精华内容
下载资源
问答
  • 计算机视频信息泄漏中红信号鉴别研究 ... 摘要:根据相关检测法原理,提出计算机视频信息红信号泄漏的鉴别方法。...TEMPEST技术重要内容之一在于系统中红、黑信号的鉴别。而红信号泄漏
  • 鉴别和密钥分配主要内容鉴别协议 主要内容 鉴别协议 Needham-Schroeder双向鉴别协议 ...鉴别能正确识别信息发送方身份,且检测信息内容的任何修改。 对加密明文保密主要依赖于密钥保密: 密钥管理涉及...

    主要内容

    • 鉴别协议

      • Needham-Schroeder双向鉴别协议
      • 改进的Needham-Schroeder协议
      • 单向鉴别协议
    • 密钥分配协议

      • 对称密钥的分配
      • 公开密钥的分配
      • 使用公开加密算法分配对称密钥

    鉴别和密钥分配的作用:

    • 鉴别能正确识别信息发送方身份,且检测信息内容的任何修改。

    • 加密明文的保密主要依赖于密钥的保密

      • 密钥管理涉及密钥生成、分配、使用、存储、备份、恢复以及销毁
      • 如何分配已生成密钥是密码学领域的难点问题;

    7.1 鉴别协议

    鉴别:实体之间建立身份认证的过程,包括通信实体鉴别和通信内容鉴别。

    鉴别易受重放攻击:攻击者发送一个目的主机已接收的包,来达到欺骗目的主机目的。
    • 最坏情况下:冒充合法方;
    • 其他情况下:扰乱正常操作。

    对付重放攻击的现时(Nonce)
    鉴别消息中增加一项:现时(仅使用一次):

    • 随机数:不可猜测,性质最好,但不适合无连接应用。
    • 时间戳:需要时钟同步,协议必须能容错。
    • 序列号:每一方都要记住其它各方与其通信时的最后一个序列号,难以实现;还要求系统抗毁。
    • 生存期

    7.1.1 Needham-Schroeder双向鉴别协议

    双向鉴别:能够正确鉴别出通信对方的身份,同时可以交换会话密钥,用于保证信息的安全传输。

    Needham-Schroeder协议实现双向鉴别和密钥分配

    • 采用对称加密体制密钥分配中心KDC技术
    • 后来很多鉴别协议(如Kerberos)都基于N-S协议

    两层对称加密结构:需要使用一个可信任的密钥分配中心KDC
    在这里插入图片描述

    N-S协议的双向鉴别和密钥分配过程:

    在这里插入图片描述
    N-S 协议的实现过程:
    步骤2:A 安全获得新会话密钥 Ks,N1说明不是重放。
    步骤3:消息只能被 B 解密,A 证实对方是 B,解密后报文中的IDA使得 B 证实对方是 A。
    步骤4 说明 B 已知道 Ks,步骤5 使 B 确信 A 也知道 Ks,现时f(N2)使B确信这是一条新的消息。
    增加步骤4 和5 可防止攻击者截获步骤3 中的报文并直接重放。

    较难实现的重放攻击

    • 假设攻击者 X 已获得一个旧的会话密钥 Ks
    • X 假冒 A 重放步骤3 的消息诱使 B 使用旧的会话密钥进行通信。
    • 若 X 可截获步骤4 中的握手消息,就可模仿步骤5 中 A 的应答。
    • X 可发送伪造的消息给 B,而 B 以为这是 A 使用才分发的会话密钥加密发送过来的消息。

    7.1.2 改进的Needham-Schroeder协议

    Denning 对 N-S 协议进行改进,加入了一个时间戳
    在这里插入图片描述
    时间戳 T 使 A 和 B 确信该会话密钥 Ks 刚刚产生

    一个可抗重放的鉴别协议

    同时解决了重放攻击和 “禁止-重放攻击”
    在这里插入图片描述
    使 A 拥有一个可向 B 进行后续认证的 “证明书”
    在这里插入图片描述

    老师总结

    我们重点讲的是3。
    在这里插入图片描述

    7.1.3 单向鉴别协议

    一、使用对称加密算法

    修改N-S协议就能用于电子邮件的单向鉴别(不能要求发送方A和接收方B同时在线):
    在这里插入图片描述
    不能抗重放攻击,且加入时间戳的作用非常有限。

    二、使用公开加密算法

    1. 保证消息的机密性
      A → B : E(PUB, Ks) || E(Ks, M)
    2. 实现鉴别(数字签名)
      A → B : M || E(PRA, H(M)) (并不能真正实现)
    3. 同时实现鉴别和机密性
      A → B : E(PUB, [M || E(PRA, H(M))])
    4. 提高加密效率还需使用数字信封
      A → B : E(PUB, Ks) || E(Ks, [M || E(PRA, H(M))]) (PGP加密系统)

    7.2 密钥分配协议

    1. 加密算法公开且是国际标准,安全算法可依靠大量学术研究。

    2. 明文保密依赖于密钥保密,密钥保密更加困难。

    如何安全可靠、迅速高效地分配和管理密钥是密码学领域的重要研究课题。

    不同性质密钥的管理问题

    1. 要使对称加密有效进行,通信双方必须共享一个密钥,这个密钥还要防止被他人获得;
    2. 要使公开加密有效进行,通信各方必须发布其公开密钥,并防止其私钥被其他人获得。

    密钥还需经常更换,以便攻击者知道密钥的情况下使得泄漏的数据量最小。

    密钥分配的四种方法
    前两种方法不适用于大量连接的现代通信

    1. A 选定密钥,通过物理方法安全传递给 B。
    2. 可信任第三方 C 选定密钥,通过物理方法安全传递给 A 和 B。
    3. 若 A 和 B 都有到第三方 C 的加密连接,C 通过该连接将密钥传递给 A 和 B
      —— 密钥分配中心KDC,常用于对称密钥的分配。
    4. 若第三方 C 发布 A 和 B 的公钥,它们可用彼此的公钥来加密通信
      —— 认证中心CA,常用于公开密钥的分配。

    7.2.1 对称密钥的分配

    一、集中式密钥分配方案

    N-S协议存在的问题:

    • 通信量大,需要较好的鉴别功能以鉴别 KDC 和通信方。
    • 主密钥多,单个 KDC 易形成瓶颈,无法支持大型网络。

    解决方案:

    • 多个 KDC 之间存在层次关系。
    • 某个 KDC 既不会形成瓶颈,也不会单点失效。

    二、分散式密钥分配方案

    使用 KDC 进行密钥分配要求 KDC 是可信任的并且应该保护它免于被破坏。

    解决方案:

    1. 把单个 KDC 分散成几个 KDC 会降低这种风险。
    2. 更进一步把 KDC 分散到所有通信方,即通信方同时也是 KDC,自己保存同其他所有通信方的主密钥。

    在这里插入图片描述
    n 个通信方的网络要保存 [n(n一1)/2] 个主密钥。对于小型网络或大型网络的局部范围,该方案可行。
    在这里插入图片描述

    7.2.2 公开密钥的分配

    获取公开密钥的四种途径:

    1. 公开密钥的公开宣布
      PGP 用户可将自己公钥附加到消息上发送出去
      —— 公钥很容易被冒充。

    2. 公开可用目录
      由可信任组织维护一个公开目录,为每个参与者维护一个目录项{用户名,用户的公开密钥}
      —— 公钥很容易被冒充。

    3. 公开密钥管理机构
      CA 对通信双方进行认证,每个通信方都有 CA 公钥并通过 CA 获得其他任何通信方的公钥
      —— 每一用户想与他人联系需求助 CA,CA 易成瓶颈。

    4. 公开密钥证书
      CA 事先为用户颁发数字证书,用户通信时只需下载并验证对方证书得到对方公钥,无需再联系 CA。

    数字证书的概念

    • 作为可信第三方,CA需检验用户公钥的合法性。

    • CA为每个用户发放数字证书(经CA私钥签名的包含公钥拥有者信息及其公钥的遵循X.509标准的文件)。CA的签名使得攻击者不能伪造和篡改证书。

    • 数字证书的作用:证明证书中列出的用户合法地拥有对应的公钥。

    利用数字证书分配公开密钥 :在这里插入图片描述

    7.2.3 使用公开加密算法分配对称密钥

    在这里插入图片描述

    使用公开加密算法分配对称密钥的原理

    假定通信双方A和B已通过某种方法得到对方公钥
    在这里插入图片描述

    展开全文
  • 基于潜在语义分析BBS文档Bayes鉴别器,刘昌钰,唐常杰,对电子公告栏(BBS)文档进行鉴别已成为信息安全技术重要内容之一。本文融合了数据挖掘技术、数理统计技术和自然语言理解技术,
  • 计算机网络 鉴别

    2020-12-16 13:30:36
    使用加密就可达到报文鉴别的目的。但在网络的应用中,许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。 鉴别与授权不同 鉴别与授权 (authorization) 是不同的概念。 授权涉及到的问题是:所...

    鉴别

    • 在信息的安全领域中,对付被动攻击的重要措施是加密,而对付主动攻击中的篡改和伪造则要用鉴别 (authentication)。
    • 报文鉴别使得通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等)的真伪。
    • 使用加密就可达到报文鉴别的目的。但在网络的应用中,许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。

    鉴别与授权不同

    • 鉴别与授权 (authorization) 是不同的概念。
    • 授权涉及到的问题是:所进行的过程是否被允许(如是否可以对某文件进行读或写)。

    鉴别分类

    • 可再把鉴别细分为两种。
    • 报文鉴别:即鉴别所收到的报文的确是报文的发送者所发送的,而不是其他人伪造的或篡改的。这就包含了端点鉴别和报文完整性的鉴别。
    • 实体鉴别:仅仅鉴别发送报文的实体。实体可以是一个人,也可以是一个进程(客户或服务器)。这就是端点鉴别。

    报文鉴别

    • 许多报文并不需要加密,但却需要数字签名,以便让报文的接收者能够鉴别报文的真伪
    • 然而对很长的报文进行数字签名会使计算机增加很大的负担(需要进行很长时间的运算)。
    • 当我们传送不需要加密的报文时,应当使接收者能用很简单的方法鉴别报文的真伪。

    1. 密码散列函数

    • 数字签名就能够实现对报文的鉴别。
    • 但这种方法有一个很大的缺点:对较长的报文(这是很常见的)进行数字签名会使计算机增加非常大的负担,因为这需要较多的时间来进行运算。
    • 密码散列函数 (cryptographic hash function)是一种相对简单的对报文进行鉴别的方法。
    散列函数的两个特点
    1. 散列函数的输入长度可以很长,但其输出长度则是固定的,并且较短。散列函数的输出叫做散列值,或更简单些,称为散列
    2. 不同的散列值肯定对应于不同的输入,但不同的输入却可能得出相同的散列值。这就是说,散列函数的输入和输出并非一一对应,而是多对一的。
    密码散列函数的特点
    • 在密码学中使用的散列函数称为密码散列函数
    • 特点:单向性
    1. 要找到两个不同的报文,它们具有同样的密码散列函数输出,在计算上是不可行的。
    2. 也就是说,密码散列函数实际上是一种单向函数 (one-way function)。
      在这里插入图片描述

    2. 实用的密码散列函数 MD5 和 SHA-1

    • 通过许多学者的不断努力,已经设计出一些实用的密码散列函数(或称为散列算法),其中最出名的就是 MD5 和 SHA-1。
    • 报文摘要算法 MD5 公布于RFC 1321 (1991年),并获得了非常广泛的应用。
    • SHA-1比 MD5 更安全,但计算起来却比 MD5 要慢些。
    MD5 算法
    • MD5 是报文摘要 MD (Message Digest) 的第 5 个版本。报文摘要算法 MD5 公布于 RFC 1321 (1991 年),并获得了非常广泛的应用。

    • MD5 的设计者 Rivest 曾提出一个猜想,即根据给定的 MD5 报文摘要代码,要找出一个与原来报文有相同报文摘要的另一报文,其难度在计算上几乎是不可能的。

    • 基本思想
      用足够复杂的方法将报文的数据位充分“弄乱”,报文摘要代码中的每一位都与原来报文中的每一位有关。

    • 计算步骤:

    1. 附加:把任意长的报文按模 264 计算其余数(64位),追加在报文的后面(长度项)。

    2. 填充:在报文和长度项之间填充 1~512 位,使得填充后的总长度是 512 的整数倍。填充的首位是 1,后面都是 0。
      在这里插入图片描述

    3. 分组:把追加和填充后的报文分割为一个个 512 位的数据块,每个 512 位的报文数据再分成 4 个 128 位的数据块。

    4. 计算:将 4 个 128 位的数据块依次送到不同的散列函数进行 4 轮计算。每一轮又都按 32 位的小数据块进行复杂的运算。一直到最后计算出 MD5 报文摘要代码(128 位)。

    安全散列算法(SHA-1)
    • 安全散列算法 SHA (Secure Hash Algorithm)是由美国标准与技术协会 NIST 提出的一个散列算法系列。
    • SHA 比 MD5 更安全,但计算起来却比 MD5 要慢些。
    • 已制定 SHA-1、SHA-2、 SHA-3 等版本。
    • 基本思想:
    1. 要求输入码长小于 264 位,输出码长为 160 位。
    2. 将明文分成若干 512 位的定长块,每一块与当前的报文摘要值结合,产生报文摘要的下一个中间结果,直到处理完毕。
    3. 共扫描 5 遍,效率略低于 MD5,抗穷举性更高。

    3. 报文鉴别码 MAC

    • MD5 实现的报文鉴别可以防篡改,但不能防伪造,因而不能真正实现报文鉴别。

    • 例如:
      (1) 入侵者创建了一个伪造的报文 M,然后计算出其散列 H(M ),并把拼接有散列的扩展报文冒充 A 发送给 B。
      (2) B 收到扩展的报文 (M, H(M )) 后, 通过散列函数的运算,计算出收到的报文 MR 的散列 H(MR)。
      (3) 若 H(M ) = H(MR),则 B 就会误认为所收到的伪造报文就是 A 发送的。

    • 为防范上述攻击,可以对散列进行一次加密。

    • 散列加密后的结果叫做报文鉴别码 MAC (Message Authentication Code)。

    • 由于入侵者不掌握密钥 K,所以入侵者无法伪造 A 的报文鉴别码 MAC,因而无法伪造 A 发送的报文。这样就完成了对报文的鉴别。
      在这里插入图片描述

    • 现在整个的报文是不需要加密的。

    • 虽然从散列H导出报文鉴别码 MAC 需要加密算法,但由于散列 H 的长度通常都远远小于报文 X 的长度,因此这种加密不会消耗很多的计算资源。

    • 因此,使用鉴别码 MAC 就能够很方便地保护报文的完整性。

    实体鉴别

    • 实体鉴别与报文鉴别不同。
    • 报文鉴别是对每一个收到的报文都要鉴别报文的发送者。
    • 实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次

    最简单的实体鉴别过程

    • 可以使用共享的对称密钥实现实体鉴别。
    • A 发送给 B 的报文的被加密,使用的是对称密钥 KAB 。
    • B 收到此报文后,用共享对称密钥 KAB 进行解密,因而鉴别了实体 A 的身份。 因为该密钥只有 A 和 B 知道。
      在这里插入图片描述

    存在明显漏洞

    • 入侵者 C 可以从网络上截获 A 发给 B 的报文。
    • C 并不需要破译这个报文,而是直接把这个截获的、由A加密的报文发送给 B,使 B 误认为 C 就是 A。然后 B 就向伪装是 A 的 C 发送应发给 A 的报文。
    • 这种攻击被称为重放攻击 (replay attack)。C 甚至还可以截获 A 的 IP 地址,然后把 A 的 IP 地址冒充为自己的 IP 地址(这叫做 IP 欺骗),使 B 更加容易受骗。

    使用不重数进行鉴别

    不重数 (nonce) 就是一个不重复使用的大随机数,即“一次一数”。由于不重数不能重复使用,所以 C 在进行重放攻击时无法重复使用所截获的不重数。
    在这里插入图片描述

    使用公钥体制进行不重数鉴别

    在这里插入图片描述

    • 在使用公钥密码体制时,可以对不重数进行签名鉴别。
    • B 用其私钥对不重数 RA 进行签名后发回给 A。A 用 B 的公钥核实签名。如能得出自己原来发送的不重数 RA,就核实了和自己通信的对方的确是 B。
    • 同样,A 也用自己的私钥对不重数 RB 进行签名后发送给 B。B 用 A 的公钥核实签名,鉴别了 A 的身份。
    • 公钥密码体制虽然不必在互相通信的用户之间秘密地分配共享密钥,但仍有受到攻击的可能

    实例:

    • C 冒充是 A,发送报文给 B,说:“我是 A”。
    • B 选择一个不重数 RB,发送给 A,但被 C 截获了。
    • C 用自己的私钥 SKC 冒充是A的私钥,对 RB 加密,并发送给 B。
    • B 向 A 发送报文,要求对方把解密用的公钥发送过来,但这报文也被 C 截获了。
    • C 把自己的公钥 PKC 冒充是 A 的公钥发送给 B。
    • B 用收到的公钥 PKC 对收到的加密的 RB 进行解密,其结果当然正确。于是 B 相信通信的对方是 A,接着就向 A 发送许多敏感数据,但都被 C 截获了。

    中间人攻击

    在这里插入图片描述

    • A 向 B 发送“我是 A”的报文,并给出了自己的身份。此报文被 “中间人” C 截获,C 把此报文原封不动地转发给 B。B 选择一个不重数 RB 发送给 A,但同样被 C 截获后也照样转发给 A。
    • 中间人 C 用自己的私钥 SKC 对 RB 加密后发回给 B,使 B 误以为是 A 发来的。A 收到 RB 后也用自己的私钥 SKA 对 RB 加密后发回给 B,中途被 C 截获并丢弃。B 向 A 索取其公钥,此报文被 C 截获后转发给 A。
    • C 把自己的公钥 PKC 冒充是 A 的发送给 B,而 C 也截获到 A 发送给 B 的公钥 PKA 。
    • B 用收到的公钥 PKC (以为是 A 的)对数据加密发送给 A。C 截获后用自己的私钥 SKC 解密,复制一份留下,再用 A 的公钥 PKA 对数据加密后发送给 A。
    • A 收到数据后,用自己的私钥 SKA 解密,以为和 B 进行了保密通信。其实,B 发送给 A 的加密数据已被中间人 C 截获并解密了一份。但 A 和 B 却都不知道。

    由此可见,公钥的分配以及认证公钥的真实性也是一个非常重要的问题。

    展开全文
  • 2、HTTP头部X_Forward_For:启用了HTTP代理IP能能按照此法来鉴别是否代理,假如含带XFF信息,表明该IP是代理IP无疑; 3、Keep-alive报文:如果带有Proxy-ConnectionKeep-alive报文,号位疑问该IP是代理IP; 4...

    在这里插入图片描述

    1、反向探测新技术:扫描IP是否启用了80,8080等代理服务器常常启用的端口,毫无疑问,一个普通级的客户IP不太可能启用如上的端口;

    2、HTTP头部的X_Forward_For:启用了HTTP代理的IP能能按照此法来鉴别是否代理,假如含带XFF信息,表明该IP是代理IP无疑;

    3、Keep-alive报文:如果带有Proxy-Connection的Keep-alive报文,号位疑问该IP是代理IP;

    4、查看IP上端口:假如1个IP中有的端口超过10000,那麼该IP大多数也存在不足。

    文章部分内容源于网络,联系侵删*

    展开全文
  • 一、说明本篇文章主要说一说windows系统中身份鉴别控制点中相关测评项相关内容和理解,a、b测评项都比较基础和简单(但很繁琐),而c、d测评项则涉及到一点点密码方面知识。二、测评项a)应对登录用户进行身份...

    一、说明

    本篇文章主要说一说windows系统中身份鉴别控制点中相关测评项的相关内容和理解,a、b测评项都比较基础和简单(但很繁琐),而c、d测评项则涉及到一点点密码方面的知识。

    二、测评项

    a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

    b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

    c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

    d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

    三、测评项a

    a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

    3.1. 测评项a要求1

    应对登录的用户进行身份标识和鉴别

    身份标识功能(用户名)就不用说了,属于windows自带功能。而对用户进行鉴别也就是登录时需要你输入用户名、口令的行为,不是强制开启的,可以在某种程度上取消掉。

    针对本地登录,使用Win+R组合键打开运行框,在里面内输入netplwiz,则会出现用户账户页面,如下所示:

    9f65cf9e421bc615e4027a9a26f3d0c3.png

    当我们在本机用户列表中,选择其中某一个用户,比如Administrator后,再去掉“要使用本计算机,用户必须输入用户名和密码“选项的选择后。则表示,下次开机登录时,将会跳过对用户进行鉴别的过程,直接以我们所选择的用户Administrator的身份登入电脑。

    但有一点,并不是所有情况下对用户进行鉴别的过程都被跳过了,如切换账号、睡眠、锁定、注销这几种情况后重新登录的,仍然要输入用户口令。所以这里的选项仅仅能跳过开机时对用户的身份鉴别过程(至少我知道的是这样)。

    另外,如果某用户是空口令,那么自然也没法达到该要求,这就不用多说了。

    针对“远程登录”(比如远程桌面或其他第三方远程管理软件),则一般是要看对方是否勾选了“记住密码”此类选项。

    3.2. 测评项a要求2

    身份标识具有唯一性

    即用户名或用户ID不能重复,这个不用多说,windows自动实现,默认符合。

    3.3. 测评项a要求3

    身份鉴别信息具有复杂度要求

    这个要从两个方面看,我个人觉得两个方面都符合才能算达到要求。

    第一个方面即实际的口令是否具有一定的复杂度,也即口令至少8位,且包含大写字母、小写字母、数字、特殊字符这四类字符种的三种,且口令不包含简单排列规律,如admin!@#123此类弱口令。

    第二个方面即windows是否进行了口令复杂度策略的设置,强制要求口令具有一定的复杂度,也即在windows的密码策略中进行了设置:c4c9d8aef502b1f5ffe197b33214c800.png

    我们主要关心的是“密码必须符合复杂性要求”、“密码长度最小值”、“强制密码历史”这三个选项。

    “密码必须符合复杂性要求”,其具体内容如下:

    1e9be8d0652ffa1db94141fae7b558e0.png

    从上图可以看出,启用了这个选项,口令就快要达到要求了(口令长度要求未达标)。

    至于“密码长度最小值”,就不用多说了,设置为8或者8以上即可符合口令长度要求。

    而“强制密码历史”这个选项,其数值代表windows会记忆n(0

    3.4. 测评项a要求4

    要求并定期更换

    和口令复杂度一样,一个方面是看实际的口令更换周期。

    这里可以通过访谈相关人员或者直接核查配置,我推荐第二种方法。对于简单的、不复杂的问题还是自己查配置较好,你去访谈相关人员,对方基本也不会有什么证据,或者压根就不清楚,这种情况下,访谈的结果可靠性很难有保证。

    当然,访谈、核查都用也是可以的,对于口令更换周期,在cmd中使用如下命令即可得知上一次口令更换时间:ad368dae34166bea2a5a5189a20e999d.png也就是上图中的“上次设置密码”的值,一般90天内有过更换即可。

    另一方面就是查看windows的密码策略:c4c9d8aef502b1f5ffe197b33214c800.png

    即上图的“密码最长使用期限”,一般设置值小于等于90天即可。

    至于“密码最短使用期限”,指的是多少天内不能更改密码,与测评要求基本没啥关系,不用管。

    不过对于口令更换策略而言,还有个地方需要先去看看,也就是在计算机管理-本地用户和组-用户中:d742a388014d14c4bd620998d3f02c97.png

    右键点击某用户,在弹出的右键菜单中点击属性:f2f4f518718cad91ae307623e39232e6.png

    如果这里勾选了“密码永不过期”,那么windows的密码策略中的“密码最长使用期限”也就失效了。

    这里也可以通过cmd中输入命令的方式查看:f2e559c21ba101c8caed80257d9daa14.png

    “密码到期”为“永不”,要么就是windows的密码策略中的“密码最长使用期限”为0,要么就是在这个用户的属性中勾选了“密码永不过期”,总而言之,就是不符合要求。

    如果设置了“密码最长使用期限”,且该用户未勾选“密码永不过期”,则“密码到期”就是一个具体的日期,也就是“上次设置密码”的值加上“密码最长使用期限”的值,得出来的一个时间。

    3.5. 测评项a的另外一种情况

    一般情况下,运维人员要么是通过远程桌面登录windows服务器,要么就是在本地登录,这两种使用的都是windows自带的验证功能,所以测评项中的“用户名、口令”指的就是windows系统中的“用户名、口令”。

    如果运维人员通过第三方软件远程管理windows服务器,比如向日葵、TeamViewer等,并没有使用windows的验证功能,这种情况下,测评项中的“用户名、口令”可能就不仅仅是指windows服务器中的“用户名、口令”了,或许对第三方软件的“用户名、口令”也需要有一定的要求。

    四、测评项b

    b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

    4.1. 测评项b要求1

    应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数(等相关措施)

    这个要求比较好理解,即连续登录达到N次的时候,将登录账户锁定,在windows的账户锁定策略中进行设置:ce893f3e26df35ddafcf78f007b01248.png

    一般账户锁定阈值设置小于等于5,锁定时间和重置时间大于等于30分钟即可符合要求。

    注意,这个地方只针对本地登录或者使用远程桌面进行登录的情况,如果对方使用第三方软件进行远程登录,那就要那个软件上查看相关配置。

    4.2. 测评项b要求2

    当登录连接超时自动退出

    一般设置时间限制小于等于30分钟即可。

    4.2.1. 本地登录

    对于本地登录,可以通过查看“屏幕保护程序”:c979e6c0c78dd1b7b63972977e03f2a2.png

    这里选择了“在恢复时显示登录屏幕”,再设置“等待”时间,即可实现超过时间限制自动退出的功能(不过这里是锁定退出,类似的还有睡眠、注销退出)。

    注意,这里选不选择“屏幕保护程序”都不影响自动退出功能,“屏幕保护程序”设置为无的话,也只是锁定后显示屏上不会运行相关动画而已。

    也可以查看“更改电源设置”,比如a18ed500aa8450b1ff14b0bec6dd4d81.png

    也就是上面的多少时间后进入睡眠状态,进入睡眠状态后激活是需要输入用户名、口令的。

    不过一般应该没人在服务器上设置这东西吧?进入睡眠模式后服务器里的进程什么的应该会停止运行的。

    所以一般的,本地登录超时,仅查看“屏幕保护程序”就可以了。

    注意,如果在“屏幕保护程序”处设置了超时,那么对于远程登录而言(无论使用远程桌面还是其他远程管理软件),应该也会具备效果。

    即,你在设置了“屏幕保护程序”后(如15分钟),当你通过远程桌面登录到服务器时,在你没有设置远程登录超时的情况下,超过15分钟没有动作,服务器就会开始运行“屏幕保护程序”了,也就是超时退出了(虽然你的网络连接并没有断开)。

    4.2.2. 远程登录

    对于“远程登录”,如果用的是windows自带的远程桌面,有4个地方可以进行超时设置(我也没搞明白windows弄这么复杂干嘛):

    一、计算机配置—管理模板—window组件—远程桌面服务—远程桌面会话主机—会话时间限制

    二、用户配置—管理模板—window组件—远程桌面服务—远程桌面会话主机—会话时间限制

    这两个设置项基本一样,区别在于一个在计算机配置里,一个在用户配置中,设置项如下:3e329e907abf7d9946262da2ed9d88bb.png

    三、运行tsconfig.msc,右键RDP-TCP的属性18ab2f1c2737033d06144dae98692eee.png

    四、运行compmgmt.msc,或运行servermanager.msc,打来计算机管理或服务器管理,在用户的用户属性中,会话选项卡:f4338c1190812f5747aaee706245c333.png

    先来解释下和要求相关的两个选项:

    活动会话限制(在安全策略中叫设置活动的远程桌面服务会话的时间限制):即,远程登录成功后,无论你是否操作,达到限定时间后就会断开连接。

    空闲会话限制(在安全策略中叫设置活动但空闲的远程桌面服务会话的时间限制):即,远程登录成功后,如果你不进行操作的时间达到限定值,即断开连接。

    至于“结束已断开的会话”、“达到会话限制,或者连接被中断时”这两个项,和测评项无关,具体含义大家百度下就知道了。

    一共有四个地方可以设置,其优先级和适用范围如下:

    优先级方面,方法一>方法二>方法三>方法四

    适用范围方面,方法一、方法三针对所有用户,方法二、方法四针对单个用户

    优先级方面的证据如下:18008a14ac0157e61d2cc4544a74c369.png9d90f65a512cff45aad5564ed6d49af4.png

    对于“活动会话限制”、“空闲会话限制”这两个配置项,在计算机配置和用户配置中,未配置和禁用是一回事,即对这两个配置项没有进行任何设置,即不会覆盖方法三、方法四中的设置。

    如果在计算机配置中对“活动会话限制”或“空闲会话限制”启用了,进行配置,则方法三处无法进行配置,直接显示计算机配置中的值:43b9d2432d79d08694542bbe4d13cf7c.png但是这里要注意,如果这里不能进行配置,不代表就一定是在计算机配置中进行了设置,可能有其它原因。

    不过在用户配置(方法二)中对“活动会话限制”或“空闲会话限制”启用并进行设置后,虽然仍然会覆盖方法三的设置,却不会造成方法三处无法进行配置(因为方法二是对单个用户,方法三是全局配置)。

    虽然有这么多地方可以设置,实际测评的时候咱们要追求大概率事件,如果对方做了设置,一般主要是通过方法三,其次是通过方法一,应该没有人闲得蛋疼通过方法二、四单独对某个用户设置超时配置。

    所以实际测评时,我们通过方法三去查看配置就可以了,至于方法一,主要用在windows2012上,因为windows2012我找不到“远程桌面会话主机配置”(方法三),那就只有去组策略里查看配置了。

    除了使用远程桌面,被测评方完全可能使用第三方远程管理软件,如TeamViewer,这个时候要判断是否设置了超时,只有去第三方软件上面找了(不过TeamViewer好像没这个设置功能)。

    五. 测评项c

    c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听

    该测评项比较容易理解,进行远程管理时,要保证数据的保密性。

    所以如果被测评服务器没有连接外部网络,仅处于内网之中(也没有wifi),管理服务器的方式就是跑去机房进行本地操作的话,也就不存在什么“远程管理”,不存在什么“数据保密性”,自然就符合了。

    如果采用远程管理的方式,则分为使用远程桌面还是第三方软件。

    5.1. 远程桌面

    对于使用远程桌面进行管理的,与测评项相关的安全性,有两个地方可以设置:

    一、计算机配置—管理模板—window组件—远程桌面服务—远程桌面会话主机—安全

    36cb49ec60c472f4fcd7340c8a1056f6.png

    二、运行tsconfig.msc,打开远程桌面会话主机配置,右键RDP-TCP的属性

    4575b1006c1873cdca035fd0739370d1.png

    首先说一下,方法一的优先级高于方法二:

    4ab32cbd9068d4b46c18a93325f3be56.png

    方法一的优先级高于方法二,在组策略中,对于安全层和加密级别,如果未配置或者选择禁用,则代表没做任何设置,也不会覆盖“远程桌面会话主机配置”中的设置。

    如果进行了配置,则“远程桌面会话主机配置”中无法进行设置,直接显示组策略中的值:

    1c028d50b42413111d031c8f4d8dcd82.png然后说说安全层中的可选项,有三个,如下图所示:

    63d8a45c959dbafe11699aaa5c950d69.png

    看上去都不难理解,选择SSL即会使用SSL协议进行加密;选择协商的话则看客户端是否支持SSL,不支持就使用RDP协议;选择RDP安全层,则使用本机RDP加密。

    不过仅仅看这些,还是不好判断选择哪个选项才符合应采取必要措施防止鉴别信息在网络传输过程中被窃听的要求。

    选SSL,毫无疑问是符合的,那么就在于RDP加密是否足够安全呢?

    答案是否定的,因为RDP协议的连接和协商过程中,客户端没有认证服务器端,这就使得基于ARP欺骗的中间人攻击成为可能,所以存在风险(但是要注意,RDP本身还是用了密码技术进行加密了的,比telnet还是要好很多)。

    具体关于RDP协议的内容这里就不说了,大家有兴趣的话可以看看这篇文章:https://www.doc88.com/p-1834979646606.html

    所以这里要选择SSL才能符合要求,其余两个选项均不符合。

    而加密级别有四个选项,如下图所示:

    268f3956db36130ec58aacc29ef4bc18.png这个就不用多说了吧?从上到下,加密级别越来越低,我个人感觉选择高和高以上,就算符合要求了。

    5.2. 第三方软件

    第三方软件就很多了,这里就举一个常用的软件——TeamViewer

    如果使用TeamViewer 能不能符合要求呢?也即TeamViewer 会不会采取技术措施对传输的信息加密呢?

    从官网的介绍来看是比较安全的(https://www.teamviewer.cn/cn/trust-center/security/):

    6459596b8bc03f4ed76e113273b17442.png4e38c027af1151efce1b645f467f18e0.png0b1e40b1c90bc81ffe19c53d8d9b990e.png

    至于去年10月的”TeamViewer被入侵事件”,嗯,可以看看这个:https://www.zhihu.com/question/350281191

    反正我个人觉得是符合测评项要求的。

    5.3. 查看是否关闭了telnet功能

    如果可以与外部网络连通,就要查看是否关闭telnet功能,因为telnet是明文传输,一旦开启了telnet功能,无论运维人员是否使用,都算不符合要求。

    比较方便的判断方法就是直接查看服务器是否监听了23端口:

    9be80e7e1758989e1ccf5e1a308966cf.png

    上图是没监听23端口,如果监听了,结果会是下面这样:

    5e14049e02b1d17b920ec96c244fc57b.png

    不过,从理论上来说,这种方法并不是完完全全的准确,因为telnet的端口可以修改,我把端口改成24,如下图所示:

    df0ceee4d2db47b1d428b2d24755f24c.png

    所以,另外一种方法就是去服务处看看有没有”telnet服务”,没有的话说明没有添加这个功能,有的话看看是否禁用了:

    c2124e7c24a3b64322fb7499304015d6.png

    当然,也可以直接去查看是否添加了这个功能:

    4d0bc61dc968a2ce2cc63b0190e08d91.png

    一般情况下没有人会那么闲,跑去修改telnet的默认端口的,所以直接查看23端口是否被监听就可以了。

    六. 测评项d

    d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

    这里我在等保测评:CentOS登录失败参数详解和双因素认证这篇文章中也说到过,这里换个角度说一说基础的知识。

    6.1. 身份认证三要素

    (只有)你所知道的信息:比如大家常用的“用户名、口令”,你提交了只有你知道的信息,对方就可以认为提交了这个信息的人即为你,即身份认证通过;

    (只有)你所拥有的信息或物品:如数字证书、密钥盘、加密狗等,你通过向对方出示了此类物品或信息来进行身份验证(当然具体出示的方法根据具体情况来,比如加密狗,就是插入到USB接口当中进行认证)。

    你的特征:指纹、DNA等等。

    所以,测评项中的两种组合的鉴别技术,就是使用三个要素里至少两个不同的要素,比如“用户名、口令”+“数字证书”。

    所以如果只是重复的使用其中一种要素,比如登录时需要输入两次不同的“用户名、口令”,那就不叫双因素认证,而叫两步验证。

    6.2. 密码技术

    什么是密码技术?密码技术的运用有很多,比如数字签名、消息认证码等等,比较复杂,当然,其中最基本的元素应该是加密算法(对称加密、非对称加密)以及单向散列算法。

    我们通常使用的“密码”,并不一定都采用了密码技术,实际上应该叫“口令”而非“密码”。

    我们通过提供口令,通过了身份验证,获得了想要的数据,但是数据本身其实没有啥变化,它的特点是一旦绕过验证,就可以直接获得数据。

    而如果是密码,比如加密算法将某数据进行了加密,我们想要获得原来的数据,就要提供密钥将数据还原,这里不存在什么绕过验证不逃过验证的,无法提供正确的密钥将数据还原的话,得到的就是一堆无意义的数据,也无法用它来做任何事(比如WINRAR密码)。(当然,密码技术在身份认证方面远不只这一种用法)

    密码和口令的区别可以看一看这篇文章:https://zhidao.baidu.com/question/1307371591774361699.html

    6.3. 算不算使用了密码技术

    所以使用“密码”进行登录,不代表一定就使用了“密码技术”。

    当然,这年头,纯粹的口令验证应该是不存在的,无论是windows还是linux,你的账户口令肯定都是加过密的,比如linux,存的其实是使用单向散列算法(如md5)对你的口令进行计算得出来的杂凑值。

    验证的时候,也是计算出你输入的口令的杂凑值,与存在文件里的口令的杂凑值进行对比。

    那windows、linux自带的登录方式,是否算是运用了“密码技术”呢?

    个人感觉,基本不算密码技术

    因为它虽然用到了单向散列算法,但是还是属于比较简单的对比方法,运用密码技术的方式过于基础,所以基本不能算做使用了密码技术,比如稍微好一些的运用方法可以是这样(加密狗):

    bc77a5922dd8ab0ee0877a18306dbc79.png

    而且在测评项里明显的写着:应采用口令、密码技术、生物技术

    这里直接就将口令验证和密码技术分开了,其实这三个鉴别技术也就是身份认证三要素,口令明显是属于第一要素的,密码技术是第二要素(或者说第二要素的方法基本都使用了密码技术)。

    另外,对于”随机值验证”这种鉴别技术,是应用了密码技术还是没应用,要看具体实现。

    比如“短信验证”,如果仅仅是服务器端生成一个随机短信,然后存着,同时发给客户端,再用来和客户端提交的值对比,那么就和密码技术基本没啥关系,属于口令。

    而如果是银行k宝之类的东西,在你进行较大金额的银行转账过程中,需要你在K宝中输入转账金额,然后会给你生成一个“随机值”,这个肯定不是纯粹的“随机值”的对比,而是属于密码技术范畴。(具体验证过程可以百度)

    6.4. windows双因素

    扯了这么多,再说说windows双因素有哪些实现的方法呢?

    好吧,其实我也没实际遇到过,只知道存在这个东西:

    aefea443b187b02e9753bc22bfdfc84d.png

    实际测评过程中,我还没遇到过真的实现了windows双因素认证的,linux的倒是遇到过,就是ssh的“公钥和私钥的验证方式”(这种验证方式也是要输入用户名以及密钥的口令的,所以我觉得是双因素)。

    所以实际测评的时候,对于这一项,只要不让其成为高风险即可,比如用堡垒机等方式(具体看高风险判定指引里的内容)。

    七、身份鉴别控制点的总结

    7.1 a、b测评项

    虽然身份鉴别控制点的a、b测评项都很简单,特别是对于windows系统,具有图形化界面,测评的时候更容易进行判断。

    但a、b测评项都是那种具有多方面要求的测评项,虽然每个方面的要求都很简单,也还会有些繁琐。

    另外windows本身其实也挺复杂的,我们日常使用的功能只是其所有功能的一小部分而已,比如至少有4个地方可以设置远程登录超时(回字的四种写法?),所以这里就把我个人感觉可能和a、b测评项相关的地方都写了出来。

    实际测评的时候大可不必如此,大家知道哪些地方可能会涉及到,主要查那些地方即可,咱们要追求大概率事件,而不是追求完美。

    7.2 c、d测评项

    c、d测评项中,开始涉及到了密码方面的技术,当然也只是浅层次的涉及到而已,随便找几本密码技术的初级教程,看一看就足够应付了。

    但是,密码技术的运用就开始“脱离”windows系统本身,涉及到第三方的软硬件了。

    实际上等级保护测评中的某个方面的复杂度就在于此,很多测评项中的要求必须要通过第三方软硬件来实现,这就对等级保护测评师的能力提出来进一步的要求——你得知道哪些第三方软硬件能够满足某测评项。

    这对于之前没有相关工作经验(信息安全),直接从事等级保护测评工作的人来说,确实是一个难题(反正我觉得挺难)。

    如果死盯着基本要求、测评要求琢磨,局限性就太大了,个人技术的广度和深度也没法得到啥提高。

    所以无论是为了能更好的进行等级保护测评还是提升个人技术,跳出等级保护测评的“框架”还是很有必要的。

    *本文原创作者:起于凡而非于凡,本文属于FreeBUf原创奖励计划,未经许可禁止转载

    c6f13fad22a8ed38a821e12fa6d27eb8.gif

    精彩推荐

    c34c66f7ee6fb18b12215bb57aff824a.png

    ca765c819606f526e83c4ab9645d347e.pngd55f7b1777f1af301dbc6e73a1d1b54c.png

    57cd1a7271431aba573fa86255e9b1dc.png9b4714b2bcc77596ff37ad609f1d4af4.gif

    展开全文
  • 报文鉴别技术

    千次阅读 2009-09-28 09:59:00
    报文鉴别技术报文鉴别时防御网络主动攻击重要技术。在需要通过网络进行信息交换时,会遇到以下攻击:1.消息析取。2.通信量分析。3.伪装。4.内容篡改。5.序号篡改。6.计时篡改。7.抵赖。报文鉴别时证实收到报文...
  • 如果现在 Google 上搜深度学习,我们会发现深度学习关注度从...“内容识别”是又拍云“图像视觉”项目下第一个产品,是基于人工智能、大数据分析而研发新型信息安全解决方案,能实时处理多媒体内容(图片、视频
  • 一、说明本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a相关内容和理解。二、测评项aa)应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;三、测评项a...
  • 一、说明本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a相关内容和理解。二、测评项aa)应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;三、测评项a...
  • 一、前言本篇文章主要说一说SQLServer数据库中身份鉴别控制点中c、d测评项相关内容和理解。二、测评项c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、密码技术、生物技术...
  • 读入包含若干个单词文本数据,将所有内容转换为大写,统计每个单词与该单词出现次数。此外,还需要统计每个字符及其出现次数(不包括空格)。 Input 若干行单词,以空格作为分隔符,每行单词数量不定。 遇到一...
  • 网络安全法-身份鉴别

    2018-06-21 14:09:50
    网络安全法2017年6月1日网络安全法执行,与2018年1月1日全面执行,网络安全法现在有7章79条,内容十分丰富,归纳总结大概有六方面突出亮点。第一,网络安全法明确了网络空间主权原则。第二,明确了网络产品和...
  • 读入包含若干个单词文本数据,将所有内容转换为大写,统计每个单词与该单词出现次数。此外,还需要统计每个字符及其出现次数(不包括空格)。 Input 若干行单词,以空格作为分隔符,每行单词数量不定。 遇到...
  • 说明本篇文章主要说一下应用测评中身份鉴别控制点中b、c、d测评项的相关知识点和理解,以及高风险判定方面的内容。注:下文的应用系统不特别指都就默认为属于B/S架构。2. 测评项b)应具有登录失败处理功能,应配置并...
  • 今天要给大家带来主要是MyBatis延迟加载以及鉴别器相关方面知识以及内容。 延迟加载 延迟加载介绍 所谓延迟加载就是将数据加载时机推迟,其中比较典型应用就是推迟嵌套查询执行时机。 因为在mybatis中经常...
  • 1. 说明本篇文章主要说一下应用测评中身份鉴别控制点中b、c、d测评项的相关知识点和理解,以及高风险判定方面的内容。注:下文的应用系统不特别指都就默认为属于B/S架构。2. 测评项b)应具有登录失败处理功能,应配置...
  • HTML的中的内容总结

    2015-03-19 20:56:00
    标签主要用于为搜索引擎robots定义页面主题信息,它还可以用于定义用户浏览器上cookie、鉴别作者、设定页面格式、标注内容提要和关键字;同时,它还可以设置页面,使其根据定义时间间隔刷...
  • 作为新型社交互动平台,网络直播与传统视频网站不同,当用户上传内容后,传统视频网站会进行审核,符合标准后才可上传成功,而网络直播都是实时播出,如果有人在网上传播不良信息或者发布违规内容,即使被...
  • 这篇博文是为了分享一个标题党鉴别的实践[1]. 这是一个融合的网络结构, 有语义信息, 有文章各元素的数字特征. 准确率达到了0.99诶. 语义信息 title 和 正文的 embedding. 文章元素的数字特征 文章长度 主标题长度...
  • 成功实施ERP,必须重视培训,而培训绝不仅仅是单纯系统操作培训,从项目实施开始到后期,相应培训都是贯穿始终,分阶段、分内容、分人员、分管里层次地分别进行系统培训。培训还必须要有完整培训知识库...
  • HTML中meta信息

    2014-05-26 08:41:45
    META标签是HTML语言HEAD区一个辅助性标签,它位于HTML文档头部标记和标记之间,它提供用户不可见的信息。meta标签通常用来为搜索引擎robots定义页面主题,或者是定义用户浏览器上cookie;它可以用于鉴别作者,...
  • 管理信息系统一些概念

    千次阅读 2004-11-27 22:00:00
     【数据】是人们用来反映客观世界而记录下来的可以鉴别的物理符号,或者说数据是用各种可以鉴别的物理符号记录下来的客观事实。 【信息的属性】真实性,实效性,扩充性,替代性,压缩性,扩散性,价值性,目的性,...
  • CISP认证知识内容

    2019-09-05 10:55:19
    1、信息安全保障:介绍了信息安全概念、信息安全保障框架两块内容。主要包括信息安全概念、信息安全属性、信息安全视角、信息安全发展阶段、安全保障新领域,它是注册信息安全专业人员首先需要掌握基础知识。 2...

空空如也

空空如也

1 2 3 4 5 ... 16
收藏数 317
精华内容 126
关键字:

信息鉴别的内容