互联网6.ppt

* * * * * * * * * * * * * * * * * * * * * * * * 2）数字证书 这是一种检验用户身份的电子文件，也是企业现在可以使用的一种工具。这种证书可以授权购买，提供更强的访问控制，并具有很高的安全性和可靠性。 非对称体制身份识别的关键是将用户身份与密钥绑定。CA(Certificate Authority)通过为用户发放数字证书(Certificate)来证明用户公钥与用户身份的对应关系。 验证者向用户提供一随机数；用户以其私钥KS对随机数进行签名，将签名和自己的证书提交给验证方；验证者验证证书的有效性，从证书中获得用户公钥KP，以KP验证用户签名的随机数。 3）智能卡 网络通过用户拥有什么东西来识别的方法，一般是用智能卡或其它特殊形式的标志，这类标志可以从连接到计算机上的读出器读出来。访问不但需要口令，也需要使用物理智能卡。 智能卡技术将成为用户接入和用户身份认证等安全要求的首选技术。用户将从持有认证执照的可信发行者手里取得智能卡安全设备，也可从其他公共密钥密码安全方案发行者那里获得。这样智能卡的读取器必将成为用户接入和认证安全解决方案的一个关键部分。 4）主体特征认证 目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器等。安全性高。 例如：系统中存储了他的指纹，他接入网络时，就必须在连接到网络的电子指纹机上提供他的指纹（这就防止他以假的指纹或其它电子信息欺骗系统），只有指纹相符才允许他访问系统。更普通的是通过视网膜膜血管分布图来识别，原理与指纹识别相同，声波纹识别也是商业系统采用的一种识别方式。 用户名/口令具有实现简单的优点，但存在以下安全缺点： 1、大多数系统的口令是明文传送到验证服务器的，容易被截获。某些系统在建立一个加密链路后再进行口令的传输以解决此问题，如配置链路加密机。 2、口令维护的成本较高。为保证安全性，口令应当经常更换。另外为避免对口令的字典攻击，口令应当保证一定的长度，并且尽量采用随机的字符。但缺点是难于记忆。 3、口令容易在输入的时候被攻击者偷窥，而且用户无法及时发现。 简单和安全是互相矛盾的两个因素。 不安全的口令则有如下几种情况： (1)使用用户名（帐号）作为口令。 (2)使用用户名（帐号）的变换形式作为口令。将用户名颠倒或者加前后缀作为口令，比如说著名的黑客软件John，如果你的用户名是fool，那么它在尝试使用fool作为口令之后，还会试着使用诸如fool123、loof、loof123、lofo等作为口令，只要是你想得到的变换方法，John也会想得到。 1、安全与不安全的口令 UNIX系统口令密码都是用8位(新的是13位)DES算法进行加密的，即有效密码只有前8位，所以一味靠密码的长度是不可以的。安全的口令要求： 1) 位数6位。 2) 大小写字母混合。 3)字母与数字混合。 4) 口令有字母、数字以外的符号。 二、基于口令的身份认证 (3)使用自己或者亲友的生日作为口令。这种口令很脆弱，因为这样往往可以得到一个6位或者8位的口令，但实际上可能的表达方式只有100×12×31=37200种。 (4)使用常用的英文单词作为口令。这种方法比前几种方法要安全一些。一般用户选择的英文单词几乎都落在黑客的字典库里。 (5)使用5位或5位以下的字符作为口令。 加强口令安全的措施： A、禁止使用缺省口令。 B、定期更换口令。 C、保持口令历史记录，使用户不能循环使用旧口令。 D、用口令破解程序测试口令。 2、口令攻击的种类 计算资源依靠口令的方式来保护的脆弱性： 网络数据流窃听。由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。口令被盗也就是用户在这台机器上的一切信息将全部丧失，并且危及他人信息安全，计算机只认口令不认人。最常见的是电子邮件被非法截获。 字典攻击：由于多数用户习惯使用有意义的单词或数字作为密码，某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符，以增加口令的安全性。 　　 穷举尝试(Brute Force)： 这是一种特殊的字典攻击，它使用字符串的全集作为字典。如果用户的密码较短，很容易被穷举出来，因而很多系统都建议用户使用长口令。 窥探： 攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。 * * * * * * * * * * * * * * * * * * * * * 拒绝服务攻击方式 七、拒绝服务攻击 4)Smurf攻击 smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（Ping）数据