2、网络安全-加密.pptVIP

二、加密 DES DES DES DES 区分： 1. CBC最简单，只是将密文通过密钥加密，相同的明文得到相同的密文，数据量大的情况下容易暴露加密模式，所以适合小量数据加密 2. ECB和CBC是分组密码，CFB和OFB仿真了流密码 3. CBC和CFB都是将密文反馈到下一次的加密中，CBC直接用密钥加密，而CFB用密钥产生的密钥流加密 4. CFB和OFB都有反馈机制，CFB用密文反馈，而OFB用密钥流反馈 3DES DES – EDE2 (key 1加密, key 2解密, key 1加密) DES –EEE2 (key 1加密, key 2加密, key 1加密) DES –EEE3 (key 1加密, key 2加密, key 3加密) – 最安全的一种形式 其他算法列举 2、非对称密钥加密技术 4、专用不对称密钥加密技术 加密电子邮件：MsExchange、Lotus Notes　和Novell GroupWise等电子邮件服务器能使用专用算法加密解密消息。其优点是，加密技术被完全集成到服务器级别，用户只需单击一个按钮就能加解密，而不用产生密钥和按步骤解密，大大节省了时间。其缺点是只能与同一个厂商的服务器兼容，严重的限制机构进行安全通信和继续开展业务的能力。 加密驱动器：加密文件和硬盘的整个分区，为文件建立检验和隐藏的、加密的驱动器。如Win2K的加密文件系统（EFS）和第三方产品如BestCrypt、Locker和EasyCrypt等。 安全HTTP（S-HTTP）和安全套接层（SSL）：允许自动加密数据，经常用在Web、电子邮件和网络新闻传输协议（NNTP）服务器中帮助保证安全传输和通信。它们都使用对称、不对称和单向加密技术，用不对称密钥去交换对称密钥，并对所有的数据包使用单向加密签名。 　　　SSL使用数字证书（DC）使两个应用程序可以通过网络相互验证，它是由认证授权机构（CA）创立的，CA是可信任的第三方，用来确定来自个人或主机证书的有效性。DC一旦被CA签名，就能让服务器向客户证明自己的身份。DC可以保证数据的保密性，它加密客户端和服务器之间的所有信息。DC包括几个字段（由RFC2459定义的X.509标准管理）用于帮助客户端（如IE）确定身份验证。　　　 证书格式 Windows 安全主体 用户 组 计算机 用户帐户 一种参考上下文，操作系统在这个上下文描述符运行它的大部分代码。换一种说法，帐户是所有的用户模式代码在一个用户帐户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码(例如服务)也是运行在一个帐户(特殊的本地系统账户SYSTEM)的上下文中的； 如果用户使用帐户凭据(用户名和口令)成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。于是，执行代码所进行的操作只受限于运行它的帐户所具有的权限。恶意黑客的目标就是以尽可能高的权限运行代码。那么，黑客首先需要“变成”具有最高权限的帐户。 用户帐户 组 组是用户帐户集合的一种容器； Windows 2000具有一些内建的组，它们是预定义的用户容器，也具有不同级别的权限； 放到一个组中的所有帐户都会继承这些权限； 最简单的一个例子是本地的Administrators组，放到该组中的用户帐户具有本地计算机的全部权限。 组 组 SAM 安全账户管理器（SAM，Security Accounts Manager）负责保存用户帐户名称和口令信息。 SID 帐户在系统中以48位安全标识符(Security Identifier, SID)存储。 登录系统(NTLM) 登录系统(NTLM) 登录系统 NetBIOS NetBIOS(网络基本输入/输出系统)：最初由IBM开发，MS利用NetBIOS作为构建LAN的上层协议； NetBIOS使得程序和网络之间有了标准的接口，方便应用程序的开发。并且可以移植到其他的网络中； NetBIOS位于OSI模型的会话层，也位于TCP/IP之上。 NetBIOS NetBIOS有两种通讯模式： 会话模式： 一对一通讯，LAN中的机器之间建立会话，可以传输较多的信息，并且可以检查传输错误； 数据报模式： 广播或者一对多的通讯，传输数据大小受限制，没有错误检查机制，也不必建立通讯会话。 NetBIOS over TCP/IP，支持三种服务： 名字服务； 会话服务； 数据报服务。 NetBIOS示意图 NETBIOS：端口 NETBIOS ：查看 C:\nbtstat -a yanqing NetBIOS Remote Machine Name Table Name Type Status -----------------------------------------------