密码技术讲义课件.ppt

(2) 口令文件的加密 为了防止口令受到意外攻击，比较安全的策略是把口令表(保存口令的数据文件)加密。加密后攻击者不能读取和使用口令。两种常用的加密方法是采用传统密钥加密方法和单向函数方法。 在传统的加密方法中，就是把整个口令加密或只把口令某一列加密。当接收用户的口令时，把存储的口令解密，然后比较两个口令。 单向函数加密法是一种比较安全的策略。它采用一个加密函数，使加密变得相对容易，使解密很难进行。例如：单向函数X简易计算，而它的反函数则不容易计算。口令表中的口令以加密的形式存储，当用户输入口令时，口令也被加密。然后比较加密后的口令。如果两者相同，那么证实该用户为合法用户。并允许使用其权限范围内的任何资源。大部分安全加密算法要求：不允许两个不同的口令加密成相同的密文。 (3) 口令的选择 为了防止口令被破译，口令应该是很难进行猜测,而且很难用穷举法确定。有关口令的具体选择问题将会在后面几章详细介绍。 实例——UNIX系统是如何保存和处理口令的 (1) /etc/passwd文件 UNIX系统使用文件/etc/passwd来追踪系统中的每一个用户，/etc/passwd文件保存了每一个用户的用户名、真实姓名、识别信息和基本的账户信息(注意：有的UNIX系统，口令被Shadow了的话，则/etc/passwd文件中无用户口令信息，口令信息保存在/etc/shadow中)。在这个文件中，每一行都是一个记录，记录的域之间用冒号“：”隔开。可以使 　用cat命令来显示系统中的/etc/passwd文件内容，下面是一个例子： ＄cat /etc/passwd root：fi3sED95ibqR6：0：0：System Operator：/：/bin/ksh daemon：*：1：1：：/tmp uucp：OORoMN9FYZfNE：4：4：：/var/spool/uucppubic：/usr/lib/uucp/uucico rlch：eH5/.mj7NB3dx：181：102：ronglichen：/u/rlch：/bin/ksh xlin：f8fk3jloIf34. ：182：102：xniling：/u/xlin/bin/k 在这个文件中，前3个是系统账户，后两个是普通用户。 (2) 口令时效 /etc/passwd文件的格式使系统管理员能要求用户定期地改变他们的口令。在口令文件中可以看到，有些加密后的口令有逗号，逗号后有几个字符和一个冒号，如 steve：xyDfccTrtl80x，m.y8：0：0：admin：/：/bin/sh restrict：pomJkl09Jky41，.1：0：0：admin：/：/bin/sh pat：xmotTVoyumjls：0：0：admin：/：bin/sh可以看到，steve的口令逗号后有4个字符，restrict有2个，pat没有逗号。逗号后第一个字符是口令有效期的最大周数；第二个字符决定了用户再次修改口令之前，原口令应使用的最小周数(这就防止了用户改了新口令后立刻又改回老口令)；其余字符表明口令最新修改时间。 要能读懂口令中逗号后面的信息，必须首先知道如何用passw_esc计数。计数的方法是：“.”=0 “/”＝1 “0”~“9”＝2~11 “A”~“Z”＝12~37 “a”~“z”＝38~63。 系统管理员必须将前两个字符放进/etc/passwd文件，以要求用户定期地修改口令，另外两个字符当用户修改口令时，由passwd命令填入。 注意：若想让用户修改口令，可在最后一次口令被修改时，放两个“.”，则下一次用户登录时，将被要求修改自己的口令。有两种特殊情况： 最大周数(第一个字符)小于最小周数(第二个字符)，则不允许用户修改口令，仅超级用户可以修改用户的口令。 第一个字符和第二个字符都是“.”，这时用户下次登录时被要求修改口令。修改口令后，passwd命令将“.”删除，此后不再要求用户修改口令。 (3) UNIX口令加密 当UNIX系统提示用户输入口令时，系统将输入的口令以加密的形式存放在/etc/passwd或/etc/shadow文件中。在正常的情况下，这些口令和其他信息由系统保护，能够对其访问的只能是特权用户和操作系统的一些应用程序。但是在一些错误情况下，这些信息可以被非特权用户得到。进而可以使用一类称为口令破解的工具去得到加密前的口令。 UNIX系统使用一个单向函数crypt( )来加密用户的口令。单向函数crypt( )从数学原理上保证了从加 　密的密文得到加密前的明文是不可能的或是非常困难的。当用户登录时，系统并不是去解密已加密的口令，而是将输入口令的明文字串传给加密函数，将加密函数的输出与系统中存放的用户原来输入并已加密的口令相比较，如果是匹配的，则允许