【正文】 test等，第一次進(jìn)入系統(tǒng)就要修改口令，不要沿用系統(tǒng)給用戶(hù)的缺省口令。 視網(wǎng)膜掃描： 是用紅外線(xiàn)檢查人眼各不相同的血管圖像 。自動(dòng)取款機(jī) ATM。 系統(tǒng)登陸 4. 賬戶(hù)鎖定 為了防止有人企圖強(qiáng)行闖入系統(tǒng)中 ， 用戶(hù)可以設(shè)定最大登錄次數(shù) ， 如果用戶(hù)在規(guī)定次數(shù)內(nèi)未成功登錄 ， 則系統(tǒng)會(huì)自動(dòng)被鎖定 ， 不可能再用于登錄 。 成功的登錄過(guò)程有 4個(gè)步驟： （ 1） Win 32的 WinLogon進(jìn)程給出一個(gè)對(duì)話(huà)框 ， 要求要有一個(gè)用戶(hù)名和口令 ， 這個(gè)信息被傳遞給安全性賬戶(hù)管理程序 。 密碼破譯方法 4． 防止密碼破譯的措施 ? （ 1） 強(qiáng)壯的加密算法 ? （ 2） 動(dòng)態(tài)會(huì)話(huà)密鑰 ? （ 3） 保護(hù)關(guān)鍵密鑰 密碼破譯方法 常見(jiàn)系統(tǒng)的口令及其對(duì)應(yīng)的密鑰長(zhǎng)度 密碼破譯方法 返回本章首頁(yè) 系統(tǒng)訪(fǎng)問(wèn)控制與認(rèn)證機(jī)制 系統(tǒng)登陸 1． Unix系統(tǒng)登陸 Unix系統(tǒng)是一個(gè)可供多個(gè)用戶(hù)同時(shí)使用的多用戶(hù) 、 多任務(wù) 、 分時(shí)的操作系統(tǒng) ， 任何一個(gè)想使用 Unix系統(tǒng)的用戶(hù) ， 必須先向該系統(tǒng)的管理員申請(qǐng)一個(gè)賬號(hào) ， 然后才能使用該系統(tǒng) ， 因此賬號(hào)就成為用戶(hù)進(jìn)入系統(tǒng)的合法 “ 身份證 ” 。 Secure HTTP只能加密 HTTP流量 。 ? SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù) 。 2. Secure MIME(SMIME) ? SMIME為一個(gè)公共的工業(yè)標(biāo)準(zhǔn)方法 ， 主要應(yīng)用到 Netscape Communicator’ s Messenger Email程序上 。 這步提供了認(rèn)證 。 加密后的 HASH值稱(chēng)做信息摘要 。 在這一步通常使用MD2, MD4, MD5或 SHA1。 這個(gè)密鑰是根據(jù)時(shí)間的不同以及文件的大小和日期而隨機(jī)產(chǎn)生的 。 通常將對(duì)稱(chēng) 、 非對(duì)稱(chēng)和 HASH加密綜合使用 。 l 保證數(shù)據(jù)的完整性 ， 防止截獲者在文件中加入其他信息 。 （ Hash encryption） 為了解決上述問(wèn)題 ， 就必須利用另外一種安全技術(shù)即數(shù)字簽名 。 （ Hash encryption） （ Hash encryption） ? 數(shù)字簽名 ? 在商業(yè)系統(tǒng)中 ， 通常都利用書(shū)面文件來(lái)規(guī)定契約性的責(zé)任 。 它將一個(gè)任意長(zhǎng)的字串做為輸入 ， 產(chǎn)生一個(gè) 128位的 “ 報(bào)文摘要 ” 。 （ Hash encryption） 例如 ， ATM自動(dòng)取款機(jī)不需要解密用戶(hù)的身份證號(hào)碼 ，可以對(duì)用戶(hù)的身份證號(hào)碼進(jìn)行計(jì)算產(chǎn)生一個(gè)結(jié)果 。 單向加密（ Hash encryption） ? 單向加密包括一個(gè)含有哈希函數(shù)的哈希表 ， 由這個(gè)表確定用來(lái)加密的十六位進(jìn)制數(shù) 。 ? 在傳輸?shù)倪^(guò)程中 ， 任何想竊取信息的人因?yàn)闆](méi)有 B的私鑰而無(wú)法獲取信息 。 ? 密鑰對(duì)中的一個(gè)必須保持秘密狀態(tài)，稱(chēng)為私鑰；另一個(gè)則被廣泛發(fā)布，稱(chēng)為公鑰。 ? 原因?yàn)?1998年 5月美國(guó) EFF（ Electronics Frontier Foundation） 宣布 ， 他們的一臺(tái)專(zhuān)用解密機(jī) ， 用 56小時(shí)破譯了 56位密鑰的 DES。 ? 其原理是將原文經(jīng)過(guò)一系列的排列與置換所產(chǎn)生的結(jié)果再于原文異或合并 。 ? 定期改變密鑰可改進(jìn)對(duì)稱(chēng)密鑰加密方法的安全性 ，但是改變密碼并及時(shí)通知其他用戶(hù)的過(guò)程是相當(dāng)困難的 。 2. 優(yōu)點(diǎn)和缺點(diǎn) ? 對(duì)稱(chēng)加密的優(yōu)點(diǎn)在于它的高速度和高強(qiáng)度 。 其密鑰長(zhǎng)度為 40位 。 ? 如果密鑰被他人截獲，那么保密的信息就不再受到保護(hù)了。 2. SSL握手協(xié)議 ? 握手協(xié)議用于服務(wù)器和客戶(hù)機(jī)之間的相互認(rèn)證及協(xié)商加密算法 、 MAC算法和密鑰 ， 它的執(zhí)行是在發(fā)送應(yīng)用數(shù)據(jù)以前 。 ? SSL協(xié)議主要由 SSL記錄協(xié)議和 SSL握手協(xié)議兩部分組成 。 傳輸層安全實(shí)現(xiàn) 將 SSL或 TLS作為 TCP基本協(xié)議組的一部分 ， 因此對(duì)應(yīng)用程序來(lái)說(shuō)是透明的 。 ? SSL協(xié)議要求建立在可靠的 TCP之上 ， 高層的應(yīng)用協(xié)議能透明地建立在 SSL之上 。 Int e r Int e r Int e r LAN R o u te rR o u te r實(shí)現(xiàn) IPSec 安全網(wǎng)關(guān) 安全網(wǎng)關(guān) 隧道 SA 一個(gè)或兩個(gè) SA SA的組合方式 LAN SA的組合方式 ?SA的基本組合有四種方式 ?每個(gè) SA所承載的通信服務(wù)或?yàn)?AH或?yàn)?ESP ?對(duì)主機(jī)到主機(jī)的 SA， AH或 ESP的使用模式可以是傳輸模式也可以是隧道模式。 ? 原數(shù)據(jù)報(bào)在整個(gè)傳送過(guò)程中就象在隧道中一樣，傳送路徑上的路由器都有無(wú)法看到原數(shù)據(jù)報(bào)的報(bào)頭。 ? 以傳輸模式運(yùn)行的 ESP協(xié)議對(duì) IP報(bào)頭之后的數(shù)據(jù)（負(fù)載）進(jìn)行加密和認(rèn)證，但不對(duì) IP報(bào)頭進(jìn)行加密和認(rèn)證。 ? SA提供安全服務(wù)的方式是使用 AH或 ESP之一。 IPSec體系結(jié)構(gòu) 體系 封裝安全負(fù)載 ESP 驗(yàn)證頭 AH 驗(yàn)證算法 加密算法 解釋域 DOI 密鑰管理 策略 ? 體系：定義 IPSec技術(shù)的機(jī)制； ? ESP：用其進(jìn)行包加密的報(bào)文格式和一般性問(wèn)題； ? AH：用其進(jìn)行包認(rèn)證的報(bào)文包格式和一般性問(wèn)題 ? 加密算法：描述將各種不同加密算法用于 ESP的文檔； ? 認(rèn)證算法：描述將各種不同加密算法用于 AH以及ESP認(rèn)證選項(xiàng)的文檔； ? 密鑰管理：描述密鑰管理模式 ? DOI ：其他相關(guān)文檔 ， 如加密和認(rèn)證算法標(biāo)識(shí)及運(yùn)行參數(shù)等 。 網(wǎng)絡(luò)層安全協(xié)議體系 — IPSec IPSec體系結(jié)構(gòu) ? IPSec在 IP層提供安全業(yè)務(wù)的方式是讓系統(tǒng)選擇所要求的安全協(xié)議 、 算法和密鑰 。 無(wú)需修改用戶(hù)或服務(wù)器所使用的軟件 。 ? IPSec可增加已有的安全協(xié)議的安全性。網(wǎng)絡(luò)管理與安全技術(shù) 第 6章 網(wǎng)絡(luò)安全技術(shù) ? ? ? ? VPN技術(shù) ? 網(wǎng)絡(luò)病毒防治技術(shù) 第 6章安全通信協(xié)議 網(wǎng)絡(luò)層安全協(xié)議體系 — IPSec ? IPSec— IP Security IPSec的作用 IPSec通過(guò)在 IP層對(duì)所有業(yè)務(wù)流加密和認(rèn)證，保證了所有分布式應(yīng)用程序的安全性。 ? IPSec既可用于建立內(nèi)部網(wǎng)安全連接也可用于外部網(wǎng)的安全連接。 ? IPSec位于網(wǎng)絡(luò)層 ， 對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的 。 ? 算法獨(dú)立； ? 有利于實(shí)現(xiàn)不同安全策略； ? 對(duì)沒(méi)有采用該機(jī)制的用戶(hù)不會(huì)有負(fù)面影響 。 ESP又分為僅加密和加密與認(rèn)證結(jié)合兩種情況。 ? 如果需要一個(gè)對(duì)等關(guān)系，即雙向安全交換，則需要兩個(gè) SA。（可以是 AH或 ESP） SA的組合方式有：傳輸模式和隧道模式 2. AH和 ESP的兩種使用模式 1) 傳輸模式 ? 傳輸模式主要用于對(duì)上層協(xié)議的保護(hù)，如TCP、 UDP和 ICMP數(shù)據(jù)段的保護(hù)。原數(shù)據(jù)報(bào)就成為新數(shù)據(jù)報(bào)的負(fù)載。 ? 當(dāng)要求在主機(jī)間和網(wǎng)關(guān)間都實(shí)現(xiàn) IPSec業(yè)務(wù)時(shí)，就要求建立多個(gè) SA， 即采用 SA組合方式。 ? C/S通信中 ， 可始終對(duì)服務(wù)器和客戶(hù)進(jìn)行認(rèn)證 。 HTTP FTP SMTP TCP IP/IPSec 網(wǎng)絡(luò)層 HTTP FTP SMTP TCP IP SSL or TLS 傳輸層 應(yīng)用層 PGP SET TCP IP SMTP UDP Kerberos HTTP S/MIME Web安全性方法 網(wǎng)絡(luò)層安全實(shí)現(xiàn) 利用 IPSec提供 Web的安全性 ， 其優(yōu)點(diǎn)是對(duì)終端用戶(hù)和應(yīng)用程序是透明的 ， 且為 Web安全提供一般目的的解決方法 。 協(xié)議規(guī)范 ? 安全套接字層 SSL是由 Netscape設(shè)計(jì)的 ， 目前有SSLv 3。 ? 消息完整性業(yè)務(wù)是