计算机导论技术篇课件ch7

计算机导论(技术篇)行健不息创新超越第7章

信息安全技术Page2第7章信息安全技术7.1防病毒技术7.2加密技术7.3入侵检测技术7.4防火墙技术7.5电子认证技术

7.1防病毒技术计算机病毒的类型系统病毒、蠕虫病毒、木马病毒、Arp病毒、后门病毒、脚本病毒、宏病毒、间谍软件。计算机病毒的特点寄生性、传染性、潜伏性、隐蔽性。计算机病毒的传染途径（1）通过电子邮件进行传播（2）利用系统漏洞进行传播（3）通过MSN、QQ等即时通信软件进行传播（4）通过网页进行传播（5）通过移动存储设备进行传播

7.1防病毒技术计算机病毒的防范（1）引导扇区MBR保护技术（2）内核级自我保护技术（3）反病毒Rootkit、反Hook技术（4）虚拟机查杀技术（5）内存查杀技术（6）ARP防火墙（7）HIPS主动防御技术（8）云安全技术

7.2加密技术数据加密标准（DES）国际数据加密算法Clipper加密芯片公开密钥密码体制

随着互联网技术的发展，人们生活的方方面面都与互联网紧密相连，网络无处不在。互联网改变了人们的生活面貌，促进了社会的和谐发展。但是网络在给人们带来便利的同时也带来了威胁。数据加密标准（DES）DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密，每次加密可对64位的输入数据进行16轮编码，经一系列替换和移位后，输入的64位原始数据转换成完全不同的64位输出数据。DES算法仅使用最大为64位的标准算术和逻辑运算，运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于在专用芯片上实现。DES主要的应用范围有：计算机网络通信、电子资金传送系统、保护用户文件、用户识别。

7.2加密技术国际数据加密算法

国际数据加密算法IDEA是瑞士的著名学者提出的。它在1990年正式公布并在以后得到增强。这种算法是在DES算法的基础上发展出来的，类似于三重DES。发展IDEA也是因为感到DES具有密钥太短等缺点。IDEA的密钥为128位，这么长的密钥在今后若干年内应该是安全的。类似于DES，IDEA算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与DES的不同处在于，它采用软件实现和采用硬件实现同样快速。

7.2加密技术Clipper加密芯片新的数据加密标准完全改变了过去的政策，密码算法不再公开，对用户提供加密芯片Clipper和硬件设备。新算法的安全性远高于DES，其密钥量比DES多1000多万倍。据估算，穷举破译至少需要10亿年。为确保安全，Clipper芯片由一个公司制造裸片，再由另一公司编程后方可使用。Clipper芯片主要用于商业活动的计算机通信网。NSA同时在着手进行政府和军事通信网中数据加密芯片的研究，并作为Clipper的换代产品。它除了具有Clipper的全部功能外，还将实现美国数字签名标准（DSS）和保密的哈稀函数标准以及用纯噪声源产生随机数据的算法等。

7.2加密技术公开密钥密码体制上世纪70年代，美国斯坦福大学的两名学者迪菲和赫尔曼提出了一种新的加密方法——公开密钥加密PKE方法。与传统的加密方法不同，该技术采用两个不同的密钥来对信息加密和解密，它也称为“非对称式加密”方法。每个用户有一个对外公开的加密算法E和对外保密的解密算法D，它们须满足条件：（1）D是E的逆，即D[E(X)]=X；（2）E和D都容易计算。（3）由E出发去求解D十分困难。

7.2加密技术

7.3入侵检测技术入侵检测技术的发展已经历了以下四个主要阶段：第一阶段是以基于协议解码和模式匹配为主的技术。第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术。第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术。第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术。

7.3入侵检测技术入侵检测技术的分类（1）基于知识的模式识别这种入侵检测技术是通过事先定义好的模式数据库来实现的，其基本思想是：首先把各种可能的入侵活动均用某种模式表示出来，并建立模式数据库，然后监视主体的一举一动，当检测到主体活动违反了事先定义的模式规则时，根据模式匹配原则判别是否发生了攻击行为。（2）基于知识的异常识别这种入侵检测技术是通过事先建立正常行为档案库来实现的，其基本思想是：首先把主体的各种正常活动用某种形式描述出来，并建立“正常活动档案”，当某种活动与所描述的正常活动存在差异时，就认为是“入侵”行为，进而被检测识别。

7.3入侵检测技术（3）协议分析这种检测方法是根据针对协议的攻击行为来实现的，其基本思想是：首先把各种可能针对协议的攻击行为描述出来，其次建立用于分析的规则库，最后利用传感器检查协议中的有效荷载，并详细解析，从而实现入侵检测。

7.3入侵检测技术基于知识的异常识别入侵检测方法（1）基于审计的攻击检测技术根据用户的历史行为、先前的证据或模型，使用统计分析方法对用户当前的行为进行检测和判别，当发现可疑行为时，保持跟踪并监视其行为，同时向系统安全员提交安全审计报告。（2）基于知识的异常识别基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进，它能够解决传统的统计分析技术所面临的若干问题。（3）基于专家系统的攻击检测技术所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的，它根据专家经验进行推理判断得出结论。（4）基于模型推理的入侵检测技术用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。

7.4防火墙技术7.4.1防火墙简介防火墙是在内部网与外部网之间进行数据交换一种安全防护的手段，它可以保护本地主机免受一些非法人员利用网络技术进行攻击的威胁，同时仍允许双方通信。

7.4防火墙技术7.4.2防火墙技术1、屏蔽路由技术2、基于代理的（也称应用网关）防火墙技术3、包过滤技术4、动态防火墙技术代理服务原理结构包过滤结构图

7.4防火墙技术7.4.3防水墙技术防水墙对内网的信息安全主要有五个方面的功能：（1）信息泄密防护。针对连接内部网络的主机，通过网络传输、移动存储介质的拷贝和打印机打印纸质文献这三种泄密途径做全面的防护，且记录日志或文件以备事后追查。（2）文件安全服务。提供了对敏感文件的安全防护，引入了加密域的概念。加密域是一组防水墙系统用户的组合，每个文件在加密时均选择加密域，只有处于选择域内的用户才能进行解密查看，从而有效地防止了文件在传输途中可能造成的泄密。（3）系统实时监控。实时抓取并记录内部网的各台主机的屏幕，并记录受控主机的运行状况历史日志，以便审计和监控，是计算机安全保密的有效措施之一。

7.4防火墙技术7.4.3防水墙技术（4）系统资源管理。限制系统软硬件的安装、卸载、控制特定程序的运行、限制系统进入安全模式，控制文件的重命名和删除等操作，受控主机上的软硬件信息上传至服务器作为资源进行备份。（5）扩展身份认证。可接管Windows身份认证。如果接管Windows身份认证，只需输入合法的防水墙用户名和口令即可登录Windows系统。

7.5电子认证技术认证模式与认证方式数字签名技术DSA签名生物识别技术动态口令

认证（Authentication）是防止对信息系统进行主动攻击（如伪造、篡改信息等）的重要技术，对于保证开放环境中各种信息系统的安全性有重要作用。

7.5电子认证技术7.5.1认证模式与认证方式1.认证模式（1）用户认证：是基于使用者本身的认证；（2）会话认证：是对于用户访问服务权限的认证；（3）客户认证：一般基于源地址而不是基于用户的访问授权的认证。2.认证方式（1）使用生物体本身的属性来识别，比如：个体的指纹、手印、笔记、声音、头像、虹膜、DNA等个体特征；（2）使用认证者和验证者所共知的信息系统，比如使用相同的数据加密方法等；（3）通过使用者所具有事物进行认证，比如使用者的钥匙、智能卡等。

7.5电子认证技术7.5.2数字签名技术一般数字签名的格式为：用户A向B用明文送去消息m，为了让B确信消息m是A送来的并且没有篡改，可在m的后面附上固定长度（比如60bit或128bit）的数码。B收到消息后，可通过一系列的步骤验证，然后予以确认或拒绝消息m。图7.5是数字签名的一个基本过程。

7.5电子认证技术7.5.2数字签名技术数字签名具有如下特点：（1）签名是可信的：任何人都可以方便地验证签名的有效性。（2）签名是不可伪造的：除了合法的签名者之外，任何其他人伪造其签名是困难的。这种困难性指实现时在计算上是不可行的。（3）签名是不可复制的：对一个消息的签名不能通过复制变为另一个消息的签名。如果一个消息的签名是从别处复制的，则任何人都可以发现消息与签名之间的不一致性，从而可以拒绝签名的消息。（4）签名的消息是不可改变的：经签名的消息不能被篡改。一旦签名的消息被篡改，则任何人都可以发现消息与签名之间的不一致。（5）签名是不可否认的：签名者不能否认自己的签名。

7.5电子认证技术7.5.2数字签名的实现方法（1）基于对称密钥加密算法的数字签名方法基于对称密钥加密算法的数字签名方法的本质是共享密钥的验证。使用这种较快的Hash算法，可以降低服务器资源的消耗，减轻中央服务器的负荷。这种签名机制适合安全性要求不是很高的系统。（2）基于公钥密码算法的数字签名方法

7.5电子认证技术7.5.3DSA签名

DSA（DigitalSignatureAlgorithm）是在ElGamal和Schnorr两个签名方案的基础上设计的，是由美国国家标准化研究院和国家安全局共同开发的。DSA虽然是一种公开密钥技术，但它与RSA（RSA算法是1978年由RonRivest、AdiShamir和LeonardAdleman三人共同发明的、第一个既能用于数据加密也能用于数字签名的算法。RSA算法是以发明者的名字命名）不同，只能用于数字签名，不能用作加密或密钥交换。DSA的安全性基于求离散对数的困难性。

7.5电子认证技术7.5.4生物识别技术生物识别技术是指通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性（如指纹、人脸、虹膜、DNA等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定和识别的技术。1.指纹识别技术2.掌纹识别技术3.声音识别技术4.视网膜识别技术5.虹膜识别技术6.人脸识别技术

7.5电子认证技术7.5.5动态口令动态口令作为最安全的身份认证技术之一，目前已经被越来越多的行业所应用。它使用便捷，且与平台无关性。随着移动互联网的发展，动态口令技术已成为身份认证技术的主流，被广泛应用于企业、网游、金融等领域。上世纪90年代出现的动态口令技术主要分两种：同步口令技术、异