序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗,特別為您篩選了11篇加密技術(shù)論文范文�����。如果您需要更多原創(chuàng)資料����,歡迎隨時與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識�!
篇1
2網(wǎng)絡安全技術(shù)發(fā)展呈現(xiàn)出的現(xiàn)狀
2.1我國不具備自主研發(fā)的軟件核心技術(shù)
數(shù)據(jù)庫、操作系統(tǒng)以及CPU是網(wǎng)絡安全核心其中最為主要的三個部分?,F(xiàn)階段,雖然大多數(shù)企業(yè)都已經(jīng)在建設和維護網(wǎng)絡安全方面消耗了大量的資金�,但是,由于大部分的網(wǎng)絡設備及軟件都不是我國自主研發(fā)的��,而是從國外進口的���,這就導致我國的網(wǎng)絡安全技術(shù)難以跟上時展的腳步���,在處于這種競爭劣勢下�����,就極易成為別國竊聽和打擊的對象�。除此之外�,國外一些殺毒系統(tǒng)和操作系統(tǒng)的開發(fā)商幾乎已經(jīng)在將中國的軟件市場壟斷?����;谏鲜鲞@些情況�����,我國一定要進一步加快研發(fā)軟件核心技術(shù)的速度�����,根據(jù)我國發(fā)展的實際情況����,將能夠確保我國網(wǎng)絡安全運營的軟件技術(shù)有效地開發(fā)出來�。
2.2安全技術(shù)不具備較高的防護能力
我國的各個企事業(yè)單位在現(xiàn)階段都幾乎已經(jīng)建立起了專屬網(wǎng)站���,并且,電子商務也正處在快速發(fā)展的狀態(tài)之中�����。但是���,所應用的系統(tǒng)大部分都處在沒有設防的狀態(tài)中�,所以很有可能會埋下各種各樣的安全隱患��。并且在進行網(wǎng)絡假設的過程中���,大多數(shù)企業(yè)沒有及時采取各種技術(shù)防范措施來確保網(wǎng)絡的安全�。
2.3高素質(zhì)的技術(shù)人才比較欠缺
由于互聯(lián)網(wǎng)通信成本相對較低���,因此����,服務器和配置器的種類變得越來越多���,功能也變得更加完善�����,性能也變得更好���。但是�,不管是人才數(shù)量方面或者是專業(yè)水平方面���,其專業(yè)技術(shù)人員都難以對當今的網(wǎng)絡安全需要形成更好的適應性����。此外����,網(wǎng)絡管理人員不具備較強的安全管理導向能力,如�,當計算機系統(tǒng)出現(xiàn)崩潰的情況時,網(wǎng)絡管理人員難以及時有效地提出有效的解決對策��。
3網(wǎng)絡安全技術(shù)的發(fā)展趨勢
3.1深度分析計算機網(wǎng)絡安全內(nèi)容
各種類型不同的網(wǎng)絡安全威脅因素隨著互聯(lián)網(wǎng)絡技術(shù)的不斷發(fā)展而出現(xiàn)���。相應地網(wǎng)絡安全技術(shù)也一定要不斷獲得提升和發(fā)展�。加強識別網(wǎng)絡安全技術(shù)的方法主要包括以下幾點:第一,要以安全防護的相關(guān)內(nèi)容為出發(fā)點�����,加強分析網(wǎng)絡安全技術(shù)深度防護的力度��,主要是對網(wǎng)絡安全行為的內(nèi)容和網(wǎng)絡安全防護的匹配這兩個方面進行分析�?���;谔卣鲙旌灻纳疃葓笪牡奶卣髌ヅ涫钱斍氨容^常用的一種安全防護分析方法,即根據(jù)報文的深度內(nèi)容展開有針對性的分析���,利用這種途徑來獲取網(wǎng)絡安全攻擊的特征��,并利用特征庫對匹配的網(wǎng)絡攻擊內(nèi)容進行搜索�����,同時還要及時采取相應的防御措施��。還有�,基于安全防護的職能分析以及基于網(wǎng)絡行為的模型學習也同樣是一種較好的網(wǎng)絡安全技術(shù)手段���,即通過模擬具有特征性的網(wǎng)絡行為以及分析網(wǎng)絡行為的特征獲取網(wǎng)絡攻擊行為的提前預警���,這樣就可以為保護計算機網(wǎng)絡系統(tǒng)有力的條件�����。
3.2把網(wǎng)絡安全產(chǎn)業(yè)鏈轉(zhuǎn)變成生態(tài)環(huán)境
產(chǎn)業(yè)價值鏈在近幾年時間里隨著不斷發(fā)展的計算機技術(shù)及行業(yè)也相應的發(fā)生了巨大的變化��,它的價值鏈變得越來越復雜�����。此外����,生態(tài)環(huán)境的變化速度已經(jīng)在很大程度上超過了預期環(huán)境的變化速度�����,按照這種趨勢發(fā)展下去���,在未來網(wǎng)絡技術(shù)發(fā)展的過程中�����,各個參與方一定要加強自身對市場要求的適應能力�。
3.3網(wǎng)絡安全技術(shù)將會朝著自動化和智能化的方向發(fā)展
我國現(xiàn)階段的網(wǎng)絡安全技術(shù)要得到優(yōu)化需要經(jīng)歷一個長期的過程,它貫穿于網(wǎng)絡發(fā)展的始終���。此外��,智能化的網(wǎng)絡優(yōu)化手段已經(jīng)開始逐步取代人工化的網(wǎng)絡優(yōu)化手段��。同時���,還可以將網(wǎng)絡優(yōu)化知識庫建立起來��,進而針對一些存在于網(wǎng)絡運行中的質(zhì)量問題�����,將更多切實可行的解決措施提供給網(wǎng)絡管理者�。所以,國內(nèi)網(wǎng)絡安全技術(shù)在未來幾年時間里會在IMS的基礎上將固定的NGN技術(shù)研制出來����。這項技術(shù)的成功研制能夠給企事業(yè)的發(fā)展提供更豐富的業(yè)務支持。
3.4朝著網(wǎng)絡大容量的方向發(fā)展
國內(nèi)互聯(lián)網(wǎng)的業(yè)務量在近幾年時間里呈現(xiàn)出迅猛增長的態(tài)勢�,尤其是針對那些IP為主的數(shù)據(jù)業(yè)務而言�����,對交換機以及路由器的處理能力均提出了較高的要求����。因為想要對語音�����、圖像等業(yè)務需求形成更好的滿足����,因此,要求IP網(wǎng)絡一定要具備較強的包轉(zhuǎn)發(fā)和處理能力���,那么���,未來的網(wǎng)絡在不出意外的情況下一定會朝著大容量的方向發(fā)展。國內(nèi)網(wǎng)絡在今后發(fā)展的過程中�,一定要廣泛應用硬件交換、分組轉(zhuǎn)發(fā)引擎�����,促使網(wǎng)絡系統(tǒng)的整體性能得到切實提升。
篇2
在傳統(tǒng)上�,我們有幾種方法來加密數(shù)據(jù)流。所有這些方法都可以用軟件很容易的實現(xiàn)��,但是當我們只知道密文的時候��,是不容易破譯這些加密算法的(當同時有原文和密文時���,破譯加密算法雖然也不是很容易����,但已經(jīng)是可能的了)�。最好的加密算法對系統(tǒng)性能幾乎沒有影響,并且還可以帶來其他內(nèi)在的優(yōu)點����。例如���,大家都知道的pkzip�,它既壓縮數(shù)據(jù)又加密數(shù)據(jù)��。又如,dbms的一些軟件包總是包含一些加密方法以使復制文件這一功能對一些敏感數(shù)據(jù)是無效的�,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力�����。
幸運的是���,在所有的加密算法中最簡單的一種就是“置換表”算法���,這種算法也能很好達到加密的需要。每一個數(shù)據(jù)段(總是一個字節(jié))對應著“置換表”中的一個偏移量�,偏移量所對應的值就輸出成為加密后的文件。加密程序和解密程序都需要一個這樣的“置換表”��。事實上��,80x86cpu系列就有一個指令‘xlat’在硬件級來完成這樣的工作�。這種加密算法比較簡單,加密解密速度都很快����,但是一旦這個“置換表”被對方獲得,那這個加密方案就完全被識破了��。更進一步講,這種加密算法對于黑客破譯來講是相當直接的����,只要找到一個“置換表”就可以了。這種方法在計算機出現(xiàn)之前就已經(jīng)被廣泛的使用���。
對這種“置換表”方式的一個改進就是使用2個或者更多的“置換表”����,這些表都是基于數(shù)據(jù)流中字節(jié)的位置的���,或者基于數(shù)據(jù)流本身����。這時��,破譯變的更加困難���,因為黑客必須正確的做幾次變換。通過使用更多的“置換表”�,并且按偽隨機的方式使用每個表,這種改進的加密方法已經(jīng)變的很難破譯��。比如,我們可以對所有的偶數(shù)位置的數(shù)據(jù)使用a表��,對所有的奇數(shù)位置使用b表��,即使黑客獲得了明文和密文�,他想破譯這個加密方案也是非常困難的,除非黑客確切的知道用了兩張表���。
與使用“置換表”相類似��,“變換數(shù)據(jù)位置”也在計算機加密中使用��。但是����,這需要更多的執(zhí)行時間���。從輸入中讀入明文放到一個buffer中����,再在buffer中對他們重排序��,然后按這個順序再輸出����。解密程序按相反的順序還原數(shù)據(jù)�。這種方法總是和一些別的加密算法混合使用���,這就使得破譯變的特別的困難�,幾乎有些不可能了��。例如�����,有這樣一個詞���,變換起字母的順序���,slient可以變?yōu)閘isten,但所有的字母都沒有變化�,沒有增加也沒有減少,但是字母之間的順序已經(jīng)變化了���。
但是�,還有一種更好的加密算法�,只有計算機可以做,就是字/字節(jié)循環(huán)移位和xor操作��。如果我們把一個字或字節(jié)在一個數(shù)據(jù)流內(nèi)做循環(huán)移位��,使用多個或變化的方向(左移或右移)���,就可以迅速的產(chǎn)生一個加密的數(shù)據(jù)流���。這種方法是很好的,破譯它就更加困難�����!而且�,更進一步的是,如果再使用xor操作����,按位做異或操作,就就使破譯密碼更加困難了���。如果再使用偽隨機的方法�����,這涉及到要產(chǎn)生一系列的數(shù)字��,我們可以使用fibbonaci數(shù)列���。對數(shù)列所產(chǎn)生的數(shù)做模運算(例如模3)�����,得到一個結(jié)果����,然后循環(huán)移位這個結(jié)果的次數(shù)����,將使破譯次密碼變的幾乎不可能!但是���,使用fibbonaci數(shù)列這種偽隨機的方式所產(chǎn)生的密碼對我們的解密程序來講是非常容易的�����。
在一些情況下���,我們想能夠知道數(shù)據(jù)是否已經(jīng)被篡改了或被破壞了����,這時就需要產(chǎn)生一些校驗碼���,并且把這些校驗碼插入到數(shù)據(jù)流中。這樣做對數(shù)據(jù)的防偽與程序本身都是有好處的����。但是感染計算機程序的病毒才不會在意這些數(shù)據(jù)或程序是否加過密,是否有數(shù)字簽名�����。所以�����,加密程序在每次load到內(nèi)存要開始執(zhí)行時���,都要檢查一下本身是否被病毒感染����,對與需要加����、解密的文件都要做這種檢查�!很自然���,這樣一種方法體制應該保密的�,因為病毒程序的編寫者將會利用這些來破壞別人的程序或數(shù)據(jù)�����。因此��,在一些反病毒或殺病毒軟件中一定要使用加密技術(shù)��。
循環(huán)冗余校驗是一種典型的校驗數(shù)據(jù)的方法����。對于每一個數(shù)據(jù)塊,它使用位循環(huán)移位和xor操作來產(chǎn)生一個16位或32位的校驗和���,這使得丟失一位或兩個位的錯誤一定會導致校驗和出錯����。這種方式很久以來就應用于文件的傳輸,例如xmodem-crc�����。這是方法已經(jīng)成為標準�,而且有詳細的文檔。但是��,基于標準crc算法的一種修改算法對于發(fā)現(xiàn)加密數(shù)據(jù)塊中的錯誤和文件是否被病毒感染是很有效的����。
二.基于公鑰的加密算法
一個好的加密算法的重要特點之一是具有這種能力:可以指定一個密碼或密鑰���,并用它來加密明文�,不同的密碼或密鑰產(chǎn)生不同的密文�����。這又分為兩種方式:對稱密鑰算法和非對稱密鑰算法�����。所謂對稱密鑰算法就是加密解密都使用相同的密鑰�����,非對稱密鑰算法就是加密解密使用不同的密鑰。非常著名的pgp公鑰加密以及rsa加密方法都是非對稱加密算法���。加密密鑰���,即公鑰,與解密密鑰��,即私鑰���,是非常的不同的����。從數(shù)學理論上講���,幾乎沒有真正不可逆的算法存在���。例如,對于一個輸入‘a(chǎn)’執(zhí)行一個操作得到結(jié)果‘b’,那么我們可以基于‘b’����,做一個相對應的操作�����,導出輸入‘a(chǎn)’��。在一些情況下�,對于每一種操作����,我們可以得到一個確定的值,或者該操作沒有定義(比如����,除數(shù)為0)�����。對于一個沒有定義的操作來講���,基于加密算法�,可以成功地防止把一個公鑰變換成為私鑰�。因此,要想破譯非對稱加密算法����,找到那個唯一的密鑰�,唯一的方法只能是反復的試驗�,而這需要大量的處理時間。
rsa加密算法使用了兩個非常大的素數(shù)來產(chǎn)生公鑰和私鑰�。即使從一個公鑰中通過因數(shù)分解可以得到私鑰,但這個運算所包含的計算量是非常巨大的�,以至于在現(xiàn)實上是不可行的。加密算法本身也是很慢的����,這使得使用rsa算法加密大量的數(shù)據(jù)變的有些不可行。這就使得一些現(xiàn)實中加密算法都基于rsa加密算法�。pgp算法(以及大多數(shù)基于rsa算法的加密方法)使用公鑰來加密一個對稱加密算法的密鑰,然后再利用一個快速的對稱加密算法來加密數(shù)據(jù)�。這個對稱算法的密鑰是隨機產(chǎn)生的,是保密的���,因此����,得到這個密鑰的唯一方法就是使用私鑰來解密�����。
我們舉一個例子:假定現(xiàn)在要加密一些數(shù)據(jù)使用密鑰‘12345’。利用rsa公鑰�,使用rsa算法加密這個密鑰‘12345’,并把它放在要加密的數(shù)據(jù)的前面(可能后面跟著一個分割符或文件長度�����,以區(qū)分數(shù)據(jù)和密鑰)����,然后,使用對稱加密算法加密正文��,使用的密鑰就是‘12345’���。當對方收到時�,解密程序找到加密過的密鑰��,并利用rsa私鑰解密出來���,然后再確定出數(shù)據(jù)的開始位置,利用密鑰‘12345’來解密數(shù)據(jù)����。這樣就使得一個可靠的經(jīng)過高效加密的數(shù)據(jù)安全地傳輸和解密���。
一些簡單的基于rsa算法的加密算法可在下面的站點找到:
ftp://ftp.funet.fi/pub/crypt/cryptography/asymmetric/rsa
三.一個嶄新的多步加密算法
現(xiàn)在又出現(xiàn)了一種新的加密算法,據(jù)說是幾乎不可能被破譯的����。這個算法在1998年6月1日才正式公布的。下面詳細的介紹這個算法:
使用一系列的數(shù)字(比如說128位密鑰)���,來產(chǎn)生一個可重復的但高度隨機化的偽隨機的數(shù)字的序列�����。一次使用256個表項����,使用隨機數(shù)序列來產(chǎn)生密碼轉(zhuǎn)表�,如下所示:
把256個隨機數(shù)放在一個距陣中,然后對他們進行排序�����,使用這樣一種方式(我們要記住最初的位置)使用最初的位置來產(chǎn)生一個表���,隨意排序的表�,表中的數(shù)字在0到255之間。如果不是很明白如何來做�,就可以不管它。但是�����,下面也提供了一些原碼(在下面)是我們明白是如何來做的?��,F(xiàn)在�,產(chǎn)生了一個具體的256字節(jié)的表�����。讓這個隨機數(shù)產(chǎn)生器接著來產(chǎn)生這個表中的其余的數(shù)�����,以至于每個表是不同的��。下一步���,使用"shotguntechnique"技術(shù)來產(chǎn)生解碼表?���;旧险f�,如果a映射到b���,那么b一定可以映射到a�,所以b[a[n]]=n.(n是一個在0到255之間的數(shù))���。在一個循環(huán)中賦值���,使用一個256字節(jié)的解碼表它對應于我們剛才在上一步產(chǎn)生的256字節(jié)的加密表。
使用這個方法����,已經(jīng)可以產(chǎn)生這樣的一個表,表的順序是隨機���,所以產(chǎn)生這256個字節(jié)的隨機數(shù)使用的是二次偽隨機,使用了兩個額外的16位的密碼.現(xiàn)在���,已經(jīng)有了兩張轉(zhuǎn)換表,基本的加密解密是如下這樣工作的��。前一個字節(jié)密文是這個256字節(jié)的表的索引?��;蛘?,為了提高加密效果����,可以使用多余8位的值,甚至使用校驗和或者crc算法來產(chǎn)生索引字節(jié)�����。假定這個表是256*256的數(shù)組,將會是下面的樣子:
crypto1=a[crypto0][value]
變量''''crypto1''''是加密后的數(shù)據(jù)�����,''''crypto0''''是前一個加密數(shù)據(jù)(或著是前面幾個加密數(shù)據(jù)的一個函數(shù)值)�����。很自然的���,第一個數(shù)據(jù)需要一個“種子”�,這個“種子”是我們必須記住的��。如果使用256*256的表,這樣做將會增加密文的長度���。或者�����,可以使用你產(chǎn)生出隨機數(shù)序列所用的密碼�,也可能是它的crc校驗和。順便提及的是曾作過這樣一個測試:使用16個字節(jié)來產(chǎn)生表的索引,以128位的密鑰作為這16個字節(jié)的初始的"種子"�����。然后�����,在產(chǎn)生出這些隨機數(shù)的表之后��,就可以用來加密數(shù)據(jù)��,速度達到每秒鐘100k個字節(jié)�。一定要保證在加密與解密時都使用加密的值作為表的索引,而且這兩次一定要匹配�����。
加密時所產(chǎn)生的偽隨機序列是很隨意的,可以設計成想要的任何序列���。沒有關(guān)于這個隨機序列的詳細的信息��,解密密文是不現(xiàn)實的����。例如:一些ascii碼的序列����,如“eeeeeeee"可能被轉(zhuǎn)化成一些隨機的沒有任何意義的亂碼,每一個字節(jié)都依賴于其前一個字節(jié)的密文����,而不是實際的值。對于任一個單個的字符的這種變換來說���,隱藏了加密數(shù)據(jù)的有效的真正的長度�����。
如果確實不理解如何來產(chǎn)生一個隨機數(shù)序列�����,就考慮fibbonacci數(shù)列�����,使用2個雙字(64位)的數(shù)作為產(chǎn)生隨機數(shù)的種子����,再加上第三個雙字來做xor操作����。這個算法產(chǎn)生了一系列的隨機數(shù)。算法如下:
unsignedlongdw1,dw2,dw3,dwmask;
inti1;
unsignedlongarandom[256];
dw1={seed#1};
dw2={seed#2};
dwmask={seed#3};
//thisgivesyou332-bit"seeds",or96bitstotal
for(i1=0;i1<256;i1++)
{
dw3=(dw1+dw2)^dwmask;
arandom[i1]=dw3;
dw1=dw2;
dw2=dw3;
}
如果想產(chǎn)生一系列的隨機數(shù)字�,比如說,在0和列表中所有的隨機數(shù)之間的一些數(shù)��,就可以使用下面的方法:
int__cdeclmysortproc(void*p1,void*p2)
{
unsignedlong**pp1=(unsignedlong**)p1;
unsignedlong**pp2=(unsignedlong**)p2;
if(**pp1<**pp2)
return(-1);
elseif(**pp1>*pp2)
return(1);
return(0);
}
...
inti1;
unsignedlong*aprandom[256];
unsignedlongarandom[256];//samearrayasbefore,inthiscase
intaresult[256];//resultsgohere
for(i1=0;i1<256;i1++)
{
aprandom[i1]=arandom+i1;
}
//nowsortit
qsort(aprandom,256,sizeof(*aprandom),mysortproc);
//finalstep-offsetsforpointersareplacedintooutputarray
for(i1=0;i1<256;i1++)
{
aresult[i1]=(int)(aprandom[i1]-arandom);
}
...
變量''''aresult''''中的值應該是一個排過序的唯一的一系列的整數(shù)的數(shù)組����,整數(shù)的值的范圍均在0到255之間。這樣一個數(shù)組是非常有用的����,例如:對一個字節(jié)對字節(jié)的轉(zhuǎn)換表���,就可以很容易并且非常可靠的來產(chǎn)生一個短的密鑰(經(jīng)常作為一些隨機數(shù)的種子)�。這樣一個表還有其他的用處,比如說:來產(chǎn)生一個隨機的字符�,計算機游戲中一個物體的隨機的位置等等。上面的例子就其本身而言并沒有構(gòu)成一個加密算法�,只是加密算法一個組成部分。
作為一個測試��,開發(fā)了一個應用程序來測試上面所描述的加密算法����。程序本身都經(jīng)過了幾次的優(yōu)化和修改,來提高隨機數(shù)的真正的隨機性和防止會產(chǎn)生一些短的可重復的用于加密的隨機數(shù)����。用這個程序來加密一個文件,破解這個文件可能會需要非常巨大的時間以至于在現(xiàn)實上是不可能的����。
四.結(jié)論:
由于在現(xiàn)實生活中,我們要確保一些敏感的數(shù)據(jù)只能被有相應權(quán)限的人看到���,要確保信息在傳輸?shù)倪^程中不會被篡改��,截取����,這就需要很多的安全系統(tǒng)大量的應用于政府、大公司以及個人系統(tǒng)����。數(shù)據(jù)加密是肯定可以被破解的,但我們所想要的是一個特定時期的安全�,也就是說����,密文的破解應該是足夠的困難,在現(xiàn)實上是不可能的��,尤其是短時間內(nèi)��。
參考文獻:
1.pgp!/
cyberknights(newlink)/cyberkt/
(oldlink:/~merlin/knights/)
2.cryptochamberjyu.fi/~paasivir/crypt/
3.sshcryptographa-z(includesinfoonsslandhttps)ssh.fi/tech/crypto/
4.funet''''cryptologyftp(yetanotherfinlandresource)ftp://ftp.funet.fi/pub/crypt/
agreatenigmaarticle,howthecodewasbrokenbypolishscientists
/nbrass/1enigma.htm
5.ftpsiteinukftp://sable.ox.ac.uk/pub/crypto/
6.australianftpsiteftp://ftp.psy.uq.oz.au/pub/
7.replayassociatesftparchiveftp://utopia.hacktic.nl/pub/replay/pub/crypto/
篇3
當前�,大部分計算機的系統(tǒng)為Windows系統(tǒng),只有少數(shù)計算機的系統(tǒng)為Linux系統(tǒng)��。Windows系統(tǒng)受眾面廣��,受網(wǎng)絡攻擊的可能性更大�,再加上系統(tǒng)本身存在很多漏洞�,嚴重影響了計算機數(shù)據(jù)信息的安全性����。如果黑客攻擊系統(tǒng)所存在的漏洞,就會導致病毒通過漏洞感染計算機���。計算機操作系統(tǒng)建設所用的代碼會涉及到匯編�����、反匯編等底層代碼�����,并且所有代碼的編寫需要整個團隊來完成���,這樣往往在代碼編寫過程中就會出現(xiàn)漏洞,需要用專門的補丁來修復����。系統(tǒng)漏洞的存在給計算機的安全使用帶來了極大的威脅,導致銀行賬號����、密碼�,游戲賬號��、密碼等泄露��,從而對計算機使用者造成一定的損失�����。
1.2計算機病毒
計算機病毒具有感染性強�、蔓延范圍廣、傳播速度快等特點�����,是威脅計算機數(shù)據(jù)安全的重要因素��。在病毒進入到計算機程序后�����,如果將帶有病毒的數(shù)據(jù)文件應用于計算機網(wǎng)絡傳輸或共享����,那么其他計算機在瀏覽或打開此數(shù)據(jù)文件時也會被感染�,出現(xiàn)連鎖式病毒傳播�。另外��,如果計算機病毒過多��,會對計算機操作系統(tǒng)造成十分嚴重的影響�����,出現(xiàn)死機或者數(shù)據(jù)丟失等事故�����。
1.3非正常入侵
計算機網(wǎng)絡具有開放性特點�,在互聯(lián)網(wǎng)背景下,很多不法分子利用系統(tǒng)本身存在的漏洞非法入侵用戶計算機���。非法入侵者一般采取竊聽����、監(jiān)視等手段���,獲取計算機網(wǎng)絡用戶的口令��、IP包和用戶信息等��,然后利用各種信息進入計算機局域網(wǎng)內(nèi)��,并采用冒充系統(tǒng)客戶或者用合法用戶的IP地址代替自己的IP地址等方式���,篡改或竊取計算機網(wǎng)絡內(nèi)的數(shù)據(jù)信息��。
2數(shù)據(jù)加密技術(shù)的應用
2.1密鑰保護
密鑰保護是數(shù)據(jù)加密中一種常用的加密技術(shù)����。改變密鑰的表達方式�����,可提高密文書寫的多變性���,體現(xiàn)多層次的加密方式���。密鑰保護可分為公鑰保護和私鑰保護兩種方式���。通常這兩種方式相互配合��,對提高計算機數(shù)據(jù)信息的安全性具有重要意義。私鑰保護具有一定的局限性,在使用時必須借助公鑰保護來完成整個保護動作�����。密鑰保護的原理是:當計算機進行數(shù)據(jù)傳輸時����,選用公鑰對需要傳輸?shù)男畔⑦M行加密����,在用戶接收數(shù)據(jù)后,需要通過私鑰來完成解密動作����,以此來確保傳輸數(shù)據(jù)的安全性,避免攻擊者非法竊取傳輸過程中的數(shù)據(jù)��。當前�,秘鑰保護方式一般用于管理系統(tǒng)和金融系統(tǒng)中,可以完成對私人信息����、用戶登錄和訪問過程等方面的保護。
2.2USBkey保護
USBkey是數(shù)據(jù)加密技術(shù)的典型代表�,一般用于銀行交易系統(tǒng)中,保證網(wǎng)絡交易環(huán)境的安全性。USBkey服務于客戶端到銀行系統(tǒng)���,對每項數(shù)據(jù)信息的傳輸都需要加密處理��,避免數(shù)據(jù)在傳輸過程中受到惡意攻擊�。就現(xiàn)狀來看�,銀行系統(tǒng)通過計算機網(wǎng)絡來完成工作的概率逐漸上升。USBkey可以保護銀行系統(tǒng)能夠在相對安全的環(huán)境中完成交易���。在用戶利用計算機網(wǎng)絡進行銀行交易時����,USBkey中的加密技術(shù)會自動匹配用戶信息���,即便用戶行為被跟蹤��,攻擊者也無法破譯USBkey中的加密技術(shù)���,通過加強用戶登錄身份的驗證,保證用戶財務安全���。
2.3數(shù)字簽名保護
數(shù)字簽名保護是比較常用的一種數(shù)據(jù)加密技術(shù),具有很好的保護效果。數(shù)字簽名保護的原理是利用加密��、解密過程�����,識別用戶身份����,從而保證數(shù)據(jù)信息的安全性。數(shù)字簽名保護也分為公鑰保護和私鑰保護兩種����,如果只使用其中的一種保護方式,會在本質(zhì)上降低安全保護的效果�����。因此���,通常情況下�����,常在私鑰簽名處外加一層公鑰保護�����,提高數(shù)字簽名保護的效果����。
篇4
因為信息數(shù)據(jù)是通過計算機進行存儲與傳輸?shù)模詳?shù)據(jù)安全隱患產(chǎn)生的第一步就是計算機中存在的安全風險�,包括硬件與軟件的安全問題:第一、操作系統(tǒng)出現(xiàn)漏洞���,內(nèi)部含有竊取信息的程序或者木馬����,其數(shù)據(jù)信息被盜取與修改都是在使用者毫無察覺的情況下發(fā)生的��;第二���、計算機病毒���,如果計算機沒有安裝殺毒軟件,則會讓電腦處于危險狀態(tài)�����,很多病毒會隨著數(shù)據(jù)的傳輸或者程序的安裝而進入計算機,從而實現(xiàn)竊取與篡改計算機內(nèi)信息數(shù)據(jù)的目的�����;第三��、硬件不穩(wěn)定��,計算機硬件的不穩(wěn)定如磁盤受損�、缺少恢復程序等����,會造成傳輸或存儲的數(shù)據(jù)丟失或錯誤,從而對信息數(shù)據(jù)造成危害���。還有就是網(wǎng)絡安全隱患����,主要是網(wǎng)絡的傳播不穩(wěn)定和網(wǎng)絡存在安全漏洞�����,這也是存在安全隱患最多的一環(huán)���,不過這一般和人為安全因素有很大的聯(lián)系�����,人們會利用網(wǎng)絡安全的漏洞進行數(shù)據(jù)的竊取與篡改����。
1.2人為安全隱患
因為利益驅(qū)使,為了盜取或者篡改重要信息����,出現(xiàn)了很多非法入侵他人電腦或者網(wǎng)絡系統(tǒng)的行為,如黑客��、傳播病毒��、電子詐騙���、搭線竊聽�����、掛木馬等�,這些人為的破壞行為其目的性就比較強����,往往攻擊力強��、危害度比較大���,一般是涉及竊取重要的經(jīng)濟情報�����、軍事情報�����、企業(yè)重要信息或者是進行國家網(wǎng)絡系統(tǒng)的惡意攻擊等�����,給個人���、單位����,甚至是國家都帶來難以彌補的損失�����,也是必須加以防范的安全隱患。
2計算機信息數(shù)據(jù)的加密技術(shù)
2.1存儲加密法
存儲加密是用來保護在存儲過程當中信息數(shù)據(jù)的完整性與保密性����,包括密文存儲與存取控制。而密文存儲是通過加密算法的轉(zhuǎn)換��、附加密碼進行加密�、加密模塊的設置等技術(shù)實現(xiàn)其保密作用;存取控制是通過審查用戶資料來辨別用戶的合法性���,從而通過限制用戶權(quán)限來保護信息數(shù)據(jù)不被其他用戶盜取或修改�����,包括阻止合法用戶的越權(quán)行為和非法用戶的入侵行為�。
2.2傳輸加密法
傳輸加密是通過加密來保護傳輸中信息數(shù)據(jù)流的安全性�����,實現(xiàn)的是過程的動態(tài)性加密���,分為端—端加密與線路加密兩種����。端—端是一種從信息數(shù)據(jù)發(fā)出者的端口處制定加密信息,只要是從此端口發(fā)出的數(shù)據(jù)都會自動加密����,加密后變成了不可閱讀與不可識別的某些信息數(shù)據(jù),并通過TCP/IP數(shù)據(jù)包后����,最終到達傳輸目的地�,當?shù)竭_最終端口時,這些信息數(shù)據(jù)會自動進行重組與解密�,轉(zhuǎn)化為可以閱讀與識別的信息數(shù)據(jù),以供數(shù)據(jù)接收者安全的使用��;線路加密則有所不同�����,它是完全不需對信源和信宿進行加密保護����,而是運用對信息數(shù)據(jù)傳輸?shù)牟煌肪€采用不同加密密鑰的手段,達到對線路的保護目的。
2.3密鑰管理法
很多的數(shù)據(jù)信息進行加密都是通過設置密鑰進行安全防護����,所以密鑰是能否保護好信息數(shù)據(jù)的關(guān)鍵,如果密鑰被破解�,則信息數(shù)據(jù)就無保密性可言,故對密鑰的保護非常關(guān)鍵�����,這也就是我們所說的密鑰管理法���,它在密鑰形成的各個環(huán)節(jié)(產(chǎn)生�、保存�����、分配�、更換、銷毀等階段)進行管理控制�,確保密鑰的安全性。
2.4確認加密法
確認加密法是通過對信息數(shù)據(jù)的共享范圍進行嚴格控制�����,來防止這些數(shù)據(jù)被非法篡改與偽造。按照不同的目的����,確認加密法可分為:信息確認、數(shù)字簽名與身份確認三種��。數(shù)字簽名是根據(jù)公開密鑰與私人密鑰兩者存在一定的數(shù)學關(guān)系而建立的����,使用其中任一密鑰進行加密的信息數(shù)據(jù),只能用另一密鑰進行解密�����,從而確保數(shù)據(jù)的真實性�,如發(fā)送者用個人的私人密鑰對傳輸信息數(shù)據(jù)進行加密之后,傳送到接收者那里�����,接收者必須用其公開密鑰對數(shù)據(jù)進行解密�,這樣可以準確的知道該信息的發(fā)送源是那里�����,避免信息的錯誤。
2.5信息摘要法
信息摘要法是通過一個單向的Hash加密函數(shù)來對信息數(shù)據(jù)進行處理���,而產(chǎn)生出與數(shù)據(jù)對應的唯一文本值或消息值�����,即信息的摘要����,來保證數(shù)據(jù)的完整性�,它是在信息數(shù)據(jù)發(fā)送者那里進行加密后產(chǎn)生出一個摘要,接收者通過密鑰進行解密后會產(chǎn)生另一個摘要�����,接收者對兩個摘要進行對比�����,如果兩個有差別���,就表面數(shù)據(jù)在傳輸途中被修改����。
2.6完整性鑒別法
完整性鑒別法是將事先設定的某些參數(shù)(如口令、各相關(guān)人員的身份�����、密鑰���、信息數(shù)據(jù)等)錄入系統(tǒng)�,在數(shù)據(jù)信息傳輸中��,通過讓驗證對象輸入相應的特征值�,判斷輸入的特征值是否符合要求,來對信息數(shù)據(jù)進行保護的技術(shù)�����。
篇5
(1)芯片陷阱��。在計算機中所利用到的芯片�����,通常具備秘密功能��,而且這些秘密功能很難讓人察覺����。在國外,對于我國所使用的CPU集成了病毒指令及陷阱指令���。他們能夠通過對無線代碼的利用�����,從而使CPU等內(nèi)部指令得到有效激活����,進一步導致內(nèi)部信息發(fā)生外泄�����,最終導致計算機癱瘓而無法正常運行����。
(2)電磁泄漏。計算機在運行過程中����,會輻射出巨大的電磁脈沖,惡意破壞者則通過對計算機輻射的電磁波進行接收����,進一步通過復原獲取計算機中的信息數(shù)據(jù)��。
(3)硬件故障�����。在計算機存儲器硬件遭遇損壞的情況下�����,便會導致所存儲的數(shù)據(jù)無法有效讀取出來����。
1.2軟件方面的安全問題
(1)竊聽���。主要指的是資料數(shù)據(jù)在進行網(wǎng)絡傳輸過程當中���,被第三方非法獲取,從而造成資料數(shù)據(jù)的流失��。對于企業(yè)而言����,遭遇竊聽則會泄漏公司機密,從而使企業(yè)造成不可估量的經(jīng)濟損失����。
(2)病毒入侵。主要指的是電腦病毒�,對于電腦病毒來說,能夠進行自行復制���,從而對應用軟件進行更換���,并且還可以更改資料或刪除文檔。
(3)網(wǎng)絡釣魚�����。通過或者仿冒網(wǎng)絡商店的構(gòu)建�����,從而獲取網(wǎng)民的信息資料����,進一步造成網(wǎng)民個人信息泄露或直接的經(jīng)濟損失。
(4)偽裝及篡改���。在“偽裝”方面���,主要指的是攻擊者偽裝成合法的使用者��,從而輕而易舉地獲取使用權(quán)限���。在“篡改”方面主要指的是資料被篡改,比如儲存或者處于傳輸過程中的資料被篡改����,那么這些資料的完整性便遭遇損壞,同時這些資料的安全性也失去了可靠性及安全性�����。
二���、計算機安全常見問題的防御對策探究
1���、加固技術(shù)
使用加固技術(shù)可以使計算機硬件的安全性得到有效提升。涵蓋了防腐加固�����、溫度環(huán)境加固、密封加固及防震加固等�����。對于加固技術(shù)中的防輻射加固來說��,是將計算機各方面的硬件�����,比如電源�����、硬盤���、芯片等均進行屏蔽,從而使電磁波輻射現(xiàn)象的發(fā)生實現(xiàn)有效避免���。當然��,對于計算機硬件方面的工作����,除了加固技術(shù)外,還需具體情況具體分析���,比如為了使數(shù)據(jù)存儲的安全性得到有效提升���,便可以使用數(shù)據(jù)備份的方面,把有用的數(shù)據(jù)進行定期復制��,并進一步加以保存��。
2�����、加密技術(shù)
為了使信息竊取實現(xiàn)有效避免����,便可以采取加密技術(shù)。該項技術(shù)主要分為兩類����,一類為對稱加密技術(shù),另一類為非對稱加密技術(shù)�����。其中,對于對稱加密技術(shù)來說�����,主要是指信息的發(fā)送方與接收方使用同一各密鑰進行加密及解密數(shù)據(jù)����。非對稱加密技術(shù)即為公鑰加密����,通過一對密鑰的利用,以分別的方式進行加密與解密數(shù)據(jù)����。
3、認證技術(shù)
對于認證技術(shù)來說�,主要是指通過電子手段的加以利用,以此證明發(fā)送者與接受者身份的一種技術(shù)����,同時該項技術(shù)還能夠辨識文件的完整性。也就是說�����,能夠辨識出數(shù)據(jù)在傳輸過程中是否被篡改或非法存儲等。認證技術(shù)分為兩類����,一類為數(shù)字簽名,另一類為數(shù)字證書��。其中�,數(shù)字簽名又稱之為電子簽名,主要是將數(shù)字簽名當作報文發(fā)送給接收者�。對于用戶來說,可以通過安全可靠的方法向相關(guān)部門提交資金的公鑰�,從而獲取證書,進一步用戶便具備公開此項證書的合法權(quán)益�����。對于需要用戶公鑰的人��,均能夠獲取此項證書���,并且通過相關(guān)合法協(xié)議的簽訂����,從而使公鑰的有效性得到證實。對于數(shù)字證書來說���,將交易各方的身份信息逐一標識出來�,進一步提供出驗證各身份的方法���,如此一來用戶便能夠使用這些方法對對方的身份進行有效識別�。
篇6
2數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡安全中的應用
2.1數(shù)據(jù)加密技術(shù)在軟件加密中的應用
軟件是計算機運用不可或缺的組成部分,在計算機的日常運用時,病毒和網(wǎng)絡黑客最常侵入計算機軟件,軟件由于設計上的漏洞也最容易遭受病毒和黑客的入侵�����。在軟件中應用數(shù)據(jù)加密技術(shù)進行軟件加密,可以對計算機病毒及網(wǎng)絡黑客的入侵進行有效的阻擋����。加密程序的執(zhí)行過程中,加密操作員必須對加密數(shù)據(jù)進行檢測,避免文件中隱藏有病毒,若是檢測出病毒,必須進行相應處理及檢測軟件��、數(shù)據(jù)和系統(tǒng)的完整性和保密性,遏制病毒的蔓延����。因此,數(shù)據(jù)加密技術(shù)在軟件加密中的應用,對計算機網(wǎng)絡安全和信息數(shù)據(jù)的保護,起到了至關(guān)重要的作用。
2.2數(shù)據(jù)加密技術(shù)應用于網(wǎng)絡數(shù)據(jù)庫加密
現(xiàn)有使用的網(wǎng)絡數(shù)據(jù)庫管理系統(tǒng)平臺大部分是WindowsNT或者Unix,它們的平臺操作系統(tǒng)的安全評價級別通常為C1級或者C2級,故而計算機擁有相對來說仍然比較脆弱的存儲系統(tǒng)和數(shù)據(jù)傳輸公共信道,一些保密數(shù)據(jù)以及各種密碼容易被PC機之類的設備以各種方式竊取�����、篡改或破壞。
2.3數(shù)據(jù)加密技術(shù)在電子商務中的應用
隨著電子商務的快速興起,現(xiàn)代社會更加信息化,人們的日學習工作生活方式發(fā)生了巨大變化�。電子商務需以網(wǎng)絡運行為載體,在網(wǎng)絡平臺上才能進行交易,因此電子商務無法擺脫網(wǎng)絡因素存在的各種風險,若是不運用有效的加密技術(shù),交易中的各種隱私信息將會輕易被不法分子竊取,造成交易雙方的重大損失,影響雙方信譽及繼續(xù)合作可能性。網(wǎng)絡平臺和交易信息的安全性也影響電子商務的交易安全,應用數(shù)字證書���、SET安全協(xié)議以及數(shù)字簽名等數(shù)據(jù)加密技術(shù),可以提高計算機網(wǎng)絡環(huán)境安全,保障雙方交易的相關(guān)信息的安全�����。
2.4數(shù)據(jù)加密技術(shù)應用于虛擬專用網(wǎng)絡
現(xiàn)有許多企業(yè)單位大多建立了局域網(wǎng)供內(nèi)部信息交流,由于各個分支機構(gòu)的距離位置遠近不同,需要應用一個專業(yè)路線聯(lián)通各個局域網(wǎng),達到機構(gòu)間的網(wǎng)絡信息交流�����。數(shù)據(jù)加密技術(shù)應用于虛擬專業(yè)網(wǎng)絡中時,主要是當數(shù)據(jù)進行傳輸,虛擬專用網(wǎng)絡能夠被自動保存在路由器中,路由器中的硬件會對其進行加密,加密后的密文再在互聯(lián)網(wǎng)中傳播,到達接收數(shù)據(jù)的路由后,再自動進行解密,使接受者則能夠安全看到數(shù)據(jù)信息�����。
篇7
1.2垃圾郵件和間諜軟件當收到垃圾郵件或安裝了間諜軟件時�,常常會使計算機的網(wǎng)絡安全陷入不利境地�����,并成為破壞計算機正常使用的主要因素之一����。在計算機網(wǎng)絡的應用環(huán)境下�����,由于電子郵件的地址是完全開放的����,同時計算機系統(tǒng)具有可廣播性���,因而有些人或團體就會利用這一特性���,進行宗教、商業(yè)��,或政治等活動����,主要方式就是強迫目標郵箱接收特定安排的郵件�����,使目標郵箱中出現(xiàn)垃圾郵件��。與計算機病毒有所區(qū)別���,間諜軟件的主要控制手段為盜取口令�����,并侵入計算機系統(tǒng)實行違法操作���,包括盜取用戶信息�,實施貪污�、盜竊、詐騙等違法犯罪行為��,不僅對計算機安全性能造成破壞���,同時也會嚴重威脅用戶的個人隱私���。
1.3計算機用戶操作失誤由于計算機用戶操作不當而發(fā)生的損失,也是影響計算機正常使用并破壞網(wǎng)絡安全的重要因素之一�。目前計算機用戶的整體規(guī)模不斷擴大,但其中有許多用戶并未對計算機的安全防護進行應有的重視����,對計算機的合理使用認識不到位,因而在安全防范方面力度不夠,這就給惡意攻擊者提供了入侵系統(tǒng)的機會���,并進而出現(xiàn)嚴重的安全問題���。用戶安全意識差的主要表現(xiàn)包括:賬號密碼過于簡單,破解容易����,甚至隨意泄露;使用軟件時進行了錯誤操作����;系統(tǒng)備份不完全。這些行為都會引起網(wǎng)絡安全問題的發(fā)生��。
2計算機網(wǎng)絡安全防范的措施
2.1定期進行數(shù)據(jù)備份為防止因突破情況�����,如自然災害����,斷電等造成的數(shù)據(jù)丟失���,應在平時養(yǎng)成定期數(shù)據(jù)備份的習慣�����,將硬盤上的重要文件�����,數(shù)據(jù)復制到其他存儲設備中��,如移動硬盤等���。如果做好了備份工作��,即使當計算機系統(tǒng)遭受攻擊而發(fā)生數(shù)據(jù)毀壞�,也無需擔心數(shù)據(jù)的徹底消失��,而只需將已經(jīng)備份的文件和數(shù)據(jù)再重新恢復到計算機中即可���。因此����,數(shù)據(jù)的定期備份是維護計算機網(wǎng)絡安全的有效途徑之一��。如果計算機因意外情況而無法正常啟動,也需在重新安裝系統(tǒng)前進行數(shù)據(jù)備份��,以便在計算機能夠正常使用后完成數(shù)據(jù)恢復�����,這在非法入侵系統(tǒng)造成的數(shù)據(jù)毀壞時也能起到重要的作用��。
2.2采用物理隔離網(wǎng)閘物理隔離網(wǎng)閘是一種通過外部設備來實現(xiàn)計算機安全防護的技術(shù)手段�����,利用固態(tài)開關(guān)讀寫作為媒介���,來實現(xiàn)不同主機系統(tǒng)間的對接�����,可實現(xiàn)多種控制功能�����。由于在這一技術(shù)手段下的不同主機系統(tǒng)之間�����,并不存在通信的物理連接��、邏輯連接����、信息傳輸命令�����、信息傳輸協(xié)議����,以及基于協(xié)議的信息包,只存在無協(xié)議“擺渡”��,同時只能對存儲媒介發(fā)出“讀”與“寫”這兩種指令�����。因此����,物理隔離網(wǎng)閘可以從源頭上保障計算機網(wǎng)絡的安全,從物理上隔離��,阻斷了帶有攻擊性質(zhì)的所有連接,切斷黑客入侵的途徑����,使其無法攻擊,無法破壞�����,真正維護了網(wǎng)絡安全���。
2.3防火墻技術(shù)防火墻是一種常用的計算機安全軟件���,在計算機和互聯(lián)網(wǎng)之間構(gòu)筑一道“安檢”關(guān)卡。安裝了防火墻��,所有經(jīng)過這臺計算機的網(wǎng)絡通信都必須接受防火墻的安全掃描���,從而使具有攻擊性的通信無法與計算機取得連接����,阻斷非授權(quán)訪問在計算機上的執(zhí)行�����。同時,防火墻還會將不必要的端口關(guān)閉���,并針對指定端口實施通信禁止���,從而對木馬進行封鎖堵截����。最后,它可以對特殊站點的訪問實施攔截����,拒絕來路不明的所有通信,最大程度地維護計算機網(wǎng)絡的安全����。
2.4加密技術(shù)為進一步地維護網(wǎng)絡信息安全,保證用戶信息不被侵犯���,還可使用加密技術(shù)來對計算機的系統(tǒng)安全鑰匙進行升級���,對加密技術(shù)進行充分合理的利用能有效提高信息的安全程度。首先是數(shù)據(jù)加密���,基本原理在于通過使用特定算法對目標文件加以處理�,使其由原來的明文轉(zhuǎn)為無法識別的代碼,通常稱為密文�,如果需要查看加密前的內(nèi)容,就必須輸入正確的密鑰���,這樣就可防止重要信息內(nèi)容被不法分子竊取和掌握����。相對地�,加密技術(shù)的逆過程為解密,即將代碼轉(zhuǎn)為可讀的文件���。其次是智能卡技術(shù)����,該技術(shù)與加密技術(shù)有較強的關(guān)聯(lián)性��。所謂智能卡�����,其實質(zhì)為密鑰的一種媒介�����,與信用卡相類似,只能由經(jīng)過授權(quán)的使用者所持有��,授權(quán)用戶可對其設置一定的口令�����,同時保證設置的口令與網(wǎng)絡服務器密碼相同����,當同時使用口令與身份特征��,能夠起到極為理想的保密效果���。
2.5進行入侵檢測和網(wǎng)絡監(jiān)控計算機網(wǎng)絡安全技術(shù)還包括入侵檢測即網(wǎng)絡監(jiān)控�。其中�����,入侵檢測是一項綜合程度高的安全維護手段�,包括統(tǒng)計技術(shù),網(wǎng)絡通信技術(shù)�,推理技術(shù)等�����,起到的作用十分顯著��,可對當前網(wǎng)絡環(huán)境進行監(jiān)督���,以便及時發(fā)現(xiàn)系統(tǒng)被攻擊的征兆。根據(jù)分析手段的不同�,可將其分為簽名法與統(tǒng)計法兩種。對于針對系統(tǒng)已知漏洞的攻擊�,可用簽名法來實施監(jiān)控;對于系統(tǒng)的正常運行階段����,需要對其中的可疑動作是否出現(xiàn)了異常現(xiàn)象進行確認時�,可用統(tǒng)計法進行監(jiān)控,能夠從動作模式為出發(fā)點進行判斷����。
2.6及時下載漏洞補丁程序?qū)τ嬎銠C網(wǎng)絡安全的維護應當是一個長期的,動態(tài)的過程��,因此及時下載漏洞補丁就顯得十分必要。在使用計算機來連接網(wǎng)絡的過程當中�����,為避免因存在系統(tǒng)漏洞而被惡意攻擊者利用�,必須及時下載最新的漏洞補丁,消除計算機應用環(huán)境中的種種隱患�。可通過特定的漏洞掃描手段對漏洞進行掃描�,例如COPS,tripwire�,tiger等,都是非常實用的漏洞掃描軟件�,360安全衛(wèi)士,瑞星卡卡等軟件也有良好的效果�����,可使用這些軟件進行掃描并下載漏洞補丁�����。
2.7加強用戶賬號的安全保護為保障計算機網(wǎng)絡賬號的安全��,應加強對賬號的保護措施����。在計算機應用的網(wǎng)絡環(huán)境下,許多應用領域都需要賬號和密碼進行登錄����,涉及范圍較廣,包括系統(tǒng)登錄����,電子賬號登錄,網(wǎng)上銀行登錄等等��,因此加強對賬號的安全防范就有著極其重要的意義�����。首先�����,對系統(tǒng)登錄來說�,密碼設置應盡量復雜;其次����,對于不同應用方面的賬號來說����,應避免使用相同或類似的密碼���,以免造成重大損失�;再次�,在設置方式上應采用組合的形式,綜合使用數(shù)字����、字母,以及特殊符號�;最后,應保證密碼長度合適����,同時應定期修改密碼。
篇8
關(guān)鍵字藍牙流加密分組加密DESAES
1引言
隨著計算機網(wǎng)絡技術(shù)的迅速發(fā)展���,網(wǎng)絡中的信息安全問題越來越受到廣泛關(guān)注。信息安全主要涉及到用戶身份驗證�����、訪問控制、數(shù)據(jù)完整性����、數(shù)據(jù)加密等問題。網(wǎng)絡安全產(chǎn)品大量涌現(xiàn)���。雖然各種網(wǎng)絡安全產(chǎn)品的功能多種多樣��,但它們無一例外地要使用加密技術(shù)�����。一個好的加密算法首先表現(xiàn)在它的安全性上����,一個不安全的算法會使使用它的網(wǎng)絡變得更加脆弱�����;其次要考慮它在軟硬件方面實現(xiàn)的難易度�,不易實現(xiàn)的加密算法是不現(xiàn)實的;第三要看使用此加密算法會不會降低數(shù)據(jù)傳輸速率�。
藍牙技術(shù)是一種新興的無線網(wǎng)絡標準,它基于芯片提供短距離范圍的無線跳頻通信��。它注定會成為一項通用的低成本無線技術(shù),可適用于一系列范圍廣泛的數(shù)據(jù)通信應用��。藍牙標準定義了一系列安全機制�,從而為近距離無線通信提供了基本的保護。它要求每個藍牙設備都要實現(xiàn)密鑰管理����、認證以及加密等功能。此外藍牙技術(shù)所采用的跳頻數(shù)據(jù)通信方式本身也是一個防止竊聽的有效安全手段�。藍牙加密過程中所用到的加密算法是E0流密碼。但是這種算法存在有一些缺點�����,128位密鑰長度的E0流加密在某些情況下可通過0(2^64)方式破解�。所以對于大多數(shù)需要將保密放在首位來考慮的應用來說,僅僅采用藍牙提供的數(shù)據(jù)安全性是不夠的����。
2藍牙標準中的安全措施
藍牙技術(shù)中,物理層數(shù)據(jù)的安全性主要是采用了跳頻擴展頻譜�����,由于藍牙技術(shù)采用了跳頻技術(shù)從而使得竊聽變得極困難��。藍牙射頻工作在2.4Hz頻段��。在北美和歐洲的大部分國家�����,藍牙設備工作與從2.402到2.480Hz的頻帶���,整個頻帶被分為79個1MHz帶寬的子信道����。FHSS依靠頻率的變化來對抗干擾��。如果射頻單元在某個頻率遇到干擾�,則會在下一步跳到另一頻率點時重傳受到干擾的信號,因此總的干擾可變得很低���。
為了得到完整的傳輸數(shù)據(jù)���,藍牙技術(shù)使用以下三種糾錯方案:1/3比例前向糾錯碼(FEC),2/3比例前向糾錯碼(FEC)�����,數(shù)據(jù)的自動重發(fā)請求(ARQ)方案。
藍牙技術(shù)產(chǎn)品的認證和加密服務一般由鏈路層提供����,認證采用口令-應答方式進行。在連接過程中往往需要一兩次認證�。為了確保通信安全,對藍牙技術(shù)產(chǎn)品進行認證是十分必要的�,通過認證之后,可以允許用戶自行增添可信任的藍牙技術(shù)設備��,例如���,用戶自己的筆記本電腦經(jīng)過認證之后���,能夠確保只有用戶自己的這臺筆記本電腦,才可以借助用戶自己的移動電話手機進行通信����。
若對于通信有更高的安全要求,那么通信中的藍牙技術(shù)產(chǎn)品就不必局限于采用物理層的提供����,還可以采用更高級別的傳輸層和應用層安全機制,以確保基于藍牙技術(shù)產(chǎn)品的通信更加安全可靠�。
3藍牙技術(shù)中的加密算法
在鏈路層中,藍牙系統(tǒng)提供了認證�、加密和密鑰管理等功能�����,每一個用戶都有一個標識碼(PIN)�����,藍牙設備中所用的PIN碼的長度可以在1到16個字節(jié)之間變化����。通常4個字節(jié)的PIN碼已經(jīng)可以滿足一般應用,但是更高安全級別的應用將需要更長的碼字�。PIN碼可以是藍牙設備提供的一個固定碼,也可以由用戶任意指定�����,標識碼(PIN)會被一個128位鏈路密鑰來進行單雙向認證�。一旦認證完畢,鏈路層會以不同長度的密鑰來加密��。如圖1�����。
PINPIN
認證
鏈路密鑰
鏈路密鑰
加密
加密密鑰Kc
加密密鑰Kc
申請者校驗者
圖1:藍牙中鏈路層的加密過程
藍牙技術(shù)在加密過程中所采用的加密算法如下表1。
表1:藍牙加密過程中所用的加密算法
3.1認證算法
在認證過程中��,用于藍牙認證的E1認證函數(shù)來計算出一個安全認證碼或被稱為MAC(媒體訪問控制地址)�����。E1所采用的算法是SAFER+���,SAFER+算法是參與1997年美國國家標準技術(shù)研究所(NIST)征集AES(AdvancedEncryptionStandard)的候選算法之一��。SAFER+是基于現(xiàn)有的64位分組密碼的SAFER-SK128��,因此它的安全性可以說是經(jīng)過了時間的考驗����。
E1函數(shù)的輸入是linkkey�,AU_RAND及BD_ADDR,它的定義如下:
E1:
在藍牙技術(shù)中���,認證采用口令-應答方式��。驗證方要求申請者鑒別隨機數(shù)AU_RAND并返回計算結(jié)果SRES��,若雙方的計算結(jié)果相等則認證成功����,并保留ACO(AuthenticatedCipheringOffset)值。若某次認證失敗�,則必須等待一定的時間間隔才能進行再次認證
3.2加密算法
在藍牙技術(shù)中�,用戶信息可采用分組有效載荷的加密進行保護,但識別碼和分組頭不加密�。有效載荷的加密采用E0流密碼來實現(xiàn)。E0將對每一有效載荷重新同步�。流密碼系統(tǒng)E0由三部分組成。第一部分執(zhí)行初始化(生成有效載荷字)�,第二部分生成密鑰流,第三部分完成加密和解密��,如圖2����。
有效載荷字明碼文本/密碼文本
Kc
地址
時鐘Z密碼文本/明碼文本
RAND
圖2藍牙的E0流加密
有效載荷字發(fā)生器非常簡單,它僅僅以適當序列對輸入的位進行組合�,然后將它們轉(zhuǎn)移到用于密鑰流發(fā)生器的四位LFSR中。加密機采用了四個線性反饋移位寄存器(LFSR)�,依次為LFSR1、LFSR2、LFSR3��、LFSR4���,其長度分別為25�����,31��,33�����,39比特�����。LFSR的性質(zhì):加密機把四個LFSR的輸出結(jié)果輸入到一個有限狀態(tài)機中�����,經(jīng)有限狀態(tài)機的組合運算輸出密鑰流序列��,若在初始化階段則輸出一個隨機的初始化值���。加密算法使用Kc���、BD_ADDR、主時鐘CLK26-1及RAND這些參數(shù)�����。時鐘CLK26-1按時隙遞增�,在任兩次發(fā)送中,CLK26-1至少有一位是不同的��,因此在每次初始化后都將產(chǎn)生新的密鑰流���。對占用多個時隙的分組來說,CLK26-1為分組所占的第一個時隙的時鐘值�。
第二部分是該密碼系統(tǒng)的主要部分,并也將用于初始化過程中�。密鑰流取自于Massey和Rueppel流密碼發(fā)生器的方法來生成。
最后就是流加密算法的加密過程���。將數(shù)據(jù)流與密碼算法生成二進制流比特進行異或運算�����。對于加密規(guī)則�����,流密碼算法用于將加密位按位模2并加到數(shù)據(jù)流上����,然后通過無線接口進行傳輸。對每一分組的有效載荷的加密是單獨進行的�,它發(fā)生在CRC校驗之后,F(xiàn)EC編碼之前���。由于加密是對稱的����,解密使用完全和加密相同的密鑰和相同的方法實現(xiàn)�����。
4藍牙標準中加密算法存在的問題
藍牙所采用的E0流密碼算法的本身就有一些弱點���。流密碼算法主要的缺點在于若一個偽隨機序列發(fā)生錯誤便會使整個密文發(fā)生錯誤���,致使在解密過程中無法還原回明文�。流加密算法系統(tǒng)的安全完全依靠密鑰流發(fā)生器的內(nèi)部機制�����。如果它的輸出是無窮無盡的0序列�����,那么密文就是明文����,這樣整個系統(tǒng)就一文不值;如果它的輸出是一個周期性的16-位模式�,那么該算法僅是一個可忽略安全性的異或運算;如果輸出的是一系列無盡的隨機序列(是真正的隨機�����,非偽隨機)����,那么就有一次一密亂碼本和非常完美的安全�����。實際的流密碼算法的安全性依賴于簡單的異或運算和一次一密亂碼本。密鑰流發(fā)生器產(chǎn)生的看似隨機的密鑰流實際上是確定的��,在解密的時候能很好的將其再現(xiàn)����。密鑰流發(fā)生器輸出的密鑰越接近于隨機,對密碼分析者來說就越困難���。然而����,這種隨機的密鑰流卻不容易得到���。
在藍牙E0流加密中用到的LFSR易受到相關(guān)攻擊和分割解決攻擊����,且用軟件實現(xiàn)效率非常低����。在實現(xiàn)過程中要避免稀疏的反饋多項式,因為它們易遭到相關(guān)攻擊����,但稠密的反饋多項式效率也很低����。事實上LFSR算法用軟件實現(xiàn)并不比DES快�����。
以上的這些問題會讓人認為藍牙的安全體系是高度不可靠的��,然而一個不可忽略的事實是:通過藍牙連接傳輸?shù)臄?shù)據(jù)一般來說并不是非常重要的���。目前藍牙標準考慮到的安全技術(shù)只適用于規(guī)模較小的網(wǎng)絡���,如果網(wǎng)絡結(jié)點較多,拓撲復雜(如AdHoc網(wǎng)絡)����,現(xiàn)有的基于點對點的密鑰分配和認證機制不能滿足需求。藍牙所提供的數(shù)據(jù)安全性措施對小型應用來說看起來已足夠了���,但任何敏感數(shù)據(jù)或會產(chǎn)生問題的數(shù)據(jù)都不應直接通過藍牙傳輸。為了使藍牙技術(shù)應用得更廣泛���,我們可采用另外更強勁的加密算法��,如DES算法��。
5DES解決方案
5.1DES簡介
1977年1月�,美國政府采納了由IBM研制的作為非絕密信息的正式標準乘積密碼。這激勵了一大批生產(chǎn)廠家實現(xiàn)這個在保密產(chǎn)業(yè)中成為數(shù)據(jù)加密標準DES(dataencrytionstandard)的加密算法�����。此算法有一個64比特的密鑰作為參數(shù)���。明文按64比特分組加密�����,生成64比特的密文�����。
由于DES是一種塊加密方法�,這意味著加密過程是針對一個數(shù)據(jù)塊一個數(shù)據(jù)塊地進行的����。在DES算法中,原始信息被分成64位的固定長度數(shù)據(jù)塊,然后利用56位的加密密鑰通過置換和組合方法生成64位的加密信息�����。解密用的密鑰與加密密鑰相同����,只是解密步驟正好相反。DES傳送數(shù)據(jù)的一般形式是以代入法密碼格式按塊傳送數(shù)據(jù)���。DES采用的加密方法���,一次加密一位或一個字節(jié),形成密碼流����。密碼流具有自同步的特點,被傳送的密碼文本中發(fā)生錯誤和數(shù)據(jù)丟失�����,將只影響最終的明碼文本的一小段(64位)�,這稱為密碼反饋。
與藍牙流密碼算法不同���,數(shù)學上可以證明分組加密算法是完全安全的�。DES塊密碼是高度隨機的����、非線性的,生成的加密密文與明文和密鑰的每一位都相關(guān)���。DES的可用加密密鑰數(shù)量多達72x1015個��。應用于每一明文信息的密鑰都是從這一巨大數(shù)量的密鑰中隨機產(chǎn)生的��。DES算法已被廣泛采用并被認為是非?���?煽康?�。
5.2藍牙中用DES取代E0流密碼
如圖1�,在兩個藍牙設備經(jīng)過認證并已生成了加密密鑰Kc后就可進行加密了。因為Kc可在8~128比特變化����,而DES加密算法使用長度為56比特的密鑰加密長度為64比特的明文從而獲得64比特的密文,所以這里可取Kc的長度為56比特����。用DES加密藍牙數(shù)據(jù)分組的過程如下:
a)將來自藍牙分組分割成64比特的明文段�。其中的一段記為x=DIN[63:0]���,先通過一個固定的初始置換IP�,將x的比特置換為x0�����。即:x0=IP(x)=L0R0�����,這里L0是x0的前32比特�,R0是x0的后32比特。
b)進行16輪完全相同的運算����,在這里是數(shù)據(jù)與密鑰相結(jié)合,例計算LiRi��,�。
Li=Ri-1
Ri=Lif(Ri-1,Ki)
其中Ki是來自密鑰Kc=Key[63:0]的比特的一個置換結(jié)果。而f函數(shù)是實現(xiàn)代替�、置換及密鑰異或的函數(shù)�����。
c)對R16L16進行初始置換IP的逆置換IP���,獲得密文y=DOUT[63:0]�,即y=IP(R16L16)。最后一次迭代后����,左邊和右邊未交換,將R16L16作為IP的輸入���,目的是使算法可同時用于加密和解密�����。
無論是硬件還是軟件���,此DES加密方案都易實現(xiàn)。其中DES的硬件實現(xiàn)如圖3��。此硬件加密方案采用低成本的可編程邏輯器件和現(xiàn)成可用的用于高級加密處理的智力產(chǎn)權(quán)(IP)產(chǎn)品實現(xiàn)����。目前��,大批量時只用10美元即可購買到10萬系統(tǒng)門的可編程邏輯器件�����。這些器件還允許在設計中增加其它功能���,如高級錯誤糾正。因此可編程邏輯器件可大幅度降低系統(tǒng)級的成本����。
用軟件(這里選用C語言)來實現(xiàn)該加密算法。為了算法實現(xiàn)的方便��,這里刪去了初始置換和末置換�����。
將此加密算法嵌入藍牙協(xié)議中的基帶部分以取代E0流密碼算法��,可允許藍牙技術(shù)安全地應用到范圍廣泛的安全性具有最重要地位的應用中去����。這些應用包括:金融電子交易:ATM���、智能卡,安全電子商務交易�����,安全辦公通信�����,安全視頻監(jiān)視系統(tǒng)�,數(shù)字機頂盒���,高清晰度電視(HDTV)�,其它消費電子設備等領域���。
另外��,對藍牙加密這個過程中����,可發(fā)現(xiàn)DES加密算法在近距離無線局域網(wǎng)的特定環(huán)境下存在一些問題����。進而優(yōu)化算法�����,最終可為應用于各種近距離無線網(wǎng)絡通信的加密算法的選擇提供有實際意義的參考依據(jù)���。
6結(jié)束語
藍牙是一項將會改變我們通信方式的令人激動的新技術(shù)。然而�,藍牙技術(shù)在標準化過程中都未曾完整地考慮安全問題。作為以無線信道為傳輸媒體的通信網(wǎng)絡�����,藍牙網(wǎng)絡相對于固定網(wǎng)絡更容易受到攻擊����。對于數(shù)據(jù)安全性處于首要地位的應用來說,實現(xiàn)高水平的數(shù)據(jù)安全性是必須的����。目前藍牙標準所采用的E0流密碼算法存在著很多弊端,而DES和RSA算法相對來說更安全���,而且較易實現(xiàn)��。
參考文獻
[1]金純許光辰等編著《藍牙技術(shù)》[M](北京)電子工業(yè)出版社2001年3月
[2]于躍韓永飛藍牙技術(shù)的安全性[J]《電信技術(shù)》2001年第9期
[3]Andrew《ComputerNetwork》[M]S.TanenbaunPrenticeHall1998
[4]VainioJ.,BluetoothSecurity,05-25-2000
[5]Bluetooth,TheBluetoothSpecification,v.1.0B
篇9
當前形勢下����,人們進行信息數(shù)據(jù)的傳遞與交流主要面臨著兩個方面的信息安全影響:人為因素和非人為因素。其中人為因素是指:黑客��、病毒��、木馬���、電子欺騙等�;非人為因素是指:不可抗力的自然災害如火災����、電磁波干擾��、或者是計算機硬件故障�、部件損壞等。在諸多因素的制約下���,如果不對信息數(shù)據(jù)進行必要的加密處理���,我們傳遞的信息數(shù)據(jù)就可能泄露��,被不法分子獲得����,損害我們自身以及他人的根本利益����,甚至造成國家安全危害。因此��,信息數(shù)據(jù)的安全和加密在當前形勢下對人們的生活來說是必不可少的�,通過信息數(shù)據(jù)加密,信息數(shù)據(jù)有了安全保障��,人們不必再顧忌信息數(shù)據(jù)的泄露����,能夠放心地在網(wǎng)絡上完成便捷的信息數(shù)據(jù)傳遞與交流。
1信息數(shù)據(jù)安全與加密的必要外部條件
1.1計算機安全�����。每一個計算機網(wǎng)絡用戶都首先把自己的信息數(shù)據(jù)存儲在計算機之中���,然后���,才進行相互之間的信息數(shù)據(jù)傳遞與交流�����,有效地保障其信息數(shù)據(jù)的安全必須以保證計算機的安全為前提���,計算機安全主要有兩個方面包括:計算機的硬件安全與計算機軟件安全。1)計算機硬件安全技術(shù)���。保持計算機正常的運轉(zhuǎn)�����,定期檢查是否出現(xiàn)硬件故障���,并及時維修處理�,在易損器件出現(xiàn)安全問題之前提前更換,保證計算機通電線路安全�,提供備用供電系統(tǒng),實時保持線路暢通���。2)計算機軟件安全技術(shù)�����。首先�,必須有安全可靠的操作系統(tǒng)。作為計算機工作的平臺���,操作系統(tǒng)必須具有訪問控制����、安全內(nèi)核等安全功能�,能夠隨時為計算機新加入軟件進行檢測,如提供windows安全警報等等��。其次���,計算機殺毒軟件���,每一臺計算機要正常的上網(wǎng)與其他用戶交流信息,都必須實時防護計算機病毒的危害��,一款好的殺毒軟件可以有效地保護計算機不受病毒的侵害�����。
1.2通信安全。通信安全是信息數(shù)據(jù)的傳輸?shù)幕緱l件���,當傳輸信息數(shù)據(jù)的通信線路存在安全隱患時���,信息數(shù)據(jù)就不可能安全的傳遞到指定地點。盡管隨著科學技術(shù)的逐步改進�,計算機通信網(wǎng)絡得到了進一步完善和改進,但是�,信息數(shù)據(jù)仍舊要求有一個安全的通信環(huán)境。主要通過以下技術(shù)實現(xiàn)���。1)信息加密技術(shù)���。這是保障信息安全的最基本、最重要�、最核心的技術(shù)措施。我們一般通過各種各樣的加密算法來進行具體的信息數(shù)據(jù)加密����,保護信息數(shù)據(jù)的安全通信��。2)信息確認技術(shù)。為有效防止信息被非法偽造��、篡改和假冒�����,我們限定信息的共享范圍�,就是信息確認技術(shù)。通過該技術(shù)����,發(fā)信者無法抵賴自己發(fā)出的消息;合法的接收者可以驗證他收到的消息是否真實�����;除合法發(fā)信者外��,別人無法偽造消息���。3)訪問控制技術(shù)���。該技術(shù)只允許用戶對基本信息庫的訪問,禁止用戶隨意的或者是帶有目的性的刪除�、修改或拷貝信息文件���。與此同時,系統(tǒng)管理員能夠利用這一技術(shù)實時觀察用戶在網(wǎng)絡中的活動�,有效的防止黑客的入侵。
2信息數(shù)據(jù)的安全與加密技術(shù)
隨著計算機網(wǎng)絡化程度逐步提高����,人們對信息數(shù)據(jù)傳遞與交流提出了更高的安全要求,信息數(shù)據(jù)的安全與加密技術(shù)應運而生����。然而,傳統(tǒng)的安全理念認為網(wǎng)絡內(nèi)部是完全可信任�����,只有網(wǎng)外不可信任��,導致了在信息數(shù)據(jù)安全主要以防火墻����、入侵檢測為主,忽視了信息數(shù)據(jù)加密在網(wǎng)絡內(nèi)部的重要性��。以下介紹信息數(shù)據(jù)的安全與加密技術(shù)���。
2.1存儲加密技術(shù)和傳輸加密技術(shù)��。存儲加密技術(shù)分為密文存儲和存取控制兩種��,其主要目的是防止在信息數(shù)據(jù)存儲過程中信息數(shù)據(jù)泄露����。密文存儲主要通過加密算法轉(zhuǎn)換�����、加密模塊���、附加密碼加密等方法實現(xiàn)�����;存取控制則通過審查和限制用戶資格���、權(quán)限,辨別用戶的合法性��,預防合法用戶越權(quán)存取信息數(shù)據(jù)以及非法用戶存取信息數(shù)據(jù)�����。
傳輸加密技術(shù)分為線路加密和端-端加密兩種,其主要目的是對傳輸中的信息數(shù)據(jù)流進行加密���。線路加密主要通過對各線路采用不同的加密密鑰進行線路加密�����,不考慮信源與信宿的信息安全保護���。端-端加密是信息由發(fā)送者端自動加密,并進入TCP/IP信息數(shù)據(jù)包��,然后作為不可閱讀和不可識別的信息數(shù)據(jù)穿過互聯(lián)網(wǎng)����,這些信息一旦到達目的地,將被自動重組���、解密��,成為可讀信息數(shù)據(jù)����。
2.2密鑰管理加密技術(shù)和確認加密技術(shù)。密鑰管理加密技術(shù)是為了信息數(shù)據(jù)使用的方便�,信息數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應用,因此密鑰往往是保密與竊密的主要對象�。密鑰的媒體有:磁卡、磁帶����、磁盤���、半導體存儲器等�。密鑰的管理技術(shù)包括密鑰的產(chǎn)生�����、分配�����、保存�����、更換與銷毀等各環(huán)節(jié)上的保密措施���。網(wǎng)絡信息確認加密技術(shù)通過嚴格限定信息的共享范圍來防止信息被非法偽造��、篡改和假冒�����。一個安全的信息確認方案應該能使:合法的接收者能夠驗證他收到的消息是否真實�;發(fā)信者無法抵賴自己發(fā)出的消息;除合法發(fā)信者外�,別人無法偽造消息;發(fā)生爭執(zhí)時可由第三人仲裁���。按照其具體目的�����,信息確認系統(tǒng)可分為消息確認��、身份確認和數(shù)字簽名���。數(shù)字簽名是由于公開密鑰和私有密鑰之間存在的數(shù)學關(guān)系,使用其中一個密鑰加密的信息數(shù)據(jù)只能用另一個密鑰解開����。發(fā)送者用自己的私有密鑰加密信息數(shù)據(jù)傳給接收者����,接收者用發(fā)送者的公鑰解開信息數(shù)據(jù)后����,就可確定消息來自誰。這就保證了發(fā)送者對所發(fā)信息不能抵賴�����。
2.3消息摘要和完整性鑒別技術(shù)��。消息摘要是一個惟一對應一個消息或文本的值��,由一個單向Hash加密函數(shù)對消息作用而產(chǎn)生����。信息發(fā)送者使用自己的私有密鑰加密摘要����,也叫做消息的數(shù)字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發(fā)送者���,當消息在途中被改變時��,接收者通過對比分析消息新產(chǎn)生的摘要與原摘要的不同��,就能夠發(fā)現(xiàn)消息是否中途被改變��。所以說����,消息摘要保證了消息的完整性。
篇10
中圖分類號:TP311 文獻標識碼:A 文章編號:1003-9082(2013)12-0002-01
同態(tài)加密是一種加密形式��,它允許人們對密文進行特定的代數(shù)運算得到仍然是加密的結(jié)果�����,與對明文進行同樣的運算�,再將結(jié)果加密一樣。通俗的講��,這項技術(shù)令人們可以在加密的數(shù)據(jù)中進行諸如檢索��、比較等操作�,得出正確的結(jié)果,而在整個處理過程中無需對數(shù)據(jù)進行解密�����。
以往加密手段的弊端在于它通常是將數(shù)據(jù)保存在盒子內(nèi)而不讓外界使用或者分析數(shù)據(jù),只有使用解密密鑰將盒子打開�����,才能對數(shù)據(jù)進行分析和計算�����。在同態(tài)加密環(huán)境下���,敏感數(shù)據(jù)一直處于加密狀態(tài)����,而應用系統(tǒng)無需解密可以用加密的數(shù)據(jù)按照正常的業(yè)務邏輯處理業(yè)務�,這樣公司將敏感的信息儲存在遠程服務器里���,既避免從當?shù)氐闹鳈C端發(fā)生泄密��,又保證了信息的使用和搜索�,解決了云計算發(fā)展面臨的客戶對數(shù)據(jù)云端存儲安全擔憂的難題����。
一�����、同態(tài)加密原理
同態(tài)加密技術(shù)�����,就是將數(shù)據(jù)加密成難以破譯的數(shù)字字符串����,能對這些加密后的字符串進行數(shù)學處理�,然后解密結(jié)果。如果用數(shù)學方法表述����,假設加密操作為 E,明文為 m����,加密得 e,即 e = E(m)�����,m = E'(e)。已知針對明文有操作 f����,針對 E 可構(gòu)造 F,使得 F(e) = E(f(m))��,這樣 E 就是一個針對 f 的同態(tài)加密算法�。
我們舉一個簡單的例子,看看同態(tài)加密是如何處理2+3這樣的問題:假設數(shù)據(jù)已經(jīng)在本地被加密了����,2加密后變?yōu)?2,3加密后變?yōu)?3��。加密后的數(shù)據(jù)被發(fā)送到服務器���,在進行相加運算��。然后服務器將加密后的結(jié)果55發(fā)送回來。然后本地解密為5����。
同態(tài)加密是基于數(shù)學難題的計算復雜性理論的密碼學技術(shù),被冠以“密碼學的圣杯”稱號�,為找到同態(tài)加密算法的解決方案�����,密碼專家苦苦探尋了30多年����,一直無果而終�����。頗具戲劇性的是同態(tài)加密技術(shù)解決方案思路竟然是出自在紐約一家咖啡店的聊天中�����,2008年�����,IBM研究員Craig Gentry在與朋友一起喝咖啡交流時獲得靈感��,提出一種基于理想格(Ideal lattice)的全同態(tài)加密算法�����,成為同態(tài)加密領域的重大突破和創(chuàng)新��。
Craig Gentry在他的同態(tài)加密經(jīng)典論文《Computing Arbitrary Functions of Encrypted Data》中通過一個虛構(gòu)場景詮釋了同態(tài)加密技術(shù),這個場景是一個叫麗絲的珠寶店主如何為自己的珠寶店防盜:
“Alice是一家珠寶店的店主�,她打算讓員工將一些貴重的珠寶組合成首飾,但是她由擔心被小偷盯上���。于是她造了一個手套箱存放制作好的首飾�����,而鑰匙她隨身保管����?���!?/p>
通過手套箱,員工可以將手伸入箱子來裝配首飾�����,僅限于此�����。愛麗絲 則可以通過鑰匙���,向手套箱中添加原材料�����,并取出制作好的首飾����。
下圖是個大型的手套箱示例圖
這個故事形象的體現(xiàn)了同態(tài)加密技術(shù)原理����,其中:
店主愛麗絲>最終用戶
首飾原材料>原始數(shù)據(jù)
鑰匙>網(wǎng)絡
鎖住手套箱>加密
員工>數(shù)據(jù)計算過程
完整的首飾>數(shù)據(jù)計算結(jié)果
二、同態(tài)加密技術(shù)發(fā)展歷程
同態(tài)加密的技術(shù)經(jīng)過半同態(tài)加密到全同態(tài)加密算法理論發(fā)展經(jīng)歷了很長時間的發(fā)展�。我們熟知的RSA公鑰加密算法是1977年由Ron Rivest、AdiShamirh和LenAdleman在(美國麻省理工學院)開發(fā)的��,是只具備乘法同態(tài)的算法��。1999年P(guān)ascal Paillier在《Public-Key Cryptosystems Based on Composite Degree Residuosity Classes》論文中實現(xiàn)了加法同態(tài)��。此后加密專家長期以來一直在尋找實現(xiàn)全同態(tài)加密技術(shù)�����,也就是數(shù)據(jù)加密成難以破譯的數(shù)字字符串���,能對這些加密后的字符串進行數(shù)學處理��,然后解密結(jié)果�����。2009年IBM 研究員 Craig Gentry在論文《Fully homomorphic encryption using ideal lattices》給出一種全同態(tài)加密算法����,即實現(xiàn)了乘法及加法的全同態(tài)加密算法。
不過目前的全同態(tài)加密方案在實用性上還存有問題�����,因為該方案耗費的計算時間太長�����,一般情況下�,采用同態(tài)加密的應用處理時間是非機密的應用的處理要增加萬倍的數(shù)量級甚至更高,密碼專家們一直在堅持不懈的完善同態(tài)加密算法或?qū)ふ腋?��、更快的算法?/p>
在2011年美國麻省理工(MIT)的一個研究小組的開源項目CryptDB首次解決了全同態(tài)加密技術(shù)的實用性問題���,它將數(shù)據(jù)嵌套進多個加密層�����,每個都使用不同的密鑰,允許對加密數(shù)據(jù)進行簡單操作����,使得此前全同態(tài)加密方案加密數(shù)據(jù)操作所增加的數(shù)以萬億倍計算時間,減少到只增加了15-26%左右�。麻省理工計算機科學和人工智能實驗室(CSAIL)的CryptDB研究項目的數(shù)據(jù)庫軟件允許用戶查詢加密的SQL數(shù)據(jù)庫,而且能夠在不解密儲存信息的情況下返回結(jié)果�,這一點對于云存儲來說意義重大。
三�����、同態(tài)加密計算安全應用前景展望
同態(tài)加密技術(shù)的可對加密狀態(tài)數(shù)據(jù)直接進行各種操作而不會影響其保密性的特性���,使得它成為數(shù)據(jù)敏感性要求高的應用系統(tǒng)首選的安全保障技術(shù)�,其在匿名投票����、多方安全計算以及云計算領域有著廣泛的應用
1.匿名投票系統(tǒng)
匿名投票又稱電子投票,在2004美國大選首次采用電子投票方式,以防止2000 年美國總統(tǒng)大選出現(xiàn)的打孔卡計票爭義�����。
在一個投票系統(tǒng)中����,有投票方、計票方����、宣布方三權(quán)分立。投票人保有個人投票秘密�����,其他各方都不能知道投票人投票的選擇����;計票方能夠在數(shù)據(jù)加密的情況下,對數(shù)據(jù)匯總統(tǒng)計�,得出候選人的得票率。
采用同態(tài)加密計算就可以實現(xiàn)投票系統(tǒng)的安全要求��。其實現(xiàn)原理如下:
投票方采用公鑰加密�����,只有宣布方擁有私鑰,投票方將加密的票送到計票方����,計票方利用同態(tài)特性進行操作,得到匯總的結(jié)果����,宣布方拿到該結(jié)果后解密之�����,即得總票數(shù)�。計票方解不出票面信息,于是可以防止計票方從中作弊�����,宣布方也不知道單獨每張票的情況���,從而實現(xiàn)了匿名����。
2.多方安全計算
安全多方計算(Secure Multiparty Computation, SMC)是指一組互不信任的參與者�,在不泄露各自私有信息的前提下進行的多方合作計算。自圖靈獎得主A. C. Yao于上世紀80年代提出安全多方計算的概念以來�,其在密碼學上的地位也日漸重要,它是電子選舉�����、電子拍賣等密碼學協(xié)議的基礎����。
例如:Alice認為她的了某種遺傳疾病,想驗證自己的想法���,正好她知道Bob有一個關(guān)于疾病的DNA模型的數(shù)據(jù)庫����,如果她把自己的DNA樣品寄給Bob�,那么Bob就可以給出她的DNA診斷結(jié)果,同時Bob也就知道了她的DNA及相關(guān)私人信息�����,可是Alice不想別人知道她的隱私���,所以她這樣請求Bob幫忙診斷自己DNA的方式是不可行的��。
同態(tài)機密的技術(shù)就可以解決Alice的問題�,她可以對自己的數(shù)據(jù)加密交給Bob,Bob通過同態(tài)加密計算�,把得到加密狀態(tài)的結(jié)果在交付Alice,然后Alice解密得到自己想要的結(jié)果����。
3.云計算
近年來,“云計算”成為全球信息技術(shù)領域的最大熱點�,云計算的迅猛發(fā)展�����,安全問題已經(jīng)成為了云計算應用的首要關(guān)注點��。
由于云計算涉及個人和企業(yè)運算模式的改變�,涉及個人和企業(yè)的敏感信息,因此云計算面臨的第一個重要問題就是云計算的安全��。雖然云中心平臺的建設已充分考慮了各種安全因素����,如身份認證��、網(wǎng)絡安全�����、防病毒��、災備等等�,但數(shù)據(jù)存儲安全一直沒有得到很好的解決���,如何保證云中用戶程序的安全標準不被分析���、數(shù)據(jù)不被復制盜竊、商業(yè)秘密不被侵害��。
云的安全可信是云得到廣泛應用的重要前提����。人們對云計算的安全的關(guān)注程度,就像關(guān)注網(wǎng)上銀行安全一樣�,正是這個原因,諸如銀行��、保險行業(yè)的企業(yè)一直不敢把業(yè)務應用放到云中心��。同態(tài)加密算法的出現(xiàn),給云數(shù)據(jù)存儲及云計算應用帶來的革命性的改變和提升��,由于采用同態(tài)加密的技術(shù)��,數(shù)據(jù)采用加密的方式存儲���,不會泄露真實的數(shù)據(jù)����,云計算應用能夠按照加密的數(shù)據(jù)���,運算處出用戶所需的正確的結(jié)果���,這樣用戶可以在沒有安全顧慮的情況下享受云計算帶來的便利���。
采用同態(tài)加密的云計算應用邏輯圖如下:
篇11
數(shù)據(jù)加密技術(shù)是對信息進行重新編碼�,從而達到隱藏信息內(nèi)容����,非法用戶無法獲得信息真實內(nèi)容的一種技術(shù)手段。網(wǎng)絡中的數(shù)據(jù)加密則是通過對網(wǎng)絡中傳輸?shù)男畔⑦M行數(shù)據(jù)加密�,滿足網(wǎng)絡安全中數(shù)據(jù)加密����、數(shù)據(jù)完整性等要求��,而基于數(shù)據(jù)加密技術(shù)的數(shù)字簽名技術(shù)則可滿足審計追蹤等安全要求���?��?梢姡瑪?shù)據(jù)加密技術(shù)是實現(xiàn)網(wǎng)絡安全的關(guān)鍵技術(shù)�����。
二��、數(shù)據(jù)加密相關(guān)信息
2.1數(shù)據(jù)加密的方法
加密技術(shù)通常分為兩大類:對稱式和非對稱式
對稱式加密���,被廣泛采用��,它的特點是文件加密和解密使用相同的密鑰���,即加密密鑰也可以用作解密密鑰,這種方法在密碼學中叫做對稱加密算法,對稱加密算法使用起來簡單快捷��,密鑰較短�����,且破譯困難�����。對稱加密的優(yōu)點是具有很高的保密強度�����,可以達到經(jīng)受較高級破譯力量的分析和攻擊����,但它的密鑰必須通過安全可靠的途徑傳遞,密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素��,使它難以滿足系統(tǒng)的開放性要求���。對稱密碼加密算法中最著名的是DES(Data Encryption Standard)加密算法,它是由IBM公司開發(fā)的數(shù)據(jù)加密算法���,它的核心是乘積變換��。如果用公開密鑰對數(shù)據(jù)進行加密�,只有用對應的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進行加密��,那么只有用對應的公開密鑰才能解密�����。因為加密和解密使用的是兩個不同的密鑰�,所以這種算法叫非對稱加密算法。非對稱密碼的主要優(yōu)點是可以適應開放性的使用環(huán)境�����,密鑰管理問題相對簡單���,可以方便���、安全地實現(xiàn)數(shù)字簽名和驗證, 但加密和解密花費時間長���、速度慢�����。非對稱加密算法中最著名的是由美國MIT的Rivset���、Shemir��、Adleman于1977年實現(xiàn)的RSA算法�。
2.2 數(shù)據(jù)加密的標準
最早�����、最著名的保密密鑰或?qū)ΨQ密鑰加密算法DES(Data Encryption Standard)是由IBM公司在70年展起來的��,并經(jīng)政府的加密標準篩選后���,于1976年11月被美國政府采用�,DES隨后被美國國家標準局和美國國家標準協(xié)會(American National Standard Institute�����,ANSI)承認��。 DES使用56位密鑰對64位的數(shù)據(jù)塊進行加密���,并對64位的數(shù)據(jù)塊進行16輪編碼�����。與每輪編碼時�,一個48位的”每輪”密鑰值由56位的完整密鑰得出來��。DES用軟件進行解碼需用很長時間����,而用硬件解碼速度非常快��。幸運的是�,當時大多數(shù)黑客并沒有足夠的設備制造出這種硬件設備。在1977年����,人們估計要耗資兩千萬美元才能建成一個專門計算機用于DES的解密,而且需要12個小時的破解才能得到結(jié)果��。當時DES被認為是一種十分強大的加密方法��。另一種非常著名的加密算法就是RSA了�,RSA算法是基于大數(shù)不可能被質(zhì)因數(shù)分解假設的公鑰體系����。簡單地說就是找兩個很大的質(zhì)數(shù)��。一個對外公開的為“公鑰”(Prblic key) �����,另一個不告訴任何人�����,稱為“私鑰”(Private key)�����。這兩個密鑰是互補的��,也就是說用公鑰加密的密文可以用私鑰解密��,反過來也一樣�����。
三����、數(shù)據(jù)加密傳輸系統(tǒng)
3.1 系統(tǒng)的整體結(jié)構(gòu)
系統(tǒng)的整體結(jié)構(gòu)分為以下幾個模塊����,首先是發(fā)送端的明文經(jīng)過數(shù)據(jù)加密系統(tǒng)加密后�,文件傳輸系統(tǒng)將加密后的密文傳送給接收端����,接收端接收到密文以后,用已知的密鑰進行解密��,得到明文����。
3.2 模塊設計
3.2.1 加解密模塊
(1)DES加解密模塊。DES加解密模塊的設計���,分為兩個部分:DES加密文件部分和DES加密演示部分�。DES加密文件部分可以實現(xiàn)對文件的瀏覽�,選中文件后對文件進行加密,加密后的文件存放在新的文檔�����;DES加密演示部分輸入數(shù)據(jù)后可以直接加密。(2)RSA加解密模塊���。RSA加解密系統(tǒng)�����,主界面有三個模塊�,分別為加密�����、解密和退出���;加密模塊對明文和密鑰的輸入又設置了直接輸入和從文件讀??���;解密模塊可以直接實現(xiàn)對文件的解密。
3.2.2 文件傳輸模塊
(1)文件瀏覽:用戶手動點擊瀏覽按鈕����,根據(jù)用戶的需要,按照目錄選擇要傳輸?shù)奈募?,選中文件�����。(2)文件傳輸:當用戶點擊發(fā)送文件時�,文件就可通過軟件傳給客戶端����。點擊客戶端按鈕���,軟件會彈出客戶端的窗體�����,它包含輸入框(輸入對方IP地址)和按鈕(接收和退出)�����,通過輸入IP地址�,就可實現(xiàn)一臺電腦上的文件傳輸�。
四、數(shù)據(jù)加密在商務中的應用
在電子商務發(fā)展過程中����,采用數(shù)字簽名技術(shù)能保證發(fā)送方對所發(fā)信息的不可抵賴性�。在法律上�����,數(shù)字簽名與傳統(tǒng)簽名同樣具有有效性����。數(shù)字簽名技術(shù)在電子商務中所起的作用相當于親筆簽名或印章在傳統(tǒng)商務中所起的作用。
數(shù)據(jù)簽名技術(shù)的工作原理: 1.把要傳輸?shù)男畔⒂秒s湊函數(shù)(Hash Function)轉(zhuǎn)換成一個固定長度的輸出���,這個輸出稱為信息摘要(Message Digest��,簡稱MD)�。雜湊函數(shù)是一個單向的不可逆的函數(shù)�����,它的作用是能對一個輸入產(chǎn)生一個固定長度的輸出�����。 2.發(fā)送者用自己的私鑰(SK)對信息摘要進行加密運算��,從而形成數(shù)字簽名。 3.把數(shù)字簽名和原始信息(明文)一同通過Internet發(fā)送給接收方�����。 4.接收方用發(fā)送方的公鑰(PK)對數(shù)字簽名進行解密�����,從而得到信息摘要����。 5.接收方用相同的雜湊函數(shù)對接收到的原始信息進行變換,得到信息摘要���,與⑷中得到的信息摘要進行比較,若相同��,則表明在傳輸過程中傳輸信息沒有被篡改����。同時也能保證信息的不可抵賴性。若發(fā)送方否認發(fā)送過此信息����,則接收方可將其收到的數(shù)字簽名和原始信息傳送至第三方,而第三方用發(fā)送方的公鑰很容易證實發(fā)送方是否向接收方發(fā)送過此信息。
然而����,僅采用上述技術(shù)在Internet上傳輸敏感信息是不安全的,主要有兩方面的原因��。 1.沒有考慮原始信息即明文本身的安全�����; 2.任何知道發(fā)送方公鑰的人都可以獲取敏感信息�����,而發(fā)送方的公鑰是公開的���。 解決1可以采用對稱密鑰加密技術(shù)或非對稱密鑰加密技術(shù)�,同時考慮到整個加密過程的速度�����,一般采用對稱密鑰加密技術(shù)���。而解決2需要介紹數(shù)字加密算法的又一應用即數(shù)字信封��。
五���、 結(jié)論
上述內(nèi)容主要介紹了數(shù)據(jù)傳輸過程中的加密處理�����,數(shù)據(jù)加密是一個主動的防御策略���,從根本上保證數(shù)據(jù)的安全性。和其他電子商務安全技術(shù)相結(jié)合���,可以一同構(gòu)筑安全可靠的電子商務環(huán)境�,使得網(wǎng)上通訊�����,數(shù)據(jù)傳輸更加安全���、可信。
參 考 文 獻
[1]黃河明.數(shù)據(jù)加密技術(shù)及其在網(wǎng)絡安全傳輸中的應用.碩士論文�����,2008年
[2]孟揚.網(wǎng)絡信息加密技術(shù)分析[J].信息網(wǎng)絡安全,2009年4期
