網(wǎng)管與安全五

網(wǎng)絡(luò)管理與安全技術(shù)第6章網(wǎng)絡(luò)安全技術(shù)6.1安全通信協(xié)議6.2加密技術(shù)6.3認(rèn)證機(jī)制6.4VPN技術(shù)6.5

網(wǎng)絡(luò)病毒防治技術(shù)第6章安全通信協(xié)議6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSecIPSec—IPSecurity6.1.1IPSec的作用IPSec通過(guò)在IP層對(duì)所有業(yè)務(wù)流加密和認(rèn)證，保證了所有分布式應(yīng)用程序的安全性。企業(yè)可在公網(wǎng)上建立自己的虛擬專(zhuān)用網(wǎng)。配有IPSec系統(tǒng)的用戶(hù)，通過(guò)ISP獲取安全訪問(wèn)。IPSec既可用于建立內(nèi)部網(wǎng)安全連接也可用于外部網(wǎng)的安全連接。IPSec可增加已有的安全協(xié)議的安全性。

IPSec應(yīng)用示例

用戶(hù)系統(tǒng)---IPSec---WAN----IPSec---網(wǎng)絡(luò)設(shè)備----IP--LANIP報(bào)頭IPSec報(bào)頭安全I(xiàn)P負(fù)載IP報(bào)頭IPSec報(bào)頭安全I(xiàn)P負(fù)載IP報(bào)頭IP負(fù)載具有IPSec的用戶(hù)系統(tǒng)具有IPSec的網(wǎng)絡(luò)設(shè)備IP報(bào)頭IP負(fù)載IPSec具有以下意義：IPSec用于防火墻和路由器等網(wǎng)絡(luò)設(shè)備中，以提供安全的業(yè)務(wù)流，而在LAN內(nèi)則可以不必進(jìn)行安全性處理。IPSec用于防火墻可防止用IP的業(yè)務(wù)流繞過(guò)防火墻。IPSec位于網(wǎng)絡(luò)層，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。無(wú)需修改用戶(hù)或服務(wù)器所使用的軟件。6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSecIP層的安全問(wèn)題涉及了認(rèn)證、保密和密鑰管理三個(gè)領(lǐng)域。其安全性應(yīng)達(dá)到：期望安全的用戶(hù)能夠使用基于密碼學(xué)的安全機(jī)制；應(yīng)能同時(shí)適用于IPv4和IPv6;算法獨(dú)立；有利于實(shí)現(xiàn)不同安全策略；對(duì)沒(méi)有采用該機(jī)制的用戶(hù)不會(huì)有負(fù)面影響。6.1網(wǎng)絡(luò)層安全協(xié)議體系—IPSec

6.1.2IPSec體系結(jié)構(gòu)

IPSec在IP層提供安全業(yè)務(wù)的方式是讓系統(tǒng)選擇所要求的安全協(xié)議、算法和密鑰。安全協(xié)議有：認(rèn)證報(bào)頭AH（AuthenticationHeader),即認(rèn)證協(xié)議。封裝的安全負(fù)載ESP（EncapsulatingSecurityPayload),即加密與認(rèn)證協(xié)議。ESP又分為僅加密和加密與認(rèn)證結(jié)合兩種情況。

6.1.2IPSec體系結(jié)構(gòu)

體系封裝安全負(fù)載ESP驗(yàn)證頭AH驗(yàn)證算法加密算法解釋域DOI密鑰管理策略體系：定義IPSec技術(shù)的機(jī)制；ESP：用其進(jìn)行包加密的報(bào)文格式和一般性問(wèn)題；AH：用其進(jìn)行包認(rèn)證的報(bào)文包格式和一般性問(wèn)題加密算法：描述將各種不同加密算法用于ESP的文檔；認(rèn)證算法：描述將各種不同加密算法用于AH以及ESP認(rèn)證選項(xiàng)的文檔；密鑰管理：描述密鑰管理模式DOI：其他相關(guān)文檔，如加密和認(rèn)證算法標(biāo)識(shí)及運(yùn)行參數(shù)等。IPSec體系結(jié)構(gòu)中涉及的主要概念有：安全關(guān)聯(lián)、模式、AH、ESP6.1.2IPSec體系結(jié)構(gòu)1.安全關(guān)聯(lián)（SecurityAssociations）

SA是

IP認(rèn)證和保密機(jī)制中最關(guān)鍵的概念。一個(gè)關(guān)聯(lián)就是發(fā)送與接收者之間的一個(gè)單向關(guān)系。如果需要一個(gè)對(duì)等關(guān)系，即雙向安全交換，則需要兩個(gè)SA。SA提供安全服務(wù)的方式是使用AH或ESP之一。一個(gè)SA可由三個(gè)參數(shù)惟一地表示<安全參數(shù)索引，目標(biāo)IP地址，安全協(xié)議標(biāo)識(shí)符>

1.安全關(guān)聯(lián)聯(lián)（SecurityAssociations）IPSec的的實(shí)現(xiàn)還需要要維護(hù)兩個(gè)數(shù)數(shù)據(jù)庫(kù)：安全關(guān)聯(lián)數(shù)據(jù)據(jù)庫(kù)SAD安全策略數(shù)據(jù)據(jù)庫(kù)SPD通信雙方如果果要用IPSec建立一一條安全的傳傳輸通路，需需要事先協(xié)商商好將要采用用的安全策略略，包括使用用的算法、密密鑰及密鑰的的生存期等。。SA就是能能在其協(xié)商的的基礎(chǔ)上為數(shù)數(shù)據(jù)傳輸提供供某種IPSec安全保保障的一個(gè)簡(jiǎn)簡(jiǎn)單連接。（（可以是AH或ESP））SA的組合方方式有：傳輸輸模式和隧道道模式2.AH和和ESP的兩兩種使用模式式傳輸模式傳輸模式主要要用于對(duì)上層層協(xié)議的保護(hù)護(hù)，如TCP、UDP和和ICMP數(shù)數(shù)據(jù)段的保護(hù)護(hù)。以傳輸模式運(yùn)運(yùn)行的ESP協(xié)議對(duì)IP報(bào)頭之后的的數(shù)據(jù)（負(fù)載載）進(jìn)行加密密和認(rèn)證，但但不對(duì)IP報(bào)報(bào)頭進(jìn)行加密密和認(rèn)證。以傳輸模式運(yùn)運(yùn)行的AH協(xié)協(xié)議對(duì)負(fù)載及及報(bào)頭中選擇擇的一部分進(jìn)進(jìn)行認(rèn)證。原IP報(bào)頭TCP數(shù)據(jù)ESP報(bào)尾ESP認(rèn)證數(shù)據(jù)ESP報(bào)頭加密的認(rèn)證的2.AH和和ESP的兩兩種使用模式式隧道模式隧道模式用于于對(duì)整個(gè)IP數(shù)據(jù)報(bào)的保保護(hù)，即給原原數(shù)據(jù)報(bào)加一一個(gè)新的報(bào)頭頭（網(wǎng)關(guān)地址址）。原數(shù)據(jù)據(jù)報(bào)就成為新新數(shù)據(jù)報(bào)的負(fù)負(fù)載。原數(shù)據(jù)報(bào)在整整個(gè)傳送過(guò)程程中就象在隧隧道中一樣，，傳送路徑上上的路由器都都有無(wú)法看到到原數(shù)據(jù)報(bào)的的報(bào)頭。由于封裝了原原數(shù)據(jù)報(bào)，新新數(shù)據(jù)報(bào)的源源地址和目標(biāo)標(biāo)地址都與原原數(shù)據(jù)報(bào)不同同，從而增加加了安全性。。新IP報(bào)頭原IP報(bào)頭數(shù)據(jù)ESP報(bào)尾ESP認(rèn)證數(shù)據(jù)ESP報(bào)頭加密的認(rèn)證的6.1.3IPSec服務(wù)務(wù)與應(yīng)用1.SA的的組合方式一個(gè)SA能夠夠?qū)崿F(xiàn)AH協(xié)協(xié)議或ESP協(xié)議，但卻卻不能同時(shí)實(shí)實(shí)現(xiàn)這兩種協(xié)協(xié)議。當(dāng)要求在主機(jī)機(jī)間和網(wǎng)關(guān)間間都實(shí)現(xiàn)IPSec業(yè)務(wù)務(wù)時(shí)，就要求求建立多個(gè)SA，即采采用SA組合合方式。LAN實(shí)現(xiàn)IPSec安全網(wǎng)關(guān)安全網(wǎng)關(guān)隧道SA一個(gè)或兩個(gè)SASA的組合方方式LANSA的組合方方式SA的基本組組合有四種方方式每個(gè)SA所承承載的通信服服務(wù)或?yàn)锳H或?yàn)镋SP對(duì)主機(jī)到主機(jī)機(jī)的SA，AH或ESP的使用模式式可以是傳輸輸模式也可以以是隧道模式式。如果SA的兩兩個(gè)端點(diǎn)中至至少有一個(gè)安安全網(wǎng)關(guān)，則則AH或ESP的使用模模式必須是隧隧道模式。6.1.4傳輸輸層安全協(xié)議議SSL6.1.4SSL協(xié)議議概述安全套接層協(xié)協(xié)議SSL是是在Internet上上提供一種保保證私密性的的安全協(xié)議。。C/S通信中中，可始終對(duì)對(duì)服務(wù)器和客客戶(hù)進(jìn)行認(rèn)證證。SSL協(xié)議要要求建立在可可靠的TCP之上，高層層的應(yīng)用協(xié)議議能透明地建建立在SSL之上。SSL協(xié)議在在應(yīng)用層協(xié)議議通信之前就就已經(jīng)完成加加密算法、通通信密鑰的協(xié)協(xié)商以及服務(wù)務(wù)器認(rèn)證工作作。6.1.4Web安全全性方法保護(hù)Web安安全性的方法法有多種，這這些方法所提提供的安全業(yè)業(yè)務(wù)和使用機(jī)機(jī)制都彼此類(lèi)類(lèi)似，所不同同之處在于它它們各自的應(yīng)應(yīng)用范圍和在在TCP/IP協(xié)議棧中中的相對(duì)位置置。HTTPFTPSMTPTCPIP/IPSec網(wǎng)絡(luò)層HTTPFTPSMTPTCPIPSSLorTLS傳輸層應(yīng)用層PGPSETTCPIPSMTPUDPKerberosHTTPS/MIME6.1.4Web安全全性方法網(wǎng)絡(luò)層安全實(shí)實(shí)現(xiàn)利用IPSec提供Web的安全性性，其優(yōu)點(diǎn)是是對(duì)終端用戶(hù)戶(hù)和應(yīng)用程序序是透明的，，且為Web安全提供一一般目的的解解決方法。傳輸層安全實(shí)實(shí)現(xiàn)將SSL或TLS作為T(mén)CP基本協(xié)協(xié)議組的一部部分，因此對(duì)對(duì)應(yīng)用程序來(lái)來(lái)說(shuō)是透明的的。還可將SSL嵌套在在特定的數(shù)據(jù)據(jù)包中（如IE等大多數(shù)數(shù)Web服務(wù)務(wù)器都裝有SSL）。應(yīng)用層安全全實(shí)現(xiàn)對(duì)特定應(yīng)用用程序來(lái)說(shuō)說(shuō)，其安全全業(yè)務(wù)可在在應(yīng)用程序序內(nèi)部實(shí)現(xiàn)現(xiàn)，這種方方法的優(yōu)點(diǎn)點(diǎn)是安全業(yè)業(yè)務(wù)可按應(yīng)應(yīng)用程序的的特定需要要來(lái)定制。。6.1.5協(xié)協(xié)議規(guī)范安全套接字字層SSL是由Netscape設(shè)計(jì)計(jì)的，目前前有SSLv3。。SSL協(xié)議議主要由SSL記錄錄協(xié)議和SSL握手手協(xié)議兩部部分組成。。其結(jié)構(gòu)如如下：HTTPSSL更改密碼說(shuō)明協(xié)議SSL握手協(xié)議TCPIPSSL記錄協(xié)議SSL協(xié)議棧SSL警示協(xié)議6.1.5協(xié)議規(guī)范范1.SSL記錄錄協(xié)議SSL記錄錄協(xié)議可為為SSL連連接提供保保密性業(yè)務(wù)務(wù)和消息完完整性業(yè)務(wù)務(wù)。保密性業(yè)務(wù)務(wù)是通信雙雙方通過(guò)握握手協(xié)議建建立一個(gè)共共享的密鑰鑰，用于對(duì)對(duì)SSL負(fù)負(fù)載的單鑰鑰加密。消息完整性性業(yè)務(wù)是通通過(guò)握手協(xié)協(xié)議建立一一個(gè)用于計(jì)計(jì)算MAC（消息完整性性認(rèn)證）的共享密密鑰。6.1.5協(xié)議規(guī)范范SSL握手手協(xié)議握手協(xié)議用用于服務(wù)器器和客戶(hù)機(jī)機(jī)之間的相相互認(rèn)證及及協(xié)商加密密算法、MAC算法法和密鑰，，它的執(zhí)行行是在發(fā)送送應(yīng)用數(shù)據(jù)據(jù)以前。6.2加密技術(shù)6.2.1對(duì)稱(chēng)加加密在對(duì)稱(chēng)加密密方法中，，用于加密密和解密的的密鑰是相相同的，接接收者和發(fā)發(fā)送者使用用相同的密密鑰，即一一個(gè)秘密密密鑰。雙方必須小小心翼翼地地保護(hù)密鑰鑰，不讓外外人得知。。密鑰的最最初傳輸是是非常重要要的。如果密鑰被被他人截獲獲，那么保保密的信息息就不再受受到保護(hù)了了。復(fù)習(xí)6.2.1對(duì)稱(chēng)加密密對(duì)稱(chēng)加密示示意圖6.2.1對(duì)稱(chēng)加密密對(duì)稱(chēng)稱(chēng)算算法法產(chǎn)生生一一個(gè)個(gè)對(duì)對(duì)稱(chēng)稱(chēng)密密鑰鑰可可以以用用許許多多算算法法，，RSA算法法是是最最常常用用的的商商業(yè)業(yè)算算法法。。既既能能用用于于數(shù)數(shù)據(jù)據(jù)加加密密又又能能用用于于數(shù)數(shù)字字簽簽名名的的算算法法。。在商商業(yè)業(yè)應(yīng)應(yīng)用用程程序序中中RSA算法法中中的的RC2和RC4是最最常常用用的的對(duì)對(duì)稱(chēng)稱(chēng)密密鑰鑰算算法法。。其其密密鑰鑰長(zhǎng)長(zhǎng)度度為為40位。。RC2是由由RonRivest開(kāi)發(fā)發(fā)的的，，是是一一種種塊塊模模式式的的密密文文，，即即將將信信息息加加密密成成64位的的數(shù)數(shù)據(jù)據(jù)。。RC4是由由Rivest在1987年開(kāi)開(kāi)發(fā)發(fā)的的，，是是一一種種流流式式的的密密文文，，即即實(shí)實(shí)時(shí)時(shí)的的把把信信息息加加密密成成一一個(gè)個(gè)整整體體，，密密鑰鑰的的長(zhǎng)長(zhǎng)度度也也是是可可變變的的。。在在美美國(guó)國(guó)密密鑰鑰長(zhǎng)長(zhǎng)度度是是128位，，向向外外出出口口時(shí)時(shí)密密鑰鑰長(zhǎng)長(zhǎng)度度限限制制到到40位，，LotusNotes,OracleSecureSQL都使使用用RC4的算算法法。。6.2.1對(duì)對(duì)稱(chēng)稱(chēng)加加密密優(yōu)點(diǎn)點(diǎn)和和缺缺點(diǎn)點(diǎn)對(duì)稱(chēng)加密密的優(yōu)點(diǎn)點(diǎn)在于它它的高速速度和高高強(qiáng)度。。用該加加密方法法可以一一秒鐘之之內(nèi)加密密大量的的信息。。為了使信信息在網(wǎng)網(wǎng)絡(luò)上傳傳輸，用用戶(hù)必須須找到一一個(gè)安全全傳遞口口令密鑰鑰的方法法。如用用戶(hù)可以以直接見(jiàn)見(jiàn)面轉(zhuǎn)交交密鑰，，若使用用電子郵郵件則容容易被竊竊取，影影響保密密的效果果。定期改變變密鑰可可改進(jìn)對(duì)對(duì)稱(chēng)密鑰鑰加密方方法的安安全性，，但是改改變密碼碼并及時(shí)時(shí)通知其其他用戶(hù)戶(hù)的過(guò)程程是相當(dāng)當(dāng)困難的的。而且且攻擊者者還可以以通過(guò)字字典程序序來(lái)破譯譯對(duì)稱(chēng)密密鑰。（備注NAT））6.2.1對(duì)稱(chēng)稱(chēng)加密數(shù)據(jù)加密密標(biāo)準(zhǔn)DES--最著著名的對(duì)對(duì)稱(chēng)加密密技術(shù)，，是IBM于70年代代為國(guó)家家標(biāo)準(zhǔn)局局研制的的數(shù)據(jù)加加密標(biāo)準(zhǔn)準(zhǔn)。DES采采用64位長(zhǎng)的的密鑰（（包括8個(gè)校驗(yàn)驗(yàn)位，密密鑰長(zhǎng)度度為56位），，能將原原文的若若干個(gè)64位塊塊變換成成加密的的若干個(gè)個(gè)64位位代碼塊塊。其原理是是將原文文經(jīng)過(guò)一一系列的的排列與與置換所所產(chǎn)生的的結(jié)果再再于原文文異或合合并。該該加密過(guò)過(guò)程重復(fù)復(fù)16次次，每次次所用的的密鑰位位排列不不同。即即使按照照目前的的標(biāo)準(zhǔn)，，采用該該方法的的加密結(jié)結(jié)果也是是相當(dāng)安安全。6.2.1對(duì)稱(chēng)稱(chēng)加密美國(guó)在1998年12月決定將將不再使使用DES。原因?yàn)?998年5月美國(guó)EFF（ElectronicsFrontierFoundation）宣布，，他們的的一臺(tái)專(zhuān)專(zhuān)用解密密機(jī)，用用56小時(shí)破譯譯了56位密鑰的的DES。美國(guó)國(guó)家家標(biāo)準(zhǔn)和和技術(shù)協(xié)協(xié)會(huì)又制制定了AES（AdvancedEncryptionStandard）這一新新的加密密標(biāo)準(zhǔn)。。DES對(duì)于推動(dòng)動(dòng)密碼理理論的發(fā)發(fā)展和應(yīng)應(yīng)用起了了重大的的作用。。6.2.2非非對(duì)稱(chēng)加加密非對(duì)稱(chēng)密密鑰加密密在加密密的過(guò)程程中使用用相互關(guān)關(guān)聯(lián)的一一對(duì)密鑰鑰，一個(gè)個(gè)歸發(fā)送送者，一一個(gè)歸接接收者。。密鑰對(duì)中中的一個(gè)個(gè)必須保保持秘密密狀態(tài)，，稱(chēng)為私私鑰；另另一個(gè)則則被廣泛泛發(fā)布，，稱(chēng)為公公鑰。這這一組密密鑰中的的一個(gè)用用于加密密，另一一個(gè)用于于解密。。復(fù)習(xí)6.2.2非對(duì)對(duì)稱(chēng)加密密非對(duì)稱(chēng)加加密示意意圖非對(duì)稱(chēng)加加密示意意圖6.2.2非對(duì)對(duì)稱(chēng)加密密例如，用用戶(hù)A要向用戶(hù)戶(hù)B發(fā)送一條條消息，，A就必須用用B的公鑰對(duì)對(duì)信息進(jìn)進(jìn)行加密密，然后后再發(fā)送送。B接收到經(jīng)過(guò)過(guò)加密的消消息之后，，用其自己己的私鑰加加以解密獲獲取原始信信息。在傳輸?shù)倪^(guò)過(guò)程中，任任何想竊取取信息的人人因?yàn)闆](méi)有有B的私鑰而無(wú)無(wú)法獲取信信息。盡管公鑰和和私鑰是相相關(guān)的，但但要想從公公鑰確定私私鑰還是極極端困難的的。6.2.2非對(duì)稱(chēng)加加密優(yōu)點(diǎn)：由于于公鑰是公公開(kāi)的，而而私鑰則由由用戶(hù)自己己保存，所所以對(duì)于非非對(duì)稱(chēng)密鑰鑰來(lái)說(shuō)，其其密鑰管理理相對(duì)比較較簡(jiǎn)單。缺點(diǎn)：因?yàn)闉閺?fù)雜的加加密算法，，使得非對(duì)對(duì)稱(chēng)密鑰加加密速度較較慢，即使使一個(gè)很簡(jiǎn)簡(jiǎn)單的非對(duì)對(duì)稱(chēng)加密也也是很費(fèi)時(shí)時(shí)間的。6.2.3單向加加密（Hashencryption）單向加密包包括一個(gè)含含有哈希函函數(shù)的哈希希表，由這這個(gè)表確定定用來(lái)加密密的十六位位進(jìn)制數(shù)。。使用單向加加密對(duì)信息息加密，在在理論上加加以解密是是不可能的的。HASH加密用于不不想對(duì)信息息解讀或讀讀取而只需需證實(shí)信息息的正確性性。這種加加密方式適適用于簽名名文件。6.2.3單向加密密（Hashencryption）例如，ATM自動(dòng)取取款機(jī)不需需要解密用用戶(hù)的身份份證號(hào)碼，，可以對(duì)用用戶(hù)的身份份證號(hào)碼進(jìn)進(jìn)行計(jì)算產(chǎn)產(chǎn)生一個(gè)結(jié)結(jié)果。即磁磁條卡將用用戶(hù)的身份份證號(hào)單向向加密成一一段HASH值，一一旦插卡，，ATM機(jī)機(jī)將計(jì)算用用戶(hù)信息的的HASH值并產(chǎn)生生一個(gè)結(jié)果果，然后再再將其結(jié)果果與用戶(hù)卡卡上的HASH值比比較，以此此進(jìn)行認(rèn)證證。6.2.3單向加密密（Hashencryption）HASH算算法HASH加加密使用復(fù)復(fù)雜的數(shù)字字算法來(lái)實(shí)實(shí)現(xiàn)有效的的加密。典型HASH算法———MD5算法MD5提供供了一種單單向的哈希希函數(shù)，是是一個(gè)校驗(yàn)驗(yàn)和工具。。它將一個(gè)個(gè)任意長(zhǎng)的的字串做為為輸入，產(chǎn)產(chǎn)生一個(gè)128位的的“報(bào)文摘摘要”。通通過(guò)計(jì)算每每個(gè)文件的的數(shù)字指紋紋（或數(shù)字字簽名），，來(lái)檢查文文件是否被被更換，或或者是否與與原來(lái)的一一致。一個(gè)個(gè)稱(chēng)為MD系列的算算法集就是是進(jìn)行這項(xiàng)項(xiàng)工作的。其中最最常用到的的是MD5的系統(tǒng)。。6.2.3單向加密密（Hashencryption）6.2.3單向加密密（Hashencryption）數(shù)字簽名在商業(yè)系統(tǒng)統(tǒng)中，通常常都利用書(shū)書(shū)面文件來(lái)來(lái)規(guī)定契約約性的責(zé)任任。鑒別技術(shù)可可以有效地地防止第三三者的介入入，但卻不不能防止接接收者的偽偽造。另一方面面，當(dāng)發(fā)發(fā)送的信信息變得得對(duì)其不不利時(shí)，，發(fā)送方方就可能能謊稱(chēng)從從未發(fā)過(guò)過(guò)這個(gè)信信息。在在整個(gè)爭(zhēng)爭(zhēng)執(zhí)過(guò)程程中，第第三方也也無(wú)法分分辨情況況的真實(shí)實(shí)性。6.2.3單向向加密（（Hashencryption）為了解決決上述問(wèn)問(wèn)題，就就必須利利用另外外一種安安全技術(shù)術(shù)即數(shù)字字簽名。。數(shù)字簽名名的功能能:l接收者能能夠核實(shí)實(shí)發(fā)送者者對(duì)報(bào)文文的簽名名。l發(fā)送者事事后不能能抵賴(lài)對(duì)對(duì)報(bào)文的的簽名。。l任何人不不能偽造造對(duì)報(bào)文文的簽名名。l保證數(shù)據(jù)據(jù)的完整整性，防防止截獲獲者在文文件中加加入其他他信息。。l對(duì)數(shù)據(jù)和和信息的的來(lái)源進(jìn)進(jìn)行保證證，以保保證發(fā)件件人的身身份。數(shù)字簽名名有一定定的處理理速度，，能夠滿(mǎn)滿(mǎn)足所有有的應(yīng)用用需求。。6.2.4實(shí)實(shí)用加密密舉例實(shí)用加密密為確保信信息在網(wǎng)網(wǎng)上長(zhǎng)距距離的安安全傳輸輸。通常常將對(duì)稱(chēng)稱(chēng)、非對(duì)對(duì)稱(chēng)和HASH加密綜綜合使用用。一些像IIS,PGP,SSL,S-MIME的的應(yīng)用程程序都是是用對(duì)稱(chēng)稱(chēng)密鑰對(duì)對(duì)原始信信息加密密，再用用非對(duì)稱(chēng)稱(chēng)密鑰加加密所使使用的對(duì)對(duì)稱(chēng)密鑰鑰，最后后用一個(gè)個(gè)隨機(jī)碼碼標(biāo)記信信息確保保不被篡篡改。例如：發(fā)發(fā)送和接接收E-mail中加加密的實(shí)實(shí)現(xiàn)全部部過(guò)程6.2.4實(shí)用用加密舉舉例1）發(fā)送送方和接接收方在在發(fā)送信信息之前前要得到到對(duì)方的的公鑰。。2）發(fā)送送方產(chǎn)生生一個(gè)隨隨機(jī)的會(huì)會(huì)話(huà)密鑰鑰，用于于加密email信息息和附件件的。這這個(gè)密鑰鑰是根據(jù)據(jù)時(shí)間的的不同以以及文件件的大小小和日期期而隨機(jī)機(jī)產(chǎn)生的的。算法法通過(guò)使使用DES,TripleDES,RC5等等。。3）發(fā)發(fā)送者將將該會(huì)話(huà)話(huà)密鑰和和信息進(jìn)進(jìn)行一次次單向加加密得到到一個(gè)HASH值。這這個(gè)值用用來(lái)保證證數(shù)據(jù)的的完整性性因?yàn)樗趥鬏斴數(shù)倪^(guò)程程中不會(huì)會(huì)被改變變。在這這一步通通常使用用MD2,MD4,MD5或SHA1。MD5用于于SSL。4）發(fā)送者者用自己的私私鑰對(duì)這個(gè)HASH值加加密。通過(guò)使使用發(fā)送者的的私鑰加密，，接收者可以以確定信息確確實(shí)是從這個(gè)個(gè)發(fā)送者發(fā)過(guò)過(guò)來(lái)的。加密密后的HASH值稱(chēng)做信信息摘要。6.2.4實(shí)實(shí)用加密舉舉例5）發(fā)送者者用在第二步步產(chǎn)生的會(huì)話(huà)話(huà)密鑰對(duì)E-mail信信息和所有的的附件加密。。這種加密提提供了數(shù)據(jù)的的保密性。6）發(fā)送者者用接收者的的公鑰對(duì)這個(gè)個(gè)會(huì)話(huà)密鑰加加密，來(lái)確保保信息只能被被接收者用其其自己的私鑰鑰解密。這步步提供了認(rèn)證證。7）然后將將加密后的信信息和數(shù)字摘摘要發(fā)送給接接收方。解密密的過(guò)程正好好以相反的順順序執(zhí)行。6.2.5加加密技術(shù)的的實(shí)現(xiàn)1.PGP(PrettyGoodPrivacy)PGP是對(duì)電電子郵件和文文本文件較流流行的高技術(shù)術(shù)加密程序，，PGP的成成功在于采用用對(duì)稱(chēng)加密和和非對(duì)稱(chēng)加密密技術(shù)以及HASH加密密各自的優(yōu)點(diǎn)點(diǎn)。2.SecureMIME(S-MIME)S-MIME為一個(gè)公共共的工業(yè)標(biāo)準(zhǔn)準(zhǔn)方法，主要要應(yīng)用到NetscapeCommunicator’’sMessengerE-mail程序序上。6.2.5加加密技術(shù)的的實(shí)現(xiàn)6.2.5加加密技術(shù)的的實(shí)現(xiàn)5.Web服務(wù)器加加密加密WEB服服務(wù)器有兩種種模式：安全超文本傳傳輸協(xié)議（SecureHTTP）安全套接字層層（SSL））。這兩種協(xié)議都都允許自發(fā)的的進(jìn)行商業(yè)交交易，SecureHTTP和和SSL都使使用對(duì)稱(chēng)加密密，非對(duì)稱(chēng)加加密和單向加加密，并使用用單向加密的的方法對(duì)所有有的數(shù)據(jù)包簽簽名。6.2.5加加密技術(shù)的的實(shí)現(xiàn)SecureHTTP使用非對(duì)稱(chēng)稱(chēng)加密保護(hù)在在線(xiàn)傳輸，大大多數(shù)瀏覽器器都支持這個(gè)個(gè)協(xié)議。SSL協(xié)議允允許應(yīng)用程序序在公網(wǎng)上秘秘密的交換數(shù)數(shù)據(jù)。SSL允許兩兩個(gè)應(yīng)用程序序通過(guò)使用數(shù)數(shù)字證書(shū)認(rèn)證證后在網(wǎng)絡(luò)中中進(jìn)行通信。。還使用加密密及信息摘要要來(lái)保證數(shù)據(jù)據(jù)的可靠性。。SSL比其它它方法更加安安全，其加密密的過(guò)程是發(fā)發(fā)生在網(wǎng)絡(luò)的的較低層。SecureHTTP只能加密密HTTP流流量。Teacher:PGPkeys—產(chǎn)生新新keypair---口令對(duì)應(yīng)自自己的私鑰---導(dǎo)出Export---將將公鑰上傳學(xué)生：1、同同上---記住口令2、PGPkeys---Keys--將公鑰鑰Import—PGP文件夾---公鑰–Import3、右鍵單擊擊導(dǎo)入的公鑰鑰—sing–點(diǎn)公鑰鑰—選中allow………----選選剛建的Keypair---輸入入口令---4、右鍵單擊擊導(dǎo)入的公鑰鑰---KeyProperties—Trusted5、寫(xiě)一個(gè)文文檔或E-mail6、PGPkeys---Encrypt——雙擊公鑰——點(diǎn)擊--OK—保存發(fā)送送7、將文檔打打開(kāi)---PGPkeys----Decrypt&verify解密PGPPGP1PGP26.2.6密碼破譯方法法1．密鑰的窮盡盡搜索破譯密文就是是嘗試所有可可能的密鑰組組合。雖然大大多數(shù)的密鑰鑰嘗試都是失失敗的，但最最終有一個(gè)密密鑰讓破譯者者得到原文，，這個(gè)過(guò)程稱(chēng)稱(chēng)為密鑰的窮窮盡搜索。2．密碼分析（1）已知明明文的破譯方方法（2）選定明明文的破譯方方法3．其他密碼破破譯方法“窺視”或““偷竊”密鑰鑰內(nèi)容；利用用加密系統(tǒng)實(shí)實(shí)現(xiàn)中的缺陷陷或漏洞；對(duì)用用戶(hù)戶(hù)使使用用的的加加密密系系統(tǒng)統(tǒng)偷偷梁梁換換柱柱；；從從用用戶(hù)戶(hù)工工作作生生活活環(huán)環(huán)境境的的其其他他來(lái)來(lái)源源獲獲得得未未加加密密的的保保密密信信息息；；讓口口令令的的另另一一方方透透露露密密鑰鑰或或信信息息；；威威脅脅用用戶(hù)戶(hù)交交出出密密鑰鑰等等等等。。6.2.6密碼碼破破譯譯方方法法4．防防止止密密碼碼破破譯譯的的措措施施（1）強(qiáng)強(qiáng)壯壯的的加加密密算算法法（2）動(dòng)動(dòng)態(tài)態(tài)會(huì)會(huì)話(huà)話(huà)密密鑰鑰（3）保保護(hù)護(hù)關(guān)關(guān)鍵鍵密密鑰鑰6.2.6密碼碼破破譯譯方方法法常見(jiàn)見(jiàn)系系統(tǒng)統(tǒng)的的口口令令及及其其對(duì)對(duì)應(yīng)應(yīng)的的密密鑰鑰長(zhǎng)長(zhǎng)度度6.2.6密碼碼破破譯譯方方法法返回回本本章章首首頁(yè)頁(yè)6.3系統(tǒng)統(tǒng)訪訪問(wèn)問(wèn)控控制制與與認(rèn)認(rèn)證證機(jī)機(jī)制制6.3.1系系統(tǒng)統(tǒng)登登陸陸1．．Unix系系統(tǒng)統(tǒng)登登陸陸Unix系系統(tǒng)統(tǒng)是是一一個(gè)個(gè)可可供供多多個(gè)個(gè)用用戶(hù)戶(hù)同同時(shí)時(shí)使使用用的的多多用用戶(hù)戶(hù)、、多多任任務(wù)務(wù)、、分分時(shí)時(shí)的的操操作作系系統(tǒng)統(tǒng)，，任任何何一一個(gè)個(gè)想想使使用用Unix系系統(tǒng)統(tǒng)的的用用戶(hù)戶(hù)，，必必須須先先向向該該系系統(tǒng)統(tǒng)的的管管理理員員申申請(qǐng)請(qǐng)一一個(gè)個(gè)賬賬號(hào)號(hào)，，然然后后才才能能使使用用該該系系統(tǒng)統(tǒng)，，因因此此賬賬號(hào)號(hào)就就成成為為用用戶(hù)戶(hù)進(jìn)進(jìn)入入系系統(tǒng)統(tǒng)的的合合法法““身身份份證證””。。6.3.1系系統(tǒng)統(tǒng)登登陸陸2．．Unix賬賬號(hào)號(hào)文文件件Unix賬賬號(hào)號(hào)文文件件/etc/passwd是是登登錄錄驗(yàn)驗(yàn)證證的的關(guān)關(guān)鍵鍵，，該該文文件件包包含含所所有有用用戶(hù)戶(hù)的的信信息息，，如如用用戶(hù)戶(hù)的的登登錄錄名名、、口口令令和和用用戶(hù)戶(hù)標(biāo)標(biāo)識(shí)識(shí)號(hào)號(hào)等等等等信信息息。。該該文文件件的的擁?yè)碛杏姓哒呤鞘浅?jí)級(jí)用用戶(hù)戶(hù)，，只只有有超超級(jí)級(jí)用用戶(hù)戶(hù)才才有有寫(xiě)寫(xiě)的的權(quán)權(quán)力力，，而而一一般般用用戶(hù)戶(hù)只只有有讀讀取取的的權(quán)權(quán)力力。。6.3.1系系統(tǒng)統(tǒng)登登陸陸3.WindowsNT/2000系系統(tǒng)統(tǒng)登登錄錄WindowsNT要要求求每每一一個(gè)個(gè)用用戶(hù)戶(hù)提提供供唯唯一一的的用用戶(hù)戶(hù)名名和和口口令令來(lái)來(lái)登登錄錄到到計(jì)計(jì)算算機(jī)機(jī)上上，，這這種種強(qiáng)強(qiáng)制制性性登登錄錄過(guò)過(guò)程程不不能能關(guān)關(guān)閉閉。。成功功的的登登錄錄過(guò)過(guò)程程有有4個(gè)個(gè)步步驟驟：：（1））Win32的的WinLogon進(jìn)進(jìn)程程給給出出一一個(gè)個(gè)對(duì)對(duì)話(huà)話(huà)框框，，要要求求要要有有一一個(gè)個(gè)用用戶(hù)戶(hù)名名和和口口令令，，這這個(gè)個(gè)信信息息被被傳傳遞遞給給安安全全性性賬賬戶(hù)戶(hù)管管理理程程序序。。（2））安安全全性性賬賬戶(hù)戶(hù)管管理理程程序序查查詢(xún)?cè)儼舶踩孕再~賬戶(hù)戶(hù)數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)，，以以確確定定指指定定的的用用戶(hù)戶(hù)名名和和口口令令是是否否屬屬于于授授權(quán)權(quán)的的系系統(tǒng)統(tǒng)用用戶(hù)戶(hù)。。（3））如如果果訪訪問(wèn)問(wèn)是是授授權(quán)權(quán)的的，，安安全全性性系系統(tǒng)統(tǒng)構(gòu)構(gòu)造造一一個(gè)個(gè)存存取取令令牌牌，，并并將將它它傳傳回回到到Win32的的WinLogin進(jìn)進(jìn)程程。。（4））WinLogin調(diào)調(diào)用用Win32子子系系統(tǒng)統(tǒng)，，為為用用戶(hù)戶(hù)創(chuàng)創(chuàng)建建一一個(gè)個(gè)新新的的進(jìn)進(jìn)程程，，傳傳遞遞存存取取令令牌牌給給子子系系統(tǒng)統(tǒng)，，Win32對(duì)對(duì)新新創(chuàng)創(chuàng)建建的的進(jìn)進(jìn)程程連連接接此此令令牌牌。。6.3.1系系統(tǒng)統(tǒng)登登陸陸4.賬賬戶(hù)戶(hù)鎖鎖定定為了了防防止止有有人人企企圖圖強(qiáng)強(qiáng)行行闖闖入入系系統(tǒng)統(tǒng)中中，，用用戶(hù)戶(hù)可可以以設(shè)設(shè)定定最最大大登登錄錄次次數(shù)數(shù)，，如如果果用用戶(hù)戶(hù)在在規(guī)規(guī)定定次次數(shù)數(shù)內(nèi)內(nèi)未未成成功功登登錄錄，，則則系系統(tǒng)統(tǒng)會(huì)會(huì)自自動(dòng)動(dòng)被被鎖鎖定定，，不不可可能能再再用用于于登登錄錄。。5.Windows安全全性標(biāo)識(shí)符符（SID）在安全系統(tǒng)統(tǒng)上標(biāo)識(shí)一一個(gè)注冊(cè)用用戶(hù)的唯一一名字，它它可以用來(lái)來(lái)標(biāo)識(shí)一個(gè)個(gè)用戶(hù)或一一組用戶(hù)。。修改鎖定時(shí)間為0修改閥值為36.3認(rèn)認(rèn)證機(jī)制制身份認(rèn)證（（IdentificationandAuthentication）定義義為：為了了使某些授授予許可權(quán)權(quán)限的權(quán)威威機(jī)構(gòu)滿(mǎn)意意，而提供供所要求的的用戶(hù)身份份驗(yàn)證的過(guò)過(guò)程。6.3.1認(rèn)證證方法用戶(hù)或系統(tǒng)統(tǒng)能夠通過(guò)過(guò)四種方法法來(lái)證明其其身份：實(shí)物認(rèn)證密碼認(rèn)證生物特征認(rèn)認(rèn)證位置認(rèn)證復(fù)習(xí)6.3.1認(rèn)證證方法實(shí)物認(rèn)證：：智能卡（（SmartCard）就就是一種根根據(jù)用戶(hù)擁?yè)碛械奈锲菲愤M(jìn)行鑒別別的手段。。自動(dòng)取款款機(jī)ATM。密碼認(rèn)證：：口令可以以說(shuō)是其中中的一種，，但口令容容易被偷竊竊，于是人人們發(fā)明了了一種一次次性口令機(jī)機(jī)制。6.3.1認(rèn)證證方法生物特征認(rèn)認(rèn)證指紋：唯一地識(shí)別別一個(gè)人手?。鹤x取整個(gè)手手而不是僅僅僅手指的的特征。聲音圖像：：每個(gè)人各不不相同筆跡或簽名名：字母和符號(hào)號(hào)的組合、、簽名時(shí)某某些部分用用力的大小小、筆接觸觸紙的時(shí)間間的長(zhǎng)短、、筆移動(dòng)中中的停頓等等細(xì)微的差差別。視網(wǎng)膜掃描描：是用紅外線(xiàn)線(xiàn)檢查人眼眼各不相同同的血管圖圖像。6.3.1認(rèn)證證方法位置認(rèn)證該認(rèn)證的策策略是根據(jù)據(jù)用戶(hù)的位位置來(lái)決定定其身份。。比如UNIX的rlogin和rsh程序通過(guò)源源IP地址來(lái)驗(yàn)證證一個(gè)用戶(hù)戶(hù)、主機(jī)或或執(zhí)行過(guò)程程。6.3.1認(rèn)證證方法3、口令維維護(hù)問(wèn)題（1）不要要幾個(gè)人共共享一個(gè)口口令，不要要把它記在在本子上或或計(jì)算機(jī)周周?chē)?。?）不要要用系統(tǒng)指指定的口令令，如root、、demo和test等，第第一次進(jìn)入入系統(tǒng)就要要修改口令令，不要沿沿用系統(tǒng)給給用戶(hù)的缺缺省口令。。（3）最好好將口令加加密處理后后再用電子子郵件傳送送.（4）如果果賬戶(hù)長(zhǎng)期期不用，管管理員應(yīng)將將其暫停。。如果雇員員離開(kāi)公司司，則管理理員應(yīng)及時(shí)時(shí)把他的賬賬戶(hù)消除，，（5）可以以限制用戶(hù)戶(hù)的登錄時(shí)時(shí)間，如只只有在工作作時(shí)間可登登錄。（6）限制制登錄次數(shù)數(shù)。防止對(duì)對(duì)賬戶(hù)多次次嘗試口令令而闖入系系統(tǒng)。（7）最后后一次登錄錄，該方法法報(bào)告最后后一次系統(tǒng)統(tǒng)登錄的時(shí)時(shí)間、日期期，以及在在最后一次次登錄后發(fā)發(fā)生過(guò)多少少次未成功功的登錄企企圖。這樣樣可以提供供線(xiàn)索了解解是否有人人非法訪問(wèn)問(wèn)。（8）去掉掉TFTP服務(wù)，因因通過(guò)使用用TFTP（TrivialFileTransferProtocol））可獲取口口令文件（（/etc/passwd））。（9）定期期地查看日日志文件，，尤其是登登錄末成功功的消息日日志文件。。（10）確確保除了root之之外沒(méi)有任任何公共的的用戶(hù)賬號(hào)號(hào)。不創(chuàng)建建guest賬號(hào)。。6.3.2認(rèn)證類(lèi)類(lèi)型認(rèn)證服務(wù)器器所授權(quán)認(rèn)認(rèn)證的數(shù)字字證書(shū)類(lèi)型型有以下幾幾種：CA證書(shū)：：CA證書(shū)書(shū)是簽發(fā)并并管理正式式使用公用用密鑰與用用戶(hù)相關(guān)的的證書(shū)。該該證書(shū)只在在某一時(shí)間間內(nèi)有效，，因而CA保存一份份有效證書(shū)書(shū)及其有效效期清單。。服務(wù)器證書(shū)書(shū)：是運(yùn)行行在Web服務(wù)器上上，并且保保證服務(wù)器器和瀏覽器器間的加密密的SSL會(huì)話(huà)個(gè)人證書(shū)：：給用戶(hù)授授權(quán)的證書(shū)書(shū)，運(yùn)行S/MIME、SSL以及SET。軟件出版商商認(rèn)證：允允許applets或ActiveX控件的的開(kāi)發(fā)者公公開(kāi)他們的的身份。6.3.3實(shí)用認(rèn)認(rèn)證技術(shù)從上面的認(rèn)認(rèn)證方法中中，可以看看到使用單單獨(dú)的某一一種認(rèn)證機(jī)機(jī)制的安全全性是有限限的。Kerberos和和一次性密密碼是用于于加強(qiáng)認(rèn)證證系統(tǒng)的兩兩項(xiàng)技術(shù)。。其結(jié)合使用用加密技術(shù)術(shù)和其它策策略來(lái)檢查查身份，有有效地防止止了一些惡惡意破壞。。其認(rèn)證手手段得到廣廣泛應(yīng)用。。6.3.3實(shí)用認(rèn)認(rèn)證技術(shù)Kerberos認(rèn)認(rèn)證系統(tǒng)在開(kāi)放環(huán)境境中，為了了減輕應(yīng)用用服務(wù)器對(duì)對(duì)用戶(hù)認(rèn)證證的負(fù)擔(dān)，，引入一個(gè)個(gè)認(rèn)證服務(wù)務(wù)器AS（（AuthenticationServer）的第第三方來(lái)承承擔(dān)對(duì)用戶(hù)戶(hù)的認(rèn)證，，AS知道道每個(gè)用戶(hù)戶(hù)的口令，，并將口令令保存于一一個(gè)中心數(shù)數(shù)據(jù)庫(kù)。（1）用戶(hù)戶(hù)如果想訪訪問(wèn)某一應(yīng)應(yīng)用服務(wù)器器，首先向向AS發(fā)出出請(qǐng)求，（2）AS將收到的的用戶(hù)口令令與中心數(shù)數(shù)據(jù)庫(kù)存儲(chǔ)儲(chǔ)的口令相相比較以驗(yàn)驗(yàn)證用戶(hù)的的身份。（3）如果果驗(yàn)證通過(guò)過(guò)，AS則則向用戶(hù)戶(hù)發(fā)放一個(gè)個(gè)允許用戶(hù)戶(hù)得到應(yīng)用用服務(wù)器服服務(wù)的票據(jù)據(jù)，（4）用戶(hù)戶(hù)則根據(jù)這這一票據(jù)去去獲取服務(wù)務(wù)器的服務(wù)務(wù)。若用戶(hù)需要要多次訪問(wèn)問(wèn)同一服務(wù)務(wù)器，避免免每次都重重復(fù)獲取票票據(jù)的過(guò)程程，再引入入另一新服服務(wù)器稱(chēng)為為票據(jù)許可可服務(wù)器TGS（Ticket-grantingServer）。TGS向已已以經(jīng)過(guò)AS認(rèn)證的的客戶(hù)發(fā)放放用于獲取取應(yīng)用服務(wù)務(wù)器的票據(jù)據(jù)。Kerberos系統(tǒng)的認(rèn)認(rèn)證過(guò)程程分為三三個(gè)階段段，共六六步。用戶(hù)CKerberos認(rèn)證服務(wù)器AS票據(jù)服務(wù)器TGS數(shù)據(jù)庫(kù)①②③④⑤⑥服務(wù)器V第1階段段：認(rèn)證證服務(wù)交交換，即即用戶(hù)從從AS獲獲取訪訪問(wèn)TGS的的票據(jù)許許可票據(jù)據(jù)。第2階段段：用戶(hù)戶(hù)從TGS獲取取服務(wù)許許可票據(jù)據(jù)，即即票據(jù)據(jù)許可服服務(wù)交換換。第3階段段：用戶(hù)戶(hù)從服務(wù)務(wù)器獲取取服務(wù)，，即客戶(hù)戶(hù)機(jī)機(jī)與與服務(wù)器器的認(rèn)證證交換。。6.3.3實(shí)實(shí)用認(rèn)證證技術(shù)第1步：：客戶(hù)向向AS發(fā)發(fā)出訪問(wèn)問(wèn)TGS的請(qǐng)求求，請(qǐng)求求中的的時(shí)戳戳用以向向AS表表示這一一請(qǐng)求是是新的。。第2步：：AS向向C發(fā)出出應(yīng)答，，應(yīng)答由由用戶(hù)的的口令導(dǎo)導(dǎo)出出的的密鑰加加密，使使得只有有C能解解讀。應(yīng)應(yīng)答答的內(nèi)容容包括C與TGS會(huì)話(huà)話(huà)所使用用的密鑰鑰，，用以向向C表示示TGS身份的的ID、、時(shí)戳TS、AS向C發(fā)發(fā)放的票票據(jù)許可可票據(jù)Ticket以以及及這一票票據(jù)的截截止期限限lifetime。。6.3.3實(shí)實(shí)用認(rèn)證證技術(shù)6.3.3實(shí)實(shí)用認(rèn)證證技術(shù)第3步：：C向TGS發(fā)發(fā)出一個(gè)個(gè)由請(qǐng)求求提供服服務(wù)的服服務(wù)器的的身份、、第2步步獲得的的票據(jù)以以及一個(gè)個(gè)認(rèn)證符符構(gòu)成的的消息。。其中認(rèn)證證符中包包括C上上用戶(hù)的的身份、、C的地地址及一一個(gè)時(shí)戳戳。與票票據(jù)不同同，票據(jù)據(jù)可重復(fù)復(fù)使用且且有效期期較長(zhǎng)，，而認(rèn)證證符只能能使用一一次且有有效期很很短。TGS用用與AS共享的的密鑰Kt解密密票據(jù)后后，知道道C已從從AS處處得到與與自己會(huì)會(huì)話(huà)的會(huì)會(huì)話(huà)密鑰鑰Kctgs，，票據(jù)在在這里的的含義事事實(shí)上是是“使用用密鑰的的人就是是C”。。6.3.3實(shí)實(shí)用認(rèn)證證技術(shù)TGS也也使用Kctgs解讀讀認(rèn)證符符，并將將認(rèn)證符符中的數(shù)數(shù)據(jù)與票票據(jù)中的的數(shù)據(jù)加加以比較較，從而而可相信信票據(jù)的的發(fā)送者者的確是是票據(jù)的的實(shí)際持持有者，，這時(shí)認(rèn)認(rèn)證符的的含義實(shí)實(shí)際上是是“在時(shí)時(shí)間TS，C使使用KCtgs”。這時(shí)的票票據(jù)不能能證明任任何人的的身份，，只是用用來(lái)安全全地分配配密鑰，，而認(rèn)證證符則是是用來(lái)證證明客戶(hù)戶(hù)的身份份。因?yàn)闉檎J(rèn)證符符僅能被被使用一一次且有有效期很很短，可可防止票票據(jù)和認(rèn)認(rèn)證符被被盜用。。第4步：：TGS向C應(yīng)應(yīng)答的消消息由TGS和和C共享享的會(huì)話(huà)話(huà)密鑰加加密后發(fā)發(fā)往C，，應(yīng)答中中的內(nèi)容容有C和和V共享享的會(huì)話(huà)話(huà)密鑰Kc,v、V的身身份ID，服務(wù)務(wù)許可票票據(jù)TicketV(有C和和V的ID、Kc,v、并用TGS與V的共享享密鑰KV加密）及及票據(jù)的的時(shí)戳。。第5步：：C向服服務(wù)器V發(fā)出服服務(wù)許可可票據(jù)TicketV和認(rèn)證符符Authenticatorv。服務(wù)器器用Kv解密票據(jù)據(jù)后得到到會(huì)話(huà)密密鑰Kc,v，并由Kc,v解密認(rèn)證證符，以以驗(yàn)證C的身份份。第6步：：服務(wù)器器V向C證明自自己的身身份。V對(duì)從認(rèn)認(rèn)證符得得到的時(shí)時(shí)戳加1，再由由與C共共享的密密鑰加密密后發(fā)給給C，C解讀后后對(duì)增加加的時(shí)戳戳加以驗(yàn)驗(yàn)證，從從而相信信增加時(shí)時(shí)戳的的的確是V。6.3.3實(shí)實(shí)用認(rèn)證證技術(shù)一次性密密碼（OTPOneTimePassword）為了解決決固定口口令的諸諸多問(wèn)題題，安全全專(zhuān)家提提出了一一次性口口令密碼碼體制，，以保護(hù)護(hù)關(guān)鍵的的計(jì)算資資源。OTP的主要思思路是：：在登錄過(guò)過(guò)程中加加入不確確定因素素，使每每次登錄錄過(guò)程中中傳送的的信息都都不相同同，以提提高登錄錄過(guò)程安安全性。。例如：：登錄密密碼=MD5(用戶(hù)名＋＋密碼＋時(shí)間）），系統(tǒng)統(tǒng)接收到到登錄口口令后做做一個(gè)驗(yàn)驗(yàn)算即可可驗(yàn)證用用戶(hù)的合合法性。。6.3.3實(shí)實(shí)用認(rèn)證證技術(shù)返回本章章首頁(yè)6.4虛擬專(zhuān)用用網(wǎng)及其其安全性性虛擬專(zhuān)用用網(wǎng)VPN（VirtualPrivateNetworks）是企企業(yè)內(nèi)部部網(wǎng)在Internet等公公共網(wǎng)絡(luò)絡(luò)上的延延伸，通通過(guò)一個(gè)個(gè)專(zhuān)用的的通道來(lái)來(lái)創(chuàng)建一一個(gè)安全全的專(zhuān)用用連接，，從而可可將遠(yuǎn)程程用戶(hù)、、企業(yè)分分支機(jī)構(gòu)構(gòu)、公司司的業(yè)務(wù)務(wù)合作伙伙伴等與與公司的的內(nèi)部網(wǎng)網(wǎng)連接起起來(lái)，構(gòu)構(gòu)成一個(gè)個(gè)擴(kuò)展的的企業(yè)內(nèi)內(nèi)部網(wǎng)。。通過(guò)VPN，網(wǎng)網(wǎng)絡(luò)服務(wù)務(wù)提供商商N(yùn)SP或ISP可使使用Internet或服務(wù)務(wù)器將自自己的IP主干干網(wǎng)向企企業(yè)提供供遠(yuǎn)程訪訪問(wèn)和分分支機(jī)構(gòu)構(gòu)互聯(lián)等等業(yè)務(wù)，，從而擴(kuò)擴(kuò)大了自自己網(wǎng)絡(luò)的地地域范圍圍，增加了了自己的的商業(yè)服服務(wù)機(jī)會(huì)會(huì)。而對(duì)對(duì)企業(yè)來(lái)來(lái)說(shuō)可很很大程度度地降低低自己的的費(fèi)用，，減少對(duì)對(duì)網(wǎng)絡(luò)管管理和支支持終端端用戶(hù)的的需求，，并可使使自己的的安全規(guī)規(guī)則更為為靈活。。6.4虛擬專(zhuān)用用網(wǎng)及其其安全性性6.4虛擬專(zhuān)用網(wǎng)及及其安全性6.4虛擬專(zhuān)用網(wǎng)及及其安全性6.4虛擬專(zhuān)用網(wǎng)及及其安全性6.4.1VPN簡(jiǎn)介VPN指的是是在共享網(wǎng)絡(luò)絡(luò)上建立專(zhuān)用用網(wǎng)絡(luò)的技術(shù)術(shù)，其連接技技術(shù)稱(chēng)為隧道道。之所以稱(chēng)稱(chēng)為虛擬網(wǎng)主主要是因?yàn)檎麄€(gè)VPN網(wǎng)網(wǎng)絡(luò)的任意兩兩個(gè)節(jié)點(diǎn)之間間的連接并沒(méi)沒(méi)有傳統(tǒng)專(zhuān)用用網(wǎng)所需的端端到端的物理理鏈路，而是是架構(gòu)在公用用網(wǎng)絡(luò)服務(wù)商商所提供的網(wǎng)網(wǎng)絡(luò)平臺(tái)（如如Internet，ATM，F(xiàn)rameRelay等等）之上的邏邏輯網(wǎng)絡(luò)，用用戶(hù)數(shù)據(jù)在邏邏輯鏈路中傳傳輸。其VPN具有虛電電路的特點(diǎn)。。VPN協(xié)議可可以處理數(shù)據(jù)據(jù)包，并對(duì)其其有效負(fù)載加加密，把數(shù)據(jù)據(jù)包發(fā)送到目目的地址。6.4.1VPN簡(jiǎn)介VPN具有有以下優(yōu)點(diǎn)點(diǎn)：降低成本：：企業(yè)不必必租用長(zhǎng)途途專(zhuān)線(xiàn)建設(shè)設(shè)專(zhuān)網(wǎng)以及及大量的網(wǎng)網(wǎng)絡(luò)維護(hù)人人員和設(shè)備備的投資。。容易擴(kuò)展：：網(wǎng)絡(luò)路由由設(shè)備配置置簡(jiǎn)單?？刂浦鲃?dòng)權(quán)權(quán)：VPN上的設(shè)施施和服務(wù)完完全掌握在在企業(yè)手中中。企業(yè)可可以把撥號(hào)號(hào)訪問(wèn)交給給NSP去去做，而自自己負(fù)責(zé)用用戶(hù)的查驗(yàn)驗(yàn)、訪問(wèn)權(quán)權(quán)、網(wǎng)絡(luò)地地址、安全全性和網(wǎng)絡(luò)絡(luò)變化管理理等重要工工作。VPN通過(guò)過(guò)采用“隧隧道”技術(shù)術(shù)，在公網(wǎng)網(wǎng)中形成企企業(yè)的安全全、機(jī)密、、順暢的專(zhuān)專(zhuān)用鏈路。。常見(jiàn)的的VPN協(xié)協(xié)議有PPTP和IPSec。6.4.2VPN的安安全性對(duì)于VPN的實(shí)施來(lái)來(lái)說(shuō)，安全全性也是很很重要的。。如果不能能保證其安安全性，黑黑客就可以以假扮用戶(hù)戶(hù)以獲取網(wǎng)網(wǎng)絡(luò)信息，，這樣就會(huì)會(huì)對(duì)網(wǎng)絡(luò)安安全造成威威脅。1.點(diǎn)點(diǎn)對(duì)點(diǎn)的隧隧道協(xié)議（（PPTP）PPTP是是用來(lái)在公公用網(wǎng)的通通信系統(tǒng)間間（通常是是客戶(hù)機(jī)和和服務(wù)器間間）建立一一個(gè)專(zhuān)用通通道。該協(xié)協(xié)議使用Internet通通用路由由封裝（GREv2，GenericRoutingEncapsulation）協(xié)協(xié)議封裝數(shù)數(shù)據(jù)和信息息/控制分分組。PPTP是是在微軟的的撥號(hào)網(wǎng)絡(luò)絡(luò)設(shè)備中集集成的數(shù)據(jù)據(jù)加密技術(shù)術(shù)，采用密密鑰長(zhǎng)度為為40比特特的加密算算法。在客客戶(hù)工作站站與最終的的隧道終結(jié)結(jié)器協(xié)商PPP時(shí)，，加密的會(huì)會(huì)話(huà)就建立立起來(lái)了.6.4.2VPN的安安全性2.IPSec與PPTP的比較較IPSec已成為VPN的安安全標(biāo)準(zhǔn)，，用來(lái)進(jìn)行行對(duì)數(shù)據(jù)包包的加密、、認(rèn)證和完完整性確認(rèn)認(rèn)。IPSec標(biāo)準(zhǔn)準(zhǔn)是由一系系列IP級(jí)級(jí)的協(xié)議組組成，這些些協(xié)議用于于在IP收收發(fā)兩端協(xié)協(xié)商加密方方法和數(shù)字字簽名方法法。與點(diǎn)對(duì)對(duì)點(diǎn)加密技技術(shù)相比，，IPSec的安全全性更高。。其具有用用戶(hù)認(rèn)證、、保密性和和數(shù)據(jù)完整整性。IPSec的另一個(gè)個(gè)優(yōu)點(diǎn)是其其安全機(jī)制制被松散地地結(jié)合在密密鑰管理系系統(tǒng)中，因因此如果將將來(lái)出現(xiàn)了了更新更強(qiáng)強(qiáng)大的密碼碼算法就可可直接用于于這一體系系結(jié)構(gòu)，而而無(wú)需對(duì)安安全機(jī)制進(jìn)進(jìn)行修改。。網(wǎng)絡(luò)病毒的的特點(diǎn)1、病毒RemoteExplore（探險(xiǎn)險(xiǎn)者）是網(wǎng)網(wǎng)絡(luò)病毒的的“先驅(qū)者者”，于于1998年爆爆發(fā)，是病病毒發(fā)展歷歷史中的一一個(gè)重要標(biāo)標(biāo)志。RemoteExplore病毒通通過(guò)盜取WindowsNT域管管理員的帳帳號(hào)進(jìn)行傳傳播。如果果一個(gè)具有有管理員身身份的用戶(hù)戶(hù)執(zhí)行了染染毒的程序序，該病毒毒便以服務(wù)務(wù)的方式駐駐留內(nèi)存，，取名為““RemoteExplore”，，并在染毒毒系統(tǒng)中安安裝文件\winnt\system32\drivers\ie403r.sys。若另另一臺(tái)NT機(jī)器只要要用同一管管理員帳號(hào)號(hào)登錄到染染毒的機(jī)器器中，該病病毒就可以以感染局域域網(wǎng)附加網(wǎng)網(wǎng)絡(luò)驅(qū)動(dòng)器器中的文件件。當(dāng)病病毒毒被被激激活活后后，，它它便便在在共共享享的的網(wǎng)網(wǎng)絡(luò)絡(luò)驅(qū)驅(qū)動(dòng)動(dòng)器器上上隨隨機(jī)機(jī)選選擇擇一一個(gè)個(gè)文文件件夾夾，，感感染染除除.dll或或.tmp擴(kuò)擴(kuò)展展名名的的文文件件外外的的所所有有其其他他文文件件，，就就連連一一些些DOS下下的的.exe文文件件同同樣樣難難逃逃厄厄運(yùn)運(yùn)。。6.5網(wǎng)絡(luò)絡(luò)病病毒毒防防治治技技術(shù)術(shù)網(wǎng)絡(luò)絡(luò)病病毒毒的的特特點(diǎn)點(diǎn)2、、Matrix病毒毒Matrix在在2000年年8月月發(fā)發(fā)源源于于德德國(guó)國(guó)，，它它具具有有網(wǎng)網(wǎng)絡(luò)絡(luò)蠕蠕蟲(chóng)蟲(chóng)的的特特性性，，利利用用Internet和和LAN進(jìn)進(jìn)行行傳傳播播。。該病病毒毒以以郵郵件件附附件件的的形形式式傳傳播播。。當(dāng)當(dāng)接接收收者者打打開(kāi)開(kāi)附附件件，，該該病病毒毒便便在在網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)內(nèi)內(nèi)安安裝裝文文件件到到c:\windows目目錄錄下下，，然然后后將將系系統(tǒng)統(tǒng)內(nèi)內(nèi)的的WSOCK32.DLL刪刪除除，，把把WSOCK32.MTX更更名名為為WSOCK32.DLL。。這這樣樣，，受受感感染染系系統(tǒng)統(tǒng)在在發(fā)發(fā)送送郵郵件件時(shí)時(shí)增增加加自自動(dòng)動(dòng)發(fā)發(fā)送送附附件件的的功功能能，，附附件件即即為為蠕蠕蟲(chóng)蟲(chóng)的的副副本本。。病毒毒還還能能對(duì)對(duì)網(wǎng)網(wǎng)上上鄰鄰居居中中的的所所有有可可用用資資源源進(jìn)進(jìn)行行搜搜索索，，以以便便能能夠夠同同本本機(jī)機(jī)進(jìn)進(jìn)行行文文件件傳傳輸輸，，從從而而達(dá)達(dá)到到感感染染網(wǎng)網(wǎng)絡(luò)絡(luò)中中其其它它機(jī)機(jī)器器的的目目的的。。病毒毒通通過(guò)過(guò)創(chuàng)創(chuàng)建建wininit.ini文文件件，，在在每每次次系系統(tǒng)統(tǒng)啟啟動(dòng)動(dòng)后后自自動(dòng)動(dòng)運(yùn)運(yùn)行行。。另另外外，，被被安安裝裝的的文文件件MTX.EXE還還能能夠夠?qū)⑾迪到y(tǒng)統(tǒng)連連接接到到指指定定的的站站點(diǎn)點(diǎn)，，并并下下載載新新的的病病毒毒插插件件，，以以完完成成自自身身更更新新。。6.5.1網(wǎng)絡(luò)絡(luò)病毒的的特點(diǎn)3.LOVELETTER（（愛(ài)蟲(chóng)））病毒LOVELETTER于于2000年5月發(fā)源源于菲律律賓。其其最大的的特點(diǎn)是是通過(guò)Email和IRC快速傳播播。在通過(guò)電電子郵件件傳播時(shí)時(shí)，它不不放過(guò)地地址簿中中的每一一個(gè)地址址而且郵郵件的主主題還是是具有誘誘惑性的的“ILOVEYOU””。一旦旦用戶(hù)打打開(kāi)附件件，病毒毒便進(jìn)行行感染：：搜索outlook地址簿簿、IRC連接接、發(fā)送送帶有病病毒的郵郵件、通通過(guò)IRC感染染其它用用戶(hù)等等等。6.5網(wǎng)絡(luò)病病毒防防治技技術(shù)其傳播播方式式有：：l病毒直直接從從有盤(pán)盤(pán)站拷拷貝到到服務(wù)務(wù)器中中。l病毒首首先傳傳染工工作站站并駐駐留內(nèi)內(nèi)存，，等運(yùn)運(yùn)行網(wǎng)網(wǎng)絡(luò)盤(pán)盤(pán)內(nèi)程程序時(shí)時(shí)再傳傳染給給服務(wù)務(wù)器。。或在在運(yùn)行行時(shí)直直接通通過(guò)映映像路路徑傳傳染到到服務(wù)務(wù)器。。l若遠(yuǎn)程程工作作站被被病毒毒侵入入，病病毒則則可通通過(guò)通通信中中數(shù)據(jù)據(jù)交換換進(jìn)入入網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)器中中。6.5網(wǎng)網(wǎng)絡(luò)病病毒防防治