13-14年网络安全-7密码技术要点分析.ppt

3.4 应用实例 第3步：制作USB启动盘。 将magnify.exe这个文件拷贝到U盘上，制作U盘启动盘前还需上网下载USBBOOT软件到准备的U盘中。 第4步：破解用户密码。 （1）自解压文件替换系统自带放大镜程序。 将U盘插到电脑上，然后通过BISO设置将电脑的启动顺序设置为USB启动优先，进入DOS界面后输入COPY D:\magnify.exe\c:\windows\system32然后回车，可将之前制作的magnify.exe自解压文件替换原来系统自带的放大镜程序。 （2）重新启动电脑并拔掉U盘，让电脑从硬盘启动，在欢迎界面下按下Win+U键，此时系统就自动创建了一个用户名：mengyang 密码：admin 管理员账号并且是最高权限的账号。 （3）完成后同时按住键盘的Ctrl+Alt+Del组合键调出用户登陆界面，输入第一步中所设置的用户名：hack和密码：admin 这样即可登陆系统。 * * * 121 * 122 * * * * * * * * * * PKI体系的互通性 1.建立全球统一的根CA 2.交叉认证方式 * PKI体系的互通性 国家公共PKI体系采用桥接信任模型 * PKI体系的互通性 1.中国的CA中心建设从1998年底开始 2.三类CA中心 行业性CA中心 中国金融认证中心 （CFCA，http:） 金融：建行，招行，中行，工行，农行，交行。 区域性CA中心 北京，上海，广东，山东，湖北，安徽CA中心 商业性CA中心：企业创办的认证机构 * PKI体系的互通性 3.到04年已建成CA中心近80个，发放电子证书唱过500万张。问题是各自采用的技术不能互联互通。 4.CFCA/PKI典型应用： 网上银行 网上证券 网上税券 银联卡网上应用 * X.509标准 1.开放系统互联-认证框架 2.是PKI的雏形 3.内容包括 OSI参考模型安全体系结构定义 目录模型定义 认证框架定义 * X.509标准 * X.509标准 * X.509标准 * X.509标准 证书认证过程 拆封证书 证书链的认证 序列号验证 有效期验证 证书作废列表查询 证书使用策略的认证 最终用户实体证书的确认 目的： 一个证书的拆封是为了从 中获得一个公钥； 如果用可信任的CA的公钥 可以拆封一个用户的证书， 那么这个证书是该CA签发 的。 所谓证书链的认证是通过证书 链追溯到可信赖的CA的根。 * X.509标准 证书认证过程 拆封证书 证书链的认证 序列号验证 有效期验证 证书作废列表查询 证书使用策略的认证 最终用户实体证书的确认 检查证书中签名实体序列号是 否与签发者证书的序列号一致 检查日期是否有效、合法: 用户证书的有效期和私钥有效 期是否在CA证书的有效期内。否 则交易是不安全的。 用户证书的有效期中的起始时 间应在CA证书的私钥有效期内。 否则证书是不安全的。 黑名单查询，想证书库查询证书 吊销列表。 在希腊神话中，Kerberos是守卫地狱入口的三头犬。如同神话传说中的Kerberos，现代信息系统中有一种验证协议也通过三个参数来保护网络入口，因此开发者将这种协议命名为Kerberos。Kerberos可能是至今为止使用最为广泛的身份验证协议，它在上个世纪80年代由麻省理工学院(MIT)设计并在雅典娜计划中使用，适用于大规模的异构网络中。 7.3.6 Kerberos系统 Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，即Kerberos验证服务器，它通常也称为密钥发放服务器(KDC)，负责执行用户和服务的安全验证。Kerberos协议在网络上传输的数据都是用DES加密方法进行处理。Kerberos除了提供验证服务外，还为网络信息的保密性和完整性提供保障。 在一个开放的、分布式的网络环境中，尤其是有许多异构系统，在用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效的简化网络的验证过程。 7.3.6 Kerberos系统 * Kerberos协议中一些概念 Principal(安全个体，客户) 被鉴别的个体，有一个名字(name)和口令(password)。 KDC(Key Distribution Center) 是一个网络服务，提供Ticket和临时的会话密钥。 Ticket（票据） 一个记录，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket 中的大多数信息都被加密，密钥为服务器的密钥。 Authenticator（鉴别码） 一个记录，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥。 7.3.6 Kerber