① 简述如何做好本单位普通密码使用管理工作
做好本单位普通密码的使用管理工作,需要专人使用、专人负责。
普通密码与特殊密码是不同性质的两种密码。
特殊密码只有经过授权的人才有权使用。
至于普通密码,则是在日常工作中为了确保工作的安全性而设置的密码。
这类密码的使用与管理,需要做到专人使用、专人管理。
具体说,就是谁使用、谁负责。
做到了这两点,就可以确保密码安全,做好密码管理工作了。
② 求一份网络管理与维护的实训报告
13
3、选择
[
连接到我的工作场所的网络
]
。
4、选择
[
虚拟专用网络连接
]
。
5、为这个
VPN
连接取一个名称,然后单击
[
下一步
]
按钮。
6、选择
[
不拨初始连接
]
。
7、输入希望访问的
VPN
服务器的主机名或
IP
地址,然后单击
[
下一步
]
按钮。如果输入
IP
地址,则应该输入
VPN
服务器连接
Internet
的网络接口的
IP
地址。
8、
可以设置是只有用户自己可以使用这个
VPN
连接,
还是让所用登录者都可以使用,
然后
单击
[
下一步
]
。
9、在出现“正在完成新建连接向导”画面是,单击
[
完成
]
按钮。也可以选择在桌面建立一
个该连接方式。
10、右键单击
[
网上邻居
]
并选择
[
属性
]
,右键单击这个
VPN
连接,然后选择
[
连接
]
。
11、
输入用了访问
VPN
服务器的用户账户与密码,
然后单击
[
连接
]
按钮。
当用户连接成功
后,就可以访问
VPN
服务器及其所连局域网中的资源。
实训
7
网络安全的监控与维护
实训目的
在企业网络中实施安全监控
实训环境
三台服务器级裸机,确保硬件满足安装
Windows
Server2003
最小需要,其
中一台安装双网卡;
一台客户机裸机,
确保硬件满足安装
WindowsXP
的最小
需求。
Windows
Server2003
标准安装光盘、
WindowsXP
安装光盘,
ISA
Server
中文企业版安装光盘。同时确保网络连接正常。
实训内容
在网络中安装并配置防火墙,在防火墙上启用监控功能。
配置防火墙客户端
,
确保内网可以访问外网。
在防火墙上监控网络连接及使用情况。
实训要求
1
.查看网络连接及资源使用情况;
2
.掌握防火墙的设置;
3
.完成项目设计报告。
项
目
设
计
报
告
设计方案
14
防火墙所在的服务器上要有双网卡,
分别用于连接外部网络
(
IP
为
172.168.1.3
)
和内
部网络
(
IP
为
192.168.1.1
)
,
防火墙软件使用
ISA Server
,
防火墙客户端使用
SecureNAT
客户端,通过在
ISA Server
中配置访问规则实现内网对外网的访问。
实施步骤
一、在
DNS
服务器上为
WEB
服务器添加域名解析,域名为
www.abc.com
对应的
IP
为
172.168.1.1
。
1
、在
PC
上安装
DNS
服务器,其方法为:“开始”
>
“设置”
>
“控制面板”
>
“添加或删除程序”
>
“添加或删除
Windows
组件”
>
选择
“网络服务”
>
单击
“详细信息”
按钮
>
选中“域名系统(
DNS
)”。然后,开始安装。
2
、打开
DNS
管理控制台,其方法为:单机“开始”
>
“管理工具”
>
“
DNS
”。
3
、创建
DNS
区域,其方法为:右键单击“正向查找区域”
>
“新建区域”
>
选择“主
要区域”
>
在“区域名称”中输入“
abc.com
”
>
两次单机【下一步】
>
单击【完成】。
4
、创建主机记录,其方法为:右键单击区域“
abc.com
”
>
“新建主机”
>
在“名称”
中输入“
www
”,在“
IP
地址”中输入“
172.168.1.1
”
>
单击【添加主机】。
二、在服务器上配置内外部网卡的信息,安装
ISA Server
防火墙软件。步骤如下:
1
、为了使用方便,将两台计算机的两个网卡名称分别命名为:
“
LAN
”和“
WAN
”。
2
、
设置这台计算机的两个网卡的
IP
地址,
假设企业内部网络的网络
IP
为:
192.168.1.0
,
子网掩码为:
255.255.255.0
。那么,可以把名称为“
LAN
”的网卡的
IP
地址设置为:
192.168.1.200
;此外,假设企业已经申请了一个公共
IP
地址,假设为:
131.107.1.200
(子
网掩码:
255.255.0.0
)
,
那么可以把名称为
“
WAN
”
的网卡的
IP
地址设置为:
131.107.1.200
。
3
、将防火墙软件
CD
放入光驱中,以便自动启动安装程序,或者直接执行
CD
内的
ISAAutorun.exe
程序。
15
4
、单击:“安装
ISA Server
防火墙软件”
5
、
在
“欢迎使用
Microsoft ISA Server
防火墙软件的安装向导”
中,
单击
【下一步】
。
6
、在“许可协议”画面中选择“我接受许可协议中的条款”,单击【下一步】。
7
、在“客服信息”画面中输入“用户名”、
“单位”和“产品序列号”后,单击【下
一步】
8
、在“安装类型”中,选择“典型,单击【下一步】。
9
、在“内部网络”画面中,需要添加内部网络的
IP
地址范围,由于
ISA Server
需要
知道哪些
IP
地址的范围是内部,即需要被保护的,所以,在这里必须指定内部网络的
IP
地址范围。请单击【添加】。
10
、添加内部网络的
IP
地址范围的方法有多种,在这里单击【添加适配器】,这样
就可以直接通过选中该计算机连接内部网络的网卡,
从而让系统自动把该网卡所连接的内
部网络地址范围添加进去。
11
、
在
“选择网络适配器”
画面中,
选中该计算机连接内部网络的网卡名称,
即
LAN
,
然后,单击【确定】。
12
、这时,就会显示出根据所选网络适配器而自动构建的网络的
IP
地址范围,单击
【确定】。
13
、单击【下一步】
14
、在“防火墙客户端连接”画面中,选择是否支持早期版本的防火墙客服端。
ISA
Server2000
之后的防火墙客服端支持数据加密,安全性更好。因此,如果在内部网络中不
存在早期版本的防火墙客服端,请不要选择“允许不加密的防火墙客服端连接”,而是直
接单击【下一步】。
16
15
、在随后的“服务警告”画面中,显示将要被重启和禁用的服务,单击【下一步】。
16
、在“可以安装程序了”画面中,单击【安装】。
17
、出现“安装向导完成”画面时,单击【完成】。
三、在内网的客户机上配置
SecureNAT
客户端,步骤如下:
1
、客户机
IP
为
192.168.1.10
,子网掩码
255.255.255.0
2
、将客户机网关设为内网网卡
IP
地址
192.168.1.1
3
、
DNS
服务器为
172.168.1.2
四、在
ISA Server
上创建访问规则,操作为“允许”,协议为“所有出站通讯”,访
问源为“内部”,访问目标为“外部”,用户集为“所有用户”。
1
、单击左窗格中的“防火墙策略”,然后单击任务窗格的“任务”选项卡,接着单
击“创建访问规则”。
2
、在“欢迎使用新建访问规则向导”画面中输入访问规则的名称,然后单击【下一
步】。
3
、在“规则操作”窗口中,选择“允许”,然后单击【下一步】。
4
、在“协议”窗口中,单击下拉式箭头,可以看到
3
个选项。如果选择“所有出站
通讯”
,
则意味着
ISA Server
将允许所有由内部网络到
Internet
的访问流量。
如果选择
“所
选的协议”,那么还需要单击【添加】按钮来添加协议,
ISA Server
将只允许被添加的协
议流量可以传出;显然,如果允许传出的协议数量较少时,建议选择此项。如果选择“除
选择以外的所有出站通讯”,那么还需要单击【添加】按钮来添加协议,不过
ISA Server
将禁止这些协议流量的传出而开放其他协议流量的传出;显然,如果禁止传出的协议数量
17
较少时,建议选择此项。
5
、单击【添加】按钮来添加协议,然后单击“通用协议”中选择“
PING
”,然后单
击【添加】按钮。如果还需要添加其他协议,则可以继续选择协议,然后单击【添加】按
钮,否则按【关闭】按钮。接着单击【下一步】。
6
、在“访问规则源”的画面中,选择发送方,请单击【添加】按钮。单击“网络”,
从中选择“内部”,然后单击【添加按钮】。如果还需要添加其他网络对象,可以再选择
网络对象,
继续单击
【添加】
按钮,
否则按
【关闭】
按钮。
接着,
在左图中单击
【下一步】。
7
在
“访问规则目标”
的画面中,
选择接收方,
请单击
【添加】
按钮。
单击
“网络”
,
从中选择“内部”,然后单击【添加按钮】。如果还需要添加其他网络对象,可以再选择
网络对象,
继续单击
【添加】
按钮,
否则按
【关闭】
按钮。
接着,
在左图中单击
【下一步】
。
8
、在“用户集”的画面中,可以选择特定的用户从而仅允许指定的用户账户可以访
问。默认时,已经选择了“所有用户”,这意味着:允许
S
额
cure NAT
客户端上的匿名
用户使用
PING
命令访问
Internet
。如果希望限定用户身份,请单击【添加】按钮,在右
图选择已有的用户集,或者在右图中单击“新建”从而新创建一个满足要求的用户集。接
着,在左图中单击【下一步】。
9
、在“正在完成新建访问规则向导”画面中,单击【完成】。
10
、在弹出的警告窗口中,单击【应用】按钮,使该访问规则生效。
③ 如何管理好自己的密码
1、记事本类工具
密码管理有很多种方式,最简单的一种就是将密码写到某个记事本文件里,然后可以通过类似Dropbox这样同步工具同步到多台电脑和移动设备上,同理也可以放到Evernote等云笔记本上,使用其自带的方法同步,这种密码管理方法最简单,也非常危险,因为密码是明文保存,一旦黑客入侵获取了这份密码文件,或者笔记本电脑丢失,用户都将失去所有的账号密码,风险很大。
2、word文档类工具
用word文档的好处是可以加密码,具有一定的安全性,也可以在首页自动生成目录,或用标签超链接的方式将各种账号密码分类目录放在第一页。每次编辑或查阅的时候直接用快捷键ctrl+鼠标左键快速达到目的页面。分类如可分为购物类网站、门户类网站、或者其他软件账号等,分别在相关页面填好账号密码。但是个人觉得这种方法操作起来比较麻烦,平常懒的时候干脆用记事本。
浏览器自带密码保存
Chrome浏览器和Firefox浏览器自身就支持保存密码的同步功能,可以保存登录过的用户名和密码,登录的时候只要选择就好了,不用重新输入。设置浏览器数据同步后,即使重装过系统后,还是可以还原回原先保存的密码,不用每次都要手动输入用户名和密码,使用起来非常方便,在易用性方面做的非常出色。
不过,Chrome和Firefox自带的密码管理器相对较为简单,如果黑客远程控制或入侵了用户电脑,就可以获得明文密码,很不安全。虽然Firefox可以设置“主密码”来防止查看明文密码,但设置“主密码”后,录入密码的易用性却大为降低。同时,对于同一个网站,浏览器只能记录一个用户名和密码。
因此,对于浏览器保存密码来说,密码保护的主要策略是防止用户电脑被入侵攻击。
在线密码管理服务
在线密码管理,就是将密码放在云端(服务器端),这就解决了本地电脑安全性问题,密码保护变成了针对密码服务器的保护。
最为着名的云端密码管理服务是LastPass,其支持Chrome、FireFox及IE等主流浏览器以及iPhone、Android和黑莓等移动设备,支持谷歌身份验证器(Google Authenticator),支持将浏览器中现有帐号及密码导入到LastPass数据库中。在登录时,Lastpass的浏览器插件会自动填写登录所需的信息并自动登录,支持针对同一个站点的不同用户名的登录,使用非常方便。
Lastpass在兼容性、易用性和安全性上都非常不错,并且提供免费版本,唯一的问题是Lastpass网站本身的安全性如何,做为一个云端在线密码管理服务,Lastpass将密码保存在网上,密码保护变成了针对Lastpass的密码保护,如果Lastpass网站有漏洞,或者用户的Lastpass密码被攻破,Lastpass的密码保护就会失效,用户依旧可能失去所有的明文密码。
因此,对于用户来说,强烈建议在Lastpass中绑定谷歌身份验证器(Google Authenticator),绑定之后,即使用户的Lastpass密码被盗,没有用户的手机和密保信箱,黑客也无法登录Lastpass网站。
开源密码管理软件
在线密码管理虽然看起来很酷,但很多人还是不放心,宁愿将密码放在本地保存管理,目前也有一些常用的本地密码管理软件,其中最知名的就是KeePass这个开源密码保护软件。KeePass采用本地数据库的方式对密码进行管理,软件对密码数据库采用256位AES算法加密,理论上破解难度极大。这样,即使电脑丢失或黑客入侵导致密码数据库被窃取,黑客也很难从中解密出明文帐号密码信息。
KeePass是开源软件,绿色无需安装,支持功能很多,包括导入导出、第三方插件以及中文界面等等,通过ChromeIPass和KeePassHttp两个插件,可以实现Chrome浏览器填入KeePass数据库密码的功能。
KeePass不能直接导入Chrome浏览器的密码,需要先使用ChromePass这个软件先将Chrome密码导出为CSV格式,然后再从KeePass中导入CSV文件。
除了免费开源软件之外,还有一些付费商业密码管理软件,例如1Password、RoboForm等,这些商业软件提供30天免费试用,超过时间期限后就需要付费购买。
对于大量帐号密码的管理,肯定是需要一个密码管理软件,从跨平台以及易用性上看,Lastpass做为专业的帐号密码管理软件,使用简单,方便安全,相对其它几款软件有很大的可用性以及实用性。但Lastpass的主要缺点是,用户必须要信任Lastpass的安全性,而网络攻击可能会主要针对云端的Lastpass,而一旦Lastpass网站被攻破,则用户密码就存在外泄的可能。KeePass做为本地密码管理非常强大,但易用性相对较差,浏览器自身的密码保存易用性很好,但安全性很差。
总的来看,例如邮箱、网银等最为核心的密码最好还是记在自己的大脑里,一些其他重要性较低的网站密码可以采用上述的密码管理工具,以减轻用户记忆大量密码的负担,同时又保证了用户上网的安全性。
④ 求写一篇有关密码安全和网络安全及其防护的论文
1, 网络安全与网络道德的思考 (20) 2007-5-21 10:28:00
http://www.5jx.com.cn/content/2007-5-21/71901.html
Internet安全问题,是人们十分关注的问题。据有关方面的了解,2001年的爱虫病毒与2002年的Code red蠕虫在若干小时之内传染了几十万台主机,每次造成10亿美元左右的损失。有一份调查报告谈到,截止2002年10月,有88%的网站承认,它们中间有90%已经安装了防火墙和入侵监测等安全设备。但最后一年内有88%受到病毒传染,而有关网络的研究表明,Internet具有free scale的性
2, 计算机网络安全问题的探讨 (1128) 2006-5-21 11:13:00
http://www.5jx.com.cn/content/2006-5-21/69759.html
计算机网络安全问题的探讨� 彭杰� (广东省司法警察学校广州510430)� �� 摘 要 分析了目前网络上的安全问题,说明了有关信息安全技术在保证信息安全中的作用,从而提出了构筑计算机网络信息安全的5层体系结构。� 关键词 网络安全 防火墙 加密 安全体系结
3, 设计电力企业网络安全解决方案 (83) 2006-5-11 22:02:00
http://www.5jx.com.cn/content/2006-5-11/69691.html
设计电力企业网络安全解决方案 罗 涛 (四川省电力公司,四川成都 610021) 摘 要:通过对安全防护体系、安全策略体系、安全管理体系三个方面,对电力信息网络进行深入分析,从而形成相应的电力信息网络安全解决方案。 关键词:电力信息网络;安全防护;安全策略;安全管理 信息网络技术的高速发展和电力信息系统的不断投入,为电力企业带来了成本降
4, 一个网络安全的电子商务IC卡系统模型 (378) 2006-4-18 20:29:00
http://www.5jx.com.cn/content/2006-4-18/69192.html
一个网络安全的电子商务IC卡系统模型杨观懂,陈添丁 (杭州商学院 信息与电子工程学院浙江 杭州310035) 摘 要:随着电子商务的快速发展,建立一个网络商务的安全交易环境,就成为一个急需解决的问题。本文以智能IC卡为基础,采用密码学原理,以公钥密码系统及私钥密码系统来达成网络交易系统的不可否认性、可鉴别性、完整性、隐密性等安全功能。&nb
5, 高速公路联网收费网络安全模型的研究 (169) 2006-4-18 20:02:00
http://www.5jx.com.cn/content/2006-4-18/69134.html
现代电子技术 2006年第2期高速公路联网收费网络安全模型的研究李锦伟关键词:高速公路;联网收费网络;安全模型;防范体系(以下文章为图片形式,如看不清,可点击右键属性下载放大查阅)
6, 校园网络安全初探 (129) 2006-4-17 9:36:00
http://www.5jx.com.cn/content/2006-4-17/69016.html
[内容摘要] 网络安全越来越受到人们的重视,本文结合笔者在网络管理的一些经验体会,从密码安全、系统安全、共享目录安全和木马防范方面,对校园网的安全谈了自己的看法和做法,供大家参考。[关键词] 网络 安全 黑客随"校校通"工程的深入开展,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到无法估量的作用。但在积极发展办公自动化、实现资源共享的同
7, 浅析网络安全技术(二) (153) 2006-4-16 23:19:00
http://www.5jx.com.cn/content/2006-4-16/69001.html
摘要:文中论述了防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以分析,针对PKI技术这一信息安全核心技术,论述了其安全体系的构成。 关键词:网络安全 防火墙 PKI技术 1.概述 网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器(也称应用网关)也集成了包滤
8, 浅析网络安全技术(一) (184) 2006-4-16 23:18:00
http://www.5jx.com.cn/content/2006-4-16/69000.html
摘要:文中就信息网络安全内涵发生的根本变化,阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。 关键词:网络安全 防火墙 技术特征 1.概述 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步
9, 网络安全立法滞后与前瞻——从“吕科”事件谈起 (9) 2005-3-6 22:54:00
http://www.5jx.com.cn/content/2005-3-6/46705.html
沈木珠 人称巴蜀“网络天才”的吕科,因在河南北网信息工程公司AWE网络程序中安置逻辑炸弹及擅自取走原程序代码,而涉嫌破坏计算机信息系统被羁押46天后释放。这是因为我国刑法第二百八十六、二百七十六条规定及我国《计算机安全保护条例》(下简称《条例》)的规定,均不能适用吕科的这一特定行为,即按现行法律,吕科所为并不构成刑事犯罪;按现行法规,吕科的“破坏”也未达到受惩处的后果。其安置逻辑炸弹虽可导致北
10, 信息网络安全的法律保障 (16) 2005-10-31 23:01:00
http://www.5jx.com.cn/content/2005-10-31/19240.html
法律是信息网络安全的制度保障。离开了法律这一强制性规范体系,信息网络安全技术和营理人员的行为,都失去了约束。即使有再完善的技术和管理的手段,都是不可靠的。同样没有安全缺陷的网络系统。即使相当完善的安全机制也不可能完全避免非法攻击和网络犯罪行为。信息网络安全法律。告诉人们哪些网络行为不可为,如果实施了违法行为就要承担法律责任,构成犯罪的还承担刑事责任。一方面。它是一
http://5jx.com.cn/,这个网站里有很多这方面的论文,你可以综合一下的。
⑤ 关于密码学与密匙管理的信息安全技术论文,3000字。不要地址,要直接的
信息安全的密码学与密匙管理
一 摘要:
密码系统的两个基本要素是加密算法和密钥管理。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。由于密码系统的反复使用,仅靠加密算法已难以保证信息的安全了。事实上,加密信息的安全可靠依赖于密钥系统,密钥是控制加密算法和解密算法的关键信息,它的产生、传输、存储等工作是十分重要的。
二 关键词:密码学 安全 网络 密匙 管理
三 正文:
密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。
密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换,随着通信技术的发展,对语音、图像、数据等都可实施加、脱密变换。
密码学是在编码与破译的斗争实践中逐步发展起来的,并随着先进科学技术的应用,已成为一门综合性的尖端技术科学。它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。它的现实研究成果,特别是各国政府现用的密码编制及破译手段都具有高度的机密性。
密码学包括密码编码学和密码分析学。密码体制设计是密码编码学的主要内容,密码体制的破译是密码分析学的主要内容,密码编码技术和密码分析技术是相互依相互支持、密不可分的两个方面。密码体制有对称密钥密码体制和非对称密钥密码体制。对称密钥密码体制要求加密解密双方拥有相同的密钥。而非对称密钥密码体制是加密解密双方拥有不相同的密钥,在不知道陷门信息的情况下,加密密钥和解密密钥是不能相互算出的。
对称密钥密码体制中,加密运算与解密运算使用同样的密钥。这种体制所使用的加密算法比较简单,而且高效快速、密钥简短、破译困难,但是存在着密钥传送和保管的问题。例如:甲方与乙方通讯,用同一个密钥加密与解密。首先,将密钥分发出去是一个难题,在不安全的网络上分发密钥显然是不合适的;另外,如果甲方和乙方之间任何一人将密钥泄露,那么大家都要重新启用新的密钥。通常,使用的加密算法 比较简便高效,密钥简短,破译极其困难。但是,在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。1976年,Diffie和Hellman为解决密钥管理问题,在他们的奠基性的工作"密码学的新方向"一文中,提出一种密钥交换协议,允许在不安全的媒体上通讯双方 交换信息,安全地达成一致的密钥,它是基于离散指数加密算法的新方案:交易双方仍然需要协商密钥,但离散指数算法的妙处在于:双方可以公开提交某些用于运算的数据,而密钥却在各自计算机上产生,并不在网上传递。在此新思想的基础上,很快出现了"不对称密钥密码体 制",即"公开密钥密码体制",其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道,分别称为"公开密钥"和"秘密密钥", 由于公开密钥算法不需要联机密钥服务器,密钥分配协议简单,所以极大地简化了密钥管理。除加密功能外,公钥系统还可以提供数字签名。目前,公开密钥加密算法主要有RSA、Fertezza、EIGama等。我们说区分古典密码和现代密码的标志,也就是从76年开始,迪非,赫尔曼发表了一篇叫做《密码学的新方向》的文章,这篇文章是划时代的;同时1977年美国的数据加密标准(DES)公布,这两件事情导致密码学空前研究。以前都认为密码是政府、军事、外交、安全等部门专用,从这时候起,人们看到密码已由公用到民用研究,这种转变也导致了密码学的空前发展。迄今为止的所有公钥密码体系中,RSA系统是最着名、使用最广泛的一种。RSA公开密钥密码系统是由R.Rivest、A.Shamir和L.Adleman三位教授于1977年提出的,RSA的取名就是来自于这三位发明者姓氏的第一个字母。RSA算法研制的最初目标是解决利用公开信道传输分发 DES 算法的秘密密钥的难题。而实际结果不但很好地解决了这个难题,还可利用 RSA 来完成对电文的数字签名,以防止对电文的否认与抵赖,同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改,从而保护数据信息的完整性。
在网上看到这样一个例子,有一个人从E-mail信箱到用户Administrator,统一都使用了一个8位密码。他想:8位密码,怎么可能说破就破,固若金汤。所以从来不改。用了几年,没有任何问题,洋洋自得,自以为安全性一流。恰恰在他最得意的时候,该抽他嘴巴的人就出现了。他的一个同事竟然用最低级也是最有效的穷举法吧他的8位密码给破了。还好都比较熟,否则公司数据丢失,他就要卷着被子回家了。事后他问同事,怎么破解的他的密码,答曰:只因为每次看他敲密码时手的动作完全相同,于是便知道他的密码都是一样的,而且从不改变。这件事情被他引以为戒,以后密码分开设置,采用10位密码,并且半年一更换。我从中得出的教训是,密码安全要放在网络安全的第一位。因为密码就是钥匙,如果别人有了你家的钥匙,就可以堂而皇之的进你家偷东西,并且左邻右舍不会怀疑什么。我的建议,对于重要用户,密码要求最少要8位,并且应该有英文字母大小写以及数字和其他符号。千万不要嫌麻烦,密码被破后更麻烦。
密码设的越难以穷举,并不是带来更加良好的安全性。相反带来的是更加难以记忆,甚至在最初更改的几天因为输人缓慢而被别人记住,或者自己忘记。这都是非常糟糕的,但是密码难于穷举是保证安全性的前提。矛盾着的双方时可以互相转化的,所以如何使系统密码既难以穷举又容易记忆呢,这就是门科学了。当然,如果能做到以下几点,密码的安全还是有保障的。
1、采用10位以上密码。
对于一般情况下,8位密码是足够了,如一般的网络社区的密码、E-mail的密码。但是对于系统管理的密码,尤其是超级用户的密码最好要在10位以上,12位最佳。首先,8位密码居多,一般穷举工作的起始字典都使用6位字典或8位字典,10位或12位的字典不予考虑。其次,一个全码8位字典需要占去4G左右空间,10位或12位的全码字典更是天文数字,要是用一般台式机破解可能要到下个千年了,运用中型机破解还有有点希望的。再次,哪怕是一个12个字母的英文单词,也足以让黑客望而却步。
2、使用不规则密码。
对于有规律的密码,如:alb2c3d4e5f6,尽管是12位的,但是也是非常好破解的。因为现在这种密码很流行,字典更是多的满天飞,使用这种密码等于自杀。
3、不要选取显而易见的信息作为口令。
单词、生日、纪念日、名字都不要作为密码的内容。以上就是密码设置的基本注意事项。密码设置好了,并不代表万事大吉,密码的正确使用和保存才是关键。要熟练输入密码,保证密码输人的速度要快。输人的很慢等于给别人看,还是熟练点好。不要将密码写下来。密码应当记在脑子里,千万别写出来。不要将密码存人计算机的文件中。不要让别人知道。不要在不同系统上使用同一密码。在输人密码时最好保证没有任何人和监视系统的窥视。定期改变密码,最少半年一次。这点尤为重要,是密码安全问题的关键。永远不要对自己的密码过于自信,也许无意中就泄漏了密码。定期改变密码,会使密码被破解的可能性降到很低的程度。4、多方密钥协商问题
当前已有的密钥协商协议包括双方密钥协商协议、双方非交互式的静态密钥协商协议、双方一轮密钥协商协议、双方可验证身份的密钥协商协议以及三方相对应类型的协议。如何设计多方密钥协商协议?存在多元线性函数(双线性对的推广)吗?如果存在,我们能够构造基于多元线性函数的一轮多方密钥协商协议。而且,这种函数如果存在的话,一定会有更多的密码学应用。然而,直到现在,在密码学中,这个问题还远远没有得到解决。
参考文献:
[1]信息技术研究中心.网络信息安全新技术与标准规范实用手册[M].第1版.北京:电子信息出版社.2004
[2]周学广、刘艺.信息安全学[M].第1版.北京:机械工业出版社.2003
[3]陈月波.网络信息安全[M].第1版.武汉:武汉工业大学出版社.2005
[4]宁蒙.网络信息安全与防范技术[M].第1版.南京:东南大学出版社.2005
⑥ 信息安全等级保护管理办法的第五章 信息安全等级保护的密码管理
第三十四条
国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条
信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条
信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
⑦ 密码学是怎么样通过加密和解密的,
你是想知道密码学怎样加解密还是?
近代密码学:编码密码学主要致力于信息加密、信息认证、数字签名和密钥管理方面的研究。信息加密的目的在于将可读信息转变为无法识别的内容,使得截获这些信息的人无法阅读,同时信息的接收人能够验证接收到的信息是否被敌方篡改或替换过;数字签名就是信息的接收人能够确定接收到的信息是否确实是由所希望的发信人发出的;密钥管理是信息加密中最难的部分,因为信息加密的安全性在于密钥。历史上,各国军事情报机构在猎取别国的密钥管理方法上要比破译加密算法成功得多。
密码分析学与编码学的方法不同,它不依赖数学逻辑的不变真理,必须凭经验,依赖客观世界觉察得到的事实。因而,密码分析更需要发挥人们的聪明才智,更具有挑战性。
现代密码学是一门迅速发展的应用科学。随着因特网的迅速普及,人们依靠它传送大量的信息,但是这些信息在网络上的传输都是公开的。因此,对于关系到个人利益的信息必须经过加密之后才可以在网上传送,这将离不开现代密码技术。
1976年Diffie和Hellman在《密码新方向》中提出了着名的D-H密钥交换协议,标志着公钥密码体制的出现。 Diffie和Hellman第一次提出了不基于秘密信道的密钥 分发,这就是D-H协议的重大意义所在。
PKI(Public Key Infrastructure)是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。
要查看具体的某个密码体系的知识可参考《密码学概论》。
⑧ 关于密码学的问题
混沌流密码研究
胡汉平1 董占球2
(华中科技大学图像识别与人工智能研究所/图像信息处理与智能控制教育部重点实验室
中国科学院研究生院,)
摘要:在数字化混沌系统和基于混沌同步的保密通信系统的研究中存在一些亟待解决的重要问题:数字化混沌的特性退化,混沌时间序列分析对混沌系统安全性的威胁等,已严重影响着混沌流密码系统的实用化进程。为此,提出了通过变换的误差补偿方法克服数字混沌的特性退化问题;构建混沌编码模型完成对混沌序列的编码、采样,由此得到满足均匀、独立分布的驱动序列;引入非线性变换,以抵抗对混沌流密码系统安全性的威胁。
关键词:混沌流密码系统;特性退化;非线性变换;混沌时间序列分析
1. 引言
随着以计算机技术和网络通信技术为代表的信息技术的不断发展和迅速普及,通信保密问题日益突出。信息安全问题已经成为阻碍经济持续稳定发展和威胁国家安全的一个重要问题。众所周知,密码是信息安全的核心,设计具有自主知识产权的新型高性能的密码体制是目前最亟待解决的重要问题。
混沌是确定性系统中的一种貌似随机的运动。混沌系统都具有如下基本特性:确定性、有界性、对初始条件的敏感性、拓扑传递性和混合性、宽带性、快速衰减的自相关性、长期不可预测性和伪随机性[1],正是因为混沌系统所具有的这些基本特性恰好能够满足保密通信及密码学的基本要求:混沌动力学方程的确定性保证了通信双方在收发过程或加解密过程中的可靠性;混沌轨道的发散特性及对初始条件的敏感性正好满足Shannon提出的密码系统设计的第一个基本原则――扩散原则;混沌吸引子的拓扑传递性与混合性,以及对系统参数的敏感性正好满足Shannon提出的密码系统设计的第二个基本原则――混淆原则;混沌输出信号的宽带功率谱和快速衰减的自相关特性是对抗频谱分析和相关分析的有利保障,而混沌行为的长期不可预测性是混沌保密通信安全性的根本保障等。因此,自1989年R.Mathews, D.Wheeler, L.M.Pecora和Carroll等人首次把混沌理论使用到序列密码及保密通信理论以来,数字化混沌密码系统和基于混沌同步的保密通信系统的研究已引起了相关学者的高度关注[2]。虽然这些年的研究取得了许多可喜的进展,但仍存在一些重要的基本问题尚待解决。
1.1 数字混沌的特性退化问题
在数字化的混沌密码系统的研究方向上,国内外学者已经提出了一些比较好的数字混沌密码系统及其相应的密码分析方法:文献[3]提出基于帐篷映射的加解密算法;文献[4]1998年Fridrich通过定义一种改进的二维螺旋或方形混沌映射来构造一种新的密码算法;文献[5,6]提出把混沌吸引域划分为不同的子域,每一子域与明文一一对应,把混沌轨道进入明文所对应的混沌吸引域子域的迭代次数作为其密文;在文献[7]中,作者把一个字节的不同比特与不同的混沌吸引子联系起来实现加/解密;文献[8]较为详细地讨论了通过混沌构造S盒来设计分组密码算法的方法;文献[9,10]给出了混沌伪随机数产生的产生方法;英国的SafeChaos公司将混沌用于公钥密码体制,推出了CHAOS+Public Key (v4.23)系统[11];等等。但是,这些数字混沌系统一般都是在计算机或其它有限精度的器件上实现的,由此可以将混沌序列生成器归结为有限自动机来描述,在这种条件下所生成的混沌序列会出现特性退化:短周期、强相关以及小线性复杂度等[12-15],即数字混沌系统与理想的实值混沌系统在动力学特性上存在相当大的差异。它所带来的混沌密码系统安全的不稳定性是困扰混沌密码系统进入实用的重要原因[16]。尽管有人指出增加精度可以减小这一问题所造成的后果,但其代价显然是非常大的。
1.2 对混沌流密码系统的相空间重构分析
目前,对混沌保密通信系统的分析工作才刚刚起步,主要方法有:统计分析(如周期及概率分布分析和相关分析等)、频谱分析(包括傅立叶变换和小波变换等)和混沌时间序列分析[17]。前两者都是传统的信号分析手段,在此就不再赘述,而混沌时间序列是近20年来发展的一门扎根于非线性动力学和数值计算的新兴学科方向。
从时间序列出发研究混沌系统,始于Packard等人于1980年提出的相空间重构(Phase Space Reconstruction)理论。众所周知,对于决定混沌系统长期演化的任一变量的时间演化,均包含了混沌系统所有变量长期演化的信息(亦称为全息性),这是由混沌系统的非线性特点决定的,这也是混沌系统难以分解和分析的主要原因。因此,理论上可以通过决定混沌系统长期演化的任一单变量的时间序列来研究混沌系统的动力学行为,这就是混沌时间序列分析的基本思想。
混沌时间序列分析的目的是通过对混沌系统产生的时间序列进行相空间重构分析,利用数值计算估计出混沌系统的宏观特征量,从而为进一步的非线性预测[18](包括基于神经网络或模糊理论的预测模型)提供模型参数,这基本上也就是目前对混沌保密通信系统进行分析或评价的主要思路。描述混沌吸引子的宏观特征量主要有:Lyapunov指数(系统的特征指数)、Kolmogorov熵(动力系统的混沌水平)和关联维(系统复杂度的估计)等[17]。而这些混沌特征量的估计和Poincare截面法都是以相空间重构以及F.Takens的嵌入定理为基础的,由此可见相空间重构理论在混沌时间序列分析中的重大意义。
1.3 对混沌流密码系统的符号动力学分析
我们在以往的实验分析工作中都是针对混沌密码系统的统计学特性进行研究的,如周期性、平衡性、线性相关性、线性复杂度、混淆和扩散特性等,即使涉及到非线性也是从混沌时间序列分析(如相图分析或分数维估计等)的角度出发进行研究的。然而,符号动力学分析表明,混沌密码系统的非线性动力学分析同样非常主要,基于实用符号动力学的分析可能会很快暴露出混沌编码模型的动力学特性。基于Gray码序数和单峰映射的符号动力学之间的关系,文献[20]提出了一种不依赖单峰映射的初始条件而直接从单峰映射产生的二值符号序列来进行参数估计的方法。分析结果表明,基于一般混沌编码模型的密码系统并不如人们想象的那么安全,通过对其产生的一段符号序列进行分析,甚至能以较高的精度很快的估计出其根密钥(系统参数或初始条件)。
上述结论虽然是针对以单峰映射为主的混沌编码模型进行的分析,但是,混沌流密码方案的安全性不应该取决于其中采用的混沌系统,而应该取决于方案本身,而且单峰映射的低计算复杂度对于实际应用仍是非常有吸引力的。因此,我们认为,如果希望利用混沌编码模型来设计更为安全的密码系统,必须在混沌编码模型产生的符号序列作为伪随机序列输出(如用作密钥流或扩频码)之前引入某种扰乱策略,这种扰乱策略实质上相当于密码系统中的非线性变换。
该非线性变换不应影响混沌系统本身的特性,因为向混沌系统的内部注入扰动会将原自治混沌系统变为了非自治混沌系统,但当自治混沌系统变为非自治混沌系统之后,这些良好特性可能会随之发生较大的变化,且不为设计者所控制。这样有可能引入原本没有的安全隐患,甚至会为分析者大开方便之门。
上述非线性变换还应该能被混沌编码模型产生的符号序列所改变。否则,分析者很容易通过输出的伪随机序列恢复出原符号序列,并利用符号动力学分析方法估计出混沌编码模型的系统参数和初始条件。因此,非线性变换的构造就成了设计高安全性数字混沌密码系统的关键之一。
2. 混沌流密码系统的总体方案
为克服上述问题,我们提出了如下的混沌流密码系统的总体方案,如图1所示:
在该方案中,首先利用一个混沌映射f产生混沌序列xi,再通过编码C产生符号序列ai,将所得符号序列作为驱动序列ai通过一个动态变化的置换Bi以得到密钥流ki,然后据此对置换进行动态变换T。最后,将密钥流(即密钥序列)与明文信息流异或即可产生相应的密文输出(即输出部分)。图1中的初始化过程包括对混沌系统的初始条件、迭代次数,用于组合编码的顺序表以及非线性变换进行初始化,初始化过程实质上是对工作密钥的输入。
在图1所示的混沌编码模型中,我们对实数模式下的混沌系统的输出进行了编码、采样。以Logistic为例,首先,以有限群论为基本原理对驱动序列进行非线性变换,然后,根据有限群上的随机行走理论,使非线性变换被混沌编码模型产生的驱动序列所改变。可以从理论上证明,我们对非线性变换采用的变换操作是对称群的一个生成系,所以,这里所使用的非线性变换的状态空间足够大(一共有256!种)。
3. 克服数字混沌特性退化的方法
增加精度可以在某些方面减小有限精度所造成的影响,但效果与其实现的代价相比显然是不适宜的。为此,周红等人在文献[22]中提出将m序列的输出值作为扰动加到数字混沌映射系统中,用于扩展数字混沌序列的周期;王宏霞等人在文献[23]中提出用LFSR的输出值控制数字混沌序列输出,从而改善混沌序列的性质;李汇州等人在文献[24]中提出用双分辨率的方法解决离散混沌映射系统的满映射问题。上述方法又带来新的问题:使用m序列和LFSR方法,混沌序列的性质由外加的m序列的性质决定;使用双分辨率时,由于输入的分辨率高于输出的分辨率,其效果与实现的代价相比仍然没有得到明显的改善。
为此,我们提出了一种基于Lyapunov数的变参数补偿方法。由于Lyapunov数是混沌映射在迭代点处斜率绝对值的几何平均值,所以,可以将它与中值定理结合对数字混沌进行补偿。以一维混沌映射为例,该补偿方法的迭代式为:
(1)
式中, 为Lyapunov数,ki是可变参数。
参数ki的选择需要满足下面几个条件:
(1)ki的选取应使混沌的迭代在有限精度下达到满映射;
(2)ki的选取应使混沌序列的分布近似地等于实值混沌的分布;
(3)ki的选取应使混沌序列的周期尽可能的长。
根据上述几个条件,我们已经选取了合适的80个参数,并且以Logistic为例对该变参数补偿方法输出的混沌序列进行了分析。在精度为32位的条件下,我们计算了混沌序列的周期,其结果如下:
除周期外,我们还对复杂度、相关性和序列分布进行了检测。从结果可知,该变参数补偿方法,使得在不降低混沌的复杂度基础上,增长其周期,减弱相关性,使其逼近实值混沌系统。该方法不仅非常明显地减小了有限精度所造成的影响,使数字混沌序列的密度分布逼近实值混沌序列的理论密度分布,改善数字混沌伪随机序列的密码学性质,而且极大地降低实现其方法的代价。
4. 非线性变换
为克服符号动力学分析对混沌密码系统的威胁,我们根据有限群上的随机行走理论提出了一种非线性变换方法,并对引入了非线性变换的混沌密码系统进行了符号动力学分析,分析结果表明,引入了非线性变换的模型相对一般混沌编码模型而言,在符号动力学分析下具有较高的安全性。以二区间划分的模型为例,我们选用Logistic映射作为图1中的混沌映射f,并根据符号动力学分析中的Gray码序数[20,21]定义二进制码序数,见2式。
(2)
二值符号序列S的二进制码序数W(S)∈(0, 1)。注意,这里的Wr(xi)并不是单值的,因为同样的状态xi可能对应不同的置换Bi。
图2 在2区间划分下产生的二值符号序列的Wr(xi)分析
图2中的Wr(xi)为参数r控制下从当前状态xi出发产生的二值符号序列的二进制码序数。图2(a)是未进行非线性变换时的情形,可以看出,其它三种进行非线性变换时的情形都较图2(a)中的分形结构更为复杂。由此可见,引入了非线性变换的混沌模型相对一般混沌编码模型而言,在符号动力学分析下具有较高的安全性。
5. 混沌流密码系统的理论分析和数值分析结果
5.1 理论分析结果
密钥流的性质直接关系到整个流密码系统的安全性,是一个极为重要的指标。我们对密钥流的均匀、独立分布性质和密钥流的周期性质给出了证明,其结果如下:
(1)密钥留在0,1,…,255上均匀分布。
(2)密钥流各元素之间相互独立。
(3)密钥流出现周期的概率趋向于零。
(4)有关密钥流性质的证明过程并不涉及改变非线性变换的具体操作,也不涉及具体的驱动序列产生算法,仅仅要求驱动序列服从独立、均匀分布,并且驱动序列和非线性变换之间满足一定的条件,这为该密码系统,特别是系统驱动部分的设计和改进留下余地。
总之,该密码系统可扩展,可改进,性能良好且稳定。
5.2 数值分析结果
目前,基本密码分析原理有:代替和线性逼近、分别征服攻击、统计分析等,为了阻止基于这些基本原理的密码分析,人们对密码流生成器提出了下列设计准则:周期准则、线性复杂度准则、统计准则、混淆准则、扩散准则和函数非线性准则。
我们主要根据以上准则,对本密码系统的密钥流性质进行保密性分析,以证明其安全性。分析表明:混沌流密码系统符合所有的安全性设计准则,产生的密钥序列具有串分布均匀、随机统计特性良好、相邻密钥相关性小、周期长、线性复杂度高、混淆扩散性好、相空间无结构出现等特点;该密码系统的工作密钥空间巨大,足以抵抗穷举密钥攻击。并且,由于我们采用了非线性变换,所以该密码系统可以抵抗符号动力学分析。
6. 应用情况简介
该混沌流密码系统既有效的降低了计算复杂度,又极大的提高了密码的安全强度,从而为混沌密码学及其实现技术的研究提供了一条新的途径。该系统已于2002年10月30日获得一项发明专利:“一种用于信息安全的加解密系统”(00131287.1),并于2005年4月获得国家密码管理局的批准,命名为“SSF46”算法,现已纳入国家商用密码管理。该算法保密性强,加解密速度快,适合于流媒体加密,可在银行、证券、网络通信、电信、移动通信等需要保密的领域和行业得到推广。该加密算法被应用在基于手机令牌的身份认证系统中,并且我们正在与华为公司合作将加密算法应用于3G的安全通信之中。
⑨ 密码技术的密码体系
在1984年以色列科学家Shamir提出了基于标识的密码系统的概念(IBC)。在基于标识的系统中,每个实体具有一个标识。该标识可以是任何有意义的字符串。但和传统公钥系统最大的不同是,在基于标识的系统中,实体的标识本身就是实体的公开密钥。由于标识本身就是实体的公钥,这类系统就不再依赖证书和证书管理系统如PKI,从而极大地简化了管理密码系统的复杂性。在提出IBC概念的同时,Shamir提出了一个采用RSA算法的基于标识的签名算法(IBS)。但是基于标识的加密算法(IBC)长时期未能找到有效解决方法。
在2000年,三位日本密码学家R. Sakai, K. Ohgishi 和 M. Kasahara提出了使用椭圆曲线上的pairing设计基于标识的密码系统的思路。在该论文中他们提出了一种无交互的基于标识的密钥生成协议. 在该系统中,他们设计了一种可用于基于标识的密码系统中的系统初始化方法和密码生成算法。
在2001年,D. Boneh和M. Franklin , R. Sakai, K. Ohgishi 和 M. Kasahara 以及C. Cocks 分别提出了三个基于标识的加密算法。前两个都是采用椭圆曲线上pairing的算法。第三种算法利用平方剩余难问题。前两种算法都采用了与中相同的思路初试化系统并生成用户的私钥。由于D. Boneh和M. Franklin提出的IBC (BF-IBC)的安全性可以证明并且有较好的效率,所以引起了极大的反响。
基于标识的密码技术在过去几年中得到快速发展。研究人员设计了大量的新密码系统。随着应用的逐渐广泛,相应算法的标准化工作也在逐步展开。IEEE P1363.3的基于标识的密码技术工作组正在进行相关算法的标准化工作 。ISO/IEC已经标准化了两个基于标识的签名算法。
⑩ 密码加密技术
加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在 NTFS 文件系统卷上存储已加密的文件。一旦加密了文件或文件夹,您就可以象使用其他文件和文件夹一样使用它们。
对加密该文件的用户,加密是透明的。这表明不必在使用前手动解密已加密的文件。您可以正常打开和更改文件。
使用 EFS 类似于使用文件和文件夹上的权限。两种方法可用于限制数据的访问。然而,获得未经许可的加密文件和文件夹物理访问权的入侵者将无法阅读文件和文件夹中的内容。如果入侵者试图打开或复制已加密文件或文件夹,入侵者将收到拒绝访问消息。文件和文件夹上的权限不能防止未授权的物理攻击。
正如设置其他任何属性(如只读、压缩或隐藏)一样,通过为文件夹和文件设置加密属性,可以对文件夹或文件进行加密和解密。如果加密一个文件夹,则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。
也可以用命令行功能 cipher 加密或解密文件或文件夹。详细信息,请参阅 Cipher。有关管理功能的详细信息,请参阅管理。
在使用加密文件和文件夹时,请记住下列信息:
只有 NTFS 卷上的文件或文件夹才能被加密。由于 WebDAV 使用 NTFS,当通过 WebDAV 加密文件时需用 NTFS。
被压缩的文件或文件夹不可以加密。如果用户标记加密一个压缩文件或文件夹,则该文件或文件夹将会被解压。
如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。
如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作不能自动解密文件。文件必须明确解密。
无法加密标记为“系统”属性的文件,并且位于 systemroot 目录结构中的文件也无法加密。
加密文件夹或文件不能防止删除或列出文件或文件夹表。具有合适权限的人员可以删除或列出已加密文件或文件夹表。因此,建议结合 NTFS 权限使用 EFS。
在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文件,通过此过程在网络上传输的数据并未加密。必须使用诸如单套接字层/传输层安全 (SSL/TLS) 或 Internet 协议安全 (IPSec) 等其它协议通过有线加密数据。但 WebDAV 可在本地加密文件并采用加密格式发送。