【文章內(nèi)容簡介】 加密和解密使用同一個密鑰。 特點：快速并易于實施，適合大量信息的加密， 管理不便 ，容易被破解。 加密面臨的問題 ? 加密面臨的問題主要是破 解 。 ? 破解主要有 字典 破解和 暴力 破解。 ? 對付字典破解就是改變密鑰的規(guī)律性，然而定期改變密鑰是很困難的。 ? 對付暴力破解就需對稱加密的長度設(shè)置的更長，更復(fù)雜，或者采用一次性口令。 對稱加密算法 ? 對稱加密算法有 : – DES (Data Encryption Standard) 數(shù)據(jù)加密標準 – Triple DES 三重 DES – RSA算法 ? RC2 and RC4 ? RC5 ? RC6 – Blowfish (up to 448bit) and Two fish（ up to 256） – Skipjack 美國國家安全局設(shè)計的加密程序 – MARS 由 IBM設(shè)計，速度比 DES要快 數(shù)據(jù)加密標準 DES ? DES是一種 block（塊）密文的加密算法，是把數(shù)據(jù)加密成 64位長度 的 block（塊）。使用相同的密鑰（ 56位 ）來加密和解密，這種標準使用一種叫做“ diffusion and confusion” 的技術(shù)。 每 64位的數(shù)據(jù)被分成兩半 ，并利用密鑰對每一半進行運算(稱做 — 次 round或是輪 )， DES運行 16個 rounds，并且對于每個 round運算所使用密鑰的位數(shù)是不同的。 ? DES 主要用于 POS、 ATM、 IC卡、加油站、高速公路收費站，金融交易數(shù)據(jù)包的 MAC效驗。 TripleDES (三重 DES ) ? 3DES是系統(tǒng)加密算法，其符合 OpenPGP標準。它基于 DES， 使用 3個獨立的 56bit密鑰對 交換 的信息進行 3次加密，使其有效長度達到 168bit。 ? 主要 防止中間人 攻擊。 RSA安全公司的對稱算法 ? RC2和 RC5 :RC2是一種 block（塊）模式的密文，就是把信息加密成 64位的數(shù)據(jù)塊。 RC5使用 128位密鑰的算法并有 12到 16個 rounds。 ? RC4 :RC4是 — 種 流式的密文 而不是塊式密文件， 加密是動態(tài)的 ，不像 RC2有個固定的塊大小，就是實時的把信息加密成一個整體。 密鑰的長度也是可變的 ，在美國一般密鑰長度是 128位，向外出口時限制到 40位，因為受到美國出口法的限制。 Lotus Notes， Oracle SQL都使用 RC4的算法。 Two fish和 MARS ? Two fish這種算法使用 128位的 block并且速度很快。Two fish支持 28位， 192，和 256位的 密鑰，是一種可用于 智能卡 上的加密算法。 ? MARS是由 IBM提出的 — 種算法，并且速度要 比 DES還要快 ，和 Two fish一樣，它主要也是 面向工作在智能卡上而設(shè)計的。 其它的對稱加密算法 ? Misty1和 Misty2:是由日本三菱電子開發(fā)的一種算法，采用一種 128位的塊密鑰加密，每塊 64位。Misty2經(jīng)過改進比 Misty更快。 ? Gost: 最初是由蘇聯(lián)用于研究用途，也是一種塊密文的加密方式，密鑰長度為 256位，每塊的長度為 4位。 ? Cast 256:一種采用 64位為一塊，而密鑰長度為 256的塊密文加密方式。 ? HNC： 用于一系列的私有加密或非正式加密的應(yīng)用，它由 HNC（ ）公司所開發(fā)，主要用于創(chuàng)建分發(fā)軟件包的訪問代碼。 實驗 41 ? 使用 Apocalypso程序加密和解密文件 非對稱加密 ? 也稱為公鑰加密，成對使用，公鑰對外公開，私鑰需要安全保護。 特點：算法精密，保密性好，密鑰便于管理，加 密速度慢。 非對稱密鑰加密元素 ? 非對稱密鑰加密元素包括 : – RSA美國國家技術(shù)標準局的標準，被廣泛采用 – DSA (Digital Signature Algorithm) 用于LINUX – DiffieHellman屬于一種安全交換密鑰的協(xié)議，可以看作是密鑰交換協(xié)議，開放式標準，但是很容易受中間人攻擊。 HASH加密 ? HASH加密是把一些 不同長度的信息 轉(zhuǎn)化成雜亂的128位 編碼，叫做 hash值。 解密是不可能的，也叫一次性加密， 廣泛用于身份識別，安全加密，數(shù)字簽名等。 ? 采用的是“ 大素數(shù)不能分解 ”的原理。 HASH算法 ? HASH算法包括 : – MD2, MD4 and MD5 :使用不同長度的數(shù)據(jù)流，產(chǎn)生一個唯一的指紋，用于對 Email,證書，保證內(nèi)容完整性的相關(guān)應(yīng)用。 – 安全 HASH算法 (SHA) :由 NIST和 NSA開發(fā)并應(yīng)用于美國政府， 160位 hash值，結(jié)構(gòu)與 MD5類似，速度比 MD5慢25%，比 MD5更安全，產(chǎn)生的 Hash值比 MD5長 25%。 擴展實驗 41 ? 在 LINUX中用 MD5驗證 HASH算法 應(yīng)用加密的過程 應(yīng)用加密的過程 PGP和 GPG ? 針對電子郵件和文本文件最流行的高技術(shù)加密程序就是 PGP (Pretty Good Privacy)和 GPG(GNU Privacy Guard ,它是加密工具 PGP（ Pretty Good Privacy ）的非商業(yè)化版本，用于對 Email、文件及其他數(shù)據(jù)的收發(fā)進行加密與驗證，確保通信 數(shù)據(jù)的可靠性和真實性。 )，兩者是最成功的采用 對稱加密和 非對稱 加密技術(shù)以及 HASH加密的優(yōu)點的加密程序。 ? 安裝了 PGP或 GPG以后，需要生成一對密鑰對，這一對密鑰是非對稱的，即公鑰和私鑰是各不相同又緊密聯(lián)系的。 ? PGP和 GPG也采用了對稱加密技術(shù)，在生成公鑰和私鑰的時候會要求輸入一個簡單好記的密鑰，這個密鑰用于保護剛才生成的密鑰對。 實驗 42至 46 ? 學(xué)習(xí)使用 PGP發(fā)送加密電子郵件 – 安裝 – 生成密鑰對 – 對公共密鑰導(dǎo)出、交換、簽名 – 交換加密信息 – 使用 PGP對文件進行加密 公共密鑰體系結(jié)構(gòu) PKI ? PKI是“ Public Key Infrastructure” 的縮寫，意為“ 公鑰基礎(chǔ)設(shè)施 ”。簡單地說， PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。 ? PKI體制在密鑰管理上比對稱密鑰密碼更安全。 ? PKI技術(shù)的意義 : – 通過 PKI可以構(gòu)建一個 可管、可控、安全 的互聯(lián)網(wǎng)絡(luò)。 – 通過 PKI可以在互聯(lián)網(wǎng)中構(gòu)建一個 完整的授權(quán) 服務(wù)體系。 – 通過 PKI可以建設(shè)一個 普適性好、安全性高 的統(tǒng)一平臺 。 PKI的標準 ? （ 1988） ? （ 1993）信息技術(shù)之開放系統(tǒng)互聯(lián)：概念、模型及服務(wù)簡述 ? （ 1993）信息技術(shù)之開放系統(tǒng)互聯(lián)：鑒別框架 ? PKCS系列標準 ? OCSP在線證書狀態(tài)協(xié)議 ? LDAP 輕量級目錄訪問協(xié)議 虛擬專用網(wǎng)絡(luò) (VPN) ? VPN定義：不是真的專用網(wǎng)絡(luò)，但可以實現(xiàn)專用網(wǎng)絡(luò)的功能，依靠 ISP和 NSP， 通過 VPN設(shè)備或軟件技術(shù)在任意兩個節(jié)點之間形成一個虛擬的點到點專線技術(shù)。 ? 企業(yè)在構(gòu)架 VPN時都會利用防火墻和訪問控制技術(shù)來提高 VPN的安全性，但這還不夠。就技術(shù)而言，除了基于防火墻的 VPN之外，還包括基于黒盒的 VPN、基于路由器的 VPN、基于遠程訪問的 VPN或者基于軟件的 VPN。 ? 基本思想就是建立秘密通信通道，用加密的方法來實現(xiàn)。 ? 特點： – 安全保障 – 服務(wù)質(zhì)量保證 – 可擴充性和靈活性 – 可管理性 VPN安全技術(shù) ? 隧道技術(shù)（ Tunneling） PPTP， L2TP,L2F ? 加解密技術(shù)（ Encryption amp。 Decryption） ? 密鑰管理技術(shù)（ Key Management ） IKE,SKIP ? 身份認證技術(shù)（ Authentication ） CHAP,MSCHAP 隧道技術(shù)（ Tunneling） ? 隧道技術(shù)是一種類似于點到點的技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)通過此通道傳輸。 隧道由隧道協(xié)議組成 。 ? 第二層隧道協(xié)議： ： 主要由微軟公司在 PPP的基礎(chǔ)上開發(fā)的一種協(xié)議，沒有對 PPP進行修改，將標準 PPP加上封裝，支持 ClientLAN的 VPN連接，需要先建立PPP的連接。 2. L2F是由思科公司開發(fā)的一種提供虛擬拔號的隧道協(xié)議，支持 LAN－ LAN的連接 3. L2TP結(jié)合兩者的優(yōu)點 VPN與 IPsec ? Ipsec處于各個協(xié)議層的中間位置，既能 捕獲高層的報文，也能 捕獲低層 的報文，附加的安全措施與低層無關(guān)對高層透明。 ? 安全性： Ipsec更安全， PPTP采用 RC4的算法，支持40或 128位的加密算法， IPsec采用 168位的三重 DES算法。 數(shù)字簽名 ? 數(shù)字簽名的功能 ： – 接收者能夠核實發(fā)送者對報文的簽名 – 發(fā)送者事后不能抵賴對報文的簽名 – 任何人不能偽造對報文的簽名 – 保證數(shù)據(jù)的完整性，防止截獲者在文件中加入其他信息 – 對數(shù)據(jù)和信息的來源進行保證，以保證發(fā)件人的身份 – 數(shù)字簽名有一定的處理速度，能夠滿足所有的應(yīng)用需求 Web安全 ? 對于 加密 web服務(wù)器 有兩種可接收的模式，一種是安全超文本傳輸協(xié)議 （ Secure HTTP），一種是安全套接字層 （ SSL） 。 ? 兩種方式 都使用 對稱加密、非對稱加密和單向加密，并使用單向加密的方式對所有的數(shù)據(jù)包簽名。 安全套接字層 (SSL) ? SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù)，因此 防止了竊聽、破壞和信息偽造 。 ? 網(wǎng)站是否使用了 SSL技術(shù)最直觀的方法有兩種：一，網(wǎng)址必須以“ Https”開頭（ 443端口）；二，在 IE瀏覽器的狀態(tài)欄上必須出現(xiàn)一把黃色的小鎖。 ? 如 中的網(wǎng)上個人銀行。 安全套接字層 (SSL) ? SSL允許 兩個應(yīng)用程序通過使用數(shù)字證書認證后在網(wǎng)絡(luò)中進行通信 ，它還使用 加密及信息摘要 來保證數(shù)據(jù)的可靠性。 ? SSL是工作在 傳輸層協(xié)議 上的，所有的瀏覽器都支持 SSL，所以應(yīng)用程序在使用它時不需要特殊的代碼。 Netscape公司發(fā)明的并在 1995年成為一項標準， 1996年，是當前的標準并且所有瀏覽器都支持它。 ? SSL加密的過程是發(fā)生在網(wǎng)絡(luò)的較低層 ，可以加密更多的內(nèi)容。 Secure HTTP只能夠加密 HTTP流量，而 SSL可加密所有的數(shù)據(jù)包 。 安全套接字層 (SSL) ? SSL加密過程的具備步驟 ： – 客戶端和服務(wù)器端協(xié)商建立加密通道的特定算法。 – 隨后客戶端隨機生成一個對稱密鑰。 – 通過驗證后，所有的數(shù)據(jù)通過密鑰進行加密，使用 DEC和 RC4加密進行加密。 – 信息通過 HASH加密，或者一次性加密（ MD5/SHA）進行完整性確認。 ? SSL數(shù)據(jù)結(jié)構(gòu) 包括以下部分： – 客戶端和服務(wù)器端握手協(xié)議 – 認證和密鑰交換程序 – 信息和常數(shù) @2022 VCampus Corporation All Rights Reserved. 第五單元 基本攻擊 學(xué)習(xí)目標 ? 描述典型的安全攻擊類型 ? 識別常見的攻擊事件 什么是黑客？ ? 他們電腦技術(shù)高超，善于利用創(chuàng)新的方法剖析系統(tǒng)。 他們以保護網(wǎng)絡(luò)為目的，而以不正當侵入為手段。 ? 黑客起源于 50年代麻省理工學(xué)院的實驗室中，他們精力充沛，熱衷于解決難題。 ? 黑客一詞，源于英文 Hacker，原指熱心于計算機技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計人員。 ? 今天，黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。對這些人的正確英文叫法是 Cracker，有人翻譯成“駭客”。 ? 黑客和駭客根本的區(qū)別是：黑客們建設(shè)，而駭客們破壞。 攻擊行為的動機 ? 黑客攻擊的動機各不相同，有的為了達到目的，有的是為了獲取金錢，有的是為了個人興趣，有的是因為無知和好奇。要進一步解決安全問題，我們需要了解可能遇到的攻擊類型。為了防御黑客，還需要了解黑客所采用的技術(shù)、使用的工具及軟件。 暴力破解和字典攻擊 ? 暴力攻擊使用 字母、數(shù)字和字符 的隨機組合反復(fù)進行試探性訪問。暴力攻擊程序通過簡單地猜測用戶名和反復(fù)訪問服務(wù)器來破解一臺服務(wù)器或數(shù)據(jù)文件。 ? 字典窮舉法攻擊通過查詢一個“字典文件”來嘗試破譯口令，此文件包括一個很長的單詞列表。容易破譯用戶使用標準的單詞設(shè)置的口令。 ? 使用強密碼可有效地防止暴力破解和字典攻擊。 擴展實驗 51 使用字典破解工具進行 Windows口令破解 ? L0PHTCracker ? SamInside ? NAT 系統(tǒng)漏洞和后門 ? 系統(tǒng)漏洞 是程序中 無意造成的缺陷