当前国际上主要有三种应用广泛的数字签名方法:RSA签名、DSS签名和Hash签名。三种算法可单独使用,也可综合在一起使用。数字签名是通过密码算法对数据加、解密变换来实现的,用DES算法、RSA算法都可实现数字签名。但三种技术或多或少都有缺陷,或者没有成熟的标准。
用RSA或其他公开密钥密码算法的最大方便是没有密钥分配问题(网络越复杂、网络用户越多,其优点越明显)。公开密钥加密使用两个不同的密钥,其中有一个是公开的,另一个是保密的。公开密钥可以保存在商业电话)上或公告牌里,网上的任何用户都可获得公开密钥。而保密密钥是用户专用的,由用户本身持有,它可以对由公开密钥加密的信息解密。
RSA算法中数字签名技术实际上是通过一个哈希函数来实现的。数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化,不同的文件将得到不同的数字签名。一个最简单的哈希函数是把文件的二进制码相累加,取最后的若干位。哈希函数对发送数据的双方都是公开的。
DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。由于它是由美国政府颁布实施的,因此主要用于跟美政府做生意的公司,其他公司则较少使用。它只是一个签名系统,而且美不提倡使用任何削弱政府窃听能力的加密软件,认为这才符合国家利益。
Hash签名是最主要的数字签名方法,也称之为数字摘要法(DigitalDigest)、数字指纹法(DigitalFingerprint)。跟单独签名的RSA数字签名不同,它是将数字签名与要发送的信息捆在一起,所以更适合EC.换个角度讲,你把一个商务合同的个体内容与签名结合在一起,当然要比合同和签名分开传递,更增加了可信度和安全性。数字摘要(DigitalDigest)加密方法亦称安全Hash编码法(SHA:SecureHashAlgorithm)或MDS(StandardforMessageDigest),由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文摘要成一串128位的密文,也叫数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要必定一致。这样,这串摘要便可成为验证明文是否真身的指纹了。
只有加入数字签名及验证(Verification)才能真正实现在公开网络上的安全传输,满足这两点的文件传输过程是:
①发送方首先用哈希函数从原文得到数字签名,然后采用公开密钥体系用发送方的私有密钥对数字签名加密,附在要发送的原文后面。
②发送方选择一个秘密密钥对文件加密,然后通过网络传输到接收方。
③发送方用接收方的公开密钥对秘密密钥加密,并通过网络把加密后的秘密密钥传输到接收方。
④接受方使用自己的私有密钥对密钥信息进行解密,得到秘密密钥的明文。
⑤接收方用秘密密钥对文件进行解密,得到经过加密的数字签名。
⑥接收方用发送方的公开密钥对数字签名进行解密,得到数字签名的明接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名对比。如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。
如果第三方冒充发送方发出了一个文件,因为接收方在对数字签名进行解密时使用的是发送方的公开密钥,只要第三方不知道发送方的私有密钥,那么解密出来的数字签名和经过计算的数字签名必然是不相同的。这样我们就有了一个安全的确认发送方身份的办法。
使用虚拟专用网虚拟专用网(VPN)这一术语用于描述跨Internet的远程访问,亦指利用Internet的基础设施,连接同一公司的两个部门或连接两个不同的公司。有几种防火墙产品提供了VPN功能,包括Checkpoint的Firewall1,Raptor的Eagleline,SeattleSoftwareLabs的WatchguardSecuritySystem200,Network1的Firewall/Plus,以及TrustedInformationSystems的Gauntlet.
远程访问时,远程用户先呼叫本地的ISP,然后经由Internet连接至中央网络。最近,两个用于虚拟专用网远程访问和连接的工业标准已经实现了互操作,为虚拟专用网带来了蓬勃的生机。这两个标准是Ascends和Microsoft的点到点隧道协议(PointtoPointTunneling以及Cisco的第二层转发(LayerTwoFowarding,L2F)协议,IETF把这两个协议合并成第二层隧道协议(LayerTwoTunnelingProtocol,L2TP)。该标准允许把身份认证和授权过程从ISP转发给另一个服务器,后者可以位于Internet的其他地方,例如企业的中央办公室。
安全IP(IPsec或SecureIP)是IETF正在制定的另一组标准。支持该标准的VPN产品可以互相通信、传递公钥和加密算法,以建立VPN会话。大多数的VPN产品和支持VPN的防火墙产品都计划支持IPsec.但是,需要提醒大家的是,互操作性测试还刚刚开始,IPsec仍处在制定之中。
VPN和诸如此类的加密方法都非常耗费CPU,如果处理不当会导致性能问题。因此,在采用任何一种加密产品前,有必要进行一番初步的测试,构造的系统应该具有足够的CPU处理能力,以支持加密产品。还可以考虑采用快速的专用硬件解决方案来构造VPN.例如:DSNTechnologies,InformationResourceEngineering,RedCreckCommunications和VPNet提供的产品。其中的几种解决方案既可以用于网络连接,也可以用于移动用户。在这些设备中,有很多可以自动管理密钥。
由于在虚拟专用网上交易比较安全、可靠,它被认为是一种理想的交易形式,被网民们越来越多地采用。
三、拒绝黑客:没有硝烟的对抗
黑客把网上的计算机当作攻击目标,毫无顾忌的窃取信息,发送邮件炸弹,攻入金融系统窃取金钱,破坏网上交易从中获利,修改主页进行恶作剧,施放病毒使你的网络陷入瘫痪,或者仅仅是留下一封让你心惊肉跳的警告信后扬长而去……真可谓肆无忌弹,作恶多端。这些网络黑客究竟是何许人也该如何摆脱绝黑客侵扰侵入者离你有多远黑客一词来源于英语动词Hack,在20世纪早期,麻省理工学院的校园俚语中是恶作剧之意,尤指手法巧妙、技术高明的恶作剧,也可理解为干了一件非常漂亮的工作.
确实,计算机黑客在自己熟知的领域中显然是极为出色的,个个都是编程高手。在60年代和70年代,作一名计算机黑客是一件很荣耀的事情。黑客在当时用来形容独立思考、然而却奉公守法的计算机迷。他们崇尚技术,反抗权威。他们的骨子里渗透了英雄般的反权威思想。从事黑客活动,意味着对计算机系统的最大潜力进行智力上的自由探索,意味着尽可能地使计算机的使用和信息的获得成为免费的和公开的,意味着坚信完美的程序将解放人类的头脑和精神。他们云集在技术精英的堡垒麻省理工学院和斯坦福大学。作为一个群体,他们的商业意识十分薄弱,政治意识更是匮乏,是一些地地道道的技术人员。然而,任何不负责任、失去方向和没有制约的权力都是令人恐怖的,包括计算机系统的控制权。随着一些黑客逐渐将注意力集中到涉及公司机密和国家内幕的保密数据库上,黑客的定义有了新的演绎。
在这个转变过程中,有两件黑客事件产生了至关重要的影响。其一是1986~1989年德国(原西德)黑客团伙汉诺威集团在克格勃指使下试图突入美国军事计算机网络刺探机密情报,这一事件于1989年3月2日在德国电视上曝光后,引起媒介的连锁反应;其二是1988年11月发生的互联网络蠕虫(Worm)事件,也称莫里斯蠕虫案。22岁的罗伯特·泰潘·莫里斯是美国康奈尔大学计特从小喜爱计算机,非常熟悉Unix系统,纯粹是在一种恶作剧心态的操纵下,罗伯特利用Unix系统中Sendmail、Finger、FTP的安全漏洞,编写了一个蠕虫病毒程序于11月2日晚安放在与国际互联网Internet的前身ARPANET联网的麻省理工学院的网络上。而且,由于病毒程序中一个参数设置的错误,该病毒迅速在与ARPANET联网的几乎所有计算机中扩散,并被疯狂复制,大量侵蚀计算机资源,使得美国成千上万台计算机一夜之间全部陷入瘫痪。
这两大事件的发生,以及随后发生的1990年1月15日AT&T的一·一五大瘫痪事件,终于促使美国于1990年在全国范围内掀起了一场严打黑客的扫黑大行动。今天,在最新和最普遍的意义上说,黑客意味着那些偷偷地、未经许可就打入别人计算机系统的计算机罪犯。
据统计,几乎每20秒钟全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超过100亿美元。而另一方面,信息犯罪属跨国界的高技术犯罪,要用现有的法律来有效地防范十分困难。由于没有大面积推广现成的高科技黑客防范手段,因此对黑客的挑衅也只能望黑兴叹。如何建构安全网络、信息系统便成为当前的热点。
在我国,黑客出现的相对较晚,但发展之迅速、破坏之大,丝毫不亚于其他发达国家。尤其是我国的许多网络在建网初期较少或者根本就没有考虑安全防范措施,网络交付使用后,系统管理员的管理水平又不能及时跟上,留下了许多安全隐患,给黑客入侵造成许多可乘之机。
从1993年中科院高能物理所与Internet联网,首开国内使用Internet先河之日起,黑客在中国的活动就没有停止过。
1993年底,中科院高能所发现有黑客侵入现象,某用户的权限被升级为超级权限。当系统管理员跟踪时,被其报复。
1994年,美国一位14岁的小孩通过互联网闯入中科院网络中心和清华的主机,并向我方系统管理员提出警告。
1996年,高能所再次遭到黑客入侵,黑客私自在高能所主机上建立了几十个账户,经追踪发现是国内某拨号上网的用户。
同期,国内某ISP发现黑客侵入其主服务器并删改其账号管理文件,造成数百人无法正常使用。
1997年,中科院网络中心的主页面被黑客用魔鬼图替换。
同期,国内某研究机构用于进行科研而租用的高速通道被国内某高校黑客入侵成功后,下载了数千兆的黄色信息,造成不良影响。
进入1998年,黑客入侵活动日益猖獗,国内各大网络几乎都不同程度地遭到黑客的攻击。
最为严重的是,自从1999年1月以来,北美反动黑客组织地下军团公然对我国各大政府与商业网络频繁入侵及挑衅,信息安全问题日益严重起来。
当然,黑客在中国的活动远不止以上这些。而从目前破获的黑客案件看,多数黑客是国内一些涉世不深的青少年。如入侵江西169网的黑客马强是刚刚从镇江十六中学计算机班毕业的学生。他们中的大多数都是从国内外的一批诸如黑客俱乐部、黑客基地、黑客禁区、黑客小学、黑客之家、黑客世界、黑客居等黑客网站上了解黑客信息,学习黑客教程,掌握黑客手法和技术,获取黑客工具,交流黑客经验,使得这些涉世不深、法律意识淡薄,但对计算机系统和网络有着浓厚兴趣的青少年对侵入他人计算机系统充满了好奇和技术挑战心态,当然也有一些居心不良,以恶意破坏网络和盗取情报、金钱为目的的犯罪分子,从而构成了一个复杂的黑客群体,对国内的计算机系统和信息网络构成极大威胁。
真正的黑客对于黑客的猖獗进攻,可以说是防不胜防。黑客只需要一台计算机、一条电话线和一个调制解调器就可以远距离作案。这固然一方面是由于网络自身的缺陷所造成,但更重要的一方面是因为黑客都是网络上的技术高手。黑客绝不会盲目的四处出击,他们有自己的一套近乎完美的攻击策略。
(1)第一阶段:获取一个登录账号对UNIX系统进行攻击的首要目标是获取一个登录账号与口令,攻击者试图获取存在/etc/passwd或NIS映射中的加密口令拷贝。一旦他们等到这样一个口令文件,他们可以对其运行Crack,并可能猜出至少一个口令,尽管策略指导与系统软件努力强化好的口令选择,但却往往难以做到。
攻击者是如何登录目标UNIX系统的呢首先,网络黑客收集存在于不同UNIX产品上的安全漏洞信息以及扩大这些漏洞的方法。然后,黑客收集关于目标组织中计算机系统与网络的信息,最后,黑客利用脆弱点获得机会,并努力登录进入系统。
的确还存在其他攻击方法,多数明显地是拒绝服务攻击。然而,获得登录权限的企图看起来是最危险与频繁的。
(2)第二阶段:获取根访问权攻击的第二阶段不一定是一个网络问题。入侵者会试图扩大一个特定UNIX系统上的已有漏洞,例如试图发现一个setuid根脚本,以便获取作为根运行的能力。一些网络问题,像未加限制的NFS允许根对其读与写,这可以被用来获取根访问权。ASTAN确得挥刑匾馍钊这个领域的攻击,相反,SATAN扫描第一阶段问题,即允许远程用户级别或根级访问系统。
第二阶段的更好工具可能是COPS,这是SATAN创建者的另一个程序。
对系统管理员而言,保护系统不受这种攻击的合适方法是关闭由厂商推荐的下列安全措施: