【正文】 據(jù)塊。典型的磁盤布局結(jié)構(gòu)格式、規(guī)則都可以提供相應(yīng)的證據(jù)。 DIRECTORY – INODE123 – DATA BLOCK。被刪除文件一般可以在硬盤上存活很長時間。 45 計算機(jī)審計 – Hugh Yan 45 二十一、計算機(jī)網(wǎng)絡(luò)安全取證 ? 取證 ? 獲取被刪除文件的工具。 CORONER‘S TOOLKIT UTILITIES （ TCT），通過MODE獲取文件屬性、通過 INODE獲取文件內(nèi)容、獲取未分配的數(shù)據(jù)塊。 ? WINDOWS2022/XP計算機(jī)取證。 NTFS文件系統(tǒng)磁盤結(jié)構(gòu)、 NTFS中數(shù)據(jù)特征、日志、注冊表、應(yīng)用文件格式、緩沖文件等。 NTFS文件的可恢復(fù)性、以卷為基礎(chǔ)的文件系統(tǒng)；元數(shù)據(jù)（文件大小、坐標(biāo)等）引導(dǎo)程序結(jié)構(gòu)和記錄整個文件卷的分配狀態(tài)等。 $mft,$logfile,$bitmap等命令。系統(tǒng)日志文件、用戶日志文件。一些應(yīng)用程序反沖等。 ? 目前關(guān)于網(wǎng)絡(luò)取證，已經(jīng)有了。關(guān)于計算機(jī)取證，作總代理。最早從事計算機(jī)取證研究的技術(shù)一直沒有推廣。目前已經(jīng)有一些研究。 ? 網(wǎng)絡(luò)入侵陷阱技術(shù)。一臺陷阱機(jī)，加上 4個 IP地址如 EMAIL、 WEB等。真實服務(wù)器與虛擬服務(wù)器并存，加上陷阱機(jī)， IDS配合，對于常來攻擊的手法，與防火墻互動，讓防火墻將入侵的操作轉(zhuǎn)入到陷阱機(jī)，也即 “ 蜜罐技術(shù) ” 。網(wǎng)絡(luò)入侵誘騙系統(tǒng)，所有網(wǎng)絡(luò)產(chǎn)品，不管串、并，都會帶來網(wǎng)絡(luò)資源消耗。 IXIA網(wǎng)絡(luò)流量模擬發(fā)生器，可以與網(wǎng)絡(luò)連接，可以測試網(wǎng)絡(luò)的響應(yīng)能力。 46 計算機(jī)審計 – Hugh Yan 46 二十二、計算機(jī)網(wǎng)絡(luò)犯罪的取證技術(shù) ? 一般的攻擊者會在破壞系統(tǒng)后抹除日志。利用網(wǎng)絡(luò)在不同的機(jī)器上進(jìn)行日志保存，可以有效保存日志。 ? 關(guān)鍵字查尋。進(jìn)行查詢匹配。由于目前磁盤的容量增大，查詢難度很大。 ? 數(shù)據(jù)恢復(fù)，用戶丟失數(shù)據(jù)的損失恢復(fù)，也包括丟失數(shù)據(jù)的復(fù)原，查找線索。這對操作系統(tǒng)的技術(shù)要求很高。 ? 物理級恢復(fù)。如火燒、水浸等故障。國外軍隊這方面技術(shù)很強(qiáng)。例如，硬盤的恢復(fù)需要一個與原來同樣的一塊硬盤，往往配件、備件的尋找較為困難。 ? 文件指紋查找、后備文件等都會發(fā)揮作用。如網(wǎng)絡(luò)入侵記錄儀，可以將所有的入侵過程記錄下來，進(jìn)行入侵檢測。 47 計算機(jī)審計 – Hugh Yan 47 二十三、計算機(jī)網(wǎng)絡(luò)信息安全密碼算法 ? 對稱密鑰密碼體制。 ? 傳統(tǒng)密碼體制，加密與解密密鑰相同。包括流密碼和分組密碼，其特點是加密解密速度快，安全性高，但密鑰管理困難。 ? 非對稱密鑰密碼體制。 ? 公開密碼體制。 ? 密碼算法一定要公開。加密不是基于算法的?，F(xiàn)代密碼體制。速度慢，安全性高，密鑰管理方便。破譯德國密碼的是計算機(jī)的鼻祖圖林。密碼算法必須公開，在公開的條件下仍然保密。密碼算法必須公開。在原代碼公開的情況下仍然安全。 ? 分組密碼（屬于對稱密鑰密碼）的基本原理如下： ? 分組密碼的設(shè)計原理。簡單函數(shù)通過迭代可以產(chǎn)生一個復(fù)雜函數(shù)。簡單函數(shù)： +、 、 *、 /、置換、移位運算。例： DES算法，進(jìn)行打亂，各取 32位，形成簡單函數(shù)，從 56BIT轉(zhuǎn)換為 32BIT。迭代 16次，逆置換，轉(zhuǎn)為 64BIT。 ? 分組密碼的安全性。我國使用的都是 128位之上。關(guān)于分組密碼，我國也有標(biāo)準(zhǔn)。 SCB2密碼算法，將在商業(yè)應(yīng)用標(biāo)準(zhǔn)化方面推廣。 48 計算機(jī)審計 – Hugh Yan 48 二十三、計算機(jī)網(wǎng)絡(luò)信息安全密碼算法 ? 分組密碼（ DES密碼）算法實例 ? DES。 DATA ENCRYPTION STANDARD。 DES破譯后，美國搞了一個AESADVANCED ENCRYPTION STANDARD?，F(xiàn)在的新標(biāo)準(zhǔn)密鑰長度最低為 128位。當(dāng)密鑰長度長了之后，解密越難。計算機(jī)速度越快，越利于加密者。 64位輸入，輸出， 56位密鑰，美國國家標(biāo)準(zhǔn)。供商業(yè)使用，創(chuàng)了密碼公開的先河。 ? IDEAINTERNATIONAL DATA ENCRYPTION AUTHORITY，國際數(shù)據(jù)加密算法，至今為止公開 10多年，沒有被破譯，有專利。 64位輸入，輸出， 128位密鑰，有專利 ? RC2， RC4， RC5。無固定長度。美國麻省理工大學(xué)的一位教授。RC4成功用于 MICROSOFT的瀏覽器，密鑰 40BIT。國內(nèi)安全網(wǎng)站有加密算法。 49 計算機(jī)審計 – Hugh Yan 49 二十三、計算機(jī)網(wǎng)絡(luò)信息安全密碼算法 ? 流密碼（又稱序列密碼，屬于對稱密鑰密碼） ? 明文 M = M1,M2, … , Mk. N BIT硬幣隨機(jī)數(shù)。前面 N個隨機(jī)數(shù)對于第 N+1個隨機(jī)數(shù)沒有影響。 “ 一次一密的密碼系統(tǒng)是不可破的 ” 。 ? 偽隨機(jī)序列 K = K1, K2, … ,Kk ? 密文 Ci = Mi + Ki, i = 1, 2, … ,k。 C = AM+B， A可逆，不當(dāng)成密鑰。 B為隨機(jī)數(shù)，由計算機(jī)產(chǎn)生，是一個同余方程的結(jié)果。 ? 解密過程與加密過程一致。數(shù)字電視需要密碼。 CDMA技術(shù)最早用于軍隊，現(xiàn)在轉(zhuǎn)為民用。 ? 序列密碼的安全性完全依賴于偽隨機(jī)數(shù)的強(qiáng)度 ? 移位寄存器是產(chǎn)生序列密碼的有效方法 ? 序列密碼的優(yōu)勢是速度快?？梢酝ㄟ^ ENCODEDECODE序列密碼進(jìn)行0， 1識別。 CISCO的路由器采用序列密碼。 ? 產(chǎn)生真隨機(jī)數(shù)。同樣很難。目前國內(nèi)最快 2M BIT/S。實現(xiàn)高速隨機(jī)數(shù)，真隨機(jī)數(shù)產(chǎn)生機(jī)，很難。 50 計算機(jī)審計 – Hugh Yan 50 二十三、計算機(jī)網(wǎng)絡(luò)信息安全密碼算法 ? 非對稱密鑰密碼體制（公開密鑰密碼體制） ? 基本思想：建立基于 NPC問題的公開密鑰密碼體制，使破譯該體制等價于解 NPC問題。 T = F（ N）， N為問題的規(guī)模， T為時間。如果T=F（ N） =N的 P次多項式，則這個問題叫 P類問題，可以用計算機(jī)求解。除此之外的問題叫 NP類問題，非多項式問題。 NP問題中有一類 NPC問題，即 NON POLINOMILE COMPLETED。 ? 單向陷門函數(shù) Y=F（ X）。正算容易，逆算很難。單向函數(shù)不能直接作為密碼。只有在單向函數(shù)上加上陷門信息，使單向函數(shù)成為密碼問題。 ? Kpublic為公開密鑰， Kprivate秘密密鑰，使得從 Kpublic計算出Kprivate在計算上不可能，除非知道陷門信息。 ? 背包問題，旅行商問題等都是著名的 NPC問題。 ? 因子分解問題， m = pq, RSA體制 ? 離散對數(shù)問題： y = gx mod p 標(biāo)準(zhǔn)。當(dāng)指數(shù)從 1到 p1時，運算結(jié)果是 11對應(yīng)的。當(dāng) p = 1024位時，逆運算就很難。 51 計算機(jī)審計 – Hugh Yan 51 二十三、計算機(jī)網(wǎng)絡(luò)信息安全密碼算法 ? 非對稱密鑰密碼體制（公開密鑰密碼體制） ? RSA體制 ? 選擇大素數(shù) p,q,計算 n = pq, f(n)=(p1)(q1) ? 選擇 e,d, ed = 1 mod f(n) ? 公開 (e,n),保密 d, p, q, f(n) ? 加密 :c=me mod n, m為小于 n的明文 ? 解密 : m=cd mod n ? 如果 N是一個素數(shù)，對任意的一個數(shù) AN，都有 A的 N1 次方除 N關(guān)于 N取模一定是 1。小于 N的素數(shù)個數(shù)小于 1/log(N) ? RSA算法的關(guān)鍵技術(shù) ? 密鑰選擇。位數(shù)： 1024以上，素性應(yīng)該證明。 P1,q1有大的素因子。 P+1, q+1也要有大的素因子。 e不能太小。 ? 算法實現(xiàn)。軟件與硬件結(jié)合，并行算法等。我國設(shè)計能力可以，但制造技術(shù)差，國外可達(dá)到 5000次 /秒以上。 ? RSA算法的使用 ? 加解迷。 A的公開密鑰為 (e,n),B對信息 m加密。 C=ed . ? 數(shù)字簽名與身份認(rèn)證。 A的公開密鑰為 (e,n)，私鑰為（ d,n） ? 加密和數(shù)字簽名同時使用。 ? 密鑰交換。 A， B商量使用對稱密碼（ IDEA）加密消息 m 52 計算機(jī)審計 – Hugh Yan 52 二十三、計算機(jī)網(wǎng)絡(luò)信息安全密碼算法 ? 其它公鑰密碼算法 ? DSS OR DSA – data Security Authentication. DiffieHellmen密鑰交換體制。 ? DSA美國數(shù)字簽名標(biāo)準(zhǔn) ? ELGAMAL密碼體制 ? 橢圓曲線密碼系統(tǒng)（ ECC）。我國的公鑰體系將采用 ECC系統(tǒng)：密鑰的 BIT只有 100多，短。密碼運算速度高，可達(dá)到上千次，而 RSA只有一半。安全性高。是取代 RSA的理想系統(tǒng)。在 IC卡上可以達(dá)到192 BIT。已經(jīng)克服了幾大難點：曲線上滿足方程的點數(shù)，可以構(gòu)造許多密碼算法。 ? 零知識證明系統(tǒng)。對于互聯(lián)網(wǎng)的應(yīng)用很有利。例如：下棋。 “ 中間人攻擊 ” 。如何證明身份，要出具證據(jù)，但不能重現(xiàn)。除了證明之外，你無法發(fā)現(xiàn)多余 1BIT的信息。 ? 量子密碼，基于量子學(xué)中的測不準(zhǔn)原理。如我發(fā)射一束偏振光，你用光柵去擋，如果光的傾角不一樣，收到的狀態(tài)不同。如果你告訴我你的光柵的位置，則總有一個是對的。目前已經(jīng)在英國實現(xiàn)。 53 計算機(jī)審計 – Hugh Yan 53 二十三、計算機(jī)網(wǎng)絡(luò)信息安全密碼算法 ? Hash(散列 )函數(shù) ? 函數(shù) Y = H（ X），將要求將任意長度的 X變換成固定長度的 Y， 并滿足：單向性，任給 Y，計算 X，使得 Y=H（ X）容易。 ? 安全協(xié)議： ? Kerberos 。該系統(tǒng)是基于分組密碼的。先建一個 KDC密鑰管理中心，有一個密鑰表。 A訪問 B，先訪問 KDC，然后 KDC給 A一個隨機(jī)數(shù)，并加密 B的密鑰。彼此在 DES下應(yīng)用相當(dāng)成功。一次一密。能夠成功解決密碼問題?，F(xiàn)在有所變化： DES到AES。國內(nèi)采用 Hash函數(shù)，初始值以時間為準(zhǔn)，算出個密碼。 ? PKI Structure. ? SSL Protocol. ? SET ， MASTER卡采用了 RSA簽名技術(shù)。 ? PKCS 。 ? 。