第八章 网络安全技术与应用


             不可改变。公共密钥用于认证及加密发送到该芯片的敏感数据。

                 ②安全输入输出。指用户认为与之交互的软件间受保护的路径。系统上的恶
             意软件有多种方式拦截用户和软件进程间传送的数据。如键盘监听和截屏。
                 ③存储器屏蔽。可拓展存储保护技术，提供完全独立的存储区域，包含密钥
             位置。即使操作系统也没有被屏蔽存储的完全访问权限，所以，网络攻击者即便

             控制了操作系统，信息也是安全的。
                 ④密封存储。将机密信息和所用软硬件平台配置信息捆绑保护机密信息，
             使该数据只能在相同的软硬件组合环境下读取。如某用户不能读取无许可证的

             文件。
                 ⑤远程认证。准许用户改变被授权方的感知。例如，软件公司可避免用户干
             扰其软件以规避技术保护措施。通过让硬件生成当前软件的证明书，利用计算机
             可将此证明书传送给远程被授权方，显示该软件公司的软件尚未被破解。

                 2.可信计算体系结构
                 中国政府和科研机构对可信计算非常重视，给予政策和经费支持。
                 ①可信免疫的计算模式。很多企事业机构网络安全防范主要采用由防火墙、

             入侵检测和病毒防范组成的“老三样”，进行被动防范很难达到预期效果。网
             络安全中一种新的可信计算模式，其构建的可信计算架构可以解决一系列相关
             问题。

                 ②安全可信系统框架。目前，一些新技术如云计算、大数据、移动互联网和
             虚拟动态异构计算环境等都需要可信度量、识别和控制，包括5个方面：体系结
             构可信、操作行为可信、资源配置可信、数据存储可信和策略管理可信。通过构

             建可信安全管理中心支持下的积极主动三重防护框架，能够达到网络安全目标要
             求的多种安全防护效果。
                 3.可信计算的典型应用血
                 ①数字版权保护。可信计算可使机构构建难以破解的安全数字版权管理系

             统，如各种文件/资源下载，只能按指定授权或规则/设备和特定阅读/播放器才能
             使用，否则以远程认证可拒绝使用并防止被复制。
                 ②防范身份信息被盗用。可信计算可用于防止身份信息被盗用。如网上银行或

             购物，当用户接入网银或购物网站进行登录时，服务器可产生正确的认证证书并只
             对该页面服务。用户便可通过该页面发送用户名、密码和账号进行远程认证等。


                                                                                    297