J计算机信息安全资料.pptVIP

* 数据加密技术 3. RSA与DES的结合 数据加密技术 MD报文摘要 1.MD的主要特点 （1）摘要是由明文经报文摘要算法（即哈希函数）处理后得到的128位长的信息。 （2）由明文生成摘要很容易，但由摘要推出明文几乎是不可能的。 （3）不同的明文产生的摘要不同，摘要可作为验证明文的“指纹”数据。就象人的“指纹”一样，可作为鉴别人的依据。 MD的作用是保证数据的完整性，即保证数据在传输过程中没有被第三方修改过。 2.MD的加密、解密过程 数据加密技术 数字签名技术 数字签名是模拟现实生活中的笔迹签名，它要解决如何有效的防止通信双方的欺骗和抵赖行为。与加密不同，数字签名的目的是为了保证信息的完整性和真实性。 为使数字签名能代替传统的签名，必须保证能够实现以下功能： ⑴ 接受者能够核实发送者对消息的签名。 ⑵ 签名具有无可否认性。 ⑶ 接受者无法伪造对消息的签名。 数字签名功能的说明 假设A和B分别代表一个股民和他的股票经纪人。A委托B代为炒股，并指令当他所持的股票达到某个价位时，立即全部抛出。 B首先必须认证该指令确实是由A发出的，而不是其他人在伪造指令。这需要第一个功能。 假设股票刚一卖出，股价立即猛升，A后悔不己。如果A不诚实，他要控告B，说他从未发出过任何卖出股票的指令。这时B可以拿出有A自己签名的委托书作为证据。这又需要第二个功能。 另一种可能是B玩忽职守，当股票价位合适时没有立即抛出，而此后股价一路下跌，客户损失惨重。为了推卸责任，B可能试图修改委托书中关于股票临界价位为某一个实际上不可能达到的值。为了保障客户的权益，需要第三个功能。 接受者能够核实发送者对消息的签名 签名具有无可否认性 接受者无法伪造对消息的签名 数字签名技术 将MD和RSA结合起来可用来生成数字签名。 数字证书 谁来证明公开密钥的持有者是合法的？目前通行的做法是采用数字证书来证实。 数字证书的作用如同司机的驾驶执照、出国人员的护照、专业人员的专业资格证明书。 通过一个可信的第三方机构，审核用户的身份信息和公开钥信息，然后进行数字签名。其他用户可以利用该可信的第三方机构的公开钥进行签名验证。从而确保用户的身份信息和公钥信息的一一对应。 由用户身份信息、用户公钥信息以及可信第三方机构签名构成用户的身份数字证书。 可信的第三方机构——数字证书认证中心CA（Certificate Authority）。 访问控制技术 访问控制技术用于保护计算机及信息系统免受非授权的访问。访问控制是最基本的安全防范措施。访问控制技术是通过用户注册和对用户授权进行审查的方式实施的。用户访问信息资源，需要首先通过用户名和口令的注册核对，然后访问控制系统要监视该用户所有访问操作，并拒绝越权访问。 有两个广泛使用的身份验证协议 （1）口令身份验证协议； （2）挑战身份验证协议； 防火墙技术 计算机网络中，除了存在信息泄露的威胁外，还存在着对内部网络进行破坏的威胁。当一个内部网络和一个外部网络尤其是因特网连接之后，就必然要考虑使用放火墙技术来保护内部网络的安全。 防火墙通过只允许授权的数据报在内外网之间穿越的方式来保护网络的安全。能阻断黑客通过因特网对内部网发起的入侵和破坏。 防火墙技术 防火墙的分类 （1）包过滤防火墙 路由器本身就具有包过滤功能，因此，包过滤防火墙常常是通过对路由器进行配置来实现的。因特网上是以数据包为单位来传递信息的，数据包分为包头和数据两个部分，包头中含有源IP地址和目的IP地址等信息。系统管理员在防火墙上设置访问控制列表ACL，列表中定义了哪些IP地址是允许通过的，哪些是禁止的。 防火墙技术 （2）应用级防火墙 应用级防火墙通常采用代理服务器来实现，也就是在一台计算上安装代理程序。代理程序负责检查进出的数据包，并在内部网和外部网之间通过复制来传递数据。这样，代理服务器会像一堵真正的墙，挡在内部网和外部网之间。从外部网只能看到代理服务器而看不到内部网的任何资源，完全“阻隔”了内部网和外部网之间的直接通信。 地址转换技术 路由器上加装网络地址转换程序NAT，当内部网络的主机需要连接外网时，NAT就会隐藏其原IP地址，并动态分配一个外部IP地址来替代。这样，外部用户就无法得知你的内部网络地址，这个转换内部网络IP地址的工作就叫做网络地址转换（Network Address Translation，NAT）。 计算机病毒及防范 计算机病毒的定义 计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。 计算机病毒的特点 人为编制 传染性 隐蔽性 潜伏性 破坏性 计算机病毒产生的历史 计算机刚刚诞生，就有了计算机病毒的概念。 194