【正文】 。 密碼技術有以下五大基本要素 。 第 6章 計算機網(wǎng)絡的安全性 一般的加密 /解密模型如圖 63所示 。 它的好處就在于可以秘密而又方便地變換密鑰 ， 從而達到保密的目的 。 這種方法還是較安全的 ， 因為盡管人們知道它采用了字母代換字母的方法 ， 但并不知道密鑰 ， 如果逐個試探 ， 則共有 26! (約為 4 1026)個可能使用的密鑰 。根據(jù)這種猜想和判斷，能初步構成一個試探性明文。這里加密的關鍵在于密鑰。 密鑰的作用是使用“ 字典序列 ” 對列編號 。 與傳統(tǒng)的密碼技術相比 ， 它們的基本原理一樣 ， 其密鑰是保密的 ， 但著重點不同 。 密鑰被去掉其第 8， 16， 24， … ， 64位后減至 56位 (去掉的那些位被視為奇偶校驗位 ， 不含密鑰信息 )， 然后就開始各輪運算 。解密時 ， 只需在迭代過程中 ， 將密鑰序號顛倒過來使用 ，即第一圈用 K(16)， 第二圈用 K(15)， 依此類推 。 此算法需有以下三個條件： (1) ?D(E(P))＝ P。 第 6章 計算機網(wǎng)絡的安全性 E加密方法D解密方法明文 P密文C=EPK B(P)加密密鑰 PK 解密密鑰 SK明文 P發(fā)送者 接收者密鑰對產(chǎn)生源圖 66 公開密鑰密碼體制 第 6章 計算機網(wǎng)絡的安全性 2． 使用公開密鑰加密算法進行數(shù)字簽名 書信或文件是根據(jù)親筆簽名或印章來證明其真實性的 ， 但在計算機網(wǎng)絡中傳送的文件又如何蓋章呢 ？這就是數(shù)字簽名所要解決的問題 。 B用已知的 A的公開加密密鑰得出 EPKA(DSKA(P))＝ P。)。 端 — 端加密是由軟件或專門硬件在表示層或應用層上實現(xiàn)變換的 。 但在特定網(wǎng)絡的應用中 ， 許多報文并不需要加密 ， 但要求發(fā)送的報文應該是完整的 ， 而且不是偽造的 。 第 6章 計算機網(wǎng)絡的安全性 報文摘要的優(yōu)點是：對短的固定長報文摘要 H(m)進行加密比對整個報文 m進行加密效率要高得多 ， 但對鑒別報文 m來說 ， 其效果是一樣的 。 第 6章 計算機網(wǎng)絡的安全性 密鑰管理與分配 在加密標準 DES和公開密鑰加密算法中 ， 由于加密算法公開 ， 網(wǎng)絡安全完全基于密鑰的安全保護上 ， 因此密鑰的管理非常重要 。 第 6章 計算機網(wǎng)絡的安全性 目前 ， 公認的有效密鑰分配方法是通過密鑰分配中心KDC來管理和分配公開密鑰 。 第 6章 計算機網(wǎng)絡的安全性 此外 ， KDC可使用其秘密密鑰 SKKDC對發(fā)給 A的應答報文進行數(shù)字簽名 ， 以防止偽造 ， 還可在報文中加入時間戳防止重放攻擊 。一個好的防火墻系統(tǒng)應具有三方面的特性： 第 6章 計算機網(wǎng)絡的安全性 Inter Intr a服務器工作站工作站防火墻工作站圖 611 防火墻 第 6章 計算機網(wǎng)絡的安全性 (1) 所有在內部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻 。 如果認為信息是安全的 ， 那么代理程序就會將信息轉發(fā)到相應的主機上 ， 用戶只能夠使用代理服務器支持的服務 。這個系統(tǒng)的第一個安全設施是包過濾路由器。 (2) 美國國家計算機安全協(xié)會 NCSA (National Computer Security Association)成立的防火墻開發(fā)商 FWPD (FireWall Product Developer)聯(lián)盟制訂的防火墻測試標準。 Windows NT/2023網(wǎng)絡采取的安全措施是： Windows NT/2023系統(tǒng)首先必須在 NT/2023中擁有一個賬號；其次，應規(guī)定該賬號在系統(tǒng)中的權力和權限。按下 Ctrl+Alt+Del鍵時， NT系統(tǒng)保證彈出的登錄對話框是系統(tǒng)本身的，而不是一個貌似登錄對話框的應用程序，以防止被非法竊取用戶名及口令。 第 6章 計算機網(wǎng)絡的安全性 存取標識 SID的作用相當于緩存 ， 只不過存取標識緩存的是用戶安全信息 ， 這使得系統(tǒng)不必再從硬盤上查找這些信息 。 第 6章 計算機網(wǎng)絡的安全性 在安全系統(tǒng)上用惟一名字標識一個注冊用戶，它可以用來標識一個用戶或一組用戶。 因此 ， 如果用戶想獲得另一個賬號的存取權限 ， 就必須退出系統(tǒng)并重新以另一個賬號進行登錄 。ACE中包含了用戶名以及該用戶的權限 。 第 6章 計算機網(wǎng)絡的安全性 由于有許多與 NT口令有關的安全問題 ， Microsoft已經(jīng)在 Windows NT/2023加密口令時增加了許多步驟 ，但同時也增加了許多新的安全漏洞 ， 這里舉幾個帶來嚴重問題的安全漏洞的例子 。 在這種情況下 ， 甚至沒有必要使用工具來猜測那些明文口令 。 這種情況 (系統(tǒng)里只有一個 Administrator賬號 ) 是 NT/2023預先考慮過的一個特征 ， 然而它也是一種風險 。 第 6章 計算機網(wǎng)絡的安全性 如果是未安裝 Service Pack 1或 Windows 2023系統(tǒng) ， 用鼠標左鍵單擊選項按鈕 ， 在出現(xiàn)的對話框中選擇主頁 ， 這時在已出現(xiàn)的幫助窗口的右側會出現(xiàn) IE瀏覽器界面中的 “ 此頁不可顯示 ” 頁面 ， 其中有一個檢測網(wǎng)絡設置的鏈接 ， 單擊它就會出現(xiàn)網(wǎng)絡設置選項 ， 可以對網(wǎng)絡進行設置 ， 甚至對控制面板做任何修改 。 3) 掌握并使用微軟提供但未設置的安全功能 例如 ， 缺省安裝未禁用 G u e s t 賬號 ， 并且給Everyone(每個人 )工作組授予 “ 完全控制 ” 權限 ， 沒有實施口令策略等都給網(wǎng)絡的安全留下了漏洞 。 選擇好口令的原則主要有： (1) 登錄名稱中的字符不要重復或循環(huán) 。 7) 設置賬號鎖定 這是阻止黑客入侵的有效方法 ， 建議設置嘗試注冊三次后鎖定賬號 ， 在合適的鎖定時間后被鎖定的賬號自動打開 ， 或者只有管理員才能打開賬號使用戶恢復正常 。 第 6章 計算機網(wǎng)絡的安全性 * 常見的黑客工具及攻擊方法 網(wǎng)絡監(jiān)聽 網(wǎng)絡監(jiān)聽是黑客在局域網(wǎng)或路由器上進行的一項黑客技術 ， 可以很容易地獲得用戶的密碼和賬號 。 第 6章 計算機網(wǎng)絡的安全性 1． 什么是以太網(wǎng) Sniffing 以太網(wǎng) Sniffing是指對以太網(wǎng)設備上傳送的數(shù)據(jù)包進行偵聽，發(fā)現(xiàn)感興趣的包；如果發(fā)現(xiàn)符合條件的包，就把它存到一個 log文件中去。 Sniffer屬第二層次的攻擊 ， 通常是攻擊者已經(jīng)進入了目標系統(tǒng) ， 然后使用 Sniffer這種攻擊手段以得到更多的信息 。 一個主要的辦法是看看計算機上當前正在運行的所有程序 ， 這通常并不可靠 ， 但用戶能控制哪個程序可以在計算機上運行 。現(xiàn)在實現(xiàn)這項功能的 Antisniff程序已被開發(fā)出來，感興趣的讀者可上 Inter網(wǎng)下載。 如果某個站點使用 FSSH， 用戶名和口令就變得不是很重要了 。 第 6章 計算機網(wǎng)絡的安全性 (2) 建立信任策略表 。 請記住 ， 許多攻擊往往來自網(wǎng)絡內部 。 通過目標計算機發(fā)送一個數(shù)據(jù)包 ， 讓它將這個數(shù)據(jù)包反送回來 。 第 6章 計算機網(wǎng)絡的安全性 在手工掃描時 ， 需要熟悉各種命令 ， 對命令執(zhí)行后的輸出進行分析 。 (3) 如果內部網(wǎng)絡要和 Inter相連 ， 還必須使用防火墻 。 第 6章 計算機網(wǎng)絡的安全性 另一個比較容易接受的防止 Sniffer的方法是使用安全拓撲結構 。 解決這些問題的辦法是加密 。 但可能入侵者用的是他們自己寫的程序 ， 這給發(fā)現(xiàn) Sniffer造成相當大的困難 。 第 6章 計算機網(wǎng)絡的安全性 使用 Sniffer程序或編寫一個功能強大的 Sniffer程序需要一些網(wǎng)絡方面的知識 。當一個設備要向某一目標發(fā)送數(shù)據(jù)時，它是對以太網(wǎng)進行廣播的。首先，它接收所有的數(shù)據(jù)報文，這就使網(wǎng)絡上的數(shù)據(jù)丟失，造成網(wǎng)絡通信不暢。 第 6章 計算機網(wǎng)絡的安全性 10) 啟動審查功能 為防止未經(jīng)授權的訪問 ， 可以利用域用戶管理器啟用安全審查功能 ， 以便在事件查看器安全日志中記錄未經(jīng)授權的訪問企圖 ， 以便盡早發(fā)現(xiàn)安全漏洞 。 第 6章 計算機網(wǎng)絡的安全性 (5) 要求用戶定期更改口令 。 如果一個用戶在公司里的角色變了 ， 很難跟蹤并更改他的訪問權 。 (2) 在服務器上設置系統(tǒng)啟動口令 ， 設置 BIOS禁用軟盤引導系統(tǒng) 。 這種情況只有一種可能 ， 那就是物理上能訪問機器 。 (4) 重新安裝 Windows NT/2023軟件 ， 就可以獲得Administrator級別的訪問權 。 第 6章 計算機網(wǎng)絡的安全性 最新的 Service Pack已經(jīng)糾正了這個問題 ， 它限制了 Ping包的大小 。 (3) 目錄對象有訪問控制列表 ACL，且訪問控制條目 ACE不為空，則安全系統(tǒng)將用戶的存取標識 SID及資源訪問操作與目錄的 ACL中所有的訪問控制條目 ACE對照，若發(fā)現(xiàn)用戶存取標識 SID中的用戶名與 ACL中的訪問控制條目 ACE有對應關系且所要求的權限合法，則訪問獲得允許；否則，訪問被拒絕。在登錄過程中，創(chuàng)建和使用存取標識是非常重要的。用 SID標識用戶的結果是，在同一個計算機上，可以多次創(chuàng)建相同的用戶賬號名，而每一個賬號名都有一個惟一的 SID。 通過對訪問控制列表 (ACL)的控制 ， 能確定授予用戶和組的存取權限 。 存取標識中的主要內容有： ● 用戶名以及 SID； ● 用戶所屬的組及組 SID； ● 用戶對系統(tǒng)所具有的權力 。 1. Windows NT/2023的用戶登錄管理 Windows NT/2023要求每個用戶使用惟一的用戶名和口令登錄到計算機上，這種登錄過程不能關閉。 第 6章 計算機網(wǎng)絡的安全性 (4) 單向防火墻 (又叫網(wǎng)絡二極管 )將作為一種產(chǎn)品門類出現(xiàn) 。 第 6章 計算機網(wǎng)絡的安全性 4． 防火墻的安全標準 目前已提出了兩個標準： (1) ?RSA數(shù)據(jù)安全公司與一些防火墻生產(chǎn)廠商 (如Sun Microsystem公司 、 Checkpoint公司 、 TIS公司等 )以及一些 T C P / I P協(xié)議開發(fā)商 (如 FTP公司等 )提出了Secure/WAN(S/WAN)標準 。 因此 ， 在實際應用中 ， 往往將兩種防火墻技術結合起來 ， 以取長補短 ， 主機屏蔽防火墻就是其中的一種 。 1) 包過濾路由器 (Packet Filters) 包過濾路由器在一般路由器的基礎上增加了一些新的安全控制功能 ， 是一個檢查通過它的數(shù)據(jù)包的路由器 。 第 6章 計算機網(wǎng)絡的安全性 如圖 611所示，在網(wǎng)絡中，防火墻是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互連設備，如路由器、網(wǎng)關等。 第 6章 計算機網(wǎng)絡的安全性 KDCKDC用戶 A用戶B① SK AK DC (A, B)②③PKAK DC(K, PKBK DC(A, K))PKBK DC(A, K)圖 610 KDC分配一次對稱密鑰的過程 第 6章 計算機網(wǎng)絡的安全性 首先 ， A向 KDC發(fā)送用自己的秘密密鑰 SKAKDC加密的信息報文 SKAKDC(A， B)， 說明想和用戶 B通信 。 第 6章 計算機網(wǎng)絡的安全性 密鑰分配是密鑰管理中最大的問題。 第 6章 計算機網(wǎng)絡的安全性 這兩個條件表明：若 (m， H(m))是發(fā)送方產(chǎn)生的報文和報文摘要 ， 攻擊者不可能偽造另一個報文 m39。 (3) 接收端收到報文 m和報文摘要密文 EK(H(m))后 ，將報文摘要密文 EK(H(m))解密還原成 H(m)。 第 6章 計算機網(wǎng)絡的安全性 * 報文鑒別 計算機網(wǎng)絡安全領域中 ， 防止信息被竊聽所采取的措施是對發(fā)送的信息進行加密 ， 而防止信息被篡改和偽造則需要使用報文鑒別技術 。 因為截到密文 DSKA(P)并知道發(fā)送者身份的任何人 ，通過查閱手冊即可獲得發(fā)送者的公開密鑰 PKA， 因而能理解電文內容 。 第 6章 計算機網(wǎng)絡的安全性 D明文 PSKA用秘密密鑰進行簽名DSK A(P)發(fā)送者 A明文 P接收者 BEPKA用公開密鑰核實簽名圖 67 數(shù)字簽名的實現(xiàn) 第 6章 計算機網(wǎng)絡的安全性 若 A要抵賴曾發(fā)送報文給 B， 則 B可將 P及 DSKA(P)出示給第三者 。 現(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法