网管与安全五

网络管理与安全技术第6章网络安全技术6.1安全通信协议6.2加密技术6.3认证机制6.4VPN技术6.5

网络病毒防治技术第6章安全通信协议6.1网络层安全协议体系—IPSecIPSec—IPSecurity6.1.1IPSec的作用IPSec通过在IP层对所有业务流加密和认证，保证了所有分布式应用程序的安全性。企业可在公网上建立自己的虚拟专用网。配有IPSec系统的用户，通过ISP获取安全访问。IPSec既可用于建立内部网安全连接也可用于外部网的安全连接。IPSec可增加已有的安全协议的安全性。

IPSec应用示例

用户系统---IPSec---WAN----IPSec---网络设备----IP--LANIP报头IPSec报头安全IP负载IP报头IPSec报头安全IP负载IP报头IP负载具有IPSec的用户系统具有IPSec的网络设备IP报头IP负载IPSec具有以下意义：IPSec用于防火墙和路由器等网络设备中，以提供安全的业务流，而在LAN内则可以不必进行安全性处理。IPSec用于防火墙可防止用IP的业务流绕过防火墙。IPSec位于网络层，对于应用程序来说是透明的。无需修改用户或服务器所使用的软件。6.1网络层安全协议体系—IPSecIP层的安全问题涉及了认证、保密和密钥管理三个领域。其安全性应达到：期望安全的用户能够使用基于密码学的安全机制；应能同时适用于IPv4和IPv6;算法独立；有利于实现不同安全策略；对没有采用该机制的用户不会有负面影响。6.1网络层安全协议体系—IPSec

6.1.2IPSec体系结构

IPSec在IP层提供安全业务的方式是让系统选择所要求的安全协议、算法和密钥。安全协议有：认证报头AH（AuthenticationHeader),即认证协议。封装的安全负载ESP（EncapsulatingSecurityPayload),即加密与认证协议。ESP又分为仅加密和加密与认证结合两种情况。

6.1.2IPSec体系结构

体系封装安全负载ESP验证头AH验证算法加密算法解释域DOI密钥管理策略体系：定义IPSec技术的机制；ESP：用其进行包加密的报文格式和一般性问题；AH：用其进行包认证的报文包格式和一般性问题加密算法：描述将各种不同加密算法用于ESP的文档；认证算法：描述将各种不同加密算法用于AH以及ESP认证选项的文档；密钥管理：描述密钥管理模式DOI：其他相关文档，如加密和认证算法标识及运行参数等。IPSec体系结构中涉及的主要概念有：安全关联、模式、AH、ESP6.1.2IPSec体系结构1.安全关联（SecurityAssociations）

SA是

IP认证和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系。如果需要一个对等关系，即双向安全交换，则需要两个SA。SA提供安全服务的方式是使用AH或ESP之一。一个SA可由三个参数惟一地表示<安全参数索引，目标IP地址，安全协议标识符>

1.安全关联联（SecurityAssociations）IPSec的的实现还需要要维护两个数数据库：安全关联数据据库SAD安全策略数据据库SPD通信双方如果果要用IPSec建立一一条安全的传传输通路，需需要事先协商商好将要采用用的安全策略略，包括使用用的算法、密密钥及密钥的的生存期等。。SA就是能能在其协商的的基础上为数数据传输提供供某种IPSec安全保保障的一个简简单连接。（（可以是AH或ESP））SA的组合方方式有：传输输模式和隧道道模式2.AH和和ESP的两两种使用模式式传输模式传输模式主要要用于对上层层协议的保护护，如TCP、UDP和和ICMP数数据段的保护护。以传输模式运运行的ESP协议对IP报头之后的的数据（负载载）进行加密密和认证，但但不对IP报报头进行加密密和认证。以传输模式运运行的AH协协议对负载及及报头中选择择的一部分进进行认证。原IP报头TCP数据ESP报尾ESP认证数据ESP报头加密的认证的2.AH和和ESP的两两种使用模式式隧道模式隧道模式用于于对整个IP数据报的保保护，即给原原数据报加一一个新的报头头（网关地址址）。原数据据报就成为新新数据报的负负载。原数据报在整整个传送过程程中就象在隧隧道中一样，，传送路径上上的路由器都都有无法看到到原数据报的的报头。由于封装了原原数据报，新新数据报的源源地址和目标标地址都与原原数据报不同同，从而增加加了安全性。。新IP报头原IP报头数据ESP报尾ESP认证数据ESP报头加密的认证的6.1.3IPSec服务务与应用1.SA的的组合方式一个SA能够够实现AH协协议或ESP协议，但却却不能同时实实现这两种协协议。当要求在主机机间和网关间间都实现IPSec业务务时，就要求求建立多个SA，即采采用SA组合合方式。LAN实现IPSec安全网关安全网关隧道SA一个或两个SASA的组合方方式LANSA的组合方方式SA的基本组组合有四种方方式每个SA所承承载的通信服服务或为AH或为ESP对主机到主机机的SA，AH或ESP的使用模式式可以是传输输模式也可以以是隧道模式式。如果SA的两两个端点中至至少有一个安安全网关，则则AH或ESP的使用模模式必须是隧隧道模式。6.1.4传输输层安全协议议SSL6.1.4SSL协议议概述安全套接层协协议SSL是是在Internet上上提供一种保保证私密性的的安全协议。。C/S通信中中，可始终对对服务器和客客户进行认证证。SSL协议要要求建立在可可靠的TCP之上，高层层的应用协议议能透明地建建立在SSL之上。SSL协议在在应用层协议议通信之前就就已经完成加加密算法、通通信密钥的协协商以及服务务器认证工作作。6.1.4Web安全全性方法保护Web安安全性的方法法有多种，这这些方法所提提供的安全业业务和使用机机制都彼此类类似，所不同同之处在于它它们各自的应应用范围和在在TCP/IP协议栈中中的相对位置置。HTTPFTPSMTPTCPIP/IPSec网络层HTTPFTPSMTPTCPIPSSLorTLS传输层应用层PGPSETTCPIPSMTPUDPKerberosHTTPS/MIME6.1.4Web安全全性方法网络层安全实实现利用IPSec提供Web的安全性性，其优点是是对终端用户户和应用程序序是透明的，，且为Web安全提供一一般目的的解解决方法。传输层安全实实现将SSL或TLS作为TCP基本协协议组的一部部分，因此对对应用程序来来说是透明的的。还可将SSL嵌套在在特定的数据据包中（如IE等大多数数Web服务务器都装有SSL）。应用层安全全实现对特定应用用程序来说说，其安全全业务可在在应用程序序内部实现现，这种方方法的优点点是安全业业务可按应应用程序的的特定需要要来定制。。6.1.5协协议规范安全套接字字层SSL是由Netscape设计计的，目前前有SSLv3。。SSL协议议主要由SSL记录录协议和SSL握手手协议两部部分组成。。其结构如如下：HTTPSSL更改密码说明协议SSL握手协议TCPIPSSL记录协议SSL协议栈SSL警示协议6.1.5协议规范范1.SSL记录录协议SSL记录录协议可为为SSL连连接提供保保密性业务务和消息完完整性业务务。保密性业务务是通信双双方通过握握手协议建建立一个共共享的密钥钥，用于对对SSL负负载的单钥钥加密。消息完整性性业务是通通过握手协协议建立一一个用于计计算MAC（消息完整性性认证）的共享密密钥。6.1.5协议规范范SSL握手手协议握手协议用用于服务器器和客户机机之间的相相互认证及及协商加密密算法、MAC算法法和密钥，，它的执行行是在发送送应用数据据以前。6.2加密技术6.2.1对称加加密在对称加密密方法中，，用于加密密和解密的的密钥是相相同的，接接收者和发发送者使用用相同的密密钥，即一一个秘密密密钥。双方必须小小心翼翼地地保护密钥钥，不让外外人得知。。密钥的最最初传输是是非常重要要的。如果密钥被被他人截获获，那么保保密的信息息就不再受受到保护了了。复习6.2.1对称加密密对称加密示示意图6.2.1对称加密密对称称算算法法产生生一一个个对对称称密密钥钥可可以以用用许许多多算算法法，，RSA算法法是是最最常常用用的的商商业业算算法法。。既既能能用用于于数数据据加加密密又又能能用用于于数数字字签签名名的的算算法法。。在商商业业应应用用程程序序中中RSA算法法中中的的RC2和RC4是最最常常用用的的对对称称密密钥钥算算法法。。其其密密钥钥长长度度为为40位。。RC2是由由RonRivest开发发的的，，是是一一种种块块模模式式的的密密文文，，即即将将信信息息加加密密成成64位的的数数据据。。RC4是由由Rivest在1987年开开发发的的，，是是一一种种流流式式的的密密文文，，即即实实时时的的把把信信息息加加密密成成一一个个整整体体，，密密钥钥的的长长度度也也是是可可变变的的。。在在美美国国密密钥钥长长度度是是128位，，向向外外出出口口时时密密钥钥长长度度限限制制到到40位，，LotusNotes,OracleSecureSQL都使使用用RC4的算算法法。。6.2.1对对称称加加密密优点点和和缺缺点点对称加密密的优点点在于它它的高速速度和高高强度。。用该加加密方法法可以一一秒钟之之内加密密大量的的信息。。为了使信信息在网网络上传传输，用用户必须须找到一一个安全全传递口口令密钥钥的方法法。如用用户可以以直接见见面转交交密钥，，若使用用电子邮邮件则容容易被窃窃取，影影响保密密的效果果。定期改变变密钥可可改进对对称密钥钥加密方方法的安安全性，，但是改改变密码码并及时时通知其其他用户户的过程程是相当当困难的的。而且且攻击者者还可以以通过字字典程序序来破译译对称密密钥。（备注NAT））6.2.1对称称加密数据加密密标准DES--最著著名的对对称加密密技术，，是IBM于70年代代为国家家标准局局研制的的数据加加密标准准。DES采采用64位长的的密钥（（包括8个校验验位，密密钥长度度为56位），，能将原原文的若若干个64位块块变换成成加密的的若干个个64位位代码块块。其原理是是将原文文经过一一系列的的排列与与置换所所产生的的结果再再于原文文异或合合并。该该加密过过程重复复16次次，每次次所用的的密钥位位排列不不同。即即使按照照目前的的标准，，采用该该方法的的加密结结果也是是相当安安全。6.2.1对称称加密美国在1998年12月决定将将不再使使用DES。原因为1998年5月美国EFF（ElectronicsFrontierFoundation）宣布，，他们的的一台专专用解密密机，用用56小时破译译了56位密钥的的DES。美国国家家标准和和技术协协会又制制定了AES（AdvancedEncryptionStandard）这一新新的加密密标准。。DES对于推动动密码理理论的发发展和应应用起了了重大的的作用。。6.2.2非非对称加加密非对称密密钥加密密在加密密的过程程中使用用相互关关联的一一对密钥钥，一个个归发送送者，一一个归接接收者。。密钥对中中的一个个必须保保持秘密密状态，，称为私私钥；另另一个则则被广泛泛发布，，称为公公钥。这这一组密密钥中的的一个用用于加密密，另一一个用于于解密。。复习6.2.2非对对称加密密非对称加加密示意意图非对称加加密示意意图6.2.2非对对称加密密例如，用用户A要向用户户B发送一条条消息，，A就必须用用B的公钥对对信息进进行加密密，然后后再发送送。B接收到经过过加密的消消息之后，，用其自己己的私钥加加以解密获获取原始信信息。在传输的过过程中，任任何想窃取取信息的人人因为没有有B的私钥而无无法获取信信息。尽管公钥和和私钥是相相关的，但但要想从公公钥确定私私钥还是极极端困难的的。6.2.2非对称加加密优点：由于于公钥是公公开的，而而私钥则由由用户自己己保存，所所以对于非非对称密钥钥来说，其其密钥管理理相对比较较简单。缺点：因为为复杂的加加密算法，，使得非对对称密钥加加密速度较较慢，即使使一个很简简单的非对对称加密也也是很费时时间的。6.2.3单向加加密（Hashencryption）单向加密包包括一个含含有哈希函函数的哈希希表，由这这个表确定定用来加密密的十六位位进制数。。使用单向加加密对信息息加密，在在理论上加加以解密是是不可能的的。HASH加密用于不不想对信息息解读或读读取而只需需证实信息息的正确性性。这种加加密方式适适用于签名名文件。6.2.3单向加密密（Hashencryption）例如，ATM自动取取款机不需需要解密用用户的身份份证号码，，可以对用用户的身份份证号码进进行计算产产生一个结结果。即磁磁条卡将用用户的身份份证号单向向加密成一一段HASH值，一一旦插卡，，ATM机机将计算用用户信息的的HASH值并产生生一个结果果，然后再再将其结果果与用户卡卡上的HASH值比比较，以此此进行认证证。6.2.3单向加密密（Hashencryption）HASH算算法HASH加加密使用复复杂的数字字算法来实实现有效的的加密。典型HASH算法———MD5算法MD5提供供了一种单单向的哈希希函数，是是一个校验验和工具。。它将一个个任意长的的字串做为为输入，产产生一个128位的的“报文摘摘要”。通通过计算每每个文件的的数字指纹纹（或数字字签名），，来检查文文件是否被被更换，或或者是否与与原来的一一致。一个个称为MD系列的算算法集就是是进行这项项工作的。其中最最常用到的的是MD5的系统。。6.2.3单向加密密（Hashencryption）6.2.3单向加密密（Hashencryption）数字签名在商业系统统中，通常常都利用书书面文件来来规定契约约性的责任任。鉴别技术可可以有效地地防止第三三者的介入入，但却不不能防止接接收者的伪伪造。另一方面面，当发发送的信信息变得得对其不不利时，，发送方方就可能能谎称从从未发过过这个信信息。在在整个争争执过程程中，第第三方也也无法分分辨情况况的真实实性。6.2.3单向向加密（（Hashencryption）为了解决决上述问问题，就就必须利利用另外外一种安安全技术术即数字字签名。。数字签名名的功能能:l接收者能能够核实实发送者者对报文文的签名名。l发送者事事后不能能抵赖对对报文的的签名。。l任何人不不能伪造造对报文文的签名名。l保证数据据的完整整性，防防止截获获者在文文件中加加入其他他信息。。l对数据和和信息的的来源进进行保证证，以保保证发件件人的身身份。数字签名名有一定定的处理理速度，，能够满满足所有有的应用用需求。。6.2.4实实用加密密举例实用加密密为确保信信息在网网上长距距离的安安全传输输。通常常将对称称、非对对称和HASH加密综综合使用用。一些像IIS,PGP,SSL,S-MIME的的应用程程序都是是用对称称密钥对对原始信信息加密密，再用用非对称称密钥加加密所使使用的对对称密钥钥，最后后用一个个随机码码标记信信息确保保不被篡篡改。例如：发发送和接接收E-mail中加加密的实实现全部部过程6.2.4实用用加密举举例1）发送送方和接接收方在在发送信信息之前前要得到到对方的的公钥。。2）发送送方产生生一个随随机的会会话密钥钥，用于于加密email信息息和附件件的。这这个密钥钥是根据据时间的的不同以以及文件件的大小小和日期期而随机机产生的的。算法法通过使使用DES,TripleDES,RC5等等。。3）发发送者将将该会话话密钥和和信息进进行一次次单向加加密得到到一个HASH值。这这个值用用来保证证数据的的完整性性因为它它在传输输的过程程中不会会被改变变。在这这一步通通常使用用MD2,MD4,MD5或SHA1。MD5用于于SSL。4）发送者者用自己的私私钥对这个HASH值加加密。通过使使用发送者的的私钥加密，，接收者可以以确定信息确确实是从这个个发送者发过过来的。加密密后的HASH值称做信信息摘要。6.2.4实实用加密举举例5）发送者者用在第二步步产生的会话话密钥对E-mail信信息和所有的的附件加密。。这种加密提提供了数据的的保密性。6）发送者者用接收者的的公钥对这个个会话密钥加加密，来确保保信息只能被被接收者用其其自己的私钥钥解密。这步步提供了认证证。7）然后将将加密后的信信息和数字摘摘要发送给接接收方。解密密的过程正好好以相反的顺顺序执行。6.2.5加加密技术的的实现1.PGP(PrettyGoodPrivacy)PGP是对电电子邮件和文文本文件较流流行的高技术术加密程序，，PGP的成成功在于采用用对称加密和和非对称加密密技术以及HASH加密密各自的优点点。2.SecureMIME(S-MIME)S-MIME为一个公共共的工业标准准方法，主要要应用到NetscapeCommunicator’’sMessengerE-mail程序序上。6.2.5加加密技术的的实现6.2.5加加密技术的的实现5.Web服务器加加密加密WEB服服务器有两种种模式：安全超文本传传输协议（SecureHTTP）安全套接字层层（SSL））。这两种协议都都允许自发的的进行商业交交易，SecureHTTP和和SSL都使使用对称加密密，非对称加加密和单向加加密，并使用用单向加密的的方法对所有有的数据包签签名。6.2.5加加密技术的的实现SecureHTTP使用非对称称加密保护在在线传输，大大多数浏览器器都支持这个个协议。SSL协议允允许应用程序序在公网上秘秘密的交换数数据。SSL允许两两个应用程序序通过使用数数字证书认证证后在网络中中进行通信。。还使用加密密及信息摘要要来保证数据据的可靠性。。SSL比其它它方法更加安安全，其加密密的过程是发发生在网络的的较低层。SecureHTTP只能加密密HTTP流流量。Teacher:PGPkeys—产生新新keypair---口令对应自自己的私钥---导出Export---将将公钥上传学生：1、同同上---记住口令2、PGPkeys---Keys--将公钥钥Import—PGP文件夹---公钥–Import3、右键单击击导入的公钥钥—sing–点公钥钥—选中allow………----选选刚建的Keypair---输入入口令---4、右键单击击导入的公钥钥---KeyProperties—Trusted5、写一个文文档或E-mail6、PGPkeys---Encrypt——双击公钥——点击--OK—保存发送送7、将文档打打开---PGPkeys----Decrypt&verify解密PGPPGP1PGP26.2.6密码破译方法法1．密钥的穷尽尽搜索破译密文就是是尝试所有可可能的密钥组组合。虽然大大多数的密钥钥尝试都是失失败的，但最最终有一个密密钥让破译者者得到原文，，这个过程称称为密钥的穷穷尽搜索。2．密码分析（1）已知明明文的破译方方法（2）选定明明文的破译方方法3．其他密码破破译方法“窥视”或““偷窃”密钥钥内容；利用用加密系统实实现中的缺陷陷或漏洞；对用用户户使使用用的的加加密密系系统统偷偷梁梁换换柱柱；；从从用用户户工工作作生生活活环环境境的的其其他他来来源源获获得得未未加加密密的的保保密密信信息息；；让口口令令的的另另一一方方透透露露密密钥钥或或信信息息；；威威胁胁用用户户交交出出密密钥钥等等等等。。6.2.6密码码破破译译方方法法4．防防止止密密码码破破译译的的措措施施（1）强强壮壮的的加加密密算算法法（2）动动态态会会话话密密钥钥（3）保保护护关关键键密密钥钥6.2.6密码码破破译译方方法法常见见系系统统的的口口令令及及其其对对应应的的密密钥钥长长度度6.2.6密码码破破译译方方法法返回回本本章章首首页页6.3系统统访访问问控控制制与与认认证证机机制制6.3.1系系统统登登陆陆1．．Unix系系统统登登陆陆Unix系系统统是是一一个个可可供供多多个个用用户户同同时时使使用用的的多多用用户户、、多多任任务务、、分分时时的的操操作作系系统统，，任任何何一一个个想想使使用用Unix系系统统的的用用户户，，必必须须先先向向该该系系统统的的管管理理员员申申请请一一个个账账号号，，然然后后才才能能使使用用该该系系统统，，因因此此账账号号就就成成为为用用户户进进入入系系统统的的合合法法““身身份份证证””。。6.3.1系系统统登登陆陆2．．Unix账账号号文文件件Unix账账号号文文件件/etc/passwd是是登登录录验验证证的的关关键键，，该该文文件件包包含含所所有有用用户户的的信信息息，，如如用用户户的的登登录录名名、、口口令令和和用用户户标标识识号号等等等等信信息息。。该该文文件件的的拥拥有有者者是是超超级级用用户户，，只只有有超超级级用用户户才才有有写写的的权权力力，，而而一一般般用用户户只只有有读读取取的的权权力力。。6.3.1系系统统登登陆陆3.WindowsNT/2000系系统统登登录录WindowsNT要要求求每每一一个个用用户户提提供供唯唯一一的的用用户户名名和和口口令令来来登登录录到到计计算算机机上上，，这这种种强强制制性性登登录录过过程程不不能能关关闭闭。。成功功的的登登录录过过程程有有4个个步步骤骤：：（1））Win32的的WinLogon进进程程给给出出一一个个对对话话框框，，要要求求要要有有一一个个用用户户名名和和口口令令，，这这个个信信息息被被传传递递给给安安全全性性账账户户管管理理程程序序。。（2））安安全全性性账账户户管管理理程程序序查查询询安安全全性性账账户户数数据据库库，，以以确确定定指指定定的的用用户户名名和和口口令令是是否否属属于于授授权权的的系系统统用用户户。。（3））如如果果访访问问是是授授权权的的，，安安全全性性系系统统构构造造一一个个存存取取令令牌牌，，并并将将它它传传回回到到Win32的的WinLogin进进程程。。（4））WinLogin调调用用Win32子子系系统统，，为为用用户户创创建建一一个个新新的的进进程程，，传传递递存存取取令令牌牌给给子子系系统统，，Win32对对新新创创建建的的进进程程连连接接此此令令牌牌。。6.3.1系系统统登登陆陆4.账账户户锁锁定定为了了防防止止有有人人企企图图强强行行闯闯入入系系统统中中，，用用户户可可以以设设定定最最大大登登录录次次数数，，如如果果用用户户在在规规定定次次数数内内未未成成功功登登录录，，则则系系统统会会自自动动被被锁锁定定，，不不可可能能再再用用于于登登录录。。5.Windows安全全性标识符符（SID）在安全系统统上标识一一个注册用用户的唯一一名字，它它可以用来来标识一个个用户或一一组用户。。修改锁定时间为0修改阀值为36.3认认证机制制身份认证（（IdentificationandAuthentication）定义义为：为了了使某些授授予许可权权限的权威威机构满意意，而提供供所要求的的用户身份份验证的过过程。6.3.1认证证方法用户或系统统能够通过过四种方法法来证明其其身份：实物认证密码认证生物特征认认证位置认证复习6.3.1认证证方法实物认证：：智能卡（（SmartCard）就就是一种根根据用户拥拥有的物品品进行鉴别别的手段。。自动取款款机ATM。密码认证：：口令可以以说是其中中的一种，，但口令容容易被偷窃窃，于是人人们发明了了一种一次次性口令机机制。6.3.1认证证方法生物特征认认证指纹：唯一地识别别一个人手印：读取整个手手而不是仅仅仅手指的的特征。声音图像：：每个人各不不相同笔迹或签名名：字母和符号号的组合、、签名时某某些部分用用力的大小小、笔接触触纸的时间间的长短、、笔移动中中的停顿等等细微的差差别。视网膜扫描描：是用红外线线检查人眼眼各不相同同的血管图图像。6.3.1认证证方法位置认证该认证的策策略是根据据用户的位位置来决定定其身份。。比如UNIX的rlogin和rsh程序通过源源IP地址来验证证一个用户户、主机或或执行过程程。6.3.1认证证方法3、口令维维护问题（1）不要要几个人共共享一个口口令，不要要把它记在在本子上或或计算机周周围。（2）不要要用系统指指定的口令令，如root、、demo和test等，第第一次进入入系统就要要修改口令令，不要沿沿用系统给给用户的缺缺省口令。。（3）最好好将口令加加密处理后后再用电子子邮件传送送.（4）如果果账户长期期不用，管管理员应将将其暂停。。如果雇员员离开公司司，则管理理员应及时时把他的账账户消除，，（5）可以以限制用户户的登录时时间，如只只有在工作作时间可登登录。（6）限制制登录次数数。防止对对账户多次次尝试口令令而闯入系系统。（7）最后后一次登录录，该方法法报告最后后一次系统统登录的时时间、日期期，以及在在最后一次次登录后发发生过多少少次未成功功的登录企企图。这样样可以提供供线索了解解是否有人人非法访问问。（8）去掉掉TFTP服务，因因通过使用用TFTP（TrivialFileTransferProtocol））可获取口口令文件（（/etc/passwd））。（9）定期期地查看日日志文件，，尤其是登登录末成功功的消息日日志文件。。（10）确确保除了root之之外没有任任何公共的的用户账号号。不创建建guest账号。。6.3.2认证类类型认证服务器器所授权认认证的数字字证书类型型有以下几几种：CA证书：：CA证书书是签发并并管理正式式使用公用用密钥与用用户相关的的证书。该该证书只在在某一时间间内有效，，因而CA保存一份份有效证书书及其有效效期清单。。服务器证书书：是运行行在Web服务器上上，并且保保证服务器器和浏览器器间的加密密的SSL会话个人证书：：给用户授授权的证书书，运行S/MIME、SSL以及SET。软件出版商商认证：允允许applets或ActiveX控件的的开发者公公开他们的的身份。6.3.3实用认认证技术从上面的认认证方法中中，可以看看到使用单单独的某一一种认证机机制的安全全性是有限限的。Kerberos和和一次性密密码是用于于加强认证证系统的两两项技术。。其结合使用用加密技术术和其它策策略来检查查身份，有有效地防止止了一些恶恶意破坏。。其认证手手段得到广广泛应用。。6.3.3实用认认证技术Kerberos认认证系统在开放环境境中，为了了减轻应用用服务器对对用户认证证的负担，，引入一个个认证服务务器AS（（AuthenticationServer）的第第三方来承承担对用户户的认证，，AS知道道每个用户户的口令，，并将口令令保存于一一个中心数数据库。（1）用户户如果想访访问某一应应用服务器器，首先向向AS发出出请求，（2）AS将收到的的用户口令令与中心数数据库存储储的口令相相比较以验验证用户的的身份。（3）如果果验证通过过，AS则则向用户户发放一个个允许用户户得到应用用服务器服服务的票据据，（4）用户户则根据这这一票据去去获取服务务器的服务务。若用户需要要多次访问问同一服务务器，避免免每次都重重复获取票票据的过程程，再引入入另一新服服务器称为为票据许可可服务器TGS（Ticket-grantingServer）。TGS向已已以经过AS认证的的客户发放放用于获取取应用服务务器的票据据。Kerberos系统的认认证过程程分为三三个阶段段，共六六步。用户CKerberos认证服务器AS票据服务器TGS数据库①②③④⑤⑥服务器V第1阶段段：认证证服务交交换，即即用户从从AS获获取访访问TGS的的票据许许可票据据。第2阶段段：用户户从TGS获取取服务许许可票据据，即即票据据许可服服务交换换。第3阶段段：用户户从服务务器获取取服务，，即客户户机机与与服务器器的认证证交换。。6.3.3实实用认证证技术第1步：：客户向向AS发发出访问问TGS的请求求，请求求中的的时戳戳用以向向AS表表示这一一请求是是新的。。第2步：：AS向向C发出出应答，，应答由由用户的的口令导导出出的的密钥加加密，使使得只有有C能解解读。应应答答的内容容包括C与TGS会话话所使用用的密钥钥，，用以向向C表示示TGS身份的的ID、、时戳TS、AS向C发发放的票票据许可可票据Ticket以以及及这一票票据的截截止期限限lifetime。。6.3.3实实用认证证技术6.3.3实实用认证证技术第3步：：C向TGS发发出一个个由请求求提供服服务的服服务器的的身份、、第2步步获得的的票据以以及一个个认证符符构成的的消息。。其中认证证符中包包括C上上用户的的身份、、C的地地址及一一个时戳戳。与票票据不同同，票据据可重复复使用且且有效期期较长，，而认证证符只能能使用一一次且有有效期很很短。TGS用用与AS共享的的密钥Kt解密密票据后后，知道道C已从从AS处处得到与与自己会会话的会会话密钥钥Kctgs，，票据在在这里的的含义事事实上是是“使用用密钥的的人就是是C”。。6.3.3实实用认证证技术TGS也也使用Kctgs解读读认证符符，并将将认证符符中的数数据与票票据中的的数据加加以比较较，从而而可相信信票据的的发送者者的确是是票据的的实际持持有者，，这时认认证符的的含义实实际上是是“在时时间TS，C使使用KCtgs”。这时的票票据不能能证明任任何人的的身份，，只是用用来安全全地分配配密钥，，而认证证符则是是用来证证明客户户的身份份。因为为认证符符仅能被被使用一一次且有有效期很很短，可可防止票票据和认认证符被被盗用。。第4步：：TGS向C应应答的消消息由TGS和和C共享享的会话话密钥加加密后发发往C，，应答中中的内容容有C和和V共享享的会话话密钥Kc,v、V的身身份ID，服务务许可票票据TicketV(有C和和V的ID、Kc,v、并用TGS与V的共享享密钥KV加密）及及票据的的时戳。。第5步：：C向服服务器V发出服服务许可可票据TicketV和认证符符Authenticatorv。服务器器用Kv解密票据据后得到到会话密密钥Kc,v，并由Kc,v解密认证证符，以以验证C的身份份。第6步：：服务器器V向C证明自自己的身身份。V对从认认证符得得到的时时戳加1，再由由与C共共享的密密钥加密密后发给给C，C解读后后对增加加的时戳戳加以验验证，从从而相信信增加时时戳的的的确是V。6.3.3实实用认证证技术一次性密密码（OTPOneTimePassword）为了解决决固定口口令的诸诸多问题题，安全全专家提提出了一一次性口口令密码码体制，，以保护护关键的的计算资资源。OTP的主要思思路是：：在登录过过程中加加入不确确定因素素，使每每次登录录过程中中传送的的信息都都不相同同，以提提高登录录过程安安全性。。例如：：登录密密码=MD5(用户名＋＋密码＋时间）），系统统接收到到登录口口令后做做一个验验算即可可验证用用户的合合法性。。6.3.3实实用认证证技术返回本章章首页6.4虚拟专用用网及其其安全性性虚拟专用用网VPN（VirtualPrivateNetworks）是企企业内部部网在Internet等公公共网络络上的延延伸，通通过一个个专用的的通道来来创建一一个安全全的专用用连接，，从而可可将远程程用户、、企业分分支机构构、公司司的业务务合作伙伙伴等与与公司的的内部网网连接起起来，构构成一个个扩展的的企业内内部网。。通过VPN，网网络服务务提供商商NSP或ISP可使使用Internet或服务务器将自自己的IP主干干网向企企业提供供远程访访问和分分支机构构互联等等业务，，从而扩扩大了自自己网络的地地域范围围，增加了了自己的的商业服服务机会会。而对对企业来来说可很很大程度度地降低低自己的的费用，，减少对对网络管管理和支支持终端端用户的的需求，，并可使使自己的的安全规规则更为为灵活。。6.4虚拟专用用网及其其安全性性6.4虚拟专用网及及其安全性6.4虚拟专用网及及其安全性6.4虚拟专用网及及其安全性6.4.1VPN简介VPN指的是是在共享网络络上建立专用用网络的技术术，其连接技技术称为隧道道。之所以称称为虚拟网主主要是因为整整个VPN网网络的任意两两个节点之间间的连接并没没有传统专用用网所需的端端到端的物理理链路，而是是架构在公用用网络服务商商所提供的网网络平台（如如Internet，ATM，FrameRelay等等）之上的逻逻辑网络，用用户数据在逻逻辑链路中传传输。其VPN具有虚电电路的特点。。VPN协议可可以处理数据据包，并对其其有效负载加加密，把数据据包发送到目目的地址。6.4.1VPN简介VPN具有有以下优点点：降低成本：：企业不必必租用长途途专线建设设专网以及及大量的网网络维护人人员和设备备的投资。。容易扩展：：网络路由由设备配置置简单。控制主动权权：VPN上的设施施和服务完完全掌握在在企业手中中。企业可可以把拨号号访问交给给NSP去去做，而自自己负责用用户的查验验、访问权权、网络地地址、安全全性和网络络变化管理理等重要工工作。VPN通过过采用“隧隧道”技术术，在公网网中形成企企业的安全全、机密、、顺畅的专专用链路。。常见的的VPN协协议有PPTP和IPSec。6.4.2VPN的安安全性对于VPN的实施来来说，安全全性也是很很重要的。。如果不能能保证其安安全性，黑黑客就可以以假扮用户户以获取网网络信息，，这样就会会对网络安安全造成威威胁。1.点点对点的隧隧道协议（（PPTP）PPTP是是用来在公公用网的通通信系统间间（通常是是客户机和和服务器间间）建立一一个专用通通道。该协协议使用Internet通通用路由由封装（GREv2，GenericRoutingEncapsulation）协协议封装数数据和信息息/控制分分组。PPTP是是在微软的的拨号网络络设备中集集成的数据据加密技术术，采用密密钥长度为为40比特特的加密算算法。在客客户工作站站与最终的的隧道终结结器协商PPP时，，加密的会会话就建立立起来了.6.4.2VPN的安安全性2.IPSec与PPTP的比较较IPSec已成为VPN的安安全标准，，用来进行行对数据包包的加密、、认证和完完整性确认认。IPSec标准准是由一系系列IP级级的协议组组成，这些些协议用于于在IP收收发两端协协商加密方方法和数字字签名方法法。与点对对点加密技技术相比，，IPSec的安全全性更高。。其具有用用户认证、、保密性和和数据完整整性。IPSec的另一个个优点是其其安全机制制被松散地地结合在密密钥管理系系统中，因因此如果将将来出现了了更新更强强大的密码码算法就可可直接用于于这一体系系结构，而而无需对安安全机制进进行修改。。网络病毒的的特点1、病毒RemoteExplore（探险险者）是网网络病毒的的“先驱者者”，于于1998年爆爆发，是病病毒发展历历史中的一一个重要标标志。RemoteExplore病毒通通过盗取WindowsNT域管管理员的帐帐号进行传传播。如果果一个具有有管理员身身份的用户户执行了染染毒的程序序，该病毒毒便以服务务的方式驻驻留内存，，取名为““RemoteExplore”，，并在染毒毒系统中安安装文件\winnt\system32\drivers\ie403r.sys。若另另一台NT机器只要要用同一管管理员帐号号登录到染染毒的机器器中，该病病毒就可以以感染局域域网附加网网络驱动器器中的文件件。当病病毒毒被被激激活活后后，，它它便便在在共共享享的的网网络络驱驱动动器器上上随随机机选选择择一一个个文文件件夹夹，，感感染染除除.dll或或.tmp扩扩展展名名的的文文件件外外的的所所有有其其他他文文件件，，就就连连一一些些DOS下下的的.exe文文件件同同样样难难逃逃厄厄运运。。6.5网络络病病毒毒防防治治技技术术网络络病病毒毒的的特特点点2、、Matrix病毒毒Matrix在在2000年年8月月发发源源于于德德国国，，它它具具有有网网络络蠕蠕虫虫的的特特性性，，利利用用Internet和和LAN进进行行传传播播。。该病病毒毒以以邮邮件件附附件件的的形形式式传传播播。。当当接接收收者者打打开开附附件件，，该该病病毒毒便便在在网网络络系系统统内内安安装装文文件件到到c:\windows目目录录下下，，然然后后将将系系统统内内的的WSOCK32.DLL删删除除，，把把WSOCK32.MTX更更名名为为WSOCK32.DLL。。这这样样，，受受感感染染系系统统在在发发送送邮邮件件时时增增加加自自动动发发送送附附件件的的功功能能，，附附件件即即为为蠕蠕虫虫的的副副本本。。病毒毒还还能能对对网网上上邻邻居居中中的的所所有有可可用用资资源源进进行行搜搜索索，，以以便便能能够够同同本本机机进进行行文文件件传传输输，，从从而而达达到到感感染染网网络络中中其其它它机机器器的的目目的的。。病毒毒通通过过创创建建wininit.ini文文件件，，在在每每次次系系统统启启动动后后自自动动运运行行。。另另外外，，被被安安装装的的文文件件MTX.EXE还还能能够够将将系系统统连连接接到到指指定定的的站站点点，，并并下下载载新新的的病病毒毒插插件件，，以以完完成成自自身身更更新新。。6.5.1网络络病毒的的特点3.LOVELETTER（（爱虫））病毒LOVELETTER于于2000年5月发源源于菲律律宾。其其最大的的特点是是通过Email和IRC快速传播播。在通过电电子邮件件传播时时，它不不放过地地址簿中中的每一一个地址址而且邮邮件的主主题还是是具有诱诱惑性的的“ILOVEYOU””。一旦旦用户打打开附件件，病毒毒便进行行感染：：搜索outlook地址簿簿、IRC连接接、发送送带有病病毒的邮邮件、通通过IRC感染染其它用用户等等等。6.5网络病病毒防防治技技术其传播播方式式有：：l病毒直直接从从有盘盘站拷拷贝到到服务务器中中。l病毒首首先传传染工工作站站并驻驻留内内存，，等运运行网网络盘盘内程程序时时再传传染给给服务务器。。或在在运行行时直直接通通过映映像路路径传传染到到服务务器。。l若远程程工作作站被被病毒毒侵入入，病病毒则则可通通过通通信中中数据据交换换进入入网络络服务务器中中。6.5网网络病病毒防防治