信息加密技術(shù)論文范文

時間:2023-03-21 08:41:57

導(dǎo)語:如何才能寫好一篇信息加密技術(shù)論文,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

信息加密技術(shù)論文

篇1

1.1非人為安全隱患

因為信息數(shù)據(jù)是通過計算機進(jìn)行存儲與傳輸?shù)?,所以?shù)據(jù)安全隱患產(chǎn)生的第一步就是計算機中存在的安全風(fēng)險,包括硬件與軟件的安全問題:第一、操作系統(tǒng)出現(xiàn)漏洞,內(nèi)部含有竊取信息的程序或者木馬,其數(shù)據(jù)信息被盜取與修改都是在使用者毫無察覺的情況下發(fā)生的;第二、計算機病毒,如果計算機沒有安裝殺毒軟件,則會讓電腦處于危險狀態(tài),很多病毒會隨著數(shù)據(jù)的傳輸或者程序的安裝而進(jìn)入計算機,從而實現(xiàn)竊取與篡改計算機內(nèi)信息數(shù)據(jù)的目的;第三、硬件不穩(wěn)定,計算機硬件的不穩(wěn)定如磁盤受損、缺少恢復(fù)程序等,會造成傳輸或存儲的數(shù)據(jù)丟失或錯誤,從而對信息數(shù)據(jù)造成危害。還有就是網(wǎng)絡(luò)安全隱患,主要是網(wǎng)絡(luò)的傳播不穩(wěn)定和網(wǎng)絡(luò)存在安全漏洞,這也是存在安全隱患最多的一環(huán),不過這一般和人為安全因素有很大的聯(lián)系,人們會利用網(wǎng)絡(luò)安全的漏洞進(jìn)行數(shù)據(jù)的竊取與篡改。

1.2人為安全隱患

因為利益驅(qū)使,為了盜取或者篡改重要信息,出現(xiàn)了很多非法入侵他人電腦或者網(wǎng)絡(luò)系統(tǒng)的行為,如黑客、傳播病毒、電子詐騙、搭線竊聽、掛木馬等,這些人為的破壞行為其目的性就比較強,往往攻擊力強、危害度比較大,一般是涉及竊取重要的經(jīng)濟(jì)情報、軍事情報、企業(yè)重要信息或者是進(jìn)行國家網(wǎng)絡(luò)系統(tǒng)的惡意攻擊等,給個人、單位,甚至是國家都帶來難以彌補的損失,也是必須加以防范的安全隱患。

2計算機信息數(shù)據(jù)的加密技術(shù)

2.1存儲加密法

存儲加密是用來保護(hù)在存儲過程當(dāng)中信息數(shù)據(jù)的完整性與保密性,包括密文存儲與存取控制。而密文存儲是通過加密算法的轉(zhuǎn)換、附加密碼進(jìn)行加密、加密模塊的設(shè)置等技術(shù)實現(xiàn)其保密作用;存取控制是通過審查用戶資料來辨別用戶的合法性,從而通過限制用戶權(quán)限來保護(hù)信息數(shù)據(jù)不被其他用戶盜取或修改,包括阻止合法用戶的越權(quán)行為和非法用戶的入侵行為。

2.2傳輸加密法

傳輸加密是通過加密來保護(hù)傳輸中信息數(shù)據(jù)流的安全性,實現(xiàn)的是過程的動態(tài)性加密,分為端—端加密與線路加密兩種。端—端是一種從信息數(shù)據(jù)發(fā)出者的端口處制定加密信息,只要是從此端口發(fā)出的數(shù)據(jù)都會自動加密,加密后變成了不可閱讀與不可識別的某些信息數(shù)據(jù),并通過TCP/IP數(shù)據(jù)包后,最終到達(dá)傳輸目的地,當(dāng)?shù)竭_(dá)最終端口時,這些信息數(shù)據(jù)會自動進(jìn)行重組與解密,轉(zhuǎn)化為可以閱讀與識別的信息數(shù)據(jù),以供數(shù)據(jù)接收者安全的使用;線路加密則有所不同,它是完全不需對信源和信宿進(jìn)行加密保護(hù),而是運用對信息數(shù)據(jù)傳輸?shù)牟煌肪€采用不同加密密鑰的手段,達(dá)到對線路的保護(hù)目的。

2.3密鑰管理法

很多的數(shù)據(jù)信息進(jìn)行加密都是通過設(shè)置密鑰進(jìn)行安全防護(hù),所以密鑰是能否保護(hù)好信息數(shù)據(jù)的關(guān)鍵,如果密鑰被破解,則信息數(shù)據(jù)就無保密性可言,故對密鑰的保護(hù)非常關(guān)鍵,這也就是我們所說的密鑰管理法,它在密鑰形成的各個環(huán)節(jié)(產(chǎn)生、保存、分配、更換、銷毀等階段)進(jìn)行管理控制,確保密鑰的安全性。

2.4確認(rèn)加密法

確認(rèn)加密法是通過對信息數(shù)據(jù)的共享范圍進(jìn)行嚴(yán)格控制,來防止這些數(shù)據(jù)被非法篡改與偽造。按照不同的目的,確認(rèn)加密法可分為:信息確認(rèn)、數(shù)字簽名與身份確認(rèn)三種。數(shù)字簽名是根據(jù)公開密鑰與私人密鑰兩者存在一定的數(shù)學(xué)關(guān)系而建立的,使用其中任一密鑰進(jìn)行加密的信息數(shù)據(jù),只能用另一密鑰進(jìn)行解密,從而確保數(shù)據(jù)的真實性,如發(fā)送者用個人的私人密鑰對傳輸信息數(shù)據(jù)進(jìn)行加密之后,傳送到接收者那里,接收者必須用其公開密鑰對數(shù)據(jù)進(jìn)行解密,這樣可以準(zhǔn)確的知道該信息的發(fā)送源是那里,避免信息的錯誤。

2.5信息摘要法

信息摘要法是通過一個單向的Hash加密函數(shù)來對信息數(shù)據(jù)進(jìn)行處理,而產(chǎn)生出與數(shù)據(jù)對應(yīng)的唯一文本值或消息值,即信息的摘要,來保證數(shù)據(jù)的完整性,它是在信息數(shù)據(jù)發(fā)送者那里進(jìn)行加密后產(chǎn)生出一個摘要,接收者通過密鑰進(jìn)行解密后會產(chǎn)生另一個摘要,接收者對兩個摘要進(jìn)行對比,如果兩個有差別,就表面數(shù)據(jù)在傳輸途中被修改。

2.6完整性鑒別法

完整性鑒別法是將事先設(shè)定的某些參數(shù)(如口令、各相關(guān)人員的身份、密鑰、信息數(shù)據(jù)等)錄入系統(tǒng),在數(shù)據(jù)信息傳輸中,通過讓驗證對象輸入相應(yīng)的特征值,判斷輸入的特征值是否符合要求,來對信息數(shù)據(jù)進(jìn)行保護(hù)的技術(shù)。

3結(jié)束語

篇2

在這個快速發(fā)展的信息化時代,網(wǎng)絡(luò)已成為人們信息交流的重要方式,網(wǎng)絡(luò)信息的安全問題也日益突出。然而人們對網(wǎng)絡(luò)通訊中的信息進(jìn)行加密,防止信息被竊取,信息加密是指利用加密算法將所要加密的信息轉(zhuǎn)換為密文,然后再對密文進(jìn)行解密的過程。對信息加密的方法有很多,常有的加密技術(shù)是將重要的數(shù)據(jù)信息變?yōu)閬y碼或利用加密算法進(jìn)行加密;但加密技術(shù)的核心是密碼技術(shù),然而常用的密碼技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。這些加密技術(shù)在一定程度上保證了信息的安全,促進(jìn)了信息在網(wǎng)絡(luò)上的傳輸。

2 網(wǎng)絡(luò)通訊中信息安全存在的風(fēng)險

計算機和互聯(lián)網(wǎng)是網(wǎng)絡(luò)通訊的載體,然而隨著信息產(chǎn)業(yè)的快速發(fā)展,網(wǎng)絡(luò)通訊中信息的安全性問題也越來越突出;這些安全問題主要表現(xiàn)在網(wǎng)絡(luò)的操作系統(tǒng)、網(wǎng)絡(luò)的開放性與虛擬性和應(yīng)用平臺等方面,我們將對這些方面存在的信息安全問題進(jìn)行分析。

2.1操作系統(tǒng)的安全

每一臺計算機都有操作系統(tǒng),都知道如果一臺計算機沒有操作系統(tǒng)是無法使用的。網(wǎng)絡(luò)通信中主要的信息安全問題就在于網(wǎng)絡(luò)的操作系統(tǒng),操作系統(tǒng)的穩(wěn)定性決定著網(wǎng)絡(luò)通信的安全性,一旦系統(tǒng)出現(xiàn)漏洞,就容易被入侵,信息泄露的可能性非常大,甚至?xí)霈F(xiàn)計算機無法使用的情況。然而對系統(tǒng)操作存在的安全問題,主要有對操作系統(tǒng)的不了解、操作技術(shù)的不熟練、違反網(wǎng)絡(luò)通信安全保密的相關(guān)規(guī)定、網(wǎng)絡(luò)通信的安全意識不強以及對密鑰設(shè)置的不規(guī)范、長期使用同一個密鑰等原因,這些原因都有可能造成網(wǎng)絡(luò)通訊中信息的泄露;所以,我們要對網(wǎng)絡(luò)通訊加強管理,保證信息的安全,防止信息的泄露。

2.2網(wǎng)絡(luò)的開放性與虛擬性帶來的安全問題

網(wǎng)絡(luò)時時刻刻都在影響著我們的生活,對我們的生活帶來便利,但也會帶來負(fù)面的影響;網(wǎng)絡(luò)是一個開放性和虛擬性的平臺,然而由于網(wǎng)絡(luò)的開放性和虛擬性,會有一些人利用網(wǎng)絡(luò)的這一特點進(jìn)行違規(guī)甚至是違法的操作,比如使用一些手段對重要的通訊信息進(jìn)行攔截或竊聽,甚至是對信息的改變和破壞。網(wǎng)絡(luò)的通信線路,一般都沒有進(jìn)行相應(yīng)的電磁屏蔽保護(hù)措施,這就使得通信過程中信息容易被攔截和竊聽;這對網(wǎng)絡(luò)通訊中信息的安全帶來了嚴(yán)重的危害。

2.3通訊軟件的應(yīng)用

人們在網(wǎng)絡(luò)上進(jìn)行信息交流,一般都需要通訊軟件;然而這些通訊軟件或多或少的都存在一些漏洞,這就容易造成信息的泄露,更容易遭到病毒或黑客的入侵,對通訊過程中信息安全造成危害,所以應(yīng)該對信息進(jìn)行相應(yīng)的安全防護(hù)措施,防止信息被竊取,保證通訊過程中信息交流的安全。

3 加密技術(shù)

一個完整的密碼體制由五個部分組成,分別是明文、密文、密鑰、加密變換、解密變換;對信息的加密過程是將明文通過加密算法進(jìn)行加密,再經(jīng)過網(wǎng)絡(luò)鏈路傳輸給接收者,然后接收者利用自己的密鑰通過解密算法對密文進(jìn)行解密,還原成明文。

3.1對稱加密技術(shù)

對稱加密技術(shù),就是對信息加密與解密采用相同的密鑰,加密密鑰同時也可以當(dāng)做解密密鑰用。這種加密技術(shù)使用起來比較簡單,密鑰比較短,在網(wǎng)絡(luò)信息傳輸上得到了廣泛的應(yīng)用,然而但這種加密技術(shù)的安全性不是很高。

在對稱加密技術(shù)中運用的加密算法有數(shù)據(jù)加密標(biāo)準(zhǔn)算法和高級加密標(biāo)準(zhǔn)算法,而數(shù)據(jù)加密標(biāo)準(zhǔn)算法最常用。對稱加密技術(shù)有一定的優(yōu)勢也有一定的弊端,優(yōu)勢是使用起來比較方便,密鑰比較短;缺點:一、通訊雙方在通訊時使用同一個密鑰,這就給信息通訊帶來了不安全因素,在信息傳輸過程中,常常一個傳送者給多個不同的接收者傳送信息,這就需要多個密鑰,這對信息的傳送者帶來煩瑣;二、對稱加密算法一般無法鑒別信息的完整性,也無法對信息發(fā)送者和信息接收者的身份進(jìn)行確認(rèn),這對信息在傳輸過程中帶來了不安全因素。三、在對稱加密技術(shù)中對密鑰的管理是關(guān)鍵,因為在對稱加密技術(shù)中信息的傳送者和信息的接收者是采用相同的密鑰,這就需要雙方共同對密鑰進(jìn)行保密。

3.2非對稱加密技術(shù)

非對稱加密技術(shù),就是對信息的加密與解密采用不同的密鑰,然而這種加密技術(shù)是針對對稱加密技術(shù)中存在的不足所提出的一種加密技術(shù);非對稱加密技術(shù)又可以稱為公鑰加密技術(shù),意思是加密密鑰是公開的,大家都可以知道的;而解密密鑰只有信息的接收者才知道。在非對稱加密技術(shù)里,最常用的密碼算法是RSA算法,運用這種算法對信息進(jìn)行加密,信息盜取者就不可能由加密密鑰推算出解密密鑰,因為這種算法將加密密鑰與加密算法分開,使得網(wǎng)絡(luò)用戶密鑰的管理更加方便安全。

4 加密技術(shù)的應(yīng)用

4.1信息傳輸過程中的節(jié)點加密

對信息的加密方式有很多,有在傳輸前對信息進(jìn)行加密,有在傳輸通道對信息進(jìn)行加密等等。簡單介紹一下傳輸過程中的節(jié)點加密,節(jié)點加密是指信息傳輸路徑中對在節(jié)點機上傳輸?shù)男畔⑦M(jìn)行加密,然而節(jié)點加密不允許信息以明文的方式在節(jié)點機上進(jìn)行傳輸;節(jié)點加密是先把接收到的信息進(jìn)行解密,再對已解密的明文用另一個密鑰進(jìn)行加密,這就是所謂的節(jié)點加密,由于節(jié)點加密對信息加密的特殊性,使得這種加密方式相對于其他加密方式的安全性比較弱,所以一些重要的信息不采用此方法來進(jìn)行加密。

4.2信息傳輸過程中的鏈路加密

鏈路加密是指在鏈路上對信息進(jìn)行加密,而不是在信息的發(fā)送端和接收端進(jìn)行加密;鏈路加密是一種在傳輸路徑中的加密方式。鏈路加密原理是信息在傳輸路徑中每個節(jié)點機都作為信息接收端,對信息進(jìn)行不斷的加密和解密,使信息最終到達(dá)真正的接收端。這種加密方式相對于節(jié)點加密較安全,運用相對比較廣泛。然而這種鏈路加密也存在弊端,由于運用這種方式進(jìn)行加密,使得信息在傳輸過程中進(jìn)行不斷地加解密,信息以明文的形式多次出現(xiàn),這會導(dǎo)致信息容易泄露,給通訊過程中信息的安全帶來危害。

4.3信息傳輸過程中的端對端加密

端對端加密是指信息在傳輸過程中一直以密文的形式進(jìn)行傳輸,在傳送過程中并不能進(jìn)行解密,使得信息在整個傳送過程中得到保護(hù);即使信息在傳輸過程中被攔截,信息也不會被泄露,而且每條信息在傳輸過程中都進(jìn)行獨立加密,這樣即使一條信息被攔截或遭到破壞,也不會影響其他信息的安全傳輸;這種加密方式相對于前兩種加密方式可靠性更高、安全性更好,而且更容易設(shè)計和維護(hù),價格也相對比較便宜。不過[ dylW.net專業(yè)提供教育論文寫作的服務(wù),歡迎光臨dylW.NeT]此種加密方式存在一點不足,就是不能夠?qū)鬏數(shù)男畔⒃诎l(fā)送端和接收端進(jìn)行隱藏。由于端對端的加密方式可靠性高、安全性好、價格便宜,在信息傳輸中得到了廣泛的應(yīng)用,更能確保信息在網(wǎng)絡(luò)通訊中的安全傳輸。

5 結(jié)束語

隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)通訊在日常生活中的得到了廣泛的應(yīng)用;竊取網(wǎng)絡(luò)通訊信息的人越來越多,對通訊信息攻擊的手段也層出不窮,攻擊技術(shù)也日益增強,使得各種網(wǎng)絡(luò)信息安全問題日益惡化,問題更得不到根本性的解決;可見網(wǎng)絡(luò)通訊中的信息安全技術(shù)有待提高。然而,由于我國網(wǎng)絡(luò)信息技術(shù)起步晚,改革初期發(fā)展慢,給網(wǎng)絡(luò)通訊安全埋下了隱患;雖然近幾年得到了快速發(fā)展,但也暴露出嚴(yán)重的網(wǎng)絡(luò)通訊信息安全問題;所以我們要不斷提高網(wǎng)絡(luò)信息交流的防御能力,防止信息在網(wǎng)絡(luò)通訊中被泄露;為大家營造出一個安全、快捷、舒適的網(wǎng)絡(luò)通訊環(huán)境,即能促進(jìn)網(wǎng)絡(luò)通訊的發(fā)展,也能提高人們的生活質(zhì)量。

參考文獻(xiàn):

[1] 余文利.網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)加密技術(shù)實現(xiàn)與分析[J].網(wǎng)絡(luò)與信息,2005(10):50-51.

篇3

[關(guān)健詞]網(wǎng)絡(luò)安全加密DESRSA

隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)安全已成為信息化社會的一個焦點問題,因此需要一種網(wǎng)絡(luò)安全機制來解決這些問題。在早期,很多的專業(yè)計算機人員就通過對網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素的研究,已經(jīng)開發(fā)了很多種類的產(chǎn)品。但縱觀所有的網(wǎng)絡(luò)安全技術(shù),我們不難發(fā)現(xiàn)加密技術(shù)在扮演著主打角色。它無處不在,作為其他技術(shù)的基礎(chǔ),它發(fā)揮了重要的作用。本論文講述了加密技術(shù)的發(fā)展,兩種密鑰體制(常規(guī)密鑰密碼體制和公開密鑰密碼體制),以及密鑰的管理(主要討論密鑰分配)。我們可以在加密技術(shù)的特點中看到他的發(fā)展前景,為網(wǎng)絡(luò)提供更可靠更安全的運行環(huán)境。

一、常規(guī)密鑰密碼體制

所謂常規(guī)密鑰密碼體制,即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。使用對稱加密方法,加密與解密方必須使用相同的一種加密算法和相同的密鑰。

因為通信的雙方在加密和解密時使用的是同一個密鑰,所以如果其他人獲取到這個密鑰,那么就會造成失密。只要通信雙方能確保密鑰在交換階段未泄露,那么就可以保證信息的機密性與完整性。對稱加密技術(shù)存在著通信雙方之間確保密鑰安全交換的問題。同時,一個用戶要N個其他用戶進(jìn)行加密通信時,每個用戶對應(yīng)一把密鑰,那么他就要管理N把密鑰。當(dāng)網(wǎng)絡(luò)N個用戶之間進(jìn)行加密通信時,則需要有N×(N-1)個密鑰,才能保證任意兩者之間的通信。所以,要確保對稱加密體系的安全,就好要管理好密鑰的產(chǎn)生,分配,存儲,和更換。常規(guī)密碼體制早期有替代密碼和置換密碼這二種方式。下面我們將講述一個著名的分組密碼——美國的數(shù)據(jù)加密標(biāo)準(zhǔn)DES。DES是一種對二元數(shù)據(jù)進(jìn)行加密的算法,數(shù)據(jù)分組長度為64位,密文分組長度也是64位,使用的密鑰為64位,有效密鑰長度為56位,有8位用于奇偶校驗,解密時的過程和加密時相似,但密鑰的順序正好相反。DES算法的弱點是不能提供足夠的安全性,因為其密鑰容量只有56位。由于這個原因,后來又提出了三重DES或3DES系統(tǒng),使用3個不同的密鑰對數(shù)據(jù)塊進(jìn)行(兩次或)三次加密,該方法比進(jìn)行普通加密的三次塊。其強度大約和112比特的密鑰強度相當(dāng)。

二、公開密鑰密碼體制

公開密鑰(publickey)密碼體制出現(xiàn)于1976年。與“公開密鑰密碼體制”相對應(yīng)的是“傳統(tǒng)密碼體制”,又稱“對稱密鑰密碼體制”。其中用于加密的密鑰與用于解密的密鑰完全一樣,在對稱密鑰密碼體制中,加密運算與解密運算使用同樣的密鑰。通常,使用的加密算法比較簡便高效,密鑰簡短,破譯極其困難。但是,在公開的計算機網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個嚴(yán)峻的問題。在“公開密鑰密碼體制”中,加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用;而解密密鑰只有解密人自己知道。它們分別稱為“公開密鑰”(publickey)和“秘密密鑰”(private一key)。

它最主要的特點就是加密和解密使用不同的密鑰,每個用戶保存著一對密鑰──公開密鑰PK和秘密密鑰SK,因此,這種體制又稱為雙鑰或非對稱密鑰密碼體制。

在這種體制中,PK是公開信息,用作加密密鑰,而SK需要由用戶自己保密,用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK是成對出現(xiàn),但卻不能根據(jù)PK計算出SK。在公開密鑰密碼體制中,最有名的一種是RSA體制。它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會SC20推薦為公開密鑰數(shù)據(jù)加密。RSA算法既能用于數(shù)據(jù)加密,也能用于數(shù)字簽名,RSA的理論依據(jù)為:尋找兩個大素數(shù)比較簡單,而將它們的乘積分解開則異常困難。在RSA算法中,包含兩個密鑰,加密密鑰PK,和解密密鑰SK,加密密鑰是公開的,其加密與解密方程為:

其中n=p×q,P∈[0,n-1],p和q均為大于10100的素數(shù),這兩個素數(shù)是保密的。

RSA算法的優(yōu)點是密鑰空間大,缺點是加密速度慢,如果RSA和DES結(jié)合使用,則正好彌補RSA的缺點。即DES用于明文加密,RSA用于DES密鑰的加密。由于DES加密速度快,適合加密較長的報文;而RSA可解決DES密鑰分配的問題。

三、密鑰的管理

1.密鑰管理的基本內(nèi)容

由于密碼算法是公開的,網(wǎng)絡(luò)的安全性就完全基于密鑰的安全保護(hù)上。因此在密碼學(xué)中就出先了一個重要的分支——密鑰管理。密鑰管理包括:密鑰的產(chǎn)生,分配,注入,驗證和使用。它的基本任務(wù)是滿足用戶之間的秘密通信。在這有的是使用公開密鑰體制,用戶只要保管好自己的秘密密鑰就可以了,公開密鑰集體公開在一張表上,要向哪個用戶發(fā)密文只要找到它的公開密鑰,再用算法把明文變成密文發(fā)給用戶,接收放就可以用自己的秘密密鑰解密了。所以它要保證分給用戶的秘密密鑰是安全的。有的是還是使用常規(guī)密鑰密碼體制,當(dāng)用戶A想和用戶B通信時,他就向密鑰分配中心提出申請,請求分配一個密鑰,只用于A和B之間通信。

2.密鑰分配

密鑰分配是密鑰管理中最大的問題。密鑰必須通過安全的通路進(jìn)行分配。例如,在早期,可以派專門的人給用戶們送密鑰,但是當(dāng)隨著用戶數(shù)的膨脹,顯然已不再適用了,這時應(yīng)采用網(wǎng)絡(luò)分配方式。

目前,公認(rèn)的有效方法是通過密鑰分配中心KDC來管理和分配公開密鑰。每個用戶只保存自己的秘密密鑰和KDC的公開密鑰PKAS。用戶可以通過KDC獲得任何其他用戶的公開密鑰。

首先,A向KDC申請公開密鑰,將信息(A,B)發(fā)給KDC。KDC返回給A的信息為(CA,CB),其中,CA=DSKAS(A,PKA,T1),CB=DSKAS(B,PKB,T2)。CA和CB稱為證明書(Certificate),分別含有A和B的公開密鑰。KDC使用其解密密鑰SKAS對CA和CB進(jìn)行了簽名,以防止偽造。時間戳T1和T2的作用是防止重放攻擊。

然后,A將證明書CA和CB傳送給B。B獲得了A的公開密鑰PKA,同時也可檢驗他自己的公開密鑰PKB。對于常規(guī)密鑰進(jìn)行分配要分三步:

(1)用戶A向KDS發(fā)送自己的密鑰KA加密的報文EKA(A,B),說明想和用戶B通信。

(2)KDC用隨機數(shù)產(chǎn)生一個“一次一密”密鑰R1供A和B這次的通信使用,然后向A發(fā)送回答報文,這個回答報文用A的密鑰KA加密,報文中有密鑰R1和請A轉(zhuǎn)給B的報文EKB(A,R1),但報文EKB(A,R1)是用B的密鑰加密的,因此A無法知道其中的內(nèi)容,它也沒必要知道。

(3)當(dāng)B收到A轉(zhuǎn)來的報文EKB(A,R1)并用自己的密鑰KB解密后,就知道A要和他通信,同時也知道和A通信應(yīng)當(dāng)使用的密鑰R1。

四、結(jié)束語

從一開始,我們就是為了解決一些網(wǎng)絡(luò)安全問題而提出了密鑰體制,也就是我們所說的加密。所以,不言而寓,密鑰就是在各種傳送機構(gòu)中發(fā)揮他的作用,確保在傳送的過程中信息的安全。雖然所使用的方式方法不同,但密鑰體制本身是相同的。主要有數(shù)字簽名、報文鑒別、電子郵件加密幾種應(yīng)用。我們在問題中找到了很好解決信息加密的方法。我們從加密技術(shù)一路走來的發(fā)展史中可以看出加密技術(shù)在不段的發(fā)展和完善中。并且就兩個經(jīng)典的算法DES和RSA做出了扼要的介紹。在論文中間也介紹了密鑰的分配,這也是加密技術(shù)的一個重要方面。相信在不久的將來,可以看到更加完美的加密體制或算法。

參考文獻(xiàn):

[1]段云所:網(wǎng)絡(luò)信息安全講稿.北京大學(xué)計算機系,2001

[2]劉曉敏:網(wǎng)絡(luò)環(huán)境下信息安全的技術(shù)保護(hù).情報科學(xué),1999

[3]張寧:《北京大學(xué)計算機系》.《電子商務(wù)技術(shù)》(2000年春季學(xué)期)

篇4

關(guān)鍵詞:網(wǎng)絡(luò)安全,網(wǎng)絡(luò)管理,多級安全

 

1 引言網(wǎng)絡(luò)技術(shù),特別是Internet的興起,正在從根本上改變傳統(tǒng)的信息技術(shù)(IT)產(chǎn)業(yè),隨著網(wǎng)絡(luò)技術(shù)和Internet的普及,信息交流變得更加快捷和便利,然而這也給信息保密和安全提出了更高的要求。近年來,研究人員在信息加密,如公開密鑰、對稱加密算法,網(wǎng)絡(luò)訪問控制,如防火墻,以及計算機系統(tǒng)安全管理、網(wǎng)絡(luò)安全管理等方面做了許多研究工作,并取得了很多究成果。

本論文主要針對網(wǎng)絡(luò)安全,從實現(xiàn)網(wǎng)絡(luò)信息安全的技術(shù)角度展開探討,以期找到能夠?qū)崿F(xiàn)網(wǎng)絡(luò)信息安全的構(gòu)建方案或者技術(shù)應(yīng)用,并和廣大同行分享。

2 網(wǎng)絡(luò)安全風(fēng)險分析影響局域網(wǎng)網(wǎng)絡(luò)安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結(jié)起來,主要有六個方面構(gòu)成對網(wǎng)絡(luò)的威脅:

(1) 人為失誤:一些無意的行為,如:丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)等,都會對網(wǎng)絡(luò)系統(tǒng)造成極大的破壞。

(2) 病毒感染:從“蠕蟲”病毒開始到CIH、愛蟲病毒,病毒一直是計算機系統(tǒng)安全最直接的威脅,網(wǎng)絡(luò)更是為病毒提供了迅速傳播的途徑,病毒很容易地通過服務(wù)器以軟件下載、郵件接收等方式進(jìn)入網(wǎng)絡(luò),然后對網(wǎng)絡(luò)進(jìn)行攻擊,造成很大的損失。

(3) 來自網(wǎng)絡(luò)外部的攻擊:這是指來自局域網(wǎng)外部的惡意攻擊,例如:有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性;偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源;修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行;在中間站點攔截和讀取絕密信息等。

(4) 來自網(wǎng)絡(luò)內(nèi)部的攻擊:在局域網(wǎng)內(nèi)部,一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后,查看機密信息,修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運行。

(5) 系統(tǒng)的漏洞及“后門”:操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的??萍颊撐摹A硗?,編程人員為自便而在軟件中留有“后門”,一旦“漏洞”及“后門”為外人所知,就會成為整個網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標(biāo)和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”和“后門”所造成的。

3 網(wǎng)絡(luò)安全技術(shù)管理探討3.1 傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)目前國內(nèi)外維護(hù)網(wǎng)絡(luò)安全的機制主要有以下幾類:

Ø訪問控制機制;

Ø身份鑒別;

Ø加密機制;

Ø病毒防護(hù)。

針對以上機制的網(wǎng)絡(luò)安全技術(shù)措施主要有:

(1) 防火墻技術(shù)

防火墻是近期發(fā)展起來的一種保護(hù)計算機網(wǎng)絡(luò)安全的技術(shù)性措施,它用來控制內(nèi)部網(wǎng)和外部網(wǎng)的訪問。

(2) 基于主機的安全措施

通常利用主機操作系統(tǒng)提供的訪問權(quán)限,對主機資源進(jìn)行保護(hù),這種安全措施往往只局限于主機本身的安全,而不能對整個網(wǎng)絡(luò)提供安全保證。

(3) 加密技術(shù)

面向網(wǎng)絡(luò)的加密技術(shù)是指通信協(xié)議加密,它是在通信過程中對包中的數(shù)據(jù)進(jìn)行加密,包括完整性檢測、數(shù)字簽名等,這些安全協(xié)議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數(shù)及其它一些序列密碼算法實現(xiàn)信息安全功能,用于防止黑客對信息進(jìn)行偽造、冒充和篡改,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。

(4) 其它安全措施

包括鑒別技術(shù)、數(shù)字簽名技術(shù)、入侵檢測技術(shù)、審計監(jiān)控、防病毒技術(shù)、備份和恢復(fù)技術(shù)等。鑒別技術(shù)是指只有經(jīng)過網(wǎng)絡(luò)系統(tǒng)授權(quán)和登記的合法用戶才能進(jìn)入網(wǎng)絡(luò)。審計監(jiān)控是指隨時監(jiān)視用戶在網(wǎng)絡(luò)中的活動,記錄用戶對敏感的數(shù)據(jù)資源的訪問,以便隨時調(diào)查和分析是否遭到黑客的攻擊。這些都是保障網(wǎng)絡(luò)安全的重要手段。

3.2 構(gòu)建多級網(wǎng)絡(luò)安全管理多級安全作為一項計算機安全技術(shù),在軍事和商業(yè)上有廣泛的需求??萍颊撐?。“多級”包括數(shù)據(jù)、進(jìn)程和人員的安全等級和分類,在用戶訪問數(shù)據(jù)時依據(jù)這些等級和分類進(jìn)行不同的處理。人員和信息的安全標(biāo)識一般由兩部分組成,一部分是用“密級”表示數(shù)據(jù)分類具有等級性,例如絕密、秘密、機密和無密級;另一部分是用“類別”表示信息類別的不同,“類別”并不需要等級關(guān)系。在具體的網(wǎng)絡(luò)安全實現(xiàn)上,可以從以下幾個方面來構(gòu)建多級網(wǎng)絡(luò)安全管理:

(1) 可信終端

可信終端是指經(jīng)過系統(tǒng)軟硬件認(rèn)證通過、被系統(tǒng)允許接入到系統(tǒng)的終端設(shè)備。網(wǎng)絡(luò)安全架構(gòu)中的終端具有一個最高安全等級和一個當(dāng)前安全等級,最高安全等級表示可以使用該終端的用戶的最高安全等級,當(dāng)前安全等級表示當(dāng)前使用該終端用戶的安全等級。

(2) 多級安全服務(wù)器

多級安全服務(wù)器上需要部署具有強制訪問控制能力的操作系統(tǒng),該操作系統(tǒng)能夠為不同安全等級的用戶提供訪問控制功能。該操作系統(tǒng)必須具備很高的可信性,一般而言要具備TCSEC標(biāo)準(zhǔn)下B1以上的評級。

(3) 單安全等級服務(wù)器和訪問控制網(wǎng)關(guān)

單安全等級服務(wù)器本身并不能為多個安全等級的用戶提供訪問,但結(jié)合訪問控制網(wǎng)關(guān)就可以為多安全等級用戶提供訪問服務(wù)。對于本網(wǎng)的用戶,訪問控制網(wǎng)關(guān)旁路許可訪問,而對于外網(wǎng)的用戶則必須經(jīng)過訪問控制網(wǎng)關(guān)的裁決。訪問控制網(wǎng)關(guān)的作用主要是識別用戶安全等級,控制用戶和服務(wù)器之間的信息流??萍颊撐?。如果用戶的安全等級高于單級服務(wù)器安全等級,則只允許信息從服務(wù)器流向用戶;如果用戶的安全等級等于服務(wù)器安全等級,則允許用戶和服務(wù)器間信息的雙向流動;如果用戶的安全等級低于服務(wù)器安全等級,則只允許信息從用戶流向服務(wù)器。

(4) VPN網(wǎng)關(guān)

VPN網(wǎng)關(guān)主要用來保護(hù)跨網(wǎng)傳輸數(shù)據(jù)的保密安全,用來抵御來自外部的攻擊。VPN網(wǎng)關(guān)還被用來擴(kuò)展網(wǎng)絡(luò)。應(yīng)用外接硬件加密設(shè)備連接網(wǎng)絡(luò)的方式,如果有n個網(wǎng)絡(luò)相互連接,那么就必須使用n×(n-1)個硬件加密設(shè)備,而每增加一個網(wǎng)絡(luò),就需要增加2n個設(shè)備,這對于網(wǎng)絡(luò)的擴(kuò)展很不利。引入VPN網(wǎng)關(guān)后,n個網(wǎng)絡(luò)只需要n個VPN網(wǎng)關(guān),每增加一個網(wǎng)絡(luò),也只需要增加一個VPN網(wǎng)關(guān)。

4 結(jié)語在網(wǎng)絡(luò)技術(shù)十分發(fā)達(dá)的今天,任何一臺計算機都不可能孤立于網(wǎng)絡(luò)之外,因此對于網(wǎng)絡(luò)中的信息的安全防范就顯得十分重要。針對現(xiàn)在網(wǎng)絡(luò)規(guī)模越來越大的今天,網(wǎng)絡(luò)由于信息傳輸應(yīng)用范圍的不斷擴(kuò)大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點對網(wǎng)絡(luò)的信息安全管理系統(tǒng)展開了分析討論,相信通過不斷發(fā)展的網(wǎng)絡(luò)硬件安全技術(shù)和軟件加密技術(shù),再加上政府對信息安全的重視,計算機網(wǎng)絡(luò)的信息安全是完全可以實現(xiàn)的。

參考文獻(xiàn):

[1] 胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.

[2] 黃國言.WEB方式下基于SNMP的網(wǎng)絡(luò)管理軟件的設(shè)計和實現(xiàn)[J].計算機應(yīng)用與軟件,2003,20(9):92-94.

[3] 李木金,王光興.一種被用于網(wǎng)絡(luò)管理的性能分析模型和實現(xiàn)[J].軟件學(xué)報,2000,22(12): 251-255.

篇5

[論文摘要] 本文分析了電子商務(wù)首要的安全要素,以及將面臨的一系列安全問題,并從網(wǎng)絡(luò)平臺和數(shù)據(jù)傳輸兩個方面完整地介紹了一些相關(guān)的安全技術(shù),通過它們來消除電子商務(wù)活動中的安全隱患。

一、引言

隨著信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展, 基于Internet 的電子商務(wù)也隨之而生,并在近年來獲得了巨大的發(fā)展。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式,改變了傳統(tǒng)商務(wù)的運作模式,極大地提高了商務(wù)效率,降低了交易的成本。然而,由于互聯(lián)網(wǎng)開放性的特點,安全問題也自始至終制約著電子商務(wù)的發(fā)展。因此,建立一個安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。

二、電子商務(wù)面臨的安全問題

1.信息泄漏。在電子商務(wù)中主要表現(xiàn)為商業(yè)機密的泄露,包括兩個方面:一是交易雙方進(jìn)行交易的內(nèi)容被第三方竊取;二是交易一方提供給另一方使用的文件被第三方非法使用。

2.信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實性和完整性。

3.身份識別。身份識別在電子商務(wù)中涉及兩個方面的問題:一是如果不進(jìn)行身份識別,第三方就有可能假冒交易一方的身份,破壞交易、敗壞被假冒一方的信譽或盜取交易成果;二是不可抵賴性,交易雙方對自己的行為應(yīng)負(fù)有一定的責(zé)任,信息發(fā)送者和接受者都不能對此予以否認(rèn)。進(jìn)行身份識別就是防止電子商務(wù)活動中的假冒行為和交易被否認(rèn)的行為。

4.信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃?,網(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息丟失與謬誤;二是惡意破壞,計算機網(wǎng)絡(luò)本身遭到一些惡意程序的破壞,例如病毒破壞、黑客入侵等。

三、電子商務(wù)的安全要素

1.有效性。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽。因此,要對一切潛在的威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的。

2.機密性。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。解決數(shù)據(jù)機密性的一般方法是采用加密手段。

3.完整性。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方的差異。此外,數(shù)據(jù)傳輸過程中的丟失、重復(fù)或傳送的次序差異也會導(dǎo)致貿(mào)易各方的不同。因此,要預(yù)防對隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。

4.不可抵賴性。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在交易進(jìn)行時,交易各方必須附帶含有自身特征、無法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時有所對證。

四、電子商務(wù)采用的主要安全技術(shù)手段

1.防火墻技術(shù)。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來自Internet 的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。實現(xiàn)防火墻技術(shù)的主要途徑有:分組過濾和服務(wù)。分組過濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單,即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過。防火墻的職責(zé)就是根據(jù)訪問表(或黑名單)對進(jìn)出路由器的分組進(jìn)行檢查和過濾。這種防火墻簡單易行,但不能完全有效地防范非法攻擊。目前,80%的防火墻都是采用這種技術(shù)。服務(wù):是一種基于服務(wù)的防火墻,它的安全性高,增加了身份認(rèn)證與審計跟蹤功能,但速度較慢。所謂審計跟蹤是對網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個完備的記錄,以便對網(wǎng)絡(luò)進(jìn)行完全監(jiān)督和控制。通過不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄,并有選擇地對其中的一些進(jìn)行審計跟蹤,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護(hù),但對網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無能為力,實現(xiàn)電子商務(wù)的安全還需要一些保障動態(tài)安全的技術(shù)。

2.數(shù)據(jù)加密技術(shù)。在電子商務(wù)中,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ),也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類,即對稱加密和非對稱加密。

(1)對稱加密。對稱加密又稱為私鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。比較著名的對稱加密算法是:美國國家標(biāo)準(zhǔn)局提出的DES(DataEncryption Standard,數(shù)據(jù)加密標(biāo)準(zhǔn))。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。

(2)非對稱加密。非對稱加密又稱為公鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應(yīng)的私鑰解密。同樣地,用私鑰加密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。RSA(即Rivest,ShamirAdleman)算法是非對稱加密領(lǐng)域內(nèi)最為著名的算法。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開,得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把私有密鑰對加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息。為了充分發(fā)揮對稱和非對稱加密體制各自的優(yōu)點,在實際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。

3.數(shù)字簽名技術(shù)。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全,在確保信息完整性方面,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時間戳技術(shù)。

(1)數(shù)字摘要。數(shù)字摘要是對一條原始信息進(jìn)行單向哈希(Hash)函數(shù)變換運算得到的一個長度一定的摘要信息。該摘要與原始信息一一對應(yīng),即不同的原始信息必然得到一個不同的摘要。若信息的完整性遭到破壞,信息就無法通過原始摘要信息的驗證,成為無效信息,信息接收者便可以選擇不再信任該信息。

(2)數(shù)字簽名。數(shù)字簽名實際上是運用公私鑰加密技術(shù)使信息具有不可抵賴性,其具體過程為:文件的發(fā)送方從文件中生成一個數(shù)字摘要,用自己的私鑰對這個數(shù)字摘要進(jìn)行加密,從而形成數(shù)字簽名。這個被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者。接收方收到信息后就用發(fā)送方的公開密鑰對摘要進(jìn)行解密,如果解出了正確的摘要,即該摘要可以確認(rèn)原始文件沒有被更改過。那么說明這個信息確實為發(fā)送者發(fā)出的。于是實現(xiàn)了對原始文件的鑒別和不可抵賴性。

(3)數(shù)字時間戳。數(shù)字時間戳技術(shù)或DTS 是對數(shù)字文件或交易信息進(jìn)行日期簽署的一項第三方服務(wù)。本質(zhì)上數(shù)字時間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍。加蓋數(shù)字時間戳后的信息不能進(jìn)行偽造、篡改和抵賴,并為信息提供了可靠的時間信息以備查用。

五、小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù),數(shù)據(jù)加密技術(shù),數(shù)字簽名技術(shù),以及安全協(xié)議,指出了它們使用范圍及其優(yōu)缺點。但必須強調(diào)說明的是,電子商務(wù)的安全運行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1]謝紅燕:電子商務(wù)的安全問題及對策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(自然科學(xué)版),2007,(3):350-358

[2]彭禹皓蘭波曉玲:電子商務(wù)的安全性探討[J].集團(tuán)經(jīng)濟(jì)研究,2007,(232): 216- 217

篇6

論文摘 要:隨著電子商務(wù)時代的到來,電子商務(wù)安全問題越來越受到關(guān)注。特別是近年來的威脅網(wǎng)絡(luò)安全事件成出不窮,成為阻礙電子商務(wù)發(fā)展的一個大問題。對電子商務(wù)安全面臨的的威脅進(jìn)行研究分析,提出電子商務(wù)安全策略的總體原則及使用的主要技術(shù)。

電子商務(wù)安全策略是對企業(yè)的核心資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),不斷的更新企業(yè)系統(tǒng)的安全防護(hù),找出企業(yè)系統(tǒng)的潛在威脅和漏洞,識別,控制,消除存在安全風(fēng)險的活動。電子商務(wù)安全是相對的,不是絕對的,不能認(rèn)為存在永遠(yuǎn)不被攻破的系統(tǒng),當(dāng)然無論是何種模式的電子商務(wù)網(wǎng)站都要考慮到為了系統(tǒng)安全所要付出的代價和消耗的成本。作為一個安全系統(tǒng)的使用者,必須應(yīng)該綜合考慮各方因素合理使用電子商務(wù)安全策略技術(shù),作為系統(tǒng)的研發(fā)設(shè)計者,也必須在設(shè)計的同時考慮到成本與代價的因素。在這個網(wǎng)絡(luò)攻防此消彼長的時代,更應(yīng)該根據(jù)安全問題的不斷出現(xiàn)來檢查,評估和調(diào)整相應(yīng)的安全策略,采用適合當(dāng)前的技術(shù)手段,來達(dá)到提升整體安全的目的。電子商務(wù)所帶來的巨大商機背后同樣隱藏著日益嚴(yán)重的電子商務(wù)安全問題,不僅為企業(yè)機構(gòu)帶來了巨大的經(jīng)濟(jì)損失,更使社會經(jīng)濟(jì)的安全受到威脅。

1 電子商務(wù)面臨的安全威脅

在電子商務(wù)運作的大環(huán)境中,時時刻刻面臨著安全威脅,這不僅僅設(shè)計技術(shù)問題,更重要的是管理上的漏洞,而且與人們的行為模式有著密不可分的聯(lián)系。電子商務(wù)面臨的安全威脅可以分為以下幾類:

1.1 信息內(nèi)容被截取竊取

這一類的威脅發(fā)生主要由于信息傳遞過程中加密措施或安全級別不夠,或者通過對互聯(lián)網(wǎng),電話網(wǎng)中信息流量和流向等參數(shù)的分析來竊取有用信息。

1.2 中途篡改信息

主要破壞信息的完整性,通過更改、刪除、插入等手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途篡改,并將篡改后的虛假信息發(fā)往接受端。

1.3 身份假冒

建立與銷售者服務(wù)器名稱相似的假冒服務(wù)器、冒充銷售者、建立虛假訂單進(jìn)行交易。

1.4 交易抵賴

比如商家對賣出的商品因價格原因不承認(rèn)原有交易,購買者因簽訂了訂單卻事后否認(rèn)。

1.5同行業(yè)者惡意競爭

同行業(yè)者利用購買者名義進(jìn)行商品交易,暗中了解買賣流程、庫存狀況、物流狀況。

1.6 電子商務(wù)系統(tǒng)安全性被破壞

不法分子利用非法手段進(jìn)入系統(tǒng),改變用戶信息、銷毀訂單信息、生成虛假信息等。

2 電子商務(wù)安全策略原則

電子商務(wù)安全策略是在現(xiàn)有情況,實現(xiàn)投入的成本與效率之間的平衡,減少電子商務(wù)安全所面臨的威脅。據(jù)電子商務(wù)網(wǎng)絡(luò)環(huán)境的不同,采用不同的安全技術(shù)來制定安全策略。在制定安全策略時應(yīng)遵循以下總體原則:

2.1 共存原則

是指影響網(wǎng)絡(luò)安全的問題是與整個網(wǎng)絡(luò)的運作生命周期同時存在,所以在設(shè)計安全體系結(jié)構(gòu)時應(yīng)考慮與網(wǎng)絡(luò)安全需求一致。如果不在網(wǎng)站設(shè)計開始階段考慮安全對策,等網(wǎng)站建設(shè)好后在修改會耗費更大的人力物力。

2.2 靈活性原則

安全策略要能隨著網(wǎng)絡(luò)性能及安全威脅的變化而變化,要及時的適應(yīng)系統(tǒng)和修改。

2.3 風(fēng)險與代價相互平衡的分析原則

任何一個網(wǎng)絡(luò),很難達(dá)到絕對沒有安全威脅。對一個網(wǎng)絡(luò)要進(jìn)行實際分析,并且對網(wǎng)絡(luò)面臨的威脅以及可能遇到的風(fēng)險要進(jìn)行定量與定性的綜合分析,制定規(guī)范的措施,并確定本系統(tǒng)的安全范疇,使花費在網(wǎng)絡(luò)安全的成本與在安全保護(hù)下的信息的價值平衡。

2.4 易使用性原則

安全策略的實施由人工完成,如果實施過程過于復(fù)雜,對于人的要求過高,對本身的安全性也是一種降低。

2.5 綜合性原則

一個好的安全策略在設(shè)計時往往采用是多種方法綜合應(yīng)用的結(jié)果,以系統(tǒng)工程的觀點,方法分析網(wǎng)絡(luò)安全問題,才可能獲得有效可行的措施。

2.6 多層保護(hù)原則

任何單一的安全保護(hù)措施都不是能獨當(dāng)一面,絕對安全的,應(yīng)該建立一個多層的互補系統(tǒng),那么當(dāng)一層被攻破時,其它保護(hù)層仍然可以安全的保護(hù)信息。 轉(zhuǎn)貼于

3 電子商務(wù)安全策略主要技術(shù)

3.1 防火墻技術(shù)

防火墻技術(shù)是一種保護(hù)本地網(wǎng)絡(luò),并對外部網(wǎng)絡(luò)攻擊進(jìn)行抵制的重要網(wǎng)絡(luò)安全技術(shù)之一,是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施??傮w可以分為:數(shù)據(jù)包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)型防火墻、服務(wù)型防火墻等幾類。防火墻具有5種基本功能:

(1)抵擋外部攻擊;

(2)防止信息泄露;

(3)控制管理網(wǎng)絡(luò)存取和訪問;

(4)VPN虛擬專用網(wǎng)功能;

(5)自身抗攻擊能力。

防火墻的安全策略有兩種情形:

(1)違背允許的訪問服務(wù)都是被禁止的;

(2)未被禁止的訪問服務(wù)都是被允許的。

多數(shù)防火墻是在兩者之間采取折中策略,在安全的情況之下提高訪問效率。

3.2 加密技術(shù)

加密技術(shù)是對傳輸?shù)男畔⒁阅撤N方法進(jìn)行偽裝并隱藏其內(nèi)容,而達(dá)到不被第三方所獲取其真實內(nèi)容的一種方法。在電子商務(wù)過程中,采用加密技術(shù)將信息隱藏起來,再將隱藏的信息傳輸出去,這樣即使信息在傳輸?shù)倪^程中被竊取,非法截獲者也無法了解信息內(nèi)容,進(jìn)而保證了信息在交換過程中安全性、真實性、能夠有效的為安全策略提供幫助。

3.3 數(shù)字簽名技術(shù)

是指在對文件進(jìn)行加密的基礎(chǔ)上,為了防止有人對傳輸過程中的文件進(jìn)行更改破壞以及確定發(fā)信人的身份所采取的手段。在電子商務(wù)安全中占有特別重要的地位,能夠解決貿(mào)易過程中的身份認(rèn)證、內(nèi)容完整性、不可抵賴等問題。數(shù)字簽名過程:發(fā)送方首先將原文通過Hash算法生成摘要,并用發(fā)送者的私鑰進(jìn)行加密生成數(shù)字簽名發(fā)送給接受方,接收方用發(fā)送者的公鑰進(jìn)行解密,得到發(fā)送方的報文摘要,最后接收方將收到的原文用Hash算法生成其摘要,與發(fā)送方的摘要進(jìn)行比對。

3.4 數(shù)字證書技術(shù)

數(shù)字證書是網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),由第三方公正機構(gòu)頒發(fā),以數(shù)字證書為依據(jù)的信息加密技術(shù)可以確保網(wǎng)上傳輸信息的的保密性、完整性和交易的真實性、不可否認(rèn)性,為電子商務(wù)的安全提供保障。標(biāo)準(zhǔn)的數(shù)字證書包含:版本號,簽名算法,序列號,頒發(fā)者姓名,有效日期,主體公鑰信息,頒發(fā)者唯一標(biāo)識符,主體唯一標(biāo)示符等內(nèi)容。一個合理的安全策略離不開數(shù)字證書的支持。

3.5 安全協(xié)議技術(shù)

安全協(xié)議能夠為交易過程中的信息傳輸提供強而有力的保障。目前通用的為電子商務(wù)安全策略提供的協(xié)議主要有電子商務(wù)支付安全協(xié)議、通信安全協(xié)議、郵件安全協(xié)議三類。用于電子商務(wù)的主要安全協(xié)議包括:通訊安全的SSL協(xié)議(Secure Socket Layer),信用卡安全的SET協(xié)議(Secure Electronic Transaction),商業(yè)貿(mào)易安全的超文本傳輸協(xié)議(S-HTTP),InternetEDI電子數(shù)據(jù)交換協(xié)議以及電子郵件安全協(xié)議S/MIME和PEM等。

4 結(jié)論

在電子商務(wù)飛速發(fā)展的過程中,電子商務(wù)安全所占的比重越發(fā)重要。研究電子商務(wù)安全策略,意在于減少由電子商務(wù)安全威脅帶給人們電子商務(wù)交易上的疑慮,以推動電子商務(wù)前進(jìn)的步伐。解除這種疑慮的方法,依賴著安全策略原則的制定和主要技術(shù)的不斷開發(fā)與完善。

參考文獻(xiàn)

[1]田沛. 淺談電子商務(wù)安全發(fā)展戰(zhàn)略[J]. 知識經(jīng)濟(jì), 2010, (2).

[2]如先姑力阿布都熱西提. 計算機網(wǎng)絡(luò)安全對策的研究[J]. 科技信息(學(xué)術(shù)研究), 2008, (10).

[3]陳偉. 電子商務(wù)安全策略初探[J].才智, 2009,(11).

篇7

論文摘要:重點分析了VPN的實現(xiàn)技術(shù)。

隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性,對于企業(yè)和一些跨區(qū)域?qū)iT從事特定業(yè)務(wù)的部門,從經(jīng)濟(jì)實用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來,看VPN技術(shù)無疑是一種不錯的選擇。下面就VPN技術(shù)的實現(xiàn)做一下粗淺的分析:

1 VPN簡介

虛擬專用網(wǎng)(VirtuaIPrivateNetwork, VPN)是一種“基于公共數(shù)據(jù)網(wǎng),給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。VPN極大地降低了用戶的費用,而且提供了比傳統(tǒng)方法更強的安全性和可靠性。

VPN可分為三大類:(1)企業(yè)各部門與遠(yuǎn)程分支之間的In-tranet VPN;(2)企業(yè)網(wǎng)與遠(yuǎn)程(移動)雇員之間的遠(yuǎn)程訪問(Re-mote Access)VPN;(3)企業(yè)與合作伙伴、客戶、供應(yīng)商之間的Extranet VPNo

在ExtranetVPN中,企業(yè)要與不同的客戶及供應(yīng)商建立聯(lián)系,VPN解決方案也會不同。因此,企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有IPSec、點到點隧道協(xié)議(PointtoPoint Tunneling Protocol,PPTP)、第二層隧道協(xié)議(layer2 Tunneling Protocol,I,2TP)等。

2 VPN的實現(xiàn)技術(shù)

VPN實現(xiàn)的兩個關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù),同時QoS技術(shù)對VPN的實現(xiàn)也至關(guān)重要。

2.1 VPN訪問點模型

首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。

2.2隧道技術(shù)

隧道技術(shù)簡單的說就是:原始報文在A地進(jìn)行封裝,到達(dá)B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現(xiàn)隧道技術(shù)的有一般路由封裝(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo

(1)GRE

GRE主要用于源路由和終路由之間所形成的隧道。例如,將通過隧道的報文用一個新的報文頭(GRE報文頭)進(jìn)行封裝然后帶著隧道終點地址放人隧道中。當(dāng)報文到達(dá)隧道終點時,GRE報文頭被剝掉,繼續(xù)原始報文的目標(biāo)地址進(jìn)行尋址。GRE隧道通常是點到點的,即隧道只有一個源地址和一個終地址。然而也有一些實現(xiàn)允許一點到多點,即一個源地址對多個終地址。這時候就要和下一條路由協(xié)議(Next-HopRoutingProtocol , NHRP)結(jié)合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點來看,VPN就象是通過普通主機網(wǎng)絡(luò)的隧道集合。普通主機網(wǎng)絡(luò)的每個點都可利用其地址以及路由所形成的物理連接,配置成一個或多個隧道。在GRE隧道技術(shù)中人口地址用的是普通主機網(wǎng)絡(luò)的地址空間,而在隧道中流動的原始報文用的是VPN的地址空間,這樣反過來就要求隧道的終點應(yīng)該配置成VPN與普通主機網(wǎng)絡(luò)之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網(wǎng)絡(luò)的路由信息中隔離出來,多個VPN可以重復(fù)利用同一個地址空間而沒有沖突,這使得VPN從主機網(wǎng)絡(luò)中獨立出來。從而滿足了VPN的關(guān)鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族,減少實現(xiàn)VPN功能函數(shù)的數(shù)量。還有,對許多VPN所支持的體系結(jié)構(gòu)來說,用同一種格式來支持多種協(xié)議同時又保留協(xié)議的功能,這是非常重要的。IP路由過濾的主機網(wǎng)絡(luò)不能提供這種服務(wù),而只有隧道技術(shù)才能把VPN私有協(xié)議從主機網(wǎng)絡(luò)中隔離開來?;谒淼兰夹g(shù)的VPN實現(xiàn)的另一特點是對主機網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進(jìn)行隔離。對VPN而言主機網(wǎng)絡(luò)可看成點到點的電路集合,VPN能夠用其路由協(xié)議穿過符合VPN管理要求的虛擬網(wǎng)。同樣,主機網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計方案,而不必受VPN用戶網(wǎng)絡(luò)的路由協(xié)議限制。

雖然GRE隧道技術(shù)有很多優(yōu)點,但用其技術(shù)作為VPN機制也有缺點,例如管理費用高、隧道的規(guī)模數(shù)量大等。因為GRE是由手工配置的,所以配置和維護(hù)隧道所需的費用和隧道的數(shù)量是直接相關(guān)的—每次隧道的終點改變,隧道要重新配置。隧道也可自動配置,但有缺點,如不能考慮相關(guān)路由信息、性能問題以及容易形成回路問題。一旦形成回路,會極大惡化路由的效率。除此之外,通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進(jìn)人隧道前的)進(jìn)行的話,就會影響路由發(fā)送速率的能力及服務(wù)性能。

GRE隧道技術(shù)是用在路由器中的,可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠(yuǎn)程訪問VPN中,多數(shù)用戶是采用撥號上網(wǎng)。這時可以通過L2TP和PPTP來加以解決。

(2)L2TP和PPTP

L2TP是L2F( Layer2Forwarding)和PPT’I〕的結(jié)合。但是由于PC機的桌面操作系統(tǒng)包含著PPTP,因此PPT’I〕仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主動’,隧道,后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的,而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。L2TP作為“強制”隧道模型是讓撥號用戶與網(wǎng)絡(luò)中的另一點建立連接的重要機制。建立過程如下:

a.用戶通過Modem與NAS建立連接;b.用戶通過NAS的L2TP接入服務(wù)器身份認(rèn)證;;c.在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上,NAS和L2TP接入服務(wù)器動態(tài)地建立一條L2TP隧道;d.用戶與L2TP接入服務(wù)器之間建立一條點到點協(xié)議(PointtoPointProtocol, PPP)訪問服務(wù)隧道;e.用戶通過該隧道獲得VPN服務(wù)。

與之相反的是,PPTP作為“主動”隧道模型允許終端系統(tǒng)進(jìn)行配置,與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點到點的隧道。并且,PPTP協(xié)商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過程如下:a.用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù);b.用戶通過路由信息定位PPTP接入服務(wù)器;c.用戶形成一個PPTP虛擬接口;d.用戶通過該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建立一條PPP訪問服務(wù)隧道;e.用戶通過該隧道獲得VPN服務(wù)。

在L2TP中,用戶感覺不到NAS的存在,仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中,PPTP隧道對NAS是透明的;NAS不需要知道PPTP接入服務(wù)器的存在,只是簡單地把PPTP流量作為普通IP流量處理。

采用L2TP還是PPTP實現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶手中。硯TP比PPTP更安全,因為硯TP接入服務(wù)器能夠確定用戶從哪里來的。硯TP主要用于比較集中的、固定的VPN用戶,而PPTP比較適合移動的用戶。

2.3加密技術(shù)

數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息,使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4雖然強度比較弱,但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了;DES和三次DES強度比較高,可用于敏感的商業(yè)信息。

加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行;可以對數(shù)據(jù)或報文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實現(xiàn)的最安全方法是在主機的端到端進(jìn)行。另一個選擇是“隧道模式”:加密只在路由器中進(jìn)行,而終端與第一條路由之間不加密。這種方法不太安全,因為數(shù)據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中,VPN安全粒度達(dá)到個人終端系統(tǒng)的標(biāo)準(zhǔn);而“隧道模式”方案,VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中,目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn),因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計的,需要特別的加密硬件。

2.4 QoS技術(shù)

篇8

關(guān)鍵詞:數(shù)字簽名;加密技術(shù);數(shù)字證書;電子文檔;安全問題

Abstract:Today’sapprovalofnewdrugsintheinternationalcommunityneedstocarryouttherawdatatransmission.Thetraditionalwayofexaminationandapprovalredtapeandinefficiency,andtheuseoftheInternettotransmitelectronictextcankeepdatasafeandreliable,butalsogreatlysavemanpower,materialandfinancialresources,andsoon.Inthispaper,encryptionanddigitalsignaturealgorithmofthebasicprinciples,combinedwithhisownideas,givenmedicalapprovalintheelectronictransmissionofthetextofthesecuritysolution.

Keywords:digitalsignature;encryptiontechnology;digitalcertificate;electronicdocuments;securityissues

1引言

隨著我國醫(yī)藥事業(yè)的發(fā)展,研制新藥,搶占國內(nèi)市場已越演越烈。以前一些醫(yī)藥都是靠進(jìn)口,不僅成本高,而且容易形成壁壘。目前,我國的醫(yī)藥研究人員經(jīng)過不懈的努力,開始研制出同類同效的藥物,然而這些藥物在走向市場前,必須經(jīng)過國際權(quán)威醫(yī)療機構(gòu)的審批,傳統(tǒng)方式是藥物分析的原始數(shù)據(jù)都是采用紙張方式,不僅數(shù)量多的嚇人,而且一旦有一點差錯就需從頭做起,浪費大量的人力、物力、財力。隨著INTERNET的發(fā)展和普及,人們開始考慮是否能用互聯(lián)網(wǎng)來解決數(shù)據(jù)傳輸問題。他們希望自己的儀器所做的結(jié)果能通過網(wǎng)絡(luò)安全傳輸、并得到接收方認(rèn)證。目前國外針對這一情況已⒘四承┤砑?,葰g?,由釉傐格昂贵,茧H醪皇嗆艸墑歟勾τ諮櫓そ錐?,随时粠V兜腦潁諍萇偈褂謾U餼透諞揭┭蟹⑹亂敵緯閃思際跗烤?,染U慰⒊鍪視櫚南嚶θ砑?,绖?chuàng)俳夜揭┥笈ぷ韉姆⒄咕統(tǒng)閃斯詰那把亓煊潁胰漲骯謖夥矯嫻難芯坎皇嗆芏唷?lt;/DIV>

本文闡述的思想:基本上是參考國際國內(nèi)現(xiàn)有的算法和體制及一些相關(guān)的應(yīng)用實例,并結(jié)合個人的思想提出了一套基于公鑰密碼體制和對稱加密技術(shù)的解決方案,以確保醫(yī)藥審批中電子文本安全傳輸和防止竄改,不可否認(rèn)等。

2算法設(shè)計

2.1AES算法的介紹[1]

高級加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard)美國國家技術(shù)標(biāo)準(zhǔn)委員會(NIST)在2000年10月選定了比利時的研究成果"Rijndael"作為AES的基礎(chǔ)。"Rijndael"是經(jīng)過三年漫長的過程,最終從進(jìn)入候選的五種方案中挑選出來的。

AES內(nèi)部有更簡潔精確的數(shù)學(xué)算法,而加密數(shù)據(jù)只需一次通過。AES被設(shè)計成高速,堅固的安全性能,而且能夠支持各種小型設(shè)備。

AES和DES的性能比較:

(1)DES算法的56位密鑰長度太短;

(2)S盒中可能有不安全的因素;

(3)AES算法設(shè)計簡單,密鑰安裝快、需要的內(nèi)存空間少,在所有平臺上運行良好,支持并行處理,還可抵抗所有已知攻擊;

(4)AES很可能取代DES成為新的國際加密標(biāo)準(zhǔn)。

總之,AES比DES支持更長的密鑰,比DES具有更強的安全性和更高的效率,比較一下,AES的128bit密鑰比DES的56bit密鑰強1021倍。隨著信息安全技術(shù)的發(fā)展,已經(jīng)發(fā)現(xiàn)DES很多不足之處,對DES的破解方法也日趨有效。AES會代替DES成為21世紀(jì)流行的對稱加密算法。

2.2橢圓曲線算法簡介[2]

2.2.1橢圓曲線定義及加密原理[2]

所謂橢圓曲線指的是由韋爾斯特拉斯(Weierstrass)方程y2+a1xy+a3y=x3+a2x2+a4x+a6(1)所確定的平面曲線。若F是一個域,ai∈F,i=1,2,…,6。滿足式1的數(shù)偶(x,y)稱為F域上的橢圓曲線E的點。F域可以式有理數(shù)域,還可以式有限域GF(Pr)。橢圓曲線通常用E表示。除了曲線E的所有點外,尚需加上一個叫做無窮遠(yuǎn)點的特殊O。

在橢圓曲線加密(ECC)中,利用了某種特殊形式的橢圓曲線,即定義在有限域上的橢圓曲線。其方程如下:

y2=x3+ax+b(modp)(2)

這里p是素數(shù),a和b為兩個小于p的非負(fù)整數(shù),它們滿足:

4a3+27b2(modp)≠0其中,x,y,a,b∈Fp,則滿足式(2)的點(x,y)和一個無窮點O就組成了橢圓曲線E。

橢圓曲線離散對數(shù)問題ECDLP定義如下:給定素數(shù)p和橢圓曲線E,對Q=kP,在已知P,Q的情況下求出小于p的正整數(shù)k??梢宰C明,已知k和P計算Q比較容易,而由Q和P計算k則比較困難,至今沒有有效的方法來解決這個問題,這就是橢圓曲線加密算法原理之所在。

2.2.2橢圓曲線算法與RSA算法的比較

橢圓曲線公鑰系統(tǒng)是代替RSA的強有力的競爭者。橢圓曲線加密方法與RSA方法相比,有以下的優(yōu)點:

(1)安全性能更高如160位ECC與1024位RSA、DSA有相同的安全強度。

(2)計算量小,處理速度快在私鑰的處理速度上(解密和簽名),ECC遠(yuǎn)比RSA、DSA快得多。

(3)存儲空間占用小ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多,所以占用的存儲空間小得多。

(4)帶寬要求低使得ECC具有廣泛得應(yīng)用前景。

ECC的這些特點使它必將取代RSA,成為通用的公鑰加密算法。比如SET協(xié)議的制定者已把它作為下一代SET協(xié)議中缺省的公鑰密碼算法。

2.3安全散列函數(shù)(SHA)介紹

安全散列算法SHA(SecureHashAlgorithm,SHA)[1]是美國國家標(biāo)準(zhǔn)和技術(shù)局的國家標(biāo)準(zhǔn)FIPSPUB180-1,一般稱為SHA-1。其對長度不超過264二進(jìn)制位的消息產(chǎn)生160位的消息摘要輸出。

SHA是一種數(shù)據(jù)加密算法,該算法經(jīng)過加密專家多年來的發(fā)展和改進(jìn)已日益完善,現(xiàn)在已成為公認(rèn)的最安全的散列算法之一,并被廣泛使用。該算法的思想是接收一段明文,然后以一種不可逆的方式將它轉(zhuǎn)換成一段(通常更?。┟芪模部梢院唵蔚睦斫鉃槿∫淮斎氪a(稱為預(yù)映射或信息),并把它們轉(zhuǎn)化為長度較短、位數(shù)固定的輸出序列即散列值(也稱為信息摘要或信息認(rèn)證代碼)的過程。散列函數(shù)值可以說時對明文的一種“指紋”或是“摘要”所以對散列值的數(shù)字簽名就可以視為對此明文的數(shù)字簽名。

3數(shù)字簽名

“數(shù)字簽名”用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者的身份認(rèn)證和不可抵賴性。數(shù)字簽名技術(shù)的實現(xiàn)基礎(chǔ)是公開密鑰加密技術(shù),是用某人的私鑰加密的消息摘要用于確認(rèn)消息的來源和內(nèi)容。公鑰算法的執(zhí)行速度一般比較慢,把Hash函數(shù)和公鑰算法結(jié)合起來,所以在數(shù)字簽名時,首先用hash函數(shù)(消息摘要函數(shù))將消息轉(zhuǎn)變?yōu)橄⒄?,然后對這個摘

要簽名。目前比較流行的消息摘要算法是MD4,MD5算法,但是隨著計算能力和散列密碼分析的發(fā)展,這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。

4解決方案:

下面是醫(yī)藥審批系統(tǒng)中各個物理組成部分及其相互之間的邏輯關(guān)系圖:

要簽名。目前比較流行的消息摘要算法是MD4,MD5算法,但是隨著計算能力和散列密碼分析的發(fā)展,這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。

4解決方案:

下面是醫(yī)藥審批系統(tǒng)中各個物理組成部分及其相互之間的邏輯關(guān)系圖:

圖示:電子文本傳輸加密、簽名過程

下面是將醫(yī)藥審批過程中的電子文本安全傳輸?shù)慕鉀Q方案:

具體過程如下:

(1)發(fā)送方A將發(fā)送原文用SHA函數(shù)編碼,產(chǎn)生一段固定長度的數(shù)字摘要。

(2)發(fā)送方A用自己的私鑰(keyA私)對摘要加密,形成數(shù)字簽名,附在發(fā)送信息原文后面。

(3)發(fā)送方A產(chǎn)生通信密鑰(AES對稱密鑰),用它對帶有數(shù)字簽名的原文進(jìn)行加密,傳送到接收方B。這里使用對稱加密算法AES的優(yōu)勢是它的加解密的速度快。

(4)發(fā)送方A用接收方B的公鑰(keyB公)對自己的通信密鑰進(jìn)行加密后,傳到接收方B。這一步利用了數(shù)字信封的作用,。

(5)接收方B收到加密后的通信密鑰,用自己的私鑰對其解密,得到發(fā)送方A的通信密鑰。

(6)接收方B用發(fā)送方A的通信密鑰對收到的經(jīng)加密的簽名原文解密,得數(shù)字簽名和原文。

(7)接收方B用發(fā)送方A公鑰對數(shù)字簽名解密,得到摘要;同時將原文用SHA-1函數(shù)編碼,產(chǎn)生另一個摘要。

(8)接收方B將兩摘要比較,若一致說明信息沒有被破壞或篡改。否則丟棄該文檔。

這個過程滿足5個方面的安全性要求:(1)原文的完整性和簽名的快速性:利用單向散列函數(shù)SHA-1先將原文換算成摘要,相當(dāng)原文的指紋特征,任何對原文的修改都可以被接收方B檢測出來,從而滿足了完整性的要求;再用發(fā)送方公鑰算法(ECC)的私鑰加密摘要形成簽名,這樣就克服了公鑰算法直接加密原文速度慢的缺點。(2)加解密的快速性:用對稱加密算法AES加密原文和數(shù)字簽名,充分利用了它的這一優(yōu)點。(3)更高的安全性:第四步中利用數(shù)字信封的原理,用接收方B的公鑰加密發(fā)送方A的對稱密鑰,這樣就解決了對稱密鑰傳輸困難的不足。這種技術(shù)的安全性相當(dāng)高。結(jié)合對稱加密技術(shù)(AES)和公開密鑰技術(shù)(ECC)的優(yōu)點,使用兩個層次的加密來獲得公開密鑰技術(shù)的靈活性和對稱密鑰技術(shù)的高效性。(4)保密性:第五步中,發(fā)送方A的對稱密鑰是用接收方B的公鑰加密并傳給自己的,由于沒有別人知道B的私鑰,所以只有B能夠?qū)@份加密文件解密,從而又滿足保密性要求。(5)認(rèn)證性和抗否認(rèn)性:在最后三步中,接收方B用發(fā)送方A的公鑰解密數(shù)字簽名,同時就認(rèn)證了該簽名的文檔是發(fā)送A傳遞過來的;由于沒有別人擁有發(fā)送方A的私鑰,只有發(fā)送方A能夠生成可以用自己的公鑰解密的簽名,所以發(fā)送方A不能否認(rèn)曾經(jīng)對該文檔進(jìn)進(jìn)行過簽名。

5方案評價與結(jié)論

為了解決傳統(tǒng)的新藥審批中的繁瑣程序及其必有的缺點,本文提出利用基于公鑰算法的數(shù)字簽名對文檔進(jìn)行電子簽名,從而大大增強了文檔在不安全網(wǎng)絡(luò)環(huán)境下傳遞的安全性。

本方案在選擇加密和數(shù)字簽名算法上都是經(jīng)過精心的比較,并且結(jié)合現(xiàn)有的相關(guān)應(yīng)用實例情況,提出醫(yī)藥審批過程的解決方案,其優(yōu)越性是:將對稱密鑰AES算法的快速、低成本和非對稱密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結(jié)合在一起,從而提供了完整的安全服務(wù),包括身份認(rèn)證、保密性、完整性檢查、抗否認(rèn)等。

參考文獻(xiàn):

1.李永新.數(shù)字簽名技術(shù)的研究與探討。紹興文理學(xué)院學(xué)報。第23卷第7期2003年3月,P47~49.

2.康麗軍。數(shù)字簽名技術(shù)及應(yīng)用,太原重型機械學(xué)院學(xué)報。第24卷第1期2003年3月P31~34.

3.胡炎,董名垂。用數(shù)字簽名解決電力系統(tǒng)敏感文檔簽名問題。電力系統(tǒng)自動化。第26卷第1期2002年1月P58~61。

4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.

5.WrightMA,workSecurity,1998(2)P10~13.

6.BruceSchneier.應(yīng)用密碼學(xué)---協(xié)議、算法與C源程序(吳世終,祝世雄,張文政,等).北京:機械工業(yè)出版社,2001。

7.賈晶,陳元,王麗娜,信息系統(tǒng)的安全與保密[M],北京:清華大學(xué)出版社,1999

8.陳彥學(xué).信息安全理論與實務(wù)【M】。北京:中國鐵道出版社,2000p167~178.

9.顧婷婷,《AES和橢圓曲線密碼算法的研究》。四川大學(xué)碩士學(xué)位論文,【館藏號】Y4625892002。

下面是將醫(yī)藥審批過程中的電子文本安全傳輸?shù)慕鉀Q方案:

具體過程如下:

(1)發(fā)送方A將發(fā)送原文用SHA函數(shù)編碼,產(chǎn)生一段固定長度的數(shù)字摘要。

(2)發(fā)送方A用自己的私鑰(keyA私)對摘要加密,形成數(shù)字簽名,附在發(fā)送信息原文后面。

(3)發(fā)送方A產(chǎn)生通信密鑰(AES對稱密鑰),用它對帶有數(shù)字簽名的原文進(jìn)行加密,傳送到接收方B。這里使用對稱加密算法AES的優(yōu)勢是它的加解密的速度快。

(4)發(fā)送方A用接收方B的公鑰(keyB公)對自己的通信密鑰進(jìn)行加密后,傳到接收方B。這一步利用了數(shù)字信封的作用,。

(5)接收方B收到加密后的通信密鑰,用自己的私鑰對其解密,得到發(fā)送方A的通信密鑰。

(6)接收方B用發(fā)送方A的通信密鑰對收到的經(jīng)加密的簽名原文解密,得數(shù)字簽名和原文。

(7)接收方B用發(fā)送方A公鑰對數(shù)字簽名解密,得到摘要;同時將原文用SHA-1函數(shù)編碼,產(chǎn)生另一個摘要。

(8)接收方B將兩摘要比較,若一致說明信息沒有被破壞或篡改。否則丟棄該文檔。

這個過程滿足5個方面的安全性要求:(1)原文的完整性和簽名的快速性:利用單向散列函數(shù)SHA-1先將原文換算成摘要,相當(dāng)原文的指紋特征,任何對原文的修改都可以被接收方B檢測出來,從而滿足了完整性的要求;再用發(fā)送方公鑰算法(ECC)的私鑰加密摘要形成簽名,這樣就克服了公鑰算法直接加密原文速度慢的缺點。(2)加解密的快速性:用對稱加密算法AES加密原文和數(shù)字簽名,充分利用了它的這一優(yōu)點。(3)更高的安全性:第四步中利用數(shù)字信封的原理,用接收方B的公鑰加密發(fā)送方A的對稱密鑰,這樣就解決了對稱密鑰傳輸困難的不足。這種技術(shù)的安全性相當(dāng)高。結(jié)合對稱加密技術(shù)(AES)和公開密鑰技術(shù)(ECC)的優(yōu)點,使用兩個層次的加密來獲得公開密鑰技術(shù)的靈活性和對稱密鑰技術(shù)的高效性。(4)保密性:第五步中,發(fā)送方A的對稱密鑰是用接收方B的公鑰加密并傳給自己的,由于沒有別人知道B的私鑰,所以只有B能夠?qū)@份加密文件解密,從而又滿足保密性要求。(5)認(rèn)證性和抗否認(rèn)性:在最后三步中,接收方B用發(fā)送方A的公鑰解密數(shù)字簽名,同時就認(rèn)證了該簽名的文檔是發(fā)送A傳遞過來的;由于沒有別人擁有發(fā)送方A的私鑰,只有發(fā)送方A能夠生成可以用自己的公鑰解密的簽名,所以發(fā)送方A不能否認(rèn)曾經(jīng)對該文檔進(jìn)進(jìn)行過簽名。

5方案評價與結(jié)論

為了解決傳統(tǒng)的新藥審批中的繁瑣程序及其必有的缺點,本文提出利用基于公鑰算法的數(shù)字簽名對文檔進(jìn)行電子簽名,從而大大增強了文檔在不安全網(wǎng)絡(luò)環(huán)境下傳遞的安全性。

本方案在選擇加密和數(shù)字簽名算法上都是經(jīng)過精心的比較,并且結(jié)合現(xiàn)有的相關(guān)應(yīng)用實例情況,提出醫(yī)藥審批過程的解決方案,其優(yōu)越性是:將對稱密鑰AES算法的快速、低成本和非對稱密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結(jié)合在一起,從而提供了完整的安全服務(wù),包括身份認(rèn)證、保密性、完整性檢查、抗否認(rèn)等。

參考文獻(xiàn):

1.李永新.數(shù)字簽名技術(shù)的研究與探討。紹興文理學(xué)院學(xué)報。第23卷第7期2003年3月,P47~49.

2.康麗軍。數(shù)字簽名技術(shù)及應(yīng)用,太原重型機械學(xué)院學(xué)報。第24卷第1期2003年3月P31~34.

3.胡炎,董名垂。用數(shù)字簽名解決電力系統(tǒng)敏感文檔簽名問題。電力系統(tǒng)自動化。第26卷第1期2002年1月P58~61。

4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.

5.WrightMA,workSecurity,1998(2)P10~13.

6.BruceSchneier.應(yīng)用密碼學(xué)---協(xié)議、算法與C源程序(吳世終,祝世雄,張文政,等).北京:機械工業(yè)出版社,2001。

7.賈晶,陳元,王麗娜,信息系統(tǒng)的安全與保密[M],北京:清華大學(xué)出版社,1999

篇9

關(guān)鍵詞:信息安全;密碼學(xué);混沌加密;數(shù)字圖像;多混沌系統(tǒng)

中圖分類號:TP311文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)36-10238-02

Research on Digital Image Encryption Algorithm Based on Multi-Chaos

LU Jing1,2, JIANG Li3

(1.School of Computer Science and Technology, Nanjing University of Science and Technology, Nanjing 210094, China; 2.Lianyungang Teacher's College, Lianyungang 222006, China; 3.The Department of Computer Science and Information Engineering, Shanghai Institute of Technology, Shanghai 200235, China)

Abstract: Based on the cryptology theory, we carry out an in-depth research on the chaotic encryption technology. a digital image encryption algorithm based on multistage chaotic is proposed. According to the characters of digital image, different chaotic models are used to generate diffusion and confusion matrixes. And then, digital image is encrypted with these matrixes.

Key words: information security; cryptology; chaotic encryption; digital image; multi-chaos

隨著計算機硬件的發(fā)展,計算機的運算速度不斷提高,對很多加密算法的抗破譯能力提出了挑戰(zhàn)。經(jīng)研究證明原有的一些加密方法在現(xiàn)有技術(shù)條件下己經(jīng)不具備足夠的安全性[1],因此繼續(xù)研究加密技術(shù)和設(shè)計新型有效的加密算法已經(jīng)成為迫切的需要。一些新興的密碼技術(shù)如量子密碼技術(shù)、混沌密碼技術(shù)、基于生物特征的識別理論與技術(shù)相繼出現(xiàn)[2],這其中混沌現(xiàn)象以其獨特的動力學(xué)特征在現(xiàn)代密碼技術(shù)被廣泛應(yīng)用。

1 混沌圖像加密算法設(shè)計

目前常用的一維混沌系統(tǒng)有Logistic系統(tǒng)、Rossler系統(tǒng).、Tent系統(tǒng)、 lorenz系統(tǒng)等。在對一維混沌加密系統(tǒng)進(jìn)行簡單的變換加密后,會轉(zhuǎn)化為一種平凡混沌加密系統(tǒng),難以保障其安全性 [3-5]。

針對這種情況,本文提出一種基于多混沌的數(shù)字圖像加密算法,其基本思想是利用三個不同的混沌模型,在加密算法中實現(xiàn)不同的功能。第一個混沌模型經(jīng)過多次迭代,產(chǎn)生置換矩陣,對原始圖像作置亂變換;第二個模型則決定各像素被修改的次序;第三個混沌模型迭代產(chǎn)生密鑰流,依照第二個模型決定的修改次序,對置換后圖像中各像素的值進(jìn)行修改。

1.1 算法中用到的混沌模型

首先介紹算法中使用的三個混沌映射模型[6]。

1) 第一個混沌映射模型

該模型選用了混合光學(xué)雙穩(wěn)模型,其迭代方程為:

Xn+1=ASin2(Xn-B)(1)

當(dāng)A=6,B=3時,已知該模型處于混沌狀態(tài)。本論文的加密算法中,該模型用來產(chǎn)生置換矩陣,以便對輸入的明文進(jìn)行初始置換。

2) 第二個混沌映射模型

該模型選用了分段線性混沌映射:

(2)

當(dāng)0

3) 第三個混沌映射模型

該混沌映射模型采用了目前應(yīng)用最為廣泛的Logistic映射:

Xn+1=μXn(1-Xn)(3)

該映射在3.5699456

1.2 圖像像素位置置亂算法

考慮一幅大小為M×N ,具有S 級灰度的圖像,設(shè)(i,j) 為像素P 所處的坐標(biāo),(i',j') 為經(jīng)過置亂后,像素P 所處的坐標(biāo)。其中1≤i≤M ,1≤j≤N ;1≤i'≤M ,1≤j'≤N 。圖像像素位置置亂算法即要求設(shè)計映射f ,使得:

映射f 同時應(yīng)該滿足以下條件:?坌(i1,j1),(i2,j2) ,若(i1,j1)≠(i2,j2) ,則(i1',j1')≠(i2',j2') 。其中(i1,j1)=(i2,j2)表示i1=i2 并且j1=j2。這個條件表明,圖像像素置亂算法應(yīng)該是一一映射的。本文利用混沌模型1,迭代產(chǎn)生圖像置亂算法。

1.3 圖像像素值替代算法

對一幅大小為M×N,具有S 級灰度的圖像,設(shè)rij 為經(jīng)過置亂后坐標(biāo)(i,j) 處的像素值,其中1≤i≤M ,1≤j≤N 。r'ij 為執(zhí)行完替代操作后,坐標(biāo)(i,j) 處的圖像像素值。圖像像素值替代算法即要求設(shè)計映射T ,使得:

本文利用混沌模型2和3,迭代產(chǎn)生圖像像素值替代算法。替代算法分為兩步,首先利用混沌模型2產(chǎn)生圖像像素的替代次序矩陣;然后利用混沌模型3生產(chǎn)密鑰流,按照替代次序矩陣對圖像的每一個像素加密。

2 多級混沌圖形加密算法的實現(xiàn)

2.1 加密算法的密鑰設(shè)計

本文提出的加密算法綜合使用了上述3種混沌模型,每一種混沌模型的初始值和參數(shù)(共7個)都可以作為密鑰。但是為了保證算法中采用的映射模型處于混沌狀態(tài),定義混合光學(xué)雙穩(wěn)模型中的參數(shù)A=6,B=3,定義Logistic映射中的參數(shù)μ=4,剩余的4個值作為算法的初始密鑰,由用戶輸入。所以初始密鑰K是一個4元組,包含4個子密鑰:

K=(X,P,Y,Z)。

其中:

X:模型(4-1)的初值,要求0

P:模型(4-2)的參數(shù),要求0

Y:模型(4-2)的初值,要求0

Z:模型(4-3)的初值,要求0

2.2 加密算法的實現(xiàn)步驟

多級混沌加密算法的實現(xiàn)步驟描述如下:

1) 輸入密鑰K(X,P,Y,Z)。

2) 打開待加密的圖形。

3) 根據(jù)像像素位置置亂算法f ,對圖像進(jìn)行置亂處理。

4) 根據(jù)圖像像素值替代算法T ,對圖像像素值進(jìn)行替換操作。

5) 輸出加密后的圖形。

2.3 加密算法的原理圖

總體上講,上述加密算法由三個操作完成,分別是:擴(kuò)展、置換和異或。其中擴(kuò)展是將16位初始明文擴(kuò)展為32位信息。置換是將擴(kuò)展后的32位信息根據(jù)置換矩陣P進(jìn)行置換,以達(dá)到“混亂”的目的;其中用到的置換矩陣由混沌模型(1)生成。異或是將置換后的結(jié)果與密鑰流Keyi(i=1,2,3,……)進(jìn)行異或操作,生成最終的密文;其中密鑰流是通過混沌模型(2)和(3)的聯(lián)合作用產(chǎn)生的。

初始密鑰K包含4個子密鑰X,P,Y,Z,分別對應(yīng)3個混沌模型的初始值與參數(shù),加密時由用戶輸入。

算法的原理如圖1所示。

2.4 算法的實現(xiàn)細(xì)節(jié)討論

該多級混沌加密算法用C++語言設(shè)計,對算法的具體實現(xiàn)作如下討論:

2.4.1 算法中,對3個混沌模型的迭代分別得到不同的混沌序列

為了獲得更好的偽隨機性,可以舍棄初始若干次迭代所得的值,而選取第k次以后的迭代值。在本算法具體實現(xiàn)時,取k的值為20,即舍棄初始20次迭代的值,選取從第21次開始的迭代結(jié)果保存并使用。

2.4.2 圖像像素值替代算法T 中第5步,對密鑰和置亂后的圖形像素值進(jìn)行了異或操作

對于具有S 級灰度的圖像,置亂后的圖形像素值是S 位的二進(jìn)制代碼。為了使混沌系統(tǒng)產(chǎn)生的實數(shù)密鑰能夠和S 位像素值進(jìn)行異或操作,以二進(jìn)制代碼的形式讀取密鑰矩陣,并取其低S 位進(jìn)行異或操作。實驗中,S 取值為8或者16。

2.5 解密過程

在解密過程中,密鑰X,P,Y,Z與加密時的密鑰完全一致。密鑰X仍然用于生成置換矩陣,密鑰P,Y,Z分別是另外2個混沌模型的初始值和參數(shù),經(jīng)過混沌迭代后,產(chǎn)生替換次序矩陣和密鑰矩陣,用于解密。密文圖形經(jīng)過與密鑰矩陣的異或,再進(jìn)行反向置換操作,可以正確地恢復(fù)成明文圖形。

3 結(jié)論

本文提出一種基于多混沌的數(shù)字圖像加密算法,利用三個不同的混沌模型對數(shù)字圖像進(jìn)行多次置換、置亂,實現(xiàn)對數(shù)字圖像的加密。該加密算法具有實現(xiàn)簡單、加密速度快、安全性較高的特點。同時本算法是對稱加密算法,解密時根據(jù)初始密鑰進(jìn)行加密過程的逆操作,就能夠?qū)崿F(xiàn)正確的解密,恢復(fù)原始信息。

參考文獻(xiàn):

[1] 楊波.現(xiàn)代密碼學(xué)[M].北京:清華大學(xué)出版社,2003.

[2] 龍冬陽.應(yīng)用編碼與計算機密碼學(xué)[M].北京:清華大學(xué)出版社,2005.

[3] 高俊山.徐松源.基于混沌理論的加密過程的研究[J].自動化技術(shù)與應(yīng)用,2001,(6):13-16.

[4] Yang T, Yang L B, Yang C M. Breaking chaotic switching using generalized synchronization Examples[J]. IEEE Trans. Circuits Syst.I,1998,45(10):1062.

[5] Yang T,Yang L B,Yang C M. Application of neural networks to unmasking chaotic secure communication[J].Phys D,1998,124:248.

[6] 姜麗.多級混沌加密算法的研究與應(yīng)用[D].華東理工大學(xué)碩士學(xué)位論文,2003.

篇10

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用,利用計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實現(xiàn)商務(wù)活動的國際化、信息化和無紙化,已成為各國商務(wù)發(fā)展的一大趨勢。電子商務(wù)正是為了適應(yīng)這種以全球為市場的的變化而出現(xiàn)的和發(fā)展起來的,它是當(dāng)今社會發(fā)展最快的領(lǐng)域之一,同時也為全球的經(jīng)濟(jì)發(fā)展帶來新的增長點。電子商務(wù)正在改變著人們的生活以及整個社會的發(fā)展進(jìn)程,貿(mào)易網(wǎng)絡(luò)將引起人們對管理模式、工作和生活方式,乃至經(jīng)營管理思維方式等等的綜合革新。對貿(mào)易和商業(yè)領(lǐng)域來說,電子商務(wù)的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式,縮減交易程序,提高辦事效率?,F(xiàn)在,許多網(wǎng)站都提供有“商城”,供網(wǎng)民在網(wǎng)上購物??梢哉f,電子商務(wù)應(yīng)用將越來越普及。然而,隨著Internet逐漸發(fā)展成為電子商務(wù)的最佳載體,互聯(lián)網(wǎng)具有充分開放,不設(shè)防護(hù)的特點使加強電子商務(wù)的安全問題日益緊迫,只有在全球范圍建立一套人們能充分信任的安全保障制度,確保信息的真實性、可靠性和保密性,才能夠打消人們的顧慮,放心的參與電子商務(wù)。否則,電子商務(wù)的發(fā)展將失去其支撐點。

要加強電子商務(wù)的安全,需要企業(yè)本身采取更為嚴(yán)格的管理措施,需要國家建立健全法律制度,更需要有科學(xué)的先進(jìn)的安全技術(shù)。

在電子商務(wù)的交易中,經(jīng)濟(jì)信息、資金都要通過網(wǎng)絡(luò)傳輸,交易雙方的身份也需要認(rèn)證,因此,電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺的安全和交易信息的安全。而網(wǎng)絡(luò)平臺的安全是指網(wǎng)絡(luò)操作系統(tǒng)對抗網(wǎng)絡(luò)攻擊、病毒,使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運行。常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護(hù)交易雙方的不被破壞、不泄密,和交易雙方身份的確認(rèn)??梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術(shù)來保護(hù)。

在這里我想重點談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。

一、防火墻技術(shù)。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動;(5)對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。

新一代的防火墻產(chǎn)品一般運用了以下技術(shù):

(1)透明的訪問方式。

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄,要么需要通過SOCKS等庫路徑修改客戶機的應(yīng)用。而現(xiàn)在的防火墻利用了透明的系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。

(2)靈活的系統(tǒng)。

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種機制:一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決,后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來解決。

(3)多級過濾技術(shù)。

為保證系統(tǒng)的安全性和防護(hù)水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級網(wǎng)關(guān)一級,能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級,實現(xiàn)內(nèi)部主機與外部站點的透膽連接,并對服務(wù)的通行實行嚴(yán)格控制。

(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。

(5)Internet網(wǎng)關(guān)技術(shù)。

由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面,新一代防火墻采用兩種獨立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運行。在Finger服務(wù)器中,對外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。

為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時對服務(wù)器的需要,新一代防火墻采用分別保護(hù)的策略對用戶上網(wǎng)的對外服務(wù)器實施保護(hù),它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理,對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機既可單獨管理,也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因為SSN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。

(7)用戶鑒別與加密。

為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密。

(8)用戶定制服務(wù)。

為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數(shù)據(jù)庫的,便可以利用這些支持,方便設(shè)置。

(9)審計和告警。

新一代防火墻產(chǎn)品采用的審計和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、域名服務(wù)器等。告警功能會守住每一個TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現(xiàn),故也被稱為包過濾路由器。它在網(wǎng)絡(luò)層對進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號、ICMP消息類型,并按照信息過濾規(guī)則進(jìn)行篩選,若符合規(guī)則,則允許該數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng),否則進(jìn)行報警或通知管理員,并且丟棄該包。這樣一來,路由器能根據(jù)特定的劌則允許或拒絕流動的數(shù)據(jù),如:Telnet服務(wù)器在TCP的23號端口監(jiān)聽遠(yuǎn)程連接,若管理員想阻塞所有進(jìn)入的Telnet連接,過濾規(guī)則只需設(shè)為丟棄所有的TCP端口號為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快,實現(xiàn)方便,但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過,沒有基于用戶的認(rèn)證,而IP地址可以偽造成可信任的外部主機地址,另外它不能提供日志,這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。

其二是應(yīng)用級防火墻。大多數(shù)的應(yīng)用級防火墻產(chǎn)品使用的是應(yīng)用機制,內(nèi)置了應(yīng)用程序,可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng),它只能到達(dá)服務(wù)器,若符合條件,服務(wù)器會到內(nèi)部網(wǎng)取出所需的信息,轉(zhuǎn)發(fā)出去。同樣道理,內(nèi)部網(wǎng)要訪問Internet,也要通過服務(wù)器的轉(zhuǎn)接,這樣能監(jiān)控內(nèi)部用戶訪問Internet.這類防火墻能詳細(xì)記錄所有的訪問紀(jì)錄,但它不允許內(nèi)部用戶直接訪問外部,會使速度變慢。且需要對每一個特定的Internet服務(wù)安裝相應(yīng)的服務(wù)器軟件,用戶無法使用未被服務(wù)器支持的服務(wù)。

防火墻技術(shù)從其功能上來分,還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用,以彌補各自的缺陷和增加系統(tǒng)的安全性能。

防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護(hù),但對來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需考慮其它技術(shù)和非技術(shù)的因素,如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識等。就防火墻本身來看,包過濾技術(shù)和訪問模式等都有一定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內(nèi)核等。但實踐證明,防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。

二、數(shù)據(jù)加密技術(shù)

在電子商務(wù)中,信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ),加密技術(shù)是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復(fù)雜錯亂的、不可理解的密文形式(即加密),在線路上傳送或在數(shù)據(jù)庫中存儲,其他用戶再將密文還原成明文(即解密),從而保障信息數(shù)據(jù)的安全性。

數(shù)據(jù)加密的方法很多,常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制,1977年美國標(biāo)準(zhǔn)局正式頒布其為加密標(biāo)準(zhǔn),這種方法使用簡單,加密解密速度快,適合于大量信息的加密。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設(shè)每對交易方用不同的密鑰,N對交易方需要N*(N-1)/2個密鑰,難于管理。第三,不能鑒別數(shù)據(jù)的完整性。

非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應(yīng)的私鑰解密,同樣地,用私鑰解密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。具體加密傳輸過程如下:

(1)發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

(2)發(fā)送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。

(3)接收方乙用自己的私鑰解密,得到甲的私鑰。

(4)接收方乙用甲的公鑰解密,得到明文。

這個過程包含了兩個加密解密過程:密鑰的加解密和文件本身的加解密。在密鑰的加密過程中,由于發(fā)送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無法解密。這就保證了信息的機密性。另外,發(fā)送方甲用自己的私鑰加密信息,因為信息是用甲的私鑰加密,只有甲保管它,可以認(rèn)定信息是甲發(fā)出的,而且沒有甲的私鑰不能修改數(shù)據(jù)。可以保證信息的不可抵賴性。