【计算机信息数据安全漏洞及加密技术研究7200字（论文）】.docx

《【计算机信息数据安全漏洞及加密技术研究7200字（论文）】.docx》由会员分享，可在线阅读，更多相关《【计算机信息数据安全漏洞及加密技术研究7200字（论文）】.docx（11页珍藏版）》请在第一文库网上搜索。

1、计算机信息数据安全漏洞及加密技术研究目录摘要错误!未定义书签。目录11研究背景211安全漏洞的阐述21.2安全漏洞的研究意义22数据安全漏洞利用及检测技术错误!未定义书签。2.1 数据漏洞利用过程22.2 常见攻击及数据漏洞检测方法33加密技术对数据漏洞的重要性54加密技术基于数据安全的分析64.1 数据加密的基本概念64.2 数据加密技术原理643数据加密方法84.4 网络中的数据加密技术9总结与展望H参考文献错误!未定义书签。1研究背景1.1 安全漏洞的阐述安全漏洞指的是人们在具体使用软件、硬件和协议的时候出现的错误，尽管其自身不会带来危机,但是它会导致使用人员借助这些漏洞在未得到授权的状

2、态下对系统进行访问亦或是破坏,使其非法目的得以实现。安全漏洞有非常多形式,出现频率较高的有：弱密码漏洞、缓冲区溢出漏洞、拒绝服务攻击(DoS)漏洞、代码注入漏洞等，在这么多安全漏洞里面，DOS以及缓冲区溢出漏洞是经常出现的。这些漏洞自身的破坏性不大，只是对用户使用软件的感受会有一定的影响，不过倘若这个漏洞被攻击人员发现并且掌握以后，便会带来非常大的安全隐患。漏洞利用指的是明确知道系统发生漏洞以后,依靠相关的漏洞利用手段和技术实现其恶意攻击和提高系统权限的目的。若是没有适当的利用技术，漏洞的威胁性便会下降。1.2 安全漏洞的研究意义当前，不管是从国家网络安全战略的层面亦或是从社会信息安全的层面，

3、安全漏洞都是功防在博弈过程中最核心的一个问题。不过，对于详细的安全漏洞，安全工作人员通常要实施非常多的重复性工作,不管是研究效率亦或是效果都会受到局限。在大数据环境中，软件研发数量不断的增加，漏洞原因也越越来越繁杂化。再加上漏洞利用技术越来越多，从庞大的数据里面找出受到利用的漏洞难度也不断加大。和当前的大数据分析等进步技术结合起来，能够更有效果的将受到利用的漏洞检测出来，在增强网络的可靠性上有实际意义。从这点能够发现,以大数据分析平台为基础检测漏洞和进行研究的工作有着重大的理论和实际意义。2数据安全漏河利用及检测技术2.1数据漏洞利用过程黑客在进行漏洞利用时，要经过以下几个步骤：(1)搭建测试

4、环境，主要包括构建软硬件测试环境，准备好网络出口及漏洞扫描工具、端口扫描工具、渗透工具等；(2)对攻击阶段进行预探测，主要是对信息进行采集，对受到攻击的IP地址、端口号、软件版本等相关信息进行收集，还包含了对新漏洞提供的有关信息进行跟踪，测试方案的起草等；(3)攻击阶段，漏洞利用的操作和目标通常都是在这个阶段进行的，需要攻击目标主机，工作内容包含了得到未授权访问亦或是敏感信息、渗透攻击、漏洞的扫描和识别等；(4)后攻击阶段，主要目标是消除攻击痕迹，为进一步攻击做准备，包括删除操作痕迹、植入木马程序或后门、进一步渗透扩展和生成渗透测试报告等内容。2.2常见攻击及数据漏洞检测方法为了能够尽早的找出

5、网络里面的安全漏洞，需要借助漏洞检测技术查找安全漏洞，下面对比较常见的检测漏洞的技术进行阐述：(1)手工测试在初期对漏洞进行检测的工作中，在察觉漏洞上采用的技术是手工测试，它的程序是：首先，测试员根据需求构建数据成为测试依据，为了保障测试依据的完善性和有效性，在创建数据的时候不但要对有效输入进行考虑，还要对无效输入进行兼顾；之后把测试依据依次的录入到目标程序里面，对目标程序的表现进行观察和记录；最后按照目标程序给出的响应结果判断是否存在漏洞。这个技术操作起来比较简单，需要的人员也不多，浏览器等这些交互性的应用程序使用的较多。随着其发展，也出现了一些用来提高手工测试效果的应用软件，例如WinDb

6、g、IDAPro等。不过手工测试自身对测试者本身的能力过分依赖，测试者水平的高低对漏洞察觉的效果有极大的影响，所以，运用手工测试发掘漏洞的这种办法无法大范围使用。(2)程序分析根据程序是不是能够运行，能够将程序分析技术分类成两种：一个是无需对程序进行运行的静态程序分析技术，另外一种是需要运行程序的动态程序分析技术其中动态程序比较常用。动态程序分析是分析处于运行状态下的调试器里面的源程序，所以测试人员发现的漏洞基本是源代码上出现的问题，所以它的准确度非常高。不过动态分析无法全面的包含所有的源程序代码，而且这个方法对内存要求很高，在检测的时候出现漏爆的几率较高，并且要求测试人员不但要对源程序非常的

7、熟悉，还要有充足的经验，自动化检测的难度较高。因为智能手机越来越普及，因此恶意软件的数量也不断的噌加，动态程序分析技术被大量的使用到检测恶意软件上，尤其是对Android恶意软件进行检测。(3)二进制比对二进制对比技术负责对程序亦或是系统研发人员公布的漏洞进行检测。它依靠对漏洞修补前后的代码以及文件尽心对比来察觉漏洞的详细位置，能够通过有关比对技术落实此项工作。然后，通过工作人员对漏洞所在的问题和产生原因展开分析。通常来说，漏洞透明化之后，安全分析人员和攻击人员依靠某些二进制对比等对比技术可以尽早发现漏洞源代码，之后实施动态调试等措施，很轻松便能找出和漏洞利用关联的攻击代码。黑客得到漏洞有关的

8、攻击代码以后，便能攻击还没来得及修复的用户了。二进制对比技术的优势是能够尽早找出漏洞的位置和成因，而且错误率很低，缺点是只能对公布出来并且修复好的漏洞进行检测，不能挖掘出未知漏洞，由于要依赖人工分析，因此研究人员需要有高超的专业技术，自动化效率不高。(4) FUZZing测试Fuzzing测试是以缺陷注入为基础的一种自动化软件检测技术，是当前工业领域用来检测漏洞的一种技术。Fuzzing测试是非常独特的一种黑盒检测办法，和以往的以功能性为基础的检测有很大的区别，Fuzzing测试的最终目标是让检测程序出现异常亦或是崩溃，以此挖掘被检测对象的隐藏漏洞。检测人员运用具有攻击属性的异常数据成为测试依

9、据，把攻击数据录入到应用程序里面，方便引出程序里面隐藏的不同种类的安全漏洞，还能随时对程序的运行状态、有没有出现崩溃和寄存器数据等有关信息进行监测，最后安全人员依据监测得到的结果对漏洞进行分析和挖掘。伴随着这项技术的进步，Fuzzing技术会更加多元化，按照处理目标的差异，大概能够分类成ACtiVeXFUZZing、Fuzzing,以及FUZZing等格式。Fuzzing技术被大量的使用到挖掘安全漏洞领域，例如经常发现的跨站脚本漏洞、缓冲区溢出漏洞等，还被大量的使用到Web、应用程序漏洞发现等工作中。Fuzzing测试技术的优点是易于操作、效果显著、方便理解和复盘，而且错误率很低，自动化效率高

10、，是当前检测安全最适合的办法。其缺点耗费很长的时间创建测试用例，而且难以将程序的每一条执行路径都囊括进去，因此漏报几率很高，而且它以人工分析为基础，检测效率受到检测人员的技术能力和经验的影响。3加密技术对数据漏洞的重要性科学技术日升月异和信息化飞速进步，人们在信息安全上的意识越来越强，信息安全这个问题的越来越重要，当前人们也越来越重视信息安全，而且开始探索有关解决办法。信息属于是宏观观念，是数据组成的，也就是数据是以媒介形式产生的。所以，我们一定要依靠相关措施为数据安全提供保障，以免数据被盗亦或是受到破坏和恶意篡改。保障数据安全最好的办法是对文件设密以此避免数据出现泄漏。也就是说，即便文件受到

11、黑客等供给人员盗窃也不用担心，我们的文件都进行了加密，密钥不正确，是打不开文件的。因此通过网络对数据进行传输一定要设密！一些时候，即便文件不通过网络进行传输，用户也应该将自己的某些文件设密，原因是只要是人都会有隐私重要的东西，是不想被他人所知亦或是窥探的。身份认证技术通过软件技术得以实现，它是能够肯定用户身份的一种方式。传输之前将数据设密使其成为密文，之后再传输，如此便能确保数据在传输的过程中即使受到窃取亦或是复制，文件中的信息也不会泄露，添加加密措施能够最大限度的保障数据在网络传输中的安全。能够说，运用技术手段对数据实施设密处理是当前能够提供的最佳解决办法。随着网络普及范围的加大，人们很多活

12、动都能在网上进行，比如交易、交流等，使得我们的生活多姿多彩，我们的工作效率也能提高。不过不管是旧物亦或是新物，双面性始终存在，因此它也不例外，例如互联网世界中信息安全这个问题带给人们非常多困扰。近些年开始，个人信息泄露、个人隐私亦或是企业商业信息被盗等情况屡见不鲜，并且这个数量逐年僧加。一般而言，网络信息出现泄露的因素有这些：(1)窃取信息。在传输数据的时候，网关亦或是路由器是非常危险的环节，这个环节很容易遭受黑客的攻击从而导致数据被盗，若是数据不设密便通过网络传输，便会出现信息泄露的问题。(2)篡改信息。若是信息不设密便通过网络进行传输，黑客拦截信息之后，能够对数据信息进行修改，使得接受到的

13、数据不是真实的。(3)冒充授权用户。对数据信息进行窃取，之后对信息进行修改，盗用授权用户的身份登录到系统。(4)恶意破坏。未得到授权的用户能够假冒授权用户登录到系统中，故意对系统信息进行攻击，引发严重的后果。在我们日常生活中，数据设密的重要性不断增加，尤其是鉴于网上每天都有很多数据和交易发生。当前，数据设密是最佳的保障信息安全的一种方式。依靠加密技术将关键信息隐藏起来，使得数据信息能够安全进行传输。所以，数据设密是确保数据安全必不可少的措施。4加密技术基于数据安全的分析4.1 数据加密的基本概念这张的内容是数据设密的有关概念。数据设密便是通过有关技术措施(例如一些加密算法)将清晰明了的明文经过

14、处理以后转换成外人看不懂的密文，该反过程被叫做解密，即使用加密相对的技术将密文转换成能够看懂的明文。此处牵涉到某些基本观念：第一个便是明文和密文，明文指清楚明了的，要通过处理和转换，和其相对的是密文，密文是外部人员看不懂的，经过处理和转换；第二种是算法和密钥，是数据设密亦或是解密要用到的技术方式；第三种是传输方和接收方，将明文进行处理转换成密文将其传输出去的被叫做发送方，收取密文并且将密文转换成明文的被叫做接收方。数据设密标准，也就是DES的制定者是IBMo数据设密技术可以分为对称加密和非对称加密两种。当前有非常多的算法，还未有定论，亦或是说严格按照某个标准。算法一直在进化，始终在优化，只要在

15、某个时段某种环境下适用，便是最好的一种标准。4.2 数据加密技术原理在之前的段落中介绍了数据加密的有关概念，这里进行补充。我们将原本没有经过处理和转换的信息叫做明文(P),将经过处理和转换的明文叫做密文(C)o从明文转换成密文存在一个转换处理过程便被叫做是加密（E）,一般是要依靠加密算法完成的。从密文转换到明文的这个过程被叫做解密（D）,一般是依靠某项解密算法完成的。如下图4-1所示。图4-1数据加密原理模型发送方把明文P处理成密文，之后传输给接收方。接收方接收密文C之后,需要通过相应的密钥把密文C处理成原本的明文P。如此，即便传输的时候信息被拦截，攻击者拦截的是密文C,缺乏解密钥匙是打不开的

16、，这样就能保护信息安全了。设密的时候我们采用的设密钥匙是参数K,此处K是从密钥空间中任意选择的一个，我们还能选择别的数值。若是只是用一个密钥，那么运用到对称密钥的技术被叫做对称加密技术，这里使用的密钥是K。这个原理经过参见下图所示：图4-2使用相同密匙的加密原理模型上述环节加密和解密采用的密钥是相同的，即K,此方法的好处和缺点都是很显然的，因此某些算法使用了很多方式；两个环节采用的密钥也是不一样的。相应的这种称作是非对称。这种过程如下图4-3所示。图4-3使用不相同密匙的加密原理模型上面阐述了两种代表性的加密技术，根据上面的分析我们能够发现密码系统需要配置的某些功能和特点：(1)保密性：所谓密码系统，当然保密性首当其冲，也是最根本的。保密自然是保证明文不被外人窃取。(2)辨识性：不仅