湘 潭 大 学
信息安全预习报告
学 院 自动化与电子信息学院
专业班级 电子信息工程2班
学 号 202105570429
学生姓名 邓兆
指导教师 旷怡
预习日期 2024.5.20
实验一:DES编码实验
一、实验目的
- 掌握分组密码-DES的原理
- 熟练掌握通过用DES算法对实际的数据进行加密和解密
二、实验环境
1.操作系统
操作机:Linux_Ubuntu
三、实验原理
在介绍DES密码之前,我们先来了解一下分组密码。
现代分组密码的研究始于20世纪70年代中期,至今已有20余年历史,分组密码是现代密码学的重要体制之一,具有加密速度快·安全性好·易于标准化等特点,广泛地应用于数据的保密传输·加密存储等场合,也可用于其他方面,如构造伪随机数生成器以及序列密码,消息认证码(MAC)等。
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。而DES就是一种典型的分组密码。
分组密码
1.加密技术的分类
A. 对称加密技术
对称算法(symmetric algorithm),有时又叫传统密码算法,就是加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来。而在大多数的对称算法中,加密密钥和解密密钥是相同的。所以也称这种加密算法为秘密密钥算法或单密钥算法。它要求发送方和接收方在安全通信之前,商定一个密钥。对称算法的安全 性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信性至关重要。
对称加密的优点在于算法实现后的效率高,速度快。对称加密的缺点在于密钥的管理过于复杂。如果任何一对发送方和接收方都有他们各自商议的密钥的话,那么很明显,假设有N个用户进行对称加密通信,如果按照上述方法,则他们要产生N(N-1)把密钥,每一个用户要记住或保留N-1把密钥,当N很大时,记住是不可能的,而保留起来又会引起密钥泄漏可能性的增加。常用的对称加密算法有DES,DEA等。
B. 非对称加密技术
非对称加密(dissymmetrical encryption),有时又叫公开密钥算法(public key algorithm)。这种加密算法是这样设计的:用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来(至少在合理假定的长时间 内)。之所以又叫做公开密钥算法是由于加密密钥可以公开,即陌生人可以得到它并用来加密信息,但只有用相应的解密密钥才能解密信息。在这种加密算法中,加密密钥被叫做公开密钥(public key),而解密密钥被叫做私有密钥(private key)。
非对称加密的缺点在于算法实现后的效率低,速度慢。非对称加密的优点在于用户不必记忆大量的提前商定好的密钥,因为发送方和接收方事先根本不必商定密钥,发放方只要可以得到可靠的接收方的公开密钥就可以给他发送信息了,而且即使双方根本互不相识。但为了保证可靠性,非对称加密算法需要一种与之相配合使用的公开密钥管理机制,这种公开密钥管理机制还要解决其他一些公开密钥所带来的问题。常用的非对称加密算法有RSA等。
2.DES介绍
数据加密标准DES是由IBM公司研制的,1977年美国国家标准局批准它供非机密机构保密通信使用,它是一种典型的传统密码体制,它利用传统的换位和置换等加密方法,是目前最为常用的分组密码系统.DES是Data Encryption Standard(数据加密标准)的缩写。它是由IBM公司研制的一种加密算法,美国国家标准局于1977年公布把它作为非机要部门使用的数据加密标准,二十年来,它一直活跃在国际保密通信的舞台上,扮演了十分重要的角色。
DES是一个分组加密算法,他以64位为分组对数据加密。同时DES也是一个对称算法:加密和解密用的是同一个算法。它的密匙长度是56位(因为每个第8位都用作奇偶校验),密匙可以是任意的56位的数,而且可以任意时候改变。其中有极少量的数被认为是弱密匙,但是很容易避开他们。所以保密性依赖于密钥。
3.DES算法框架
DES对64(bit)位的明文分组M进行操作,M经过一个初始置换IP置换成m0,将m0明文分成左半部分和右半部分m0=(L0,R0),各32位 长。然后进行16轮完全相同的运算,这些运算被称为函数f,在运算过程中数据与密匙结合。经过16轮后,左,右半部分合在一起经过一个末置换,这样就完成了。
在每一轮中,密匙位移位,然后再从密匙的56位中选出48位。通过一个扩展置换将数据的右半部分扩展成48位,并通过一个异或操作替代成新的32位数据, 在将其置换换一次。这四步运算构成了函数f。然后,通过另一个异或运算,函数f的输出与左半部分结合,其结果成为新的右半部分,原来的右半部分成为新的左半部分。将该操作重复16次,就实现了。
看下图我们可能可以更好地理解DES算法的运行体系:
实验二:RSA编码实验
一、实验目的
掌握RSA算法的基本原理
根据给出的RSA算法简单的实现代码源程序
使用RSA对文件进行加密
二、实验环境
1.操作系统
操作机:Linux_Ubuntu
三、实验原理
1. 公私钥的生成算法
RSA 的公私钥生成算法十分简单,可以分为五步:
(1)随机地选择两个大素数p和q,而且保密:
(2)计算n=pg,将n公开:
(3)汁算中(n)=(p-1)(q-1),対中(n)保密:
(4) 随机地选择一个正整数e,1
2. 加密算法
实体B的操作如下:
(1) 得到实体A的真实公钥(e,n);
(2)把消息表示成整数m,0<m≤n 1:
(3) 使用平方一乘积算法,计算C= Ek (m)= me mod n:
(4)将密文C发送给实体A。
3.解密算法
实体A接收到密文C,使用自己的私钥d计算m= Dk(C)=Cd mod n。
我p=5, q-11,得到n=55,中(n)=(p-1)(q-1)=4✕10-40。由子3和40
互质,故设e=3。对于所选的e=3,解方程3×d=1 mod 40,可以得到d=27。因此公钥为(3,55),私钥为(27,55)。
- RSA算法介绍
RSA算法是应用最广泛的公钥密码算法。
1977年,RSA算法由MIT的罗纳德 · 李维斯特(Ron Rivest)、阿迪 · 萨莫尔(Adi Shamir)和伦纳德 · 阿德曼(Leonard Adleman)共同设计,于1978年正式发布,以他们三人的首字母命名。
在这之前所用的对称加密方式只采用一个密钥,知道加密密钥就可以知道解密密钥。但是由于双方需要事先约定加密的规则,就导致没有办法安全地交换密钥,建立安全的传递通道。
但是1976年出现的非对称加密算法的思想就可以解决密钥的交换和存放问题。它使用两个密钥,一个用来加密消息和验证签名,叫公钥,另一个用来解密,叫私钥,加解密双方是不平等的。这种新的构思是由美国计算机科学家Whitfield Diffie和Martin Hellman提出的,被称为Diffie-Hellman密钥交换算法,RSA算法就是受到它的启发产生的,是这种构思的具体实现方式,既可以用来加密,解密,也可以用于密钥交换。
四、算法用途
生成了公钥和私钥,就可以用来加密和解密了。
1.发送方加密消息M
拿到对方的公钥e和N后,计算C = M^e mod N,这里0≤M<N,将C作为密文发送给接收方;
例如M=88,C=88^7 mod 187=11
2.接收方解密密文C
拿出自己的私钥d和N,计算M=C^d mod N, 得到原消息M=11^23 mod 187=88
实验三:Windows下IPSec的Vpn实验
一、实验目的
1.在Windows中配置(内置或者专有)IPSec。
2.通过抓包工具抓取建立IPSec的协商密钥过程,和建立之后的加密通信数据包,并进行分析。
3.配置Cisco Packet Tracer软件仿真路由器的VPN,分析密钥协商和加密流程数据包。
通过进行上述的课上实验和课后实验,能够进一步掌握VPN及其协议相关的知识
二、实验环境
1.操作系统
操作机:
1.两台Windows 7虚拟机PC1和PC2,并可以互相ping通。
2.wireshark
3.Cisco Packet Tracer
三、实验原理
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务
IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。
VPN用户访问内网资源还需为拨入到UTM25的用户分配一个虚拟的私有IP,使SSL VPN客户端的用户可以像局域网用户一样能正常访问局域网内的资源。
由于IP报文本身并不集成任何安全特性,恶意用户很容易便可伪造IP报文的地址、修改报文内容、重播以前的IP数据包以及在传输途中拦截并查看数据包的内容。因此,传统IP层协议不能担保收到的IP数据包的安全。在应用层保证网络安全的方法只对特定的应用有效,不够通用。人们迫切需要能够在IP层提供安全服务的协议,这样可以使TCP/IP高层的所有协议受益。IPSec(Internet Protocol Security)正是用来解决IP层安全性问题的技术。IPSec被设计为同时支持IPv4和IPv6网络。
IPSec是Internet工程任务组(IETF)制定的一个开放的网络层安全框架协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。IPSec主要包括安全协议AH(Authentication Header)和ESP(Encapsulating Security Payload),密钥管理交换协议IKE(Internet Key Exchange)以及用于网络认证及加密的一些算法等。
IPSec两种封装模式
封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。
传输封装:是将ESP/AH封装在原始IP和数据之间。
隧道封装:是将ESP/AH封装在原始IP头部外围,在ESP/AH的外围再封装一层新IP头部。
ESP为网络层协议,协议号:50。
AH为网络层协议,协议号为:51。
ESP数据加密:加密范围为ESP头内所有数据,不包含ESP头部。
ESP数据认证:包含ESP头部和尾部,不包含ESP外围的IP头部,因此ESP可以支持NAT穿越。
AH认证范围:可以对整个网络进行认证,AH不支持NAT穿越。
UDP500、4500是什么端口?
UDP 500 是ISAKMP互联网安全关联和钥匙管理协议的服务端口
UDP 4500 是GET VPN使用的端口如果中间设备有nat的话 使用的就是这个端口
IPSec 协议的基本工作原理解读:
发送方在发送数据前对数据实施加密,然后把密文数据发送到网络中去,开始传输。在整个传输过程中,数据都是以密文方式传输的,直到数据到达目的节点,才由接收方对密文进行解密,提取明文信息。
IPSec 协议对网络层的通信使用了加密技术,它不是加密数据包的头部和尾部信息(如源地址、目的地址、端口号、CRC 校验值等),而是对数据包中的数据进行加密。由于加密过程发生在 IP 层,因此可在不改变 HTTP 等上层应用协议的情况下进行网络协议的安全加密,为通信提供透明的安全传输服务。
IPSec 协议中使用端到端的工作模式,掌握加密、解密方法的只有数据的发送方和接收方,两者各自负责相应的数据加密、解密处理,而网络中其他节点只负责转发数据,无须支持 IPSec,从而可以实现加密通信与传输媒介无关,保证机密数据在公共网络环境下的适应性和安全性。因此,IPSec 可以应用到非常广泛的环境中,能为局域网、拨号用户、远程站点、Internet 之上的通信提供有力的保护,而且还能用来筛选特定数据流,还可以用于不同局域网之间通过互联网的安全互联。
IPSec 协议不是一个单独的协议,它包括应用于 IP 层上网络数据安全的一整套协议,主要包括 AH(Authentication Header,IP 认证头部协议)、ESP(Encapsulating Security Payload,封装安全负载协议)、IKE(Internet Key Exchange,Internet 密钥交换协议)和用于网络认证及加密的一些算法等。
实验四:基于区块链技术的电子证照管理系统
一、实验目的
1.在Windows中配置(内置或者专有)IPSec。
2.通过抓包工具抓取建立IPSec的协商密钥过程,和建立之后的加密通信数据包,并进行分析。
3.配置Cisco Packet Tracer软件仿真路由器的VPN,分析密钥协商和加密流程数据包。
通过进行上述的课上实验和课后实验,能够进一步掌握VPN及其协议相关的知识
二、实验环境
操作机:Linux_Centos
操作机默认用户名: root 密码:killer
矿机::Linux_Centos
操作机默认用户名: root 密码:killer
三、实验原理
1.私有链:
当今大多数以太坊项目都依靠以太坊作为公有链,公有链可以访问到更多用户,网络节点,货币和市场。然而通常有理由更偏好私有链或联盟链(在一群值得信任的参与者中)。例如,银行领域的很多公司都希望以太坊作为他们私有链的平台。私有链:书写许可对一个组织保持中心化。阅读许可可能是公开的或者限制在任意程度。应用很可能包含对单个公司内部的数据库管理,审查等,因此公共的可读性在很多情况下根本不必要,但在另一些情况下人们又想要公共可读性。
私有链/联盟链可能和公有链毫无联系,他们仍然通过投资以太坊软件开发,对以太坊整体生态系统有利。经过一段时间,这会转变成软件改善,知识共享和工作机会。
Geth通过发现协议找到对等端。在发现协议中,节点互相闲聊发现网络上的其他节点。最开始,geth会使用一系列辅助程序节点,这些辅助程序节点的端点记录在源代码中。
了解更多关于连接对等端点的信息,比如IP地址、端口号和支持协议,用管理员对象的peers()功能。admin.peers()会返回到现在已连接的对等端点列表。
可以在运行期间通过Javascript使用admin.addPeer()加入静态节点。
2.智能合约:
基于区块链的智能合约包括事务处理和保存的机制,以及一个完备的状态机,用于接受和处理各种智能合约;并且事务的保存和状态处理都在区块链上完成。事务主要包含需要发送的数据;而事件则是对这些数据的描述信息。事务及事件信息传入智能合约后,合约资源集合中的资源状态会被更新,进而触发智能合约进行状态机判断。如果自动状态机中某个或某几个动作的触发条件满足,则由状态机根据预设信息选择合约动作自动执行。
智能合约系统根据事件描述信息中包含的触发条件,当触发条件满足时,从智能合约自动发出预设的数据资源,以及包括触发条件的事件;整个智能合约系统的核心就在于智能合约以事务和事件的方式经过智能合约模块的处理,出去还是一组事务和事件;智能合约只是一个事务处理模块和状态机构成的系统,它不产生智能合约,也不会修改智能合约;它的存在只是为了让一组复杂的、带有触发条件的数字化承诺能够按照参与者的意志,正确执行。
基于区块链的智能合约构建及执行分为如下几步:
1. 多方用户共同参与制定一份智能合约;
2. 合约通过P2P网络扩散并存入区块链;
3. 区块链构建的智能合约自动执行。
3.通过Truffle框架开发智能合约项目:
Truffle是针对基于以太坊的Solidity语言的一套开发框架。本身基于Javascript。Truffle的作用包括:
首先对客户端做了深度集成。开发,测试,部署一行命令都可以搞定。不用再记那么多环境地址,繁重的配置更改,及记住诸多的命令。
它提供了一套类似maven或gradle这样的项目构建机制,能自动生成相关目录,默认是基于Web的。当前这个打包机制是自定义的,比较简陋,不与当前流行打包方案兼容。但自已称会弃用,与主流兼容,好在它也支持自定义打包流程。
提供了合约抽象接口,可以直接通过var meta = MetaCoin.deployed();拿到合约对象后,在Javascript中直接操作对应的合约函数。原理是使用了基于web3.js封装的Ether Pudding工具包。简化开发流程。
提供了控制台,使用框架构建后,可以直接在命令行调用输出结果,可极大方便开发调试。
提供了监控合约,配置变化的自动发布,部署流程。不用每个修改后都重走整个流程。
实验五:windows环境下配置基于web的ssl链接
一、实验目的
- 深入理解SSL的工作原理
- 熟练掌握基于SSL连接的配置和使用方法
二、实验环境
1.操作系统
操作机:Windows_Server_2008
目标机:Windows_Server_2008
操作机用户名:administrator 密码:123456
目标机用户名:administrator 密码:123456
2.实验工具
(1)Sniffer
Sniffer,中文可以翻译为嗅探器,也叫抓数据包软件,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
Sniffer分为软件和硬件两种,软件的Sniffer有 Sniffer Pro、Network Monitor、PacketBone等,其优点是易于安装部署,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较昂贵,但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。
基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。
- 实验原理
1.安全套接层协议SSL
它是Netscape公司提出的基于WEB应用的安全协议,它指定了一种在应用程序协议和TCPflP协议间提供数据安全性分层的机制,但常用于安全WEB应用的HTTP协议。
2.安全服务
SSL为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
3.加密机制
SSL采用RsA、DES,3DES等、密码体制以及MD系列HASH函数、Diffie-Hellman密钥交换算法。
4.工作原理
客户机向服务器发送SSL版本号和选定的加密算法;服务器回应相同信息外还回送一个含RSA公钥的数字证书;客户机检查收到的证书足否在可信任CA列表中,若在就用对应CA的公钥对证书解密获取服务器公钥,若不在,则断开连接终止会话。客户机随机产生一个DES会话密钥,并用服务器公钥加密后再传给服务器t服务器用私钥解密出会话密钥后发回一个确认报文,以后双方就用会话密钥对传送的报交加密。
5.优点
SSL设置简单成本低,银行和商家无须大规模系统改造;凡构建于TCP/IP协议簇上的C/S模式需进行安全通信时都可使用,持卡人想进行电于商务交易,无须在自己的电脑L安装专门软件,只要浏览器支持即可;SSL在应用层协议通信前就已完成加密算法,通信密钥的协商及服务器认证工作,此后应用层协议所传送的所有数据都会被加密,从而保证通信的安全性。
6.缺点
SSL除了传输过程外不能提供任何安全保证;不能提供交易的不可否认性;客户认证是可选的,所以无法保证购买者就是该信用卡合法拥有者;SSL不是专为信用卡交易而设计,在多方参与的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。
实验六:木马攻击实验
一、实验目的
- 通过对木马的练习,使读者理解和掌握木马传播和运行的机制
- 通过手动删除木马,掌握检查木马和删除木马的技巧
- 学会防御木马的相关知识,加深对木马的安全防范意识
- 实验环境
1.操作系统
操作机:Windows_7
目标机:Windows_Xp
操作机默认用户名:administrator,密码:123456
目标机默认用户名:administrator,密码:123456
2.实验工具
冰河木马
-
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。 Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,只要你打开 TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
冰河木马的具体功能:
a).自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
b).记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
c).获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
d).限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
e).远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
f).注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
g).发送信息:以四种常用图标向被控端发送简短信息;
h).点对点通讯:以聊天室形式同被控端进行在线交谈。
三、实验原理
1.木马定义
木马是隐藏在正常程序中的具有特殊功能恶意代码,是具备破坏,删除和修改文件,发送密码,记录键盘,实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
2.木马工作原理
(1)木马的传统连接技术:一般木马都采用C/S(client/server,即服务器/客户端)运行模式,因此它分为两部分,即客户端和服务前端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端的木马程序就会自动运行,来应答客户端的请求,从而建立连接。第一代和第二代木马就采用这种方式。
(2)木马的反弹端口技术:随着防火墙技术的发展,它可有效拦截从外部主动发起的连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接,第三代第四代木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求,而客户端是被动的连接。
(3)线程插入技术:我们知道,一个应用程序在运行之后,都会在系统之中产生一个进程,同时,每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程,一切相关的程序操作,都会在这个虚拟的空间中进行。一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。“线程插入”技术就是利用线程之间运行的相对独立性,使木马完全地融进了系统那个内核。系统运行时会有很多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。
3.木马的特征
木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的,运行时很难阻止它的行动,运行后,立刻自动登录在系统引导区,之后每次在Windows加载时自动运行,或立刻自动变更文件名,甚至隐形,或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作。
4.木马的危害
a)、盗取我们的网游账号,威胁我们的虚拟财产的安全
木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
b)、盗取我们的网银信息,威胁我们的真实财产的安全
木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。
c)、利用即时通讯软件盗取我们的身份,传播木马病毒等不良信息
中了此类木马病毒后,可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。如恶作剧等。
d)、给我们的电脑打开后门,使我们的电脑可能被黑客控制
如灰鸽子木马等。当我们中了此类木马后,我们的电脑就可能沦为肉鸡,成为黑客手中的工具
5.木马病毒的防御
木马查杀(查杀软件很多,有些病毒软件都能杀木马)
防火墙(分硬件和软件)家里面的就用软件好了,如果是公司或其他地方就硬件和软件一起用。
基本能防御大部分木马,但是的软件都不是万能的,还要学点专业知识,有了这些,你的电脑就安全多了。高手也很多,只要你不随便访问来历不明的网站,使用来历不明的软件(很多盗版或破解软件都带木马,这个看你自己经验去区分),还要及时更新系统漏洞,如果你都做到了,木马,病毒。就不容易进入你的电脑了。
实验七:数字水印攻击实验
一、实验目的
- 了解数字水印的基本概念和作用
- 熟练掌握数字水印的功能
- 能够对嵌入水印后的图片进行不同的攻击
二、实验环境
1.操作系统
操作机:Windows_7
操作机用户名:administrator 密码:123456
2.实验工具
(1)StirMarkBenchmark工具
数字水印性能测试的必备软件,对嵌入水印图像进行攻击测试的软件,可以对图像进行JEPG压缩攻击,中值滤波,剪切等等。
三、实验原理
1.数字水印
数字水印(Digital Watermarking)技术是将一些标识信息(即数字水印)直接嵌入数字载体当中(包括多媒体、文档、软件等)或是间接表示(修改特定区域的结构),且不影响原载体的使用价值,也不容易被探知和再次修改。但可以被生产方识别和辨认。通过这些隐藏在载体中的信息,可以达到确认内容创建者、购买者、传送隐秘信息或者判断载体是否被篡改等目的。数字水印是保护信息安全、实现防伪溯源、版权保护的有效办法,是信息隐藏技术研究领域的重要分支和研究方向。
2.数字水印技术的特点
(1)安全性(Security)
数字水印的信息应是安全的,难以篡改或伪造,同时,应当有较低的误检测率,当原内容发生变化时,数字水印应当发生变化,从而可以检测原始数据的变更;当然数字水印同样对重复添加有很强的抵抗性;
(2)隐蔽性(Invisibility)
数字水印应是不可知觉的,而且应不影响被保护数据的正常使用;不会降质;
(3)鲁棒性(Robustness)
该特性适用于鲁棒水印。是指在经历多种无意或有意的信号处理过程后,数字水印仍能保持部分完整性并能被准确鉴别。可能的信号处理过程包括信道噪声、滤波、数/模与模/数转换、重采样、剪切、位移、尺度变化以及有损压缩编码等;
(4)敏感性(Sensitivity)
该特性适用于脆弱水印。是经过分发、传输、使用过程后,数字水印能够准确的判断数据是否遭受篡改。进一步的,可判断数据篡改位置、程度甚至恢复原始信息。
3.数字水印的分类
(1)按特性划分
按水印的特性可以将数字水印分为鲁棒数字水印和脆弱数字水印两类。鲁棒水印(Robust Watermarking)主要用于在数字作品中标识著作权信息,利用这种水印技术在多媒体内容的数据中嵌入创建者、所有者的标示信息,或者嵌入购买者的标示(即序列号)。在发生版权纠纷时,创建者或所有者的信息用于标示数据的版权所有者,而序列号用于追踪违反协议而为盗版提供多媒体数据的用户。用于版权保护的数字水印要求有很强的鲁棒性和安全性,除了要求在一般图像处理(如:滤波、加噪声、替换、压缩等)中生存外,还需能抵抗一些恶意攻击。
脆弱水印(Fragile Watermarking),与鲁棒水印的要求相反,脆弱数字水印主要用于完整性保护和认证,这种水印同样是在内容数据中嵌入不可见的信息。当内容发生改变时,这些水印信息会发生相应的改变,从而可以鉴定原始数据是否被篡改。根据脆弱水印的应用范围,脆弱水印又可分为选择性和非选择性脆弱水印。非选择性脆弱水印能够鉴别出比特位的任意变化,选择性脆弱水印能够根据应用范围选择对某些变化敏感。例如,图像的选择性脆弱水印可以实现对同一幅图像的不同格式转换不敏感,而对图像内容本身的处理(如:滤波、加噪声、替换、压缩等)又有较强的敏感性,即:既允许一定程度的失真,又要能将特定的失真情况探测出来。
(2)按附载媒体划分
按水印所附载的媒体,我们可以将数字水印划分为图像水印、音频水印、视频水印、文本水印以及用于三维网格模型的网格水印等。随着数字技术的发展,会有更多种类的数字媒体出现,同时也会产生相应的水印技术。
按检测过程划分
按水印的检测过程可以将数字水印划分为盲水印和非盲水印。非盲水印在检测过程中需要原始数据或者预留信息,而盲水印的检测不需要任何原始数据和辅助信息。一般来说,非盲水印的鲁棒性比较强,但其应用需要原始数据的辅助而受到限制。盲水印的实用性强,应用范围广。非盲水印中,新出现的半盲水印能够以少量的存储代价换来更低的误检率、漏检率,提高水印算法的性能。目前学术界研究的数字水印大多数是盲水印或者半盲水印。
(3)按内容划分
按数字水印的内容可以将水印划分为有意义水印和无意义水印。有意义水印是指水印本身也是某个数字图像(如商标图像)或数字音频片段的编码;无意义水印则只对应于一个序列。有意义水印的优势在于,如果由于受到攻击或其他原因致使解码后的水印破损,人们仍然可以通过视觉观察确认是否有水印。但对于无意义水印来说,如果解码后的水印序列有若干码元错误,则只能通过统计决策来确定信号中是否含有水印。
(4)按隐藏位置划分
按数字水印的隐藏位置,我们可以将其划分为时(空)域数字水印、频域数字水印、和时间/尺度域数字水印。
时(空)域数字水印是直接在信号空间上叠加水印信息,而频域数字水印、时/频域数字水印和时间/尺度域数字水印则分别是在DCT变换域、时/ 频变换域和小波变换域上隐藏水印。
(5)按可见性划分
按数字水印是否可见的性质,可分为可见水印和不可见水印两种。可见水印就是人眼能看见的水印,比如照片上标记的拍照的日期或者电视频道上的标识等。不可见水印就是人类视觉系统难以感知的,也是当前数字水印领域关注比较多的。
4.应用领域
随着数字水印技术的发展,数字水印的应用领域也得到了扩展,数字水印的基本应用领域是防伪溯源、版权保护、隐藏标识、认证和安全隐蔽通信。
当数字水印应用于防伪溯源时,包装、票据、证卡、文件印刷打印都是潜在的应用领域。用于版权保护时,潜在的应用市场在于电子商务、在线或离线地分发多媒体内容以及大规模的广播服务。数字水印用于隐藏标识时,可在医学、制图、数字成像、数字图像监控、多媒体索引和基于内容的检索等领域得到应用。数字水印的认证方面主要ID卡、信用卡、ATM卡等上面数字水印的安全不可见通信将在国防和情报部门得到广泛的应用。 多媒体技术的飞速发展和Internet的普及带来了一系列政治、经济、军事和文化问题,产生了许多新的研究热点,以下几个引起普遍关注的问题构成了数字水印的研究背景。
5.常见数字水印攻击方法
(1)几何攻击
几何攻击的目的并不是移去水印,而是在空间或时间上改变含有水印信息的载体数据。常见的集合变换有位移攻击、旋转攻击、缩放攻击和剪切攻击。通常这类攻击算法往往会破坏数字水印提取/检测器的同步性,其结果是虽然水印仍然存在于载体作品中,但却无法成功提取/检测。
(2)去除攻击
去除攻击的目标是通过对含水印图像进行分析,试图从原图像中完全去除水印信息。这类攻击算法主要包括:去噪、量化、有损压缩、重新调制、统计均衡、共谋攻击、Oracle攻击等。虽然不是所有这些攻击手段都能完全去除水印,但是它们却能对嵌入的水印造成极大的破坏。
对于原始图像来说,水印信息通常可以看作是一种噪声,所以可以用去噪的方法去除水印。这种方法是采用线性滤波器如低通、高通和带通滤波器,或非线性滤波器如中值、形态滤波器滤除噪声。图1.2.5为经过不同强的椒盐度噪声攻击后的图像。
量化一般发生在改变图像颜色深度的情况下,比如由彩色图像转换为灰度图像,或采用抖动或半影调算法将灰度图像显示、打印为二值图像。由于量化时损失了较多的图像信息,因此有可能去除水印。
(3)有损压缩
有损压缩是一种常见的图像操作。由于压缩后图像信息有损失,因此有可能破坏水印信息。如果把水印嵌入于图像的高频部分,则经有损压缩压缩后几乎可以完全去除水印。JPEG压缩是最常见的有损压缩方法,因此抵抗JPEG压缩的能力是评价数字水印算法性能的重要指标之一。
(4)重新调制攻击
重新调制攻击就是利用图像和水印的统计模型预测或估计出水印信息,然后利用估计出的水印去除原来的水印或对其进行窜改。
(5)统计均衡和共谋攻击
统计均衡和共谋攻击是通过对同一数字作品的嵌有不同水印的各个版本或者嵌有相同水印的各种不同数字作品进行求和平均等统计运算来除去其中隐藏的水印,或者通过对这些水印作品进行裁剪并重新拼凑组合来消除水印。
(6)协议攻击
协议攻击的目标是攻击水印应用的概念和协议。这类方法包括IBM攻击、拷贝攻击等。 IBM攻击有时也称为可逆攻击,它是采用添加水印的方法使图像的所有权产生歧义。这种攻击的出发点是,若媒体数据中存在两个以上的水印时,一般的水印系统中没有区别那个水印是先加入的机制。假定原始媒体数据是d,版权人a在d中嵌入了版权水印wa,得到了加水印后的数据d+wa。而攻击者b在得到d+wa后,从中减去他的水印wb而形成了d+wa-wb,并声称拥有该数据的版权。这时的版权归属将成为一个有歧义的问题。
拷贝攻击并不破坏嵌入的水印,而是把水印从一幅图像复制到另一幅图像。尽管这种攻击并不破坏嵌入的水印,但是它带来了另外一个挑战,特别地当数字水印被用于版权保护和认证。所有者将不能认证出它的图像因为它将会在其他的由攻击者提供的图像中发现同样的数字水印。
(7)稳健性攻击
稳健性攻击是试图对整个水印化数据(嵌人水印后的载体数据)进行操作来削弱嵌入的水印的幅度(而不是试图识别水印或分离水印),导致数字水印提取发生错误,甚至根本提取不出水印信号。常见的操作有线性滤波、非线性滤波、各种压缩(JPEG、MPEG)、添加噪声、打印和扫描等。
稳健性攻击中的操作会给水印化效据造成类噪声失真,可使在其后的水印提取和校验中得到一个失真、变形的水印信号。有两种方法抵抗这种攻击。即增加嵌入水印的力度和采用冗余嵌入技术。两种方法都会增加水印的强度.从而抵抗攻击。
增加嵌入水印幅度的方法,可以大大地降低攻击产生的类噪声失真现象,在多数应用中是有效的。嵌入的最大容许幅度应该根据人类视觉特性决定,不能影响水印的不可感知性。
实验八:IdooFileEncryption文件加密实验
一、实验目的
- 了解学习文件信息加密的不同方法
- 熟练掌握IdooFileEncryption文件加密技术
二、实验环境
1.操作系统
操作机:Windows_7
操作机用户名:administrator 密码:123456
2.实验工具
(1)IdooFileEncryption
Idoo File Encryption 是一款功能强大的综合文件管理软件,具有一键式文件文件加密、锁定软件,一键锁定文件、文件夹,禁止使用、拷贝、删除等功能,文件加密采用256位AES加密,适合单个文件、邮件加密。
三、实验原理
1.文件加密
文件加密按加密途径可分为两类: 一类是WINDOWS系统自带的文件加密功能,一类是采用加密算法实现的商业化加密软件.WINDOWS系统加密方法有五种,商业化的加密软件又分为驱动级加密和插件级加密;如果按加密算法又可分为三类 :对称IDEA 算法、非对称RSA算法、不可逆AES算法.
(1)对称IDEA 算法
对称加密(也叫私钥加密)指加密和解密使用相同密钥的加密算法。有时又叫传统密码算法,就是加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来。而在大多数的对称算法中,加密密钥和解密密钥是相同的,所以也称这种加密算法为秘密密钥算法或单密钥算法。它要求发送方和接收方在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信的安全性至关重要。
(2)非对称RSA算法
非对称加密算法是一种密钥的保密方法。
非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
非对称密码体制的特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全,而非对称密钥体制有两种密钥,其中一个是公开的,这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。
2.文件加密的重要性
我们知道在互联网上进行文件传输、电子邮件商务往来存在许多不安全因素,特别是对于一些大公司和一些机密文件在网络上传输。而且这种不安全性是互联网存在基础——TCP/IP协议所固有的,包括一些基于TCP/IP的服务;所以为了保证安全,我们必须给文件加密。
加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。一个简单的例子就是密码的传输,计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。通过网络进行登录时,所键入的密码以明文的形式被传输到服务器,而网络上的窃听是一件极为容易的事情,所以很有可能黑客会窃取得用户的密码,如果用户是Root用户或Administrator用户,那后果将是极为严重的。
解决上述难题的方案就是加密,加密后的口令即使被黑客获得也是不可读的,加密后的标书没有收件人的私钥也就无法解开,标书成为一大堆无任何实际意义的乱码,这样即使被盗也不会有损失。所以加密对于保护文件是相当的重要。
在这里需要强调一点的就是,文件加密其实不只用于电子邮件或网络上的文件传输,其实也可应用静态的文件保护,如超级加密3000就可以对磁盘、硬盘中的文件或文件夹进行加密,以防他人窃取其中的信息。
3.文件加密的方法
利用组策略工具把存放隐私资料、重要文件的硬盘分区设置为不可访问。
利用注册表中的设置,把某些驱动器设置为隐藏。
利用Windows自带的“磁盘管理”组件也可以实现硬盘隐藏。
利用WinRAR等工具可以比较安全地为你的数据加密。
透明加解密技术。
扫一扫
3495
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
