Internet技术与应用论文

Internet技术与应用论文

课题:《网络安全防护之密钥管理》

姓名:

专业:

班级:

学号:

指导老师:

2009年5月

目录

一．网络安全隐患 (2)

二．密钥安全设置和管理 (2)

2.1.1密码的设置 (2)

2.1.2密码的管理以及密码的安全防护 (2)

2.2.1密钥的安全加密 (5)

三．密钥管理总结 (6)

四．参考文献 (7)

一．网络安全隐患

随着21世纪的来临，我们渐渐的走人了一个高信息化的时代。互联网现在作为一个世界范围的通信网络，改善了我们日常生活的方方面面。我们可以在网络上进行购物，浏览最新的信息，更方便的是我们可以使用电子邮件、MSN等把世界各个角落的人联系在一起，不过随着这个发展也形成了一种现象－－就是对网络的依赖性。

互联网作为一个大型的开放论坛，在我们生活使用中已经出现了许许多多的安全问题，比如说网络病毒、特洛伊木马等等。而互联网必须要有机密性、完整性和可信性。比方说我们在进行网络通信的时候需要存在机密性；在我们进行网络购物时要必须确认其真实性；当我们将交易请求发给网上银行时，又要确认信息的完整性。而这些要求我们可以使用网络安全工具，那就是密码学。虽然大家对这门技术都是嗤之以鼻，认为这不是那么的重要，试想一下，如果你的qq被盗，你的所有的机密文件都会被黑客所使用。这对我们大学生来说是不是很重要，但是对企业来说，一个资料也许就是几百万甚至几千万的业务。所以说密钥的安全现在我们要时刻警惕了。

密钥安全现在分为两种，一种是密钥的管理和密码的管理。这两种是不同的，一个是针对网络传输账号比如邮箱,msn等的账号密码管理，另一种就是在我们传输文件时，对文件加密的密钥管理。

二．密钥安全设置和管理

2.1.1密码的设置

现在网络上密码设置的问题很多，大多数人喜欢使用自己的生日，QQ号，学号等数字作为自己的密码，这我认为是十分的危险的，在网络上我们所有的信息都是公开的，因此像以上的设置方法，都是非常的不安全的。那么如何科学的设置密码呢？

首先我们必须明白纯数字密码是最不安全的，虽然在生活中我们所用的ATM机等等都是使用以上的方法，但是在现实生活中存在监控装置来确保我们的安全，但是在网络上不可能会存在这种保护方法，所以说我们必须避开这种潜在威胁比较大的设置。其次就是在我们设置字符和数字密码时，必须考虑设置长度的问题，现在QQ的密码设置上都会提示密码的长度设置，为什么呢？因为当我们的密码设置的长度足够长时，我们的安全性能也就会逐渐增大。据统计当密码的长度达到16位时，破译者就会画上将近60年的时间才可能会破解成功。

现在最主流的密码设置就是使用字母和数字的搭配，配合一些大小写字母就可以是一个密码的安全系数增大。

2.1.2密码的管理以及密码的安全防护

1.使用软键盘

在5月11日发布中度风险病毒警报，“蒙面客”病毒WORM_WURMARK.J这个是一个

可以常驻内存的蠕虫，利用电子邮件进行传播。用户感染了该病毒后的典型症状就是不断地向外发送病毒邮件，更糟糕的是这个病毒具有击键记录功能，导致泄漏用户的隐私。大家一直觉得离自己还比较远的间谍软件这这回不再是“狼来了”，而是真的偷偷潜入你的电脑窃取击键记录，从而破解你的密码信息！“蒙面客”目前正在法国、印度，新加坡和中国台湾地区传播中。当我们在输入密码的时候，是不是也在常常担心黑客在此时记录击键的顺序，现如今比较普遍的方法就是通过软键盘输入。所谓的软件盘并不是再键盘上的，而是在“屏幕”上，软键盘是通过软件模拟键盘通过鼠标点击输入字符，是为了防止木马记录键盘输入的密码，一般在一些银行的网站上要求输入帐号和密码的地方容易看到.硬键盘就是物理键盘，你平时敲的那种，软键盘是用软件来模拟的键盘，象WINDOWS自带的软键盘，在屏幕上弹出一个键盘模样的截面，可以用鼠标来点按上面的按键来输入。当我们在输入密码时，先打开软键盘，然后用鼠标选择相应的字母输入，这样就可以避免木马记录击键，另外，为了更进一步保护密码，我们还可以打乱输入密码的顺序，这样就进一步增加了黑客破解密码的难度。

2.使用动态密码（一次性密码）

动态密码（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断变化，每个秘密只使用一次。

动态密码机制，也是公知的最为安全的手段。动态密码(Dynamic Password)也称一次性密码(0ne-time Password)。动态密码是变动的密码，其变动来源于产生密码的运算因子是变化的。动态密码的产生因子一般都采用双运算因子(Two Factor)：其一，为用户的私有密码。它代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态密码。采用不同的变动因子，形成了不同的动态密码认证技术：基于时间同步(Time Synchronous)认证技术、基于事件同步(Event Synchronous)认证技术和挑战／应答方式的非同步(Challenge／Response Asynchronous)认证技术。

其中动态密码的分发方法中，常见的有：口令牌，手机软件令牌，短信发送，密码卡等。这些方法的最大问题是成本问题和操作问题，这些问题直接导致在普及过程中出现了很多的障碍。由于这些障碍，很多没有使用双因素验证的个人或企业正在或将会蒙受严重的损失。除此之外，也存在着短信发送延迟、手机软件令牌存在兼容性、密码卡易丢失易损坏等问题。动态密码的应用范围广泛，包括网上银行、游戏、ATM、企业网络管理系统等一切同身份认证相关的应用。特别是随着木马攻击模式的转换，动态密码是目前最安全的解决手段比且动态密码对于截屏破解非常有效，因为即使截屏破解了密码，也仅仅破解了一个密码，下一次登录不会使用这个密码。如今的大多数动态密码卡都是刮纸片的那种原始的密码卡，而不是真正意义上的一次性动态密码，其安全性还是难以保证。真正的动态密码锁采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏。其中数字键用于输入用户PIN码，显示屏用于显示一次性密码。每次输入正确的PIN码，都可以得到一个当前可用的一次性动态密码。由于每次使用的密码必须由动态令牌来产生，而用户每次使用的密码都不相同，因此黑客很难计算出下一次出现的动态密码。由于这种的动态密码的成本会很高，不过安全性确是最高的。一般在我们使用网上银行支付的时候都常常会使用这种机制，这也大大提高了网上交易的安全性，加快了网上市场的使用速度。

3.网络钓鱼的防范

网络钓鱼（Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击）是指通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID 、ATM PIN 码或信用卡详细信息）的一种攻击方式。最