yōu)點(diǎn)：由于公鑰是公開的，而私鑰則由用戶自6.2.3單向加密（Hashencryption）單向加密包括一個含有哈希函數(shù)的哈希表，由這個表確定用來加密的十六位進(jìn)制數(shù)。使用單向加密對信息加密，在理論上加以解密是不可能的。HASH加密用于不想對信息解讀或讀取而只需證實(shí)信息的正確性。這種加密方式適用于