信息安全综合实训.docx
《信息安全综合实训.docx》由会员分享,可在线阅读,更多相关《信息安全综合实训.docx(45页珍藏版)》请在冰点文库上搜索。
信息安全综合实训
湖南安全技术职业学院
信息安全综合实训
题目:
网络安全系统整体设计
学生姓名:
符小宁
专业班级:
计算机信安0901班
学号:
200820301008
2012年5月
实验一信息保密技术
1.具体内容:
古典密码算法、对称密码算法、非对称密码算法、数字摘要算法、数字签名算法、身份认证技术、信息隐藏技术
2.基本要求:
对实现信息保密的各种算法进行验证。
实验二系统安全
1.具体内容:
操作系统安全、Web、Ftp服务器的安全配置、数据库的安全配置
2.基本要求:
掌握Windows和Linux两种操作系统下的系统安全配置
实验三网络攻防技术
1.具体内容:
使用嗅探工具、网络端口扫描、木马攻击与防范、Dos/DDoS攻击与防范、缓冲区溢出攻击与防范、帐号口令破解、计算机病毒的防范、防火墙、入侵检测系统、虚拟专用网、CA系统及SSL的应用、认证、授权和记帐(AAA)服务
2.基本要求:
能熟练使用各种网络攻防工具。
实验四应用系统安全
1.具体内容:
MicrosoftOffice文档的安全与防范措施、压缩文件的安全策略、IE的安全策略、电子邮件的安全策略、数据安全保护技术
2.基本要求:
能熟练地对常用的应用软件进行安全配置
实验五网络安全编程
1.具体内容:
Socket编程、注册表编程、文件系统编程、驻留程序编程
2.基本要求:
能熟练地使用一种调试工具对基本网络安全程序进行验证
实验六网络安全系统整体解决方案
1.具体内容:
基于Windows的网络安全整体解决方案、基于Linux系统的网络安全整体解决方案
2.基本要求:
对Windows和Linux两种操作进行综合安全配置
实验一信息保密技术
具体内容:
古典密码算法、对称密码算法、非对称密码算法、数字摘要算法、数字签名算法、身份认证技术、信息隐藏技术。
1古典密码算法
古典密码算法历史上曾被广泛应用,大都比较简单,使用手工和机械操作来实现加密和
解密。
它的主要应用对象是文字信息,利用密码算法实现文字信息的加密和解密。
下面介绍
两种常见的具有代表性的古典密码算法,以帮助读者对密码算法建立一个初步的印象。
1.替代密码
替代密码算法的原理是使用替代法进行加密,就是将明文中的字符用其它字符替代后形
成密文。
例如:
明文字母a、b、c、d,用D、E、F、G做对应替换后形成密文。
替代密码包括多种类型,如单表替代密码、多明码替代密码、多字母替代密码、多表替
代密码等。
下面我们介绍一种典型的单表替代密码,恺撒(caesar)密码,又叫循环移位密码
它的加密方法,就是将明文中的每个字母用此字符在字母表中后面第k个字母替代。
它的加
密过程可以表示为下面的函数:
E(m)=(m+k)modn
其中:
m为明文字母在字母表中的位置数;n为字母表中的字母个数;k为密钥;E(m)
为密文字母在字母表中对应的位置数。
例如,对于明文字母H,其在字母表中的位置数为8,设k=4,则按照上式计算出来的
密文为L:
E(8)=(m+k)modn=(8+4)mod26=12=L
2.置换密码
置换密码算法的原理是不改变明文字符,只将字符在明文中的排列顺序改变,从而实现
明文信息的加密。
置换密码有时又称为换位密码。
矩阵换位法是实现置换密码的一种常用方法。
它将明文中的字母按照给的顺序安排在
一个矩阵中,然后用根据密钥提供的顺序重新组合矩阵中字母,从而形成密文。
例如,明文
为attackbeginsatfive,密钥为cipher,将明文按照每行6列的形式排在矩阵中,形成如下形
式:
attack
begins
atfive
根据密钥cipher中各字母在字母表中出现的先后顺序,给定一个置换:
123456
f=
145326
根据上面的置换,将原有矩阵中的字母按照第1列,第4列,第5列,第3列,第2
列,第6列的顺序排列,则有下面形式:
aacttk
binges
aivfte
从而得到密文:
abatgftetcnvaiikse
其解密的过程是根据密钥的字母数作为列数,将密文按照列、行的顺序写出,再根据
由密钥给出的矩阵置换产生新的矩阵,从而恢复明文。
2对称密码算法
对称密码算法有时又叫传统密码算法、秘密密钥算法或单密钥算法,非对称密码算法也叫公开密钥密码算法或双密钥算法。
对称密码算法的加密密钥能够从解密密钥中推算出来,反过来也成立。
在大多数对称算法中,加密解密密钥是相同的。
它要求发送者和接收者在安全通信之前,商定一个密钥。
对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加密解密。
只要通信需要保密,密钥就必须保密。
对称算法又可分为两类。
一次只对明文中的单个位(有时对字节)运算的算法称为序列算法或序列密码。
另一类算法是对明文的一组位进行运算,这些位组称为分组,相应的算法称为分组算法或分组密码。
现代计算机密码算法的典型分组长度为64位――这个长度既考虑到分析破译密码的难度,又考虑到使用的方便性。
后来,随着破译能力的发展,分组长度又提高到128位或更长。
常用的采用对称密码术的加密方案有5个组成部分(如图所示)
1)明文:
原始信息。
2)加密算法:
以密钥为参数,对明文进行多种置换和转换的规则和步骤,变换结果为密文。
3)密钥:
加密与解密算法的参数,直接影响对明文进行变换的结果。
4)密文:
对明文进行变换的结果。
5)解密算法:
加密算法的逆变换,以密文为输入、密钥为参数,变换结果为明文。
对称密码常用的数学运算
对称密码当中有几种常用到的数学运算。
这些运算的共同目的就是把被加密的明文数码尽可能深地打乱,从而加大破译的难度。
◆移位和循环移位
移位就是将一段数码按照规定的位数整体性地左移或右移。
循环右移就是当右移时,把数码的最后的位移到数码的最前头,循环左移正相反。
例如,对十进制数码12345678循环右移1位(十进制位)的结果为81234567,而循环左移1位的结果则为23456781。
◆置换
就是将数码中的某一位的值根据置换表的规定,用另一位代替。
它不像移位操作那样整齐有序,看上去杂乱无章。
这正是加密所需,被经常应用。
◆扩展
就是将一段数码扩展成比原来位数更长的数码。
扩展方法有多种,例如,可以用置换的方法,以扩展置换表来规定扩展后的数码每一位的替代值。
◆压缩
就是将一段数码压缩成比原来位数更短的数码。
压缩方法有多种,例如,也可以用置换的方法,以表来规定压缩后的数码每一位的替代值。
◆异或
这是一种二进制布尔代数运算。
异或的数学符号为⊕,它的运算法则如下:
1⊕1=0
0⊕0=0
1⊕0=1
0⊕1=1
也可以简单地理解为,参与异或运算的两数位如相等,则结果为0,不等则为1。
◆迭代
迭代就是多次重复相同的运算,这在密码算法中经常使用,以使得形成的密文更加难以破解。
3非对称密码算法
非对称密码算法是指一个加密系统的加密密钥和解密密钥是不相同,或者说不能从其中一个推导出另一个。
在非对称密码算法的两个密钥中,一个是用于加密的密钥,它是可以公开的称为公钥;另一个是用于解密的密钥,是保密的,称为私钥。
非对称密码算法解决了对称密码体制中密钥管理的难题,并提供了对信息发送人的身份进行验证的手段,是现代密码学的最重要的发明和进展。
RSA算法描述如下:
1.公钥
选择两个互异的大素数p和q,n是二者的乘积,即n=pq,使Φ(n)=(p-1)(q-1),Φ(n)为欧拉函数。
随机选取正整数e,使其满足gcd(e,Φ(n))=1,即e和Φ(n)互质,则将(n,e)作为公钥。
2.私钥
求出正数d,使其满足e×d=1modΦ(n),则将(n,d)作为私钥。
3.加密算法
e对于明文M,由C=Mmodn,得到密文C。
4.解密算法
d对于密文C,由M=Cmodn,得到明文M。
如果窃密者获得了n,e和密文C,为了破解密文他必须计算出私钥d,为此需要先分解n为p和q。
为了提高破解难度,达到更高的安全性,一般商业应用要求n的长度不小于1024bit,
更重要的场合不小于2048bit。
4数字摘要算法
md5的全称是message-digestalgorithm5(信息-摘要算法),在90年代初由mitlaboratoryforcomputerscience和rsadatasecurityinc的ronaldl.rivest开发出来,经md2、md3和md4发展而来。
它的作用是让大容量信息在用数字签名软件签署私人密匙前被"压缩"成一种保密的格式(就是把一个任意长度的字节串变换成一定长的大整数)。
不管是md2、md4还是md5,它们都需要获得一个随机长度的信息并产生一个128位的信息摘要。
虽然这些算法的结构或多或少有些相似,但md2的设计与md4和md5完全不同,那是因为md2是为8位机器做过设计优化的,而md4和md5却是面向32位的电脑。
这三个算法的描述和c语言源代码在internetrfcs1321中有详细的描述。
md5的典型应用是对一段信息(message)产生信息摘要(message-digest),以防止被篡改。
比如,在unix下有很多软件在下载的时候都有一个文件名相同,文件扩展名为.md5的文件,在这个文件中通常只有一行文本,大致结构如:
md5(tanajiya.tar.gz)=0ca175b9c0f726a831d895e269332461
这就是tanajiya.tar.gz文件的数字签名。
md5将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生了这个唯一的md5信息摘要。
如果在以后传播这个文件的过程中,无论文件的内容发生了任何形式的改变(包括人为修改或者下载过程中线路不稳定引起的传输错误等),只要你对这个文件重新计算md5时就会发现信息摘要不相同,由此可以确定你得到的只是一个不正确的文件。
如果再有一个第三方的认证机构,用md5还可以防止文件作者的"抵赖",这就是所谓的数字签名应用。
md5还广泛用于加密和解密技术上。
比如在unix系统中用户的密码就是以md5(或其它类似的算法)经加密后存储在文件系统中。
当用户登录的时候,系统把用户输入的密码计算成md5值,然后再去和保存在文件系统中的md5值进行比较,进而确定输入的密码是否正确。
通过这样的步骤,系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。
这不但可以避免用户的密码被具有系统管理员权限的用户知道,而且还在一定程度上增加了密码被破解的难度。
正是因为这个原因,现在被黑客使用最多的一种破译密码的方法就是一种被称为"跑字典"的方法。
有两种方法得到字典,一种是日常搜集的用做密码的字符串表,另一种是用排列组合方法生成的,先用md5程序计算出这些字典项的md5值,然后再用目标的md5值在这个字典中检索。
我们假设密码的最大长度为8位字节(8bytes),同时密码只能是字母和数字,共26+26+10=62个字符,排列组合出的字典的项数则是p(62,1)+p(62,2)….+p(62,8),那也已经是一个很天文的数字了,存储这个字典就需要tb级的磁盘阵列,而且这种方法还有一个前提,就是能获得目标账户的密码md5值的情况下才可以。
这种加密技术被广泛的应用于unix系统中,这也是为什么unix系统比一般操作系统更为坚固一个重要原因。
5数字签名算法
数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。
在传统的商业系统中,通常都利用书面文件的亲笔签名或印章来规定契约性的责任,在电子商务中,传送的文件是通过电子签名证明当事人身份与数据真实性的.数据加密是保护数据的最基本方法,但也只能防止第三者获得真实数据。
电子签名则可以解决否认、伪造、篡改及冒充等问题,具体要求:
发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。
实现数字签名有很多方法,目前数字签名采用较多的是公钥加密技术,如基于RSADateSecurity公司的PKCS(PublicKeyCryptographyStandards)、DigitalSignatureAlgorithm、x.509、PGP(PrettyGoodPrivacy).1994年美国标准与技术协会公布了数字签名标准(DSS)而使公钥加密技术广泛应用。
&127;公钥加密系统采用的是非对称加密算法。
此算法使用两个密钥:
公开密钥(publickey)和私有密钥(privatekey),&127;分别用于对数据的加密和解密,即如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,则只有用对应的公开密钥才能解密。
(1)发送方首先用公开的单向函数对报文进行一次变换,得到数字签名,然后利用私有密钥对数字签名进行加密后附在报文之后一同发出。
(2)接收方用发送方的公开密钥对数字签名进行解密变换,得到一个数字签名的明文。
发送方的公钥是由一个可信赖的技术管理机构即验证机构(CA:
CertificationAuthority)发布的。
(3)接收方将得到的明文通过单向函数进行计算,同样得到一个数字签名,再将两个数字签名进行对比,如果相同,则证明签名有效,否则无效。
这种方法使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。
由于发送方私有密钥的保密性,使得接收方既可以根据验证结果来拒收该报文,也能使其无法伪造报文签名及对报文进行修改,原因是数字签名是对整个报文进行的,是一组代表报文特征的定长代码,同一个人对不同的报文将产生不同的数字签名。
这就解决了银行通过网络传送一张支票,而接收方可能对支票数额进行改动的问题,也避免了发送方逃避责任的可能性。
6身份认证技术
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。
计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
在真实世界,对用户的身份认证基本方法可以分为这三种:
(1)根据你所知道的信息来证明你的身份(whatyouknow,你知道什么);
(2)根据你所拥有的东西来证明你的身份(whatyouhave,你有什么);
(3)直接根据独一无二的身体特征来证明你的身份(whoyouare,你是谁),比如指纹、面貌等。
在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。
以下罗列几种常见的认证形式:
1)静态密码
2)智能卡(IC卡)
3)短信密码
4)动态口令牌
5)USBKEY
6)OCL
7)数字签名
8)生物识别技术
我们现在主要说的是数字签名技术。
数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。
这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数(HASH(哈希)函数提供了这样一种计算过程:
输入一个长度不固定的字符串,返回一串定长度的字符串,又称HASH值)将一段长的报文通过函数变换,转换为一段定长的报文,即摘要。
身份识别是指用户向系统出示自己身份证明的过程,主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。
数字证明机制提供利用公开密钥进行验证的方法。
7信息隐藏技术
所谓的信息隐藏是利用媒体信息普遍存在的冗余特性,将秘密信息隐藏在其他媒体信息中。
其首要目标就是使加入隐藏信息后的媒体目标的质量下降,尽可能地小,使人无法觉察到隐藏的数据,或者知道它的存在,但XX者无法知道它的位置,并不像传统加密过的文件一样,看起来是一堆会激发非法拦截者破解机密资料动机的乱码,而是看起来和其它非机密性的一般资料无异,因而十分容易逃过非法拦截者的破解。
其道理如同生物学上的保护色,巧妙地将自己伪装隐藏于环境中,免于被天敌发现而遭受攻击。
在信息隐藏算法中,主要有空间域算法和变换域算法。
最典型的空间域信息隐藏算法为LSB算法。
LFTurnet与RGVan利用LSB算法将信息隐藏在音频和数字图像中。
Bender提出了通过修改调色板统计信息来嵌入秘密数据库的隐藏算法。
Patchwork方法采用随机技术选择若干对像素,通过调节每对像素的亮度和对比度来隐藏信息,并保证这种调整不影响图像的整体观感。
丁玮从数字图像的透明叠加方法出发,提出了基于融合的数字图像信息隐藏算法。
并根据七巧板的游戏原理,提出了隐藏数字图像的Tangram算法,Marvel将数字图像看作嗓声,提出了空间域中的扩频数据隐藏方法。
Lippman使用信号的色度,提出了在国家电视委员会的色度信道中隐藏信息的方法。
Liaw和Chen提出了将秘密图像嵌入到载体图像中的灰度值替方法,为了适合灰度值替换,Wu和Tsai提出了使用图像差分的改进方法;Wu和Tsai还在人类视觉模型的基础上,提出了在数字图像中嵌入任何类型数据的数据隐藏方法;Tseng和Pan提出了一种安全的、大容量的数据隐藏算法;Provos通过随机嵌入和纠错编码的方法改进了信息隐藏的性能,Solanki等从信息论的角度出发,将视觉标准引入到通过量化来嵌入信息的方法,并由此提出了一种高容量的信息隐藏算法。
在变换域算法中,正交变换的形式可以有离散傅立叶变换(DFT),离散余弦变换(DCT),小波变换(Wavelet)等。
由于变换域算法利用了人眼对于不同空间频率的敏感性,在适当的位置嵌入信息具有更好的鲁棒性和不可觉察性。
容量也较高,所以变换域隐藏算法比空间域算法复杂。
最具代表性的变换域算法是Cox在1995年提出的扩频算法。
AndreasWestfel和Pitas分别提出了通过模拟图像水平或者垂直移动将秘密数据嵌入到图像的DCT系统的数据隐藏算法,管晓康提出了Pitas算法的改进算法,克服了该算法中嵌入数据量小的缺点。
丁玮成功地将该算法修改并在小波域中运算该算法,并通过置乱技术改进了Pitas算法中的随机数策略,消除了误判的可能性。
Cabin提出了数据隐藏的信息论模型,并引入了概念e-安全。
如果载体信号和载密信号的概率分布的相关熵小于e,那么称数据隐藏系统是e安全的。
如果e=o,那么数据隐藏系统是绝对安全的。
Mittelholzer从信息论的角度出发,提出了数据隐藏算法,并以互信息来描述数据隐藏算法的安全性与鲁棒性。
Shin在Cabin信息论模型的基础理论上,提出了在任何满足条件的载体数据中嵌入秘密数据的绝对安全的一次哈希数据隐藏算法。
Zollner等提出的安全模型也是利用信息理论来衡量数据隐藏系统的安全性。
Sunlivan也从信息论的角度出发,对数据隐藏的安全性进行了分析。
Ettinger得出了数据嵌入的最佳策略。
Marvel假定数据图像是在数据隐藏的加性信道,对该数据隐蔽通道的容量进行了分析。
苏育挺提出了改进的加性数据隐蔽通道模型。
Barni假定离散余弦系统离散傅立叶变换系数分别为零均值高斯分布和Weibull分布,分析了变换域中信道容量。
实验二系统安全
1,Windows系统安全
1)删除不再使用的账户,禁用guest账户
(1)检查和删除不必要的账户。
右击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项;在弹出的对话框中选择从列出的用户里删除不需要的账户。
(2)guest账户的禁用。
右键单击guest用户,选择“属性”,在弹出的对话框中“账户已停用”一栏前打勾;确定后,guest前的图标上会出现一个红色的叉,此时账户被禁用。
2)启用账户策略
账户策略是Windows账户管理的重要工具。
打开“控制面板”→“管理工具”→“本地安全策略”,选择“用户策略”。
双击“密码策略”,用于决定系统密码的安全规则和设置。
其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。
双击其中每一项,可按照需要改变密码特殊的设置。
(1)双击“密码密码必须符合复杂性要求”,选择“启用”。
打开“控制面板”中“用户和密码”项,在弹出的对话框中选择一个用户后,单击“设置密码”按钮。
在出现的设置密码窗口中输入密码。
此时密码符合设置的密码要求。
(2)双击上图中的“密码长度最小值”;在弹出的对话框中可设置可被系统接纳的账户密码长度最小值。
一般为达到较高安全性,密码长度最小值为8。
(3)双击“密码最长存留期”,在对话框中设置系统要求的账户密码的最长使用期限为42天。
设置密码自动保留期,用来提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。
(4)双击“密码最短保留期”,设置密码最短存留期为7天。
在密码最短保留期内用户不能修改密码,避免入侵的攻击者修改帐户密码。
(5)双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”,在相继弹出的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。
至此,密码策略设置完成。
3)开机时设置为“不自动显示上次登录”
Windows默认设置为开机时自动显示上次登录的帐户名,许多用户也采用了这一设置。
这对系统来说是很不安全的,攻击者会从本地或TerminalService的登录界面看到用户名
4)禁止枚举帐户名
为了便于远程用户共享本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。
要禁用枚举账户名,执行下列操作:
打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“对匿名连接的额外限制”项,在“本地策略设置”中选择“不允许枚举SAM账户和共享”
5)文件系统安全设置
(1)打开采用NTFS格式的磁盘,选择一个需要设置用户权限的文件夹。
(2)右击选择“属性”,在工具栏中选择“安全”。
(3)将“允许将来自父系的可能继承权限传播给该对象”之前的勾去掉,以去掉来自父系文件夹的继承权限。
(4)选中列表中的Everyone组,单击“删除”按钮,删除Everyone组的操作权限。
由于新建的用户往往都归属于Everyone组,而Everyone组在缺省情况下对所有系统驱动器都具有完全控制权,删除Everyone组的操作权限可以对新建用户的权限进行限制。
(5)选择相应用户组,在对应的复选框中打勾,设置其余用户对该文件夹的操作权限。
(6)单击“高级”按钮,查看各用户组的权限。
6)用加密软件EPS加密硬盘数据
(1)打开控制面板中的“用户和密码”,创建一个名为MYUSER的新用户。
(2)打开磁盘格式为NTFS的磁盘,选择要进行加密的文件夹,
升级会员 