电脑技术 Archive

  • I have been using Windows Server 2003 for years and I believe it’s time to shift and try using Windows...

    Upgrade Windows 2003 DC to Windows Server 2008

    Posted on November 5, 2009 | No Comments
    I have been using Windows Server 2003 for years and I believe it’s time to shift and try using Windows...

    Continue Reading...

  • 与IPv4相比,IPv6具有许多优势。首先,IPv6解决了IP地址数量短缺的问题;其次,IPv6对IPv4协议中诸多不完善之处进行了较大的改进。其中最为显著的就是将IPSec集成到协议内部,从此IPSec将不再单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个领域。当然,IPSec的大规模使用将不可避免地对网络设备的转发性能产生影响,这就需要更高的硬件性能保障。本文主要介绍IPv6网络的安全性、安全机制。

    IPv6网络的协议安全和安全机制

    Posted on October 28, 2009 | 1 Comment
    与IPv4相比,IPv6具有许多优势。首先,IPv6解决了IP地址数量短缺的问题;其次,IPv6对IPv4协议中诸多不完善之处进行了较大的改进。其中最为显著的就是将IPSec集成到协议内部,从此IPSec将不再单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个领域。当然,IPSec的大规模使用将不可避免地对网络设备的转发性能产生影响,这就需要更高的硬件性能保障。本文主要介绍IPv6网络的安全性、安全机制。

    Continue Reading...

  • 通常的连接方式中,通信是以非加密的形式在网络上传播的,这就有可能被非法窃听到,尤其是用于认证的口令信息。为了避免这个安全漏洞,就必须对传输过程进行加密。 对HTTP传输进行加密的协议为HTTPS,它是通过SSL(安全Socket层)进行HTTP传输的协议,不但通过公用密钥的算法进行加密保证传输的安全性,而且还可以通过获得认证证书CA,保证客户连接的服务器没有被假冒。

    FreeBSD安全连接方式SSL

    Posted on October 16, 2009 | No Comments
    通常的连接方式中,通信是以非加密的形式在网络上传播的,这就有可能被非法窃听到,尤其是用于认证的口令信息。为了避免这个安全漏洞,就必须对传输过程进行加密。 对HTTP传输进行加密的协议为HTTPS,它是通过SSL(安全Socket层)进行HTTP传输的协议,不但通过公用密钥的算法进行加密保证传输的安全性,而且还可以通过获得认证证书CA,保证客户连接的服务器没有被假冒。

    Continue Reading...

  • 康盛的系列产品,包括Discuz、UCHome、Supesite都集成了统一个用户系统——UCenter,用户登录的密码也保留在 UCenter中,对于其他系统集成或导出数据到UCenter系统,通常会碰到密码生成的题目,这里就讨论一下UCenter的用户密码算法规则和生成方法。 密码通常使用MD5对用户密码HASH后保留在数据库中的方法,假如黑客拿到了这个HASH数值,那么可以采用字典的方式暴力破解,假如这个字典数据库足够大,并且字典比较符合人们的设置习惯的话,那很轻易就能破解常见的密码,因此UCenter采用了salt来防止这种暴力破解,salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将salt值各单向函数运算的结果存入数据库中。假如可能的salt值的数量足够大的话,它实际上就消除了对常用口令采用的字典式攻击,由于黑客不可能在数据库中存储那么多salt和用户密码组合后的HASH值。 UCenter的创始人密码是保留在文件中的,打开uc下面/data/config.inc.php文件,里面的UC_FOUNDERPW保留的就是密码,而UC_FOUNDERSALT保留的是SALT数值,创始人密码的创建规则是:UC_FOUNDERPW=md5(md5(PASSWORD).UC_FOUNDERSALT),就是先将密码MD5,然后添加salt,然后再次 MD5,产生的HASH数值保留在config.inc.php文件中,因此修改UC_FOUNDERPW里面的数值就可以修改UCenter的创始人密码。 UCenter的用户信息是保留在uc_members表中,在这个表中,每个用户都有一个不同的随机salt字段,表中的password字段为计算后的密码,密码计算规则是$password=md5(md5($password).$salt),也就是将用户的密码MD5后,添加salt,然后再MD5,保留在password字段中。 因此,假如进行不同系统的数据转换,可以根据这个原理,将其他系统的用户名和密码计算后,导入UCenter的uc_members表中,实现用户的迁移。例如,假如原有系统使用的是md5(password)这样的算法保留密码,那就通过程序随机生成salt,然后计算两者累加后的md5,这样就很轻易计算出这个用户在UCenter中的用户密码HASH值,从而实现用户的无缝迁移。 不外,假如原有系统使用的是md5(password+salt)的方式保留的密码,那就无法实现密码的平滑迁移UCenter了,即使迁移,也只能人为将其UCenter的password增加一个salt才能使用,因此,我们在平时设计系统用户密码的时候,应该尽量采用 md5(md5(password)+salt)的方式保留密码,这样才能利便的实现和UCenter的接口,并且保证了安全性,通常对于英文用户名来说,自建系统使用username来做salt是个简便的方法。

    UCenter密码算法规则和生成方法

    Posted on October 15, 2009 | No Comments
    康盛的系列产品,包括Discuz、UCHome、Supesite都集成了统一个用户系统——UCenter,用户登录的密码也保留在 UCenter中,对于其他系统集成或导出数据到UCenter系统,通常会碰到密码生成的题目,这里就讨论一下UCenter的用户密码算法规则和生成方法。 密码通常使用MD5对用户密码HASH后保留在数据库中的方法,假如黑客拿到了这个HASH数值,那么可以采用字典的方式暴力破解,假如这个字典数据库足够大,并且字典比较符合人们的设置习惯的话,那很轻易就能破解常见的密码,因此UCenter采用了salt来防止这种暴力破解,salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将salt值各单向函数运算的结果存入数据库中。假如可能的salt值的数量足够大的话,它实际上就消除了对常用口令采用的字典式攻击,由于黑客不可能在数据库中存储那么多salt和用户密码组合后的HASH值。 UCenter的创始人密码是保留在文件中的,打开uc下面/data/config.inc.php文件,里面的UC_FOUNDERPW保留的就是密码,而UC_FOUNDERSALT保留的是SALT数值,创始人密码的创建规则是:UC_FOUNDERPW=md5(md5(PASSWORD).UC_FOUNDERSALT),就是先将密码MD5,然后添加salt,然后再次 MD5,产生的HASH数值保留在config.inc.php文件中,因此修改UC_FOUNDERPW里面的数值就可以修改UCenter的创始人密码。 UCenter的用户信息是保留在uc_members表中,在这个表中,每个用户都有一个不同的随机salt字段,表中的password字段为计算后的密码,密码计算规则是$password=md5(md5($password).$salt),也就是将用户的密码MD5后,添加salt,然后再MD5,保留在password字段中。 因此,假如进行不同系统的数据转换,可以根据这个原理,将其他系统的用户名和密码计算后,导入UCenter的uc_members表中,实现用户的迁移。例如,假如原有系统使用的是md5(password)这样的算法保留密码,那就通过程序随机生成salt,然后计算两者累加后的md5,这样就很轻易计算出这个用户在UCenter中的用户密码HASH值,从而实现用户的无缝迁移。 不外,假如原有系统使用的是md5(password+salt)的方式保留的密码,那就无法实现密码的平滑迁移UCenter了,即使迁移,也只能人为将其UCenter的password增加一个salt才能使用,因此,我们在平时设计系统用户密码的时候,应该尽量采用 md5(md5(password)+salt)的方式保留密码,这样才能利便的实现和UCenter的接口,并且保证了安全性,通常对于英文用户名来说,自建系统使用username来做salt是个简便的方法。

    Continue Reading...

  • To add users in Windows AD using DSADD User command like dsadd user “CN=xxx, OU=yyy, DC=zzz, DC=com” -samid xxx -upn...

    Windows AD Bug? DSADD User -hmdir Not Working

    Posted on October 13, 2009 | No Comments
    To add users in Windows AD using DSADD User command like dsadd user “CN=xxx, OU=yyy, DC=zzz, DC=com” -samid xxx -upn...

    Continue Reading...

  • The logon/logoff category of the Windows security log gives you the ability to monitor all attempts to access the local...

    Windows Server Logon Type Codes Revealed

    Posted on October 6, 2009 | No Comments
    The logon/logoff category of the Windows security log gives you the ability to monitor all attempts to access the local...

    Continue Reading...

  • We’re thinking about switching our company from Microsoft Hosted Exchange to Google Apps. This should be an interesting transition! Background:...

    Switching from Microsoft Exchange to Google Apps: Pre-Switch

    Posted on October 2, 2009 | No Comments
    We’re thinking about switching our company from Microsoft Hosted Exchange to Google Apps. This should be an interesting transition! Background:...

    Continue Reading...

  • FTP采用 C/S 架构,FTP 协议的特点是它在使用时必须建立二个联接:一个用来传输指令、一个用来传输数据。当我们使用 FTP 软件连到 FTP 服务器时,客户端会先连到服务器的连接端口21,并建立一条「控制联接」。接下来,您会输入账号、密码等指令,这些指令及 FTP 的响应都是使用都是使用「控制联接」。当您要下载文件时,或者是执行 ls 以列出目录中的档案时,档案或目录列表的下载是经另一个联机「数据联接」。「数据联接」和「控制联接」不同的是数据联接所传输的数据比较大,而控制联机只是用来传输指令及简单的响应。 以下就FTP的两种联接模式进行详细的介绍。

    FTP两种模式的详细介绍

    Posted on September 16, 2009 | No Comments
    FTP采用 C/S 架构,FTP 协议的特点是它在使用时必须建立二个联接:一个用来传输指令、一个用来传输数据。当我们使用 FTP 软件连到 FTP 服务器时,客户端会先连到服务器的连接端口21,并建立一条「控制联接」。接下来,您会输入账号、密码等指令,这些指令及 FTP 的响应都是使用都是使用「控制联接」。当您要下载文件时,或者是执行 ls 以列出目录中的档案时,档案或目录列表的下载是经另一个联机「数据联接」。「数据联接」和「控制联接」不同的是数据联接所传输的数据比较大,而控制联机只是用来传输指令及简单的响应。 以下就FTP的两种联接模式进行详细的介绍。

    Continue Reading...

  • Windows Server Update Services 3.0 Service Pack 2 (WSUS 3.0 SP2) provides a comprehensive solution for managing updates to your network. This guide provides instructions for...

    WSUS 3.0 SP2 Step By Step Guide

    Posted on September 10, 2009 | No Comments
    Windows Server Update Services 3.0 Service Pack 2 (WSUS 3.0 SP2) provides a comprehensive solution for managing updates to your network. This guide provides instructions for...

    Continue Reading...

  • 在IEEE 802.11i规范中,动态密钥完整性协议(TKIP)负责处理无线安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。 TKIP是包裹在已有WEP密码外围的一层“外壳”。TKIP由WEP使用的同样的加密引擎和RC4算法组成。不过,TKIP中密码使用的密钥长度为128位。这解决了WEP的第一个问题:过短的密钥长度。 TKIP的一个重要特性,是它变化每个数据包所使用的密钥。这就是它名称中“动态”的出处。密钥通过将多种因素混合在一起生成,包括基本密钥(即TKIP中所谓的成对瞬时密钥)、发射站的MAC地址以及数据包的序列号。混合操作在设计上将对无线站和接入点的要求减少到最低程度,但仍具有足够的密码强度,使它不能被轻易破译。 利用TKIP传送的每一个数据包都具有独有的48位序列号,这个序列号在每次传送新数据包时递增,并被用作初始化向量和密钥的一部分。将序列号加到密钥中,确保了每个数据包使用不同的密钥。这解决了WEP的另一个问题,即所谓的“碰撞攻击”。这种攻击发生在两个不同数据包使用同样的密钥时。在使用不同的密钥时,不会出现碰撞。 以数据包序列号作为初始化向量,还解决了另一个WEP问题,即所谓的“重放攻击(replay attacks)”。由于48位序列号需要数千年时间才会出现重复,因此没有人可以重放来自无线连接的老数据包:由于序列号不正确,这些数据包将作为失序包被检测出来。 被混合到TKIP密钥中的最重要因素是基本密钥。如果没有一种生成独特的基本密钥的方法,TKIP尽管可以解决许多WEP存在的问题,但却不能解决最糟糕的问题:所有人都在无线局域网上不断重复使用一个众所周知的密钥。为了解决这个问题,TKIP生成混合到每个包密钥中的基本密钥。无线站每次与接入点建立联系时,就生成一个新基本密钥。这个基本密钥通过将特定的会话内容与用接入点和无线站生成的一些随机数以及接入点和无线站的MAC地址进行散列处理来产生。由于采用802.1x认证,这个会话内容是特定的,而且由认证服务器安全地传送给无线站。

    TKIP详解

    Posted on August 15, 2009 | No Comments
    在IEEE 802.11i规范中,动态密钥完整性协议(TKIP)负责处理无线安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。 TKIP是包裹在已有WEP密码外围的一层“外壳”。TKIP由WEP使用的同样的加密引擎和RC4算法组成。不过,TKIP中密码使用的密钥长度为128位。这解决了WEP的第一个问题:过短的密钥长度。 TKIP的一个重要特性,是它变化每个数据包所使用的密钥。这就是它名称中“动态”的出处。密钥通过将多种因素混合在一起生成,包括基本密钥(即TKIP中所谓的成对瞬时密钥)、发射站的MAC地址以及数据包的序列号。混合操作在设计上将对无线站和接入点的要求减少到最低程度,但仍具有足够的密码强度,使它不能被轻易破译。 利用TKIP传送的每一个数据包都具有独有的48位序列号,这个序列号在每次传送新数据包时递增,并被用作初始化向量和密钥的一部分。将序列号加到密钥中,确保了每个数据包使用不同的密钥。这解决了WEP的另一个问题,即所谓的“碰撞攻击”。这种攻击发生在两个不同数据包使用同样的密钥时。在使用不同的密钥时,不会出现碰撞。 以数据包序列号作为初始化向量,还解决了另一个WEP问题,即所谓的“重放攻击(replay attacks)”。由于48位序列号需要数千年时间才会出现重复,因此没有人可以重放来自无线连接的老数据包:由于序列号不正确,这些数据包将作为失序包被检测出来。 被混合到TKIP密钥中的最重要因素是基本密钥。如果没有一种生成独特的基本密钥的方法,TKIP尽管可以解决许多WEP存在的问题,但却不能解决最糟糕的问题:所有人都在无线局域网上不断重复使用一个众所周知的密钥。为了解决这个问题,TKIP生成混合到每个包密钥中的基本密钥。无线站每次与接入点建立联系时,就生成一个新基本密钥。这个基本密钥通过将特定的会话内容与用接入点和无线站生成的一些随机数以及接入点和无线站的MAC地址进行散列处理来产生。由于采用802.1x认证,这个会话内容是特定的,而且由认证服务器安全地传送给无线站。

    Continue Reading...

Page 1 of 41234