登陆注册
12014000000024

第24章 网络安全:搬走上帝搬不动的石头(3)

当前国际上主要有三种应用广泛的数字签名方法:RSA签名、DSS签名和Hash签名。三种算法可单独使用,也可综合在一起使用。数字签名是通过密码算法对数据加、解密变换来实现的,用DES算法、RSA算法都可实现数字签名。但三种技术或多或少都有缺陷,或者没有成熟的标准。

用RSA或其他公开密钥密码算法的最大方便是没有密钥分配问题(网络越复杂、网络用户越多,其优点越明显)。公开密钥加密使用两个不同的密钥,其中有一个是公开的,另一个是保密的。公开密钥可以保存在商业电话)上或公告牌里,网上的任何用户都可获得公开密钥。而保密密钥是用户专用的,由用户本身持有,它可以对由公开密钥加密的信息解密。

RSA算法中数字签名技术实际上是通过一个哈希函数来实现的。数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化,不同的文件将得到不同的数字签名。一个最简单的哈希函数是把文件的二进制码相累加,取最后的若干位。哈希函数对发送数据的双方都是公开的。

DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。由于它是由美国政府颁布实施的,因此主要用于跟美政府做生意的公司,其他公司则较少使用。它只是一个签名系统,而且美不提倡使用任何削弱政府窃听能力的加密软件,认为这才符合国家利益。

Hash签名是最主要的数字签名方法,也称之为数字摘要法(DigitalDigest)、数字指纹法(DigitalFingerprint)。跟单独签名的RSA数字签名不同,它是将数字签名与要发送的信息捆在一起,所以更适合EC.换个角度讲,你把一个商务合同的个体内容与签名结合在一起,当然要比合同和签名分开传递,更增加了可信度和安全性。数字摘要(DigitalDigest)加密方法亦称安全Hash编码法(SHA:SecureHashAlgorithm)或MDS(StandardforMessageDigest),由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文摘要成一串128位的密文,也叫数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要必定一致。这样,这串摘要便可成为验证明文是否真身的指纹了。

只有加入数字签名及验证(Verification)才能真正实现在公开网络上的安全传输,满足这两点的文件传输过程是:

①发送方首先用哈希函数从原文得到数字签名,然后采用公开密钥体系用发送方的私有密钥对数字签名加密,附在要发送的原文后面。

②发送方选择一个秘密密钥对文件加密,然后通过网络传输到接收方。

③发送方用接收方的公开密钥对秘密密钥加密,并通过网络把加密后的秘密密钥传输到接收方。

④接受方使用自己的私有密钥对密钥信息进行解密,得到秘密密钥的明文。

⑤接收方用秘密密钥对文件进行解密,得到经过加密的数字签名。

⑥接收方用发送方的公开密钥对数字签名进行解密,得到数字签名的明接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名对比。如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。

如果第三方冒充发送方发出了一个文件,因为接收方在对数字签名进行解密时使用的是发送方的公开密钥,只要第三方不知道发送方的私有密钥,那么解密出来的数字签名和经过计算的数字签名必然是不相同的。这样我们就有了一个安全的确认发送方身份的办法。

使用虚拟专用网虚拟专用网(VPN)这一术语用于描述跨Internet的远程访问,亦指利用Internet的基础设施,连接同一公司的两个部门或连接两个不同的公司。有几种防火墙产品提供了VPN功能,包括Checkpoint的Firewall1,Raptor的Eagleline,SeattleSoftwareLabs的WatchguardSecuritySystem200,Network1的Firewall/Plus,以及TrustedInformationSystems的Gauntlet.

远程访问时,远程用户先呼叫本地的ISP,然后经由Internet连接至中央网络。最近,两个用于虚拟专用网远程访问和连接的工业标准已经实现了互操作,为虚拟专用网带来了蓬勃的生机。这两个标准是Ascends和Microsoft的点到点隧道协议(PointtoPointTunneling以及Cisco的第二层转发(LayerTwoFowarding,L2F)协议,IETF把这两个协议合并成第二层隧道协议(LayerTwoTunnelingProtocol,L2TP)。该标准允许把身份认证和授权过程从ISP转发给另一个服务器,后者可以位于Internet的其他地方,例如企业的中央办公室。

安全IP(IPsec或SecureIP)是IETF正在制定的另一组标准。支持该标准的VPN产品可以互相通信、传递公钥和加密算法,以建立VPN会话。大多数的VPN产品和支持VPN的防火墙产品都计划支持IPsec.但是,需要提醒大家的是,互操作性测试还刚刚开始,IPsec仍处在制定之中。

VPN和诸如此类的加密方法都非常耗费CPU,如果处理不当会导致性能问题。因此,在采用任何一种加密产品前,有必要进行一番初步的测试,构造的系统应该具有足够的CPU处理能力,以支持加密产品。还可以考虑采用快速的专用硬件解决方案来构造VPN.例如:DSNTechnologies,InformationResourceEngineering,RedCreckCommunications和VPNet提供的产品。其中的几种解决方案既可以用于网络连接,也可以用于移动用户。在这些设备中,有很多可以自动管理密钥。

由于在虚拟专用网上交易比较安全、可靠,它被认为是一种理想的交易形式,被网民们越来越多地采用。

三、拒绝黑客:没有硝烟的对抗

黑客把网上的计算机当作攻击目标,毫无顾忌的窃取信息,发送邮件炸弹,攻入金融系统窃取金钱,破坏网上交易从中获利,修改主页进行恶作剧,施放病毒使你的网络陷入瘫痪,或者仅仅是留下一封让你心惊肉跳的警告信后扬长而去……真可谓肆无忌弹,作恶多端。这些网络黑客究竟是何许人也该如何摆脱绝黑客侵扰侵入者离你有多远黑客一词来源于英语动词Hack,在20世纪早期,麻省理工学院的校园俚语中是恶作剧之意,尤指手法巧妙、技术高明的恶作剧,也可理解为干了一件非常漂亮的工作.

确实,计算机黑客在自己熟知的领域中显然是极为出色的,个个都是编程高手。在60年代和70年代,作一名计算机黑客是一件很荣耀的事情。黑客在当时用来形容独立思考、然而却奉公守法的计算机迷。他们崇尚技术,反抗权威。他们的骨子里渗透了英雄般的反权威思想。从事黑客活动,意味着对计算机系统的最大潜力进行智力上的自由探索,意味着尽可能地使计算机的使用和信息的获得成为免费的和公开的,意味着坚信完美的程序将解放人类的头脑和精神。他们云集在技术精英的堡垒麻省理工学院和斯坦福大学。作为一个群体,他们的商业意识十分薄弱,政治意识更是匮乏,是一些地地道道的技术人员。然而,任何不负责任、失去方向和没有制约的权力都是令人恐怖的,包括计算机系统的控制权。随着一些黑客逐渐将注意力集中到涉及公司机密和国家内幕的保密数据库上,黑客的定义有了新的演绎。

在这个转变过程中,有两件黑客事件产生了至关重要的影响。其一是1986~1989年德国(原西德)黑客团伙汉诺威集团在克格勃指使下试图突入美国军事计算机网络刺探机密情报,这一事件于1989年3月2日在德国电视上曝光后,引起媒介的连锁反应;其二是1988年11月发生的互联网络蠕虫(Worm)事件,也称莫里斯蠕虫案。22岁的罗伯特·泰潘·莫里斯是美国康奈尔大学计特从小喜爱计算机,非常熟悉Unix系统,纯粹是在一种恶作剧心态的操纵下,罗伯特利用Unix系统中Sendmail、Finger、FTP的安全漏洞,编写了一个蠕虫病毒程序于11月2日晚安放在与国际互联网Internet的前身ARPANET联网的麻省理工学院的网络上。而且,由于病毒程序中一个参数设置的错误,该病毒迅速在与ARPANET联网的几乎所有计算机中扩散,并被疯狂复制,大量侵蚀计算机资源,使得美国成千上万台计算机一夜之间全部陷入瘫痪。

这两大事件的发生,以及随后发生的1990年1月15日AT&T的一·一五大瘫痪事件,终于促使美国于1990年在全国范围内掀起了一场严打黑客的扫黑大行动。今天,在最新和最普遍的意义上说,黑客意味着那些偷偷地、未经许可就打入别人计算机系统的计算机罪犯。

据统计,几乎每20秒钟全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超过100亿美元。而另一方面,信息犯罪属跨国界的高技术犯罪,要用现有的法律来有效地防范十分困难。由于没有大面积推广现成的高科技黑客防范手段,因此对黑客的挑衅也只能望黑兴叹。如何建构安全网络、信息系统便成为当前的热点。

在我国,黑客出现的相对较晚,但发展之迅速、破坏之大,丝毫不亚于其他发达国家。尤其是我国的许多网络在建网初期较少或者根本就没有考虑安全防范措施,网络交付使用后,系统管理员的管理水平又不能及时跟上,留下了许多安全隐患,给黑客入侵造成许多可乘之机。

从1993年中科院高能物理所与Internet联网,首开国内使用Internet先河之日起,黑客在中国的活动就没有停止过。

1993年底,中科院高能所发现有黑客侵入现象,某用户的权限被升级为超级权限。当系统管理员跟踪时,被其报复。

1994年,美国一位14岁的小孩通过互联网闯入中科院网络中心和清华的主机,并向我方系统管理员提出警告。

1996年,高能所再次遭到黑客入侵,黑客私自在高能所主机上建立了几十个账户,经追踪发现是国内某拨号上网的用户。

同期,国内某ISP发现黑客侵入其主服务器并删改其账号管理文件,造成数百人无法正常使用。

1997年,中科院网络中心的主页面被黑客用魔鬼图替换。

同期,国内某研究机构用于进行科研而租用的高速通道被国内某高校黑客入侵成功后,下载了数千兆的黄色信息,造成不良影响。

进入1998年,黑客入侵活动日益猖獗,国内各大网络几乎都不同程度地遭到黑客的攻击。

最为严重的是,自从1999年1月以来,北美反动黑客组织地下军团公然对我国各大政府与商业网络频繁入侵及挑衅,信息安全问题日益严重起来。

当然,黑客在中国的活动远不止以上这些。而从目前破获的黑客案件看,多数黑客是国内一些涉世不深的青少年。如入侵江西169网的黑客马强是刚刚从镇江十六中学计算机班毕业的学生。他们中的大多数都是从国内外的一批诸如黑客俱乐部、黑客基地、黑客禁区、黑客小学、黑客之家、黑客世界、黑客居等黑客网站上了解黑客信息,学习黑客教程,掌握黑客手法和技术,获取黑客工具,交流黑客经验,使得这些涉世不深、法律意识淡薄,但对计算机系统和网络有着浓厚兴趣的青少年对侵入他人计算机系统充满了好奇和技术挑战心态,当然也有一些居心不良,以恶意破坏网络和盗取情报、金钱为目的的犯罪分子,从而构成了一个复杂的黑客群体,对国内的计算机系统和信息网络构成极大威胁。

真正的黑客对于黑客的猖獗进攻,可以说是防不胜防。黑客只需要一台计算机、一条电话线和一个调制解调器就可以远距离作案。这固然一方面是由于网络自身的缺陷所造成,但更重要的一方面是因为黑客都是网络上的技术高手。黑客绝不会盲目的四处出击,他们有自己的一套近乎完美的攻击策略。

(1)第一阶段:获取一个登录账号对UNIX系统进行攻击的首要目标是获取一个登录账号与口令,攻击者试图获取存在/etc/passwd或NIS映射中的加密口令拷贝。一旦他们等到这样一个口令文件,他们可以对其运行Crack,并可能猜出至少一个口令,尽管策略指导与系统软件努力强化好的口令选择,但却往往难以做到。

攻击者是如何登录目标UNIX系统的呢首先,网络黑客收集存在于不同UNIX产品上的安全漏洞信息以及扩大这些漏洞的方法。然后,黑客收集关于目标组织中计算机系统与网络的信息,最后,黑客利用脆弱点获得机会,并努力登录进入系统。

的确还存在其他攻击方法,多数明显地是拒绝服务攻击。然而,获得登录权限的企图看起来是最危险与频繁的。

(2)第二阶段:获取根访问权攻击的第二阶段不一定是一个网络问题。入侵者会试图扩大一个特定UNIX系统上的已有漏洞,例如试图发现一个setuid根脚本,以便获取作为根运行的能力。一些网络问题,像未加限制的NFS允许根对其读与写,这可以被用来获取根访问权。ASTAN确得挥刑匾馍钊这个领域的攻击,相反,SATAN扫描第一阶段问题,即允许远程用户级别或根级访问系统。

第二阶段的更好工具可能是COPS,这是SATAN创建者的另一个程序。

对系统管理员而言,保护系统不受这种攻击的合适方法是关闭由厂商推荐的下列安全措施:

同类推荐
  • 智能仪器设计基础

    智能仪器设计基础

    本书内容共分8章。第1章绪论主要介绍智能仪器基本组成及其特点;第2章介绍智能仪器中微机系统设计及扩展接口方法;第3章介绍智能仪器人机接口技术;第4章介绍智能仪器的数据采集系统设计;第5章介绍智能仪器的输出及执行装置的接口技术;第6章介绍智能仪器的串行通信和并行通信接口技术以及串行总线;第7章介绍智能仪器设计中的智能化技术;第8章介绍智能仪器设计的典型实例。为使理论联系实际,书中含有一些设计实例,每章皆有思考与练习题。
  • 四川省第一次全国污染源普查成果汇编

    四川省第一次全国污染源普查成果汇编

    本书是四川省环保系统进行全国第一次污染源普查后的成果汇编。全书就四川省污染源普查的经过和结论进行了详细的报告,包括总报告(国家发令、地方筹组、全面铺开、详细经过、主要结论,等等)、技术报告、各类污染源普查分报告(放射性污染源、农业污染源、废气废水污染源、生活污染源、工业危废医废,等等),全方位立体地如实反映了四川全省各地区各行业各类污染源的存在现状,对四川省的污染情况进行了全面摸底,为以后科学合理地进行污染治理提供了详实的基础数据,有利于全省乃至于全国的环境保护工作科学开展。
  • 贵阳建设全国生态文明示范城市报告

    贵阳建设全国生态文明示范城市报告

    党的十七大提出建设生态文明以来,为普及生态文明理念、探索生态文明建设规律,借鉴国内外成果推动生态文明实践,贵州省在全国率先提出打造全方位对外生态交流合作平台,并于2008年开始谋划举办生态文明贵阳会议。在国家有关部委的大力支持下,2009年至2012年,连续四年举办了生态文明贵阳会议,每年一届。2013年1月,生态文明贵阳国际论坛正式获党中央、国务院批准举办,成为国内目前唯一以生态文明为主题的国家级国际论坛。
  • 新时期安全教育

    新时期安全教育

    本书名为《新世纪安全教育》,重点突出在“新”字上,在编写前,我们查阅了大量文献,取其精华,兼收并蓄,但又不囿于传统。我们颠覆了传统的写作模式和手法,打破章节条框,让主题划分更科学,是一次大胆的创新。此外我们还想尝试探索一下在有限容量内传递信息量的极限,突出信息量大这一特点,实现安全教育无盲点,打造百科全书式的安全教育。
  • 征服太空之路丛书:微型航天器-航模

    征服太空之路丛书:微型航天器-航模

    航空模型的制作与放飞,从古至今一直吸引着无数人。20世纪初飞机发明后,全世界出现了空前的航空热。发达国家竞相发展自己的航空事业,而模型飞机是学习航空技术、研究飞机最为简捷有效的方法。发达国家把航空模型活动当做普及航空教育,培养航空人才,发展航空事业的基础,从而形成了有组织有领导的群众性航模运动。
热门推荐
  • 我家宿主特别飘

    我家宿主特别飘

    出车祸而死亡的容倾与快穿系统005绑定,为了获得重生的机会,她将穿梭于各个世界,为那些感叹不公,心怀怨气的人重写命运,或完美复仇,或走上人生巅峰,然后……“宿主,我已经给你规划好行动方案,咱们稳妥行事,成功率大概60%!”“不用了。”“啊……啊?为什么?”容倾勾唇一笑,“成功率太低。”“不会啊,这已经是我想到的最高效路线了!”“呵~”然后?然后005就眼睁睁的看着他家宿主毫不犹豫,直接正面刚了过去。005:“!”宿主你怎么这么冲动啊?!是太飘了吗?
  • 天行

    天行

    号称“北辰骑神”的天才玩家以自创的“牧马冲锋流”战术击败了国服第一弓手北冥雪,被誉为天纵战榜第一骑士的他,却受到小人排挤,最终离开了效力已久的银狐俱乐部。是沉沦,还是再次崛起?恰逢其时,月恒集团第四款游戏“天行”正式上线,虚拟世界再起风云!
  • 第三抗体

    第三抗体

    3020年,CBHT病毒全面爆发。大陆板块漂移,人类被困居在四面环海的小岛上。大陆出现敌对生物λ拉姆达。人类研究出病毒抗体,适应抗体的少部分人接受训练成为保护大陆的战士。
  • 红包摇一摇摇个大魔王

    红包摇一摇摇个大魔王

    别人过年欢天喜地摇红包,我给地球摇个大魔王。
  • 阿萨卡之血冴

    阿萨卡之血冴

    “你们为什么要离开?”“我要怎么办?”“是该完成你们的心愿。”“还是....将其毁掉?!!”
  • 成仙玩转古代:萌宠仙妃

    成仙玩转古代:萌宠仙妃

    【本书全本免费】她,一朝穿越,羽化成仙。他,一国王爷,生性淡薄。第一次见他,她为他所迷,他却直接把她扔出去;第二次见他,他接住了从天而降的她,她抱住他的腰,求收留;第三次见到他,他看见沦落青楼的她,却直接忽视她,她抱着他的大腿,求包养。且看她如何收服的了美男,打得了小怪兽!
  • 幻想天空海

    幻想天空海

    万物之初必有其宗,宇宙之始必有其源,众生之灵必有其神。时间和空间是神造就的错觉,所以,时间可以倒流,空间可以逆转......所谓“神”,可以毁灭!
  • 谁说小子不成神

    谁说小子不成神

    有几分江湖道义,有几分热血豪情,还有几分菩萨心肠的市井小混混——叶天。本性如此,却被江湖的阴暗逼得走上一条血性成神之路。“成神之路,血雨腥风,人心阴暗,我一剑净化。屠一人是为罪,万人是为雄,屠得八百万,即为雄中雄!”本书不是YY狂想曲,不是神仙速成法,但也非只知刀剑,不解风情。具体何如,敬请慢慢品读
  • 尔汝

    尔汝

    本是恩恩爱爱一对,樱花开的一样烂漫。可为何,上天愣是不肯给人一番清净,为何要将这美满的生活打碎!!冥界和阴间,竟不是一处空间!可怕的青花刺印,幽暗的大门......“今生,我欠你,能否别怪我?若再爱,定要与你共享此生,永不分离!”冥界的大门已经开启,是进入第几层地牢?罢了,此生如此,也不差这一脚......
  • 天行

    天行

    号称“北辰骑神”的天才玩家以自创的“牧马冲锋流”战术击败了国服第一弓手北冥雪,被誉为天纵战榜第一骑士的他,却受到小人排挤,最终离开了效力已久的银狐俱乐部。是沉沦,还是再次崛起?恰逢其时,月恒集团第四款游戏“天行”正式上线,虚拟世界再起风云!