信息加密技術(shù)論文范文

時(shí)間:2023-03-21 08:41:57

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇信息加密技術(shù)論文,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

信息加密技術(shù)論文

篇1

1.1非人為安全隱患

因?yàn)?a href="http://www.deichen.cn/haowen/74489.html" target="_blank">信息數(shù)據(jù)是通過(guò)計(jì)算機(jī)進(jìn)行存儲(chǔ)與傳輸?shù)模詳?shù)據(jù)安全隱患產(chǎn)生的第一步就是計(jì)算機(jī)中存在的安全風(fēng)險(xiǎn),包括硬件與軟件的安全問(wèn)題:第一、操作系統(tǒng)出現(xiàn)漏洞,內(nèi)部含有竊取信息的程序或者木馬,其數(shù)據(jù)信息被盜取與修改都是在使用者毫無(wú)察覺(jué)的情況下發(fā)生的;第二、計(jì)算機(jī)病毒,如果計(jì)算機(jī)沒(méi)有安裝殺毒軟件,則會(huì)讓電腦處于危險(xiǎn)狀態(tài),很多病毒會(huì)隨著數(shù)據(jù)的傳輸或者程序的安裝而進(jìn)入計(jì)算機(jī),從而實(shí)現(xiàn)竊取與篡改計(jì)算機(jī)內(nèi)信息數(shù)據(jù)的目的;第三、硬件不穩(wěn)定,計(jì)算機(jī)硬件的不穩(wěn)定如磁盤(pán)受損、缺少恢復(fù)程序等,會(huì)造成傳輸或存儲(chǔ)的數(shù)據(jù)丟失或錯(cuò)誤,從而對(duì)信息數(shù)據(jù)造成危害。還有就是網(wǎng)絡(luò)安全隱患,主要是網(wǎng)絡(luò)的傳播不穩(wěn)定和網(wǎng)絡(luò)存在安全漏洞,這也是存在安全隱患最多的一環(huán),不過(guò)這一般和人為安全因素有很大的聯(lián)系,人們會(huì)利用網(wǎng)絡(luò)安全的漏洞進(jìn)行數(shù)據(jù)的竊取與篡改。

1.2人為安全隱患

因?yàn)槔骝?qū)使,為了盜取或者篡改重要信息,出現(xiàn)了很多非法入侵他人電腦或者網(wǎng)絡(luò)系統(tǒng)的行為,如黑客、傳播病毒、電子詐騙、搭線(xiàn)竊聽(tīng)、掛木馬等,這些人為的破壞行為其目的性就比較強(qiáng),往往攻擊力強(qiáng)、危害度比較大,一般是涉及竊取重要的經(jīng)濟(jì)情報(bào)、軍事情報(bào)、企業(yè)重要信息或者是進(jìn)行國(guó)家網(wǎng)絡(luò)系統(tǒng)的惡意攻擊等,給個(gè)人、單位,甚至是國(guó)家都帶來(lái)難以彌補(bǔ)的損失,也是必須加以防范的安全隱患。

2計(jì)算機(jī)信息數(shù)據(jù)的加密技術(shù)

2.1存儲(chǔ)加密法

存儲(chǔ)加密是用來(lái)保護(hù)在存儲(chǔ)過(guò)程當(dāng)中信息數(shù)據(jù)的完整性與保密性,包括密文存儲(chǔ)與存取控制。而密文存儲(chǔ)是通過(guò)加密算法的轉(zhuǎn)換、附加密碼進(jìn)行加密、加密模塊的設(shè)置等技術(shù)實(shí)現(xiàn)其保密作用;存取控制是通過(guò)審查用戶(hù)資料來(lái)辨別用戶(hù)的合法性,從而通過(guò)限制用戶(hù)權(quán)限來(lái)保護(hù)信息數(shù)據(jù)不被其他用戶(hù)盜取或修改,包括阻止合法用戶(hù)的越權(quán)行為和非法用戶(hù)的入侵行為。

2.2傳輸加密法

傳輸加密是通過(guò)加密來(lái)保護(hù)傳輸中信息數(shù)據(jù)流的安全性,實(shí)現(xiàn)的是過(guò)程的動(dòng)態(tài)性加密,分為端—端加密與線(xiàn)路加密兩種。端—端是一種從信息數(shù)據(jù)發(fā)出者的端口處制定加密信息,只要是從此端口發(fā)出的數(shù)據(jù)都會(huì)自動(dòng)加密,加密后變成了不可閱讀與不可識(shí)別的某些信息數(shù)據(jù),并通過(guò)TCP/IP數(shù)據(jù)包后,最終到達(dá)傳輸目的地,當(dāng)?shù)竭_(dá)最終端口時(shí),這些信息數(shù)據(jù)會(huì)自動(dòng)進(jìn)行重組與解密,轉(zhuǎn)化為可以閱讀與識(shí)別的信息數(shù)據(jù),以供數(shù)據(jù)接收者安全的使用;線(xiàn)路加密則有所不同,它是完全不需對(duì)信源和信宿進(jìn)行加密保護(hù),而是運(yùn)用對(duì)信息數(shù)據(jù)傳輸?shù)牟煌肪€(xiàn)采用不同加密密鑰的手段,達(dá)到對(duì)線(xiàn)路的保護(hù)目的。

2.3密鑰管理法

很多的數(shù)據(jù)信息進(jìn)行加密都是通過(guò)設(shè)置密鑰進(jìn)行安全防護(hù),所以密鑰是能否保護(hù)好信息數(shù)據(jù)的關(guān)鍵,如果密鑰被破解,則信息數(shù)據(jù)就無(wú)保密性可言,故對(duì)密鑰的保護(hù)非常關(guān)鍵,這也就是我們所說(shuō)的密鑰管理法,它在密鑰形成的各個(gè)環(huán)節(jié)(產(chǎn)生、保存、分配、更換、銷(xiāo)毀等階段)進(jìn)行管理控制,確保密鑰的安全性。

2.4確認(rèn)加密法

確認(rèn)加密法是通過(guò)對(duì)信息數(shù)據(jù)的共享范圍進(jìn)行嚴(yán)格控制,來(lái)防止這些數(shù)據(jù)被非法篡改與偽造。按照不同的目的,確認(rèn)加密法可分為:信息確認(rèn)、數(shù)字簽名與身份確認(rèn)三種。數(shù)字簽名是根據(jù)公開(kāi)密鑰與私人密鑰兩者存在一定的數(shù)學(xué)關(guān)系而建立的,使用其中任一密鑰進(jìn)行加密的信息數(shù)據(jù),只能用另一密鑰進(jìn)行解密,從而確保數(shù)據(jù)的真實(shí)性,如發(fā)送者用個(gè)人的私人密鑰對(duì)傳輸信息數(shù)據(jù)進(jìn)行加密之后,傳送到接收者那里,接收者必須用其公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行解密,這樣可以準(zhǔn)確的知道該信息的發(fā)送源是那里,避免信息的錯(cuò)誤。

2.5信息摘要法

信息摘要法是通過(guò)一個(gè)單向的Hash加密函數(shù)來(lái)對(duì)信息數(shù)據(jù)進(jìn)行處理,而產(chǎn)生出與數(shù)據(jù)對(duì)應(yīng)的唯一文本值或消息值,即信息的摘要,來(lái)保證數(shù)據(jù)的完整性,它是在信息數(shù)據(jù)發(fā)送者那里進(jìn)行加密后產(chǎn)生出一個(gè)摘要,接收者通過(guò)密鑰進(jìn)行解密后會(huì)產(chǎn)生另一個(gè)摘要,接收者對(duì)兩個(gè)摘要進(jìn)行對(duì)比,如果兩個(gè)有差別,就表面數(shù)據(jù)在傳輸途中被修改。

2.6完整性鑒別法

完整性鑒別法是將事先設(shè)定的某些參數(shù)(如口令、各相關(guān)人員的身份、密鑰、信息數(shù)據(jù)等)錄入系統(tǒng),在數(shù)據(jù)信息傳輸中,通過(guò)讓驗(yàn)證對(duì)象輸入相應(yīng)的特征值,判斷輸入的特征值是否符合要求,來(lái)對(duì)信息數(shù)據(jù)進(jìn)行保護(hù)的技術(shù)。

3結(jié)束語(yǔ)

篇2

在這個(gè)快速發(fā)展的信息化時(shí)代,網(wǎng)絡(luò)已成為人們信息交流的重要方式,網(wǎng)絡(luò)信息的安全問(wèn)題也日益突出。然而人們對(duì)網(wǎng)絡(luò)通訊中的信息進(jìn)行加密,防止信息被竊取,信息加密是指利用加密算法將所要加密的信息轉(zhuǎn)換為密文,然后再對(duì)密文進(jìn)行解密的過(guò)程。對(duì)信息加密的方法有很多,常有的加密技術(shù)是將重要的數(shù)據(jù)信息變?yōu)閬y碼或利用加密算法進(jìn)行加密;但加密技術(shù)的核心是密碼技術(shù),然而常用的密碼技術(shù)有對(duì)稱(chēng)加密技術(shù)和非對(duì)稱(chēng)加密技術(shù)。這些加密技術(shù)在一定程度上保證了信息的安全,促進(jìn)了信息在網(wǎng)絡(luò)上的傳輸。

2 網(wǎng)絡(luò)通訊中信息安全存在的風(fēng)險(xiǎn)

計(jì)算機(jī)和互聯(lián)網(wǎng)是網(wǎng)絡(luò)通訊的載體,然而隨著信息產(chǎn)業(yè)的快速發(fā)展,網(wǎng)絡(luò)通訊中信息的安全性問(wèn)題也越來(lái)越突出;這些安全問(wèn)題主要表現(xiàn)在網(wǎng)絡(luò)的操作系統(tǒng)、網(wǎng)絡(luò)的開(kāi)放性與虛擬性和應(yīng)用平臺(tái)等方面,我們將對(duì)這些方面存在的信息安全問(wèn)題進(jìn)行分析。

2.1操作系統(tǒng)的安全

每一臺(tái)計(jì)算機(jī)都有操作系統(tǒng),都知道如果一臺(tái)計(jì)算機(jī)沒(méi)有操作系統(tǒng)是無(wú)法使用的。網(wǎng)絡(luò)通信中主要的信息安全問(wèn)題就在于網(wǎng)絡(luò)的操作系統(tǒng),操作系統(tǒng)的穩(wěn)定性決定著網(wǎng)絡(luò)通信的安全性,一旦系統(tǒng)出現(xiàn)漏洞,就容易被入侵,信息泄露的可能性非常大,甚至?xí)霈F(xiàn)計(jì)算機(jī)無(wú)法使用的情況。然而對(duì)系統(tǒng)操作存在的安全問(wèn)題,主要有對(duì)操作系統(tǒng)的不了解、操作技術(shù)的不熟練、違反網(wǎng)絡(luò)通信安全保密的相關(guān)規(guī)定、網(wǎng)絡(luò)通信的安全意識(shí)不強(qiáng)以及對(duì)密鑰設(shè)置的不規(guī)范、長(zhǎng)期使用同一個(gè)密鑰等原因,這些原因都有可能造成網(wǎng)絡(luò)通訊中信息的泄露;所以,我們要對(duì)網(wǎng)絡(luò)通訊加強(qiáng)管理,保證信息的安全,防止信息的泄露。

2.2網(wǎng)絡(luò)的開(kāi)放性與虛擬性帶來(lái)的安全問(wèn)題

網(wǎng)絡(luò)時(shí)時(shí)刻刻都在影響著我們的生活,對(duì)我們的生活帶來(lái)便利,但也會(huì)帶來(lái)負(fù)面的影響;網(wǎng)絡(luò)是一個(gè)開(kāi)放性和虛擬性的平臺(tái),然而由于網(wǎng)絡(luò)的開(kāi)放性和虛擬性,會(huì)有一些人利用網(wǎng)絡(luò)的這一特點(diǎn)進(jìn)行違規(guī)甚至是違法的操作,比如使用一些手段對(duì)重要的通訊信息進(jìn)行攔截或竊聽(tīng),甚至是對(duì)信息的改變和破壞。網(wǎng)絡(luò)的通信線(xiàn)路,一般都沒(méi)有進(jìn)行相應(yīng)的電磁屏蔽保護(hù)措施,這就使得通信過(guò)程中信息容易被攔截和竊聽(tīng);這對(duì)網(wǎng)絡(luò)通訊中信息的安全帶來(lái)了嚴(yán)重的危害。

2.3通訊軟件的應(yīng)用

人們?cè)诰W(wǎng)絡(luò)上進(jìn)行信息交流,一般都需要通訊軟件;然而這些通訊軟件或多或少的都存在一些漏洞,這就容易造成信息的泄露,更容易遭到病毒或黑客的入侵,對(duì)通訊過(guò)程中信息安全造成危害,所以應(yīng)該對(duì)信息進(jìn)行相應(yīng)的安全防護(hù)措施,防止信息被竊取,保證通訊過(guò)程中信息交流的安全。

3 加密技術(shù)

一個(gè)完整的密碼體制由五個(gè)部分組成,分別是明文、密文、密鑰、加密變換、解密變換;對(duì)信息的加密過(guò)程是將明文通過(guò)加密算法進(jìn)行加密,再經(jīng)過(guò)網(wǎng)絡(luò)鏈路傳輸給接收者,然后接收者利用自己的密鑰通過(guò)解密算法對(duì)密文進(jìn)行解密,還原成明文。

3.1對(duì)稱(chēng)加密技術(shù)

對(duì)稱(chēng)加密技術(shù),就是對(duì)信息加密與解密采用相同的密鑰,加密密鑰同時(shí)也可以當(dāng)做解密密鑰用。這種加密技術(shù)使用起來(lái)比較簡(jiǎn)單,密鑰比較短,在網(wǎng)絡(luò)信息傳輸上得到了廣泛的應(yīng)用,然而但這種加密技術(shù)的安全性不是很高。

在對(duì)稱(chēng)加密技術(shù)中運(yùn)用的加密算法有數(shù)據(jù)加密標(biāo)準(zhǔn)算法和高級(jí)加密標(biāo)準(zhǔn)算法,而數(shù)據(jù)加密標(biāo)準(zhǔn)算法最常用。對(duì)稱(chēng)加密技術(shù)有一定的優(yōu)勢(shì)也有一定的弊端,優(yōu)勢(shì)是使用起來(lái)比較方便,密鑰比較短;缺點(diǎn):一、通訊雙方在通訊時(shí)使用同一個(gè)密鑰,這就給信息通訊帶來(lái)了不安全因素,在信息傳輸過(guò)程中,常常一個(gè)傳送者給多個(gè)不同的接收者傳送信息,這就需要多個(gè)密鑰,這對(duì)信息的傳送者帶來(lái)煩瑣;二、對(duì)稱(chēng)加密算法一般無(wú)法鑒別信息的完整性,也無(wú)法對(duì)信息發(fā)送者和信息接收者的身份進(jìn)行確認(rèn),這對(duì)信息在傳輸過(guò)程中帶來(lái)了不安全因素。三、在對(duì)稱(chēng)加密技術(shù)中對(duì)密鑰的管理是關(guān)鍵,因?yàn)樵趯?duì)稱(chēng)加密技術(shù)中信息的傳送者和信息的接收者是采用相同的密鑰,這就需要雙方共同對(duì)密鑰進(jìn)行保密。

3.2非對(duì)稱(chēng)加密技術(shù)

非對(duì)稱(chēng)加密技術(shù),就是對(duì)信息的加密與解密采用不同的密鑰,然而這種加密技術(shù)是針對(duì)對(duì)稱(chēng)加密技術(shù)中存在的不足所提出的一種加密技術(shù);非對(duì)稱(chēng)加密技術(shù)又可以稱(chēng)為公鑰加密技術(shù),意思是加密密鑰是公開(kāi)的,大家都可以知道的;而解密密鑰只有信息的接收者才知道。在非對(duì)稱(chēng)加密技術(shù)里,最常用的密碼算法是RSA算法,運(yùn)用這種算法對(duì)信息進(jìn)行加密,信息盜取者就不可能由加密密鑰推算出解密密鑰,因?yàn)檫@種算法將加密密鑰與加密算法分開(kāi),使得網(wǎng)絡(luò)用戶(hù)密鑰的管理更加方便安全。

4 加密技術(shù)的應(yīng)用

4.1信息傳輸過(guò)程中的節(jié)點(diǎn)加密

對(duì)信息的加密方式有很多,有在傳輸前對(duì)信息進(jìn)行加密,有在傳輸通道對(duì)信息進(jìn)行加密等等。簡(jiǎn)單介紹一下傳輸過(guò)程中的節(jié)點(diǎn)加密,節(jié)點(diǎn)加密是指信息傳輸路徑中對(duì)在節(jié)點(diǎn)機(jī)上傳輸?shù)男畔⑦M(jìn)行加密,然而節(jié)點(diǎn)加密不允許信息以明文的方式在節(jié)點(diǎn)機(jī)上進(jìn)行傳輸;節(jié)點(diǎn)加密是先把接收到的信息進(jìn)行解密,再對(duì)已解密的明文用另一個(gè)密鑰進(jìn)行加密,這就是所謂的節(jié)點(diǎn)加密,由于節(jié)點(diǎn)加密對(duì)信息加密的特殊性,使得這種加密方式相對(duì)于其他加密方式的安全性比較弱,所以一些重要的信息不采用此方法來(lái)進(jìn)行加密。

4.2信息傳輸過(guò)程中的鏈路加密

鏈路加密是指在鏈路上對(duì)信息進(jìn)行加密,而不是在信息的發(fā)送端和接收端進(jìn)行加密;鏈路加密是一種在傳輸路徑中的加密方式。鏈路加密原理是信息在傳輸路徑中每個(gè)節(jié)點(diǎn)機(jī)都作為信息接收端,對(duì)信息進(jìn)行不斷的加密和解密,使信息最終到達(dá)真正的接收端。這種加密方式相對(duì)于節(jié)點(diǎn)加密較安全,運(yùn)用相對(duì)比較廣泛。然而這種鏈路加密也存在弊端,由于運(yùn)用這種方式進(jìn)行加密,使得信息在傳輸過(guò)程中進(jìn)行不斷地加解密,信息以明文的形式多次出現(xiàn),這會(huì)導(dǎo)致信息容易泄露,給通訊過(guò)程中信息的安全帶來(lái)危害。

4.3信息傳輸過(guò)程中的端對(duì)端加密

端對(duì)端加密是指信息在傳輸過(guò)程中一直以密文的形式進(jìn)行傳輸,在傳送過(guò)程中并不能進(jìn)行解密,使得信息在整個(gè)傳送過(guò)程中得到保護(hù);即使信息在傳輸過(guò)程中被攔截,信息也不會(huì)被泄露,而且每條信息在傳輸過(guò)程中都進(jìn)行獨(dú)立加密,這樣即使一條信息被攔截或遭到破壞,也不會(huì)影響其他信息的安全傳輸;這種加密方式相對(duì)于前兩種加密方式可靠性更高、安全性更好,而且更容易設(shè)計(jì)和維護(hù),價(jià)格也相對(duì)比較便宜。不過(guò)[ dylW.net專(zhuān)業(yè)提供教育論文寫(xiě)作的服務(wù),歡迎光臨dylW.NeT]此種加密方式存在一點(diǎn)不足,就是不能夠?qū)鬏數(shù)男畔⒃诎l(fā)送端和接收端進(jìn)行隱藏。由于端對(duì)端的加密方式可靠性高、安全性好、價(jià)格便宜,在信息傳輸中得到了廣泛的應(yīng)用,更能確保信息在網(wǎng)絡(luò)通訊中的安全傳輸。

5 結(jié)束語(yǔ)

隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)通訊在日常生活中的得到了廣泛的應(yīng)用;竊取網(wǎng)絡(luò)通訊信息的人越來(lái)越多,對(duì)通訊信息攻擊的手段也層出不窮,攻擊技術(shù)也日益增強(qiáng),使得各種網(wǎng)絡(luò)信息安全問(wèn)題日益惡化,問(wèn)題更得不到根本性的解決;可見(jiàn)網(wǎng)絡(luò)通訊中的信息安全技術(shù)有待提高。然而,由于我國(guó)網(wǎng)絡(luò)信息技術(shù)起步晚,改革初期發(fā)展慢,給網(wǎng)絡(luò)通訊安全埋下了隱患;雖然近幾年得到了快速發(fā)展,但也暴露出嚴(yán)重的網(wǎng)絡(luò)通訊信息安全問(wèn)題;所以我們要不斷提高網(wǎng)絡(luò)信息交流的防御能力,防止信息在網(wǎng)絡(luò)通訊中被泄露;為大家營(yíng)造出一個(gè)安全、快捷、舒適的網(wǎng)絡(luò)通訊環(huán)境,即能促進(jìn)網(wǎng)絡(luò)通訊的發(fā)展,也能提高人們的生活質(zhì)量。

參考文獻(xiàn):

[1] 余文利.網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)與分析[J].網(wǎng)絡(luò)與信息,2005(10):50-51.

篇3

[關(guān)健詞]網(wǎng)絡(luò)安全加密DESRSA

隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)安全已成為信息化社會(huì)的一個(gè)焦點(diǎn)問(wèn)題,因此需要一種網(wǎng)絡(luò)安全機(jī)制來(lái)解決這些問(wèn)題。在早期,很多的專(zhuān)業(yè)計(jì)算機(jī)人員就通過(guò)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素的研究,已經(jīng)開(kāi)發(fā)了很多種類(lèi)的產(chǎn)品。但縱觀所有的網(wǎng)絡(luò)安全技術(shù),我們不難發(fā)現(xiàn)加密技術(shù)在扮演著主打角色。它無(wú)處不在,作為其他技術(shù)的基礎(chǔ),它發(fā)揮了重要的作用。本論文講述了加密技術(shù)的發(fā)展,兩種密鑰體制(常規(guī)密鑰密碼體制和公開(kāi)密鑰密碼體制),以及密鑰的管理(主要討論密鑰分配)。我們可以在加密技術(shù)的特點(diǎn)中看到他的發(fā)展前景,為網(wǎng)絡(luò)提供更可靠更安全的運(yùn)行環(huán)境。

一、常規(guī)密鑰密碼體制

所謂常規(guī)密鑰密碼體制,即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱(chēng)為對(duì)稱(chēng)密鑰系統(tǒng)。使用對(duì)稱(chēng)加密方法,加密與解密方必須使用相同的一種加密算法和相同的密鑰。

因?yàn)橥ㄐ诺碾p方在加密和解密時(shí)使用的是同一個(gè)密鑰,所以如果其他人獲取到這個(gè)密鑰,那么就會(huì)造成失密。只要通信雙方能確保密鑰在交換階段未泄露,那么就可以保證信息的機(jī)密性與完整性。對(duì)稱(chēng)加密技術(shù)存在著通信雙方之間確保密鑰安全交換的問(wèn)題。同時(shí),一個(gè)用戶(hù)要N個(gè)其他用戶(hù)進(jìn)行加密通信時(shí),每個(gè)用戶(hù)對(duì)應(yīng)一把密鑰,那么他就要管理N把密鑰。當(dāng)網(wǎng)絡(luò)N個(gè)用戶(hù)之間進(jìn)行加密通信時(shí),則需要有N×(N-1)個(gè)密鑰,才能保證任意兩者之間的通信。所以,要確保對(duì)稱(chēng)加密體系的安全,就好要管理好密鑰的產(chǎn)生,分配,存儲(chǔ),和更換。常規(guī)密碼體制早期有替代密碼和置換密碼這二種方式。下面我們將講述一個(gè)著名的分組密碼——美國(guó)的數(shù)據(jù)加密標(biāo)準(zhǔn)DES。DES是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的算法,數(shù)據(jù)分組長(zhǎng)度為64位,密文分組長(zhǎng)度也是64位,使用的密鑰為64位,有效密鑰長(zhǎng)度為56位,有8位用于奇偶校驗(yàn),解密時(shí)的過(guò)程和加密時(shí)相似,但密鑰的順序正好相反。DES算法的弱點(diǎn)是不能提供足夠的安全性,因?yàn)槠涿荑€容量只有56位。由于這個(gè)原因,后來(lái)又提出了三重DES或3DES系統(tǒng),使用3個(gè)不同的密鑰對(duì)數(shù)據(jù)塊進(jìn)行(兩次或)三次加密,該方法比進(jìn)行普通加密的三次塊。其強(qiáng)度大約和112比特的密鑰強(qiáng)度相當(dāng)。

二、公開(kāi)密鑰密碼體制

公開(kāi)密鑰(publickey)密碼體制出現(xiàn)于1976年。與“公開(kāi)密鑰密碼體制”相對(duì)應(yīng)的是“傳統(tǒng)密碼體制”,又稱(chēng)“對(duì)稱(chēng)密鑰密碼體制”。其中用于加密的密鑰與用于解密的密鑰完全一樣,在對(duì)稱(chēng)密鑰密碼體制中,加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。通常,使用的加密算法比較簡(jiǎn)便高效,密鑰簡(jiǎn)短,破譯極其困難。但是,在公開(kāi)的計(jì)算機(jī)網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個(gè)嚴(yán)峻的問(wèn)題。在“公開(kāi)密鑰密碼體制”中,加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰(shuí)都可以用;而解密密鑰只有解密人自己知道。它們分別稱(chēng)為“公開(kāi)密鑰”(publickey)和“秘密密鑰”(private一key)。

它最主要的特點(diǎn)就是加密和解密使用不同的密鑰,每個(gè)用戶(hù)保存著一對(duì)密鑰──公開(kāi)密鑰PK和秘密密鑰SK,因此,這種體制又稱(chēng)為雙鑰或非對(duì)稱(chēng)密鑰密碼體制。

在這種體制中,PK是公開(kāi)信息,用作加密密鑰,而SK需要由用戶(hù)自己保密,用作解密密鑰。加密算法E和解密算法D也都是公開(kāi)的。雖然SK與PK是成對(duì)出現(xiàn),但卻不能根據(jù)PK計(jì)算出SK。在公開(kāi)密鑰密碼體制中,最有名的一種是RSA體制。它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會(huì)SC20推薦為公開(kāi)密鑰數(shù)據(jù)加密。RSA算法既能用于數(shù)據(jù)加密,也能用于數(shù)字簽名,RSA的理論依據(jù)為:尋找兩個(gè)大素?cái)?shù)比較簡(jiǎn)單,而將它們的乘積分解開(kāi)則異常困難。在RSA算法中,包含兩個(gè)密鑰,加密密鑰PK,和解密密鑰SK,加密密鑰是公開(kāi)的,其加密與解密方程為:

其中n=p×q,P∈[0,n-1],p和q均為大于10100的素?cái)?shù),這兩個(gè)素?cái)?shù)是保密的。

RSA算法的優(yōu)點(diǎn)是密鑰空間大,缺點(diǎn)是加密速度慢,如果RSA和DES結(jié)合使用,則正好彌補(bǔ)RSA的缺點(diǎn)。即DES用于明文加密,RSA用于DES密鑰的加密。由于DES加密速度快,適合加密較長(zhǎng)的報(bào)文;而RSA可解決DES密鑰分配的問(wèn)題。

三、密鑰的管理

1.密鑰管理的基本內(nèi)容

由于密碼算法是公開(kāi)的,網(wǎng)絡(luò)的安全性就完全基于密鑰的安全保護(hù)上。因此在密碼學(xué)中就出先了一個(gè)重要的分支——密鑰管理。密鑰管理包括:密鑰的產(chǎn)生,分配,注入,驗(yàn)證和使用。它的基本任務(wù)是滿(mǎn)足用戶(hù)之間的秘密通信。在這有的是使用公開(kāi)密鑰體制,用戶(hù)只要保管好自己的秘密密鑰就可以了,公開(kāi)密鑰集體公開(kāi)在一張表上,要向哪個(gè)用戶(hù)發(fā)密文只要找到它的公開(kāi)密鑰,再用算法把明文變成密文發(fā)給用戶(hù),接收放就可以用自己的秘密密鑰解密了。所以它要保證分給用戶(hù)的秘密密鑰是安全的。有的是還是使用常規(guī)密鑰密碼體制,當(dāng)用戶(hù)A想和用戶(hù)B通信時(shí),他就向密鑰分配中心提出申請(qǐng),請(qǐng)求分配一個(gè)密鑰,只用于A和B之間通信。

2.密鑰分配

密鑰分配是密鑰管理中最大的問(wèn)題。密鑰必須通過(guò)安全的通路進(jìn)行分配。例如,在早期,可以派專(zhuān)門(mén)的人給用戶(hù)們送密鑰,但是當(dāng)隨著用戶(hù)數(shù)的膨脹,顯然已不再適用了,這時(shí)應(yīng)采用網(wǎng)絡(luò)分配方式。

目前,公認(rèn)的有效方法是通過(guò)密鑰分配中心KDC來(lái)管理和分配公開(kāi)密鑰。每個(gè)用戶(hù)只保存自己的秘密密鑰和KDC的公開(kāi)密鑰PKAS。用戶(hù)可以通過(guò)KDC獲得任何其他用戶(hù)的公開(kāi)密鑰。

首先,A向KDC申請(qǐng)公開(kāi)密鑰,將信息(A,B)發(fā)給KDC。KDC返回給A的信息為(CA,CB),其中,CA=DSKAS(A,PKA,T1),CB=DSKAS(B,PKB,T2)。CA和CB稱(chēng)為證明書(shū)(Certificate),分別含有A和B的公開(kāi)密鑰。KDC使用其解密密鑰SKAS對(duì)CA和CB進(jìn)行了簽名,以防止偽造。時(shí)間戳T1和T2的作用是防止重放攻擊。

然后,A將證明書(shū)CA和CB傳送給B。B獲得了A的公開(kāi)密鑰PKA,同時(shí)也可檢驗(yàn)他自己的公開(kāi)密鑰PKB。對(duì)于常規(guī)密鑰進(jìn)行分配要分三步:

(1)用戶(hù)A向KDS發(fā)送自己的密鑰KA加密的報(bào)文EKA(A,B),說(shuō)明想和用戶(hù)B通信。

(2)KDC用隨機(jī)數(shù)產(chǎn)生一個(gè)“一次一密”密鑰R1供A和B這次的通信使用,然后向A發(fā)送回答報(bào)文,這個(gè)回答報(bào)文用A的密鑰KA加密,報(bào)文中有密鑰R1和請(qǐng)A轉(zhuǎn)給B的報(bào)文EKB(A,R1),但報(bào)文EKB(A,R1)是用B的密鑰加密的,因此A無(wú)法知道其中的內(nèi)容,它也沒(méi)必要知道。

(3)當(dāng)B收到A轉(zhuǎn)來(lái)的報(bào)文EKB(A,R1)并用自己的密鑰KB解密后,就知道A要和他通信,同時(shí)也知道和A通信應(yīng)當(dāng)使用的密鑰R1。

四、結(jié)束語(yǔ)

從一開(kāi)始,我們就是為了解決一些網(wǎng)絡(luò)安全問(wèn)題而提出了密鑰體制,也就是我們所說(shuō)的加密。所以,不言而寓,密鑰就是在各種傳送機(jī)構(gòu)中發(fā)揮他的作用,確保在傳送的過(guò)程中信息的安全。雖然所使用的方式方法不同,但密鑰體制本身是相同的。主要有數(shù)字簽名、報(bào)文鑒別、電子郵件加密幾種應(yīng)用。我們?cè)趩?wèn)題中找到了很好解決信息加密的方法。我們從加密技術(shù)一路走來(lái)的發(fā)展史中可以看出加密技術(shù)在不段的發(fā)展和完善中。并且就兩個(gè)經(jīng)典的算法DES和RSA做出了扼要的介紹。在論文中間也介紹了密鑰的分配,這也是加密技術(shù)的一個(gè)重要方面。相信在不久的將來(lái),可以看到更加完美的加密體制或算法。

參考文獻(xiàn):

[1]段云所:網(wǎng)絡(luò)信息安全講稿.北京大學(xué)計(jì)算機(jī)系,2001

[2]劉曉敏:網(wǎng)絡(luò)環(huán)境下信息安全的技術(shù)保護(hù).情報(bào)科學(xué),1999

[3]張寧:《北京大學(xué)計(jì)算機(jī)系》.《電子商務(wù)技術(shù)》(2000年春季學(xué)期)

篇4

關(guān)鍵詞:網(wǎng)絡(luò)安全,網(wǎng)絡(luò)管理,多級(jí)安全

 

1 引言網(wǎng)絡(luò)技術(shù),特別是Internet的興起,正在從根本上改變傳統(tǒng)的信息技術(shù)(IT)產(chǎn)業(yè),隨著網(wǎng)絡(luò)技術(shù)和Internet的普及,信息交流變得更加快捷和便利,然而這也給信息保密和安全提出了更高的要求。近年來(lái),研究人員在信息加密,如公開(kāi)密鑰、對(duì)稱(chēng)加密算法,網(wǎng)絡(luò)訪問(wèn)控制,如防火墻,以及計(jì)算機(jī)系統(tǒng)安全管理、網(wǎng)絡(luò)安全管理等方面做了許多研究工作,并取得了很多究成果。

本論文主要針對(duì)網(wǎng)絡(luò)安全,從實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的技術(shù)角度展開(kāi)探討,以期找到能夠?qū)崿F(xiàn)網(wǎng)絡(luò)信息安全的構(gòu)建方案或者技術(shù)應(yīng)用,并和廣大同行分享。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析影響局域網(wǎng)網(wǎng)絡(luò)安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結(jié)起來(lái),主要有六個(gè)方面構(gòu)成對(duì)網(wǎng)絡(luò)的威脅:

(1) 人為失誤:一些無(wú)意的行為,如:丟失口令、非法操作、資源訪問(wèn)控制不合理、管理員安全配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)等,都會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)造成極大的破壞。

(2) 病毒感染:從“蠕蟲(chóng)”病毒開(kāi)始到CIH、愛(ài)蟲(chóng)病毒,病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅,網(wǎng)絡(luò)更是為病毒提供了迅速傳播的途徑,病毒很容易地通過(guò)服務(wù)器以軟件下載、郵件接收等方式進(jìn)入網(wǎng)絡(luò),然后對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,造成很大的損失。

(3) 來(lái)自網(wǎng)絡(luò)外部的攻擊:這是指來(lái)自局域網(wǎng)外部的惡意攻擊,例如:有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性;偽裝為合法用戶(hù)進(jìn)入網(wǎng)絡(luò)并占用大量資源;修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行;在中間站點(diǎn)攔截和讀取絕密信息等。

(4) 來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊:在局域網(wǎng)內(nèi)部,一些非法用戶(hù)冒用合法用戶(hù)的口令以合法身份登陸網(wǎng)站后,查看機(jī)密信息,修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運(yùn)行。

(5) 系統(tǒng)的漏洞及“后門(mén)”:操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷、無(wú)漏洞的??萍颊撐摹A硗?,編程人員為自便而在軟件中留有“后門(mén)”,一旦“漏洞”及“后門(mén)”為外人所知,就會(huì)成為整個(gè)網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標(biāo)和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”和“后門(mén)”所造成的。

3 網(wǎng)絡(luò)安全技術(shù)管理探討3.1 傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)目前國(guó)內(nèi)外維護(hù)網(wǎng)絡(luò)安全的機(jī)制主要有以下幾類(lèi):

Ø訪問(wèn)控制機(jī)制;

Ø身份鑒別;

Ø加密機(jī)制;

Ø病毒防護(hù)。

針對(duì)以上機(jī)制的網(wǎng)絡(luò)安全技術(shù)措施主要有:

(1) 防火墻技術(shù)

防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它用來(lái)控制內(nèi)部網(wǎng)和外部網(wǎng)的訪問(wèn)。

(2) 基于主機(jī)的安全措施

通常利用主機(jī)操作系統(tǒng)提供的訪問(wèn)權(quán)限,對(duì)主機(jī)資源進(jìn)行保護(hù),這種安全措施往往只局限于主機(jī)本身的安全,而不能對(duì)整個(gè)網(wǎng)絡(luò)提供安全保證。

(3) 加密技術(shù)

面向網(wǎng)絡(luò)的加密技術(shù)是指通信協(xié)議加密,它是在通信過(guò)程中對(duì)包中的數(shù)據(jù)進(jìn)行加密,包括完整性檢測(cè)、數(shù)字簽名等,這些安全協(xié)議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數(shù)及其它一些序列密碼算法實(shí)現(xiàn)信息安全功能,用于防止黑客對(duì)信息進(jìn)行偽造、冒充和篡改,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。

(4) 其它安全措施

包括鑒別技術(shù)、數(shù)字簽名技術(shù)、入侵檢測(cè)技術(shù)、審計(jì)監(jiān)控、防病毒技術(shù)、備份和恢復(fù)技術(shù)等。鑒別技術(shù)是指只有經(jīng)過(guò)網(wǎng)絡(luò)系統(tǒng)授權(quán)和登記的合法用戶(hù)才能進(jìn)入網(wǎng)絡(luò)。審計(jì)監(jiān)控是指隨時(shí)監(jiān)視用戶(hù)在網(wǎng)絡(luò)中的活動(dòng),記錄用戶(hù)對(duì)敏感的數(shù)據(jù)資源的訪問(wèn),以便隨時(shí)調(diào)查和分析是否遭到黑客的攻擊。這些都是保障網(wǎng)絡(luò)安全的重要手段。

3.2 構(gòu)建多級(jí)網(wǎng)絡(luò)安全管理多級(jí)安全作為一項(xiàng)計(jì)算機(jī)安全技術(shù),在軍事和商業(yè)上有廣泛的需求。科技論文。“多級(jí)”包括數(shù)據(jù)、進(jìn)程和人員的安全等級(jí)和分類(lèi),在用戶(hù)訪問(wèn)數(shù)據(jù)時(shí)依據(jù)這些等級(jí)和分類(lèi)進(jìn)行不同的處理。人員和信息的安全標(biāo)識(shí)一般由兩部分組成,一部分是用“密級(jí)”表示數(shù)據(jù)分類(lèi)具有等級(jí)性,例如絕密、秘密、機(jī)密和無(wú)密級(jí);另一部分是用“類(lèi)別”表示信息類(lèi)別的不同,“類(lèi)別”并不需要等級(jí)關(guān)系。在具體的網(wǎng)絡(luò)安全實(shí)現(xiàn)上,可以從以下幾個(gè)方面來(lái)構(gòu)建多級(jí)網(wǎng)絡(luò)安全管理:

(1) 可信終端

可信終端是指經(jīng)過(guò)系統(tǒng)軟硬件認(rèn)證通過(guò)、被系統(tǒng)允許接入到系統(tǒng)的終端設(shè)備。網(wǎng)絡(luò)安全架構(gòu)中的終端具有一個(gè)最高安全等級(jí)和一個(gè)當(dāng)前安全等級(jí),最高安全等級(jí)表示可以使用該終端的用戶(hù)的最高安全等級(jí),當(dāng)前安全等級(jí)表示當(dāng)前使用該終端用戶(hù)的安全等級(jí)。

(2) 多級(jí)安全服務(wù)器

多級(jí)安全服務(wù)器上需要部署具有強(qiáng)制訪問(wèn)控制能力的操作系統(tǒng),該操作系統(tǒng)能夠?yàn)椴煌踩燃?jí)的用戶(hù)提供訪問(wèn)控制功能。該操作系統(tǒng)必須具備很高的可信性,一般而言要具備TCSEC標(biāo)準(zhǔn)下B1以上的評(píng)級(jí)。

(3) 單安全等級(jí)服務(wù)器和訪問(wèn)控制網(wǎng)關(guān)

單安全等級(jí)服務(wù)器本身并不能為多個(gè)安全等級(jí)的用戶(hù)提供訪問(wèn),但結(jié)合訪問(wèn)控制網(wǎng)關(guān)就可以為多安全等級(jí)用戶(hù)提供訪問(wèn)服務(wù)。對(duì)于本網(wǎng)的用戶(hù),訪問(wèn)控制網(wǎng)關(guān)旁路許可訪問(wèn),而對(duì)于外網(wǎng)的用戶(hù)則必須經(jīng)過(guò)訪問(wèn)控制網(wǎng)關(guān)的裁決。訪問(wèn)控制網(wǎng)關(guān)的作用主要是識(shí)別用戶(hù)安全等級(jí),控制用戶(hù)和服務(wù)器之間的信息流??萍颊撐?。如果用戶(hù)的安全等級(jí)高于單級(jí)服務(wù)器安全等級(jí),則只允許信息從服務(wù)器流向用戶(hù);如果用戶(hù)的安全等級(jí)等于服務(wù)器安全等級(jí),則允許用戶(hù)和服務(wù)器間信息的雙向流動(dòng);如果用戶(hù)的安全等級(jí)低于服務(wù)器安全等級(jí),則只允許信息從用戶(hù)流向服務(wù)器。

(4) VPN網(wǎng)關(guān)

VPN網(wǎng)關(guān)主要用來(lái)保護(hù)跨網(wǎng)傳輸數(shù)據(jù)的保密安全,用來(lái)抵御來(lái)自外部的攻擊。VPN網(wǎng)關(guān)還被用來(lái)擴(kuò)展網(wǎng)絡(luò)。應(yīng)用外接硬件加密設(shè)備連接網(wǎng)絡(luò)的方式,如果有n個(gè)網(wǎng)絡(luò)相互連接,那么就必須使用n×(n-1)個(gè)硬件加密設(shè)備,而每增加一個(gè)網(wǎng)絡(luò),就需要增加2n個(gè)設(shè)備,這對(duì)于網(wǎng)絡(luò)的擴(kuò)展很不利。引入VPN網(wǎng)關(guān)后,n個(gè)網(wǎng)絡(luò)只需要n個(gè)VPN網(wǎng)關(guān),每增加一個(gè)網(wǎng)絡(luò),也只需要增加一個(gè)VPN網(wǎng)關(guān)。

4 結(jié)語(yǔ)在網(wǎng)絡(luò)技術(shù)十分發(fā)達(dá)的今天,任何一臺(tái)計(jì)算機(jī)都不可能孤立于網(wǎng)絡(luò)之外,因此對(duì)于網(wǎng)絡(luò)中的信息的安全防范就顯得十分重要。針對(duì)現(xiàn)在網(wǎng)絡(luò)規(guī)模越來(lái)越大的今天,網(wǎng)絡(luò)由于信息傳輸應(yīng)用范圍的不斷擴(kuò)大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點(diǎn)對(duì)網(wǎng)絡(luò)的信息安全管理系統(tǒng)展開(kāi)了分析討論,相信通過(guò)不斷發(fā)展的網(wǎng)絡(luò)硬件安全技術(shù)和軟件加密技術(shù),再加上政府對(duì)信息安全的重視,計(jì)算機(jī)網(wǎng)絡(luò)的信息安全是完全可以實(shí)現(xiàn)的。

參考文獻(xiàn):

[1] 胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.

[2] 黃國(guó)言.WEB方式下基于SNMP的網(wǎng)絡(luò)管理軟件的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件,2003,20(9):92-94.

[3] 李木金,王光興.一種被用于網(wǎng)絡(luò)管理的性能分析模型和實(shí)現(xiàn)[J].軟件學(xué)報(bào),2000,22(12): 251-255.

篇5

[論文摘要] 本文分析了電子商務(wù)首要的安全要素,以及將面臨的一系列安全問(wèn)題,并從網(wǎng)絡(luò)平臺(tái)和數(shù)據(jù)傳輸兩個(gè)方面完整地介紹了一些相關(guān)的安全技術(shù),通過(guò)它們來(lái)消除電子商務(wù)活動(dòng)中的安全隱患。

一、引言

隨著信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展, 基于Internet 的電子商務(wù)也隨之而生,并在近年來(lái)獲得了巨大的發(fā)展。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式,改變了傳統(tǒng)商務(wù)的運(yùn)作模式,極大地提高了商務(wù)效率,降低了交易的成本。然而,由于互聯(lián)網(wǎng)開(kāi)放性的特點(diǎn),安全問(wèn)題也自始至終制約著電子商務(wù)的發(fā)展。因此,建立一個(gè)安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。

二、電子商務(wù)面臨的安全問(wèn)題

1.信息泄漏。在電子商務(wù)中主要表現(xiàn)為商業(yè)機(jī)密的泄露,包括兩個(gè)方面:一是交易雙方進(jìn)行交易的內(nèi)容被第三方竊??;二是交易一方提供給另一方使用的文件被第三方非法使用。

2.信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實(shí)性和完整性。

3.身份識(shí)別。身份識(shí)別在電子商務(wù)中涉及兩個(gè)方面的問(wèn)題:一是如果不進(jìn)行身份識(shí)別,第三方就有可能假冒交易一方的身份,破壞交易、敗壞被假冒一方的信譽(yù)或盜取交易成果;二是不可抵賴(lài)性,交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任,信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。進(jìn)行身份識(shí)別就是防止電子商務(wù)活動(dòng)中的假冒行為和交易被否認(rèn)的行為。

4.信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃?,網(wǎng)絡(luò)的硬件或軟件可能會(huì)出現(xiàn)問(wèn)題而導(dǎo)致交易信息丟失與謬誤;二是惡意破壞,計(jì)算機(jī)網(wǎng)絡(luò)本身遭到一些惡意程序的破壞,例如病毒破壞、黑客入侵等。

三、電子商務(wù)的安全要素

1.有效性。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對(duì)一切潛在的威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。

2.機(jī)密性。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。解決數(shù)據(jù)機(jī)密性的一般方法是采用加密手段。

3.完整性。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方的差異。此外,數(shù)據(jù)傳輸過(guò)程中的丟失、重復(fù)或傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方的不同。因此,要預(yù)防對(duì)隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過(guò)程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。

4.不可抵賴(lài)性。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在交易進(jìn)行時(shí),交易各方必須附帶含有自身特征、無(wú)法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時(shí)有所對(duì)證。

四、電子商務(wù)采用的主要安全技術(shù)手段

1.防火墻技術(shù)。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來(lái)自Internet 的傳輸信息或發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。實(shí)現(xiàn)防火墻技術(shù)的主要途徑有:分組過(guò)濾和服務(wù)。分組過(guò)濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張?jiān)L問(wèn)表或黑名單,即借助數(shù)據(jù)分組中的IP地址確定什么類(lèi)型的信息允許通過(guò)防火墻,什么類(lèi)型的信息不允許通過(guò)。防火墻的職責(zé)就是根據(jù)訪問(wèn)表(或黑名單)對(duì)進(jìn)出路由器的分組進(jìn)行檢查和過(guò)濾。這種防火墻簡(jiǎn)單易行,但不能完全有效地防范非法攻擊。目前,80%的防火墻都是采用這種技術(shù)。服務(wù):是一種基于服務(wù)的防火墻,它的安全性高,增加了身份認(rèn)證與審計(jì)跟蹤功能,但速度較慢。所謂審計(jì)跟蹤是對(duì)網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個(gè)完備的記錄,以便對(duì)網(wǎng)絡(luò)進(jìn)行完全監(jiān)督和控制。通過(guò)不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄,并有選擇地對(duì)其中的一些進(jìn)行審計(jì)跟蹤,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù),但對(duì)網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無(wú)能為力,實(shí)現(xiàn)電子商務(wù)的安全還需要一些保障動(dòng)態(tài)安全的技術(shù)。

2.數(shù)據(jù)加密技術(shù)。在電子商務(wù)中,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ),也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類(lèi),即對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。

(1)對(duì)稱(chēng)加密。對(duì)稱(chēng)加密又稱(chēng)為私鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。使用對(duì)稱(chēng)加密方法將簡(jiǎn)化加密的處理,每個(gè)貿(mào)易方都不必彼此研究和交換專(zhuān)用的加密算法,而是采用相同的加密算法并只交換共享的專(zhuān)用密鑰。比較著名的對(duì)稱(chēng)加密算法是:美國(guó)國(guó)家標(biāo)準(zhǔn)局提出的DES(DataEncryption Standard,數(shù)據(jù)加密標(biāo)準(zhǔn))。對(duì)稱(chēng)加密方式存在的一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專(zhuān)用密鑰,貿(mào)易雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。

(2)非對(duì)稱(chēng)加密。非對(duì)稱(chēng)加密又稱(chēng)為公鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí),使用不同的密鑰,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰。公鑰對(duì)外界公開(kāi),私鑰自己保管,用公鑰加密的信息,只能用對(duì)應(yīng)的私鑰解密。同樣地,用私鑰加密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。RSA(即Rivest,ShamirAdleman)算法是非對(duì)稱(chēng)加密領(lǐng)域內(nèi)最為著名的算法。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程是:貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開(kāi)密鑰向其他貿(mào)易方公開(kāi),得到該公開(kāi)密鑰的貿(mào)易方乙使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把私有密鑰對(duì)加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開(kāi)密鑰加密后的任何信息。為了充分發(fā)揮對(duì)稱(chēng)和非對(duì)稱(chēng)加密體制各自的優(yōu)點(diǎn),在實(shí)際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來(lái)加密信息,而采用RSA來(lái)傳遞對(duì)稱(chēng)加密體制中的密鑰。

3.數(shù)字簽名技術(shù)。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全,在確保信息完整性方面,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時(shí)間戳技術(shù)。

(1)數(shù)字摘要。數(shù)字摘要是對(duì)一條原始信息進(jìn)行單向哈希(Hash)函數(shù)變換運(yùn)算得到的一個(gè)長(zhǎng)度一定的摘要信息。該摘要與原始信息一一對(duì)應(yīng),即不同的原始信息必然得到一個(gè)不同的摘要。若信息的完整性遭到破壞,信息就無(wú)法通過(guò)原始摘要信息的驗(yàn)證,成為無(wú)效信息,信息接收者便可以選擇不再信任該信息。

(2)數(shù)字簽名。數(shù)字簽名實(shí)際上是運(yùn)用公私鑰加密技術(shù)使信息具有不可抵賴(lài)性,其具體過(guò)程為:文件的發(fā)送方從文件中生成一個(gè)數(shù)字摘要,用自己的私鑰對(duì)這個(gè)數(shù)字摘要進(jìn)行加密,從而形成數(shù)字簽名。這個(gè)被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者。接收方收到信息后就用發(fā)送方的公開(kāi)密鑰對(duì)摘要進(jìn)行解密,如果解出了正確的摘要,即該摘要可以確認(rèn)原始文件沒(méi)有被更改過(guò)。那么說(shuō)明這個(gè)信息確實(shí)為發(fā)送者發(fā)出的。于是實(shí)現(xiàn)了對(duì)原始文件的鑒別和不可抵賴(lài)性。

(3)數(shù)字時(shí)間戳。數(shù)字時(shí)間戳技術(shù)或DTS 是對(duì)數(shù)字文件或交易信息進(jìn)行日期簽署的一項(xiàng)第三方服務(wù)。本質(zhì)上數(shù)字時(shí)間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍。加蓋數(shù)字時(shí)間戳后的信息不能進(jìn)行偽造、篡改和抵賴(lài),并為信息提供了可靠的時(shí)間信息以備查用。

五、小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù),數(shù)據(jù)加密技術(shù),數(shù)字簽名技術(shù),以及安全協(xié)議,指出了它們使用范圍及其優(yōu)缺點(diǎn)。但必須強(qiáng)調(diào)說(shuō)明的是,電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類(lèi)問(wèn)題,從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1]謝紅燕:電子商務(wù)的安全問(wèn)題及對(duì)策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版),2007,(3):350-358

[2]彭禹皓蘭波曉玲:電子商務(wù)的安全性探討[J].集團(tuán)經(jīng)濟(jì)研究,2007,(232): 216- 217

篇6

論文摘 要:隨著電子商務(wù)時(shí)代的到來(lái),電子商務(wù)安全問(wèn)題越來(lái)越受到關(guān)注。特別是近年來(lái)的威脅網(wǎng)絡(luò)安全事件成出不窮,成為阻礙電子商務(wù)發(fā)展的一個(gè)大問(wèn)題。對(duì)電子商務(wù)安全面臨的的威脅進(jìn)行研究分析,提出電子商務(wù)安全策略的總體原則及使用的主要技術(shù)。

電子商務(wù)安全策略是對(duì)企業(yè)的核心資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),不斷的更新企業(yè)系統(tǒng)的安全防護(hù),找出企業(yè)系統(tǒng)的潛在威脅和漏洞,識(shí)別,控制,消除存在安全風(fēng)險(xiǎn)的活動(dòng)。電子商務(wù)安全是相對(duì)的,不是絕對(duì)的,不能認(rèn)為存在永遠(yuǎn)不被攻破的系統(tǒng),當(dāng)然無(wú)論是何種模式的電子商務(wù)網(wǎng)站都要考慮到為了系統(tǒng)安全所要付出的代價(jià)和消耗的成本。作為一個(gè)安全系統(tǒng)的使用者,必須應(yīng)該綜合考慮各方因素合理使用電子商務(wù)安全策略技術(shù),作為系統(tǒng)的研發(fā)設(shè)計(jì)者,也必須在設(shè)計(jì)的同時(shí)考慮到成本與代價(jià)的因素。在這個(gè)網(wǎng)絡(luò)攻防此消彼長(zhǎng)的時(shí)代,更應(yīng)該根據(jù)安全問(wèn)題的不斷出現(xiàn)來(lái)檢查,評(píng)估和調(diào)整相應(yīng)的安全策略,采用適合當(dāng)前的技術(shù)手段,來(lái)達(dá)到提升整體安全的目的。電子商務(wù)所帶來(lái)的巨大商機(jī)背后同樣隱藏著日益嚴(yán)重的電子商務(wù)安全問(wèn)題,不僅為企業(yè)機(jī)構(gòu)帶來(lái)了巨大的經(jīng)濟(jì)損失,更使社會(huì)經(jīng)濟(jì)的安全受到威脅。

1 電子商務(wù)面臨的安全威脅

在電子商務(wù)運(yùn)作的大環(huán)境中,時(shí)時(shí)刻刻面臨著安全威脅,這不僅僅設(shè)計(jì)技術(shù)問(wèn)題,更重要的是管理上的漏洞,而且與人們的行為模式有著密不可分的聯(lián)系。電子商務(wù)面臨的安全威脅可以分為以下幾類(lèi):

1.1 信息內(nèi)容被截取竊取

這一類(lèi)的威脅發(fā)生主要由于信息傳遞過(guò)程中加密措施或安全級(jí)別不夠,或者通過(guò)對(duì)互聯(lián)網(wǎng),電話(huà)網(wǎng)中信息流量和流向等參數(shù)的分析來(lái)竊取有用信息。

1.2 中途篡改信息

主要破壞信息的完整性,通過(guò)更改、刪除、插入等手段對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途篡改,并將篡改后的虛假信息發(fā)往接受端。

1.3 身份假冒

建立與銷(xiāo)售者服務(wù)器名稱(chēng)相似的假冒服務(wù)器、冒充銷(xiāo)售者、建立虛假訂單進(jìn)行交易。

1.4 交易抵賴(lài)

比如商家對(duì)賣(mài)出的商品因價(jià)格原因不承認(rèn)原有交易,購(gòu)買(mǎi)者因簽訂了訂單卻事后否認(rèn)。

1.5同行業(yè)者惡意競(jìng)爭(zhēng)

同行業(yè)者利用購(gòu)買(mǎi)者名義進(jìn)行商品交易,暗中了解買(mǎi)賣(mài)流程、庫(kù)存狀況、物流狀況。

1.6 電子商務(wù)系統(tǒng)安全性被破壞

不法分子利用非法手段進(jìn)入系統(tǒng),改變用戶(hù)信息、銷(xiāo)毀訂單信息、生成虛假信息等。

2 電子商務(wù)安全策略原則

電子商務(wù)安全策略是在現(xiàn)有情況,實(shí)現(xiàn)投入的成本與效率之間的平衡,減少電子商務(wù)安全所面臨的威脅。據(jù)電子商務(wù)網(wǎng)絡(luò)環(huán)境的不同,采用不同的安全技術(shù)來(lái)制定安全策略。在制定安全策略時(shí)應(yīng)遵循以下總體原則:

2.1 共存原則

是指影響網(wǎng)絡(luò)安全的問(wèn)題是與整個(gè)網(wǎng)絡(luò)的運(yùn)作生命周期同時(shí)存在,所以在設(shè)計(jì)安全體系結(jié)構(gòu)時(shí)應(yīng)考慮與網(wǎng)絡(luò)安全需求一致。如果不在網(wǎng)站設(shè)計(jì)開(kāi)始階段考慮安全對(duì)策,等網(wǎng)站建設(shè)好后在修改會(huì)耗費(fèi)更大的人力物力。

2.2 靈活性原則

安全策略要能隨著網(wǎng)絡(luò)性能及安全威脅的變化而變化,要及時(shí)的適應(yīng)系統(tǒng)和修改。

2.3 風(fēng)險(xiǎn)與代價(jià)相互平衡的分析原則

任何一個(gè)網(wǎng)絡(luò),很難達(dá)到絕對(duì)沒(méi)有安全威脅。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析,并且對(duì)網(wǎng)絡(luò)面臨的威脅以及可能遇到的風(fēng)險(xiǎn)要進(jìn)行定量與定性的綜合分析,制定規(guī)范的措施,并確定本系統(tǒng)的安全范疇,使花費(fèi)在網(wǎng)絡(luò)安全的成本與在安全保護(hù)下的信息的價(jià)值平衡。

2.4 易使用性原則

安全策略的實(shí)施由人工完成,如果實(shí)施過(guò)程過(guò)于復(fù)雜,對(duì)于人的要求過(guò)高,對(duì)本身的安全性也是一種降低。

2.5 綜合性原則

一個(gè)好的安全策略在設(shè)計(jì)時(shí)往往采用是多種方法綜合應(yīng)用的結(jié)果,以系統(tǒng)工程的觀點(diǎn),方法分析網(wǎng)絡(luò)安全問(wèn)題,才可能獲得有效可行的措施。

2.6 多層保護(hù)原則

任何單一的安全保護(hù)措施都不是能獨(dú)當(dāng)一面,絕對(duì)安全的,應(yīng)該建立一個(gè)多層的互補(bǔ)系統(tǒng),那么當(dāng)一層被攻破時(shí),其它保護(hù)層仍然可以安全的保護(hù)信息。 轉(zhuǎn)貼于

3 電子商務(wù)安全策略主要技術(shù)

3.1 防火墻技術(shù)

防火墻技術(shù)是一種保護(hù)本地網(wǎng)絡(luò),并對(duì)外部網(wǎng)絡(luò)攻擊進(jìn)行抵制的重要網(wǎng)絡(luò)安全技術(shù)之一,是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施??傮w可以分為:數(shù)據(jù)包過(guò)濾型防火墻、應(yīng)用級(jí)網(wǎng)關(guān)型防火墻、服務(wù)型防火墻等幾類(lèi)。防火墻具有5種基本功能:

(1)抵擋外部攻擊;

(2)防止信息泄露;

(3)控制管理網(wǎng)絡(luò)存取和訪問(wèn);

(4)VPN虛擬專(zhuān)用網(wǎng)功能;

(5)自身抗攻擊能力。

防火墻的安全策略有兩種情形:

(1)違背允許的訪問(wèn)服務(wù)都是被禁止的;

(2)未被禁止的訪問(wèn)服務(wù)都是被允許的。

多數(shù)防火墻是在兩者之間采取折中策略,在安全的情況之下提高訪問(wèn)效率。

3.2 加密技術(shù)

加密技術(shù)是對(duì)傳輸?shù)男畔⒁阅撤N方法進(jìn)行偽裝并隱藏其內(nèi)容,而達(dá)到不被第三方所獲取其真實(shí)內(nèi)容的一種方法。在電子商務(wù)過(guò)程中,采用加密技術(shù)將信息隱藏起來(lái),再將隱藏的信息傳輸出去,這樣即使信息在傳輸?shù)倪^(guò)程中被竊取,非法截獲者也無(wú)法了解信息內(nèi)容,進(jìn)而保證了信息在交換過(guò)程中安全性、真實(shí)性、能夠有效的為安全策略提供幫助。

3.3 數(shù)字簽名技術(shù)

是指在對(duì)文件進(jìn)行加密的基礎(chǔ)上,為了防止有人對(duì)傳輸過(guò)程中的文件進(jìn)行更改破壞以及確定發(fā)信人的身份所采取的手段。在電子商務(wù)安全中占有特別重要的地位,能夠解決貿(mào)易過(guò)程中的身份認(rèn)證、內(nèi)容完整性、不可抵賴(lài)等問(wèn)題。數(shù)字簽名過(guò)程:發(fā)送方首先將原文通過(guò)Hash算法生成摘要,并用發(fā)送者的私鑰進(jìn)行加密生成數(shù)字簽名發(fā)送給接受方,接收方用發(fā)送者的公鑰進(jìn)行解密,得到發(fā)送方的報(bào)文摘要,最后接收方將收到的原文用Hash算法生成其摘要,與發(fā)送方的摘要進(jìn)行比對(duì)。

3.4 數(shù)字證書(shū)技術(shù)

數(shù)字證書(shū)是網(wǎng)絡(luò)用戶(hù)身份信息的一系列數(shù)據(jù),由第三方公正機(jī)構(gòu)頒發(fā),以數(shù)字證書(shū)為依據(jù)的信息加密技術(shù)可以確保網(wǎng)上傳輸信息的的保密性、完整性和交易的真實(shí)性、不可否認(rèn)性,為電子商務(wù)的安全提供保障。標(biāo)準(zhǔn)的數(shù)字證書(shū)包含:版本號(hào),簽名算法,序列號(hào),頒發(fā)者姓名,有效日期,主體公鑰信息,頒發(fā)者唯一標(biāo)識(shí)符,主體唯一標(biāo)示符等內(nèi)容。一個(gè)合理的安全策略離不開(kāi)數(shù)字證書(shū)的支持。

3.5 安全協(xié)議技術(shù)

安全協(xié)議能夠?yàn)榻灰走^(guò)程中的信息傳輸提供強(qiáng)而有力的保障。目前通用的為電子商務(wù)安全策略提供的協(xié)議主要有電子商務(wù)支付安全協(xié)議、通信安全協(xié)議、郵件安全協(xié)議三類(lèi)。用于電子商務(wù)的主要安全協(xié)議包括:通訊安全的SSL協(xié)議(Secure Socket Layer),信用卡安全的SET協(xié)議(Secure Electronic Transaction),商業(yè)貿(mào)易安全的超文本傳輸協(xié)議(S-HTTP),InternetEDI電子數(shù)據(jù)交換協(xié)議以及電子郵件安全協(xié)議S/MIME和PEM等。

4 結(jié)論

在電子商務(wù)飛速發(fā)展的過(guò)程中,電子商務(wù)安全所占的比重越發(fā)重要。研究電子商務(wù)安全策略,意在于減少由電子商務(wù)安全威脅帶給人們電子商務(wù)交易上的疑慮,以推動(dòng)電子商務(wù)前進(jìn)的步伐。解除這種疑慮的方法,依賴(lài)著安全策略原則的制定和主要技術(shù)的不斷開(kāi)發(fā)與完善。

參考文獻(xiàn)

[1]田沛. 淺談電子商務(wù)安全發(fā)展戰(zhàn)略[J]. 知識(shí)經(jīng)濟(jì), 2010, (2).

[2]如先姑力阿布都熱西提. 計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)策的研究[J]. 科技信息(學(xué)術(shù)研究), 2008, (10).

[3]陳偉. 電子商務(wù)安全策略初探[J].才智, 2009,(11).

篇7

論文摘要:重點(diǎn)分析了VPN的實(shí)現(xiàn)技術(shù)。

隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性,對(duì)于企業(yè)和一些跨區(qū)域?qū)iT(mén)從事特定業(yè)務(wù)的部門(mén),從經(jīng)濟(jì)實(shí)用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來(lái),看VPN技術(shù)無(wú)疑是一種不錯(cuò)的選擇。下面就VPN技術(shù)的實(shí)現(xiàn)做一下粗淺的分析:

1 VPN簡(jiǎn)介

虛擬專(zhuān)用網(wǎng)(VirtuaIPrivateNetwork, VPN)是一種“基于公共數(shù)據(jù)網(wǎng),給用戶(hù)一種直接連接到私人局域網(wǎng)感覺(jué)的服務(wù)”。VPN極大地降低了用戶(hù)的費(fèi)用,而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。

VPN可分為三大類(lèi):(1)企業(yè)各部門(mén)與遠(yuǎn)程分支之間的In-tranet VPN;(2)企業(yè)網(wǎng)與遠(yuǎn)程(移動(dòng))雇員之間的遠(yuǎn)程訪問(wèn)(Re-mote Access)VPN;(3)企業(yè)與合作伙伴、客戶(hù)、供應(yīng)商之間的Extranet VPNo

在ExtranetVPN中,企業(yè)要與不同的客戶(hù)及供應(yīng)商建立聯(lián)系,VPN解決方案也會(huì)不同。因此,企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有IPSec、點(diǎn)到點(diǎn)隧道協(xié)議(PointtoPoint Tunneling Protocol,PPTP)、第二層隧道協(xié)議(layer2 Tunneling Protocol,I,2TP)等。

2 VPN的實(shí)現(xiàn)技術(shù)

VPN實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù),同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要。

2.1 VPN訪問(wèn)點(diǎn)模型

首先提供一個(gè)VPN訪問(wèn)點(diǎn)功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。

2.2隧道技術(shù)

隧道技術(shù)簡(jiǎn)單的說(shuō)就是:原始報(bào)文在A地進(jìn)行封裝,到達(dá)B地后把封裝去掉還原成原始報(bào)文,這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo

(1)GRE

GRE主要用于源路由和終路由之間所形成的隧道。例如,將通過(guò)隧道的報(bào)文用一個(gè)新的報(bào)文頭(GRE報(bào)文頭)進(jìn)行封裝然后帶著隧道終點(diǎn)地址放人隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí),GRE報(bào)文頭被剝掉,繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。GRE隧道通常是點(diǎn)到點(diǎn)的,即隧道只有一個(gè)源地址和一個(gè)終地址。然而也有一些實(shí)現(xiàn)允許一點(diǎn)到多點(diǎn),即一個(gè)源地址對(duì)多個(gè)終地址。這時(shí)候就要和下一條路由協(xié)議(Next-HopRoutingProtocol , NHRP)結(jié)合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來(lái)建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點(diǎn)來(lái)看,VPN就象是通過(guò)普通主機(jī)網(wǎng)絡(luò)的隧道集合。普通主機(jī)網(wǎng)絡(luò)的每個(gè)點(diǎn)都可利用其地址以及路由所形成的物理連接,配置成一個(gè)或多個(gè)隧道。在GRE隧道技術(shù)中人口地址用的是普通主機(jī)網(wǎng)絡(luò)的地址空間,而在隧道中流動(dòng)的原始報(bào)文用的是VPN的地址空間,這樣反過(guò)來(lái)就要求隧道的終點(diǎn)應(yīng)該配置成VPN與普通主機(jī)網(wǎng)絡(luò)之間的交界點(diǎn)。這種方法的好處是使VPN的路由信息從普通主機(jī)網(wǎng)絡(luò)的路由信息中隔離出來(lái),多個(gè)VPN可以重復(fù)利用同一個(gè)地址空間而沒(méi)有沖突,這使得VPN從主機(jī)網(wǎng)絡(luò)中獨(dú)立出來(lái)。從而滿(mǎn)足了VPN的關(guān)鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族,減少實(shí)現(xiàn)VPN功能函數(shù)的數(shù)量。還有,對(duì)許多VPN所支持的體系結(jié)構(gòu)來(lái)說(shuō),用同一種格式來(lái)支持多種協(xié)議同時(shí)又保留協(xié)議的功能,這是非常重要的。IP路由過(guò)濾的主機(jī)網(wǎng)絡(luò)不能提供這種服務(wù),而只有隧道技術(shù)才能把VPN私有協(xié)議從主機(jī)網(wǎng)絡(luò)中隔離開(kāi)來(lái)?;谒淼兰夹g(shù)的VPN實(shí)現(xiàn)的另一特點(diǎn)是對(duì)主機(jī)網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進(jìn)行隔離。對(duì)VPN而言主機(jī)網(wǎng)絡(luò)可看成點(diǎn)到點(diǎn)的電路集合,VPN能夠用其路由協(xié)議穿過(guò)符合VPN管理要求的虛擬網(wǎng)。同樣,主機(jī)網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計(jì)方案,而不必受VPN用戶(hù)網(wǎng)絡(luò)的路由協(xié)議限制。

雖然GRE隧道技術(shù)有很多優(yōu)點(diǎn),但用其技術(shù)作為VPN機(jī)制也有缺點(diǎn),例如管理費(fèi)用高、隧道的規(guī)模數(shù)量大等。因?yàn)镚RE是由手工配置的,所以配置和維護(hù)隧道所需的費(fèi)用和隧道的數(shù)量是直接相關(guān)的—每次隧道的終點(diǎn)改變,隧道要重新配置。隧道也可自動(dòng)配置,但有缺點(diǎn),如不能考慮相關(guān)路由信息、性能問(wèn)題以及容易形成回路問(wèn)題。一旦形成回路,會(huì)極大惡化路由的效率。除此之外,通信分類(lèi)機(jī)制是通過(guò)一個(gè)好的粒度級(jí)別來(lái)識(shí)別通信類(lèi)型。如果通信分類(lèi)過(guò)程是通過(guò)識(shí)別報(bào)文(進(jìn)人隧道前的)進(jìn)行的話(huà),就會(huì)影響路由發(fā)送速率的能力及服務(wù)性能。

GRE隧道技術(shù)是用在路由器中的,可以滿(mǎn)足ExtranetVPN以及IntranetVPN的需求。但是在遠(yuǎn)程訪問(wèn)VPN中,多數(shù)用戶(hù)是采用撥號(hào)上網(wǎng)。這時(shí)可以通過(guò)L2TP和PPTP來(lái)加以解決。

(2)L2TP和PPTP

L2TP是L2F( Layer2Forwarding)和PPT’I〕的結(jié)合。但是由于PC機(jī)的桌面操作系統(tǒng)包含著PPTP,因此PPT’I〕仍比較流行。隧道的建立有兩種方式即:“用戶(hù)初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主動(dòng)’,隧道,后者指“強(qiáng)制”隧道?!爸鲃?dòng)”隧道是用戶(hù)為某種特定目的的請(qǐng)求建立的,而“強(qiáng)制”隧道則是在沒(méi)有任何來(lái)自用戶(hù)的動(dòng)作以及選擇的情況下建立的。L2TP作為“強(qiáng)制”隧道模型是讓撥號(hào)用戶(hù)與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過(guò)程如下:

a.用戶(hù)通過(guò)Modem與NAS建立連接;b.用戶(hù)通過(guò)NAS的L2TP接入服務(wù)器身份認(rèn)證;;c.在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上,NAS和L2TP接入服務(wù)器動(dòng)態(tài)地建立一條L2TP隧道;d.用戶(hù)與L2TP接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議(PointtoPointProtocol, PPP)訪問(wèn)服務(wù)隧道;e.用戶(hù)通過(guò)該隧道獲得VPN服務(wù)。

與之相反的是,PPTP作為“主動(dòng)”隧道模型允許終端系統(tǒng)進(jìn)行配置,與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且,PPTP協(xié)商和隧道建立過(guò)程都沒(méi)有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過(guò)程如下:a.用戶(hù)通過(guò)串口以撥號(hào)IP訪問(wèn)的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù);b.用戶(hù)通過(guò)路由信息定位PPTP接入服務(wù)器;c.用戶(hù)形成一個(gè)PPTP虛擬接口;d.用戶(hù)通過(guò)該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建立一條PPP訪問(wèn)服務(wù)隧道;e.用戶(hù)通過(guò)該隧道獲得VPN服務(wù)。

在L2TP中,用戶(hù)感覺(jué)不到NAS的存在,仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中,PPTP隧道對(duì)NAS是透明的;NAS不需要知道PPTP接入服務(wù)器的存在,只是簡(jiǎn)單地把PPTP流量作為普通IP流量處理。

采用L2TP還是PPTP實(shí)現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶(hù)手中。硯TP比PPTP更安全,因?yàn)槌嶵P接入服務(wù)器能夠確定用戶(hù)從哪里來(lái)的。硯TP主要用于比較集中的、固定的VPN用戶(hù),而PPTP比較適合移動(dòng)的用戶(hù)。

2.3加密技術(shù)

數(shù)據(jù)加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息,使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4雖然強(qiáng)度比較弱,但是保護(hù)免于非專(zhuān)業(yè)人士的攻擊已經(jīng)足夠了;DES和三次DES強(qiáng)度比較高,可用于敏感的商業(yè)信息。

加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行;可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”:加密只在路由器中進(jìn)行,而終端與第一條路由之間不加密。這種方法不太安全,因?yàn)閿?shù)據(jù)從終端系統(tǒng)到第一條路由時(shí)可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中,VPN安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn);而“隧道模式”方案,VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中,目前還沒(méi)有統(tǒng)一的加密標(biāo)準(zhǔn),因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的,需要特別的加密硬件。

2.4 QoS技術(shù)

篇8

關(guān)鍵詞:數(shù)字簽名;加密技術(shù);數(shù)字證書(shū);電子文檔;安全問(wèn)題

Abstract:Today’sapprovalofnewdrugsintheinternationalcommunityneedstocarryouttherawdatatransmission.Thetraditionalwayofexaminationandapprovalredtapeandinefficiency,andtheuseoftheInternettotransmitelectronictextcankeepdatasafeandreliable,butalsogreatlysavemanpower,materialandfinancialresources,andsoon.Inthispaper,encryptionanddigitalsignaturealgorithmofthebasicprinciples,combinedwithhisownideas,givenmedicalapprovalintheelectronictransmissionofthetextofthesecuritysolution.

Keywords:digitalsignature;encryptiontechnology;digitalcertificate;electronicdocuments;securityissues

1引言

隨著我國(guó)醫(yī)藥事業(yè)的發(fā)展,研制新藥,搶占國(guó)內(nèi)市場(chǎng)已越演越烈。以前一些醫(yī)藥都是靠進(jìn)口,不僅成本高,而且容易形成壁壘。目前,我國(guó)的醫(yī)藥研究人員經(jīng)過(guò)不懈的努力,開(kāi)始研制出同類(lèi)同效的藥物,然而這些藥物在走向市場(chǎng)前,必須經(jīng)過(guò)國(guó)際權(quán)威醫(yī)療機(jī)構(gòu)的審批,傳統(tǒng)方式是藥物分析的原始數(shù)據(jù)都是采用紙張方式,不僅數(shù)量多的嚇人,而且一旦有一點(diǎn)差錯(cuò)就需從頭做起,浪費(fèi)大量的人力、物力、財(cái)力。隨著INTERNET的發(fā)展和普及,人們開(kāi)始考慮是否能用互聯(lián)網(wǎng)來(lái)解決數(shù)據(jù)傳輸問(wèn)題。他們希望自己的儀器所做的結(jié)果能通過(guò)網(wǎng)絡(luò)安全傳輸、并得到接收方認(rèn)證。目前國(guó)外針對(duì)這一情況已⒘四承┤砑?,葰g?,由釉傐格昂贵,茧H醪皇嗆艸墑歟勾τ諮櫓そ錐?,随时粠V兜腦潁諍萇偈褂謾U餼透諞揭┭蟹⑹亂敵緯閃思際跗烤保綰慰⒊鍪視櫚南嚶θ砑?,绖?chuàng)俳夜揭┥笈ぷ韉姆⒄咕統(tǒng)閃斯詰那把亓煊潁胰漲骯謖夥矯嫻難芯坎皇嗆芏唷?lt;/DIV>

本文闡述的思想:基本上是參考國(guó)際國(guó)內(nèi)現(xiàn)有的算法和體制及一些相關(guān)的應(yīng)用實(shí)例,并結(jié)合個(gè)人的思想提出了一套基于公鑰密碼體制和對(duì)稱(chēng)加密技術(shù)的解決方案,以確保醫(yī)藥審批中電子文本安全傳輸和防止竄改,不可否認(rèn)等。

2算法設(shè)計(jì)

2.1AES算法的介紹[1]

高級(jí)加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard)美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)委員會(huì)(NIST)在2000年10月選定了比利時(shí)的研究成果"Rijndael"作為AES的基礎(chǔ)。"Rijndael"是經(jīng)過(guò)三年漫長(zhǎng)的過(guò)程,最終從進(jìn)入候選的五種方案中挑選出來(lái)的。

AES內(nèi)部有更簡(jiǎn)潔精確的數(shù)學(xué)算法,而加密數(shù)據(jù)只需一次通過(guò)。AES被設(shè)計(jì)成高速,堅(jiān)固的安全性能,而且能夠支持各種小型設(shè)備。

AES和DES的性能比較:

(1)DES算法的56位密鑰長(zhǎng)度太短;

(2)S盒中可能有不安全的因素;

(3)AES算法設(shè)計(jì)簡(jiǎn)單,密鑰安裝快、需要的內(nèi)存空間少,在所有平臺(tái)上運(yùn)行良好,支持并行處理,還可抵抗所有已知攻擊;

(4)AES很可能取代DES成為新的國(guó)際加密標(biāo)準(zhǔn)。

總之,AES比DES支持更長(zhǎng)的密鑰,比DES具有更強(qiáng)的安全性和更高的效率,比較一下,AES的128bit密鑰比DES的56bit密鑰強(qiáng)1021倍。隨著信息安全技術(shù)的發(fā)展,已經(jīng)發(fā)現(xiàn)DES很多不足之處,對(duì)DES的破解方法也日趨有效。AES會(huì)代替DES成為21世紀(jì)流行的對(duì)稱(chēng)加密算法。

2.2橢圓曲線(xiàn)算法簡(jiǎn)介[2]

2.2.1橢圓曲線(xiàn)定義及加密原理[2]

所謂橢圓曲線(xiàn)指的是由韋爾斯特拉斯(Weierstrass)方程y2+a1xy+a3y=x3+a2x2+a4x+a6(1)所確定的平面曲線(xiàn)。若F是一個(gè)域,ai∈F,i=1,2,…,6。滿(mǎn)足式1的數(shù)偶(x,y)稱(chēng)為F域上的橢圓曲線(xiàn)E的點(diǎn)。F域可以式有理數(shù)域,還可以式有限域GF(Pr)。橢圓曲線(xiàn)通常用E表示。除了曲線(xiàn)E的所有點(diǎn)外,尚需加上一個(gè)叫做無(wú)窮遠(yuǎn)點(diǎn)的特殊O。

在橢圓曲線(xiàn)加密(ECC)中,利用了某種特殊形式的橢圓曲線(xiàn),即定義在有限域上的橢圓曲線(xiàn)。其方程如下:

y2=x3+ax+b(modp)(2)

這里p是素?cái)?shù),a和b為兩個(gè)小于p的非負(fù)整數(shù),它們滿(mǎn)足:

4a3+27b2(modp)≠0其中,x,y,a,b∈Fp,則滿(mǎn)足式(2)的點(diǎn)(x,y)和一個(gè)無(wú)窮點(diǎn)O就組成了橢圓曲線(xiàn)E。

橢圓曲線(xiàn)離散對(duì)數(shù)問(wèn)題ECDLP定義如下:給定素?cái)?shù)p和橢圓曲線(xiàn)E,對(duì)Q=kP,在已知P,Q的情況下求出小于p的正整數(shù)k??梢宰C明,已知k和P計(jì)算Q比較容易,而由Q和P計(jì)算k則比較困難,至今沒(méi)有有效的方法來(lái)解決這個(gè)問(wèn)題,這就是橢圓曲線(xiàn)加密算法原理之所在。

2.2.2橢圓曲線(xiàn)算法與RSA算法的比較

橢圓曲線(xiàn)公鑰系統(tǒng)是代替RSA的強(qiáng)有力的競(jìng)爭(zhēng)者。橢圓曲線(xiàn)加密方法與RSA方法相比,有以下的優(yōu)點(diǎn):

(1)安全性能更高如160位ECC與1024位RSA、DSA有相同的安全強(qiáng)度。

(2)計(jì)算量小,處理速度快在私鑰的處理速度上(解密和簽名),ECC遠(yuǎn)比RSA、DSA快得多。

(3)存儲(chǔ)空間占用小ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多,所以占用的存儲(chǔ)空間小得多。

(4)帶寬要求低使得ECC具有廣泛得應(yīng)用前景。

ECC的這些特點(diǎn)使它必將取代RSA,成為通用的公鑰加密算法。比如SET協(xié)議的制定者已把它作為下一代SET協(xié)議中缺省的公鑰密碼算法。

2.3安全散列函數(shù)(SHA)介紹

安全散列算法SHA(SecureHashAlgorithm,SHA)[1]是美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)局的國(guó)家標(biāo)準(zhǔn)FIPSPUB180-1,一般稱(chēng)為SHA-1。其對(duì)長(zhǎng)度不超過(guò)264二進(jìn)制位的消息產(chǎn)生160位的消息摘要輸出。

SHA是一種數(shù)據(jù)加密算法,該算法經(jīng)過(guò)加密專(zhuān)家多年來(lái)的發(fā)展和改進(jìn)已日益完善,現(xiàn)在已成為公認(rèn)的最安全的散列算法之一,并被廣泛使用。該算法的思想是接收一段明文,然后以一種不可逆的方式將它轉(zhuǎn)換成一段(通常更?。┟芪模部梢院?jiǎn)單的理解為取一串輸入碼(稱(chēng)為預(yù)映射或信息),并把它們轉(zhuǎn)化為長(zhǎng)度較短、位數(shù)固定的輸出序列即散列值(也稱(chēng)為信息摘要或信息認(rèn)證代碼)的過(guò)程。散列函數(shù)值可以說(shuō)時(shí)對(duì)明文的一種“指紋”或是“摘要”所以對(duì)散列值的數(shù)字簽名就可以視為對(duì)此明文的數(shù)字簽名。

3數(shù)字簽名

“數(shù)字簽名”用來(lái)保證信息傳輸過(guò)程中信息的完整和提供信息發(fā)送者的身份認(rèn)證和不可抵賴(lài)性。數(shù)字簽名技術(shù)的實(shí)現(xiàn)基礎(chǔ)是公開(kāi)密鑰加密技術(shù),是用某人的私鑰加密的消息摘要用于確認(rèn)消息的來(lái)源和內(nèi)容。公鑰算法的執(zhí)行速度一般比較慢,把Hash函數(shù)和公鑰算法結(jié)合起來(lái),所以在數(shù)字簽名時(shí),首先用hash函數(shù)(消息摘要函數(shù))將消息轉(zhuǎn)變?yōu)橄⒄?,然后?duì)這個(gè)摘

要簽名。目前比較流行的消息摘要算法是MD4,MD5算法,但是隨著計(jì)算能力和散列密碼分析的發(fā)展,這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。

4解決方案:

下面是醫(yī)藥審批系統(tǒng)中各個(gè)物理組成部分及其相互之間的邏輯關(guān)系圖:

要簽名。目前比較流行的消息摘要算法是MD4,MD5算法,但是隨著計(jì)算能力和散列密碼分析的發(fā)展,這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。

4解決方案:

下面是醫(yī)藥審批系統(tǒng)中各個(gè)物理組成部分及其相互之間的邏輯關(guān)系圖:

圖示:電子文本傳輸加密、簽名過(guò)程

下面是將醫(yī)藥審批過(guò)程中的電子文本安全傳輸?shù)慕鉀Q方案:

具體過(guò)程如下:

(1)發(fā)送方A將發(fā)送原文用SHA函數(shù)編碼,產(chǎn)生一段固定長(zhǎng)度的數(shù)字摘要。

(2)發(fā)送方A用自己的私鑰(keyA私)對(duì)摘要加密,形成數(shù)字簽名,附在發(fā)送信息原文后面。

(3)發(fā)送方A產(chǎn)生通信密鑰(AES對(duì)稱(chēng)密鑰),用它對(duì)帶有數(shù)字簽名的原文進(jìn)行加密,傳送到接收方B。這里使用對(duì)稱(chēng)加密算法AES的優(yōu)勢(shì)是它的加解密的速度快。

(4)發(fā)送方A用接收方B的公鑰(keyB公)對(duì)自己的通信密鑰進(jìn)行加密后,傳到接收方B。這一步利用了數(shù)字信封的作用,。

(5)接收方B收到加密后的通信密鑰,用自己的私鑰對(duì)其解密,得到發(fā)送方A的通信密鑰。

(6)接收方B用發(fā)送方A的通信密鑰對(duì)收到的經(jīng)加密的簽名原文解密,得數(shù)字簽名和原文。

(7)接收方B用發(fā)送方A公鑰對(duì)數(shù)字簽名解密,得到摘要;同時(shí)將原文用SHA-1函數(shù)編碼,產(chǎn)生另一個(gè)摘要。

(8)接收方B將兩摘要比較,若一致說(shuō)明信息沒(méi)有被破壞或篡改。否則丟棄該文檔。

這個(gè)過(guò)程滿(mǎn)足5個(gè)方面的安全性要求:(1)原文的完整性和簽名的快速性:利用單向散列函數(shù)SHA-1先將原文換算成摘要,相當(dāng)原文的指紋特征,任何對(duì)原文的修改都可以被接收方B檢測(cè)出來(lái),從而滿(mǎn)足了完整性的要求;再用發(fā)送方公鑰算法(ECC)的私鑰加密摘要形成簽名,這樣就克服了公鑰算法直接加密原文速度慢的缺點(diǎn)。(2)加解密的快速性:用對(duì)稱(chēng)加密算法AES加密原文和數(shù)字簽名,充分利用了它的這一優(yōu)點(diǎn)。(3)更高的安全性:第四步中利用數(shù)字信封的原理,用接收方B的公鑰加密發(fā)送方A的對(duì)稱(chēng)密鑰,這樣就解決了對(duì)稱(chēng)密鑰傳輸困難的不足。這種技術(shù)的安全性相當(dāng)高。結(jié)合對(duì)稱(chēng)加密技術(shù)(AES)和公開(kāi)密鑰技術(shù)(ECC)的優(yōu)點(diǎn),使用兩個(gè)層次的加密來(lái)獲得公開(kāi)密鑰技術(shù)的靈活性和對(duì)稱(chēng)密鑰技術(shù)的高效性。(4)保密性:第五步中,發(fā)送方A的對(duì)稱(chēng)密鑰是用接收方B的公鑰加密并傳給自己的,由于沒(méi)有別人知道B的私鑰,所以只有B能夠?qū)@份加密文件解密,從而又滿(mǎn)足保密性要求。(5)認(rèn)證性和抗否認(rèn)性:在最后三步中,接收方B用發(fā)送方A的公鑰解密數(shù)字簽名,同時(shí)就認(rèn)證了該簽名的文檔是發(fā)送A傳遞過(guò)來(lái)的;由于沒(méi)有別人擁有發(fā)送方A的私鑰,只有發(fā)送方A能夠生成可以用自己的公鑰解密的簽名,所以發(fā)送方A不能否認(rèn)曾經(jīng)對(duì)該文檔進(jìn)進(jìn)行過(guò)簽名。

5方案評(píng)價(jià)與結(jié)論

為了解決傳統(tǒng)的新藥審批中的繁瑣程序及其必有的缺點(diǎn),本文提出利用基于公鑰算法的數(shù)字簽名對(duì)文檔進(jìn)行電子簽名,從而大大增強(qiáng)了文檔在不安全網(wǎng)絡(luò)環(huán)境下傳遞的安全性。

本方案在選擇加密和數(shù)字簽名算法上都是經(jīng)過(guò)精心的比較,并且結(jié)合現(xiàn)有的相關(guān)應(yīng)用實(shí)例情況,提出醫(yī)藥審批過(guò)程的解決方案,其優(yōu)越性是:將對(duì)稱(chēng)密鑰AES算法的快速、低成本和非對(duì)稱(chēng)密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結(jié)合在一起,從而提供了完整的安全服務(wù),包括身份認(rèn)證、保密性、完整性檢查、抗否認(rèn)等。

參考文獻(xiàn):

1.李永新.數(shù)字簽名技術(shù)的研究與探討。紹興文理學(xué)院學(xué)報(bào)。第23卷第7期2003年3月,P47~49.

2.康麗軍。數(shù)字簽名技術(shù)及應(yīng)用,太原重型機(jī)械學(xué)院學(xué)報(bào)。第24卷第1期2003年3月P31~34.

3.胡炎,董名垂。用數(shù)字簽名解決電力系統(tǒng)敏感文檔簽名問(wèn)題。電力系統(tǒng)自動(dòng)化。第26卷第1期2002年1月P58~61。

4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.

5.WrightMA,workSecurity,1998(2)P10~13.

6.BruceSchneier.應(yīng)用密碼學(xué)---協(xié)議、算法與C源程序(吳世終,祝世雄,張文政,等).北京:機(jī)械工業(yè)出版社,2001。

7.賈晶,陳元,王麗娜,信息系統(tǒng)的安全與保密[M],北京:清華大學(xué)出版社,1999

8.陳彥學(xué).信息安全理論與實(shí)務(wù)【M】。北京:中國(guó)鐵道出版社,2000p167~178.

9.顧婷婷,《AES和橢圓曲線(xiàn)密碼算法的研究》。四川大學(xué)碩士學(xué)位論文,【館藏號(hào)】Y4625892002。

下面是將醫(yī)藥審批過(guò)程中的電子文本安全傳輸?shù)慕鉀Q方案:

具體過(guò)程如下:

(1)發(fā)送方A將發(fā)送原文用SHA函數(shù)編碼,產(chǎn)生一段固定長(zhǎng)度的數(shù)字摘要。

(2)發(fā)送方A用自己的私鑰(keyA私)對(duì)摘要加密,形成數(shù)字簽名,附在發(fā)送信息原文后面。

(3)發(fā)送方A產(chǎn)生通信密鑰(AES對(duì)稱(chēng)密鑰),用它對(duì)帶有數(shù)字簽名的原文進(jìn)行加密,傳送到接收方B。這里使用對(duì)稱(chēng)加密算法AES的優(yōu)勢(shì)是它的加解密的速度快。

(4)發(fā)送方A用接收方B的公鑰(keyB公)對(duì)自己的通信密鑰進(jìn)行加密后,傳到接收方B。這一步利用了數(shù)字信封的作用,。

(5)接收方B收到加密后的通信密鑰,用自己的私鑰對(duì)其解密,得到發(fā)送方A的通信密鑰。

(6)接收方B用發(fā)送方A的通信密鑰對(duì)收到的經(jīng)加密的簽名原文解密,得數(shù)字簽名和原文。

(7)接收方B用發(fā)送方A公鑰對(duì)數(shù)字簽名解密,得到摘要;同時(shí)將原文用SHA-1函數(shù)編碼,產(chǎn)生另一個(gè)摘要。

(8)接收方B將兩摘要比較,若一致說(shuō)明信息沒(méi)有被破壞或篡改。否則丟棄該文檔。

這個(gè)過(guò)程滿(mǎn)足5個(gè)方面的安全性要求:(1)原文的完整性和簽名的快速性:利用單向散列函數(shù)SHA-1先將原文換算成摘要,相當(dāng)原文的指紋特征,任何對(duì)原文的修改都可以被接收方B檢測(cè)出來(lái),從而滿(mǎn)足了完整性的要求;再用發(fā)送方公鑰算法(ECC)的私鑰加密摘要形成簽名,這樣就克服了公鑰算法直接加密原文速度慢的缺點(diǎn)。(2)加解密的快速性:用對(duì)稱(chēng)加密算法AES加密原文和數(shù)字簽名,充分利用了它的這一優(yōu)點(diǎn)。(3)更高的安全性:第四步中利用數(shù)字信封的原理,用接收方B的公鑰加密發(fā)送方A的對(duì)稱(chēng)密鑰,這樣就解決了對(duì)稱(chēng)密鑰傳輸困難的不足。這種技術(shù)的安全性相當(dāng)高。結(jié)合對(duì)稱(chēng)加密技術(shù)(AES)和公開(kāi)密鑰技術(shù)(ECC)的優(yōu)點(diǎn),使用兩個(gè)層次的加密來(lái)獲得公開(kāi)密鑰技術(shù)的靈活性和對(duì)稱(chēng)密鑰技術(shù)的高效性。(4)保密性:第五步中,發(fā)送方A的對(duì)稱(chēng)密鑰是用接收方B的公鑰加密并傳給自己的,由于沒(méi)有別人知道B的私鑰,所以只有B能夠?qū)@份加密文件解密,從而又滿(mǎn)足保密性要求。(5)認(rèn)證性和抗否認(rèn)性:在最后三步中,接收方B用發(fā)送方A的公鑰解密數(shù)字簽名,同時(shí)就認(rèn)證了該簽名的文檔是發(fā)送A傳遞過(guò)來(lái)的;由于沒(méi)有別人擁有發(fā)送方A的私鑰,只有發(fā)送方A能夠生成可以用自己的公鑰解密的簽名,所以發(fā)送方A不能否認(rèn)曾經(jīng)對(duì)該文檔進(jìn)進(jìn)行過(guò)簽名。

5方案評(píng)價(jià)與結(jié)論

為了解決傳統(tǒng)的新藥審批中的繁瑣程序及其必有的缺點(diǎn),本文提出利用基于公鑰算法的數(shù)字簽名對(duì)文檔進(jìn)行電子簽名,從而大大增強(qiáng)了文檔在不安全網(wǎng)絡(luò)環(huán)境下傳遞的安全性。

本方案在選擇加密和數(shù)字簽名算法上都是經(jīng)過(guò)精心的比較,并且結(jié)合現(xiàn)有的相關(guān)應(yīng)用實(shí)例情況,提出醫(yī)藥審批過(guò)程的解決方案,其優(yōu)越性是:將對(duì)稱(chēng)密鑰AES算法的快速、低成本和非對(duì)稱(chēng)密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結(jié)合在一起,從而提供了完整的安全服務(wù),包括身份認(rèn)證、保密性、完整性檢查、抗否認(rèn)等。

參考文獻(xiàn):

1.李永新.數(shù)字簽名技術(shù)的研究與探討。紹興文理學(xué)院學(xué)報(bào)。第23卷第7期2003年3月,P47~49.

2.康麗軍。數(shù)字簽名技術(shù)及應(yīng)用,太原重型機(jī)械學(xué)院學(xué)報(bào)。第24卷第1期2003年3月P31~34.

3.胡炎,董名垂。用數(shù)字簽名解決電力系統(tǒng)敏感文檔簽名問(wèn)題。電力系統(tǒng)自動(dòng)化。第26卷第1期2002年1月P58~61。

4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.

5.WrightMA,workSecurity,1998(2)P10~13.

6.BruceSchneier.應(yīng)用密碼學(xué)---協(xié)議、算法與C源程序(吳世終,祝世雄,張文政,等).北京:機(jī)械工業(yè)出版社,2001。

7.賈晶,陳元,王麗娜,信息系統(tǒng)的安全與保密[M],北京:清華大學(xué)出版社,1999

篇9

關(guān)鍵詞:信息安全;密碼學(xué);混沌加密;數(shù)字圖像;多混沌系統(tǒng)

中圖分類(lèi)號(hào):TP311文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10238-02

Research on Digital Image Encryption Algorithm Based on Multi-Chaos

LU Jing1,2, JIANG Li3

(1.School of Computer Science and Technology, Nanjing University of Science and Technology, Nanjing 210094, China; 2.Lianyungang Teacher's College, Lianyungang 222006, China; 3.The Department of Computer Science and Information Engineering, Shanghai Institute of Technology, Shanghai 200235, China)

Abstract: Based on the cryptology theory, we carry out an in-depth research on the chaotic encryption technology. a digital image encryption algorithm based on multistage chaotic is proposed. According to the characters of digital image, different chaotic models are used to generate diffusion and confusion matrixes. And then, digital image is encrypted with these matrixes.

Key words: information security; cryptology; chaotic encryption; digital image; multi-chaos

隨著計(jì)算機(jī)硬件的發(fā)展,計(jì)算機(jī)的運(yùn)算速度不斷提高,對(duì)很多加密算法的抗破譯能力提出了挑戰(zhàn)。經(jīng)研究證明原有的一些加密方法在現(xiàn)有技術(shù)條件下己經(jīng)不具備足夠的安全性[1],因此繼續(xù)研究加密技術(shù)和設(shè)計(jì)新型有效的加密算法已經(jīng)成為迫切的需要。一些新興的密碼技術(shù)如量子密碼技術(shù)、混沌密碼技術(shù)、基于生物特征的識(shí)別理論與技術(shù)相繼出現(xiàn)[2],這其中混沌現(xiàn)象以其獨(dú)特的動(dòng)力學(xué)特征在現(xiàn)代密碼技術(shù)被廣泛應(yīng)用。

1 混沌圖像加密算法設(shè)計(jì)

目前常用的一維混沌系統(tǒng)有Logistic系統(tǒng)、Rossler系統(tǒng).、Tent系統(tǒng)、 lorenz系統(tǒng)等。在對(duì)一維混沌加密系統(tǒng)進(jìn)行簡(jiǎn)單的變換加密后,會(huì)轉(zhuǎn)化為一種平凡混沌加密系統(tǒng),難以保障其安全性 [3-5]。

針對(duì)這種情況,本文提出一種基于多混沌的數(shù)字圖像加密算法,其基本思想是利用三個(gè)不同的混沌模型,在加密算法中實(shí)現(xiàn)不同的功能。第一個(gè)混沌模型經(jīng)過(guò)多次迭代,產(chǎn)生置換矩陣,對(duì)原始圖像作置亂變換;第二個(gè)模型則決定各像素被修改的次序;第三個(gè)混沌模型迭代產(chǎn)生密鑰流,依照第二個(gè)模型決定的修改次序,對(duì)置換后圖像中各像素的值進(jìn)行修改。

1.1 算法中用到的混沌模型

首先介紹算法中使用的三個(gè)混沌映射模型[6]。

1) 第一個(gè)混沌映射模型

該模型選用了混合光學(xué)雙穩(wěn)模型,其迭代方程為:

Xn+1=ASin2(Xn-B)(1)

當(dāng)A=6,B=3時(shí),已知該模型處于混沌狀態(tài)。本論文的加密算法中,該模型用來(lái)產(chǎn)生置換矩陣,以便對(duì)輸入的明文進(jìn)行初始置換。

2) 第二個(gè)混沌映射模型

該模型選用了分段線(xiàn)性混沌映射:

(2)

當(dāng)0

3) 第三個(gè)混沌映射模型

該混沌映射模型采用了目前應(yīng)用最為廣泛的Logistic映射:

Xn+1=μXn(1-Xn)(3)

該映射在3.5699456

1.2 圖像像素位置置亂算法

考慮一幅大小為M×N ,具有S 級(jí)灰度的圖像,設(shè)(i,j) 為像素P 所處的坐標(biāo),(i',j') 為經(jīng)過(guò)置亂后,像素P 所處的坐標(biāo)。其中1≤i≤M ,1≤j≤N ;1≤i'≤M ,1≤j'≤N 。圖像像素位置置亂算法即要求設(shè)計(jì)映射f ,使得:

映射f 同時(shí)應(yīng)該滿(mǎn)足以下條件:?坌(i1,j1),(i2,j2) ,若(i1,j1)≠(i2,j2) ,則(i1',j1')≠(i2',j2') 。其中(i1,j1)=(i2,j2)表示i1=i2 并且j1=j2。這個(gè)條件表明,圖像像素置亂算法應(yīng)該是一一映射的。本文利用混沌模型1,迭代產(chǎn)生圖像置亂算法。

1.3 圖像像素值替代算法

對(duì)一幅大小為M×N,具有S 級(jí)灰度的圖像,設(shè)rij 為經(jīng)過(guò)置亂后坐標(biāo)(i,j) 處的像素值,其中1≤i≤M ,1≤j≤N 。r'ij 為執(zhí)行完替代操作后,坐標(biāo)(i,j) 處的圖像像素值。圖像像素值替代算法即要求設(shè)計(jì)映射T ,使得:

本文利用混沌模型2和3,迭代產(chǎn)生圖像像素值替代算法。替代算法分為兩步,首先利用混沌模型2產(chǎn)生圖像像素的替代次序矩陣;然后利用混沌模型3生產(chǎn)密鑰流,按照替代次序矩陣對(duì)圖像的每一個(gè)像素加密。

2 多級(jí)混沌圖形加密算法的實(shí)現(xiàn)

2.1 加密算法的密鑰設(shè)計(jì)

本文提出的加密算法綜合使用了上述3種混沌模型,每一種混沌模型的初始值和參數(shù)(共7個(gè))都可以作為密鑰。但是為了保證算法中采用的映射模型處于混沌狀態(tài),定義混合光學(xué)雙穩(wěn)模型中的參數(shù)A=6,B=3,定義Logistic映射中的參數(shù)μ=4,剩余的4個(gè)值作為算法的初始密鑰,由用戶(hù)輸入。所以初始密鑰K是一個(gè)4元組,包含4個(gè)子密鑰:

K=(X,P,Y,Z)。

其中:

X:模型(4-1)的初值,要求0

P:模型(4-2)的參數(shù),要求0

Y:模型(4-2)的初值,要求0

Z:模型(4-3)的初值,要求0

2.2 加密算法的實(shí)現(xiàn)步驟

多級(jí)混沌加密算法的實(shí)現(xiàn)步驟描述如下:

1) 輸入密鑰K(X,P,Y,Z)。

2) 打開(kāi)待加密的圖形。

3) 根據(jù)像像素位置置亂算法f ,對(duì)圖像進(jìn)行置亂處理。

4) 根據(jù)圖像像素值替代算法T ,對(duì)圖像像素值進(jìn)行替換操作。

5) 輸出加密后的圖形。

2.3 加密算法的原理圖

總體上講,上述加密算法由三個(gè)操作完成,分別是:擴(kuò)展、置換和異或。其中擴(kuò)展是將16位初始明文擴(kuò)展為32位信息。置換是將擴(kuò)展后的32位信息根據(jù)置換矩陣P進(jìn)行置換,以達(dá)到“混亂”的目的;其中用到的置換矩陣由混沌模型(1)生成。異或是將置換后的結(jié)果與密鑰流Keyi(i=1,2,3,……)進(jìn)行異或操作,生成最終的密文;其中密鑰流是通過(guò)混沌模型(2)和(3)的聯(lián)合作用產(chǎn)生的。

初始密鑰K包含4個(gè)子密鑰X,P,Y,Z,分別對(duì)應(yīng)3個(gè)混沌模型的初始值與參數(shù),加密時(shí)由用戶(hù)輸入。

算法的原理如圖1所示。

2.4 算法的實(shí)現(xiàn)細(xì)節(jié)討論

該多級(jí)混沌加密算法用C++語(yǔ)言設(shè)計(jì),對(duì)算法的具體實(shí)現(xiàn)作如下討論:

2.4.1 算法中,對(duì)3個(gè)混沌模型的迭代分別得到不同的混沌序列

為了獲得更好的偽隨機(jī)性,可以舍棄初始若干次迭代所得的值,而選取第k次以后的迭代值。在本算法具體實(shí)現(xiàn)時(shí),取k的值為20,即舍棄初始20次迭代的值,選取從第21次開(kāi)始的迭代結(jié)果保存并使用。

2.4.2 圖像像素值替代算法T 中第5步,對(duì)密鑰和置亂后的圖形像素值進(jìn)行了異或操作

對(duì)于具有S 級(jí)灰度的圖像,置亂后的圖形像素值是S 位的二進(jìn)制代碼。為了使混沌系統(tǒng)產(chǎn)生的實(shí)數(shù)密鑰能夠和S 位像素值進(jìn)行異或操作,以二進(jìn)制代碼的形式讀取密鑰矩陣,并取其低S 位進(jìn)行異或操作。實(shí)驗(yàn)中,S 取值為8或者16。

2.5 解密過(guò)程

在解密過(guò)程中,密鑰X,P,Y,Z與加密時(shí)的密鑰完全一致。密鑰X仍然用于生成置換矩陣,密鑰P,Y,Z分別是另外2個(gè)混沌模型的初始值和參數(shù),經(jīng)過(guò)混沌迭代后,產(chǎn)生替換次序矩陣和密鑰矩陣,用于解密。密文圖形經(jīng)過(guò)與密鑰矩陣的異或,再進(jìn)行反向置換操作,可以正確地恢復(fù)成明文圖形。

3 結(jié)論

本文提出一種基于多混沌的數(shù)字圖像加密算法,利用三個(gè)不同的混沌模型對(duì)數(shù)字圖像進(jìn)行多次置換、置亂,實(shí)現(xiàn)對(duì)數(shù)字圖像的加密。該加密算法具有實(shí)現(xiàn)簡(jiǎn)單、加密速度快、安全性較高的特點(diǎn)。同時(shí)本算法是對(duì)稱(chēng)加密算法,解密時(shí)根據(jù)初始密鑰進(jìn)行加密過(guò)程的逆操作,就能夠?qū)崿F(xiàn)正確的解密,恢復(fù)原始信息。

參考文獻(xiàn):

[1] 楊波.現(xiàn)代密碼學(xué)[M].北京:清華大學(xué)出版社,2003.

[2] 龍冬陽(yáng).應(yīng)用編碼與計(jì)算機(jī)密碼學(xué)[M].北京:清華大學(xué)出版社,2005.

[3] 高俊山.徐松源.基于混沌理論的加密過(guò)程的研究[J].自動(dòng)化技術(shù)與應(yīng)用,2001,(6):13-16.

[4] Yang T, Yang L B, Yang C M. Breaking chaotic switching using generalized synchronization Examples[J]. IEEE Trans. Circuits Syst.I,1998,45(10):1062.

[5] Yang T,Yang L B,Yang C M. Application of neural networks to unmasking chaotic secure communication[J].Phys D,1998,124:248.

[6] 姜麗.多級(jí)混沌加密算法的研究與應(yīng)用[D].華東理工大學(xué)碩士學(xué)位論文,2003.

篇10

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用,利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實(shí)現(xiàn)商務(wù)活動(dòng)的國(guó)際化、信息化和無(wú)紙化,已成為各國(guó)商務(wù)發(fā)展的一大趨勢(shì)。電子商務(wù)正是為了適應(yīng)這種以全球?yàn)槭袌?chǎng)的的變化而出現(xiàn)的和發(fā)展起來(lái)的,它是當(dāng)今社會(huì)發(fā)展最快的領(lǐng)域之一,同時(shí)也為全球的經(jīng)濟(jì)發(fā)展帶來(lái)新的增長(zhǎng)點(diǎn)。電子商務(wù)正在改變著人們的生活以及整個(gè)社會(huì)的發(fā)展進(jìn)程,貿(mào)易網(wǎng)絡(luò)將引起人們對(duì)管理模式、工作和生活方式,乃至經(jīng)營(yíng)管理思維方式等等的綜合革新。對(duì)貿(mào)易和商業(yè)領(lǐng)域來(lái)說(shuō),電子商務(wù)的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式,縮減交易程序,提高辦事效率?,F(xiàn)在,許多網(wǎng)站都提供有“商城”,供網(wǎng)民在網(wǎng)上購(gòu)物??梢哉f(shuō),電子商務(wù)應(yīng)用將越來(lái)越普及。然而,隨著Internet逐漸發(fā)展成為電子商務(wù)的最佳載體,互聯(lián)網(wǎng)具有充分開(kāi)放,不設(shè)防護(hù)的特點(diǎn)使加強(qiáng)電子商務(wù)的安全問(wèn)題日益緊迫,只有在全球范圍建立一套人們能充分信任的安全保障制度,確保信息的真實(shí)性、可靠性和保密性,才能夠打消人們的顧慮,放心的參與電子商務(wù)。否則,電子商務(wù)的發(fā)展將失去其支撐點(diǎn)。

要加強(qiáng)電子商務(wù)的安全,需要企業(yè)本身采取更為嚴(yán)格的管理措施,需要國(guó)家建立健全法律制度,更需要有科學(xué)的先進(jìn)的安全技術(shù)。

在電子商務(wù)的交易中,經(jīng)濟(jì)信息、資金都要通過(guò)網(wǎng)絡(luò)傳輸,交易雙方的身份也需要認(rèn)證,因此,電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺(tái)的安全和交易信息的安全。而網(wǎng)絡(luò)平臺(tái)的安全是指網(wǎng)絡(luò)操作系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊、病毒,使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護(hù)交易雙方的不被破壞、不泄密,和交易雙方身份的確認(rèn)??梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書(shū)、ssl、set安全協(xié)議等技術(shù)來(lái)保護(hù)。

在這里我想重點(diǎn)談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。

一、防火墻技術(shù)。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實(shí)際上,防火墻是加強(qiáng)Intranet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;(3)封堵某些禁止行為;(4)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);(5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

新一代的防火墻產(chǎn)品一般運(yùn)用了以下技術(shù):

(1)透明的訪問(wèn)方式。

以前的防火墻在訪問(wèn)方式上要么要求用戶(hù)做系統(tǒng)登錄,要么需要通過(guò)SOCKS等庫(kù)路徑修改客戶(hù)機(jī)的應(yīng)用。而現(xiàn)在的防火墻利用了透明的系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。

(2)靈活的系統(tǒng)。

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種機(jī)制:一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來(lái)解決,后者采用非保密的用戶(hù)定制或保密的系統(tǒng)技術(shù)來(lái)解決。

(3)多級(jí)過(guò)濾技術(shù)。

為保證系統(tǒng)的安全性和防護(hù)水平,防火墻采用了三級(jí)過(guò)濾措施,并輔以鑒別手段。在分組過(guò)濾一級(jí),能過(guò)濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測(cè)Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透膽連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。

(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專(zhuān)用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。

(5)Internet網(wǎng)關(guān)技術(shù)。

由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶(hù)在Internet互聯(lián)的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來(lái)實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面,新一代防火墻采用兩種獨(dú)立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專(zhuān)門(mén)用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問(wèn)。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁(yè),而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中,對(duì)外部訪問(wèn),防火墻只提供可由內(nèi)部用戶(hù)配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對(duì)用戶(hù)連接的識(shí)別做專(zhuān)門(mén)處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來(lái)自ISP的新聞開(kāi)設(shè)了專(zhuān)門(mén)的磁盤(pán)空間。

(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。

為了適應(yīng)越來(lái)越多的用戶(hù)向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要,新一代防火墻采用分別保護(hù)的策略對(duì)用戶(hù)上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù),它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過(guò)FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。

(7)用戶(hù)鑒別與加密。

為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來(lái)作為用戶(hù)的鑒別手段,并實(shí)現(xiàn)了對(duì)郵件的加密。

(8)用戶(hù)定制服務(wù)。

為了滿(mǎn)足特定用戶(hù)的特定需求,新一代防火墻在提供眾多服務(wù)的同時(shí),還為用戶(hù)定制提供支持,這類(lèi)選項(xiàng)有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶(hù)需要建立一個(gè)數(shù)據(jù)庫(kù)的,便可以利用這些支持,方便設(shè)置。

(9)審計(jì)和告警。

新一代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報(bào)警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

目前的防火墻主要有兩種類(lèi)型。其一是包過(guò)濾型防火墻。它一般由路由器實(shí)現(xiàn),故也被稱(chēng)為包過(guò)濾路由器。它在網(wǎng)絡(luò)層對(duì)進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號(hào)、ICMP消息類(lèi)型,并按照信息過(guò)濾規(guī)則進(jìn)行篩選,若符合規(guī)則,則允許該數(shù)據(jù)包通過(guò)防火墻進(jìn)入內(nèi)部網(wǎng),否則進(jìn)行報(bào)警或通知管理員,并且丟棄該包。這樣一來(lái),路由器能根據(jù)特定的劌則允許或拒絕流動(dòng)的數(shù)據(jù),如:Telnet服務(wù)器在TCP的23號(hào)端口監(jiān)聽(tīng)遠(yuǎn)程連接,若管理員想阻塞所有進(jìn)入的Telnet連接,過(guò)濾規(guī)則只需設(shè)為丟棄所有的TCP端口號(hào)為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快,實(shí)現(xiàn)方便,但由于它是通過(guò)IP地址來(lái)判斷數(shù)據(jù)包是否允許通過(guò),沒(méi)有基于用戶(hù)的認(rèn)證,而IP地址可以偽造成可信任的外部主機(jī)地址,另外它不能提供日志,這樣一來(lái)就無(wú)法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。

其二是應(yīng)用級(jí)防火墻。大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用機(jī)制,內(nèi)置了應(yīng)用程序,可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶(hù)要訪問(wèn)內(nèi)部網(wǎng),它只能到達(dá)服務(wù)器,若符合條件,服務(wù)器會(huì)到內(nèi)部網(wǎng)取出所需的信息,轉(zhuǎn)發(fā)出去。同樣道理,內(nèi)部網(wǎng)要訪問(wèn)Internet,也要通過(guò)服務(wù)器的轉(zhuǎn)接,這樣能監(jiān)控內(nèi)部用戶(hù)訪問(wèn)Internet.這類(lèi)防火墻能詳細(xì)記錄所有的訪問(wèn)紀(jì)錄,但它不允許內(nèi)部用戶(hù)直接訪問(wèn)外部,會(huì)使速度變慢。且需要對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的服務(wù)器軟件,用戶(hù)無(wú)法使用未被服務(wù)器支持的服務(wù)。

防火墻技術(shù)從其功能上來(lái)分,還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用,以彌補(bǔ)各自的缺陷和增加系統(tǒng)的安全性能。

防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù),但對(duì)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的功擊卻無(wú)能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需考慮其它技術(shù)和非技術(shù)的因素,如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識(shí)等。就防火墻本身來(lái)看,包過(guò)濾技術(shù)和訪問(wèn)模式等都有一定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內(nèi)核等。但實(shí)踐證明,防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。

二、數(shù)據(jù)加密技術(shù)

在電子商務(wù)中,信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ),加密技術(shù)是指通過(guò)使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個(gè)可以理解的明文形式變換成一種復(fù)雜錯(cuò)亂的、不可理解的密文形式(即加密),在線(xiàn)路上傳送或在數(shù)據(jù)庫(kù)中存儲(chǔ),其他用戶(hù)再將密文還原成明文(即解密),從而保障信息數(shù)據(jù)的安全性。

數(shù)據(jù)加密的方法很多,常用的有兩大類(lèi)。一種是對(duì)稱(chēng)加密。一種是非對(duì)稱(chēng)密鑰加密。對(duì)稱(chēng)加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。典型的代表是美國(guó)國(guó)家安全局的DES。它是IBM于1971年開(kāi)始研制,1977年美國(guó)標(biāo)準(zhǔn)局正式頒布其為加密標(biāo)準(zhǔn),這種方法使用簡(jiǎn)單,加密解密速度快,適合于大量信息的加密。但存在幾個(gè)問(wèn)題:第一,不能保證也無(wú)法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設(shè)每對(duì)交易方用不同的密鑰,N對(duì)交易方需要N*(N-1)/2個(gè)密鑰,難于管理。第三,不能鑒別數(shù)據(jù)的完整性。

非對(duì)稱(chēng)密鑰加密也叫公開(kāi)密鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí),使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對(duì)外界公開(kāi),私鑰自己保管,用公鑰加密的信息,只能用對(duì)應(yīng)的私鑰解密,同樣地,用私鑰解密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。具體加密傳輸過(guò)程如下:

(1)發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

(2)發(fā)送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。

(3)接收方乙用自己的私鑰解密,得到甲的私鑰。

(4)接收方乙用甲的公鑰解密,得到明文。

這個(gè)過(guò)程包含了兩個(gè)加密解密過(guò)程:密鑰的加解密和文件本身的加解密。在密鑰的加密過(guò)程中,由于發(fā)送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無(wú)法解密。這就保證了信息的機(jī)密性。另外,發(fā)送方甲用自己的私鑰加密信息,因?yàn)樾畔⑹怯眉椎乃借€加密,只有甲保管它,可以認(rèn)定信息是甲發(fā)出的,而且沒(méi)有甲的私鑰不能修改數(shù)據(jù)。可以保證信息的不可抵賴(lài)性。