關于司法信息安全中計算機密碼安全防御方法探索

王鵬

摘?要：計算機密碼安全是司法信息安全中一個重要的組成類別。隨著互聯網技術的高速發展，中國司法體制改革逐漸引領世界新的技術革新，在改革創新中必須依照規范的密碼安全理論進行探索和相應保護，才能保證司法信息安全健康發展，才能讓中國司法體制改革達到“讓人民群眾在每一個司法案件中感受到公平正義”。

關鍵詞：強行攻擊;HASH算法;SAM文件

計算機密碼學是計算機的重要組成部分，也是學習計算機安全和網絡安全的必修專業課。計算機密碼學科大致分為傳統意義的密碼與現代技術密碼學基本概念;不同分組密碼;公鑰密碼和與公鑰密碼有關的若干算法;密碼學的信息論基礎;線性反饋移位寄存器和序列密碼;數字簽名、Hash函數及算法、各種安全協議及其它和網絡的安全保密規則。從這些知識點的拓展上很容易看到計算機密碼學非常復雜。掌握密碼口令，能夠有效的保護計算機自身的數據和賬號安全;能夠保護防御計算機網絡安全，特別是云安全;進一步能夠保護強大的國家的安全體系。

信息化技術革新和應用已經實踐在司法的各級平臺上，以互聯網和物聯技術通過5G寬帶把司法部門辦案接口與人民群眾個人終端連接在一起，達到網上案件立案、材料送達、合法性驗證、審判公開、最終裁決公示等功能，讓人們足不出戶進行案件透明的參與和審理。在司法部門以互聯網法庭的形式開展以后，每個參與方和終端都要有密碼方面的驗證，這樣保障當事人的合法權益，保障司法工作的保密性。下面詳細闡述計算機密碼原理、操作系統密碼防御技術和司法系統中關于密碼驗證的方式。

計算機網絡安全中經常會提到網絡攻擊和相應的防御技術，大部分的網絡攻擊者攻擊的目的就是服務器的密碼，得到了密碼，就能操控系統的所有權限?？诹畹淖饔镁褪窍蛳到y提供唯一標識個體身份的機制，只給個體所需信息的訪問權，從而達到保護敏感信息和個人隱私的作用。雖然口令的出現使登陸系統時的安全性大大提高，但是這又產生了一個很大的問題。如果口令過于簡單，容易被人猜解出來;如果過于復雜，用戶往往需要把它寫下來以防忘記，這種做法也會增加口令的不安全性。當前，計算機用戶的口令安全體系是非常脆弱的。

密碼口令的安全防御保障是建立在了解攻擊者各種破解技術之上的應對措施。理論上，計算機口令破解是入侵一個系統比較常用的方法。獲得口令的思路一般有三種：窮舉嘗試，多次輸入密碼破解的方法;第二種設法找到存放口令的文件并想法反編譯破解;第三種通過其它途徑如網絡嗅探、木馬遠程控制或者鍵盤記錄器等獲取口令。

針對一般系統登錄界面和APP，口令破解有三種方式，分別為詞典攻擊、強行攻擊和組合攻擊。詞典攻擊，顧名思義要有所謂的詞典，實際上是一個單詞列表文件，以寫字板或者記事本的形式存儲在軟件的安裝路勁下。這些單詞有的純粹來自于普通詞典中的英文單詞，有的則是根據用戶的各種信息建立起來的，如用戶名字、生日、街道名字、喜歡的動物等。詞典的產生可以自編，也可以從互聯網上下載最新的實時的詞匯。簡而言之，詞典是根據人們設置自己賬號口令的習慣總結出來的常用口令列表文件。

使用一個或多個詞典文件，利用里面的單詞或者數字列表進行口令猜測的過程，就是詞典攻擊。大多數用戶都會根據自己的喜好或自己所熟知的事物特征來設置口令，因此，密碼口令在詞典文件中出現的可能性很大。而且詞典條目相對較少，在破解速度上也快于窮舉法口令攻擊。在大多數系統中，和窮舉嘗試所有的組合相比，詞典攻擊能在很短的時間內完成。在互聯網上資源可以下載許多已經編好的詞典，包括外文詞典和針對特定類型公司的詞典.例如，在一家公司里有很多籃球迷，那么就可以在核心詞典中添加一部關于籃球類名詞的詞典。入侵者經過仔細的研究了解周圍的環境，成功破解口令的可能性就會大大的增加。針對詞典攻擊的特點，從安全的角度來講，要求系統用戶不要從周圍環境中派生口令，特別是跟自己身份信息相關的字母數字作為口令。

如果有速度足夠快的計算機能嘗試字母、數字、特殊字符所有的組合，將最終能破解所有的口令。這種攻擊方式叫做強行攻擊，也叫做暴力破解。例如使用強行攻擊，先從字母a開始，嘗試aa、ab、ac等等，然后嘗試aaa、aab、aac，數字0到9，字母加數字的組合等。使用強行攻擊，基本上是CPU的速度和破解口令的時間上的矛盾?，F在的臺式機性能增長迅速，口令的破解會隨著內存價格的下降和處理器速度的上升而變得越來越容易了。由于帶寬的限制，有一種新型的強行攻擊叫做分布式暴力破解，入侵者把一個大的破解任務分解成許多小任務，然后利用互聯網上的計算機資源來完成這些小任務，加快口令破解的進程。針對強行攻擊的防御，應該設置系統登錄的次數限制，進行網絡的實時監測，對多次嘗試訪問的連接進行終止訪問。

隨著技術的發展，現在的密碼規則發生了一些變化，系統注冊或者APP會要求用戶的口令是字母和數字的組合，甚至字母的順序和大小寫也加入了規則中，而這個時候，許多用戶就僅僅會在他們的口令后面添加幾個數字，例如，把口令從walkman改成walkman123，這樣的口令利用組合攻擊很有效。組合攻擊是在使用詞典單詞的基礎上在單詞的后面串接幾個字母和數字進行攻擊的攻擊方式。也可以說組合攻擊是使用詞典中的單詞，但是對單詞進行了重組，它介于詞典攻擊和強行攻擊之間。組合攻擊是吸收了詞典攻擊和強行攻擊的優點，其特定要求安全工程師能夠辨識出來。

司法各級部門辦公系統和大部分家庭個人電腦都是微軟的windows系統，Windows保存口令文件非常特別。Windows對用戶賬戶的安全管理使用了安全賬號管理器（Security Account Manager，簡稱SAM）的機制。SAM數據庫在磁盤上保存在系統路徑下，通常是%systemroot%system32＼config＼目錄下的sam文件中。該SAM文件一般是不可見的，也是不可讀取的。SAM數據庫中包含所有組、帳戶的信息，包括密碼的HASH算法、帳戶的SID等。非法訪問者在攻入系統后往往渴望知道更多的秘密，而所有的用戶信息都是保存在SAM文件中，這樣，破解SAM也就是黑客接下來要做的。在對SAM破解之前，我們首先要獲取SAM文件，登陸Windows系統后SAM是被鎖死的，我們可以用獲取備份SAM方法獲取SAM文件，非法攻擊者通常用相關軟件能夠根據不同操作系統的位置進行SAM文件的備份和讀取，然后利用哈希算法的逆變換進行密碼的還原，最終能夠得到Windows操作系統的所有用戶ID和口令密碼。

隨著生物技術和計算機模式識別技術的發展，人的生理特征如指紋、掌紋、面孔、聲音、虹膜、視網膜等都具有惟一性和穩定性，這使得通過識別用戶的這些生理特征來認證用戶身份的安全性遠高于基于口令的認證方式。系統結合指紋識別、視網膜識別、聲音識別等多種生物識別技術，其中以人臉識別技術發展得最為火熱。結合個人手機號碼的實名制，以人臉識別加以認證，需要多部門通道的一致性。此外，司法系統軟件的良好運行和密碼機制的保密性和安全性的維護。

參考文獻

[1]?《密碼學與網絡安全》，Atul Kahate著，金名等譯，清華大學出版社，2017

[2]?《網絡攻防技術與實戰：深入理解信息安全防護體系》，郭帆著，清華大學出版社，2018

[3]?《網絡與信息安全基礎》，王穎?著，電子工業出版社，2019

基金項目：本文系北京政法職業學院2019年度院級教改項目課題JGYB20191102