本文目录一览:
什么是一次性密钥?
一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合,iKEY一次性密码已在金融、电信、网游等领域被广泛应用,有效地保护了用户的安全。
相对于静态密码,OTP 最重要的优点是它们不容易受到重放攻击(replay attack)。这意味着管理记录已用于登录到服务或进行交易的 OTP 的潜在入侵者将无法滥用它,因为它将不再有效。
原理:
动态密码的产生方式,主要是以时间差做为服务器与密码产生器的同步条件。在需要登录的时候,就利用密码产生器产生动态密码,OTP一般分为计次使用以及计时使用两种,计次使用的OTP产出后,可在不限时间内使用;计时使用的OTP则可设置密码有效时间,从30秒到两分钟不等。
而OTP在进行认证之后即废弃不用,下次认证必须使用新的密码,增加了试图不经授权访问有限制资源的难度。
以上内容参考:百度百科——一次性密码
多次使用“一次性密钥”为什么不安全
一次性口令认证 (OTP)系统是为了防止黑客通过一次成功的口令窃取而永久地获得系统访问权而设计的一种认证技术 .它规定用户每次注册时使不同的口令 ,限制了同一口令的生存周期。
在传统的口令认证机制中,用户的口令多数以明文形式在网上传输并且固定不变。这使得攻击者可以通过窃听得到这些可重用的口令达到入侵系统的目的。一次性口令系统允许用户每次登录时使用不同的口令,很好地防止了口令重用攻击,增强了系统的安全性。
计算机问题
般地说,将分散的多台计算机、终端和外部设备用通信线路互联起来,彼此间实现互相通信,并且计算机的硬件、软件和数据资源大家都可以共同使用,实现资源共享的整个系统就叫做计算机 *** 。
一、计算机 *** 面临的威胁
计算机 *** 所面临的威胁大体可分为两种:一是对 *** 中信息的威胁;二是对 *** 中设备的威胁。影响计算机 *** 的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对 *** 系统资源的非法使有,归结起来,针对 *** 安全的威胁主要有三:
(一)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对 *** 安全带来威胁。
(二)人为的恶意攻击:这是计算机 *** 所面临的更大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响 *** 正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机 *** 造成极大的危害,并导致机密数据的泄漏。
(三) *** 软件的漏洞和“后门”: *** 软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入 *** 内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
二计算机 *** 的安全策略
(一)物理安全策略
物理安全策略的目的是保护计算机系统、 *** 服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
(二)访问控制策略
访问控制是 *** 安全防范和保护的主要策略,它的主要任务是保证 *** 资源不被非法使用和非常访问。它也是维护 *** 系统安全、保护 *** 资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证 *** 安全最重要的核心策略之一。下面我们分述各种访问控制策略。
1.入网访问控制
入网访问控制为 *** 访问提供了之一层访问控制。它控制哪些用户能够登录到服务器并获取 *** 资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该 *** 。
对 *** 用户的用户名和口令进行验证是防止非法访问的之一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之 *** 之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符更好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的 *** 很多,其中最常见的 *** 有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述 *** 加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
*** 管理员应该可以控制和限制普通用户的帐号使用、访问 *** 的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问 *** 所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。 *** 应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费 *** 的访问“资费”用尽时, *** 还应能对用户的帐号加以限制,用户此时应无法进入 *** 访问 *** 资源。 *** 应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
2. *** 的权限控制
*** 的权限控制是针对 *** 非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。 *** 控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用 *** 服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责 *** 的安全控制与资源使用情况的审计。用户对 *** 资源的访问权限可以用一个访问控制表来描述。
3.目录级安全控制
*** 应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个 *** 系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了 *** 和服务器的安全性。
4.属性安全控制
当用文件、目录和 *** 设备时, *** 系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与 *** 服务器的文件、目录和 *** 设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。 *** 上的资源都应预先标出一组安全属性。用户对 *** 资源的访问权限对应一张访问控制表,用以表明用户对 *** 资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。 *** 的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
5. *** 服务器安全控制
*** 允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。 *** 服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
6. *** 监测和锁定控制
*** 管理员应对 *** 实施监控,服务器应记录用户对 *** 资源的访问,对非法的 *** 访问,服务器应以图形或文字或声音等形式报警,以引起 *** 管理员的注意。如果不法之徒试图进入 *** , *** 服务器应会自动记录企图尝试进入 *** 的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
7. *** 端口和节点的安全控制
*** 中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。 *** 还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
8.防火墙控制
防火墙是近期发展起来的一种保护计算机 *** 安全的技术性措施,它是一个用以阻止 *** 中的黑客访问某个机构 *** 的屏障,也可称之为控制进/出两个方向通信的门槛。在 *** 边界上通过建立起来的相应 *** 通信监控系统来隔离内部和外部 *** ,以阻档外部 *** 的侵入。目前的防火墙主要有以下三种类型;
(1)包过滤防火墙:包过滤防火墙设置在 *** 层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。
(2) *** 防火墙: *** 防火墙又称应用层网关级防火墙,它由 *** 服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件 *** 技术结合在一起。过滤路由器负责 *** 互连,并对数据进行严格选择,然后将筛选过的数据传送给 *** 服务器。 *** 服务器起到外部 *** 申请访问内部 *** 的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部 *** 向内部 *** 申请某种 *** 服务时, *** 服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部 *** 转发这项请求。 *** 防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的 *** 服务器软件是WinGate和Proxy Server。
(3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的 *** 。双穴主机从一个 *** 收集数据,并且有选择地把它发送到另一个 *** 上。 *** 服务由双穴主机上的服务 *** 来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部 *** 不被非法访问。
三、信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。 *** 加密常用的 *** 有链路加密、端点加密和节点加密三种。链路加密的目的是保护 *** 节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据 *** 情况酌情选择上述加密方式。
信息加密过程是由形形 *** 的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一 *** 。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应 *** 的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的 *** 安全加密体制。
当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。密码技术是 *** 安全最有效的技术之一。一个加密 *** ,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效 *** 之一。
四、 *** 安全管理策略
在 *** 安全中,除了采用上述技术措施之外,加强 *** 的安全管理,制定有关规章制度,对于确保 *** 的安全、可靠地运行,将起到十分有效的作用。
*** 的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关 *** 操作使用规程和人员出入机房管理制度;制定 *** 系统的维护制度和应急措施等。
随着计算机技术和通信技术的发展,计算机 *** 将日益成为重要信息交换手段,渗透到社会生活的各个领域。因此,认清 *** 的脆弱性和潜在威胁,采取强有力的安全策略,对于保障 *** 的安全性将变得十分重要。
交换机和路由器
“交换”是今天 *** 里出现频率更高的一个词,从桥接到路由到ATM直至 *** 系统,无论何种场合都可将其套用,搞不清到底什么才是真正的交换。其实交换一词最早出现于 *** 系统,特指实现两个不同 *** 机之间话音信号的交换,完成该工作的设备就是 *** 交换机。
所以从本意上来讲,交换只是一种技术概念,即完成信号由设备入口到出口的转发。因此,只要是和符合该定义的所有设备都可被称为交换设备。由此可见,“交换”是一个涵义广泛的词语,当它被用来描述数据 *** 第二层的设备时,实际指的是一个桥接设备;而当它被用来描述数据 *** 第三层的设备时,又指的是一个路由设备。
我们经常说到的以太网交换机实际是一个基于网桥技术的多端口第二层 *** 设备,它为数据帧从一个端口到另一个任意端口的转发提供了低时延、低开销的通路。
由此可见,交换机内部核心处应该有一个交换矩阵,为任意两端口间的通信提供通路,或是一个快速交换总线,以使由任意端口接收的数据帧从其他端口送出。在实际设备中,交换矩阵的功能往往由专门的芯片(ASIC)完成。另外,以太网交换机在设计思想上有一个重要的假设,即交换核心的速度非常之快,以致通常的大流量数据不会使其产生拥塞,换句话说,交换的能力相对于所传信息量而无穷大(与此相反,ATM交换机在设计上的思路是,认为交换的能力相对所传信息量而言有限)。
虽然以太网第二层交换机是基于多端口网桥发展而来,但毕竟交换有其更丰富的特性,使之不但是获得更多带宽的更好途径,而且还使 *** 更易管理。
而路由器是OSI协议模型的 *** 层中的分组交换设备(或 *** 层中继设备),路由器的基本功能是把数据(IP报文)传送到正确的 *** ,包括:
1.IP数据报的转发,包括数据报的寻径和传送;
2.子网隔离,抑制广播风暴;
3.维护路由表,并与其他路由器交换路由信息,这是IP报文转发的基础。
4.IP数据报的差错处理及简单的拥塞控制;
5.实现对IP数据报的过滤和记帐。
对于不同地规模的 *** ,路由器的作用的侧重点有所不同。
在主干网上,路由器的主要作用是路由选择。主干网上的路由器,必须知道到达所有下层 *** 的路径。这需要维护庞大的路由表,并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。
在地区网中,路由器的主要作用是 *** 连接和路由选择,即连接下层各个基层 *** 单位--园区网,同时负责下层 *** 之间的数据转发。
在园区网内部,路由器的主要作用是分隔子网。早期的互连网基层单位是局域网(LAN),其中所有主机处于同一逻辑 *** 中。随着 *** 规模的不断扩大,局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中,处个子网在逻辑上独立,而路由器就是唯一能够分隔它们的设备,它负责子网间的报文转发和广播隔离,在边界上的路由器则负责与上层 *** 的连接
后两个没找到,你想想办法吧
wep安全机制中,黑客可以破解一次性密钥吗?
是有可能破解的。
现在 *** 世界里没有黑客完全不能钻的墙。
但是破解的可能就看你秘钥的更换速度,如果快的话,黑客还没破解就换了,对于他们会是一种挑战,但是不是没可能。