【文章內(nèi)容簡(jiǎn)介】 的過(guò)程中不會(huì)被改變 。 在這一步通常使用MD2, MD4, MD5或 SHA1。 MD5用于 SSL。 4） 發(fā)送者用自己的私鑰對(duì)這個(gè) HASH值加密 。 通過(guò)使用發(fā)送者的私鑰加密 ， 接收者可以確定信息確實(shí)是從這個(gè)發(fā)送者發(fā)過(guò)來(lái)的 。 加密后的 HASH值稱做信息摘要 。 實(shí)用加密舉例 5） 發(fā)送者用在第二步產(chǎn)生的會(huì)話密鑰對(duì) Email信息和所有的附件加密 。 這種加密提供了數(shù)據(jù)的保密性 。 6） 發(fā)送者用接收者的公鑰對(duì)這個(gè)會(huì)話密鑰加密 ， 來(lái)確保信息只能被接收者用其自己的私鑰解密 。 這步提供了認(rèn)證 。 7） 然后將加密后的信息和數(shù)字摘要發(fā)送給接收方 。 解密的過(guò)程正好以相反的順序執(zhí)行 。 加密技術(shù)的實(shí)現(xiàn) 1. PGP (Pretty Good Privacy) ? PGP是對(duì)電子郵件和文本文件較流行的高技術(shù)加密程序 ， PGP的成功在于采用對(duì)稱加密和非對(duì)稱加密技術(shù)以及 HASH加密各自的優(yōu)點(diǎn) 。 2. Secure MIME(SMIME) ? SMIME為一個(gè)公共的工業(yè)標(biāo)準(zhǔn)方法 ， 主要應(yīng)用到 Netscape Communicator’ s Messenger Email程序上 。 加密技術(shù)的實(shí)現(xiàn) 加密技術(shù)的實(shí)現(xiàn) 5. Web服務(wù)器加密 ? 加密 WEB服務(wù)器有兩種模式： 安全超文本傳輸協(xié)議 （ Secure HTTP） 安全套接字層 （ SSL） 。 ? 這兩種協(xié)議都允許自發(fā)的進(jìn)行商業(yè)交易 ， Secure HTTP和 SSL都使用對(duì)稱加密 ， 非對(duì)稱加密和單向加密 ， 并使用單向加密的方法對(duì)所有的數(shù)據(jù)包簽名 。 加密技術(shù)的實(shí)現(xiàn) ? Secure HTTP使用非對(duì)稱加密保護(hù)在線傳輸 ， 大多數(shù)瀏覽器都支持這個(gè)協(xié)議 。 ? SSL協(xié)議允許應(yīng)用程序在公網(wǎng)上秘密的交換數(shù)據(jù) 。 ? SSL允許兩個(gè)應(yīng)用程序通過(guò)使用數(shù)字證書(shū)認(rèn)證后在網(wǎng)絡(luò)中進(jìn)行通信 。 還使用加密及信息摘要來(lái)保證數(shù)據(jù)的可靠性 。 ? SSL比其它方法更加安全 ， 其加密的過(guò)程是發(fā)生在網(wǎng)絡(luò)的較低層 。 Secure HTTP只能加密 HTTP流量 。 Teacher: PGPkeys—產(chǎn)生新 keypair口令對(duì)應(yīng)自己的私鑰 導(dǎo)出 Export 將公鑰上傳 學(xué)生： 同上 記住口令 PGPkeysKeys將公鑰 Import—PGP文件夾 公鑰 – Import 右鍵單擊導(dǎo)入的公鑰 —sing– 點(diǎn)公鑰 —選中allow…… 選剛建的 Keypair輸入口令 右鍵單擊導(dǎo)入的公鑰 Key Properties—Trusted 寫一個(gè)文檔或 Email PGPkeysEncrypt—雙擊公鑰 —點(diǎn)擊 OK—保存發(fā)送 將文檔打開(kāi) PGPkeysDecryptverify解密 PGP PGP1 PGP2 密碼破譯方法 ? 1． 密鑰的窮盡搜索 ? 破譯密文就是嘗試所有可能的密鑰組合 。雖然大多數(shù)的密鑰嘗試都是失敗的 ， 但最終有一個(gè)密鑰讓破譯者得到原文 ， 這個(gè)過(guò)程稱為密鑰的窮盡搜索 。 ? 2． 密碼分析 ? （ 1） 已知明文的破譯方法 ? （ 2） 選定明文的破譯方法 ? 3． 其他密碼破譯方法 ? “窺視”或“偷竊”密鑰內(nèi)容；利用加密系統(tǒng)實(shí)現(xiàn)中的缺陷或漏洞； ? 對(duì)用戶使用的加密系統(tǒng)偷梁換柱；從用戶工作生活環(huán)境的其他來(lái)源獲得未加密的保密信息； ? 讓口令的另一方透露密鑰或信息；威脅用戶交出密鑰等等。 密碼破譯方法 4． 防止密碼破譯的措施 ? （ 1） 強(qiáng)壯的加密算法 ? （ 2） 動(dòng)態(tài)會(huì)話密鑰 ? （ 3） 保護(hù)關(guān)鍵密鑰 密碼破譯方法 常見(jiàn)系統(tǒng)的口令及其對(duì)應(yīng)的密鑰長(zhǎng)度 密碼破譯方法 返回本章首頁(yè) 系統(tǒng)訪問(wèn)控制與認(rèn)證機(jī)制 系統(tǒng)登陸 1． Unix系統(tǒng)登陸 Unix系統(tǒng)是一個(gè)可供多個(gè)用戶同時(shí)使用的多用戶 、 多任務(wù) 、 分時(shí)的操作系統(tǒng) ， 任何一個(gè)想使用 Unix系統(tǒng)的用戶 ， 必須先向該系統(tǒng)的管理員申請(qǐng)一個(gè)賬號(hào) ， 然后才能使用該系統(tǒng) ， 因此賬號(hào)就成為用戶進(jìn)入系統(tǒng)的合法 “ 身份證 ” 。 系統(tǒng)登陸 2． Unix賬號(hào)文件 Unix賬號(hào)文件 /etc/passwd是登錄驗(yàn)證的關(guān)鍵，該文件包含所有用戶的信息，如用戶的登錄名、口令和用戶標(biāo)識(shí)號(hào)等等信息。該文件的擁有者是超級(jí)用戶，只有超級(jí)用戶才有寫的權(quán)力，而一般用戶只有讀取的權(quán)力。 系統(tǒng)登陸 3. Windows NT/2023系統(tǒng)登錄 Windows NT要求每一個(gè)用戶提供唯一的用戶名和口令來(lái)登錄到計(jì)算機(jī)上 ， 這種強(qiáng)制性登錄過(guò)程不能關(guān)閉 。 成功的登錄過(guò)程有 4個(gè)步驟： （ 1） Win 32的 WinLogon進(jìn)程給出一個(gè)對(duì)話框 ， 要求要有一個(gè)用戶名和口令 ， 這個(gè)信息被傳遞給安全性賬戶管理程序 。 （ 2） 安全性賬戶管理程序查詢安全性賬戶數(shù)據(jù)庫(kù) ， 以確定指定的用戶名和口令是否屬于授權(quán)的系統(tǒng)用戶 。 （ 3） 如果訪問(wèn)是授權(quán)的 ， 安全性系統(tǒng)構(gòu)造一個(gè)存取令牌 ，并將它傳回到 Win 32的 WinLogin進(jìn)程 。 （ 4） WinLogin調(diào)用 Win 32子系統(tǒng) ， 為用戶創(chuàng)建一個(gè)新的進(jìn)程 ， 傳遞存取令牌給子系統(tǒng) ， Win 32對(duì)新創(chuàng)建的進(jìn)程連接此令牌 。 系統(tǒng)登陸 4. 賬戶鎖定 為了防止有人企圖強(qiáng)行闖入系統(tǒng)中 ， 用戶可以設(shè)定最大登錄次數(shù) ， 如果用戶在規(guī)定次數(shù)內(nèi)未成功登錄 ， 則系統(tǒng)會(huì)自動(dòng)被鎖定 ， 不可能再用于登錄 。 5. Windows 安全性標(biāo)識(shí)符（ SID） 在安全系統(tǒng)上標(biāo)識(shí)一個(gè)注冊(cè)用戶的唯一名字，它可以用來(lái)標(biāo)識(shí)一個(gè)用戶或一組用戶。 修改鎖定時(shí)間為 0 修改閥值為 3 認(rèn)證機(jī)制 身份認(rèn)證 （ Identification and Authentication）定義為：為了使某些授予許可權(quán)限的權(quán)威機(jī)構(gòu)滿意 ， 而提供所要求的用戶身份驗(yàn)證的過(guò)程 。 認(rèn)證方法 用戶或系統(tǒng)能夠通過(guò)四種方法來(lái)證明其身份： ? 實(shí)物認(rèn)證 ? 密碼認(rèn)證 ? 生物特征認(rèn)證 ? 位置認(rèn)證 復(fù)習(xí) 認(rèn)證方法 ? 實(shí)物認(rèn)證：智能卡（ Smart Card）就是一種根據(jù)用戶擁有的物品進(jìn)行鑒別的手段。自動(dòng)取款機(jī) ATM。 ? 密碼認(rèn)證：口令可以說(shuō)是其中的一種，但口令容易被偷竊，于是人們發(fā)明了一種一次性口令機(jī)制。 認(rèn)證方法 ? 生物特征認(rèn)證 指紋： 唯一地識(shí)別一個(gè)人 手?。?讀取整個(gè)手而不是僅僅手指的特征 。 聲音圖像： 每個(gè)人各不相同 筆跡或簽名： 字母和符號(hào)的組合 、 簽名時(shí)某些部分用力的大小 、 筆接觸紙的時(shí)間的長(zhǎng)短 、 筆移動(dòng)中的停頓等細(xì)微的差別 。 視網(wǎng)膜掃描： 是用紅外線檢查人眼各不相同的血管圖像 。 認(rèn)證方法 ? 位置認(rèn)證 該認(rèn)證的策略是根據(jù)用戶的位置來(lái)決定其身份 。比如 UNIX的 rlogin和 rsh程序通過(guò)源 IP地址來(lái)驗(yàn)證一個(gè)用戶 、 主機(jī)或執(zhí)行過(guò)程 。 認(rèn)證方法 口令維護(hù)問(wèn)題 （ 1）不要幾個(gè)人共享一個(gè)口令，不要把它記在本子上或計(jì)算機(jī)周圍。 （ 2）不要用系統(tǒng)指定的口令，如 root、 demo和test等，第一次進(jìn)入系統(tǒng)就要修改口令，不要沿用系統(tǒng)給用戶的缺省口令。 （ 3）最好將口令加密處理后再用電子郵件傳送 . （ 4）如果賬戶長(zhǎng)期不用，管理員應(yīng)將其暫停。如果雇員離開(kāi)公司，則管理員應(yīng)及時(shí)把他的賬戶消除， （ 5）可以限制用戶的登錄時(shí)間，如只有在工作時(shí)間可登錄。 （ 6）限制登錄次