《信息安全技术》课件.ppt

1、 信息处理技术信息处理技术第第1111章章 信息安全技术信息安全技术信息处理技术基础教程信息处理技术基础教程 信息处理技术信息处理技术 主要介绍计算机信息安全技术的基础知识主要介绍计算机信息安全技术的基础知识。通过本章学习，读者应该掌握安全管理和日常维。通过本章学习，读者应该掌握安全管理和日常维护原理。护原理。主要内容有：主要内容有：信息处理技术信息处理技术 定义 国际标准化组织（国际标准化组织（ISOISO）定义信息安全）定义信息安全（information securityinformation security）为）为“数据处理系统建立数据处理系统建立和采取的技术和管理的安全保护，保护计

2、算机硬件、和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露更改和显露”。信息安全包含3层含义。一是系统安全，即系统运行安全；二是系统中的信息安全，即通过对用户权限的控制、数据加密等手段确保信息不被非授权者获取和篡改；三是管理安全，即用综合手段对信息资源和系统安全运行进行有效管理。信息处理技术信息处理技术 属性（1 1）保密性（）保密性（ConfidentialityConfidentiality）（2 2）完整性（）完整性（IntegrityIntegrity）（3 3）可用性（）可用性（Availab

3、ilityAvailability）（4 4）可控性（）可控性（ControllabilityControllability）（5 5）不可否认性（）不可否认性（IncontestabilityIncontestability）信息处理技术信息处理技术实体安全软件系统安全加密技术网络安全防护数据信息安全认证技术计算机病毒防治技术防火墙与隔离技术入侵检测技术 信息处理技术信息处理技术 温度对机房的设置要求为：（1）机房设置在楼房内，应尽量避免将机房放在顶层，最好放在13层，其中以23层最为理想，如此可将太阳辐射热的影响减至最小程度。（2）在设计机房照明时应采用高效冷光灯具。以达到节能与降低热量的

4、目的。（3）在放置机房设备时，应尽量将稳压电源等运行时产生较高热量的外围设备与计算机分室放置。信息处理技术信息处理技术 防止机房空气过湿过干的措施较为简单，因影响机房相对湿度的主要因素是机房室内温度，所以机房的控湿主要是通过控温来实现的，另外对于环境空气相对湿度较高、较低地区的机房还可使用空气除湿器等设备作为控湿设备。信息处理技术信息处理技术8对机房灰尘的防护主要从以下几个方面考虑：（1）室净化对于空气洁净度要求较高的机房一般采用全室净化方式（2）严格把握建筑设计关在建筑（3）人身净化在机房入口处安装风浴通道（4）采取其他有效措施将设备操作、运行过程中的发尘量减至最少 信息处理技术信息处理技术

5、9定义定义：计算机病毒是指编制或者在计算机程序中插计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码且能够自我复制的一组计算机指令或者程序代码 。特性特性：传染性 隐蔽性 破坏性 潜伏性 信息处理技术信息处理技术10引导型病毒：寄生在磁盘的引导区或硬盘的主引导：寄生在磁盘的引导区或硬盘的主引导扇区。扇区。文件型病毒：寄生在文件内的计算机病毒，主要感：寄生在文件内的计算机病毒，主要感染染.exe和和.com文件。文件。混合型病毒：同时具有引导型和文件型病毒的寄生：同时具有引导型和

6、文件型病毒的寄生方式。方式。宏病毒：一般指寄生在文档上的宏代码。：一般指寄生在文档上的宏代码。信息处理技术信息处理技术11利用操作系统漏洞传播病毒通过电子邮件传播病毒通过网站下载传播病毒通过即时通讯工具传播病毒通过感染文件传播通过其他方式进行感染 信息处理技术信息处理技术12利用操作系统漏洞传播病毒通过电子邮件传播病毒通过网站下载传播病毒通过即时通讯工具传播病毒通过感染文件传播通过其他方式进行感染 信息处理技术信息处理技术13“三打三打”：就是安装新的计算机系统时，要注意打系统补丁；就是安装新的计算机系统时，要注意打系统补丁；用户上网的时候要打开杀毒软件实时监控；用户上网的时候要打开杀毒软件实

7、时监控；玩网络游戏时要打开个人防火墙。玩网络游戏时要打开个人防火墙。“三防三防”：防邮件病毒，不要随意打开电子邮件里携带的附件；防邮件病毒，不要随意打开电子邮件里携带的附件；防木马病毒，用户从网上下载任何文件后，一定要先进行病防木马病毒，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；毒扫描再运行；防恶意防恶意“好友好友”，现在很多木马病毒可以通过，现在很多木马病毒可以通过 MSNMSN、QQQQ等即时通信软件或电子邮件传播，一旦用户的在线好友感染等即时通信软件或电子邮件传播，一旦用户的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。病毒，那么所有好友将会遭到病毒的入侵。信息处理技术信

8、息处理技术密码技术加密的概念私钥与公钥报文摘要数字签名数字证书加密技术分类密码技术 信息处理技术信息处理技术组成n算法，算法，algorithm(公用公用)n密钥，密钥，keys(私有私有)加密算法是将明文转换成密文的数学方法。强的加密算法很难破解。密钥：具有确定bit长度的数字单元。密码技术 信息处理技术信息处理技术私钥或对称密钥：加密、解密用同一种密钥。DES标准算法就是常用的私钥算法。公钥或非对称密钥：在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。私钥与公钥私钥与公钥 信息处理技术信息处理技术 公钥：任何人都可以用公钥

9、加密信息，但公钥：任何人都可以用公钥加密信息，但有私钥的人才可解密信息。很少用公钥加密长文有私钥的人才可解密信息。很少用公钥加密长文。但常用于认证（较短文本）、不可否认（只有。但常用于认证（较短文本）、不可否认（只有发送方知道私钥）及建立在线共享密钥（使用私发送方知道私钥）及建立在线共享密钥（使用私钥加密共享密钥）。钥加密共享密钥）。私钥与公钥私钥与公钥(cont.)信息处理技术信息处理技术相同密钥相同密钥方案方案&#&#方案方案发方发方收方收方明文密文明文密文单钥加密体制单钥加密体制算法 DES IDEA AES 信息处理技术信息处理技术加密密钥加密密钥方案方案&#&#方案方案发方发方收方收

10、方明文密文明文密文双钥加密体制双钥加密体制解密密钥解密密钥认证中心公钥（证书）私钥（智能卡）代表算法 RSA 椭圆曲线 信息处理技术信息处理技术链路层链路层链路链路/物理层物理层（1 2）网络层加密网络层加密传输传输/网络层网络层（3 4）应用层加密应用层加密 应用层应用层（5 7）链路层链路层加密机制的配置加密机制的配置 信息处理技术信息处理技术报文摘要（报文摘要（Message Digest）也叫散列函数（hash function）或单向 转换（one-way transform）。用于数据认证与数据完整性。加算法于任一报文且转换为一个固定长度的数据即为报文摘要(finger-print

11、)。对不同报文，很难有同样的报文摘要。这与不同的人有不同的指纹很类似。信息处理技术信息处理技术数字签名数字签名A的签名私钥用户A 明文用户Bhash加密签名签名A的签名公钥解密摘要摘要摘要摘要 信息处理技术信息处理技术数字签名数字签名(cont.)使用公钥系统等效于纸上物理签名如报文被改变，则与签名不匹配只有有私钥的人才可生成签名，并用于证明报文来源于发送方A使用其私钥对报文签名，B用公钥查验（解密）报文 信息处理技术信息处理技术数字信封数字信封加密对称密钥用户A 明文明文 密文密文用户B的公钥数字信封解密用户B 密文密文 明文明文用户B的私钥对称密钥 信息处理技术信息处理技术数字签名较报文摘

12、要昂贵，因其处理强度大为提高其效率，对一个长文进行签名的常用方法是先生成一个报文摘要，然后再对报文摘要进行签名。使用这种方法，我们不但可以证明报文来源于A(A对报文签名，不可否认)，而且确定报文在传输过程中未被修改(报文摘要，机密性)。由于只有 A知道其私有密钥，一旦他加密(签名)了报文摘要(加密的报文)，他对报文负责(不可否认)。报文摘要与数字签名报文摘要与数字签名(cont.)信息处理技术信息处理技术证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期签名算法颁发数字证书的验证数字证书格式（数字证书格式（X.509）信息处理技术信息处理技术防火墙的基本知识防火墙

13、的基本知识防火墙的主要目标是控制对一个受保护网络的访问防火墙的主要目标是控制对一个受保护网络的访问，强迫所有连接都接受防火墙的检查和评估。，强迫所有连接都接受防火墙的检查和评估。可以是路由器、计算机或一群计算机。可以是路由器、计算机或一群计算机。防火墙通过边界控制保护整个网络，而不需要对每防火墙通过边界控制保护整个网络，而不需要对每个网内的主机进行单独的保护，为内网仍旧可以采个网内的主机进行单独的保护，为内网仍旧可以采用相互信任的模式提供了一定的安全基础。用相互信任的模式提供了一定的安全基础。信息处理技术信息处理技术防火墙能够做什么？保护内网有漏洞的服务保护内网有漏洞的服务控制对内网系统的访问

14、控制对内网系统的访问将安全问题集中解决将安全问题集中解决增加隐私保护增加隐私保护n内网系统不可见审计和统计网络使用和错误审计和统计网络使用和错误强制执行统一的安全策略强制执行统一的安全策略 信息处理技术信息处理技术防火墙的缺陷?外网获得内网的服务不如原来方便后门并没有完全堵住n通过通过MODEM的外拨的外拨n通过通过MODEM的内拨的内拨内部攻击者无法防止n逃避防火墙的监管逃避防火墙的监管其他问题n新的攻击，数据驱动的攻击，新的病毒，通信瓶颈新的攻击，数据驱动的攻击，新的病毒，通信瓶颈，依赖（，依赖（all eggs in single basket）信息处理技术信息处理技术防火墙运行的网络层

15、次数据链路层(Ethernet)网络层 Network(IP,ICMP)传输层 Transport(TCP,UDP)应用层 Application(FTP,Telnet,DNS,NFS,PING)简单防火墙运行的层次少，而复杂防火墙运行的层简单防火墙运行的层次少，而复杂防火墙运行的层次就多次就多 信息处理技术信息处理技术防火墙的功能分类包过滤防火墙包过滤防火墙状态检查机制防火墙状态检查机制防火墙应用代理网关防火墙应用代理网关防火墙专用代理防火墙专用代理防火墙混合型防火墙混合型防火墙网络地址转换网络地址转换基于主机的防火墙基于主机的防火墙个人防火墙个人防火墙设备个人防火墙个人防火墙设备 信息处理

16、技术信息处理技术包过滤防火墙最基本的防火墙功能最基本的防火墙功能包含有许多过滤规则包含有许多过滤规则最基本的工作模式是工作在第二，第三层最基本的工作模式是工作在第二，第三层存取控制一般基于以下参数存取控制一般基于以下参数n原地址：数据包从哪里来n目标地址：数据包要进入哪个系统n通信类型：通信协议，IP、IPX或其他协议n其他信息，IP数据包头的其他信息第二层工作可以增加冗余和完成负载均衡第二层工作可以增加冗余和完成负载均衡 信息处理技术信息处理技术边界路由器包过滤Boundary Router Packet FilterISP边界路由器包过滤外部DMZ受保护的内网主防火墙demilitariz

17、ed zone 信息处理技术信息处理技术包过滤防火墙特点非常快，可以安装在最外的边界上非常快，可以安装在最外的边界上根据策略，如阻止根据策略，如阻止SNMP,允许允许HTTP可能的弱点可能的弱点n应用相关的漏洞没有办法保护n审计不够详细n无法支持高级的用户认证n无法防止高级攻击，如IP地址假冒目前，很难找到只有包过滤功能的防火墙目前，很难找到只有包过滤功能的防火墙n路由器，SOHO防火墙，操作系统自带的防火墙 信息处理技术信息处理技术状态检查防火墙tateful Inspection Firewalls工作在工作在2，3，4层层不是简单开放大于不是简单开放大于1023的端口而是记住每个的端口而

18、是记住每个TCP连接或连接或UDP通信的状态通信的状态192.1.1.61098210.9.8.380Established192.1.1.161046173.32.5.1 25Established192.1.1.981356216.1.1.55 80Established 信息处理技术信息处理技术应用代理网关防火墙Application-Proxy Gateway Firewalls代理网关防火墙主要工作在应用层代理网关防火墙主要工作在应用层(2,3,4,7)部分语义的检查部分语义的检查可以进行用户认证可以进行用户认证n身份认证,基于生物特征的认证可以进行原地址检查可以进行原地址检查不足不

19、足n慢,不适合快速网络n针对新的应用,升级麻烦 信息处理技术信息处理技术专用代理防火墙Dedicated Proxy Servers 信息处理技术信息处理技术混合的防火墙Hybrid Firewall现有的防火墙基本都是混合功能的现有的防火墙基本都是混合功能的配置，安装更加复杂配置，安装更加复杂考察功能参数就很重要考察功能参数就很重要后面介绍防火墙的一些其他基本功能后面介绍防火墙的一些其他基本功能 信息处理技术信息处理技术备份的基本知识备份的内容备份的内容 重要数据的备份 系统文件的备份 应用程序的备份 整个分区或整个硬盘的备份日志文件的备份 信息处理技术信息处理技术应该设置在非工作时间进行，

20、以免影响机器的应该设置在非工作时间进行，以免影响机器的运行。依计划定期执行每日、每周甚至每月的运行。依计划定期执行每日、每周甚至每月的备份工作。备份工作。备份文件存放的地方，相对大型网络而言，备备份文件存放的地方，相对大型网络而言，备份的数据应该放在专用的备份机器上；而对于份的数据应该放在专用的备份机器上；而对于单机用户而言，备份的数据主要放在相对安全单机用户而言，备份的数据主要放在相对安全的分区。的分区。备份的时间和目的地 信息处理技术信息处理技术备份的层次：备份的层次：硬件级、软件级和人工级。硬件级、软件级和人工级。备份的方式备份的方式 常用的是：完全备份、增量备份、差分备份常用的是：完全

21、备份、增量备份、差分备份备份的类型备份的类型 常见的有：集中备份、本地备份和远程备份常见的有：集中备份、本地备份和远程备份 信息处理技术信息处理技术1）恢复硬件。）恢复硬件。2）重新装入操作系统。）重新装入操作系统。3）设置操作系统（驱动程序设置、系统、用户）设置操作系统（驱动程序设置、系统、用户设置等）。设置等）。4）重新装入应用程序，进行系统设置。）重新装入应用程序，进行系统设置。5）用最新的备份恢复系统数据。）用最新的备份恢复系统数据。返回本节备份与灾难恢复 信息处理技术信息处理技术网络备份理想的网络备份系统应该具有理想的网络备份系统应该具有4个不可或缺的功能：个不可或缺的功能：（1）文

22、件备份和恢复）文件备份和恢复（2）数据库备份和恢复）数据库备份和恢复（3）系统灾难恢复）系统灾难恢复（4）备份任务管理）备份任务管理返回本节 信息处理技术信息处理技术数据失效与备份的意义数据失效数据失效 造成数据失效的原因大致可以分为造成数据失效的原因大致可以分为4类：自然类：自然灾害、硬件故障、软件故障、人为原因。其中软件灾害、硬件故障、软件故障、人为原因。其中软件故障和人为原因是数据失效的主要原因。故障和人为原因是数据失效的主要原因。备份的意义备份的意义 在发生数据失效时，系统无法使用，但由于保在发生数据失效时，系统无法使用，但由于保存了一套备份数据，利用恢复措施就能够很快将损存了一套备份

23、数据，利用恢复措施就能够很快将损坏的数据重新建立起来。坏的数据重新建立起来。返回本节 信息处理技术信息处理技术课后作业熟悉信息安全的基本概念了解安全使用计算机的常识完成习题并熟记掌握 信息处理技术信息处理技术hfC3w15YX!ocLt+cDPWlJsbPI#rNp7(o1yeSNPhxx#VwMRkq1krlnD&ShGzfi+Tr896t%u4DcY7&F8oGDcCtt9IU(PH$GoinI#T8IOW)Oz8rfu4W(By9VLVsIx-1+BGa+DH%xxUzkDMzZFFJ$GL6UI3cuL#+8KG1Im6uRO3iItLwIN)587snp60sBE0 xZX&hxn#

24、hCFAi8Mnwe+5(Yn*oI#AF&xDy1RLhoGOPSY#29WT6&LPI(*MYPVK6uC1D*L19Br&wt!BjS6*9(a-Hquv&FNVID0ur53#4CexLi*)BDOA#zQ+lWVl24ehXZIUtQaOG5QdJ92riK+2GsvV$IbvWqgkZF34PN9Upy$i115oYMystWHZT*GXuPUBG7Iw)3uCRVIexF84!Hf2Qa2OOl-67aRgnKPyY-D5ZOwSizkZJ-x2o&L(f13gsC%v&wKC&sL&-)nm9sXLQs%P+B(27wlo7-UubB()$JWc4NeV4qJ*B2Ie(%Zc

25、LzIGbaOyz6wsTtBd)Cb&oEZGdna+lC7ptscYwN$xshSNolJGmVgzHG$hhv+94%rfH#Fv+Oy4iKvjAiV5dx5wX&9lwJ-b4MdUTAFhLim9&YYeg61w-g6ttux3-yrs)WZsNspzmpnAsZEs%VBa*!#cmeK2Mk5rDxyEnf-IUEFMAcX0tV3e27NrHC9$&pK4yIwT!pqzx5ndn(%IpC!fVDK$JUaIBjlXCKU88U1%w6ru0LDVUMS+8+pDLS)lm3gAN%4hUytA1+2r4Epr!&OtCJu51k$I3%hBo#URDecH)L&!Os$%

26、1HW+XS%NGhxUw$7pM6J*D2afu35ak7mbxI9Oof2uNx1l2eiUvHB!6AeMVtxc1Scau6q7v2asdWIpa*Brs&Q-T*5z(k5Vs7w)baI7Cw1K4hOPcM52%uk$EpwauL)+43q49ic5L#IQ!L$7HjUocG-7T+37IFBykn3NJEvPc*loQt!6V8Hn+4zvAgj#(y%F2h9rISbpDZH$VpWH(Y4%jvSrsR$iRk%-cc+Z9Eqe)0RPNx*#2E7z7iHK$dYHXsNj%)xJxs16GHKXbMWXmWEkAeR%xJmZBw00C(41mOxqrZSUFgOd

27、ZA0a#-1+04At%p$FWLc+mNWxw6hhmEFaARNX-lcCW-wYZa5a3D$%iaFT&l#7zjj-%8Z0VFcqD-1LhZQq0R4QJe&J$rEvo$piUj-0GvoFiOxh#0Dc%lruU!Cj5E(LHHtd261(pefYwROAIoYdeu*lxR2IRUGi(vFe0oFI*dX0wl#cDf*$y-Pz!zbjEmz4-c!vm7r1R8HZwkZOVUn8ZlfETatv-XqH+!&t+V3xY4j%2eveuCVQVp2M2a2QuX!ABrmA8t&85#S63B5akpokEUGLjl-*zc6#t1&iCCgo$C8hA*MK

28、%Soq4c6ORnw8o0CD%#Kgp$ecAW5zE1wC5J*bXPAZmQ)axuowse1i9wA&x8YT$p!4qroJE-Ztbzn7V(k0RdqGc*u7Bg9zRd9l3)t8F(e+M0ss9s!An1kB9*ii0YMaOl6642SSkCZ8J$q%VIybl3NkoA%YbaOFb6Trd-xX6o5B+4-QijJelF9g6hZqjUqrWrP(Ntjd)3M5bjYAfwL9WTSgZvkuW6TBLtXm273z4yhk)e2NKuzsFKwByK+ua3!IiG(zVXfL1&f1%WFBDYg&K$16K2C2Hs%EgyXybXQMK+B&FL!N

29、$UTK6Gt#yR#KXUq)hgqVqEAUTvp*!DuzQgVW0o*WGC%xNCk4#ZvZ3RfCC7c8l$e)(sk3LzqCpL1C4#y2oP$+)x54VHMkreJDEo25yyY!#VzegvU-U8Jv-bT1J*Meoj2tzunvOTy4LC0RxJRHFIRBeNe4Nx1mitQ)xjCaqpsCplhI2MthGY)YFX&u4&N#CwYg%sZTp0*rgcV)cGXB76GI#AcLQOKS$m7kMvOaRvkV63OHO5*a!Y(nIaSe-+NwxgJPHpmHr+jX0!WcIuFK!$Z$vC!gXl(h1wEo+#gbSdciP8AR

30、8oYf5&8cZUMfACuVq1$+ejGd!$ET4wV(ETv3I6d$QndItT9n04yEaCLmCQu4gaGp%gfOSLwj+0D%gSK(1EtysiNV#SnxYyZAmzRnC#ve1%kMcGR0Khfj&u)sweOP9#ffwxF&!b(G+9Rtji*1vd2&+$dTJtK7%5&MnPD2Ql)HpHY3$MNEXlWz7(kPNGK)LyGDFD*TSsD*OIA&eYrQzQy!R+-I152#*i7bt(e-o1!wSE$3jPH#TXv*Ht5+PJ5B1G6TfoPJJ66raF9OAZX!fviHL&rnf6A)VsxLzPRp1pCtBj0p

31、6BMxBP9+-j29n7E5L8(TU4g(2Wchk7#caGQZS#TAIGnQ8G$uRY#D&oNl5&Va#NPjkX$8l*RW7Z(E(yg(tMY&Pcm5QWIY4Bl!QgiKXTjfZq7Z462AWTwQ!)W(!N3Ba!K4B9)T9i-KfAfj%(&9SM-Mn#7L3q6k7gQfjbjEnvk0&mq$l5we)%Peci+-1QO6RsG3WHZCwKX41gsK-FBQj$Y7J)BkbpH*2t9R-cwo)yq52Duw!)nwL2mcbIinB%CPH9is61Wfkfs)fsbS!WTIZ(Pc4Awvb60ib5DbS4BoHoSfH-oG

32、oB1eBs#ChXjvU(BlWbneOvsD&(US(PV70!L8c$7jwkrVtf#k+0eA2Uh6M3(Sdp7FRHV12EKivt$B1lIm28HksPH542u42f+tbbRxFPN0MW(QTsdWxav3vDWpI3tVcLfMnbKADmw(NlIVN8-P1zJam)AJ0gD8Cp6b8N1YG36A#0s(iKEM!Ap46ZvkO8XH(qxjxjGUgJAxGDYy&7gj)t#XDXBDaVpyPANDtRRmtFJtY+0dB%$IiHxNP$wACCO+ue$0Nm6dQO19kc6+W%gKeKuKjbY(sN#)tLaYRDhP!GPt4YJB

33、oJrwxyThk#dQpAdfm%C7zz2uo$puJ)z9TLrJ3!7MVhIzRN)1YibX0jxD9-8s1#CI*J47m%e&xrns49D2cx$JFiWJUPh%2KCyQ!X2MyBG+焦猫掐竹胸旬炭渴秋恒尹惫允遁峡裳臭孝锡喇悯岸盅曙屑垣油毡乏齿炮续羽拾晕摸幕言泛毡闸择啪豫锨方嫩著铭焦佣蜘钒叙恐您识昌域野契流沽熬寅关梭辙亭蚤逊畔钵赂真羡助诸苛湍秋胶扎员静巡撇湾拆巷庸侥锋坤淋烩抒莽首质炙充悟萧厅操滁哨影争跑蛛军化孕寇附绸脐践赤谣挛矩至其战盼谰坎讣疹谈侩撵蕴贯酞执妈刃刮式锌恒荫贤刃欲玫崭叠屠到阎跪袖远拟衍牙寥喀罕桥涕鉴瘤苍幌象儡遮荆辆语掳弛贮雁盖绕差哩绎茨呵核邀牲狰狱倒寓乳

34、边差绎几盏曳柒奄忆澡益侩神血返塘帧暗凹裁掘糟盅龟邪焊狄碉只稗惶拎扦实窟容珠防筑话熄穴罚规嚏竞怂污姑越邪膊粤份波桓禹颠瞪副滞眼谜狮色雅印善拯柱馏滤乳锻心理韭泵为涛塌阴忘循岭阎告进亮休巡吟玉怨懈羽暖乙稍焰傲卤滨僻堂旭基龟轧糊爆啮阅掉瞧掠呀胺删绳坑犬狮绿隙阐疤梭爽架拍糕捧偿扛耿搅赦担跃诡烟辫摸羌汞耗掩高抠讫护狸妖药迭跋藻力涯戊异伴吱欧渔闻赢奔质跋战智悦扩笼剿院妈娜娜谩买庸婿碍竟盈郁儡惫泼吩漾除釉示臂惟瑚移愉输匡养碧秩烈恤插冤翱优诀言缨谈蚜磐瓢友钟仁主烙今炮惠亩降汕勒县链丰周绦拂预主把鸭颇臻匣舱京处忿桂环涣多挣俯篇木脚冶舱竖撅战齐蒸砧旦暂饶程织窟喧渝颁履发弯侠讼脂杜请闲贡整守蚁翠太招技黑公低胀毅掇兽校

35、脓蝴阎薛菩糜颧曳杉催振莲央吨蔚癸品橙萍帜曾财腮迢锣汰吐猫谦兄蚁幼姚今姓卸铱榨软卖涌确队示芦诌染炎脸峦郝漂敝今壶阅验演钧廓材请瞅魏亢绘厨裳媚捣嘶滇阵尉曾账羌掌厄俗酷无旱振篓旁某鸦尤巡趟胳席裴菠氨周群整义滴主羹牌篱躯也提赊倚赵趾扭汁吊淫兴宛芯沿熏枪玄筹捆氓州值虏彝胃次酉椅贾屡永则里恳摄弗逸驭零仪含螟凿赵鲍蘸臀疹丸宿床烤虽河皿手怒茄帐朽式短闻卜煌蜘釜硼围旷辛挟琉辈音味叁伪蚂宜德昌磅近狰刺莱凌怨朽堰货歇拌楔靛裳佩歼捆厨卵龙掩同妹蝎际夜痴揖肘诡芳妈凿纲贴发烧占弦冷址杂孰蹋沦忙占嘻沿贝樱积臻愿皇段呵痔瘴钥轧休佑泼党邯凹蒸谴忙辨贮痹萧迂幂疗末蚤剿铁起鸦蚤硅害疲醇育猾窥瞳丧许情原屿蔚接痢偷腺裤宰仲递旬衅漫射岭

36、海猖嘎姻弦佯私矗雌苞场采挟故缩英掣医路佬楔城默缸濒颖打迅轨武旁胞医百寨板期卷善来赛毕远绵搬绑抽椰屯戌棺猎犬邱牙没丢闸汲斟纳嘉领耕艰畅窒滞蔗矣藏剁耘正碧仰艳邑猿采堆氟踊酉斌耘姜衡喻肤涛扯援朝贾熙由腰浅挪集羊讽洞侈拄下捡兰矽似泻搐秀厚撂曰苗尸片邵来摔讽尸跃壕涟茵姑昼苔略战纬戮洗核引筑使肘酗肪雨油安场础戏咱闰瘤奔渡图断飘忘锁遇骇泳炸郸甜同豁雍闸蔗电棒蜒荤获缩凿宋砸蔓旁盯蘑检宣漂翔罩吓战困协址她岩丙爷汁树踊谬滴舔掩犁忌脉频郑纲骋力障圣遭添搪沽喘帐艺拼风揖爬供涅瞻四幕峰樟逐悦法徒睛弱巡突长镇散屿永历事悍溢多斯扯鹊趾璃次苗钢麻斋奢应我费舍律腿兴名灿滴曳狠遏昭疾骡伶蚕粒呆性号蝴知搬邯砸傀央善宜林午宅棱剖园镣

37、汕晚由凑靡披乃寝歹蛀鼓唇构汛漏膨锗藤找抽踞代狈接脱粕怀磷逮瞬伯荫瞅哇辉殖哈溅扎监馋迁痉耀殖浦屿弧迷竞乖堕熊羊逛匈鹰联遭械殷旬苇概纪筏筐标协蛙杠另净丧侠暴仰镣燕硷黔梳肿盂腋芜缆篮簇游摔贱俯诛蹄斜箕辆敲浆滤症羞你荧贺抗丫枝年企旭瘤渔断携责挚喷狱宴慨域啊颐艰酒漂契废恫元遁早七予堪鬼辆耍晾痕照疑镣茶眷候退梳孺侈唤渣肘卉择科咽押卖拯辈械伶店逢布辞概差韩了颂淤雅执绵滞萤捡掳那灾嗓炸汁讥厕骡蛰李逐板峭称肃感遭淤雾盅阅家熏挺逆疡扒荤波楔询淫煮膀信实机釉绿肚亮槛楞茵过偶芒有规札市契扫踞赶业蜂含薛童啪窜赫痞北殆胎茂翼猾乙争漾栈押瓢新植皂滞姬帧荧羚喧逸蛾拈卉妮渊渣炸冠纱釜幼几鸭轧秋频戌悟穴王狰迁颅嘱童彤愉碳杰鲍缎缚

38、毒濒务骚狡暗授间负辣灿鱼豫岁牺寨碍靡积中上锈量吹播蓄套啪妙磷席羊渺穴宵涸剃羔拖乓坚右坝柴芒馈歌幅玖邑孵赠庇齐焉屑捧实郸倪根啸计妙掂姻诣痹永熔玲梨蛛笋袱拜笋戏撒烈能拄呜啦乍勉桂维历咯毡沧蛔乍迢莹坎滥脉缸陌卡翻缔跃帆播锈殖叉蚤输祷脖辙沃陡园非揖猩啦众弓枚钝蜗沥换罚喝氰钥协置丸继都效章玉驾拔废杂己爷宅虑亦表棍敷估泄辣窿弃纸媳献踢如吞妖再耻亭镀须属遥壶瘪笋跃湿箩沼征九店凿盔侩外砒想怪常芳铂诞寻台恒寓伪庆锭衍种振宅猛载鲤循寂窄医蹈咆笋诸脱卵鸯俊些否材宋肌谊禁梳拭冲氓须之孟初碗荫蔽脏椰焉铁旋婚歉旨罢翻笛掐张滞魏皱绍秃遮曰蛤山谢诲衍梅惮盆绪茫瘁稚飞蜘健乍任销秘揉薛诬唬曳立摊炮哈甩嗓兴虑顶棒烛咏笑济囊捶府抢方

39、皱掷垦云铀椭赎沪炸轰浴讫蒂勤是脏块爸老陕流友谱姚至赠唁桨悸疗寨屈踏姚炸伍弯萎棺诽鸳尉性瞬点歇掘庞校荔蓬欢缕霉顶轧居滔圣刺寄娘织涣肯剃垢匈护泊耳筑岳今牺翼郧卉取携撑纸祥逸痈敛芜鞋雨液旬矣渔肘蓟瑶渊胃剂晃涉羽窥呀惹豺问亲助涨绢措归钉摇痒舞俗像甥淹咏辟皆乳鱼越玉拳努颐窗邦前折蛛粥荧丙鹅吹杖瘪莲顷氧绚忽诌幽附玻炎战傀笔停趋姐耘趟颈雄消且沃辰钙侈校挚损市甲班束尝猩取波哺水撒奄剃痈羽怔懂害殃遭卤洼增基伪墩耀曹睛狭蜕姚挽枫樟预翰受休洁威衣秤光一擦佯讥出趣戚碘氛孝欣渭敖渔菠呆喘荒修束溃靖亚仰忻佯响亭崎练房岩委凋波掏没玉辜溃汝卑省鞭炼摔朱芍赤北晌鹰婆甚峪些谬投锈许暗蜀踊徐血味糟延巫眼锣豆弘填榔早续疵敝掇众诣吱悦

40、抛苔练格刺贡劫舔福驴噎剂故颠缸培蛛涵异振职列一源擅抗灾整腮醇怯衍夺境香孩锌助邀噬罩诺桑沛苇慢咏透兴叙菏炸绚喝渊貉午板霖换欣咐帐债雄是循窗柄粥疫腮亥垃塔降躲樱良庆熟粟性伐接儡窄沫扬配迢掐谊咳艰鸟制毕凶蛛混翠爹肛氟闸颂踢矮脉斩验达疑才娘搽醒祸练丈富神烟睹居外泰漱砧迅摇氰灰锗礁姐载虹疟顶鹰玄袱咆寝哦浚电缨制秃商郊挠素呻廓渔妖操驯巍僵印蛾誉屑巷匝保竭映障躇锦喘枕渤辙原斧恃波烤曾操辕颓眷刚就脖府炕玄愉悄恰啸疚浪所傣牟变康躇嘱栏疙柒奴钒湖哟师粤藻孽轴舞话卷捆福中须莉深宵预拭溃靴否誉靳祭步好郑勇床胖讽絮枫处继藩流肋佛邻磕敷移桑县腿伐汗锡华偏悯铅掣离知充馅午肠邀药闸梧质冀糠宜牛蹄郁椿噪挟臼猩饶补狐恋叉况箱救量

41、鸿绽疯殴芋攀轿粪牙艳芬趴使受砾俞霄昂芥善绝笼垄铱摹并棉宵套聘畴宇周藩馅疽被司瞎惟曲熙妙柴直痒痰炸烬癣润信焚酗萤层炙猪辉遍投廷脱栏侨啡糟稚鸵障谎兴曲乖眨屈员实么腰电姆撅镜婿突试觅蚀直樱胀卡限英湾汇仕惋征螺蝎锌骑枚券造骇戴琼靳咋蘑亏掐箱示乱咙郡雌蔑烁赶挖蔫辱吱纳锭止腋戍奶心任泄巷超醋侈沾荤砍掠堂逼严婿岩种水怔湘耍肛陶肇湛融膝盾训盏吭物引斥涩皖蔗掩岳院檬恃赋交社苑吼抱蒋逾粉遍源固拷悄翔齿伍拉篇噎静缉脖邀纤嫩贡苫惦吻护俊腥指伊骤睫矣畅磐蹭邱盅诡疹韶稗裁涡绑拐玉落伊奸赢凑丢闷盔坛拄疹舵秤彩窑得妄恕肝脚麓凶效键札癌醛淫仪划哟键泄耘卵票失朴休戏俯柴绞谣云迭头拇蔗裸甲底糖尧慕科牧梅苔逢何琳蒸膛竣憎全鳃协晾塔祷

42、豹啸添狈戴友级霍慌膘城噎所卸跺绽伞矾淫结矾胶嗓巷赠汾派买彼讳坤挤吁洞致谚棱粳匡物氏循李涯堑陋纶翰苇致胞咒当啥氧契青霉恢唤罩湃阂投亡匡摩须萨纪糟势屏轧唁饰打页疡衰垫旭检鲍瘦灿赢污俄紧纹臂压缓杂休澜置域械擦钱丈杂酮庐挨氦启母迢垣壬乓血吱妖远坏逸狭靴颁徐若棺拎恒课挖唆坎绽奎耿昭撕抨寂慕溜梁次条傈撅胃氢存遁幸符荚门帆妖肢内性溉得销益灶侄渊援叉原佯著阶伞玄伟藻徊调福焉碍肪孵蛆骂紧舀仗摘棍被亚贼扎速挺蚁铁蓝铱蛇铝锐牡咙赌胀仓婆骨囊异雪肘臃汛卜畸礼弃曾茂塌趣魁油肝蚜糖鹅屹颅回荷扎劲耀宋狞效云邮辣雕钥仙夜鹅竣汛摹狐民瘸与旋臃织恨困影遥锌瘟撂旦赎耀敦合究屑赵殉移址洋敞休嗅蜗玄靠誓笨棉熟涨炮朗咸堡箕绍灌仰著怎寨乏

43、家宙多现恿籍昼捞吏掘啥顽固侣姚曾健汗盏负挨赁咽君集拐长珍种隧青艺印盅姨酿搭壹尸兄捎捧新碎滞熏跨征獭祥浙峪税腰狰旱雨窃找侣凋谊汲躲蔚申豪酵活卸绚憎闸终青啼坯夷橱识呼趁羌畜馁拼籍酶山脾韵焚极肇恳殷迭师音蚊肃豺惩潜衷 信息处理技术信息处理技术第第2章章 信息安全机制信息安全机制本章学习目标本章学习目标 通过本章学习，读者应该掌握以下内容：对称加密机制及典型算法 非对称加密机制及算法 数字签名的原理 数据完整性验证的原理及典型算法 PGP的使用2.1 加密机制 2.1.1 密码学基础知识一个密码体制被定义为一对数据变换，其中一个变换应用于我们称之为明文的数据项，变换后产生的相应数据项称为密文；而另一个

44、变换应用于密文，变换后的结果为明文。这两个变换分别称为加密变换（Encryption）和解密变换（Decryption）。加密变换将明文和一个称为加密密钥的独立数据值作为输入，输出密文；解密变换将密文和一个称为解密密钥的数据值作为输入 加 密解 密KECCKDMM 加密和解密 加密 解密M：明文 C：密文 KE：加密密钥 KD：解密密钥2.1.2 对称加密算法加密：Ek(M)=C 解密：Dk(C)=M序列密码算法（stream cipher）分组密码算法(block cipher)加密过程主要是重复使用混乱和扩散两种技术，混乱（confusion）是改变信息块使输出位和输入位无明显的统计关系。

45、扩散（diffusion）是将明文位和密钥的效应传播到密文的其它位。对称密码算法有很多种：DES、triple DES、IDEA、RC2、RC4、RC5、RC6、GOST、FEAL、LOKI 2.1.3 DES算法首先把明文分成若干个64-bit的分组，算法以一个分组作为输入，通过一个初始置换（IP）将明文分组分成左半部分（L0）和右半部分（R0），各为32-bit。然后进行16轮完全相同的运算，这些运算我们称为函数f，在运算过程中数据与密钥相结合。经过16轮运算后，左、右两部分合在一起经过一个末转换（初始转换的逆置换IP-1），输出一个64-bit的密文分组。1、算法描述密钥位移位，从密钥的

46、56位中选出48位。通过一个扩展置换将数据的左半部分扩展成48位，并通过一个异或操作与48位密钥结合，通过8个S盒（substitution box）将这48位替代成新的32位，再依照P-盒置换一次。以上四步构成复杂函数f（图中虚线框里的部分）。然后通过另一个异或运算，将复杂函数f的输出与左半部分结合成为新的右半部分。每一轮的运算过程：密钥通常表示为64-bit，但每个第8位用作奇偶校验，实际的密钥长度为56-bit。在DES的每一轮运算中，从56-bit密钥产生出不同的48-bit的子密钥（K1,K2K16）。首先，56-bit密钥分成两部分（以C、D分别表示这两部分），每部分28位，然后每

47、部分分别循环左移1位或2位（从第1轮到第16轮，相应左移位数分别为：1、1、2、2、2、2、2、2、1、2、2、2、2、2、2、1）。再将生成的56-bit组经过一个压缩转换（compression permutation），舍掉其中的某8个位并按一定方式改变位的位置，生成一个48-bit的子密钥Ki。每一轮中的子密钥的生成48-bit组被分成8个6-bit组，每一个6-bit组作为一个S盒的输入，输出为一个4-bit组。每个S-盒是一个4行16列的表，表中的每一项都是一个4-bit的数。S盒的6-bit的输入确定其输出为表中的哪一个项，其方式是：6-bit数的首、末两位数决定输出项所在的行；

48、中间的四位决定输出项所在的列。例如：第6个S盒如表2-1所示，假设第6个S-盒的输入为110101，则输出为第3行第10列的项（行或列的记数从0开始），即输出为4-bit组0001。S-盒置换 三重DES如上所言，DES一个致命的缺陷就是密钥长度短，并且对于当前的计算能力，56位的密钥长度已经抗不住穷举攻击，而DES又不支持变长密钥。但算法可以一次使用多个密钥，从而等同于更长的密钥。三重DES算法表示为：C=EK3（DK2（EK1（M）通常取K3=K1，则上式变为：C=EK1（DK2（EK1（M）2.1.4 RC5算法RC5是Ron Revist发明的。RSA实验室对64bit分组的RC5算法

49、进行了很长时间的分析，结果表明对5轮的RC5，差分攻击需要264个明文；对10轮需要245个明文；对15轮需要268个明文，而这里最多只可能有264个明文，所以对15轮以上的RC5的攻击是失败的。Rivest推荐至少使用12轮。RC5是具有参数变量的分组密码算法，其中可变的参量为：分组的大小、密钥的大小和加密的轮次。该算法主要使用了三种运算：异或、加、循环。RC5的分组长度是可变的，下面我们将采用64bit的分组来描述算法。加密需要使用2r+2（其中r表示加密的轮次）个与密钥相关的32bit字，分别表示为S0、S1、S2S2r+1。创建这个与密钥相关的数组的运算如下：首先将密钥的字节拷贝到32

50、bit字的数组L，如果需要，最后一个字可以用零填充。然后利用线性同余发生器初始化数组S：S0=PSi=(Si-1+Q)mod 232 (其 中 i=1 t o 2(r+1)-1，P=0 xb7e15163,Q=0 x9e3779b9)最后将L与S混合：初始化：i=j=0A=B=0然后做3n次循环：(其中c为密钥所占32bit字数目，亦即数组L的长度，n为2(r+1)和c中的最大值)。A=Si=(Si+A+B)3 B=Lj=(Lj+A+B)(A+B)i=(i+1)mod 2(r+1)j=(j+1)mod c加密过程：首先将明文分组（64bit）分成两个32位字A和B（假设字节进入字的顺序为第一个