信息安全与技术ppt课件10(清华大学).ppt

上传人:小飞机 文档编号:1409988 上传时间:2022-11-20 格式:PPT 页数:75 大小:266.50KB
返回 下载 相关 举报
信息安全与技术ppt课件10(清华大学).ppt_第1页
第1页 / 共75页
信息安全与技术ppt课件10(清华大学).ppt_第2页
第2页 / 共75页
信息安全与技术ppt课件10(清华大学).ppt_第3页
第3页 / 共75页
信息安全与技术ppt课件10(清华大学).ppt_第4页
第4页 / 共75页
信息安全与技术ppt课件10(清华大学).ppt_第5页
第5页 / 共75页
点击查看更多>>
资源描述

《信息安全与技术ppt课件10(清华大学).ppt》由会员分享,可在线阅读,更多相关《信息安全与技术ppt课件10(清华大学).ppt(75页珍藏版)》请在三一办公上搜索。

1、信息安全与技术,清华大学出版社,第10章应用层安全技术,应用系统的安全技术是指在应用层面上解决信息交换的机密性和完整性,防止在信息交换过程中数据被非法窃听和篡改的技术。,第一节 Web安全技术,Web页面为用户提供了网络应用系统的接口以及海量的多媒体信息(包括文字、音频、视频信息),透过Web页,人们可以从事海量知识和信息的检索、网络办公以及网络交易等日常的工作、学习、娱乐活动。然而, 有些人受利益驱动,利用了人们上网的心理和Web本身存在的漏洞,进行违法犯罪活动。,一、Web概述 1. Web组成部分Web最初是以开发一个人类知识库为目标,并为某一项目的协作者提供相关信息及交流思想的途径。W

2、eb的基本结构是采用开放式的客户端/服务器结构(Client/Server),它们之间利用通信协议进行信息交互。,2. Web安全问题Web的初始目的是提供快捷服务和直接访问,所以早期的Web没有考虑安全性问题。随着Web的广泛应用,Internet 中与Web相关的安全事故正成为目前所有事故的主要组成部分。为了深入了解国内用户应对Web安全威胁的现状,帮助他们找出隐患、提高防范能力,国内领先的中文IT技术网站51CTO.com于2008年12月特别推出了“Web安全威胁在线调查”活动,邀请广大用户参与线上调查,为当前Web安全及威胁现状提供更为有力的数据依据。本次调查按照问卷形式进行,分三个

3、主题,共有14道调查选项,由51CTO.com安全频道和业内相关专家共同拟定。分别调查用户在“网站安全”、“IM即时通讯安全”、“邮件安全”三个方面的安全现状。,二、Web安全目标 Web安全目标主要分为以下3个方面:(1)保护Web服务器及其数据的安全(2)保护Web服务器和用户之间传递信息的安全(3)保护终端用户计算机及其他连入Internet的设备的安全,三、Web安全技术的分类 Web安全技术主要包括Web服务器安全技术、Web应用服务安全技术和Web浏览器安全技术三类。,第二节电子邮件安全技术,随着Internet的发展,电子邮件(E-mail)已经成为一项重要的商用和家用资源,越来

4、越多的商家和个人使用电子邮件作为通信的手段。但随着互联网的普及,人们对邮件的滥用也日渐增多,一方面,试图利用常规电子邮件系统销售商品的人开始利用互联网发送E-mail,经常导致邮件系统的超负荷运行;另一方面,黑客利用电子邮件发送病毒程序进行攻击。随着E-mail的广泛应用,其安全性备受人们关注。,一、电子邮件系统的组成E-mail系统主要由邮件分发代理、邮件传输代理、邮件用户代理及邮件工作站组成。,二、电子邮件安全目标 根据邮件系统的组成,可以将邮件安全目标总结如下:1.邮件分发安全2.邮件传输安全3.邮件用户安全,三、电子邮件安全技术分类 针对前述的安全目标,常用的安全技术如下:1.身份认证

5、技术2.加密、签名技术 3.协议过滤技术4.防火墙技术5.邮件病毒过滤技术,四、电子邮件安全标准PGPPGP(Pretty Good Privacy)是一种对电子邮件提供加密、签名和认证的安全服务的协议,已成为电子邮件事实上的安全标准。PGP将基于公钥密码体制的RSA算法和基于单密钥体制的IDEA算法巧妙地结合起来,同时兼顾了公钥密码体系的便利性和传统密码体系的高速度,形成了一种高效的混合密码系统。,PGP支持对邮件的数字签名和签名验证,还可以用来加密文件。(1)应用PGP对邮件进行数字签名和认证(2)应用PGP对邮件只签名而不加密(3)应用PGP对邮件内容进行加密,第三节身份认证技术,在现实

6、社会中,人们常常会被问到:你是谁?在网络世界里,这个问题同样会出现,许多信息系统在使用前,都要求用户注册,通过验证后才能进入。身份认证是防止未授权用户进入信息系统的第一道防线。,一、身份认证的含义 身份认证包含身份的识别和验证。身份识别就是确定某一实体的身份,知道这个实体是谁;身份验证就是对声称是谁的声称者的身份进行证明(或检验)的过程。前者是主动识别对方的身份,后者是对对方身份的检验和证明。,通常所说的身份认证就是指信息系统确认用户身份的过程。在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据来表示的,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。而我们生活

7、的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。保证操作者的物理身份与数字身份相对应,就是身份认证管理系统所需要解决的问题。,目前,验证用户身份的方法主要有以下3种情况:(1)所知道的某种信息,比如口令、账号和身份证号等;(2)所拥有的物品,如图章、标志、钥匙、护照、IC卡和USB Key等;(3)所具有的独一无二的个人特征,如指纹、声纹、手形、视网膜和基因等。,二、身份认证的方法 1. 基于用户已知信息的身份认证(1)口令(2)密钥2.基于用户所拥有的物品的身份认证(1)记忆卡(2)智能卡(3)USB Key,3.基于用户生物特征的身份认证 传统的身份认证技术,不论是基于所知

8、信息的身份认证,还是基于所拥有物品的身份认证,甚至是二者相结合的身份认证,始终没有结合人的特征,都不同程度地存在不足。以“用户名+口令”方式过渡到智能卡方式为例,首先需要随时携带智能卡,智能卡容易丢失;其次,需要记住PIN,PIN也容易丢失和忘记; 当PIN或智能卡丢失时,补办手续繁琐冗长,并且需要出示能够证明身份的证件,使用很不方便。直到生物识别技术得到成功的应用,身份认证问题才迎刃而解。这种紧密结合人的特征的方法,意义不只在技术上的进步,而是站在人文角度,真正回归到了人本身最原始的生理特征。,生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一可以测

9、量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA 等;行为特征包括签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术; 将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术; 将血管纹理识别、人体气味识别、DNA 识别等归为“深奥的”生物识别技术。,与传统身份认证技术相比,生物识别技术具有以下特点:(1) 随身性:生物特征是人体固有的特征,与人体是唯一绑定的,具有随身性。(2) 安全性:人体特征本身就是个人身份的最好证明,可满足更高的安全需求。(

10、3) 唯一性:每个人拥有的生物特征各不相同。(4) 稳定性:指纹、虹膜等人体特征不会随时间等条件的变化而变化。(5) 方便性:生物识别技术不需记忆密码与携带使用特殊工具(如钥匙),不会遗失。(6) 可接受性:使用者对所选择的个人生物特征及其应用愿意接受。,第四节公钥基础设施PKI技术,PKI(Public Key Infrastructure)是公钥基础设施的简称,是一种遵循标准的,利用公钥密码技术为网上电子商务、电子政务等各种应用提供安全服务的基础平台。它能够为网络应用透明地提供密钥和证书管理、加密和数字签名等服务,是目前网络安全建设的基础与核心。用户利用PKI平台提供的安全服务进行安全通信

11、。,一、PKI技术概述 PKI采用数字证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA)把用户的公钥和用户的标识信息捆绑在一起,包括用户名和电子邮件地址等信息,目的在于为用户提供网络身份验证服务。,因此,所有提供公钥加密和数字签名服务的系统都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下应用PKI提供的服务,从而实现网上传输数据的机密性、完整性、真实性和有效性要求。,PKI发展的一个重要方面就是标准化问题,它也是建立互操作性的基础。目前,PKI标准化主要有两个方面: 一是RSA公司的公钥加密标准PK

12、CS(Public Key Cryptography Standards),它定义了许多基本PKI部件,包括数字签名和证书请求格式等; 二是由Internet工程任务组IETF(Internet Engineering Task Force)和PKI工作组(Public Key Infrastructure Working Group)所定义的一组具有互操作性的公钥基础设施协议PKIX(Public Key Infrastructure Using X.509),即支持X.509的公钥基础的架构和协议。,二、PKI的组成 PKI系统由认证中心(Certificate Authority,CA)

13、、证书库、密钥备份及恢复系统、证书作废处理系统和应用接口等部分组成,如下图所示。,1.认证中心(CA)CA是PKI的核心,它是数字证书的签发机构。构建PKI平台的核心内容是如何实现密钥管理。公钥密码体制包括公钥和私钥,其中私钥由用户秘密保管,无需在网上传送,公钥则是公开的,可以在网上传送。因此,密钥管理实质上是指公钥的管理,目前较好的解决方案是引入数字证书(Certificate)。CA的功能有证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。CA主要由注册服务器、注册机构RA (Registry Authority,负责证书申请受理审核)和认证中心服务器3部分组成

14、。,2.证书库证书库就是证书的集中存放地,包括LDAP目录服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。一般来说,为了获得及时的服务,证书库的访问和查询操作时间必须尽量的短,证书和证书撤销信息必须尽量小,这样才能减少总共要消耗的网络带宽。,3.密钥备份及恢复系统如果用户丢失了用于解密数据的密钥,则密文数据将无法被解密,造成数据的丢失。为了避免这种情况的出现,PKI应该提供备份与恢复解秘密钥的机制。密钥的备份与恢复应该由可信的机构来完成,认证中心(CA)可以充当这一角色。,4.证书作废处理系统证书作废处理系统是PKI的一个重要的组件。同日

15、常生活中的各种证件一样,证书在CA为其签署的有效期以内也可能需要作废。为实现这一点,PKI必须提供作废证书的一系列机制。作废证书一般通过将证书列入作废证书列表(CRL)来完成。证书的作废处理必须在安全及可验证的情况下进行,系统还必须保证CRL的完整性。,5.应用接口PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此,一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,同时降低管理维护成本。,三、数字证书 数字证书是网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。1978年Ko

16、hnfelder在其学士论文发展一种实用的公钥密码系统中第一次引入了数字证书的概念。数字证书包含ID、公钥和颁发机构的数字签名等内容。数字证书的形式主要有X.509公钥证书、简单PKI(Simple Public Key Infrastructure)证书、PGP(Pretty Good Privacy)证书和属性(Attribute)证书。,第五节电子商务安全技术,一、电子商务安全问题电子商务的安全问题,主要是在开放的网络环境中如何保证信息传递中的完整性、可靠性、真实性以及预防未经受权的非法入侵者这几个方面的问题上。而解决这些问题主要是表现在技术上,并在采用和实施这些技术的经济可行性上。这方

17、面的问题是电子商务安全考虑和研究的主要问题。简单讲一是技术上的安全性,二是安全技术的实用可行性。大量的事实表明,安全是电子商务的关键问题。安全得不到保障,即使使用Internet再方便,电子商务也无法得到广大用户的认可。,1. 电子商务的安全隐患与现实商务不同,参与电子商务的各方不需要面对面来进行商务活动,信息流和资金流都是通过Internet来传输。而Internet是一个向全球用户开放的巨大网络,其技术上的缺陷和用户使用中的不良习惯,使得电子商务中的信息流和资金流在通过Internet传输时,存在着许多安全隐患,这就是电子商务的安全问题。,(1)中断系统破坏系统的有效性(2)窃听信息破坏系

18、统的机密性(3)篡改信息破坏系统的完整性(4)伪造信息破坏系统的可靠性、真实性,2. 电子商务给交易双方带来的安全威胁在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,而且彼此远隔千山万水。由于因特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和购买者)都面临不同的安全威胁。,对销售者而言,他面临的安全威胁主要有:(1)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。(2)竞争者检索商品递送状况:恶意竞争者以他人的

19、名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。(3)客户资料被竞争者获悉。(4)被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。 (5)消费者提交订单后不付款。(6)虚假订单。(7)获取他人的机密数据:比如,某人想要了解另一人在销售商处的信誉时,他以另一人的名字向销售商订购昂贵的商品,然后观察销售商的行动。假如销售商认可该定单,则说明被观察者的信誉高,否则,则说明被观察者的信誉不高。,对购买者而言,他面临的安全威胁主要有:(1)虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而此时客户却被要求付款或返还商品。(2)

20、付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,因而使客户不能收到商品。(3)机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如帐号、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。(4)拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而使合法用户不能得到正常的服务。,二、电子商务安全需求电子商务安全问题的核心和关键是电子交易的安全性。由于Internet本身的开放性以及目前网络技术发展的局限性,使网上交易面临着种种安全性威胁,也由此提出了相应的安全控制要求。,身份的可认证性信息的保密性信息的完整性不可抵赖

21、性不可伪造性,三、电子商务安全协议 电子商务出现之后,为了保障电子商务的安全性,人们不断通过各种途径进行大量的探索,SSL安全协议和SET安全协议就是这种探索的两项重要结果。,一、SSL协议 1. SSL协议简介SSL 是Secure socket Layer英文缩写,它的中文意思是安全套接层协议,是指将公钥和私钥技术相组合的安全网络通讯协议。SSL协议是网景公司(Netscape)推出的基于WEB应用的安全协议,SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息

22、完整性以及可选的客户机认证,主要用于提高应用程序之间数据的安全性,对传送的数据进行加密和隐藏,确保数据在传送中不被改变,即确保数据的完整性。,SSL 以对称密码技术和公开密码技术相结合,可以实现如下三个通信目标:(1)秘密性 (2)完整性 (3)认证性,2. SSL安全协议的运行步骤(1)接通阶段。客户通过网络向服务商打招呼,服务商回应。(2)密码交换阶段。客户与服务商之间交换认可的密码。一般选用RSA密码算法,也有的选用Diffie-Hellman和Fortezza-KEA密码算法。(3)会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码。(4)检验阶段。检验服务商取得的密码。(5)客户认证

23、阶段。验证客户的可信度。(6)结束阶段。客户与服务商之间的相互交换结束的信息。,当上述动作完成之后,两者间的资料传送就会加以密码,等到另外一端收到资料后,再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料。在电子商务交易过程中,由于有银行参与,按照SSL协议,客户购买的信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,将商品寄送客户。,3. SSL安全协议的应用SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议,至今仍然有许多网上商店在使用。在使用时,SSL协议根据

24、邮购的原理进行了部分改进。在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家再把商品寄给客户。这里,商家是可以信赖的,所以,客户须先付款给商家。在电子商务的开始阶段,商家也是担心客户购买后不付款,或使用过期作废的信用卡,因而希望银行给予认证。SSL安全协议正是在这种背景下应用于电子商务的。,SSL协议运行的基点是商家对客户信息保密的承诺。如美国著名的马逊(Amazon)网上书店在它的购买说明中明确表示:“当你在亚马逊公司购书时,受到亚马逊公司安全购买保证保护,所以,你永远不用为你的信用卡安全担心。”但是上述流程中我们也可以注意到,SSL协议有利于商家而不利于客户。客户的信息首先传到

25、商家,但整个过程中缺少了客户对商家的认证。在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加,对厂商的认证问题越来越突出 ,SSL协议的缺点完全暴露出来。SSL协议逐渐被新的SET协议所取代。,二、SET协议 1. SET协议简介SET协议(Secure Electronic Transaction,安全电子交易)是由VISA和Master-Card两大信用卡公司联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可

26、操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。SET协议比SSL协议复杂,因为前者不仅加密两个端点间的单个会话,它还可以加密和认定三方之间的多个信息。,在开放的互联网上处理电子商务,如何保证买卖双方传输数据的安全成为电子商务能否普及的最重要的问题。为了克服SSL安全协议的缺点,两大信用卡组织,Visa和Master-Card,联合开发了SET电子商务交易安全协议。这是一个为了在互联网上进行在线交易而设立的一个开放的以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。

27、由于设计合理,SET协议得到了IBM、HP、Microsoft、VeriFone、GTE、VeriSign等许多大公司的支持,已成为事实上的工业标准。目前,它已获得了IETF标准的认可。,2. SET安全协议运行的目标SET安全协议要达到的目标主要有五个:(1)保证信息在互联网上安全传输,防止数据被黑客或被内部人员窃取。(2)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的账户和密码信息。(3)解决多方认证问题。不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证。(4)保证网上交易的实时性,使所有的

28、支付过程都是在线的。(5)效仿EDI贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。,3. SET安全协议涉及的范围SET协议规范所涉及的对象有:(1)消费者 (2)在线商店 (3)收单银行 (4)电子货币(如智能卡、电子现金、电子钱包)发行公司,以及某些兼有电子货币发行的银行。 (5)认证中心(CA),SET协议规范的技术范围包括:(1)加密算法的应用(例如RSA和DES)。(2)证书信息和对象格式。(3)购买信息和对象格式。(4)认可信息和对象格式。(5)划账信息和对象格式。(6)对话实体之间的消息的传输协议。,4.

29、SET安全协议的工作原理根据SET协议的工作流程,可将整个工作程序分为下面七个步骤:(1)消费者利用自己的PC机通过互联网选所要购买的物品,并在计算机在输入订货单。订货单信息包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。(2)通过电子商务服务器与有关在线商店联系,在线商店做出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。 (3)消费者选择付款方式,确认订单,签发付款指令。此时SET开始介入。(4)在SET中,消费者必须对订单和付款指令进行数字签名,同时利用双重签名技术保证高家看不到消费者的账号信息。(5)在线商店接受订单后,向消费者所在银行请

30、求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,返回确认信息给在线商店。(6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。(7)在线商店发送货物或提供服务,并通知收单银行将钱从消费者的 转移到商店账号,或通知发卡银行请求支付。,5. SSL与SET的比较可以从以下4个方面来比较SSL和SET的异同。(1)认证机制:SET的安全要求较高,因此,所有参与SET交易的成员(持卡人、商家、支付网关等)都必须先申请数字证书来识别身份,而在SSL中只有商店端的服务器需要认证,客户端认证则是有选择性的。(2)设置成本:持卡者希望申请SET交易,除

31、了必须先申请数字证书之外,也必须在计算机上安装符合SET规格的电子钱包软件,而SSL交易则不需要另外安装软件。,(3)安全性:一般公认SET的安全性较SSL高,主要是因为整个交易过程中,包括持卡人到商店端、商店到付款转接站再到银行网络,都受到严密的保护,而SSL的安全范围只限于持卡人到商店端的信息交换。 (4)基于Web的应用:SET是为信用卡交易提供安全的,它更通用一些。然而,如果电子商务应用只通过Web或是电子邮件,则可能并不需要SET。,通过以上分析,我们可以看出,SET从技术上和流程上都相对优于SSL,但这是否就意味着未来SET就会超过SSL的应用,最后完全取代SSL呢?问题的结论是:

32、不一定。因为虽然SET通过制定标准和采用各种技术手段,解决了一直困扰电子商务发展的安全问题,其中包括购物与支付信息的保密性、交易支付完整性、身份认证和不可抵赖性,在电子交易环节上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。但是由于SET成本太高,互操作性差,且实现过程复杂,所以还有待完善。而SSL的自主开发性强,我国已有很多单位均已自主开发了128位对称加密算法,并通过了检测,这大大提高了它的破译难度;并且SSL协议已发展到能进行表单签名,在一定程度上弥补了无数字签名的不足。,密码破解 案例示范,一、破解某公司会议室路由器密码公司信息:IT行业;公司名称两个汉字,全

33、部拼音为10个字母;英文简写为4个字母,假设为abcd;会议室在16楼,号码已经忘记,以1601作为示例。路由器类型:TP-link品牌某型号路由器,登录地址为192.168.1.1,不具备无限功能,有线登录时也需要账号密码,网管人员:认识的人,性格有点墙头草,容易左右摇摆;一旦跟他说话时语气强硬,对方则深怕会得罪你的样子;开会时经常心不在焉,说话有时不着边际;做事拖沓,有头无尾,破解过程:,首先,分析网管人员的性格特点,由于是IT从业人员,因而通常具备较强的密码保护意识,因而不大可能使用无脑型密码,此外,从此人做事的习惯来看,可看出其对专业服务意识及自我认同度较差,不大可能使用严格的加密法。

34、其次,上述性格类型的人通常有一种不安全感,因而,其设置的密码不大可能使用他自己的个人信息;此外,做事不认真的人通常有一定惰性,其设置的密码不会太长,八位至十位是最有可能的位数。,其三,由上述两条可以判断,密码使用最大的可能要么是公司名全部拼音的10个字母,要么是英文缩写的简单重复或者英文缩写加上1601,也有可能是房间好 的简单重复;进一步分析,此网管头脑简单,通常他宁愿使用16011601这样的序列,也不会有那心情去对后面的那个1601进行倒序。最后,账号名通常会使用约定俗称的字母组成,且很可能是4位到6位,所以,账号很大可能是公司简称abcd。,最终结果:,账号:abcd密码:160116

35、01,从密码逆推网管人员的性格:,平时对其印象完全正确,此人可做朋友,因为他没有什么心机,不会害你,但不可共事,因为缺乏责任感。日后项目重要节点的相关事项尽量不能托付给他,即使不得 已托付此人,也必须保持高度警惕,不时跟进。,二、破解某同事个人密码对象个人信息:IT公司中层经理,多个项目参与者及主要负责人;做事认真,有条不紊,名牌大学毕业;为人圆滑、精明应该说我很少遇到这么聪明的人;对自 己的业务能力极度精通,在公司人称“鬼才”;性格平和,对下属非常宽容,经常面带微笑,拥有很强的人格魅力;思维严谨,经常看有关人性和数学方面的书籍,破解过程:,首先,由于此人从属于IT行业,加上拥有很高的智商,因

36、而通常拥有很强的密码保护意识,绝不可能使用无脑型密码应该说,觉得他会使用无脑型密码就是对他智商的侮辱。其次,他也不大可能会在密码中透露自己的个人信息和爱人的身份信息,使用广州家里的电话号码,办公室号码和手机的可能性也不大,除非是老家的电话号码。,再次,由于其强烈的密码保护意识,他的密码通常会比普通人的要长,有可能会达到13位以上。再次,最大可能是此人会使用“图腾”,由于其思维的严密性,喜欢数学,空间思维能力较强,会比较注重对称美,加上强烈的密码保护意识,很有可能会使用下划线,并且下划线的位置会高度体现对称美。,再次,其使用的图腾极有可能是很多人平时容易忽略的常识性意象物,并且很有可能与其爱好有

37、关,这时候一个意念物在我脑中一闪而过圆周率! 对于一个酷爱数学的人来说,如果在数学世界里采用某个常数作为密码的意象物,还有什么比这个东西更合适的?既是圆身上的东西,本身 就是完美的象征,同时其通常被记住的位数是8位,在长度上也非常符合密码使用的习惯。,最后就是组合了,小数点很有可能会采用下划线或者p(point)代替,首先想到的两个密码是3_1415926_8还有 3p1415926_8,用其邮箱进行验证,结果均失败,数一下长度,只有11位,而且第一个还没有字母,而前面说过,通常使用下划线的人密码保护意识是 很强的,通常使用了下划线,那么,其密码很可能包括数字和字母。,最终结果:密码:zs_3

38、_1415926_8,从密码逆推此君的性格:,此人对自我要求很高,有强烈完美主义倾向;其次,此人自信但不自负,如果非常自负,那么,他完 全没有必要在在最前面使用自己的姓名,因为通常来说很少有人会想到用圆周率这种意象物作为自己的密码,自负的人会认为使用圆周率已经足够;这种人通常胸怀 宽广,能接受别人的意见或者建议,经常会反躬自省自己的错误并予以改正,生活中,他会是一个良师益友,工作上,他会是给力的伙伴,既可深交也可共事。但 是,其缺点是做事一旦关乎自己,有时候会过于追求完美,从其密码所使用的下划线高度体现对称可以看得出来,这种人打工迟早会成为一个优秀的项目管理人或高 层经理,但是,开拓自己的事业

39、却不容易打破常规。,三、破解某邻居的QQ密码对象个人信息:85后,男性,每天都见面,每次见面时都会彼此很客气地打招呼,聊过几次天;聊天过程其发音非常清楚,说话偶尔会骂两句,说话简洁,非常富有条理性,极少包含“那个”,“然后”这种潮汕人俗称“话屎”的词语;他对社会上的一些现象非常强烈的反感;眼神清澈,给人的感觉非常阳光,健康;有时爱与我聊中国古文化,西方启蒙时期的哲学与思想,并且一聊起来双眼发光,极其兴奋。,破解过程:,首先,聊天时知道了他的出生年份1987年,同时还知道了他的名字,假设为“李四”,还知道他出身于农村。其次,眼神清澈,而且一见面就愿意向你敞开心扉讲心里话的人通常涉世未深,通常缺少

40、防范意识,这类人的密码保护意识通常也比较差,猜测其密码有可能是姓名加上出生年月日的组合。再次,说话条理清晰,不带任何“话屎”,而且喜欢聊哲学,这让我想起我的很多射手座朋友,以次推断他可能属于射手座。再次,射手座生于每年的11月23日12月21日,尝试用他的名字拼命lisi加上19871201这样的组合进行测试,尝试大约三十次全部失败。,突然,我想得父母在80年代那个时候,极有可能仍在使用农历,因此,注册他身份证的时候,很有可能跟我一样采用农历,上网用万年历查下 1987年阳历11月23日12月21日这段时期所对应的农历日期,对应的农历时间段是10月初三至11月初一。最终结果:密码:lisi_1

41、9871011,从密码逆推此君的性格:,此君懂得使用下划线,说明他还有一定的密码保护意识,但是,从其使用自己姓名加上生日这一点可以判断他社会经验缺乏,应该较少与社会上的人接触,应该是宅男 一类的人,工作不可能是销售类和管理类,很有可能是技术类。这种人通常比较爱交朋友,也非常值得交往,是那种你有万贯家财,到了重要的时候都可以放心托付 给他一类的人。,本章小结,(1)随着用户对Web服务的依赖性增长,特别是电子商务、电子政务等一系列网络应用服务的快速增长,Web的安全性越来越重要。Web安全技术主要包括Web服务器安全技术、Web应用服务安全技术和Web浏览器安全技术。(2)电子邮件的安全问题备受人们关注,其安全目标包括邮件分发安全、邮件传输安全和邮件用户安全。,(3)身份认证是保护信息系统安全的第一道防线,它限制非法用户访问网络资源。常用的身份认证方法包括口令、密钥、记忆卡、智能卡、USB Key和生物特征认证。(4)PKI是能够为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理的密钥管理平台,是目前网络安全建设的基础与核心。PKI由认证中心(CA)、证书库、密钥备份及恢复系统、证书作废处理系统和应用接口等部分组成。,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号