《网络管理与安全技术ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络管理与安全技术ppt课件.ppt(92页珍藏版)》请在金锄头文库上搜索。
1、网络管理与安全技术网络管理与安全技术6.1安全通信协议6.2加密技术6.3认证机制6.4 VPN技术6.5 网络病毒防治技术第第6 6章网络安全技术章网络安全技术6.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSec IPSec IPSecIP SecurityIP Security6.1.1 IPSec6.1.1 IPSec的作用的作用 IPSecIPSec通过在通过在IPIP层对所有业务流加密和认证,保层对所有业务流加密和认证,保证了所有分布式应用程序的安全性。证了所有分布式应用程序的安全性。企业可在公网上建立自己的虚拟专用网。企业可在公网上建立自己的虚拟专用网。配有配有
2、IPSecIPSec系统的用户,通过系统的用户,通过ISPISP获取安全访问。获取安全访问。IPSecIPSec既可用于建立内部网安全连接也可用于外部既可用于建立内部网安全连接也可用于外部网的安全连接。网的安全连接。IPSecIPSec可增加已有的安全协议的安全性。可增加已有的安全协议的安全性。第第6 6章安全通信协议章安全通信协议 IPSecIPSecIPSecIPSec应用示例应用示例应用示例应用示例用户系统用户系统用户系统用户系统-IPSec-WAN-IPSec-IPSec-WAN-IPSec-IPSec-WAN-IPSec-IPSec-WAN-IPSec-网络设备网络设备网络设备网络设
3、备-IP-LAN -IP-LAN -IP-LAN -IP-LAN IP报头报头IPSec报头报头安全安全IP负载负载IP报头报头IPSec报头报头安全安全IP负载负载IP报头报头IP负载负载具有具有IPSec的用户系统的用户系统具有具有IPSec的网络设备的网络设备IP报头报头IP负载负载IPSecIPSecIPSecIPSec具有以下意义:具有以下意义:具有以下意义:具有以下意义: IPSecIPSecIPSecIPSec用用用用于于于于防防防防火火火火墙墙墙墙和和和和路路路路由由由由器器器器等等等等网网网网络络络络设设设设备备备备中中中中,以以以以提提提提供供供供安安安安全全全全的的的的业
4、业业业务务务务流流流流,而而而而在在在在LANLANLANLAN内内内内则则则则可可可可以以以以不不不不必必必必进进进进行行行行安安安安全全全全性性性性处处处处理。理。理。理。 IPSecIPSecIPSecIPSec用于防火墙可防止用用于防火墙可防止用用于防火墙可防止用用于防火墙可防止用IPIPIPIP的业务流绕过防火墙。的业务流绕过防火墙。的业务流绕过防火墙。的业务流绕过防火墙。 IPSecIPSecIPSecIPSec位位位位于于于于网网网网络络络络层层层层,对对对对于于于于应应应应用用用用程程程程序序序序来来来来说说说说是是是是透透透透明明明明的的的的。无无无无需修改用户或服务器所使用
5、的软件。需修改用户或服务器所使用的软件。需修改用户或服务器所使用的软件。需修改用户或服务器所使用的软件。6.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSecIPIPIPIP层层层层的的的的安安安安全全全全问问问问题题题题涉涉涉涉及及及及了了了了认认认认证证证证、保保保保密密密密和和和和密密密密钥钥钥钥管管管管理理理理三三三三个个个个领域。其安全性应达到:领域。其安全性应达到:领域。其安全性应达到:领域。其安全性应达到: 期望安全的用户能够使用基于密码学的安全机制;期望安全的用户能够使用基于密码学的安全机制;期望安全的用户能够使用基于密码学的安全机制;期望安全的用户能够使用基
6、于密码学的安全机制; 应能同时适用于应能同时适用于应能同时适用于应能同时适用于IPv4IPv4IPv4IPv4和和和和IPv6;IPv6;IPv6;IPv6; 算法独立;算法独立;算法独立;算法独立; 有利于实现不同安全策略;有利于实现不同安全策略;有利于实现不同安全策略;有利于实现不同安全策略; 对没有采用该机制的用户不会有负面影响。对没有采用该机制的用户不会有负面影响。对没有采用该机制的用户不会有负面影响。对没有采用该机制的用户不会有负面影响。6.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSec IPSecIPSecIPSecIPSec在在在在IPIPIPIP层层层层提
7、提提提供供供供安安安安全全全全业业业业务务务务的的的的方方方方式式式式是是是是让让让让系系系系统统统统选选选选择择择择所要求的安全协议、算法和密钥。所要求的安全协议、算法和密钥。所要求的安全协议、算法和密钥。所要求的安全协议、算法和密钥。 安全协议有:安全协议有:安全协议有:安全协议有:1. 1. 1. 1.认证报头认证报头认证报头认证报头AHAHAHAH(Authentication Header),Authentication Header),Authentication Header),Authentication Header),即认证协议。即认证协议。即认证协议。即认证协议。2. 2
8、. 2. 2.封装的安全负载封装的安全负载封装的安全负载封装的安全负载ESPESPESPESP(Encapsulating Security Encapsulating Security Encapsulating Security Encapsulating Security Payload),Payload),Payload),Payload),即加密与认证协议。即加密与认证协议。即加密与认证协议。即加密与认证协议。 ESPESPESPESP又分为仅加密和加密与认证结合两种情况。又分为仅加密和加密与认证结合两种情况。又分为仅加密和加密与认证结合两种情况。又分为仅加密和加密与认证结合两种情况
9、。 6.1.2 6.1.2 IPSec体系结构体系结构 6.1.2 IPSec6.1.2 IPSec6.1.2 IPSec6.1.2 IPSec体系结构体系结构体系结构体系结构体系体系体系体系封装安全负载封装安全负载封装安全负载封装安全负载ESPESP验证头验证头验证头验证头AHAH验证算法验证算法验证算法验证算法加密算法加密算法加密算法加密算法解释域解释域解释域解释域DOIDOI密钥管理密钥管理密钥管理密钥管理策略策略策略策略 体系:定义体系:定义体系:定义体系:定义IPSecIPSec技术的机制;技术的机制;技术的机制;技术的机制; ESPESP:用其进行包加密的报文格式和一般性问题;:用
10、其进行包加密的报文格式和一般性问题;:用其进行包加密的报文格式和一般性问题;:用其进行包加密的报文格式和一般性问题; AHAH:用其进行包认证的报文包格式和一般性问题:用其进行包认证的报文包格式和一般性问题:用其进行包认证的报文包格式和一般性问题:用其进行包认证的报文包格式和一般性问题 加加加加密密密密算算算算法法法法:描描描描述述述述将将将将各各各各种种种种不不不不同同同同加加加加密密密密算算算算法法法法用用用用于于于于ESPESP的的的的文文文文档;档;档;档; 认认认认证证证证算算算算法法法法:描描描描述述述述将将将将各各各各种种种种不不不不同同同同加加加加密密密密算算算算法法法法用用用
11、用于于于于AHAH以以以以及及及及ESPESP认证选项的文档;认证选项的文档;认证选项的文档;认证选项的文档; 密钥管理:描述密钥管理模式密钥管理:描述密钥管理模式密钥管理:描述密钥管理模式密钥管理:描述密钥管理模式 DOIDOI:其其其其他他他他相相相相关关关关文文文文档档档档,如如如如加加加加密密密密和和和和认认认认证证证证算算算算法法法法标标标标识识识识及及及及运运运运行参数等。行参数等。行参数等。行参数等。IPSecIPSec体系结构中涉及的主要概念有:体系结构中涉及的主要概念有:体系结构中涉及的主要概念有:体系结构中涉及的主要概念有:安全关联、模式、安全关联、模式、安全关联、模式、安
12、全关联、模式、AHAH、ESPESP6.1.2 IPSec6.1.2 IPSec6.1.2 IPSec6.1.2 IPSec体系结构体系结构体系结构体系结构 SASA是是是是 IPIP认证和保密机制中最关键的概念。认证和保密机制中最关键的概念。认证和保密机制中最关键的概念。认证和保密机制中最关键的概念。 一个关联就是发送与接收者之间的一个单向关一个关联就是发送与接收者之间的一个单向关一个关联就是发送与接收者之间的一个单向关一个关联就是发送与接收者之间的一个单向关系。系。系。系。 如果需要一个对等关系,即双向安全交换,则如果需要一个对等关系,即双向安全交换,则如果需要一个对等关系,即双向安全交换
13、,则如果需要一个对等关系,即双向安全交换,则需要两个需要两个需要两个需要两个SASA。 SASASASA提供安全服务的方式是使用提供安全服务的方式是使用提供安全服务的方式是使用提供安全服务的方式是使用AHAHAHAH或或或或ESPESPESPESP之一。之一。之一。之一。 一个一个一个一个SASA可由三个参数惟一地表示可由三个参数惟一地表示可由三个参数惟一地表示可由三个参数惟一地表示 1.1.安全关联安全关联(Security AssociationsSecurity Associations) 1.1.安全关联安全关联(Security AssociationsSecurity Associ
14、ations)IPSecIPSec的实现还需要维护两个数据库:的实现还需要维护两个数据库:的实现还需要维护两个数据库:的实现还需要维护两个数据库: 安全关联数据库安全关联数据库安全关联数据库安全关联数据库SADSADSADSAD 安全策略数据库安全策略数据库安全策略数据库安全策略数据库SPDSPDSPDSPD通信双方如果要用通信双方如果要用通信双方如果要用通信双方如果要用IPSecIPSecIPSecIPSec建立一条安全的传输通路,建立一条安全的传输通路,建立一条安全的传输通路,建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用需要事先协商好将要采用的安全策略,包括使用需要事
15、先协商好将要采用的安全策略,包括使用需要事先协商好将要采用的安全策略,包括使用的算法、密钥及密钥的生存期等。的算法、密钥及密钥的生存期等。的算法、密钥及密钥的生存期等。的算法、密钥及密钥的生存期等。SASASASA就是能在其就是能在其就是能在其就是能在其协商的基础上为数据传输提供某种协商的基础上为数据传输提供某种协商的基础上为数据传输提供某种协商的基础上为数据传输提供某种IPSecIPSecIPSecIPSec安全保障安全保障安全保障安全保障的一个简单连接。(可以是的一个简单连接。(可以是的一个简单连接。(可以是的一个简单连接。(可以是AHAHAHAH或或或或ESPESPESPESP)SASA
16、SASA的组合方式有:传输模式和隧道模式的组合方式有:传输模式和隧道模式的组合方式有:传输模式和隧道模式的组合方式有:传输模式和隧道模式1)1)传输模式传输模式传输模式传输模式 传输模式主要用于对上层协议的保护,如传输模式主要用于对上层协议的保护,如传输模式主要用于对上层协议的保护,如传输模式主要用于对上层协议的保护,如TCPTCP、UDPUDP和和和和ICMPICMP数据段的保护。数据段的保护。数据段的保护。数据段的保护。 以传输模式运行的以传输模式运行的以传输模式运行的以传输模式运行的ESPESP协议对协议对协议对协议对IPIP报头之后的数报头之后的数报头之后的数报头之后的数据(负载)进行
17、加密和认证,但不对据(负载)进行加密和认证,但不对据(负载)进行加密和认证,但不对据(负载)进行加密和认证,但不对IPIP报头进报头进报头进报头进行加密和认证。行加密和认证。行加密和认证。行加密和认证。 以传输模式运行的以传输模式运行的以传输模式运行的以传输模式运行的AHAHAHAH协议对负载及报头中选协议对负载及报头中选协议对负载及报头中选协议对负载及报头中选择的一部分进行认证。择的一部分进行认证。择的一部分进行认证。择的一部分进行认证。 2. AH2. AH和和ESPESP的两种使用模式的两种使用模式原原IP报头报头TCP数据数据ESP报尾报尾ESP认证数据认证数据ESP报头报头加密的加密
18、的认证的认证的2. AH2. AH和和ESPESP的两种使用模式的两种使用模式2)2)2)2)隧道模式隧道模式隧道模式隧道模式隧道模式用于对整个隧道模式用于对整个IPIP数据报的保护,即给原数数据报的保护,即给原数据报加一个新的报头(网关地址)。原数据报就据报加一个新的报头(网关地址)。原数据报就成为新数据报的负载。成为新数据报的负载。原数据报在整个传送过程中就象在隧道中一样,原数据报在整个传送过程中就象在隧道中一样,传送路径上的路由器都有无法看到原数据报的报传送路径上的路由器都有无法看到原数据报的报头。头。由于封装了原数据报,新数据报的源地址和目标由于封装了原数据报,新数据报的源地址和目标地
19、址都与原数据报不同,从而增加了安全性。地址都与原数据报不同,从而增加了安全性。新新IP报头报头原原IP报头报头数据数据ESP报尾报尾ESP认证数据认证数据ESP报头报头加密的加密的认证的认证的1.SA1.SA的组合方式的组合方式的组合方式的组合方式一个一个SA能够实现能够实现AH协议或协议或ESP协议,但却不能同协议,但却不能同时实现这两种协议。时实现这两种协议。当要求在主机间和网关间都实现当要求在主机间和网关间都实现IPSec业务时,就要业务时,就要求建立多个求建立多个SA,即采用即采用SA组合方式。组合方式。6.1.3IPSec服务与应用服务与应用LAN实现IPSec安全网关安全网关安全网
20、关安全网关隧道隧道SA一个或两个一个或两个SASA的组合方式的组合方式LANSA的组合方式的组合方式SASA的基本组合有四种方式的基本组合有四种方式的基本组合有四种方式的基本组合有四种方式每个每个每个每个SASA所承载的通信服务或为所承载的通信服务或为所承载的通信服务或为所承载的通信服务或为AHAH或为或为或为或为ESPESP对主机到主机的对主机到主机的对主机到主机的对主机到主机的SASA,AHAH或或或或ESPESP的使用模式可以的使用模式可以的使用模式可以的使用模式可以是传输模式也可以是隧道模式。是传输模式也可以是隧道模式。是传输模式也可以是隧道模式。是传输模式也可以是隧道模式。如果如果如
21、果如果SASA的两个端点中至少有一个安全网关,则的两个端点中至少有一个安全网关,则的两个端点中至少有一个安全网关,则的两个端点中至少有一个安全网关,则AHAH或或或或ESPESP的使用模式必须是隧道模式。的使用模式必须是隧道模式。的使用模式必须是隧道模式。的使用模式必须是隧道模式。 6.1.4SSL协议概述协议概述 安安全全套套接接层层协协议议SSLSSL是是在在InternetInternet上上提提供供一一种种保保证私密性的安全协议。证私密性的安全协议。 C/SC/S通信中,可始终对服务器和客户进行认证。通信中,可始终对服务器和客户进行认证。 SSLSSL协协议议要要求求建建立立在在可可靠
22、靠的的TCPTCP之之上上,高高层层的的应应用用协议能透明地建立在协议能透明地建立在SSLSSL之上。之上。 SSLSSL协协议议在在应应用用层层协协议议通通信信之之前前就就已已经经完完成成加加密密算法、通信密钥的协商以及服务器认证工作。算法、通信密钥的协商以及服务器认证工作。6.1.4传输层安全协议传输层安全协议SSL 保保保保护护护护WebWeb安安安安全全全全性性性性的的的的方方方方法法法法有有有有多多多多种种种种,这这这这些些些些方方方方法法法法所所所所提提提提供供供供的的的的安安安安全全全全业业业业务务务务和和和和使使使使用用用用机机机机制制制制都都都都彼彼彼彼此此此此类类类类似似似
23、似,所所所所不不不不同同同同之之之之处处处处在在在在于于于于它它它它们们们们各各各各自自自自的的的的应应应应用用用用范范范范围围围围和和和和在在在在TCP/IPTCP/IP协协协协议议议议栈栈栈栈中中中中的的的的相相相相对对对对位位位位置。置。置。置。6.1.4Web安全性方法安全性方法HTTP FTPSMTPTCPIP/IPSec网络层网络层网络层网络层应用层应用层应用层应用层HTTP FTPSMTPTCPIPSSLorTLS传输层传输层传输层传输层PGP SETTCPIPSMTPUDPKerberosHTTPS/MIME网络层安全实现网络层安全实现 利利用用IPSecIPSec提提供供We
24、bWeb的的安安全全性性,其其优优点点是是对对终终端端用用户户和和应应用用程程序序是是透透明明的的,且且为为WebWeb安安全全提提供供一一般般目目的的的的解解决方法。决方法。传输层安全实现传输层安全实现 将将SSLSSL或或TLSTLS作作为为TCPTCP基基本本协协议议组组的的一一部部分分,因因此此对对应应用用程程序序来来说说是是透透明明的的。还还可可将将SSLSSL嵌嵌套套在在特特定定的的数数据据包中(如包中(如IEIE等大多数等大多数WebWeb服务器都装有服务器都装有SSLSSL)。)。应用层安全实现应用层安全实现 对对特特定定应应用用程程序序来来说说,其其安安全全业业务务可可在在应
25、应用用程程序序内内部部实实现现,这这种种方方法法的的优优点点是是安安全全业业务务可可按按应应用用程程序序的的特特定需要来定制。定需要来定制。 6.1.4Web安全性方法安全性方法安安全全套套接接字字层层SSL是是由由Netscape设设计计的的,目目前前有有SSLv3。SSL协协议议主主要要由由SSL记记录录协协议议和和SSL握握手手协协议议两两部部分组成。其结构如下:分组成。其结构如下:6.1.5协议规范协议规范HTTPSSL更改密码更改密码说明协议说明协议SSL握手协议握手协议TCPIPSSL记录协议记录协议SSLSSL协议栈协议栈协议栈协议栈SSL警示协议警示协议1. 1. 1. 1.
26、SSL记录协议记录协议 SSL记录协议可为记录协议可为SSL连接提供保密性业务和消息连接提供保密性业务和消息完整性业务。完整性业务。保密性业务是通信双方通过握手协议建立一个共保密性业务是通信双方通过握手协议建立一个共享的密钥,用于对享的密钥,用于对SSL负载的单钥加密。负载的单钥加密。消息完整性业务是通过握手协议建立一个用于计消息完整性业务是通过握手协议建立一个用于计算算MAC(消息完整性认证消息完整性认证)的共享密钥。)的共享密钥。6.1.5协议规范协议规范2. 2. SSL SSL握手协议握手协议握握手手协协议议用用于于服服务务器器和和客客户户机机之之间间的的相相互互认认证证及及协协商商加
27、加密密算算法法、MACMAC算算法法和和密密钥钥,它它的的执执行行是是在在发发送送应用数据以前。应用数据以前。6.1.5协议规范协议规范6.2.16.2.1对称加密对称加密对称加密对称加密 在对称加密方法中,用于加密和解密的密钥是相同在对称加密方法中,用于加密和解密的密钥是相同在对称加密方法中,用于加密和解密的密钥是相同在对称加密方法中,用于加密和解密的密钥是相同的,接收者和发送者使用相同的密钥,即一个秘密的,接收者和发送者使用相同的密钥,即一个秘密的,接收者和发送者使用相同的密钥,即一个秘密的,接收者和发送者使用相同的密钥,即一个秘密密钥。密钥。密钥。密钥。 双方必须小心翼翼地保护密钥,不让
28、外人得知。密双方必须小心翼翼地保护密钥,不让外人得知。密双方必须小心翼翼地保护密钥,不让外人得知。密双方必须小心翼翼地保护密钥,不让外人得知。密钥的最初传输是非常重要的。钥的最初传输是非常重要的。钥的最初传输是非常重要的。钥的最初传输是非常重要的。 如果密钥被他人截获,那么保密的信息就不再受到如果密钥被他人截获,那么保密的信息就不再受到如果密钥被他人截获,那么保密的信息就不再受到如果密钥被他人截获,那么保密的信息就不再受到保护了。保护了。保护了。保护了。 6.2 6.2 加密技术加密技术 对称加密示意图对称加密示意图 6.2.1对称加密对称加密 1.对称算法对称算法 产产生生一一个个对对称称密
29、密钥钥可可以以用用许许多多算算法法,RSARSA算算法法是是最最常常用用的的商商业业算算法法。既既能能用用于于数数据据加加密密又又能能用用于于数数字签名的算法字签名的算法。 在在商商业业应应用用程程序序中中RSARSA算算法法中中的的RC2RC2和和RC4RC4是是最最常常用的对称密钥算法。其密钥长度为用的对称密钥算法。其密钥长度为4040位。位。 RC2RC2是是由由Ron Ron RivestRivest开开发发的的,是是一一种种块块模模式式的的密密文文,即将信息加密成即将信息加密成6464位的数据。位的数据。RC4RC4是是由由Rivest Rivest 在在19871987年年开开发发
30、的的,是是一一种种流流式式的的密密文文,即即实实时时的的把把信信息息加加密密成成一一个个整整体体,密密钥钥的的长长度度也也是是可可变变的的。在在美美国国密密钥钥长长度度是是128128位位,向向外外出出口口时时密密钥钥长长度度限限制制到到4040位位,Lotus Lotus Notes, Notes, Oracle Oracle Secure SQLSecure SQL都使用都使用RC4RC4的算法。的算法。6.2.1对称加密对称加密2.2.优点和缺点优点和缺点 对对称称加加密密的的优优点点在在于于它它的的高高速速度度和和高高强强度度。用用该该加密方法可以一秒钟之内加密大量的信息。加密方法可以
31、一秒钟之内加密大量的信息。为为了了使使信信息息在在网网络络上上传传输输,用用户户必必须须找找到到一一个个安安全全传传递递口口令令密密钥钥的的方方法法。如如用用户户可可以以直直接接见见面面转转交交密密钥钥,若若使使用用电电子子邮邮件件则则容容易易被被窃窃取取,影影响响保保密的效果。密的效果。定定期期改改变变密密钥钥可可改改进进对对称称密密钥钥加加密密方方法法的的安安全全性性,但但是是改改变变密密码码并并及及时时通通知知其其他他用用户户的的过过程程是是相相当当困困难难的的。而而且且攻攻击击者者还还可可以以通通过过字字典典程程序序来来破破译译对称密钥。对称密钥。 6.2.1对称加密对称加密3.3.数
32、据加密标准数据加密标准 DES-DES-最最著著名名的的对对称称加加密密技技术术,是是IBMIBM于于7070年年代代为为国家标准局研制的数据加密标准。国家标准局研制的数据加密标准。DESDES采采用用6464位位长长的的密密钥钥(包包括括8 8个个校校验验位位,密密钥钥长长度度为为5656位位),能能将将原原文文的的若若干干个个6464位位块块变变换换成成加加密的若干个密的若干个6464位代码块。位代码块。其其原原理理是是将将原原文文经经过过一一系系列列的的排排列列与与置置换换所所产产生生的的结结果果再再于于原原文文异异或或合合并并。该该加加密密过过程程重重复复1616次次,每每次次所所用用
33、的的密密钥钥位位排排列列不不同同。即即使使按按照照目目前前的的标标准,采用该方法的加密结果也是相当安全。准,采用该方法的加密结果也是相当安全。 6.2.1对称加密对称加密美国在美国在19981998年年1212月决定将不再使用月决定将不再使用DESDES。原原因因为为19981998年年5 5月月美美国国EFFEFF(Electronics Electronics Frontier Frontier FoundationFoundation)宣宣布布,他他们们的的一一台台专专用用解解密密机机,用用5656小时破译了小时破译了5656位密钥的位密钥的DESDES。美美国国国国家家标标准准和和技技
34、术术协协会会又又制制定定了了AESAES(Advanced Advanced Encryption StandardEncryption Standard)这一新的加密标准。)这一新的加密标准。DESDES对对于于推推动动密密码码理理论论的的发发展展和和应应用用起起了了重重大大的的作用。作用。 6.2.1对称加密对称加密 非对称密钥加密在加密的过程中使用相互关联的一非对称密钥加密在加密的过程中使用相互关联的一非对称密钥加密在加密的过程中使用相互关联的一非对称密钥加密在加密的过程中使用相互关联的一对密钥,一个归发送者,一个归接收者。对密钥,一个归发送者,一个归接收者。对密钥,一个归发送者,一个归
35、接收者。对密钥,一个归发送者,一个归接收者。 密钥对中的一个必须保持秘密状态,称为私钥;另密钥对中的一个必须保持秘密状态,称为私钥;另密钥对中的一个必须保持秘密状态,称为私钥;另密钥对中的一个必须保持秘密状态,称为私钥;另一个则被广泛发布,称为公钥。这一组密钥中的一一个则被广泛发布,称为公钥。这一组密钥中的一一个则被广泛发布,称为公钥。这一组密钥中的一一个则被广泛发布,称为公钥。这一组密钥中的一个用于加密,另一个用于解密。个用于加密,另一个用于解密。个用于加密,另一个用于解密。个用于加密,另一个用于解密。 6.2.2非对称加密非对称加密 6.2.2非对称加密非对称加密非对称加密示意图 非对称加
36、密示意图非对称加密示意图非对称加密示意图非对称加密示意图 例例例例如如如如,用用用用户户户户A A A A要要要要向向向向用用用用户户户户B B B B发发发发送送送送一一一一条条条条消消消消息息息息,A A A A就就就就必必必必须须须须用用用用B B B B的公钥对信息进行加密,然后再发送。的公钥对信息进行加密,然后再发送。的公钥对信息进行加密,然后再发送。的公钥对信息进行加密,然后再发送。 B B B B接接接接收收收收到到到到经经经经过过过过加加加加密密密密的的的的消消消消息息息息之之之之后后后后,用用用用其其其其自自自自己己己己的的的的私私私私钥钥钥钥加加加加以解密获取原始信息。以解
37、密获取原始信息。以解密获取原始信息。以解密获取原始信息。 在在在在传传传传输输输输的的的的过过过过程程程程中中中中,任任任任何何何何想想想想窃窃窃窃取取取取信信信信息息息息的的的的人人人人因因因因为为为为没没没没有有有有B B B B的私钥而无法获取信息。的私钥而无法获取信息。的私钥而无法获取信息。的私钥而无法获取信息。 尽尽尽尽管管管管公公公公钥钥钥钥和和和和私私私私钥钥钥钥是是是是相相相相关关关关的的的的,但但但但要要要要想想想想从从从从公公公公钥钥钥钥确确确确定定定定私私私私钥钥钥钥还是极端困难的。还是极端困难的。还是极端困难的。还是极端困难的。6.2.2非对称加密非对称加密 优优优优点
38、点点点:由由由由于于于于公公公公钥钥钥钥是是是是公公公公开开开开的的的的,而而而而私私私私钥钥钥钥则则则则由由由由用用用用户户户户自自自自己己己己保保保保存存存存,所所所所以以以以对对对对于于于于非非非非对对对对称称称称密密密密钥钥钥钥来来来来说说说说,其其其其密密密密钥钥钥钥管管管管理理理理相相相相对对对对比比比比较简单。较简单。较简单。较简单。 缺点:因为复杂的加密算法,使得非对称密钥加密缺点:因为复杂的加密算法,使得非对称密钥加密缺点:因为复杂的加密算法,使得非对称密钥加密缺点:因为复杂的加密算法,使得非对称密钥加密速度较慢,即使一个很简单的非对称加密也是很费速度较慢,即使一个很简单的非
39、对称加密也是很费速度较慢,即使一个很简单的非对称加密也是很费速度较慢,即使一个很简单的非对称加密也是很费时间的。时间的。时间的。时间的。 6.2.2非对称加密非对称加密单单向向加加密密包包括括一一个个含含有有哈哈希希函函数数的的哈哈希希表表,由由这这个表确定用来加密的十六位进制数。个表确定用来加密的十六位进制数。使使用用单单向向加加密密对对信信息息加加密密,在在理理论论上上加加以以解解密密是是不可能的。不可能的。HASHHASH加加密密用用于于不不想想对对信信息息解解读读或或读读取取而而只只需需证证实实信息的正确性。这种加密方式适用于签名文件。信息的正确性。这种加密方式适用于签名文件。 6.2
40、.3单向加密(单向加密(Hashencryption)例例如如,ATMATM自自动动取取款款机机不不需需要要解解密密用用户户的的身身份份证证号号码码,可可以以对对用用户户的的身身份份证证号号码码进进行行计计算算产产生生一一个个结结果果。即即磁磁条条卡卡将将用用户户的的身身份份证证号号单单向向加加密密成成一一段段HASHHASH值值,一一旦旦插插卡卡,ATMATM机机将将计计算算用用户户信信息息的的HASHHASH值值并并产产生生一一个个结结果果,然然后后再再将将其其结结果果与与用用户户卡卡上上的的HASHHASH值比较,以此进行认证。值比较,以此进行认证。 6.2.3单向加密(单向加密(Has
41、hencryption)HASHHASH算法算法 HASHHASH加加密密使使用用复复杂杂的的数数字字算算法法来来实实现现有有效效的的加加密。密。典型典型HASHHASH算法算法MD5MD5算法算法 MD5MD5MD5MD5提提提提供供供供了了了了一一一一种种种种单单单单向向向向的的的的哈哈哈哈希希希希函函函函数数数数,是是是是一一一一个个个个校校校校验验验验和和和和工工工工具具具具。它它它它将将将将一一一一个个个个任任任任意意意意长长长长的的的的字字字字串串串串做做做做为为为为输输输输入入入入,产产产产生生生生一一一一个个个个128128128128位位位位的的的的“ “报报报报文文文文摘摘
42、摘摘要要要要” ”。通通通通过过过过计计计计算算算算每每每每个个个个文文文文件件件件的的的的数数数数字字字字指指指指纹纹纹纹(或或或或数数数数字字字字签签签签名名名名),来来来来检检检检查查查查文文文文件件件件是是是是否否否否被被被被更更更更换换换换,或或或或者者者者是是是是否否否否与与与与原原原原来来来来的的的的一一一一致致致致。一一一一个个个个称称称称为为为为MDMDMDMD系系系系列列列列的的的的算算算算法法法法集集集集就就就就是是是是进进进进行这项工作行这项工作行这项工作行这项工作的。其中最常用到的是MD5的系统。6.2.3单向加密(单向加密(Hashencryption)数字签名数字
43、签名在在商商业业系系统统中中,通通常常都都利利用用书书面面文文件件来来规规定定契契约约性性的责任。的责任。鉴鉴别别技技术术可可以以有有效效地地防防止止第第三三者者的的介介入入,但但却却不不能能防止接收者的伪造。防止接收者的伪造。另另一一方方面面,当当发发送送的的信信息息变变得得对对其其不不利利时时,发发送送方方就就可可能能谎谎称称从从未未发发过过这这个个信信息息。在在整整个个争争执执过过程程中中,第三方也无法分辨情况的真实性。第三方也无法分辨情况的真实性。6.2.3单向加密(单向加密(Hashencryption)为为了了解解决决上上述述问问题题,就就必必须须利利用用另另外外一一种种安安全全技
44、技术术即即数数字字签签名。名。数字签名的功能数字签名的功能:l l接收者能够核实发送者对报文的签名。接收者能够核实发送者对报文的签名。l l发送者事后不能抵赖对报文的签名。发送者事后不能抵赖对报文的签名。l l任何人不能伪造对报文的签名。任何人不能伪造对报文的签名。l l保保证证数数据据的的完完整整性性,防防止止截截获获者者在在文文件件中中加加入入其其他他信息。信息。l l对对数数据据和和信信息息的的来来源源进进行行保保证证,以以保保证证发发件件人人的的身身份。份。数字签名有一定的处理速度,能够满足所有的应用需求。数字签名有一定的处理速度,能够满足所有的应用需求。6.2.3单向加密(单向加密(
45、Hashencryption)实用加密实用加密实用加密实用加密 为为为为确确确确保保保保信信信信息息息息在在在在网网网网上上上上长长长长距距距距离离离离的的的的安安安安全全全全传传传传输输输输。通通通通常常常常将将将将对对对对称、非对称和称、非对称和称、非对称和称、非对称和HASHHASHHASHHASH加密综合使用。加密综合使用。加密综合使用。加密综合使用。 一一一一些些些些像像像像IIS,PGP,SSL,S-MIMEIIS,PGP,SSL,S-MIMEIIS,PGP,SSL,S-MIMEIIS,PGP,SSL,S-MIME的的的的应应应应用用用用程程程程序序序序都都都都是是是是用用用用对对
46、对对称称称称密密密密钥钥钥钥对对对对原原原原始始始始信信信信息息息息加加加加密密密密,再再再再用用用用非非非非对对对对称称称称密密密密钥钥钥钥加加加加密密密密所所所所使使使使用用用用的的的的对对对对称称称称密密密密钥钥钥钥,最最最最后后后后用用用用一一一一个个个个随随随随机机机机码码码码标标标标记记记记信信信信息息息息确确确确保不被篡改。保不被篡改。保不被篡改。保不被篡改。例如:发送和接收例如:发送和接收例如:发送和接收例如:发送和接收E-mailE-mailE-mailE-mail中加密的实现全部过程中加密的实现全部过程中加密的实现全部过程中加密的实现全部过程 6.2.4实用加密举例实用加密
47、举例1 1)发送方和接收方在发送信息之前要得到对方的公钥。)发送方和接收方在发送信息之前要得到对方的公钥。2 2)发发送送方方产产生生一一个个随随机机的的会会话话密密钥钥,用用于于加加密密emailemail信信息息和和附附件件的的。这这个个密密钥钥是是根根据据时时间间的的不不同同以以及及文文件件的的大大小小和和日日期期而而随随机机产产生生的的。算算法法通通过过使使用用DES, DES, Triple DES, RC5Triple DES, RC5等等。等等。 3 3) 发发送送者者将将该该会会话话密密钥钥和和信信息息进进行行一一次次单单向向加加密密得得到到一一个个HASHHASH值值。这这个
48、个值值用用来来保保证证数数据据的的完完整整性性因因为为它它在在传传输输的的过过程程中中不不会会被被改改变变。在在这这一一步步通通常常使使用用MD2, MD4, MD5MD2, MD4, MD5或或SHA1SHA1。MD5MD5用于用于SSLSSL。 4 4) 发发送送者者用用自自己己的的私私钥钥对对这这个个HASHHASH值值加加密密。通通过过使使用用发发送送者者的的私私钥钥加加密密,接接收收者者可可以以确确定定信信息息确确实实是是从从这这个个发发送送者者发发过过来来的的。加加密密后后的的HASHHASH值值称称做做信信息息摘摘要。要。 6.2.4实用加密举例实用加密举例5)发发送送者者用用在
49、在第第二二步步产产生生的的会会话话密密钥钥对对E-mail信信息息和和所所有的附件加密。这种加密提供了数据的保密性。有的附件加密。这种加密提供了数据的保密性。6)发发送送者者用用接接收收者者的的公公钥钥对对这这个个会会话话密密钥钥加加密密,来来确确保保信信息息只只能能被被接接收收者者用用其其自自己己的的私私钥钥解解密密。这这步步提提供供了认证。了认证。7)然然后后将将加加密密后后的的信信息息和和数数字字摘摘要要发发送送给给接接收收方方。解解密的过程正好以相反的顺序执行。密的过程正好以相反的顺序执行。6.2.4实用加密举例实用加密举例1.PGP(PrettyGoodPrivacy)PGP是是对对
50、电电子子邮邮件件和和文文本本文文件件较较流流行行的的高高技技术术加加密密程程序序,PGP的的成成功功在在于于采采用用对对称称加加密密和和非非对对称称加密技术以及加密技术以及HASH加密各自的优点。加密各自的优点。2.SecureMIME(S-MIME)S-MIME为为一一个个公公共共的的工工业业标标准准方方法法,主主要要应应用用到到NetscapeCommunicatorsMessengerE-mail程程序上。序上。6.2.5加密技术的实现加密技术的实现3.加密文件加密文件除除了了加加密密E-mail信信息息,还还可可以以加加密密整整个个硬硬盘盘的的任任何何部分,建立隐藏加密的驱动器。部分,
51、建立隐藏加密的驱动器。对于对于Windows平台可选平台可选BestCrypt()。4.MD5sumMD5sum可可以以应应用用到到WindowsNT或或Liunx上上。Linux系系统统下下的的md5sum实实用用程程序序可可对对一一个个单单独独的的文文件件建建立立固固定定长长度度的的校校验验和和,该该文文件件长长度度可可以以任任意意,但但校校验验和和总总是是保保持持128位位的的长长度度。用用于于检检查查一一个个文文档档是是否否被被损损害。害。6.2.5加密技术的实现加密技术的实现5.Web服务器加密服务器加密加密加密WEB服务器有两种模式:服务器有两种模式:安全超文本传输协议(安全超文本
52、传输协议(SecureHTTP)安全套接字层(安全套接字层(SSL)。)。这这两两种种协协议议都都允允许许自自发发的的进进行行商商业业交交易易,SecureHTTP和和SSL都都使使用用对对称称加加密密,非非对对称称加加密密和和单单向向加加密密,并并使使用用单单向向加加密密的的方方法法对对所所有有的的数数据据包包签签名。名。6.2.5加密技术的实现加密技术的实现Secure Secure HTTPHTTP使使用用非非对对称称加加密密保保护护在在线线传传输输,大大多多数数浏览器都支持这个协议。浏览器都支持这个协议。 SSLSSL协议允许应用程序在公网上秘密的交换数据。协议允许应用程序在公网上秘密
53、的交换数据。SSLSSL允允许许两两个个应应用用程程序序通通过过使使用用数数字字证证书书认认证证后后在在网网络络中中进进行行通通信信。还还使使用用加加密密及及信信息息摘摘要要来来保保证证数数据据的可靠性。的可靠性。 SSLSSL比比其其它它方方法法更更加加安安全全,其其加加密密的的过过程程是是发发生生在在网网络的较低层。络的较低层。 Secure HTTPSecure HTTP只能加密只能加密HTTPHTTP流量。流量。6.2.5加密技术的实现加密技术的实现1 1密钥的穷尽搜索密钥的穷尽搜索破破译译密密文文就就是是尝尝试试所所有有可可能能的的密密钥钥组组合合。虽虽然然大大多多数数的的密密钥钥尝
54、尝试试都都是是失失败败的的,但但最最终终有有一一个个密密钥钥让让破破译者得到原文,这个过程称为密钥的穷尽搜索。译者得到原文,这个过程称为密钥的穷尽搜索。2 2密码分析密码分析(1)已知明文的破译方法)已知明文的破译方法(2)选定明文的破译方法)选定明文的破译方法6.2.6密码破译方法密码破译方法3 3其他密码破译方法其他密码破译方法“窥视窥视”或或“偷窃偷窃”密钥内容;利用加密系统实现密钥内容;利用加密系统实现中的缺陷或漏洞;中的缺陷或漏洞;对用户使用的加密系统偷梁换柱;从用户工作生活对用户使用的加密系统偷梁换柱;从用户工作生活环境的其他来源获得未加密的保密信息;环境的其他来源获得未加密的保密
55、信息;让口令的另一方透露密钥或信息;威胁用户交出密让口令的另一方透露密钥或信息;威胁用户交出密钥等等。钥等等。 6.2.6密码破译方法密码破译方法4 4防止密码破译的措施防止密码破译的措施 (1 1)强壮的加密算法)强壮的加密算法 (2 2)动态会话密钥)动态会话密钥 (3 3)保护关键密钥)保护关键密钥6.2.6密码破译方法密码破译方法常见系统的口令及其对应的密钥长度常见系统的口令及其对应的密钥长度6.2.6密码破译方法密码破译方法6.3.1 6.3.1 6.3.1 6.3.1 系统登陆系统登陆系统登陆系统登陆 1 1 1 1 UnixUnixUnixUnix系统登陆系统登陆系统登陆系统登陆
56、UnixUnixUnixUnix系系系系统统统统是是是是一一一一个个个个可可可可供供供供多多多多个个个个用用用用户户户户同同同同时时时时使使使使用用用用的的的的多多多多用用用用户户户户、多多多多任任任任务务务务、分分分分时时时时的的的的操操操操作作作作系系系系统统统统,任任任任何何何何一一一一个个个个想想想想使使使使用用用用UnixUnixUnixUnix系系系系统统统统的的的的用用用用户户户户,必必必必须须须须先先先先向向向向该该该该系系系系统统统统的的的的管管管管理理理理员员员员申申申申请请请请一一一一个个个个账账账账号号号号,然然然然后后后后才才才才能能能能使使使使用用用用该该该该系系系
57、系统统统统,因因因因此此此此账账账账号号号号就就就就成成成成为为为为用用用用户户户户进进进进入入入入系系系系统的合法统的合法统的合法统的合法“ “身份证身份证身份证身份证” ”。6.3系统访问控制与认证机制系统访问控制与认证机制2 2 2 2 UnixUnixUnixUnix账号文件账号文件账号文件账号文件UnixUnixUnixUnix账号文件账号文件账号文件账号文件/etc/passwd/etc/passwd/etc/passwd/etc/passwd是登录验证的关键,该是登录验证的关键,该是登录验证的关键,该是登录验证的关键,该文件包含所有用户的信息,如用户的登录名、口令文件包含所有用户
58、的信息,如用户的登录名、口令文件包含所有用户的信息,如用户的登录名、口令文件包含所有用户的信息,如用户的登录名、口令和用户标识号等等信息。该文件的拥有者是超级用和用户标识号等等信息。该文件的拥有者是超级用和用户标识号等等信息。该文件的拥有者是超级用和用户标识号等等信息。该文件的拥有者是超级用户,只有超级用户才有写的权力,而一般用户只有户,只有超级用户才有写的权力,而一般用户只有户,只有超级用户才有写的权力,而一般用户只有户,只有超级用户才有写的权力,而一般用户只有读取的权力。读取的权力。读取的权力。读取的权力。 6.3.1 6.3.1 系统登陆系统登陆 3. Windows NT/20003.
59、 Windows NT/20003. Windows NT/20003. Windows NT/2000系统登录系统登录系统登录系统登录Windows Windows Windows Windows NTNTNTNT要要要要求求求求每每每每一一一一个个个个用用用用户户户户提提提提供供供供唯唯唯唯一一一一的的的的用用用用户户户户名名名名和和和和口口口口令令令令来来来来登录到计算机上,这种强制性登录过程不能关闭。登录到计算机上,这种强制性登录过程不能关闭。登录到计算机上,这种强制性登录过程不能关闭。登录到计算机上,这种强制性登录过程不能关闭。 成功的登录过程有成功的登录过程有成功的登录过程有成功的
60、登录过程有4 4 4 4个步骤:个步骤:个步骤:个步骤:(1 1 1 1)Win Win Win Win 32323232的的的的WinLogonWinLogonWinLogonWinLogon进进进进程程程程给给给给出出出出一一一一个个个个对对对对话话话话框框框框,要要要要求求求求要要要要有有有有一一一一个个个个用用用用户户户户名名名名和和和和口口口口令令令令,这这这这个个个个信信信信息息息息被被被被传传传传递递递递给给给给安安安安全全全全性性性性账账账账户户户户管管管管理理理理程程程程序。序。序。序。(2 2 2 2)安安安安全全全全性性性性账账账账户户户户管管管管理理理理程程程程序序序序
61、查查查查询询询询安安安安全全全全性性性性账账账账户户户户数数数数据据据据库库库库,以以以以确确确确定定定定指定的用户名和口令是否属于授权的系统用户。指定的用户名和口令是否属于授权的系统用户。指定的用户名和口令是否属于授权的系统用户。指定的用户名和口令是否属于授权的系统用户。(3 3 3 3)如如如如果果果果访访访访问问问问是是是是授授授授权权权权的的的的,安安安安全全全全性性性性系系系系统统统统构构构构造造造造一一一一个个个个存存存存取取取取令令令令牌牌牌牌,并将它传回到并将它传回到并将它传回到并将它传回到Win 32Win 32Win 32Win 32的的的的 WinLoginWinLogi
62、nWinLoginWinLogin进程。进程。进程。进程。(4 4 4 4)WinLoginWinLoginWinLoginWinLogin调调调调用用用用Win Win Win Win 32323232子子子子系系系系统统统统,为为为为用用用用户户户户创创创创建建建建一一一一个个个个新新新新的的的的进进进进程程程程,传传传传递递递递存存存存取取取取令令令令牌牌牌牌给给给给子子子子系系系系统统统统,Win Win Win Win 32323232对对对对新新新新创创创创建建建建的的的的进进进进程程程程连接此令牌。连接此令牌。连接此令牌。连接此令牌。 6.3.1 6.3.1 系统登陆系统登陆 4
63、. 4. 4. 4. 账户锁定账户锁定账户锁定账户锁定为为为为了了了了防防防防止止止止有有有有人人人人企企企企图图图图强强强强行行行行闯闯闯闯入入入入系系系系统统统统中中中中,用用用用户户户户可可可可以以以以设设设设定定定定最最最最大大大大登登登登录录录录次次次次数数数数,如如如如果果果果用用用用户户户户在在在在规规规规定定定定次次次次数数数数内内内内未未未未成成成成功功功功登录,则系统会自动被锁定,不可能再用于登录。登录,则系统会自动被锁定,不可能再用于登录。登录,则系统会自动被锁定,不可能再用于登录。登录,则系统会自动被锁定,不可能再用于登录。 5. Windows 5. Windows
64、5. Windows 5. Windows 安全性标识符(安全性标识符(安全性标识符(安全性标识符(SIDSIDSIDSID)在安全系统上标识一个注册用户的唯一名字,它在安全系统上标识一个注册用户的唯一名字,它在安全系统上标识一个注册用户的唯一名字,它在安全系统上标识一个注册用户的唯一名字,它可以用来标识一个用户或一组用户。可以用来标识一个用户或一组用户。可以用来标识一个用户或一组用户。可以用来标识一个用户或一组用户。6.3.1 6.3.1 系统登陆系统登陆 修修改改锁锁定定时间为时间为0修 改 阀值为3身身身身份份份份认认认认证证证证(Identification Identificatio
65、n Identification Identification and and and and AuthenticationAuthenticationAuthenticationAuthentication)定定定定义义义义为为为为:为为为为了了了了使使使使某某某某些些些些授授授授予予予予许许许许可可可可权权权权限限限限的的的的权权权权威威威威机机机机构构构构满满满满意意意意,而而而而提提提提供供供供所所所所要要要要求求求求的的的的用用用用户户户户身身身身份份份份验证的过程。验证的过程。验证的过程。验证的过程。6.3.1 6.3.1 6.3.1 6.3.1 认证方法认证方法认证方法认证方法
66、用户或系统能够通过四种方法来证明其身份:用户或系统能够通过四种方法来证明其身份:用户或系统能够通过四种方法来证明其身份:用户或系统能够通过四种方法来证明其身份: 实物认证实物认证实物认证实物认证 密码认证密码认证密码认证密码认证 生物特征认证生物特征认证生物特征认证生物特征认证 位置认证位置认证位置认证位置认证 6.3 6.3 认证机制认证机制实物认证:智能卡(实物认证:智能卡(Smart CardSmart Card)就是一种根据)就是一种根据用户拥有的物品进行鉴别的手段。自动取款机用户拥有的物品进行鉴别的手段。自动取款机ATMATM。密码认证:口令可以说是其中的一种,但口令容密码认证:口令
67、可以说是其中的一种,但口令容易被偷窃,于是人们发明了一种一次性口令机制。易被偷窃,于是人们发明了一种一次性口令机制。 6.3.1 6.3.1 认证方法认证方法 生物特征认证生物特征认证生物特征认证生物特征认证 指纹:指纹:指纹:指纹:唯一地识别一个人唯一地识别一个人唯一地识别一个人唯一地识别一个人手印:手印:手印:手印:读取整个手而不是仅仅手指的特征。读取整个手而不是仅仅手指的特征。读取整个手而不是仅仅手指的特征。读取整个手而不是仅仅手指的特征。声音图像:声音图像:声音图像:声音图像:每个人各不相同每个人各不相同每个人各不相同每个人各不相同笔笔笔笔迹迹迹迹或或或或签签签签名名名名:字字字字母母
68、母母和和和和符符符符号号号号的的的的组组组组合合合合、签签签签名名名名时时时时某某某某些些些些部部部部分分分分用用用用力力力力的的的的大大大大小小小小、笔笔笔笔接接接接触触触触纸纸纸纸的的的的时时时时间间间间的的的的长长长长短短短短、笔笔笔笔移移移移动动动动中中中中的停顿等细微的差别。的停顿等细微的差别。的停顿等细微的差别。的停顿等细微的差别。视视视视网网网网膜膜膜膜扫扫扫扫描描描描:是是是是用用用用红红红红外外外外线线线线检检检检查查查查人人人人眼眼眼眼各各各各不不不不相相相相同同同同的的的的血血血血管管管管图像。图像。图像。图像。 6.3.1 6.3.1 认证方法认证方法 位置认证位置认证
69、位置认证位置认证 该该该该认认认认证证证证的的的的策策策策略略略略是是是是根根根根据据据据用用用用户户户户的的的的位位位位置置置置来来来来决决决决定定定定其其其其身身身身份份份份。比比比比如如如如UNIXUNIXUNIXUNIX的的的的rloginrloginrloginrlogin和和和和rshrshrshrsh程程程程序序序序通通通通过过过过源源源源IPIPIPIP地地地地址址址址来来来来验验验验证一个用户、主机或执行过程。证一个用户、主机或执行过程。证一个用户、主机或执行过程。证一个用户、主机或执行过程。6.3.1 6.3.1 认证方法认证方法 3 3 3 3、口令维护问题、口令维护问题
70、、口令维护问题、口令维护问题(1 1 1 1)不要几个人共享一个口令,不要把它记在本)不要几个人共享一个口令,不要把它记在本)不要几个人共享一个口令,不要把它记在本)不要几个人共享一个口令,不要把它记在本子上或计算机周围。子上或计算机周围。子上或计算机周围。子上或计算机周围。(2 2 2 2)不要用系统指定的口令,如)不要用系统指定的口令,如)不要用系统指定的口令,如)不要用系统指定的口令,如 rootrootrootroot、demodemodemodemo和和和和testtesttesttest等,第一次进入系统就要修改口令,不要沿等,第一次进入系统就要修改口令,不要沿等,第一次进入系统就
71、要修改口令,不要沿等,第一次进入系统就要修改口令,不要沿用系统给用户的缺省口令。用系统给用户的缺省口令。用系统给用户的缺省口令。用系统给用户的缺省口令。(3 3 3 3)最好将口令加密处理后再用电子邮件传送,)最好将口令加密处理后再用电子邮件传送,)最好将口令加密处理后再用电子邮件传送,)最好将口令加密处理后再用电子邮件传送,一般不用电子邮件传送。一般不用电子邮件传送。一般不用电子邮件传送。一般不用电子邮件传送。6.3.1 6.3.1 认证方法认证方法(4 4 4 4)如果账户长期不用,管理员应将其暂停。如)如果账户长期不用,管理员应将其暂停。如)如果账户长期不用,管理员应将其暂停。如)如果账
72、户长期不用,管理员应将其暂停。如果雇员离开公司,则管理员应及时把他的账户消果雇员离开公司,则管理员应及时把他的账户消果雇员离开公司,则管理员应及时把他的账户消果雇员离开公司,则管理员应及时把他的账户消除,除,除,除,(5 5 5 5)可以限制用户的登录时间,如只有在工作时)可以限制用户的登录时间,如只有在工作时)可以限制用户的登录时间,如只有在工作时)可以限制用户的登录时间,如只有在工作时间可登录。间可登录。间可登录。间可登录。(6 6 6 6)限制登录次数。防止对账户多次尝试口令而)限制登录次数。防止对账户多次尝试口令而)限制登录次数。防止对账户多次尝试口令而)限制登录次数。防止对账户多次尝
73、试口令而闯入系统。闯入系统。闯入系统。闯入系统。(7 7 7 7)最后一次登录,该方法报告最后一次系统登)最后一次登录,该方法报告最后一次系统登)最后一次登录,该方法报告最后一次系统登)最后一次登录,该方法报告最后一次系统登录的时间、日期,以及在最后一次登录后发生过录的时间、日期,以及在最后一次登录后发生过录的时间、日期,以及在最后一次登录后发生过录的时间、日期,以及在最后一次登录后发生过多少次未成功的登录企图。这样可以提供线索了多少次未成功的登录企图。这样可以提供线索了多少次未成功的登录企图。这样可以提供线索了多少次未成功的登录企图。这样可以提供线索了解是否有人非法访问。解是否有人非法访问。
74、解是否有人非法访问。解是否有人非法访问。(8 8 8 8)去掉)去掉)去掉)去掉TFTPTFTPTFTPTFTP服务,因通过使用服务,因通过使用服务,因通过使用服务,因通过使用TFTPTFTPTFTPTFTP(Trivial Trivial Trivial Trivial File Transfer ProtocolFile Transfer ProtocolFile Transfer ProtocolFile Transfer Protocol)可获取口令文件)可获取口令文件)可获取口令文件)可获取口令文件(/etc/passwd /etc/passwd /etc/passwd /etc/p
75、asswd )。)。)。)。(9 9 9 9)定期地查看日志文件,尤其是登录末成功的消)定期地查看日志文件,尤其是登录末成功的消)定期地查看日志文件,尤其是登录末成功的消)定期地查看日志文件,尤其是登录末成功的消息日志文件。息日志文件。息日志文件。息日志文件。(10101010)确保除了)确保除了)确保除了)确保除了rootrootrootroot之外没有任何公共的用户账号。之外没有任何公共的用户账号。之外没有任何公共的用户账号。之外没有任何公共的用户账号。不创建不创建不创建不创建guestguestguestguest账号。账号。账号。账号。认证服务器所授权认证的数字证书类型有以下几种:认证
76、服务器所授权认证的数字证书类型有以下几种:认证服务器所授权认证的数字证书类型有以下几种:认证服务器所授权认证的数字证书类型有以下几种: CACACACA证书:证书:证书:证书:CACACACA证书是签发并管理正式使用公用密证书是签发并管理正式使用公用密证书是签发并管理正式使用公用密证书是签发并管理正式使用公用密钥与用户相关的证书。该证书只在某一时间内有钥与用户相关的证书。该证书只在某一时间内有钥与用户相关的证书。该证书只在某一时间内有钥与用户相关的证书。该证书只在某一时间内有效,因而效,因而效,因而效,因而CACACACA保存一份有效证书及其有效期清单。保存一份有效证书及其有效期清单。保存一份
77、有效证书及其有效期清单。保存一份有效证书及其有效期清单。 服务器证书:是运行在服务器证书:是运行在服务器证书:是运行在服务器证书:是运行在WebWebWebWeb服务器上,并且保证服务器上,并且保证服务器上,并且保证服务器上,并且保证服务器和浏览器间的加密的服务器和浏览器间的加密的服务器和浏览器间的加密的服务器和浏览器间的加密的SSLSSLSSLSSL会话会话会话会话 个人证书:给用户授权的证书,运行个人证书:给用户授权的证书,运行个人证书:给用户授权的证书,运行个人证书:给用户授权的证书,运行S/MIMES/MIMES/MIMES/MIME、SSLSSLSSLSSL以及以及以及以及SETSE
78、TSETSET。 软件出版商认证:允许软件出版商认证:允许软件出版商认证:允许软件出版商认证:允许appletsappletsappletsapplets或或或或Active XActive XActive XActive X控件控件控件控件的开发者公开他们的身份。的开发者公开他们的身份。的开发者公开他们的身份。的开发者公开他们的身份。 6.3.2 6.3.2 认证类型认证类型从上面的认证方法中,可以看到使用单独的某一种认从上面的认证方法中,可以看到使用单独的某一种认从上面的认证方法中,可以看到使用单独的某一种认从上面的认证方法中,可以看到使用单独的某一种认证机制的安全性是有限的。证机制的安全
79、性是有限的。证机制的安全性是有限的。证机制的安全性是有限的。 KerberosKerberos和一次性密码是用于加强认证系统的两项和一次性密码是用于加强认证系统的两项和一次性密码是用于加强认证系统的两项和一次性密码是用于加强认证系统的两项技术。技术。技术。技术。 其结合使用加密技术和其它策略来检查身份,有效其结合使用加密技术和其它策略来检查身份,有效其结合使用加密技术和其它策略来检查身份,有效其结合使用加密技术和其它策略来检查身份,有效地防止了一些恶意破坏。其认证手段得到广泛应用。地防止了一些恶意破坏。其认证手段得到广泛应用。地防止了一些恶意破坏。其认证手段得到广泛应用。地防止了一些恶意破坏。
80、其认证手段得到广泛应用。 6.3.3实用认证技术实用认证技术 Kerberos Kerberos Kerberos Kerberos认证系统认证系统认证系统认证系统 在在在在开开开开放放放放环环环环境境境境中中中中,为为为为了了了了减减减减轻轻轻轻应应应应用用用用服服服服务务务务器器器器对对对对用用用用户户户户认认认认证证证证的的的的负负负负担担担担,引引引引入入入入一一一一个个个个认认认认证证证证服服服服务务务务器器器器ASASASAS(Authentication Authentication Authentication Authentication ServerServerServer
81、Server)的的的的第第第第三三三三方方方方来来来来承承承承担担担担对对对对用用用用户户户户的的的的认认认认证,证,证,证,ASASASAS知道每个用户的口令,并将口令保存于一个中心数据库。知道每个用户的口令,并将口令保存于一个中心数据库。知道每个用户的口令,并将口令保存于一个中心数据库。知道每个用户的口令,并将口令保存于一个中心数据库。(1 1 1 1)用户如果想访问某一应用服务器,首先向)用户如果想访问某一应用服务器,首先向)用户如果想访问某一应用服务器,首先向)用户如果想访问某一应用服务器,首先向ASASASAS发出请求,发出请求,发出请求,发出请求,(2 2 2 2)ASASASAS
82、将将将将收收收收到到到到的的的的用用用用户户户户口口口口令令令令与与与与中中中中心心心心数数数数据据据据库库库库存存存存储储储储的的的的口口口口令令令令相相相相比比比比较较较较以以以以验验验验证证证证用用用用户户户户的身份。的身份。的身份。的身份。(3 3 3 3)如如如如果果果果验验验验证证证证通通通通过过过过,AS AS AS AS 则则则则向向向向用用用用户户户户发发发发放放放放一一一一个个个个允允允允许许许许用用用用户户户户得得得得到到到到应应应应用用用用服服服服务务务务器器器器服务的票据,服务的票据,服务的票据,服务的票据,(4 4 4 4)用户则根据这一票据去获取服务器的服务。)用
83、户则根据这一票据去获取服务器的服务。)用户则根据这一票据去获取服务器的服务。)用户则根据这一票据去获取服务器的服务。 若用户需要多次访问同一服务器,避免每次都重复获取票据的过若用户需要多次访问同一服务器,避免每次都重复获取票据的过若用户需要多次访问同一服务器,避免每次都重复获取票据的过若用户需要多次访问同一服务器,避免每次都重复获取票据的过程,再引入另一新服务器称为票据许可服务器程,再引入另一新服务器称为票据许可服务器程,再引入另一新服务器称为票据许可服务器程,再引入另一新服务器称为票据许可服务器TGSTGSTGSTGS(Ticket-Ticket-Ticket-Ticket-granting
84、 Servergranting Servergranting Servergranting Server)。)。)。)。TGSTGSTGSTGS向已以经过向已以经过向已以经过向已以经过ASASASAS认证的客户发放用于获取应认证的客户发放用于获取应认证的客户发放用于获取应认证的客户发放用于获取应用服务器的票据。用服务器的票据。用服务器的票据。用服务器的票据。 6.3.3实用认证技术实用认证技术KerberosKerberosKerberosKerberos系统的认证过程分为三个阶段,共六步。系统的认证过程分为三个阶段,共六步。系统的认证过程分为三个阶段,共六步。系统的认证过程分为三个阶段,共六
85、步。 用户C认证服务器AS票据服务器 TGS数据库服务器V第第第第1 1 1 1阶段:认证服务交换,即用户从阶段:认证服务交换,即用户从阶段:认证服务交换,即用户从阶段:认证服务交换,即用户从ASASASAS获取获取获取获取 访问访问访问访问TGSTGSTGSTGS的票据许可票据。的票据许可票据。的票据许可票据。的票据许可票据。第第第第2 2 2 2阶段:用户从阶段:用户从阶段:用户从阶段:用户从TGSTGSTGSTGS获取服务许可票据,获取服务许可票据,获取服务许可票据,获取服务许可票据, 即票据许可服务交换。即票据许可服务交换。即票据许可服务交换。即票据许可服务交换。第第第第3 3 3 3
86、阶段:用户从服务器获取服务,即客户阶段:用户从服务器获取服务,即客户阶段:用户从服务器获取服务,即客户阶段:用户从服务器获取服务,即客户 机与服务器的认证交换。机与服务器的认证交换。机与服务器的认证交换。机与服务器的认证交换。6.3.3实用认证技术实用认证技术 第第第第1 1 1 1步:客户向步:客户向步:客户向步:客户向ASASASAS发出访问发出访问发出访问发出访问TGSTGSTGSTGS的请求,请求中的请求,请求中的请求,请求中的请求,请求中 的时戳用以向的时戳用以向的时戳用以向的时戳用以向ASASASAS表示这一请求是新的。表示这一请求是新的。表示这一请求是新的。表示这一请求是新的。
87、第第第第2 2 2 2步:步:步:步:ASASASAS向向向向C C C C发出应答,应答由用户的口令导发出应答,应答由用户的口令导发出应答,应答由用户的口令导发出应答,应答由用户的口令导 出的出的出的出的密钥加密,使得只有密钥加密,使得只有密钥加密,使得只有密钥加密,使得只有C C C C能解读。应能解读。应能解读。应能解读。应 答的内容包括答的内容包括答的内容包括答的内容包括C C C C与与与与TGSTGSTGSTGS会话所使用的密会话所使用的密会话所使用的密会话所使用的密 钥,用以向钥,用以向钥,用以向钥,用以向C C C C表示表示表示表示TGSTGSTGSTGS身份的身份的身份的身
88、份的IDIDIDID、时戳、时戳、时戳、时戳 TSTSTSTS、ASASASAS向向向向C C C C发放的票据许可票据发放的票据许可票据发放的票据许可票据发放的票据许可票据TicketTicketTicketTicket 以及这一票据的截止期限以及这一票据的截止期限以及这一票据的截止期限以及这一票据的截止期限lifetimelifetimelifetimelifetime。 6.3.3实用认证技术实用认证技术第第第第3 3 3 3步步步步:C C C C向向向向TGSTGSTGSTGS发发发发出出出出一一一一个个个个由由由由请请请请求求求求提提提提供供供供服服服服务务务务的的的的服服服服务务
89、务务器器器器的的的的身身身身份份份份、第第第第2 2 2 2步获得的票据以及一个认证符构成的消息。步获得的票据以及一个认证符构成的消息。步获得的票据以及一个认证符构成的消息。步获得的票据以及一个认证符构成的消息。 其其其其中中中中认认认认证证证证符符符符中中中中包包包包括括括括C C C C上上上上用用用用户户户户的的的的身身身身份份份份、C C C C的的的的地地地地址址址址及及及及一一一一个个个个时时时时戳戳戳戳。与与与与票票票票据据据据不不不不同同同同,票票票票据据据据可可可可重重重重复复复复使使使使用用用用且且且且有有有有效效效效期期期期较较较较长长长长,而而而而认认认认证证证证符符符
90、符只能使用一次且有效期很短。只能使用一次且有效期很短。只能使用一次且有效期很短。只能使用一次且有效期很短。 TGSTGSTGSTGS用用用用与与与与ASASASAS共共共共享享享享的的的的密密密密钥钥钥钥KtKtKtKt解解解解密密密密票票票票据据据据后后后后,知知知知道道道道C C C C已已已已从从从从ASASASAS处处处处得得得得到到到到与与与与自自自自己己己己会会会会话话话话的的的的会会会会话话话话密密密密钥钥钥钥KctgsKctgsKctgsKctgs,票票票票据据据据在在在在这这这这里里里里的的的的含含含含义义义义事事事事实上是实上是实上是实上是“ “使用密钥的人就是使用密钥的人
91、就是使用密钥的人就是使用密钥的人就是C C C C” ”。6.3.3实用认证技术实用认证技术 TGSTGSTGSTGS也也也也使使使使用用用用KctgsKctgsKctgsKctgs解解解解读读读读认认认认证证证证符符符符,并并并并将将将将认认认认证证证证符符符符中中中中的的的的数数数数据据据据与与与与票票票票据据据据中中中中的的的的数数数数据据据据加加加加以以以以比比比比较较较较,从从从从而而而而可可可可相相相相信信信信票票票票据据据据的的的的发发发发送送送送者者者者的的的的确确确确是是是是票票票票据据据据的的的的实实实实际际际际持持持持有有有有者者者者,这这这这时时时时认认认认证证证证符符
92、符符的的的的含含含含义义义义实际上是实际上是实际上是实际上是“ “在时间在时间在时间在时间TSTSTSTS,C C C C使用使用使用使用K K K KCtgsCtgsCtgsCtgs” ”。 这这这这时时时时的的的的票票票票据据据据不不不不能能能能证证证证明明明明任任任任何何何何人人人人的的的的身身身身份份份份,只只只只是是是是用用用用来来来来安安安安全全全全地地地地分分分分配配配配密密密密钥钥钥钥,而而而而认认认认证证证证符符符符则则则则是是是是用用用用来来来来证证证证明明明明客客客客户户户户的的的的身身身身份份份份。因因因因为为为为认认认认证证证证符符符符仅仅仅仅能能能能被被被被使使使使
93、用用用用一一一一次次次次且且且且有有有有效效效效期期期期很很很很短短短短,可可可可防防防防止止止止票据和认证符被盗用。票据和认证符被盗用。票据和认证符被盗用。票据和认证符被盗用。 6.3.3实用认证技术实用认证技术第第第第4 4 4 4步步步步:TGSTGSTGSTGS向向向向C C C C应应应应答答答答的的的的消消消消息息息息由由由由TGSTGSTGSTGS和和和和C C C C共共共共享享享享的的的的会会会会话话话话密密密密钥钥钥钥加加加加密密密密后后后后发发发发往往往往C C C C,应应应应答答答答中中中中的的的的内内内内容容容容有有有有C C C C和和和和V V V V共共共共享
94、享享享的的的的会会会会话话话话密密密密钥钥钥钥K K K Kc c c c,v,v,v,v、V V V V的的的的身身身身份份份份IDIDIDID,服服服服务务务务许许许许可可可可票票票票据据据据TicketTicketTicketTicketV V V V( ( ( (有有有有C C C C和和和和V V V V的的的的IDIDIDID、 K K K Kc c c c,v,v,v,v、并用并用并用并用TGSTGSTGSTGS与与与与V V V V的共享密钥的共享密钥的共享密钥的共享密钥K K K KV V V V加密)及票据的时戳。加密)及票据的时戳。加密)及票据的时戳。加密)及票据的时戳。
95、第第第第5 5 5 5步步步步:C C C C向向向向服服服服务务务务器器器器V V V V发发发发出出出出服服服服务务务务许许许许可可可可票票票票据据据据TicketTicketTicketTicketV V V V和和和和认认认认证证证证符符符符AuthenticatorAuthenticatorAuthenticatorAuthenticatorv v v v。服服服服务务务务器器器器用用用用K K K Kv v v v 解解解解密密密密票票票票据据据据后后后后得得得得到到到到会会会会话话话话密密密密钥钥钥钥K K K Kc c c c,v,v,v,v,并由,并由,并由,并由K K K
96、Kc c c c,v ,v ,v ,v 解密认证符,以验证解密认证符,以验证解密认证符,以验证解密认证符,以验证C C C C的身份。的身份。的身份。的身份。第第第第6 6 6 6步步步步:服服服服务务务务器器器器V V V V向向向向C C C C证证证证明明明明自自自自己己己己的的的的身身身身份份份份。V V V V对对对对从从从从认认认认证证证证符符符符得得得得到到到到的的的的时时时时戳戳戳戳加加加加1 1 1 1,再再再再由由由由与与与与C C C C共共共共享享享享的的的的密密密密钥钥钥钥加加加加密密密密后后后后发发发发给给给给C C C C,C C C C解解解解读读读读后后后后对
97、对对对增增增增加加加加的的的的时时时时戳戳戳戳加加加加以以以以验验验验证证证证,从从从从而而而而相相相相信信信信增增增增加加加加时时时时戳戳戳戳的的的的的的的的确确确确是是是是V V V V。6.3.3实用认证技术实用认证技术 一次性密码(一次性密码(一次性密码(一次性密码(OTP OTP OTP OTP One Time PasswordOne Time PasswordOne Time PasswordOne Time Password )为为为为了了了了解解解解决决决决固固固固定定定定口口口口令令令令的的的的诸诸诸诸多多多多问问问问题题题题,安安安安全全全全专专专专家家家家提提提提出出出
98、出了了了了一一一一次性口令密码体制,以保护关键的计算资源。次性口令密码体制,以保护关键的计算资源。次性口令密码体制,以保护关键的计算资源。次性口令密码体制,以保护关键的计算资源。OTPOTPOTPOTP的主要思路是:的主要思路是:的主要思路是:的主要思路是: 在在在在登登登登录录录录过过过过程程程程中中中中加加加加入入入入不不不不确确确确定定定定因因因因素素素素,使使使使每每每每次次次次登登登登录录录录过过过过程程程程中中中中传传传传送送送送的的的的信信信信息息息息都都都都不不不不相相相相同同同同,以以以以提提提提高高高高登登登登录录录录过过过过程程程程安安安安全全全全性性性性。例例例例如如如
99、如:登登登登录录录录密密密密码码码码=MD5(=MD5(=MD5(=MD5(用用用用户户户户名名名名密密密密码码码码 时时时时间间间间),系系系系统统统统接接接接收收收收到到到到登登登登录录录录口口口口令令令令后后后后做做做做一一一一个个个个验验验验算算算算即即即即可可可可验验验验证证证证用用用用户的合法性。户的合法性。户的合法性。户的合法性。 6.3.3实用认证技术实用认证技术虚虚拟拟专专用用网网VPNVPN(Virtual Virtual Private Private NetworksNetworks)是是企企业业内内部部网网在在InternetInternet等等公公共共网网络络上上的
100、的延延伸伸,通通过过一一个个专专用用的的通通道道来来创创建建一一个个安安全全的的专专用用连连接接,从从而而可可将将远远程程用用户户、企企业业分分支支机机构构、公公司司的的业业务务合合作作伙伙伴伴等等与与公公司司的的内内部部网网连连接接起起来来,构构成成一一个个扩展的企业内部网。扩展的企业内部网。通通 过过 VPNVPN, 网网 络络 服服 务务 提提 供供 商商 NSPNSP或或 ISPISP可可 使使 用用InternetInternet或或服服务务器器将将自自己己的的IPIP主主干干网网向向企企业业提提供供远远程程访访问问和和分分支支机机构构互互联联等等业业务务,从从而而扩扩大大了了自自己
101、己网网络络的的地地域域范范围围,增增加加了了自自己己的的商商业业服服务务机机会会。而而对对企企业业来来说说可可很很大大程程度度地地降降低低自自己己的的费费用用,减减少少对对网网络络管管理理和和支支持持终终端端用用户户的的需需求求,并并可可使使自自己的安全规则更为灵活。己的安全规则更为灵活。 6.46.4虚拟专用网及其安全性虚拟专用网及其安全性6.46.4虚拟专用网及其安全性虚拟专用网及其安全性6.46.4虚拟专用网及其安全性虚拟专用网及其安全性6.46.4虚拟专用网及其安全性虚拟专用网及其安全性6.46.4虚拟专用网及其安全性虚拟专用网及其安全性VPNVPN指指的的是是在在共共享享网网络络上上
102、建建立立专专用用网网络络的的技技术术,其其连连接接技技术术称称为为隧隧道道。之之所所以以称称为为虚虚拟拟网网主主要要是是因因为为整整个个VPNVPN网网络络的的任任意意两两个个节节点点之之间间的的连连接接并并没没有有传传统统专专用用网网所所需需的的端端到到端端的的物物理理链链路路,而而是是架架构构在在公公用用网网络络服服务务商商所所提提供供的的网网络络平平台台(如如InternetInternet,ATMATM,Frame Frame RelayRelay等等)之之上上的的逻逻辑辑网网络络,用用户户数数据据在在逻逻辑辑链链路路中中传输。其传输。其VPNVPN具有虚电路的特点。具有虚电路的特点。
103、VPNVPN协协议议可可以以处处理理数数据据包包,并并对对其其有有效效负负载载加加密密,把把数据包发送到目的地址。数据包发送到目的地址。 6.4.16.4.1 VPN VPN简介简介 VPNVPN具有以下优点:具有以下优点: 1.1.降降低低成成本本:企企业业不不必必租租用用长长途途专专线线建建设设专专网网以以及及大大量量的网络维护人员和设备的投资。的网络维护人员和设备的投资。2.2.容易扩展:网络路由设备配置简单。容易扩展:网络路由设备配置简单。 3.3.控控制制主主动动权权:VPNVPN上上的的设设施施和和服服务务完完全全掌掌握握在在企企业业手手中中。企企业业可可以以把把拨拨号号访访问问交
104、交给给NSPNSP去去做做,而而自自己己负负责责用用户户的的查查验验、访访问问权权、网网络络地地址址、安安全全性性和和网网络络变变化化管理等重要工作。管理等重要工作。 VPNVPN通通过过采采用用“隧隧道道”技技术术,在在公公网网中中形形成成企企业业的的安安全全、机机密密、顺顺畅畅的的专专用用链链路路。 常常见见的的VPNVPN协协议议有有PPTPPPTP和和IPSecIPSec。 6.4.16.4.1 VPN VPN简介简介对对于于VPNVPN的的实实施施来来说说,安安全全性性也也是是很很重重要要的的。如如果果不不能能保保证证其其安安全全性性,黑黑客客就就可可以以假假扮扮用用户户以以获获取取
105、网网络络信信息,这样就会对网络安全造成威胁。息,这样就会对网络安全造成威胁。 1. 1. 点对点的隧道协议(点对点的隧道协议(PPTPPPTP) PPTPPPTP是是用用来来在在公公用用网网的的通通信信系系统统间间(通通常常是是客客户户机机和和服服务务器器间间)建建立立一一个个专专用用通通道道。该该协协议议使使用用Internet Internet 通通 用用 路路 由由 封封 装装 ( GREv2GREv2, Generic Generic Routing Routing EncapsulationEncapsulation)协议封装数据和信息)协议封装数据和信息/ /控制分组。控制分组。
106、PPTPPPTP是是在在微微软软的的拨拨号号网网络络设设备备中中集集成成的的数数据据加加密密技技术术,采采用用密密钥钥长长度度为为4040比比特特的的加加密密算算法法。在在客客户户工工作作站站与与最最终终的的隧隧道道终终结结器器协协商商PPPPPP时时,加加密密的的会会话话就就建建立起来了立起来了. . 6.4.2 6.4.2 VPN的安全性的安全性2. IPSec2. IPSec与与PPTPPPTP的比较的比较IPSecIPSec已已成成为为VPNVPN的的安安全全标标准准,用用来来进进行行对对数数据据包包的的加加密密、认认证证和和完完整整性性确确认认。IPSecIPSec标标准准是是由由一
107、一系系列列IPIP级级的的协协议议组组成成,这这些些协协议议用用于于在在IPIP收收发发两两端端协协商商加加密密方方法法和和数数字字签签名名方方法法。与与点点对对点点加加密密技技术术相相比比,IPSecIPSec的的安安全全性性更更高高。其其具具有有用用户户认认证证、保保密密性性和和数数据据完完整整性。性。IPSecIPSec的的另另一一个个优优点点是是其其安安全全机机制制被被松松散散地地结结合合在在密密钥钥管管理理系系统统中中,因因此此如如果果将将来来出出现现了了更更新新更更强强大大的的密密码码算算法法就就可可直直接接用用于于这这一一体体系系结结构构,而而无无需需对对安安全全机机制进行修改。
108、制进行修改。 6.4.2 6.4.2 VPN的安全性的安全性 网络病毒的特点网络病毒的特点网络病毒的特点网络病毒的特点 1 1 1 1、病病病病毒毒毒毒Remote Remote Remote Remote ExploreExploreExploreExplore(探探探探险险险险者者者者)是是是是网网网网络络络络病病病病毒毒毒毒的的的的“ “先先先先驱驱驱驱者者者者” ”, 于于于于1998199819981998年年年年爆爆爆爆发发发发,是是是是病病病病毒毒毒毒发发发发展展展展历历历历史史史史中中中中的的的的一一一一个个个个重重重重要要要要标标标标志。志。志。志。 Remote Remot
109、e Remote Remote ExploreExploreExploreExplore病病病病毒毒毒毒通通通通过过过过盗盗盗盗取取取取Windows Windows Windows Windows NT NT NT NT 域域域域管管管管理理理理员员员员的的的的帐帐帐帐号号号号进进进进行行行行传传传传播播播播。如如如如果果果果一一一一个个个个具具具具有有有有管管管管理理理理员员员员身身身身份份份份的的的的用用用用户户户户执执执执行行行行了了了了染染染染毒毒毒毒的的的的程程程程序序序序,该该该该病病病病毒毒毒毒便便便便以以以以服服服服务务务务的的的的方方方方式式式式驻驻驻驻留留留留内内内内存存
110、存存,取取取取名名名名为为为为“ “Remote Remote Remote Remote ExploreExploreExploreExplore” ”, 并并并并 在在在在 染染染染 毒毒毒毒 系系系系 统统统统 中中中中 安安安安 装装装装 文文文文 件件件件winntsystem32driversie403r.syswinntsystem32driversie403r.syswinntsystem32driversie403r.syswinntsystem32driversie403r.sys。若若若若另另另另一一一一台台台台NTNTNTNT机机机机器器器器只只只只要要要要用用用用同同
111、同同一一一一管管管管理理理理员员员员帐帐帐帐号号号号登登登登录录录录到到到到染染染染毒毒毒毒的的的的机机机机器器器器中中中中,该该该该病病病病毒毒毒毒就就就就可可可可以感染局域网附加网络驱动器中的文件。以感染局域网附加网络驱动器中的文件。以感染局域网附加网络驱动器中的文件。以感染局域网附加网络驱动器中的文件。 当当当当病病病病毒毒毒毒被被被被激激激激活活活活后后后后,它它它它便便便便在在在在共共共共享享享享的的的的网网网网络络络络驱驱驱驱动动动动器器器器上上上上随随随随机机机机选选选选择择择择一一一一个个个个文文文文件件件件夹夹夹夹,感感感感染染染染除除除除.dll .dll .dll .dl
112、l 或或或或.tmp.tmp.tmp.tmp扩扩扩扩展展展展名名名名的的的的文文文文件件件件外外外外的的的的所所所所有有有有其他文件,就连一些其他文件,就连一些其他文件,就连一些其他文件,就连一些DOSDOSDOSDOS下的下的下的下的.exe.exe.exe.exe文件同样难逃厄运。文件同样难逃厄运。文件同样难逃厄运。文件同样难逃厄运。 6.5 网络病毒防治技术网络病毒防治技术 网络病毒的特点网络病毒的特点网络病毒的特点网络病毒的特点 2 2 2 2、Matrix Matrix Matrix Matrix 病病病病毒毒毒毒MatrixMatrixMatrixMatrix在在在在2000200
113、020002000年年年年8 8 8 8月月月月发发发发源源源源于于于于德德德德国国国国,它它它它具具具具有有有有网网网网络络络络蠕蠕蠕蠕虫虫虫虫的特性,利用的特性,利用的特性,利用的特性,利用InternetInternetInternetInternet和和和和LANLANLANLAN进行传播。进行传播。进行传播。进行传播。 该该该该病病病病毒毒毒毒以以以以邮邮邮邮件件件件附附附附件件件件的的的的形形形形式式式式传传传传播播播播。当当当当接接接接收收收收者者者者打打打打开开开开附附附附件件件件,该该该该病病病病毒毒毒毒便便便便在在在在网网网网络络络络系系系系统统统统内内内内安安安安装装装装
114、文文文文件件件件到到到到c:windowsc:windowsc:windowsc:windows目目目目录录录录下下下下,然然然然后后后后将将将将 系系系系 统统统统 内内内内 的的的的 WSOCK32.DLLWSOCK32.DLLWSOCK32.DLLWSOCK32.DLL删删删删 除除除除 , 把把把把 WSOCK32.MTXWSOCK32.MTXWSOCK32.MTXWSOCK32.MTX更更更更 名名名名 为为为为WSOCK32.DLLWSOCK32.DLLWSOCK32.DLLWSOCK32.DLL。这这这这样样样样,受受受受感感感感染染染染系系系系统统统统在在在在发发发发送送送送邮
115、邮邮邮件件件件时时时时增增增增加加加加自自自自动动动动发发发发送附件的功能,附件即为蠕虫的副本。送附件的功能,附件即为蠕虫的副本。送附件的功能,附件即为蠕虫的副本。送附件的功能,附件即为蠕虫的副本。 病病病病毒毒毒毒还还还还能能能能对对对对网网网网上上上上邻邻邻邻居居居居中中中中的的的的所所所所有有有有可可可可用用用用资资资资源源源源进进进进行行行行搜搜搜搜索索索索,以以以以便便便便能能能能够够够够同同同同本本本本机机机机进进进进行行行行文文文文件件件件传传传传输输输输,从从从从而而而而达达达达到到到到感感感感染染染染网网网网络络络络中中中中其其其其它它它它机机机机器器器器的的的的目的。目的。
116、目的。目的。 病病病病毒毒毒毒通通通通过过过过创创创创建建建建wininit.iniwininit.iniwininit.iniwininit.ini文文文文件件件件,在在在在每每每每次次次次系系系系统统统统启启启启动动动动后后后后自自自自动动动动运运运运行行行行。另另另另外外外外,被被被被安安安安装装装装的的的的文文文文件件件件MTX.EXEMTX.EXEMTX.EXEMTX.EXE还还还还能能能能够够够够将将将将系系系系统统统统连连连连接接接接到到到到指指指指定定定定的站点,并下载新的病毒插件,以完成自身更新。的站点,并下载新的病毒插件,以完成自身更新。的站点,并下载新的病毒插件,以完成自
117、身更新。的站点,并下载新的病毒插件,以完成自身更新。 6.5.16.5.16.5.16.5.1网络病毒的特点网络病毒的特点网络病毒的特点网络病毒的特点 3. LOVELETTER 3. LOVELETTER 3. LOVELETTER 3. LOVELETTER (爱虫)(爱虫)(爱虫)(爱虫) 病病病病毒毒毒毒LOVELETTERLOVELETTERLOVELETTERLOVELETTER于于于于2000200020002000年年年年5 5 5 5月月月月发发发发源源源源于于于于菲菲菲菲律律律律宾宾宾宾。其其其其最大的特点是通过最大的特点是通过最大的特点是通过最大的特点是通过EmailEm
118、ailEmailEmail和和和和IRCIRCIRCIRC快速传播。快速传播。快速传播。快速传播。 在在在在通通通通过过过过电电电电子子子子邮邮邮邮件件件件传传传传播播播播时时时时,它它它它不不不不放放放放过过过过地地地地址址址址簿簿簿簿中中中中的的的的每每每每一一一一个个个个地地地地址址址址而而而而且且且且邮邮邮邮件件件件的的的的主主主主题题题题还还还还是是是是具具具具有有有有诱诱诱诱惑惑惑惑性性性性的的的的“ “I I I I LOVE LOVE LOVE LOVE YOUYOUYOUYOU” ”。一一一一旦旦旦旦用用用用户户户户打打打打开开开开附附附附件件件件,病病病病毒毒毒毒便便便便进
119、进进进行行行行感感感感染染染染:搜搜搜搜索索索索outlookoutlookoutlookoutlook地地地地址址址址簿簿簿簿、IRCIRCIRCIRC连连连连接接接接、发发发发送送送送带带带带有有有有病病病病毒毒毒毒的的的的邮邮邮邮件、通过件、通过件、通过件、通过IRCIRCIRCIRC感染其它用户等等。感染其它用户等等。感染其它用户等等。感染其它用户等等。 6.5 网络病毒防治技术网络病毒防治技术其传播方式有:其传播方式有:其传播方式有:其传播方式有: l l l l病毒直接从有盘站拷贝到服务器中。病毒直接从有盘站拷贝到服务器中。病毒直接从有盘站拷贝到服务器中。病毒直接从有盘站拷贝到服务
120、器中。 l l l l病病病病毒毒毒毒首首首首先先先先传传传传染染染染工工工工作作作作站站站站并并并并驻驻驻驻留留留留内内内内存存存存,等等等等运运运运行行行行网网网网络络络络盘盘盘盘内内内内程程程程序序序序时时时时再再再再传传传传染染染染给给给给服服服服务务务务器器器器。或或或或在在在在运运运运行行行行时时时时直直直直接通过映像路径传染到服务器。接通过映像路径传染到服务器。接通过映像路径传染到服务器。接通过映像路径传染到服务器。 l l l l若若若若远远远远程程程程工工工工作作作作站站站站被被被被病病病病毒毒毒毒侵侵侵侵入入入入,病病病病毒毒毒毒则则则则可可可可通通通通过过过过通信中数据交
121、换进入网络服务器中。通信中数据交换进入网络服务器中。通信中数据交换进入网络服务器中。通信中数据交换进入网络服务器中。 6.5 6.5 网络病毒防治技术网络病毒防治技术在在在在网网网网络络络络环环环环境境境境下下下下,网网网网络络络络病病病病毒毒毒毒除除除除了了了了具具具具有有有有可可可可传传传传播播播播性性性性、可可可可执执执执行行行行性性性性、破破破破坏坏坏坏性性性性、可可可可触触触触发发发发性性性性等等等等计计计计算算算算机机机机病病病病毒毒毒毒的的的的共共共共性性性性外外外外,还具有一些新的特点:还具有一些新的特点:还具有一些新的特点:还具有一些新的特点:l l l l感感感感染染染染速
122、速速速度度度度快快快快:在在在在单单单单机机机机环环环环境境境境下下下下,病病病病毒毒毒毒只只只只能能能能通通通通过过过过软软软软盘盘盘盘从从从从一一一一台台台台计计计计算算算算机机机机带带带带到到到到另另另另一一一一台台台台,而而而而在在在在网网网网络络络络中中中中则则则则可可可可以通过网络通信机制进行迅速扩散。以通过网络通信机制进行迅速扩散。以通过网络通信机制进行迅速扩散。以通过网络通信机制进行迅速扩散。l l l l扩扩扩扩散散散散面面面面广广广广:由由由由于于于于病病病病毒毒毒毒在在在在网网网网络络络络中中中中扩扩扩扩散散散散非非非非常常常常快快快快,扩扩扩扩散散散散范范范范围围围围很
123、很很很大大大大,不不不不但但但但能能能能迅迅迅迅速速速速传传传传染染染染局局局局域域域域网网网网内内内内所所所所有有有有计计计计算算算算机机机机,还还还还能能能能在在在在瞬瞬瞬瞬间间间间通通通通过过过过远远远远程程程程工工工工作作作作站站站站将将将将病病病病毒毒毒毒传传传传播播播播到到到到千里之外。千里之外。千里之外。千里之外。 6.5 网络病毒防治技术网络病毒防治技术l l l l传传传传播播播播的的的的形形形形式式式式复复复复杂杂杂杂多多多多样样样样:计计计计算算算算机机机机病病病病毒毒毒毒在在在在网网网网络络络络上上上上一一一一般般般般是是是是通通通通过过过过“ “工工工工作作作作站站站
124、站- - - -服服服服务务务务器器器器- - - -工工工工作作作作站站站站” ”的的的的途途途途径径径径进行传播的,但传播的形式复杂多样。进行传播的,但传播的形式复杂多样。进行传播的,但传播的形式复杂多样。进行传播的,但传播的形式复杂多样。 l l l l难难难难于于于于彻彻彻彻底底底底清清清清除除除除:单单单单机机机机上上上上的的的的计计计计算算算算机机机机病病病病毒毒毒毒有有有有时时时时可可可可通通通通过过过过删删删删除除除除带带带带毒毒毒毒文文文文件件件件、低低低低级级级级格格格格式式式式化化化化硬硬硬硬盘盘盘盘等等等等措措措措施施施施将将将将病病病病毒毒毒毒彻彻彻彻底底底底清清清清
125、除除除除。而而而而在在在在网网网网络络络络中中中中,只只只只要要要要有有有有一一一一台台台台工工工工作作作作站站站站未未未未能能能能消消消消毒毒毒毒干干干干净净净净,就就就就可可可可能能能能使使使使整整整整个个个个网网网网络络络络重重重重新新新新被被被被病病病病毒毒毒毒感感感感染染染染,甚甚甚甚至至至至刚刚刚刚刚刚刚刚完完完完成成成成清清清清除除除除工工工工作作作作的的的的一一一一台台台台工工工工作作作作站站站站就就就就有有有有可可可可能被网上另一台带毒工作站所感染。能被网上另一台带毒工作站所感染。能被网上另一台带毒工作站所感染。能被网上另一台带毒工作站所感染。l l l l破破破破坏坏坏坏性
126、性性性大大大大。网网网网络络络络上上上上病病病病毒毒毒毒将将将将直直直直接接接接影影影影响响响响网网网网络络络络的的的的工工工工作作作作,轻轻轻轻则则则则降降降降低低低低速速速速度度度度,影影影影响响响响工工工工作作作作效效效效率率率率,重重重重则则则则使使使使网网网网络崩溃,络崩溃,络崩溃,络崩溃, 破坏服务器信息,使多年工作毁于一旦。破坏服务器信息,使多年工作毁于一旦。破坏服务器信息,使多年工作毁于一旦。破坏服务器信息,使多年工作毁于一旦。 6.5 网络病毒防治技术网络病毒防治技术6.5.26.5.2对网络病毒的防御能力对网络病毒的防御能力对网络病毒的防御能力对网络病毒的防御能力 ( (防
127、病毒工具防病毒工具防病毒工具防病毒工具) )1. 1. 1. 1. 病毒查杀能力病毒查杀能力病毒查杀能力病毒查杀能力病病病病毒毒毒毒查查查查杀杀杀杀能能能能力力力力的的的的强强强强弱弱弱弱体体体体现现现现在在在在可可可可查查查查杀杀杀杀病病病病毒毒毒毒的的的的种种种种类类类类和和和和数数数数目目目目,并并并并还还还还要要要要关关关关注注注注对对对对实实实实际际际际流流流流行行行行病病病病毒毒毒毒的的的的查查查查杀杀杀杀能能能能力力力力。有有有有些些些些病病病病毒毒毒毒虽然曾流行过,但以后可能不会再遇到。虽然曾流行过,但以后可能不会再遇到。虽然曾流行过,但以后可能不会再遇到。虽然曾流行过,但以后
128、可能不会再遇到。2. 2. 对新病毒的反应能力对新病毒的反应能力 对对对对新新新新病病病病毒毒毒毒的的的的反反反反应应应应能能能能力力力力是是是是考考考考察察察察一一一一个个个个防防防防病病病病毒毒毒毒工工工工具具具具好好好好坏坏坏坏的的的的重重重重要要要要方方方方面面面面。主主主主要要要要是是是是衡衡衡衡量量量量软软软软件件件件工工工工具具具具的的的的病病病病毒毒毒毒信信信信息息息息搜搜搜搜集集集集网网网网络络络络、病病病病毒毒毒毒代代代代码码码码的的的的更更更更新新新新周周周周期期期期和和和和供供供供应应应应商商商商对对对对用用用用户户户户发发发发现现现现的的的的新新新新病毒的反应周期。病
129、毒的反应周期。病毒的反应周期。病毒的反应周期。 6.5 网络病毒防治技术网络病毒防治技术3. 3. 3. 3. 病毒实时监测能力病毒实时监测能力病毒实时监测能力病毒实时监测能力病病病病毒毒毒毒通通通通过过过过邮邮邮邮件件件件和和和和网网网网页页页页传传传传播播播播的的的的途途途途径径径径具具具具有有有有一一一一定定定定的的的的实实实实时时时时性性性性,用用用用户户户户无无无无法法法法人人人人为为为为地地地地了了了了解解解解可可可可能能能能感感感感染染染染的的的的时时时时间间间间。因因因因此此此此,防防防防病毒软件的实时监测能力显得相当重要。病毒软件的实时监测能力显得相当重要。病毒软件的实时监测
130、能力显得相当重要。病毒软件的实时监测能力显得相当重要。4. 4. 4. 4. 快速、方便的升级快速、方便的升级快速、方便的升级快速、方便的升级 防防防防病病病病毒毒毒毒软软软软件件件件对对对对更更更更新新新新及及及及时时时时性性性性的的的的要要要要求求求求尤尤尤尤为为为为突突突突出出出出。多多多多数数数数反反反反病病病病毒毒毒毒软软软软件件件件采采采采用用用用了了了了InternetInternetInternetInternet进进进进行行行行病病病病毒毒毒毒代代代代码码码码和和和和病病病病毒毒毒毒查查查查杀杀杀杀引引引引擎擎擎擎的的的的更更更更新新新新,并并并并可可可可以以以以通通通通过过
131、过过一一一一定定定定的的的的设设设设置置置置自自自自动动动动进进进进行行行行,尽尽尽尽可可可可能能能能地地地地减减减减少少少少人人人人力力力力的的的的介介介介入入入入。这这这这种种种种升升升升级级级级信信信信息息息息应应应应该和安装一样能方便地该和安装一样能方便地该和安装一样能方便地该和安装一样能方便地“ “分发分发分发分发” ”到各个终端。到各个终端。到各个终端。到各个终端。 6.5 网络病毒防治技术网络病毒防治技术5. 5. 5. 5. 智能安装、远程识别智能安装、远程识别智能安装、远程识别智能安装、远程识别 由由由由于于于于服服服服务务务务器器器器和和和和客客客客户户户户端端端端承承承承
132、担担担担的的的的任任任任务务务务不不不不同同同同,在在在在防防防防病病病病毒毒毒毒方方方方面面面面的的的的要要要要求求求求也也也也不不不不大大大大一一一一样样样样。在在在在安安安安装装装装时时时时如如如如果果果果能能能能够够够够自自自自动动动动区区区区分分分分服服服服务务务务器器器器与与与与客客客客户户户户端端端端,并并并并安安安安装装装装相相相相应应应应的的的的软软软软件件件件,这这这这对对对对管管管管理理理理员员员员是是是是一一一一件件件件十十十十分分分分方方方方便便便便的的的的事。事。事。事。 远远远远程程程程安安安安装装装装和和和和远远远远程程程程设设设设置置置置,可可可可以以以以大大
133、大大大大大大减减减减轻轻轻轻管管管管理理理理员员员员到到到到现现现现场场场场安安安安装装装装、设设设设置置置置的的的的繁繁繁繁重重重重工工工工作作作作,可可可可以以以以对对对对全全全全网网网网的的的的机机机机器器器器进进进进行行行行统统统统一一一一安安安安装装装装,又又又又可可可可以有针对性的设置。以有针对性的设置。以有针对性的设置。以有针对性的设置。6. 6. 6. 6. 管理方便,易于操作管理方便,易于操作管理方便,易于操作管理方便,易于操作 对对对对防防防防病病病病毒毒毒毒软软软软件件件件的的的的参参参参数数数数设设设设置置置置以以以以及及及及从从从从系系系系统统统统整整整整体体体体角角
134、角角度度度度出出出出发发发发对对对对各各各各台计算机上进行的设置。台计算机上进行的设置。台计算机上进行的设置。台计算机上进行的设置。 生生生生成成成成病病病病毒毒毒毒监监监监控控控控报报报报告告告告等等等等辅辅辅辅助助助助管管管管理理理理措措措措施施施施将将将将会会会会有有有有助助助助于于于于防防防防病病病病毒软件应用更加得心应手。毒软件应用更加得心应手。毒软件应用更加得心应手。毒软件应用更加得心应手。 6.5 网络病毒防治技术网络病毒防治技术7. 7. 7. 7. 对现有资源的占用情况对现有资源的占用情况对现有资源的占用情况对现有资源的占用情况 防防防防病病病病毒毒毒毒程程程程序序序序进进进
135、进行行行行实实实实时时时时监监监监控控控控都都都都或或或或多多多多或或或或少少少少地地地地要要要要占占占占用用用用部部部部分分分分系系系系统统统统资资资资源源源源。一一一一些些些些单单单单位位位位上上上上网网网网速速速速度度度度感感感感觉觉觉觉太太太太慢慢慢慢,有有有有一一一一部部部部分分分分原原原原因因因因是是是是防防防防病病病病毒毒毒毒程程程程序序序序对对对对文文文文件件件件“ “过过过过滤滤滤滤” ”带带带带来来来来的影响。的影响。的影响。的影响。 另另另另一一一一个个个个是是是是升升升升级级级级信信信信息息息息的的的的交交交交换换换换,下下下下载载载载和和和和分分分分发发发发升升升升级
136、级级级信信信信息息息息都都都都将将将将会会会会占占占占用用用用一一一一定定定定的的的的网网网网络络络络带带带带宽宽宽宽,但但但但其其其其占占占占用用用用带带带带宽宽宽宽;较小,一般为几百较小,一般为几百较小,一般为几百较小,一般为几百KBKB。 8.8.系统兼容性系统兼容性系统兼容性系统兼容性 系系系系统统统统兼兼兼兼容容容容性性性性是是是是必必必必须须须须考考考考虑虑虑虑的的的的因因因因素素素素。因因因因防防防防病病病病毒毒毒毒软软软软件件件件的的的的一一一一部部部部分分分分常常常常驻驻驻驻程程程程序序序序如如如如果果果果跟跟跟跟其其其其它它它它软软软软件件件件不不不不兼兼兼兼容容容容将将将将会会会会带来很多的问题。带来很多的问题。带来很多的问题。带来很多的问题。 6.5 网络病毒防治技术网络病毒防治技术
