 |
|
《安全月刊》2006年第七期 总第二十五期
出刊:2006年7月25日 |
 |
|
|
|
征 文 通 知 |
|
稿件内容:
我们没有固定的框框,只要您认为有价值,值得、可以拿出来跟大家分享,我们都欢迎,您可以:
写出你与网络安全产品打交道的经历;
漫谈您在使用网络安全产品过程中的体会;
谈谈您正在使用的安全产品的优势与不足;
与大家分享您在使用东软网络安全产品过程中悟出的小窍门,试出的小方法;
记述您遇到的印象比较深刻的网络安全事件及解决过程;
展望未来网络安全技术趋势及网络安全市场走向。
奖励办法:稿件一经录用刊登,根据文章内容评定稿费每篇200-500元;来稿未被刊登使用的,也会收到我们的纪念礼品。
|
|
|
|
|
|
|
|
 |
| |
|
东软NetEye防火墙再获中国国际软件博览会金奖
6月1日,在信息产业部、国家发改委、科技部、国信办和北京市人民政府支持下,以“展示十五软件产业成果,宣贯十一五软件规划,走自主创新,软件强国之路”为主题的2006年第十届中国国际软件博览会在北京展览馆正式开幕。来自信产部、科技部、国家发改委、国信办和北京市人民政府与会代表在高峰论坛上进行剪彩仪式。
在本届软博会期间,共有来自国内外400余家软件企业展出了1200余件软件产品。作为中国最大的软件厂商之一的东软公司在本届软博会上也展示了其在不同领域及行业的应用软件。其中东软NetEye防火墙5200系统,经过专家委员会的评审,继上届软博会再次荣获金奖殊荣。
东软NetEye防火墙5200获奖不仅再次体现了东软NetEye防火墙的优秀品质,更印证了东软在信息安全领域强大的技术实力和深厚的行业积累。东软NetEye
防火墙5200是东软历时3年,经过600多个人月的研发和测试,向用户奉献的一款精品。采用高性能的NP平台及分布式系统架构,可提供卓越的扩展性和部署灵活性。其高性能NP处理芯片内部集成了多个RISC处理器,专门用于处理高速数据流,可对数据包实施线速的分析、检测和转发等处理。该产品具有多个网络接口,可提供千兆线速全双工的网络数据包过滤能力,可同时保护多个千兆网络,适用于大型金融机构、电信运营商的数据中心以及电力、教育等行业核心骨干节点。
东软自1996年涉足网络安全领域,10年来一直坚持技术创新,不断推出新的产品和服务。在网络安全整体解决方案领域,东软以技术、人和对行业的经验积累为基础,其核心竞争力愈加突出,并锻炼出一支规范、专业、可保持高速发展并为用户提供持续服务的信息安全队伍。同时,东软始终坚持以市场为导向,不断创新,坚持客户的价值最大化,以最新的安全技术、优秀的人才与自身在各个行业的深入应用相结合,不断推出高品质的信息安全产品和专业化的信息安全服务,真正为客户的信息安全创造价值。 |
|
 |
|
背景资料
NetEye FW 5200主要技术特色:
东软流过滤技术和INTEL先进NP平台的完美结合
NetEye FW 5200采用Intel的IXP2400高性能网络处理芯片,
IXP2400芯片具有强大的处理能力,可以用于网络接入、网络骨干设备,支持从第2层到第7层各种业务,包括:防火墙、入侵检测、VPN等安全控制功能;进行分组分类,识别关键业务流,保证QOS;执行协议转换,支持多种传输媒体接入;在OC-48
等高速链路上实现聚合流的分类识别、转发和安全处理。
东软在IXP2400平台下结合NetEye“流过滤”技术所具有的深度防御能力,实现了千兆线速防火墙在检测性能和检测深度方面新的突破:NetEye
FW 5200在提供千兆线速全双工的网络数据包处理和过滤能力的同时,可以对HTTP、SMTP等常见应用进行协议级检查和控制;NetEye
FW 5200中的TCP/IP协议栈是东软自主知识产权的防火墙专用协议栈,全部采用微码实现,除了可以有效抵御针对协议栈指纹特征的网络扫描外,还具有更高的处理性能和更强的深度检测能力;基于“流过滤”技术,NetEye
FW 5200提供了隐藏或改写Banner信息的功能,可以有效防止攻击者对应用系统的扫描和攻击。
虚拟防火墙
NetEye FW 5200提供了虚拟防火墙功能,管理员可将一台防火墙在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的全部功能。由于电信运营商、电力调度、教育等行业网络应用环境比较复杂,这种方式可以有效降低网络安全防护所需的投资预算,满足用户的某些特殊需要,并使部署和管理维护变得更加容易。
千兆位以太网通道
NetEye FW 5200支持千兆以太网通道功能,不仅可以起到容错作用,更是链路带宽扩容的一条重要途径。它可在1000M以太网端口间实现,用于将多条并行链路的带宽叠加起来。这样,多条链路被用于单条高速数据通道,通道中部分线路的故障不会影响其它线路的带宽聚合,从而保证了网络的可靠性。同时,以太网通道技术也提升了防火墙的可扩展性,可以充分利用现有设备实现高速数据传输。
高可用性
NetEye FW 5200还提供了其它多种方式的高可用特性,包括多机集群备份、负载均衡等。多机集群备份通过专有协议,实现了连接表同步功能,使得互相备份的防火墙都保存网络中的所有连接信息。当网络中部分链路出现故障时,连接不会因为数据包转移到其他防火墙上而导致连接断开,充分保证了应用系统的稳定运行。
支持策略路由、策略NAT、动态路由
普通防火墙的路由策略只能根据单个IP包中的源地址进行判断,在使用时并不方便。NetEye
FW 5200提供了更加灵活的策略路由实现方案,可以根据更多属性设定路由策略。比如在高校应用中,如果是由内部访问外网,可以根据预先制定的策略,访问免费地址使用教育网出口,访问非免费地址使用电信出口,而外网的访问,则通过教育网出口返回数据包。这种方案既有效地避免了不必要的国际流量,又能使外网正常访问校园网内资源,保证网络资源得到有效利用的同时,降低了网络的日常运行费用。
另外,NetEye FW 5200具有丰富的网络特性,包括策略NAT,对动态路由协议RIP、OSPF、BGP的支持等,可以充分适应复杂网络环境部署的要求。
强大的深度检测和攻击防御能力
NetEye FW 5200可以对数据包进行深层检测和协议级控制,提供对HTTP、SMTP等常见协议的过滤和控制能力,保证基于H.323、SIP等协议的视频语音应用的安全。它采用先进的队列调度算法,使得QoS队列调度效率与队列数目的无关,有效保障多业务条件下的服务质量(QoS)。
|
| |
|
<<<< 回到本期导读
|
近些年来,具有代表性的红色代码(CodeRed)、尼姆达(Nimda)、蠕虫王(SQLSlammer)、冲击波(Blaster)等蠕虫病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,正是因为利用了操作系统或者应用程序的漏洞。与此同时利用操作系统或者应用程序漏洞进行攻击是黑客最常用的手段之一。攻击者首先通过扫描工具扫描目标系统,发现系统中可能存在的漏洞,然后利用针对该漏洞的攻击工具实施攻击。这种攻击模式简单易行,危害极大。由此可见,操作系统或者应用程序的漏洞是导致网络风险的重要因素。
然而,消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,每一次黑客的攻击行为,都提醒人们要居安思危,打好补丁,做好防范工作——补丁管理越来越成为安全管理的一个重要环节。同时,黑客技术正在迅速不断的发展与变化,留给管理员的时间将也将越来越少,在最短的时间内及时安装补丁程序将会极大地保护网络和其所承载的机密,同时也可以极大地降低由于系统漏洞给用户带来的损失。对于终端节点众多的用户,繁杂的手工补丁安装已经远远不能适应目前大规模的网络管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。因此,如何利用有效技术手段来及时、严密、持续的安装计算机补丁,是所有网络安全管理人员、信息安全领导决策人员亟需解决的问题。
极地布补丁分发管理系统正是为了解决这一问题应运而生!
产品特色
基于漏洞扫描的补丁分发部署
目前国内外大多数补丁管理产品都是基于厂商所发布的补丁库,对于由于系统配置不当等原因导致的漏洞无能为力。极地补丁分发管理系统不仅包括各大厂商所发布的所有补丁,同时也包括针对漏洞的修补脚本补丁和用户自定义的补丁。极地补丁分发管理系统不仅提供了基于厂商补丁库的分发,还提供基于漏洞的补丁分发,对于通过漏洞扫描产品进行扫描的过程中所发现的漏洞都可以提供相应的补丁进行修复,同时支持扫描报告导入功能,系统根据扫描报告信息进行补丁的分发部署。通过支持与漏洞扫描产品的联动,极大的提高了产品的补丁分发与修复能力。
全面有效的补丁库
产品自带全面丰富的补丁库,包括了目前主流的各种操作系统与应用程序漏洞补丁,包括Windows
98/NT/2000/XP/Server
2003,IBM
AIX ,HP
HP-UX,SUN
Solaris,SCO
Unix,FreeBSD,NetBSD,Red
Hat Linux、Turbo
Linux,Bluepoint,Xterm,红旗Linux,Slackware,IIS,SQL
Server,Exchange,Internet
Explore,MDAC,Media
Player,Windows Media
Services,Net
Meeting,Microsoft
Office,Outlook等。
补丁库采用增量升级,每周升级三到五次,同时补丁库中所有的补丁都经过严格地测试与签名,确保补丁库的安全性与可靠性。
提供脚本定义接口,支持自定义脚本补丁
除了全面补丁库外,极地补丁分发管理系统还允许用户自定义补丁并提供脚本定义接口。用户通过使用该接口编写相应的脚本补丁,可以实现对分发目标系统的不安全配置进行修补等操作。对于一些常见的由于系统不安全配置导致的漏洞,补丁库中已经包括了这类脚本补丁,极地补丁分发管理系统可以根据扫描的漏洞信息进行相应的补丁分发修补。
支持多平台的补丁分发与修补
与其他补丁管理类产品产品只支持Windows平台或其它一两种Uinix/Linux平台相比,极地补丁分发管理系统支持更多的操作系统平台,主要包括:
Windows 98/NT/2000/XP/2003
IBM AIX
HP HP-UX
SUN Solaris
SCO Unix
FreeBSD、NetBSD
Redhat Linux、Turbo
Linux、Bluepoint、Xterm、红旗Linux、Slackware
通过对以上多种操作系统平台的支持,极地补丁分发管理系统可以更好的适应大型复杂网络中的补丁分发与管理任务。
灵活的补丁分发方式
极地补丁管理分发系统目前支持三种分发方式:
一、自动方式
通过管理员设置分发策略,由服务器控制对网络中安装了分发代理的桌面或服务器进行强制的补丁分发部署。整个过程中实现了全自动化,无需人工干预。
二、通知方式
通知方式即不进行补丁包的实际分发,而是由服务器向桌面终端发送一条通知消息。消息内容包括未安装补丁信息以及下载链接。用户接受到消息通知后,直接可以点击链接进行补丁下载与安装。
三、手动方式
用户以Web方式登陆补丁管理服务器,补丁服务器将自动检测用户系统的补丁安装情况,这些信息将以弹出网页窗口的形式提供给用户下载。
丰富的桌面管理功能
资产管理,全面了解和管理网络资源。资产管理是进行有效的网络的管理的第一步,只有详细全面地了解了网络的资产(包括硬件、软件、拓扑结构),才能有针对性地、有效地进行网络的安全管理工作。
软件部署,有效提高应用软件部署效率。利用自定义脚本和软件分发功能,极地补丁分发管理系统可以对任何应用软件进行网络自动部署。包括:程序生成安装包、多文件安装包、独立软件安装包、操作系统映像以及智能安装包。
任务和策略多样化,完全自动的管理。可以实现的功能和技术包括:可计划的任务分发、灵活的应用策略管理、任务完成、基于快照的程序包生成器及增强程序包生成器、字节级的断点续传技术、带宽检测技术、动态带宽调整技术、多映像格式的操作系统分发技术、多平台支持技术等。
自动侦听网络负载,人工或自动调节网络流量。
支持级联功能,多极分发提高网络管理的方便性。针对有些网络实行分极管理和应用虚拟子网技术进行管理,极地软件分发管理系统可以设立级联分发服务器,有效降低中心服务器子网的网络流量,避免了网络瓶颈。
具有完全的国内自主知识产权
极地补丁分发管理系统是极地公司推出的一款全新产品,具有全部的源代码,拥有完全自主的国内知识产权。获得了多项国家认证证书。 |
|
|
<<<<
回到本期导读 |
|
 |
数据安全 硬盘维护经验全面解读
硬盘是计算机的存储核心部件,一旦出现问题,将导致电脑无法正常工作,虽然随着技术的发展,硬盘的稳定性和容量都有了提高,但是我们还是需要提醒大家注意以下事项,尽量避免硬盘出现问题。
1.为您的电脑提供不间断电源(UPS)
当硬盘开始工作时,一般都处于高速旋转之中,如果硬盘读写过程中突然断电,可能会导致硬盘的数据逻辑结构或物理结构的损坏。因此最好为您的电脑提供不间断电源,正常关机时一定要注意面板上的硬盘指示灯是否还在闪烁,只有当硬盘指示灯停止闪烁、硬盘结束读写后方可关闭计算机的电源开关。
2.为硬盘降温
温度对硬盘的寿命也是有影响的。硬盘在使用过程中会产生一定热量,所以在使用中存在散热问题。温度以25℃~30℃为宜,温度过高或过低都会使晶体振荡器的时钟主频发生改变。温度还会造成硬盘电路元件失灵,磁介质也会因热胀效应而造成记录错误。
3.定期整理硬盘碎片
在硬盘中,频繁地建立、删除文件会产生许多碎片,如果碎片积累了很多的话,那么日后在访问某个文件时,硬盘可能会需要花费很长的时间读取该文件,不但访问效率下降,而且还有可能损坏磁道。
4.病毒防护以及系统升级工作
各类操作系统都存在着很多已知和未知的漏洞,加之现在病毒攻击的范围也越来越广泛,而硬盘作为计算机的信息存储基地,通常都是计算机病毒攻击的首选目标。所以,为了保证硬盘的安全,我们应该经常在操作系统内打一些必要的补丁,为杀毒软件下载最新的病毒库,做好病毒防护工作,同时要注意对重要的数据进行保护和经常性的备份,以备数据恢复之需。
5.拿硬盘时要小心
在日常的电脑维护工作中,拿硬盘是再频繁不过的事了。其实,用手拿硬盘还是有学问的,稍有不慎就会使硬盘报废,因此我们在拿硬盘时一定要做到以下几点: A. 要轻拿轻放,不要磕碰或者与其他坚硬物体相撞; B. 不能用手随便地触摸硬盘背面的电路板,这是因为人的手上可能会带有静电,在这种情况下用手触摸硬盘背面的电路板,静电就有可能会伤害到硬盘上的电子元件,导致电子元件损坏,从而无法正常运行。 因此,我们在用手拿硬盘时应该抓住硬盘两侧,并避免与其背面的电路板直接接触。
6. 在工作中最好不要移动主机
硬盘是一种高度精密设备,工作时磁头在盘片表面的浮动高度只有零点几微米。当硬盘处于读写状态时,一旦发生较大的震动,就可能造成磁头与盘片的撞击,导致损坏。所以不要搬动运行中的主机。在硬盘的安装、拆卸过程中应多加小心,硬盘移动、运输时严禁磕碰,最好用泡沫或海绵包装保护一下,尽量减少震动。 |
<<<< 回到本期导读 |
 |
| |
|
病毒警报 |
| |
|
近期内一些网络攻击事件和计算机用户受到黑客木马入侵的现象时有发生,如盗取QQ密码、银行账号的木马程序依旧存在网络之中,困挠着计算机用户。这些木马常常利用IE浏览器或是计算机系统已知的漏洞进行传播,如果用户没有及时给计算机系统打上最新的系统补丁程序,在用户打开一些有问题的网页的同时就会自动下载并感染这些恶意木马程序。我们建议计算机用户了解一些黑客木马特别是这类木马的基本特性,保护好自己的个人隐秘信息,做好防护工作,免受不必要的损失。
总体来说,近期病毒疫情保持一个比较平稳的态势,传播范围广、破坏力强的新病毒没有出现,一些老的流行时间长的病毒仍对计算机用户造成很大危害。针对这种情况,建议计算机用户及时升级防火墙和杀毒软件,并且了解一些流行病毒的基本特性和处理方法,对病毒的防护和清除起到一定的辅助作用。
另外, Oracle发布了2006年7月的紧急补丁更新公告,修复了多个Oracle产品中的多个漏洞。Oracle
Database是一款商业性质大型数据库系统。这些漏洞可能会影响到Oracle产品中的安全属性,进而导致本地和远程的威胁,最严重的漏洞可能导致恶意攻击者完全入侵数据库系统,从而给计算机系统带来严重的威胁。
针对该漏洞,Oracle官方网站已经发布相应的补丁程序,链接:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html?_template=/o
本周发作:
病毒名称:TROJ_UCF.A
病毒类型:特洛伊木马
发作日期:7月28日
危害程度:木马会覆盖硬盘的部分扇区,造成计算机系统内数据破坏丢失,严重地可能造成计算机系统无法正常启动和使用。
专家提醒:
1、现在很多病毒都兼有木马功能,所以在遭受这一类病毒感染后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除病毒的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。并注意密码设置要相对复杂,建议在8位以上。
2、提醒广大计算机用户升级杀毒软件,启动“实时监控”和“个人防火墙”,做好预防工作。
|
<<<< 回到本期导读 |
|
 |
|
经常有用户反映,实际使用的过程中出现防火墙管理连接不成功的情况,因此将防火墙管理口连接不成功时可以采用的几种检查方式在这里给大家解答:
察看管理端的IP地址与防火墙管理口不在同一网段。
检查网线,如果直接连在防火墙上用交叉线。
防火墙仍在启动中,相关进程没有起来
5次登录错误,防火墙已经锁死
管理端设置了两个IP地址
管理端上启动了个人版防火墙
检查防火墙 /NetEye3.0/control/
./ctld
进程是否启动。
如果上述问题都不存在,换个管理端试试。
具体的步骤如下:
1、首先检查是否能ping通管理口,如果不通,再检查管理口的IP地址和管理主机的IP地址是否在同一子网中,以及网线是否可用。注意:如果管理主机与管理口直接连接,则需使用级连线;如果通过HUB或交换机连接,则需
2、使用直通的网线。
3、用防火墙带的串口线连接防火墙,通过超级终端登录到防火墙系统中,使用ps
–ax命令查看CTLD进程是否被启动,若其未被启动,则手工启动它:./ctld
4、检查正在被应用的的本地访问控制规则,看看管理主机是否能TELNET管理口。通过超级终端登录到防火墙系统中后,进入/NETeye3.0/var/rules/current目录,打开文件rule.conf,查看哪一个本地访问控制规则文件正在被应用,然后进入目录/NETeye3.0/var/rules/user/fwrule,打开正被应用的本地访问控制规则文件,查看管理主机是否被允许TELNET管理口,若不允许,则需做出修改,允许管理主机TELNET管理口;或者直接输入命令“rr
login”回车,从显示结果中查看管理主机是否有权TELNET管理口。
5、输入命令“cat /proc/net/neti”,可以查看防火墙的工作模式(Switch/Router)、状
态、注册情况、以及网卡信息。查看防火墙状态是否是“Active”,若不是,则重启防火墙。 |
|
<<<< 回到本期导读 |
|
在防火墙上为移动用户建立VPN
1、
密钥管理中心的配制。
A、根密钥E-KEY的生成:
首先要生成根密钥。根密钥是做VPN的基础,只有做了根密钥后,才可以进行以后的配置。当你要生成一个新的VPN时,插入E-KEY,打开密钥管理中心时,会自动弹出一个对话框,提示你是否生成根E-KEY。点击是,进入到下一步。 |
|
接着会让你输入口令,默认的口令是NetEye,注意这里的密码是区分大小写的。你可选择更改密码,也可使用默认的密码。我们推荐的更改密码。 |
这样,根密钥E-KEY就制作成功了,这时需要插入另外一个E-KEY,来添加VPN网关。
B、添加VPN网关:
在密钥管理中心的工具菜单下有添加网关选项,选中该选项,添加网关。在弹出的对话框中输入主机名,防火墙VPN接口的IP地址,密钥交换端口,和网关类型都可使用默认。然后点击确定,弹出窗口会提示你输入密码,同上,默认密码为NetEye。输入密码后点击确定,如操作正确会弹出提示框,提示
添加VPN网关成功。
C、下载文件:
添加完VPN网关后,下载全局公钥文件All.global,和移动用户文件Move.user。将全局公钥文件和移动用户文件分发给防火墙。网关E-KEY暂时不拔出。
2、
防火墙上VPN的配置。
A、注入网关密钥与上载全局公钥文件。
点击菜单中的密钥管理选项,在了选项中选择注入网关密钥对,之前的网关密钥E-KEY不要拔出,否则会提示找不到网关密钥。
会弹出提示,要求插入网关E-KEY。点击确定即可。
点击后会提示注入网关密钥文件成功。
注入网关密钥后,开始上载全局公钥文件。就是我们在密钥管理中心里下载的All.global文件。点上载全局公钥文件选项,上载All.global文件。上载完成需要重新登录防火墙。只有上载完全局公钥文件后,才可以配置VPN设备。
至此,完成了初使的配置工作。
3、拨号设备的接入。
防火墙在路由模式下才能具有VPN功能。在路由模式工程设备中有一个拨号虚拟设备vpn0,移动客户端可以通过此设备访问企业内部子网。
A、配置允许访问的子网地址:
又击vpn0,在常规选项下点击添加,配置允许移动用户访问的子网,此处的“网络地址”设为移动用户或灵巧网关所要访问的防火墙内网的网络地址。
B、配置拨号设备地址池:
在地址池选项卡中,在“地址池类型”下拉列表中选择“移动用户”。为其指定IP范围,此范围就是分配置给移动用户的地址范围。配置时还需要选择认证域,为认证域里的每个角色分配地址范围中的IP地址。
C、
配置认证域:
在配置地址池选项卡的时候,需要选择认证域。添加认证域选项是资源菜单下的认证管理。
|
点击 图标新建用户,在弹出的对话框中,选取择认证方式,输入用户信息。 |
|
接下来在vpn0设备管理的“地址池”中对每个创建的角色进行地址分配。注意:进行地址分配的角色,一定要在相应认证域中有定义才可以。并且,给每个角争分配IP地址范围必须是地址池“网络地址”中IP地址的一部分。 |
工程师信箱:yshl@ultratech.com.cn
欢迎大家与我一起交流技术方面的问题。
<<<< 回到本期导读 |
 |
| |
|
动态分区的口令输入方法研究(连载之二) |
| |
|
2.
动态分区口令系统的提出和应用
2.1 动态口令的优越性
计算机网络是一个开放的系统。但由于其开放性导致计算机网络中存在相当多的安全漏洞和安全威胁,网络中的各类资源很容易被人非法访问和复制。因此,对网络资源访问者的合法身份进行认证就变得非常的重要,身份认证技术已经成为网络系统安全中最重要的技术之一。
较为常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证。但是,随着网络应用的深入化和网络攻击手段的多样化,静态口令认证技术由于其自身的安全缺陷已经不再适应于安全性要求较高的网络应用系统。静态口令认证技术面临的主要网络攻击手段有:明文形式的口令在网络上传输容易遭受口令窃听攻击;加密形式的口令则容易遭受截取/重放攻击;其他攻击手段还包括伪造主机攻击、内部人员攻击、字典攻击等等。
针对静态口令认证技术存在的安全缺陷,业界提出了一次性口令认证技术(One-Time
Password Authentication),也称为动态口令认证技术。先让我们来比较一下静态口令和动态口令的特点,从而更深入的了解动态口令的优越性。
2.1.1 静态口令的特点
静态口令是最早使用也是最简单的口令认证技术的一种形式,即每个合法用户都持有一个身份标识ID和相应的通行口令,被访问的系统将所有合法用户的ID和口令保存在口令文件中。当用户访问系统是,输入各自的ID和口令,系统将从口令文件中取出相应的ID和口令登录者提供的ID和口令相比较,若两者结果匹配,则认定是合法的。否则拒绝访问。
静态口令设置简单,使用方便,目前很多应用系统采用这种认证方式。但是,静态口令认证安全性较低,存在很多安全隐患和缺陷。主要表现为下列几种形式:
(1)多数拥护倾于使用短口令,造成系统安全性偏低,易受穷举攻击;
(2)用户为了使用方便,往往设定与自己生活信息(姓名、生日、电话号码、身份证号码等)特征作为相关的口令使用,结果易受口令猜测攻击;
(3)用户习惯长期使用同一口令,保存周期偏长,被破解的可能性与日俱增;
(4)大多数的远程应用系统的口令通过明文传输,易被网络上的监听者窃取;
(5)一些被访问的系统以明文方式保存用户的ID和口令,一旦口令文件被窃取,系统的安全性荡然无存。
为了解除以上的安全威胁,就需要一种不易猜测、经常变化、一次性使用的动态口令来提高口令认证的安全性,以满足应用系统对安全性的要求。
2.1.2 动态口令的特点
动态口令是随机变化的一种口令形式,每次登录将使用不用的口令。在一定的时间间隔内,一个口令只能使用一次,重复使用的口令将被拒绝接受。在现代网络信息应用系统中,常用的动态口令认证系统主要由两部分组成:客户端操作和服务器端认证。客户端操作认证的功能是通过将用户的ID和某种变化的因素作为给定的算法的输入参数,经过运算获得的结果处理值,即为动态口令,并将其作为用户登录口令使用。在服务器认证端进行类似的操作,将计算记过作为验证方口令保存,并和客户端送来的登录信息比较,若两者匹配,则允许登录,否则,拒绝登录。
动态口令的生成方法很多,主要采用数学手段实现,有简单数学变换形式,也有复杂数学方法处理,既有随机函数也有伪随机发生器,有软件产品,也有硬件产品。根据动态口令的生成方式不同有不同的动态口令认证方案,其安全性也有所不同。 |
| |
|
*****未完待续***** |
谭博士信箱:txy@ultratech.com.cn
欢迎大家与我共同探讨安全问题
<<<< 回到本期导读 |
订阅《安全月刊》 |
|
|
本期导读:
图标,新建一个认证域,然后点击