【文章內(nèi)容簡(jiǎn)介】 用協(xié)議分析器就能查看到這些信息，從而進(jìn)一步分析出口令。 身份驗(yàn)證 （ 2）認(rèn)證信息截取 /重放 (Record/Replay)： 有的系統(tǒng)會(huì)將認(rèn)證信息進(jìn)行簡(jiǎn)單加密后進(jìn)行傳輸，如果攻擊者無(wú)法用第一種方式推算出密碼，可以使用截取 /重放方式，需要的是重新編寫(xiě)客戶(hù)端軟件以使用加密口令實(shí)現(xiàn)系統(tǒng)登錄。 截取 /重放 身份驗(yàn)證 （ 3）字典攻擊： 根據(jù)調(diào)查結(jié)果可知，大部份的人為了方便記憶選用的密碼都與自己周遭的事物有關(guān)，例如：身份證字號(hào)、生日、車(chē)牌號(hào)碼、其他有意義的單詞或數(shù)字，某些攻擊者會(huì)使用字典中的單詞來(lái)嘗試用戶(hù)的密碼。 所以大多數(shù)系統(tǒng)都建議用戶(hù)在口令中加入特殊字符，以增加口令的安全性。 身份驗(yàn)證 （ 4）窮舉攻擊 (Brute Force)： ? 也稱(chēng)蠻力破解。這是一種特殊的字典攻擊，它使用字符串的全集作為字典。如果用戶(hù)的密碼較短，很容易被窮舉出來(lái)，因而很多系統(tǒng)都建議用戶(hù)使用長(zhǎng)口令。 （ 5）窺探： ? 攻擊者利用與被攻擊系統(tǒng)接近的機(jī)會(huì)，安裝監(jiān)視器或親自窺探合法用戶(hù)輸入口令的過(guò)程，以得到口令。 身份驗(yàn)證 （ 6）社交工程： ? 社會(huì)工程就是指采用非隱蔽方法盜用口令等，比如冒充是處長(zhǎng)或局長(zhǎng)騙取管理員信任得到口令等等。冒充合法用戶(hù)發(fā)送郵件或打電話(huà)給管理人員，以騙取用戶(hù)口令等。 （ 7）垃圾搜索： ? 攻擊者通過(guò)搜索被攻擊者的廢棄物，得到與攻擊系統(tǒng)有關(guān)的信息，如果用戶(hù)將口令寫(xiě)在紙上又隨便丟棄，則很容易成為垃圾搜索的攻擊對(duì)象。 身份驗(yàn)證 為防止攻擊猜中口令。安全口令應(yīng)具有以下特點(diǎn)： ? （ 1）位數(shù) 6位。 ? （ 2）大小寫(xiě)字母混合。如果用一個(gè)大寫(xiě)字母，既不要放在開(kāi)頭，也不要放在結(jié)尾。 ? （ 3）可以把數(shù)字無(wú)序的加在字母中。 ? （ 4）系統(tǒng)用戶(hù)一定用 8位口令，而且包括～ !＃＄％ ^＆＊ ?:{}等特殊符號(hào)。 身份驗(yàn)證 不安全的口令則有如下幾種情況： ? （ 1）使用用戶(hù)名（帳號(hào)）作為口令。 ? （ 2）用用戶(hù)名（帳號(hào)）的變換形式作為口令。 ? （ 3）使用自己或者親友的生日作為口令。 ? （ 4）使用常用的英文單詞作為口令。 IPsec安全協(xié)議 IPsec安全協(xié)議簡(jiǎn)介 ? IPsec（ IP Security）是 IETF制定的三層隧道加密協(xié)議，它為 Inter上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。 ? 特定的通信方之間在 IP層通過(guò)加密與數(shù)據(jù)源認(rèn)證等方式，提供了安全服務(wù) . IPsec安全協(xié)議 1. IPsec協(xié)議特點(diǎn) ■數(shù)據(jù)機(jī)密性（ Confidentiality）： ? IPsec發(fā)送方在通過(guò)網(wǎng)絡(luò)傳輸包前對(duì)包進(jìn)行加密。 ■數(shù)據(jù)完整性（ Data Integrity）： ? IPsec接收方對(duì)發(fā)送方發(fā)送來(lái)的包進(jìn)行認(rèn)證，以確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改。 IPsec安全協(xié)議 ■數(shù)據(jù)來(lái)源認(rèn)證（ Data Authentication）： ? IPsec在接收端可以認(rèn)證發(fā)送 IPsec報(bào)文的發(fā)送端是否合法。 ■防重放（ AntiReplay）： ? IPsec接收方可檢測(cè)并拒絕接收過(guò)時(shí)或重復(fù)的報(bào)文。 IPsec安全協(xié)議 2. IPsec協(xié)議優(yōu)點(diǎn) ? ■支持 IKE（ Inter Key Exchange，因特網(wǎng)密鑰交換），可實(shí)現(xiàn)密鑰的自動(dòng)協(xié)商功能，減少了密鑰協(xié)商的開(kāi)銷(xiāo)。可以通過(guò) IKE建立和維護(hù) SA的服務(wù)，簡(jiǎn)化了 IPsec的使用和管理。 ? ■所有使用 IP協(xié)議進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用 IPsec，而不必做任何修改。 ? ■對(duì)數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個(gè)數(shù)據(jù)流為單位，進(jìn)一步提高 IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊。 IPsec安全協(xié)議 . IPsec的協(xié)議組成和實(shí)現(xiàn) 1. IPsec協(xié)議組成 ? IPsec協(xié)議是應(yīng)用于 IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括 : ? 網(wǎng)絡(luò)認(rèn)證協(xié)議 AH（ Authentication Header，認(rèn)證頭）、 ? ESP（ Encapsulating Security Payload，封裝安全載荷）、 ? IKE（ Inter Key Exchange，因特網(wǎng)密鑰交換）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。 IPsec安全協(xié)議 2. IPsec協(xié)議安全機(jī)制 ? IPsec提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使 IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否遭篡改。加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算來(lái)保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)。 ? IPsec協(xié)議中的 AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證； ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)可靠性保證。 IPsec安全協(xié)議 . Ipsec封裝模式與算法 1. 安全聯(lián)盟（ Security Association， SA） ? IPsec在兩個(gè)端點(diǎn)之間提供安全通信，端點(diǎn)被稱(chēng)為IPsec對(duì)等體。 ? SA是 IPsec的基礎(chǔ)，也是 IPsec的本質(zhì)。 SA是通信對(duì)等體間對(duì)某些要素的約定，例如，使用哪種協(xié)議（ AH、 ESP還是兩者結(jié)合使用）、協(xié)議的封裝模式（傳輸模式和隧道模式）、加密算法（ DES、3DES和 AES）、特定流中保護(hù)數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。建立 SA的方式有手工配置和IKE自動(dòng)協(xié)商兩種。 IPsec安全協(xié)議 2. 封裝模式 ■隧道（ tunnel）模式：用戶(hù)的整個(gè) IP數(shù)據(jù)包被用來(lái)計(jì)算 AH或 ESP頭， AH或 ESP頭以及 ESP加密的用戶(hù)數(shù)據(jù)被封裝在一個(gè)新的 IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通訊。 ■傳輸（ transport）模式：只是傳輸層數(shù)據(jù)被用來(lái)計(jì)算 AH或 ESP頭， AH或 ESP頭以及 ESP加密的用戶(hù)數(shù)據(jù)被放置在原 IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊。 IPsec安全協(xié)議 安全協(xié)議數(shù)據(jù)封裝格式 IPsec安全協(xié)議 3. 認(rèn)證算法與加密算法 (1)認(rèn)證算法 ? 認(rèn)證算法的實(shí)現(xiàn)主要是通過(guò)雜湊函數(shù)。雜湊函數(shù)是一種能夠接受任意長(zhǎng)的消息輸入，并產(chǎn)生固定長(zhǎng)度輸出的算法，該輸出稱(chēng)為消息摘要。 ? IPsec對(duì)等體計(jì)算摘要，如果兩個(gè)摘要是相同的，則表示報(bào)文是完整未經(jīng)篡改的。 IPsec安全協(xié)議 IPsec使用兩種認(rèn)證算法： ■ MD5： ? MD5通過(guò)輸入任意長(zhǎng)度的消息，產(chǎn)生 128bit的消息摘要。 ■ SHA1： ? SHA1通過(guò)輸入長(zhǎng)度小于 2的 64次方 bit的消息，產(chǎn)生 160bit的消息摘要。 ? MD5算法的計(jì)算速度比 SHA1算法快，而 SHA1算法的安全強(qiáng)度比 MD5算法高。 IPsec安全協(xié)議 (2)加密算法 ? 加密算法實(shí)現(xiàn)主要通過(guò)對(duì)稱(chēng)密鑰系統(tǒng)，它使用相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。目前設(shè)備的IPsec實(shí)現(xiàn)三種加密算法： ■ DES（ Data Encryption Standard）： ? 使用 56bit的密鑰對(duì)一個(gè) 64bit的明文塊進(jìn)行加密。 ■ 3DES（ Triple DES）： ? 使用三個(gè) 56bit的 DES密鑰（共 168bit密鑰）對(duì)明文進(jìn)行加密。 IPsec安全協(xié)議 ■ AES（ Advanced Encryption Standard）： ? 使用 128bit、 192bit或 256bit密鑰長(zhǎng)度的 AES算法對(duì)明文進(jìn)行加密。 ? 這三個(gè)加密算法的安全性由高到低依次是： AES、3DES、 DES，安全性高的加密算法實(shí)現(xiàn)機(jī)制復(fù)雜，運(yùn)算速度慢。對(duì)于普通的安全要求， DES算法就可以滿(mǎn)足需要。 IPsec安全協(xié)議 4. 協(xié)商方式 有如下兩種協(xié)商方式建立 SA： ■手工方式（ manual）配置比較復(fù)雜，創(chuàng)建 SA所需的全部信息都必須手工配置，而且不支持一些高級(jí)特性（例如定時(shí)更新密鑰），但優(yōu)點(diǎn)是可以不依賴(lài) IKE而單獨(dú)實(shí)現(xiàn) IPsec功能。 IPsec安全協(xié)議 ■ IKE自動(dòng)協(xié)商（ isakmp）方式相對(duì)比較簡(jiǎn)單，只需要配置好 IKE協(xié)商安全策略的信息，由 IKE自動(dòng)協(xié)商來(lái)創(chuàng)建和維護(hù) SA。 ? 當(dāng)與之進(jìn)行通信的對(duì)等體設(shè)備數(shù)量較少時(shí)，或是在小型靜態(tài)環(huán)境中，手工配置 SA是可行的。對(duì)于中、大型的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用 IKE協(xié)商建立 SA。 IPsec安全協(xié)議 5. 安全隧道 ? 安全隧道是建立在本端和對(duì)端之間可以互通的一個(gè)通道，它由一對(duì)或多對(duì) SA組成。 6. 加密卡 ? IPsec在設(shè)備上可以通過(guò)軟件實(shí)現(xiàn)，還可以通過(guò)加密卡實(shí)現(xiàn)。 ? 通過(guò)軟件實(shí)現(xiàn)，由于復(fù)雜的加密 /解密、認(rèn)證算法會(huì)占用大量的 CPU資源，從而影響設(shè)備整體處理效率；而通過(guò)加密卡，復(fù)雜的算法處理在硬件上進(jìn)行，從而提高了設(shè)備的處理效率。 IPsec安全協(xié)議 IPsec虛擬隧道接口 1. 概述 ? IPsec虛擬隧道接口是一種支持路由的三層邏輯接口，它可以支持動(dòng)態(tài)路由協(xié)議 . ? 所有路由到 IPsec虛擬隧道接口的報(bào)文都將進(jìn)行IPsec保護(hù)， ? 同時(shí)還可以支持對(duì)組播流量的保護(hù)。 IPsec安全協(xié)議 使用 IPsec虛擬隧道接口建立 IPsec隧道具有以下優(yōu)點(diǎn)： ? ■ 簡(jiǎn)化配置 ? ■ 減少開(kāi)銷(xiāo) ? ■ 業(yè)務(wù)應(yīng)用更靈活 IPsec安全協(xié)議 2. 工作原理 ? IPsec虛擬隧道接口對(duì)報(bào)文的加封裝 /解封裝發(fā)生在隧道接口上。 ? 用戶(hù)流量到達(dá)實(shí)施 IPsec配置的設(shè)備后，需要IPsec處理的報(bào)文會(huì)被轉(zhuǎn)發(fā)到 IPsec虛擬隧道接口上進(jìn)行加封裝 /解封裝。 IPsec安全協(xié)議 ? IPsec虛擬隧道接口對(duì)報(bào)文進(jìn)行加封裝的過(guò)程如下： IPsec虛接口隧道加封裝原理圖 IPsec安全協(xié)議 ? (1) Router將從入接口接收到的 IP明文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理； ? (2) 轉(zhuǎn)發(fā)模塊依據(jù)路由查詢(xún)結(jié)果，將 IP明文發(fā)送到 IPsec虛擬隧道接口進(jìn)行加封裝：原始 IP報(bào)文被封裝在一個(gè)新的 IP報(bào)文中，新 IP頭中的源地址和目的地址分別為隧道接口的源地址和目的地址。 ? (3) IPsec虛擬隧道接口完成對(duì) IP明文的加封裝處理后，將 IP密文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理； ? (4) 轉(zhuǎn)發(fā)模塊進(jìn)行第二次路由查詢(xún)后，將 IP密文通過(guò)隧道接口的實(shí)際物理接口轉(zhuǎn)發(fā)出去。 IPsec安全協(xié)議 3. IPsec虛擬隧道接口對(duì)報(bào)文進(jìn)行解封裝的過(guò)程 ? 如圖所示， IPsec虛擬隧道接口對(duì)報(bào)文進(jìn)行解封裝的過(guò)程如下： IPsec虛接口隧道解封裝原理圖 IPsec安全協(xié)議 IPsec虛擬隧道接口對(duì)報(bào)文進(jìn)行解封裝的過(guò)程如下： ? (1) Router將從入接口接收到的 IP密文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理； ? (2) 轉(zhuǎn)發(fā)模塊識(shí)別到此 IP密文的目的地為本設(shè)備的隧道接口地址且 IP協(xié)議號(hào)為 AH或 ESP時(shí)，會(huì)將 IP密文送到相應(yīng)的 IPsec虛擬隧道接口進(jìn)行解封裝：將 IP密文的外層 IP頭去掉，對(duì)內(nèi)層 IP報(bào)文進(jìn)行解密處理。 IPsec安全協(xié)議 ? (3) IPsec虛擬隧道接口完成對(duì) IP密文的解封裝處理之后，將 IP明文重新送回轉(zhuǎn)發(fā)模塊處理； ? (4) 轉(zhuǎn)發(fā)模塊進(jìn)行第二次路由查詢(xún)后，將 IP明文從隧道的實(shí)際物理接口轉(zhuǎn)發(fā)出去。 ? IPsec虛擬隧道接口將報(bào)文的 IPsec處理過(guò)程區(qū)分為兩個(gè)階段：“加密前”和“加密后”。需要應(yīng)用到加密前的明文上的業(yè)務(wù)（例如 NAT、 QoS），可以應(yīng)用到隧道接口上；需要