TCP_IP技术大全9【DOC精选】.docVIP

下载 作者：Tim Parker 本章内容包括： ? 使用加密 ? 数字签名认证 ? 破译加密的数据 ? 保护网络 ? 应付最坏的情况  第19章 IP 安 全 在上一章中，读者已经清楚了防火墙、代理服务器和报文过滤器是如何工作的。防火墙 是为网络提供安全的重要组成部分，防止非法入侵和访问重要的数据。然而，防止网络的入 侵者仅仅是安全问题的一部分。有许多其他问题需要考虑，包括确保用户发送到 Internet上的 数据不被不该知道的人读取，确保用户邮件发送人 (或发来邮件的人 )身份确实没被冒充，并且 在有人确实想通过防火墙时，在网络内部提供特别的安全级别。 很难用绝对的标准来判断所需安全的多少。虽然大多数操作系统提供了基本的文件和目 录保护，但是用户可能需要加密或其他方法来保护自己的系统。虽然美国国防部确实想为自 己的微型机和大型机 (大多数运行UNIX或过时的操作系统 )分配不同的安全级别，但是总体上 没有对安全级别进行评价的标准。国防部的防御级别及其描述按从小到大依次为： ? D(最小的保护 ) 不提供安全和数据保护。 ? C1(普通安全 ) 用户通过用登录名进行标识并且控制对文件和目录的访问。 ? C2(控制访问 ) C1加上审查功能(记录系统行为)并且给予管理员登录特权。 ? B1(标记安全 ) C2加上不能超越的访问控制。 ? B2(结构保护 ) B1加上所有设备安全，支持信任主机，应用程序访问控制。 ? B3(安全域) B2加上把系统对象放到不同组里的功能，并且在组内有访问控制。 ? A1( 可验证的设计) B3加上硬件和软件系统设计可以被验证。 A1安全级别通常认为是不可获得的并且当前没有一个操作系统支持这一级别。多数 UNIX 和Windows NT 系统能获得C2安全级。一些系统可以达到 B1级，但是 B1级以上的安全施加给 系统的限制是不可管理的。 所以用户对位于局域网上的操作系统如 Windows、Macintosh、UNIX或Linux能做些什么 呢？用户需要采取许多步骤来使自己的系统安全。安全使自己的应用程序免受攻击。如果用 户通过TCP/IP连接到Internet，就需要十分小心与协议及其应用程序相关的安全问题。 这一章首先讨论加密问题，加密是为数不多的方法中的一种，使用户数据即使在被劫获 的前提下也不被读取。之后，会考查网络安全和 TCP/IP应用程序安全。 19.1 使用加密 几乎没有哪家公司或企业不对数据安全越来越关心，特别是现在每天都有关于黑客进入 204使用第五部分 网 络 服 务  下载  企业网内部、商业间谍及解雇员工搞破坏的报告。对更高数据安全的需要越来越显得重要， 特别是随着远程访问工作的迅速发展，员工可以从家中、旅店里或在大街上使用移动服务来 访问公司网络。用户必须考虑往返于 Internet和电话线上的数据保护，使即使劫获了数据的人 也读不懂。惟一有效且相对容易的方法是通过加密来保护数据。 加密已经成为一项重要的并且有利可图的事情。从事加密产品生产的公司遍布世界各地， 几家核心的公司已经从事这项技术的推动工作几十年了。仅仅在几年以前，得到真正优秀的 加密产品还比较难，因为聪明的代理尽量使加密算法不要太强大 (因此可以防止他们监听自身 )。 直到几年前，出口任何比 40位更好的加密产品在美国还是不合法的，因为加密系统可以当作 武器。随着通过 Internet可以容易地访问免费或共享的加密产品，同时迫于应用程序生产商和 操作系统生产商的压力， 128位的加密产品也能出口到世界各地 (除了限制为数不多的几个国 家之外)一些国家，甚至可以得到更强大的加密方法。 在没有作更细致的考查之前，加密使用密钥来打乱数据使得没有密钥来解码数据的人读不 懂。密钥越长，加密数据所需时间就越长。简单的口令加密能很好地工作，因为必须清楚地 知道口令才能解密数据。当用户使用口令把一个信息打乱时，只有相同的口令才能解密消息。 如果读者对基于口令的加密工具感兴趣，可以访问站点 h t t p : / / w w w. f i m . u n i - linz.ac.at/codeddrag/codedrag.htm。CodedDrag的一个评估拷贝是免费的，通过给站点服务器 基金会发少量的捐款就可以注册这一拷贝，无限制地使用。 CodedDrag由奥地利的 Linz大学所 开发，提供了数据加密标准 (DES)非常快的实现 (实际上， CodedDrag提供了 DES, Triplo-DES 以及Blowfish加密方法；其中后两个比 DES更难被解密)。CodedDrag能作为Windows 95/98或 Wi