引論:我們?yōu)槟砹?3篇加密技術(shù)論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
混沌是一種復(fù)雜的非線性、非平衡的動力學(xué)過程,其特點為:(1)混沌系統(tǒng)的行為是許多有序行為的集合,而每個有序分量在正常條件下,都不起主導(dǎo)作用;(2)混沌看起來似為隨機,但都是確定的;(3)混沌系統(tǒng)對初始條件極為敏感,對于兩個相同的混沌系統(tǒng),若使其處于稍異的初態(tài)就會迅速變成完全不同的狀態(tài)。
1963年,美國氣象學(xué)家洛倫茲(Lorenz)提出混沌理論,認(rèn)為氣候從本質(zhì)上是不可預(yù)測的,最微小的條件改變將會導(dǎo)致巨大的天氣變化,這就是著名的“蝴蝶效應(yīng)”。此后混沌在各個領(lǐng)域都得到了不同程度的運用。20世紀(jì)80年代開始,短短的二十幾年里,混沌動力學(xué)得到了廣泛的應(yīng)用和發(fā)展。
二、混沌在加密算法中的應(yīng)用
混沌系統(tǒng)由于對初值的敏感性,很小的初值誤差就能被系統(tǒng)放大,因此,系統(tǒng)的長期性是不可預(yù)測的;又因為混沌序列具有很好的統(tǒng)計特性,所以它可以產(chǎn)生隨機數(shù)列,這些特性很適合于序列加密技術(shù)。信息論的奠基人美國數(shù)學(xué)家Shannon指出:若能以某種方式產(chǎn)生一隨機序列,這一序列由密鑰所確定,任何輸入值一個微小變化對輸出都具有相當(dāng)大影響,則利用這樣的序列就可以進(jìn)行加密。混沌系統(tǒng)恰恰符合這種要求。
混沌系統(tǒng)的特性使得它在數(shù)值分布上不符合概率統(tǒng)計學(xué)原理,得不到一個穩(wěn)定的概率分布特征;另外,混沌數(shù)集是實數(shù)范圍,還可以推廣到復(fù)數(shù)范圍。因此,從理論上講,利用混沌原理對數(shù)據(jù)進(jìn)行加密,可以防范頻率分析攻擊、窮舉攻擊等攻擊方法,使得密碼難于分析、破譯。
從1992年至今,混沌保密通信經(jīng)歷了四代。混沌掩蓋和混沌鍵控屬于第一代混沌保密通信技術(shù),安全性能非常低,實用性大大折扣。混沌調(diào)制屬于第二代混沌保密通信技術(shù),盡管第二代系統(tǒng)的安全性能比第一代高,但是仍然達(dá)不到滿意的程度。混沌加密技術(shù)屬于第三代混沌保密通信,該類方法將混沌和密碼學(xué)的優(yōu)點結(jié)合起來,具有非常高的安全性能。基于脈沖同步的混沌通信則屬于第四代混沌保密通信。
三、混沌加密算法的性能評估
參考美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會(NIST)的評判規(guī)則LNIST的評判規(guī)則大體分為三個部分:安全性、代價和算法實現(xiàn)特性。介紹了一種基于Lorenz系統(tǒng)的混沌加密算法,以此標(biāo)準(zhǔn)分析了其性能,并將其與當(dāng)前通用加密算法進(jìn)行比較。
1.安全性分析
篇2
幸運的是,在所有的加密算法中最簡單的一種就是“置換表”算法,這種算法也能很好達(dá)到加密的需要。每一個數(shù)據(jù)段(總是一個字節(jié))對應(yīng)著“置換表”中的一個偏移量,偏移量所對應(yīng)的值就輸出成為加密后的文件。加密程序和解密程序都需要一個這樣的“置換表”。事實上,80x86cpu系列就有一個指令‘xlat’在硬件級來完成這樣的工作。這種加密算法比較簡單,加密解密速度都很快,但是一旦這個“置換表”被對方獲得,那這個加密方案就完全被識破了。更進(jìn)一步講,這種加密算法對于黑客破譯來講是相當(dāng)直接的,只要找到一個“置換表”就可以了。這種方法在計算機出現(xiàn)之前就已經(jīng)被廣泛的使用。
對這種“置換表”方式的一個改進(jìn)就是使用2個或者更多的“置換表”,這些表都是基于數(shù)據(jù)流中字節(jié)的位置的,或者基于數(shù)據(jù)流本身。這時,破譯變的更加困難,因為黑客必須正確的做幾次變換。通過使用更多的“置換表”,并且按偽隨機的方式使用每個表,這種改進(jìn)的加密方法已經(jīng)變的很難破譯。比如,我們可以對所有的偶數(shù)位置的數(shù)據(jù)使用a表,對所有的奇數(shù)位置使用b表,即使黑客獲得了明文和密文,他想破譯這個加密方案也是非常困難的,除非黑客確切的知道用了兩張表。
與使用“置換表”相類似,“變換數(shù)據(jù)位置”也在計算機加密中使用。但是,這需要更多的執(zhí)行時間。從輸入中讀入明文放到一個buffer中,再在buffer中對他們重排序,然后按這個順序再輸出。解密程序按相反的順序還原數(shù)據(jù)。這種方法總是和一些別的加密算法混合使用,這就使得破譯變的特別的困難,幾乎有些不可能了。例如,有這樣一個詞,變換起字母的順序,slient可以變?yōu)閘isten,但所有的字母都沒有變化,沒有增加也沒有減少,但是字母之間的順序已經(jīng)變化了。
但是,還有一種更好的加密算法,只有計算機可以做,就是字/字節(jié)循環(huán)移位和xor操作。如果我們把一個字或字節(jié)在一個數(shù)據(jù)流內(nèi)做循環(huán)移位,使用多個或變化的方向(左移或右移),就可以迅速的產(chǎn)生一個加密的數(shù)據(jù)流。這種方法是很好的,破譯它就更加困難!而且,更進(jìn)一步的是,如果再使用xor操作,按位做異或操作,就就使破譯密碼更加困難了。如果再使用偽隨機的方法,這涉及到要產(chǎn)生一系列的數(shù)字,我們可以使用fibbonaci數(shù)列。對數(shù)列所產(chǎn)生的數(shù)做模運算(例如模3),得到一個結(jié)果,然后循環(huán)移位這個結(jié)果的次數(shù),將使破譯次密碼變的幾乎不可能!但是,使用fibbonaci數(shù)列這種偽隨機的方式所產(chǎn)生的密碼對我們的解密程序來講是非常容易的。
在一些情況下,我們想能夠知道數(shù)據(jù)是否已經(jīng)被篡改了或被破壞了,這時就需要產(chǎn)生一些校驗碼,并且把這些校驗碼插入到數(shù)據(jù)流中。這樣做對數(shù)據(jù)的防偽與程序本身都是有好處的。但是感染計算機程序的病毒才不會在意這些數(shù)據(jù)或程序是否加過密,是否有數(shù)字簽名。所以,加密程序在每次load到內(nèi)存要開始執(zhí)行時,都要檢查一下本身是否被病毒感染,對與需要加、解密的文件都要做這種檢查!很自然,這樣一種方法體制應(yīng)該保密的,因為病毒程序的編寫者將會利用這些來破壞別人的程序或數(shù)據(jù)。因此,在一些反病毒或殺病毒軟件中一定要使用加密技術(shù)。
循環(huán)冗余校驗是一種典型的校驗數(shù)據(jù)的方法。對于每一個數(shù)據(jù)塊,它使用位循環(huán)移位和xor操作來產(chǎn)生一個16位或32位的校驗和,這使得丟失一位或兩個位的錯誤一定會導(dǎo)致校驗和出錯。這種方式很久以來就應(yīng)用于文件的傳輸,例如xmodem-crc。這是方法已經(jīng)成為標(biāo)準(zhǔn),而且有詳細(xì)的文檔。但是,基于標(biāo)準(zhǔn)crc算法的一種修改算法對于發(fā)現(xiàn)加密數(shù)據(jù)塊中的錯誤和文件是否被病毒感染是很有效的。
二.基于公鑰的加密算法
一個好的加密算法的重要特點之一是具有這種能力:可以指定一個密碼或密鑰,并用它來加密明文,不同的密碼或密鑰產(chǎn)生不同的密文。這又分為兩種方式:對稱密鑰算法和非對稱密鑰算法。所謂對稱密鑰算法就是加密解密都使用相同的密鑰,非對稱密鑰算法就是加密解密使用不同的密鑰。非常著名的pgp公鑰加密以及rsa加密方法都是非對稱加密算法。加密密鑰,即公鑰,與解密密鑰,即私鑰,是非常的不同的。從數(shù)學(xué)理論上講,幾乎沒有真正不可逆的算法存在。例如,對于一個輸入‘a(chǎn)’執(zhí)行一個操作得到結(jié)果‘b’,那么我們可以基于‘b’,做一個相對應(yīng)的操作,導(dǎo)出輸入‘a(chǎn)’。在一些情況下,對于每一種操作,我們可以得到一個確定的值,或者該操作沒有定義(比如,除數(shù)為0)。對于一個沒有定義的操作來講,基于加密算法,可以成功地防止把一個公鑰變換成為私鑰。因此,要想破譯非對稱加密算法,找到那個唯一的密鑰,唯一的方法只能是反復(fù)的試驗,而這需要大量的處理時間。
rsa加密算法使用了兩個非常大的素數(shù)來產(chǎn)生公鑰和私鑰。即使從一個公鑰中通過因數(shù)分解可以得到私鑰,但這個運算所包含的計算量是非常巨大的,以至于在現(xiàn)實上是不可行的。加密算法本身也是很慢的,這使得使用rsa算法加密大量的數(shù)據(jù)變的有些不可行。這就使得一些現(xiàn)實中加密算法都基于rsa加密算法。pgp算法(以及大多數(shù)基于rsa算法的加密方法)使用公鑰來加密一個對稱加密算法的密鑰,然后再利用一個快速的對稱加密算法來加密數(shù)據(jù)。這個對稱算法的密鑰是隨機產(chǎn)生的,是保密的,因此,得到這個密鑰的唯一方法就是使用私鑰來解密。
我們舉一個例子:假定現(xiàn)在要加密一些數(shù)據(jù)使用密鑰‘12345’。利用rsa公鑰,使用rsa算法加密這個密鑰‘12345’,并把它放在要加密的數(shù)據(jù)的前面(可能后面跟著一個分割符或文件長度,以區(qū)分?jǐn)?shù)據(jù)和密鑰),然后,使用對稱加密算法加密正文,使用的密鑰就是‘12345’。當(dāng)對方收到時,解密程序找到加密過的密鑰,并利用rsa私鑰解密出來,然后再確定出數(shù)據(jù)的開始位置,利用密鑰‘12345’來解密數(shù)據(jù)。這樣就使得一個可靠的經(jīng)過高效加密的數(shù)據(jù)安全地傳輸和解密。
一些簡單的基于rsa算法的加密算法可在下面的站點找到:
ftp://ftp.funet.fi/pub/crypt/cryptography/asymmetric/rsa
三.一個嶄新的多步加密算法
現(xiàn)在又出現(xiàn)了一種新的加密算法,據(jù)說是幾乎不可能被破譯的。這個算法在1998年6月1日才正式公布的。下面詳細(xì)的介紹這個算法:
使用一系列的數(shù)字(比如說128位密鑰),來產(chǎn)生一個可重復(fù)的但高度隨機化的偽隨機的數(shù)字的序列。一次使用256個表項,使用隨機數(shù)序列來產(chǎn)生密碼轉(zhuǎn)表,如下所示:
把256個隨機數(shù)放在一個距陣中,然后對他們進(jìn)行排序,使用這樣一種方式(我們要記住最初的位置)使用最初的位置來產(chǎn)生一個表,隨意排序的表,表中的數(shù)字在0到255之間。如果不是很明白如何來做,就可以不管它。但是,下面也提供了一些原碼(在下面)是我們明白是如何來做的。現(xiàn)在,產(chǎn)生了一個具體的256字節(jié)的表。讓這個隨機數(shù)產(chǎn)生器接著來產(chǎn)生這個表中的其余的數(shù),以至于每個表是不同的。下一步,使用"shotguntechnique"技術(shù)來產(chǎn)生解碼表。基本上說,如果a映射到b,那么b一定可以映射到a,所以b[a[n]]=n.(n是一個在0到255之間的數(shù))。在一個循環(huán)中賦值,使用一個256字節(jié)的解碼表它對應(yīng)于我們剛才在上一步產(chǎn)生的256字節(jié)的加密表。
使用這個方法,已經(jīng)可以產(chǎn)生這樣的一個表,表的順序是隨機,所以產(chǎn)生這256個字節(jié)的隨機數(shù)使用的是二次偽隨機,使用了兩個額外的16位的密碼.現(xiàn)在,已經(jīng)有了兩張轉(zhuǎn)換表,基本的加密解密是如下這樣工作的。前一個字節(jié)密文是這個256字節(jié)的表的索引。或者,為了提高加密效果,可以使用多余8位的值,甚至使用校驗和或者crc算法來產(chǎn)生索引字節(jié)。假定這個表是256*256的數(shù)組,將會是下面的樣子:
crypto1=a[crypto0][value]
變量''''crypto1''''是加密后的數(shù)據(jù),''''crypto0''''是前一個加密數(shù)據(jù)(或著是前面幾個加密數(shù)據(jù)的一個函數(shù)值)。很自然的,第一個數(shù)據(jù)需要一個“種子”,這個“種子”是我們必須記住的。如果使用256*256的表,這樣做將會增加密文的長度。或者,可以使用你產(chǎn)生出隨機數(shù)序列所用的密碼,也可能是它的crc校驗和。順便提及的是曾作過這樣一個測試:使用16個字節(jié)來產(chǎn)生表的索引,以128位的密鑰作為這16個字節(jié)的初始的"種子"。然后,在產(chǎn)生出這些隨機數(shù)的表之后,就可以用來加密數(shù)據(jù),速度達(dá)到每秒鐘100k個字節(jié)。一定要保證在加密與解密時都使用加密的值作為表的索引,而且這兩次一定要匹配。
加密時所產(chǎn)生的偽隨機序列是很隨意的,可以設(shè)計成想要的任何序列。沒有關(guān)于這個隨機序列的詳細(xì)的信息,解密密文是不現(xiàn)實的。例如:一些ascii碼的序列,如“eeeeeeee"可能被轉(zhuǎn)化成一些隨機的沒有任何意義的亂碼,每一個字節(jié)都依賴于其前一個字節(jié)的密文,而不是實際的值。對于任一個單個的字符的這種變換來說,隱藏了加密數(shù)據(jù)的有效的真正的長度。
如果確實不理解如何來產(chǎn)生一個隨機數(shù)序列,就考慮fibbonacci數(shù)列,使用2個雙字(64位)的數(shù)作為產(chǎn)生隨機數(shù)的種子,再加上第三個雙字來做xor操作。這個算法產(chǎn)生了一系列的隨機數(shù)。算法如下:
unsignedlongdw1,dw2,dw3,dwmask;
inti1;
unsignedlongarandom[256];
dw1={seed#1};
dw2={seed#2};
dwmask={seed#3};
//thisgivesyou332-bit"seeds",or96bitstotal
for(i1=0;i1<256;i1++)
{
dw3=(dw1+dw2)^dwmask;
arandom[i1]=dw3;
dw1=dw2;
dw2=dw3;
}
如果想產(chǎn)生一系列的隨機數(shù)字,比如說,在0和列表中所有的隨機數(shù)之間的一些數(shù),就可以使用下面的方法:
int__cdeclmysortproc(void*p1,void*p2)
{
unsignedlong**pp1=(unsignedlong**)p1;
unsignedlong**pp2=(unsignedlong**)p2;
if(**pp1<**pp2)
return(-1);
elseif(**pp1>*pp2)
return(1);
return(0);
}
...
inti1;
unsignedlong*aprandom[256];
unsignedlongarandom[256];//samearrayasbefore,inthiscase
intaresult[256];//resultsgohere
for(i1=0;i1<256;i1++)
{
aprandom[i1]=arandom+i1;
}
//nowsortit
qsort(aprandom,256,sizeof(*aprandom),mysortproc);
//finalstep-offsetsforpointersareplacedintooutputarray
for(i1=0;i1<256;i1++)
{
aresult[i1]=(int)(aprandom[i1]-arandom);
}
...
變量''''aresult''''中的值應(yīng)該是一個排過序的唯一的一系列的整數(shù)的數(shù)組,整數(shù)的值的范圍均在0到255之間。這樣一個數(shù)組是非常有用的,例如:對一個字節(jié)對字節(jié)的轉(zhuǎn)換表,就可以很容易并且非常可靠的來產(chǎn)生一個短的密鑰(經(jīng)常作為一些隨機數(shù)的種子)。這樣一個表還有其他的用處,比如說:來產(chǎn)生一個隨機的字符,計算機游戲中一個物體的隨機的位置等等。上面的例子就其本身而言并沒有構(gòu)成一個加密算法,只是加密算法一個組成部分。
作為一個測試,開發(fā)了一個應(yīng)用程序來測試上面所描述的加密算法。程序本身都經(jīng)過了幾次的優(yōu)化和修改,來提高隨機數(shù)的真正的隨機性和防止會產(chǎn)生一些短的可重復(fù)的用于加密的隨機數(shù)。用這個程序來加密一個文件,破解這個文件可能會需要非常巨大的時間以至于在現(xiàn)實上是不可能的。
四.結(jié)論:
由于在現(xiàn)實生活中,我們要確保一些敏感的數(shù)據(jù)只能被有相應(yīng)權(quán)限的人看到,要確保信息在傳輸?shù)倪^程中不會被篡改,截取,這就需要很多的安全系統(tǒng)大量的應(yīng)用于政府、大公司以及個人系統(tǒng)。數(shù)據(jù)加密是肯定可以被破解的,但我們所想要的是一個特定時期的安全,也就是說,密文的破解應(yīng)該是足夠的困難,在現(xiàn)實上是不可能的,尤其是短時間內(nèi)。
參考文獻(xiàn):
1.pgp!/
cyberknights(newlink)/cyberkt/
(oldlink:/~merlin/knights/)
2.cryptochamberjyu.fi/~paasivir/crypt/
3.sshcryptographa-z(includesinfoonsslandhttps)ssh.fi/tech/crypto/
4.funet''''cryptologyftp(yetanotherfinlandresource)ftp://ftp.funet.fi/pub/crypt/
agreatenigmaarticle,howthecodewasbrokenbypolishscientists
/nbrass/1enigma.htm
5.ftpsiteinukftp://sable.ox.ac.uk/pub/crypto/
6.australianftpsiteftp://ftp.psy.uq.oz.au/pub/
7.replayassociatesftparchiveftp://utopia.hacktic.nl/pub/replay/pub/crypto/
篇3
信息加密是由各種加密算法實現(xiàn)的,傳統(tǒng)的加密系統(tǒng)是以密鑰為基礎(chǔ)的,是一種對稱加密,即用戶使用同一個密鑰加密和解密。而公鑰則是一種非對稱加密方法。加密者和解密者各自擁有不同的密鑰,對稱加密算法包括DES和IDEA;非對稱加密算法包括RSA、背包密碼等。目前在數(shù)據(jù)通信中使用最普遍的算法有DES算法、RSA算法和PGP算法等。
2.1對稱加密算法
對稱密碼體制是一種傳統(tǒng)密碼體制,也稱為私鑰密碼體制。在對稱加密系統(tǒng)中,加密和解密采用相同的密鑰。因為加解密鑰相同,需要通信的雙方必須選擇和保存他們共同的密鑰,各方必須信任對方不會將密鑰泄漏出去,這樣就可以實現(xiàn)數(shù)據(jù)的機密性和完整性。對于具有n個用戶的網(wǎng)絡(luò),需要n(n-1)/2個密鑰,在用戶群不是很大的情況下,對稱加密系統(tǒng)是有效的。DES算法是目前最為典型的對稱密鑰密碼系統(tǒng)算法。
DES是一種分組密碼,用專門的變換函數(shù)來加密明文。方法是先把明文按組長64bit分成若干組,然后用變換函數(shù)依次加密這些組,每次輸出64bit的密文,最后將所有密文串接起來即得整個密文。密鑰長度56bit,由任意56位數(shù)組成,因此數(shù)量高達(dá)256個,而且可以隨時更換。使破解變得不可能,因此,DES的安全性完全依賴于對密鑰的保護(hù)(故稱為秘密密鑰算法)。DES運算速度快,適合對大量數(shù)據(jù)的加密,但缺點是密鑰的安全分發(fā)困難。
2.2非對稱密鑰密碼體制
非對稱密鑰密碼體制也叫公共密鑰技術(shù),該技術(shù)就是針對私鑰密碼體制的缺陷被提出來的。公共密鑰技術(shù)利用兩個密碼取代常規(guī)的一個密碼:其中一個公共密鑰被用來加密數(shù)據(jù),而另一個私人密鑰被用來解密數(shù)據(jù)。這兩個密鑰在數(shù)字上相關(guān),但即便使用許多計算機協(xié)同運算,要想從公共密鑰中逆算出對應(yīng)的私人密鑰也是不可能的。這是因為兩個密鑰生成的基本原理根據(jù)一個數(shù)學(xué)計算的特性,即兩個對位質(zhì)數(shù)相乘可以輕易得到一個巨大的數(shù)字,但要是反過來將這個巨大的乘積數(shù)分解為組成它的兩個質(zhì)數(shù),即使是超級計算機也要花很長的時間。此外,密鑰對中任何一個都可用于加密,其另外一個用于解密,且密鑰對中稱為私人密鑰的那一個只有密鑰對的所有者才知道,從而人們可以把私人密鑰作為其所有者的身份特征。根據(jù)公共密鑰算法,已知公共密鑰是不能推導(dǎo)出私人密鑰的。最后使用公鑰時,要安裝此類加密程序,設(shè)定私人密鑰,并由程序生成龐大的公共密鑰。使用者與其向聯(lián)系的人發(fā)送公共密鑰的拷貝,同時請他們也使用同一個加密程序。之后他人就能向最初的使用者發(fā)送用公共密鑰加密成密碼的信息。僅有使用者才能夠解碼那些信息,因為解碼要求使用者知道公共密鑰的口令。那是惟有使用者自己才知道的私人密鑰。在這些過程當(dāng)中。信息接受方獲得對方公共密鑰有兩種方法:一是直接跟對方聯(lián)系以獲得對方的公共密鑰;另一種方法是向第三方即可靠的驗證機構(gòu)(如CertificationAuthori-ty,CA),可靠地獲取對方的公共密鑰。公共密鑰體制的算法中最著名的代表是RSA系統(tǒng),此外還有:背包密碼、橢圓曲線、ELGamal算法等。公鑰密碼的優(yōu)點是可以適應(yīng)網(wǎng)絡(luò)的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復(fù)雜,加密數(shù)據(jù)的速率較低。盡管如此,隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展,公鑰密碼算法將是一種很有前途的網(wǎng)絡(luò)安全加密體制。
RSA算法得基本思想是:先找出兩個非常大的質(zhì)數(shù)P和Q,算出N=(P×Q),找到一個小于N的E,使E和(P-1)×(Q-1)互質(zhì)。然后算出數(shù)D,使(D×E-1)Mod(P-1)×(Q-1)=0。則公鑰為(E,N),私鑰為(D,N)。在加密時,將明文劃分成串,使得每串明文P落在0和N之間,這樣可以通過將明文劃分為每塊有K位的組來實現(xiàn)。并且使得K滿足(P-1)×(Q-1I)K
3加密技術(shù)在網(wǎng)絡(luò)中的應(yīng)用及發(fā)展
實際應(yīng)用中加密技術(shù)主要有鏈路加密、節(jié)點加密和端對端加密等三種方式,它們分別在OSI不同層次使用加密技術(shù)。鏈路加密通常用硬件在物理層實現(xiàn),加密設(shè)備對所有通過的數(shù)據(jù)加密,這種加密方式對用戶是透明的,由網(wǎng)絡(luò)自動逐段依次進(jìn)行,用戶不需要了解加密技術(shù)的細(xì)節(jié),主要用以對信道或鏈路中可能被截獲的部分進(jìn)行保護(hù)。鏈路加密的全部報文都以明文形式通過各節(jié)點的處理器。在節(jié)點數(shù)據(jù)容易受到非法存取的危害。節(jié)點加密是對鏈路加密的改進(jìn),在協(xié)議運輸層上進(jìn)行加密,加密算法要組合在依附于節(jié)點的加密模塊中,所以明文數(shù)據(jù)只存在于保密模塊中,克服了鏈路加密在節(jié)點處易遭非法存取的缺點。網(wǎng)絡(luò)層以上的加密,通常稱為端對端加密,端對端加密是把加密設(shè)備放在網(wǎng)絡(luò)層和傳輸層之間或在表示層以上對傳輸?shù)臄?shù)據(jù)加密,用戶數(shù)據(jù)在整個傳輸過程中以密文的形式存在。它不需要考慮網(wǎng)絡(luò)低層,下層協(xié)議信息以明文形式傳輸,由于路由信息沒有加密,易受監(jiān)控分析。不同加密方式在網(wǎng)絡(luò)層次中側(cè)重點不同,網(wǎng)絡(luò)應(yīng)用中可以將鏈路加密或節(jié)點加密同端到端加密結(jié)合起來,可以彌補單一加密方式的不足,從而提高網(wǎng)絡(luò)的安全性。針對網(wǎng)絡(luò)不同層次的安全需求也制定出了不同的安全協(xié)議以便能夠提供更好的加密和認(rèn)證服務(wù),每個協(xié)議都位于計算機體系結(jié)構(gòu)的不同層次中。混合加密方式兼有兩種密碼體制的優(yōu)點,從而構(gòu)成了一種理想的密碼方式并得到廣泛的應(yīng)用。在數(shù)據(jù)信息中很多時候所傳輸數(shù)據(jù)只是其中一小部分包含重要或關(guān)鍵信息,只要這部分?jǐn)?shù)據(jù)安全性得到保證整個數(shù)據(jù)信息都可以認(rèn)為是安全的,這種情況下可以采用部分加密方案,在數(shù)據(jù)壓縮后只加密數(shù)據(jù)中的重要或關(guān)鍵信息部分。就可以大大減少計算時間,做到數(shù)據(jù)既能快速地傳輸,并且不影響準(zhǔn)確性和完整性,尤其在實時數(shù)據(jù)傳輸中這種方法能起到很顯著的效果。
4結(jié)語
篇4
-對數(shù)據(jù)進(jìn)行加密,主要有三種方式:系統(tǒng)中加密、客戶端(DBMS外層)加密、服務(wù)器端(DBMS內(nèi)核層)加密。客戶端加密的好處是不會加重數(shù)據(jù)庫服務(wù)器的負(fù)載,并且可實現(xiàn)網(wǎng)上的傳輸加密,這種加密方式通常利用數(shù)據(jù)庫外層工具實現(xiàn)。而服務(wù)器端的加密需要對數(shù)據(jù)庫管理系統(tǒng)本身進(jìn)行操作,屬核心層加密,如果沒有數(shù)據(jù)庫開發(fā)商的配合,其實現(xiàn)難度相對較大。此外,對那些希望通過ASP獲得服務(wù)的企業(yè)來說,只有在客戶端實現(xiàn)加解密,才能保證其數(shù)據(jù)的安全可靠。
1.常用數(shù)據(jù)庫加密技術(shù)
信息安全主要指三個方面。一是數(shù)據(jù)安全,二是系統(tǒng)安全,三是電子商務(wù)的安全。核心是數(shù)據(jù)庫的安全,將數(shù)據(jù)庫的數(shù)據(jù)加密就抓住了信息安全的核心問題。
對數(shù)據(jù)庫中數(shù)據(jù)加密是為增強普通關(guān)系數(shù)據(jù)庫管理系統(tǒng)的安全性,提供一個安全適用的數(shù)據(jù)庫加密平臺,對數(shù)據(jù)庫存儲的內(nèi)容實施有效保護(hù)。它通過數(shù)據(jù)庫存儲加密等安全方法實現(xiàn)了數(shù)據(jù)庫數(shù)據(jù)存儲保密和完整性要求,使得數(shù)據(jù)庫以密文方式存儲并在密態(tài)方式下工作,確保了數(shù)據(jù)安全。
1.1數(shù)據(jù)庫加密技術(shù)的功能和特性
經(jīng)過近幾年的研究,我國數(shù)據(jù)庫加密技術(shù)已經(jīng)比較成熟。
一般而言,一個行之有效的數(shù)據(jù)庫加密技術(shù)主要有以下6個方面的功能和特性。
(1)身份認(rèn)證:
用戶除提供用戶名、口令外,還必須按照系統(tǒng)安全要求提供其它相關(guān)安全憑證。如使用終端密鑰。
(2)通信加密與完整性保護(hù):
有關(guān)數(shù)據(jù)庫的訪問在網(wǎng)絡(luò)傳輸中都被加密,通信一次一密的意義在于防重放、防篡改。
(3)數(shù)據(jù)庫數(shù)據(jù)存儲加密與完整性保護(hù):
數(shù)據(jù)庫系統(tǒng)采用數(shù)據(jù)項級存儲加密,即數(shù)據(jù)庫中不同的記錄、每條記錄的不同字段都采用不同的密鑰加密,輔以校驗措施來保證數(shù)據(jù)庫數(shù)據(jù)存儲的保密性和完整性,防止數(shù)據(jù)的非授權(quán)訪問和修改。
(4)數(shù)據(jù)庫加密設(shè)置:
系統(tǒng)中可以選擇需要加密的數(shù)據(jù)庫列,以便于用戶選擇那些敏感信息進(jìn)行加密而不是全部數(shù)據(jù)都加密。只對用戶的敏感數(shù)據(jù)加密可以提高數(shù)據(jù)庫訪問速度。這樣有利于用戶在效率與安全性之間進(jìn)行自主選擇。
(5)多級密鑰管理模式:
主密鑰和主密鑰變量保存在安全區(qū)域,二級密鑰受主密鑰變量加密保護(hù),數(shù)據(jù)加密的密鑰存儲或傳輸時利用二級密鑰加密保護(hù),使用時受主密鑰保護(hù)。
(6)安全備份:
系統(tǒng)提供數(shù)據(jù)庫明文備份功能和密鑰備份功能。
1.2對數(shù)據(jù)庫加密系統(tǒng)基本要求
(1)字段加密;
(2)密鑰動態(tài)管理;
(3)合理處理數(shù)據(jù);
(4)不影響合法用戶的操作;
(5)防止非法拷貝;
1.3數(shù)據(jù)加密的算法
加密算法是一些公式和法則,它規(guī)定了明文和密文之間的變換方法。密鑰是控制加密算法和解密算法的關(guān)鍵信息,它的產(chǎn)生、傳輸、存儲等工作是十分重要的。
數(shù)據(jù)加密的基本過程包括對明文(即可讀信息)進(jìn)行翻譯,譯成密文或密碼的代碼形式。該過程的逆過程為解密,即將該編碼信息轉(zhuǎn)化為其原來的形式的過程。
DES算法,DES(DataEncryptionStandard)是由IBM公司在1970年以后發(fā)展起來的,于1976年11月被美國政府采用,DES隨后被美國國家標(biāo)準(zhǔn)局和美國國家標(biāo)準(zhǔn)協(xié)會(AmericanNationalStandardInstitute,ANSI)承認(rèn),DES算法把64位的明文輸入塊變?yōu)?4位的密文輸出塊,它所使用的密鑰也是64位,DES算法中只用到64位密鑰中的其中56位。
三重DES,DES的密碼學(xué)缺點是密鑰長度相對比較短,因此,人們又想出了一個解決其長度的方法,即采用三重DES,三重DES是DES的一種變形。這種方法使用兩個獨立的56位密鑰對交換的信息(如EDI數(shù)據(jù))進(jìn)行3次加密,從而使其有效密鑰長度達(dá)到112位或168位,對安全性有特殊要求時則要采用它。
RSA算法它是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。它易于理解和操作,也很流行。算法的名字就是發(fā)明者的名字:RonRivest,AdiShamir和LeonardAdleman,但RSA的安全性一直未能得到理論上的證明,RSA的安全性依賴于大數(shù)的因子分解,但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何,而且密碼學(xué)界多數(shù)人士傾向于因子分解不是NPC問題,RSA算法是第一個能同時用于加密和數(shù)字簽名的算法,也易于理解和操作。RSA是被研究得最廣泛的公鑰算法,從提出到現(xiàn)在已近二十年,經(jīng)歷了各種攻擊的考驗,逐漸為人們接受,普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。
AES是美國高級加密標(biāo)準(zhǔn)算法,將在未來幾十年里代替DES在各個領(lǐng)域中得到廣泛應(yīng)用,盡管人們對AES還有不同的看法,但總體來說,AES作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn)匯聚了強安全性、高性能、高效率、易用和靈活等優(yōu)點。AES設(shè)計有三個密鑰長度:128,192,256位,相對而言,AES的128密鑰比DES的56密鑰強1021倍。AES算法主要包括三個方面:輪變化、圈數(shù)和密鑰擴展。在理論上,此加密方法需要國家軍事量級的破解設(shè)備運算10年以上時間才可能破譯。
1.4數(shù)據(jù)庫數(shù)據(jù)加密的實現(xiàn)
使用數(shù)據(jù)庫安全保密中間件對數(shù)據(jù)庫進(jìn)行加密是最簡便直接的方法。主要是通過系統(tǒng)中加密、DBMS內(nèi)核層(服務(wù)器端)加密和DBMS外層(客戶端)加密。
在系統(tǒng)中加密,在系統(tǒng)中無法辨認(rèn)數(shù)據(jù)庫文件中的數(shù)據(jù)關(guān)系,將數(shù)據(jù)先在內(nèi)存中進(jìn)行加密,然后文件系統(tǒng)把每次加密后的內(nèi)存數(shù)據(jù)寫入到數(shù)據(jù)庫文件中去,讀入時再逆方面進(jìn)行解密就,這種加密方法相對簡單,只要妥善管理密鑰就可以了。缺點對數(shù)據(jù)庫的讀寫都比較麻煩,每次都要進(jìn)行加解密的工作,對程序的編寫和讀寫數(shù)據(jù)庫的速度都會有影響。
在DBMS內(nèi)核層實現(xiàn)加密需要對數(shù)據(jù)庫管理系統(tǒng)本身進(jìn)行操作。這種加密是指數(shù)據(jù)在物理存取之前完成加解密工作。這種加密方式的優(yōu)點是加密功能強,并且加密功能幾乎不會影響DBMS的功能,可以實現(xiàn)加密功能與數(shù)據(jù)庫管理系統(tǒng)之間的無縫耦合。其缺點是加密運算在服務(wù)器端進(jìn)行,加重了服務(wù)器的負(fù)載,而且DBMS和加密器之間的接口需要DBMS開發(fā)商的支持。
在DBMS外層實現(xiàn)加密的好處是不會加重數(shù)據(jù)庫服務(wù)器的負(fù)載,并且可實現(xiàn)網(wǎng)上的傳輸,加密比較實際的做法是將數(shù)據(jù)庫加密系統(tǒng)做成DBMS的一個外層工具,根據(jù)加密要求自動完成對數(shù)據(jù)庫數(shù)據(jù)的加解密處理。
采用這種加密方式進(jìn)行加密,加解密運算可在客戶端進(jìn)行,它的優(yōu)點是不會加重數(shù)據(jù)庫服務(wù)器的負(fù)載并且可以實現(xiàn)網(wǎng)上傳輸?shù)募用埽秉c是加密功能會受到一些限制,與數(shù)據(jù)庫管理系統(tǒng)之間的耦合性稍差。
數(shù)據(jù)庫加密系統(tǒng)分成兩個功能獨立的主要部件:一個是加密字典管理程序,另一個是數(shù)據(jù)庫加解密引擎。數(shù)據(jù)庫加密系統(tǒng)將用戶對數(shù)據(jù)庫信息具體的加密要求以及基礎(chǔ)信息保存在加密字典中,通過調(diào)用數(shù)據(jù)加解密引擎實現(xiàn)對數(shù)據(jù)庫表的加密、解密及數(shù)據(jù)轉(zhuǎn)換等功能。數(shù)據(jù)庫信息的加解密處理是在后成的,對數(shù)據(jù)庫服務(wù)器是透明的。
按以上方式實現(xiàn)的數(shù)據(jù)庫加密系統(tǒng)具有很多優(yōu)點:首先,系統(tǒng)對數(shù)據(jù)庫的最終用戶是完全透明的,管理員可以根據(jù)需要進(jìn)行明文和密文的轉(zhuǎn)換工作;其次,加密系統(tǒng)完全獨立于數(shù)據(jù)庫應(yīng)用系統(tǒng),無須改動數(shù)據(jù)庫應(yīng)用系統(tǒng)就能實現(xiàn)數(shù)據(jù)加密功能;第三,加解密處理在客戶端進(jìn)行,不會影響數(shù)據(jù)庫服務(wù)器的效率。
數(shù)據(jù)庫加解密引擎是數(shù)據(jù)庫加密系統(tǒng)的核心部件,它位于應(yīng)用程序與數(shù)據(jù)庫服務(wù)器之間,負(fù)責(zé)在后成數(shù)據(jù)庫信息的加解密處理,對應(yīng)用開發(fā)人員和操作人員來說是透明的。數(shù)據(jù)加解密引擎沒有操作界面,在需要時由操作系統(tǒng)自動加載并駐留在內(nèi)存中,通過內(nèi)部接口與加密字典管理程序和用戶應(yīng)用程序通訊。數(shù)據(jù)庫加解密引擎由三大模塊組成:加解密處理模塊、用戶接口模塊和數(shù)據(jù)庫接口模塊。
2.結(jié)束語
上面的論述還遠(yuǎn)遠(yuǎn)沒達(dá)到數(shù)據(jù)庫安全需要,比如現(xiàn)在的數(shù)據(jù)庫基本都給與網(wǎng)絡(luò)架構(gòu),網(wǎng)際的安全傳輸?shù)龋彩且攸c考慮的方面,等等。一個好的安全系統(tǒng)必須綜合考慮核運用這些技術(shù),以保證數(shù)據(jù)的安全,通過一上論述希望對大家有所幫助,同時也和大家一起討論一起學(xué)習(xí),共同進(jìn)步。
參考文獻(xiàn):
篇5
(2)電磁泄漏。計算機在運行過程中,會輻射出巨大的電磁脈沖,惡意破壞者則通過對計算機輻射的電磁波進(jìn)行接收,進(jìn)一步通過復(fù)原獲取計算機中的信息數(shù)據(jù)。
(3)硬件故障。在計算機存儲器硬件遭遇損壞的情況下,便會導(dǎo)致所存儲的數(shù)據(jù)無法有效讀取出來。
1.2軟件方面的安全問題
(1)竊聽。主要指的是資料數(shù)據(jù)在進(jìn)行網(wǎng)絡(luò)傳輸過程當(dāng)中,被第三方非法獲取,從而造成資料數(shù)據(jù)的流失。對于企業(yè)而言,遭遇竊聽則會泄漏公司機密,從而使企業(yè)造成不可估量的經(jīng)濟損失。
(2)病毒入侵。主要指的是電腦病毒,對于電腦病毒來說,能夠進(jìn)行自行復(fù)制,從而對應(yīng)用軟件進(jìn)行更換,并且還可以更改資料或刪除文檔。
(3)網(wǎng)絡(luò)釣魚。通過或者仿冒網(wǎng)絡(luò)商店的構(gòu)建,從而獲取網(wǎng)民的信息資料,進(jìn)一步造成網(wǎng)民個人信息泄露或直接的經(jīng)濟損失。
(4)偽裝及篡改。在“偽裝”方面,主要指的是攻擊者偽裝成合法的使用者,從而輕而易舉地獲取使用權(quán)限。在“篡改”方面主要指的是資料被篡改,比如儲存或者處于傳輸過程中的資料被篡改,那么這些資料的完整性便遭遇損壞,同時這些資料的安全性也失去了可靠性及安全性。
二、計算機安全常見問題的防御對策探究
1、加固技術(shù)
使用加固技術(shù)可以使計算機硬件的安全性得到有效提升。涵蓋了防腐加固、溫度環(huán)境加固、密封加固及防震加固等。對于加固技術(shù)中的防輻射加固來說,是將計算機各方面的硬件,比如電源、硬盤、芯片等均進(jìn)行屏蔽,從而使電磁波輻射現(xiàn)象的發(fā)生實現(xiàn)有效避免。當(dāng)然,對于計算機硬件方面的工作,除了加固技術(shù)外,還需具體情況具體分析,比如為了使數(shù)據(jù)存儲的安全性得到有效提升,便可以使用數(shù)據(jù)備份的方面,把有用的數(shù)據(jù)進(jìn)行定期復(fù)制,并進(jìn)一步加以保存。
2、加密技術(shù)
為了使信息竊取實現(xiàn)有效避免,便可以采取加密技術(shù)。該項技術(shù)主要分為兩類,一類為對稱加密技術(shù),另一類為非對稱加密技術(shù)。其中,對于對稱加密技術(shù)來說,主要是指信息的發(fā)送方與接收方使用同一各密鑰進(jìn)行加密及解密數(shù)據(jù)。非對稱加密技術(shù)即為公鑰加密,通過一對密鑰的利用,以分別的方式進(jìn)行加密與解密數(shù)據(jù)。
3、認(rèn)證技術(shù)
對于認(rèn)證技術(shù)來說,主要是指通過電子手段的加以利用,以此證明發(fā)送者與接受者身份的一種技術(shù),同時該項技術(shù)還能夠辨識文件的完整性。也就是說,能夠辨識出數(shù)據(jù)在傳輸過程中是否被篡改或非法存儲等。認(rèn)證技術(shù)分為兩類,一類為數(shù)字簽名,另一類為數(shù)字證書。其中,數(shù)字簽名又稱之為電子簽名,主要是將數(shù)字簽名當(dāng)作報文發(fā)送給接收者。對于用戶來說,可以通過安全可靠的方法向相關(guān)部門提交資金的公鑰,從而獲取證書,進(jìn)一步用戶便具備公開此項證書的合法權(quán)益。對于需要用戶公鑰的人,均能夠獲取此項證書,并且通過相關(guān)合法協(xié)議的簽訂,從而使公鑰的有效性得到證實。對于數(shù)字證書來說,將交易各方的身份信息逐一標(biāo)識出來,進(jìn)一步提供出驗證各身份的方法,如此一來用戶便能夠使用這些方法對對方的身份進(jìn)行有效識別。
篇6
2.1關(guān)于現(xiàn)代機械制造工藝的應(yīng)用分析
2.1.1氣體保護(hù)焊工藝。在進(jìn)行焊接工藝的使用中,需要明確的一點是,該焊接的主要熱源之一就是電弧。在進(jìn)行工作的時候,他的主要特點就是將某種惰性氣體或者性質(zhì)符合要求的氣體作為焊接物之間的有一種保護(hù)的介質(zhì),在焊接工作開展的過程中,這種氣體就會從噴槍中配出來,對電弧的周圍進(jìn)行一種有效的保證,這樣做就保證電弧、熔池和空氣三者之間能夠達(dá)到有效的分析。這種做的目的是為了保證有害氣體不會干擾到焊接工作的正常進(jìn)行,保護(hù)焊接工作中的電弧能夠正常的進(jìn)行燃燒、工作。在當(dāng)代社會的發(fā)展中,應(yīng)用最多的保護(hù)氣體應(yīng)該屬于二氧化碳保護(hù)氣體,該氣體的使用是因為其使用性質(zhì)較為不錯,并且制造的成本也比較低廉,適合大范圍的使用,所以,其在當(dāng)代機械制造行業(yè)得到了有效且廣泛的應(yīng)用。
2.1.2電阻焊工藝。該工藝是把焊接物置于正電極、負(fù)電極之間進(jìn)行通電操作,當(dāng)電流通過時,就會在焊接物之間的接觸面及其周圍形成“店長效應(yīng)”,從而焊接物達(dá)到熔化并融合的效果,實現(xiàn)壓力焊接的目的。該工藝的特點是焊接質(zhì)量較好、工作生產(chǎn)效率較高、充分實現(xiàn)機械化操作、且需要時間較短、氣體及噪聲污染較小等,優(yōu)點較多。電阻焊工藝目前已在航空航天、汽車和家電等現(xiàn)代機械制造業(yè)中應(yīng)用較廣。但其也存在缺點和不足,即焊接設(shè)備的成本較高、后期維修費用大,并且沒有有效的無損檢測技術(shù)等。
2.1.3埋弧焊工藝。該工藝是指在焊劑層下燃燒電弧而進(jìn)行焊接的一種焊接工藝。其分為自動焊接以及半自動焊接兩種焊接方式。進(jìn)行自動焊接時,通過焊接車把焊絲以及移動電弧送入從而自動完成焊接操作。進(jìn)行半自動焊接時,則是由機械完成焊絲送入,再由焊接操作人員進(jìn)行移動電弧的送入操作,因此增加了勞動成本,目前應(yīng)用較少。以焊接鋼筋為例,過去經(jīng)常采取手工電弧焊的方法,即半自動埋弧焊,而如今電渣壓力焊取代了半自動埋弧焊,該焊法生產(chǎn)效率較高、焊縫質(zhì)量好,并且具有良好的勞動條件。但選擇該焊接工藝焊接時需要注意選擇理想的焊劑,因為焊接的工藝水平、應(yīng)用電流大小、鋼材的級別等許多技術(shù)指標(biāo)都可以通過焊劑堿度充分體現(xiàn)出來,所以要特別注意焊劑的堿度。
2.1.4螺柱焊工藝。該工藝是指首先把螺柱與管件或者板件相連接,引入電弧使接觸面熔化在一起,再對螺住施加壓力進(jìn)行焊接。其分為儲能式、拉弧式兩種焊接方式。其中儲能式焊接熔深較小,在薄板焊接時應(yīng)用較多,而拉弧式焊接與之相反,在重工業(yè)中應(yīng)用較多。該兩種焊接方式都為單面焊接方式,因此具有無需打孔、鉆洞、粘結(jié)、攻螺紋和鉚接等諸多優(yōu)勢,特別是無需打孔和鉆洞,能夠確保焊接工藝不會發(fā)生漏氣漏水現(xiàn)象,現(xiàn)代機械制造業(yè)中應(yīng)用極廣。
篇7
2.1電子郵件傳播
一些惡意電子郵件HTML正文中嵌入惡意腳本,或電子郵件附件中攜帶病毒的壓縮文件,這些病毒經(jīng)常利用社會工程學(xué)進(jìn)行偽裝,增大病毒傳播機會。2.2網(wǎng)絡(luò)共享傳播一些病毒會搜索本地網(wǎng)絡(luò)中存在的共享,包括默認(rèn)共享,通過空口令或弱口令猜測,獲得完全訪問權(quán)限,并將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中,通常以游戲,CDKEY等相關(guān)名字命名,不易察覺。
2.3P2P共享軟件傳播
隨著P2P軟件的普遍應(yīng)用,也成為計算機病毒傳播的重要途徑,通常把病毒代碼植入到音頻、視頻、游戲軟件中,誘使用戶下載。
2.4系統(tǒng)漏洞傳播
隨著互聯(lián)網(wǎng)的發(fā)展,我們的企業(yè)和個人用戶在享受網(wǎng)絡(luò)帶來的快捷和商機的同時,也面臨無時不在的計算機病毒威脅,計算機病毒也由全球性爆發(fā)逐漸向地域性爆發(fā)轉(zhuǎn)變。本文主要簡述計算機病毒的特點和防治方法,以及數(shù)據(jù)機密技術(shù)的應(yīng)用。摘要由于操作系統(tǒng)固有的一些設(shè)計缺陷,導(dǎo)致被惡意用戶通過畸形的方式利用后,可執(zhí)行任意代碼,病毒往往利用系統(tǒng)漏洞進(jìn)入系統(tǒng),達(dá)到傳播的目的。常被利用的漏有RPC-DCOM緩沖區(qū)溢出(MS03-026)、WebDAV(MS03-007)、LSASS(MS04-011)。
2.5移動設(shè)備傳播
一些使用者的優(yōu)盤、移動硬盤等移動存儲設(shè)備,常常攜帶電腦病毒,當(dāng)插入電腦時沒有使用殺毒軟件對病毒進(jìn)行查殺,可能導(dǎo)致病毒侵入電腦。
3計算機病毒的防治策略
3.1計算機病毒的預(yù)防
計算機病毒防治,要采取預(yù)防為主的方針,安裝防病毒軟件,定期升級防病毒軟件,不隨便打開不明來源的郵件附件,盡量減少其他人使用你的計算機,及時打系統(tǒng)補丁,從外面獲取數(shù)據(jù)先檢察,建立系統(tǒng)恢復(fù)盤,定期備份文件,綜合各種防病毒技術(shù),防火墻與防毒軟件結(jié)合,達(dá)到病毒檢測、數(shù)據(jù)保護(hù)、實時監(jiān)控多層防護(hù)的目的。
3.2病毒的檢測
對于普通用戶,使用殺毒軟件即可對計算機進(jìn)行常規(guī)的病毒檢測,但由于病毒傳播快、新病毒層出不窮,殺毒軟件不能對新病毒有效的查殺,對于專業(yè)人員進(jìn)行查毒。常見的病毒檢測方法有比較法、特征代碼掃描法、效驗和法、分析法,當(dāng)有新病毒出現(xiàn)時,需要同時使用分析法和比較法,搞清楚病毒體的大致結(jié)構(gòu),提取特征代碼或特征字,用于增添到病毒代碼庫供病毒掃描和識別程序用;詳細(xì)分析病毒代碼,為制定相應(yīng)的反病毒措施制定方案。
3.3病毒的清除
使用windows自帶的任務(wù)管理器或第三方的進(jìn)程管理工具,中止病毒進(jìn)程或服務(wù),根據(jù)病毒修改的具體情況,刪除或還原相應(yīng)的注冊表項,檢查Win.ini配置文件的[windows]節(jié)中的項和System.ini配置文件的[boot]節(jié)中的項,刪除病毒相關(guān)的部分。常用的工具有:系統(tǒng)診斷(SIC,HijackThis)、分析進(jìn)程(ProcessExplorer)、分析網(wǎng)絡(luò)連接(TCPView)、監(jiān)視注冊表(Regmon,InstallRite)、監(jiān)視文件系統(tǒng)(Filemon,InstallRite)。
3.4殺毒軟件的選擇
一般的殺毒軟件具有預(yù)防、檢測、消除、免疫和破壞控制的功能,選擇殺毒軟件時應(yīng)考慮軟件的高偵測率、誤報率、漏報率、操作管理和隔離政策等幾個關(guān)鍵因素。
4計算機數(shù)據(jù)加密技術(shù)
4.1計算機數(shù)據(jù)加密的概述
密碼技術(shù)通過信息的變換或編碼,將機密的敏感消息變換成為難以讀懂的亂碼字符,使竊聽者不可能由其截獲的亂碼中得到任何有意義的信息,同時使竊聽者不可能偽造任何亂碼型的信息。在計算機網(wǎng)絡(luò)中,為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止機密信息的泄露和信息源的真實性的認(rèn)證,以及驗證接收數(shù)據(jù)的完整性,防止被一些別有用心的人利用或破壞,需要對數(shù)據(jù)進(jìn)行加密來保護(hù)機密數(shù)據(jù)不被竊取或篡改。
4.2計算機加密的分類
目前對網(wǎng)絡(luò)數(shù)據(jù)加密主要有鏈路加密、節(jié)點對節(jié)點加密和端對端加密3種實現(xiàn)方式。
(1)鏈路加密
鏈路加密又稱在線加密,它是對在兩個網(wǎng)絡(luò)節(jié)點間的某一條通信鏈路實施加密,是目前網(wǎng)絡(luò)安全系統(tǒng)中主要采用的方式。
(2)節(jié)點對節(jié)點加密
節(jié)點對節(jié)點加密是在中間節(jié)點里裝有用于加密和解密的保護(hù)裝置,由這個裝置來完成一個密鑰向另一個密鑰的交換,提高網(wǎng)絡(luò)數(shù)據(jù)的安全性。
(3)端對端加密
端對端加密又稱脫線加密或包加密,它允許數(shù)據(jù)在從源節(jié)點被加密后,到終點的傳輸過程中始終以密文形式存在,消息在到達(dá)終點之前不進(jìn)行解密,只有消息到達(dá)目的節(jié)點后才被解密。因為消息在整個傳輸過程中均受到保護(hù),所以即使有節(jié)點被損壞也不會使消息泄露。身份認(rèn)證技術(shù):通過身份認(rèn)證可以驗證消息的收發(fā)者是否持有身份認(rèn)證符,同時驗證消息的完整性,并對消息的序號性和時間性進(jìn)行認(rèn)證,有效防止不法分子對信息系統(tǒng)進(jìn)行主動攻擊。數(shù)字簽名技術(shù):數(shù)字簽名是信息收發(fā)者使用公開密鑰算法技術(shù),產(chǎn)生別人無法偽造的一段數(shù)字串。發(fā)送者使用自己的私有密鑰加密后將數(shù)據(jù)傳送給接受者,接受者需要使用發(fā)送者的公鑰解開數(shù)據(jù),可以確定消息來自誰,同時是對發(fā)送者發(fā)送信息的真實性的一個證明。數(shù)字簽名具有可驗證、防抵賴、防假冒、防篡改、防偽造的特點,確保信息數(shù)據(jù)的安全。
篇8
1引言
隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,網(wǎng)絡(luò)中的信息安全問題越來越受到廣泛關(guān)注。信息安全主要涉及到用戶身份驗證、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)加密等問題。網(wǎng)絡(luò)安全產(chǎn)品大量涌現(xiàn)。雖然各種網(wǎng)絡(luò)安全產(chǎn)品的功能多種多樣,但它們無一例外地要使用加密技術(shù)。一個好的加密算法首先表現(xiàn)在它的安全性上,一個不安全的算法會使使用它的網(wǎng)絡(luò)變得更加脆弱;其次要考慮它在軟硬件方面實現(xiàn)的難易度,不易實現(xiàn)的加密算法是不現(xiàn)實的;第三要看使用此加密算法會不會降低數(shù)據(jù)傳輸速率。
藍(lán)牙技術(shù)是一種新興的無線網(wǎng)絡(luò)標(biāo)準(zhǔn),它基于芯片提供短距離范圍的無線跳頻通信。它注定會成為一項通用的低成本無線技術(shù),可適用于一系列范圍廣泛的數(shù)據(jù)通信應(yīng)用。藍(lán)牙標(biāo)準(zhǔn)定義了一系列安全機制,從而為近距離無線通信提供了基本的保護(hù)。它要求每個藍(lán)牙設(shè)備都要實現(xiàn)密鑰管理、認(rèn)證以及加密等功能。此外藍(lán)牙技術(shù)所采用的跳頻數(shù)據(jù)通信方式本身也是一個防止竊聽的有效安全手段。藍(lán)牙加密過程中所用到的加密算法是E0流密碼。但是這種算法存在有一些缺點,128位密鑰長度的E0流加密在某些情況下可通過0(2^64)方式破解。所以對于大多數(shù)需要將保密放在首位來考慮的應(yīng)用來說,僅僅采用藍(lán)牙提供的數(shù)據(jù)安全性是不夠的。
2藍(lán)牙標(biāo)準(zhǔn)中的安全措施
藍(lán)牙技術(shù)中,物理層數(shù)據(jù)的安全性主要是采用了跳頻擴展頻譜,由于藍(lán)牙技術(shù)采用了跳頻技術(shù)從而使得竊聽變得極困難。藍(lán)牙射頻工作在2.4Hz頻段。在北美和歐洲的大部分國家,藍(lán)牙設(shè)備工作與從2.402到2.480Hz的頻帶,整個頻帶被分為79個1MHz帶寬的子信道。FHSS依靠頻率的變化來對抗干擾。如果射頻單元在某個頻率遇到干擾,則會在下一步跳到另一頻率點時重傳受到干擾的信號,因此總的干擾可變得很低。
為了得到完整的傳輸數(shù)據(jù),藍(lán)牙技術(shù)使用以下三種糾錯方案:1/3比例前向糾錯碼(FEC),2/3比例前向糾錯碼(FEC),數(shù)據(jù)的自動重發(fā)請求(ARQ)方案。
藍(lán)牙技術(shù)產(chǎn)品的認(rèn)證和加密服務(wù)一般由鏈路層提供,認(rèn)證采用口令-應(yīng)答方式進(jìn)行。在連接過程中往往需要一兩次認(rèn)證。為了確保通信安全,對藍(lán)牙技術(shù)產(chǎn)品進(jìn)行認(rèn)證是十分必要的,通過認(rèn)證之后,可以允許用戶自行增添可信任的藍(lán)牙技術(shù)設(shè)備,例如,用戶自己的筆記本電腦經(jīng)過認(rèn)證之后,能夠確保只有用戶自己的這臺筆記本電腦,才可以借助用戶自己的移動電話手機進(jìn)行通信。
若對于通信有更高的安全要求,那么通信中的藍(lán)牙技術(shù)產(chǎn)品就不必局限于采用物理層的提供,還可以采用更高級別的傳輸層和應(yīng)用層安全機制,以確保基于藍(lán)牙技術(shù)產(chǎn)品的通信更加安全可靠。
3藍(lán)牙技術(shù)中的加密算法
在鏈路層中,藍(lán)牙系統(tǒng)提供了認(rèn)證、加密和密鑰管理等功能,每一個用戶都有一個標(biāo)識碼(PIN),藍(lán)牙設(shè)備中所用的PIN碼的長度可以在1到16個字節(jié)之間變化。通常4個字節(jié)的PIN碼已經(jīng)可以滿足一般應(yīng)用,但是更高安全級別的應(yīng)用將需要更長的碼字。PIN碼可以是藍(lán)牙設(shè)備提供的一個固定碼,也可以由用戶任意指定,標(biāo)識碼(PIN)會被一個128位鏈路密鑰來進(jìn)行單雙向認(rèn)證。一旦認(rèn)證完畢,鏈路層會以不同長度的密鑰來加密。如圖1。
PINPIN
認(rèn)證
鏈路密鑰
鏈路密鑰
加密
加密密鑰Kc
加密密鑰Kc
申請者校驗者
圖1:藍(lán)牙中鏈路層的加密過程
藍(lán)牙技術(shù)在加密過程中所采用的加密算法如下表1。
表1:藍(lán)牙加密過程中所用的加密算法
3.1認(rèn)證算法
在認(rèn)證過程中,用于藍(lán)牙認(rèn)證的E1認(rèn)證函數(shù)來計算出一個安全認(rèn)證碼或被稱為MAC(媒體訪問控制地址)。E1所采用的算法是SAFER+,SAFER+算法是參與1997年美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)征集AES(AdvancedEncryptionStandard)的候選算法之一。SAFER+是基于現(xiàn)有的64位分組密碼的SAFER-SK128,因此它的安全性可以說是經(jīng)過了時間的考驗。
E1函數(shù)的輸入是linkkey,AU_RAND及BD_ADDR,它的定義如下:
E1:
在藍(lán)牙技術(shù)中,認(rèn)證采用口令-應(yīng)答方式。驗證方要求申請者鑒別隨機數(shù)AU_RAND并返回計算結(jié)果SRES,若雙方的計算結(jié)果相等則認(rèn)證成功,并保留ACO(AuthenticatedCipheringOffset)值。若某次認(rèn)證失敗,則必須等待一定的時間間隔才能進(jìn)行再次認(rèn)證
3.2加密算法
在藍(lán)牙技術(shù)中,用戶信息可采用分組有效載荷的加密進(jìn)行保護(hù),但識別碼和分組頭不加密。有效載荷的加密采用E0流密碼來實現(xiàn)。E0將對每一有效載荷重新同步。流密碼系統(tǒng)E0由三部分組成。第一部分執(zhí)行初始化(生成有效載荷字),第二部分生成密鑰流,第三部分完成加密和解密,如圖2。
有效載荷字明碼文本/密碼文本
Kc
地址
時鐘Z密碼文本/明碼文本
RAND
圖2藍(lán)牙的E0流加密
有效載荷字發(fā)生器非常簡單,它僅僅以適當(dāng)序列對輸入的位進(jìn)行組合,然后將它們轉(zhuǎn)移到用于密鑰流發(fā)生器的四位LFSR中。加密機采用了四個線性反饋移位寄存器(LFSR),依次為LFSR1、LFSR2、LFSR3、LFSR4,其長度分別為25,31,33,39比特。LFSR的性質(zhì):加密機把四個LFSR的輸出結(jié)果輸入到一個有限狀態(tài)機中,經(jīng)有限狀態(tài)機的組合運算輸出密鑰流序列,若在初始化階段則輸出一個隨機的初始化值。加密算法使用Kc、BD_ADDR、主時鐘CLK26-1及RAND這些參數(shù)。時鐘CLK26-1按時隙遞增,在任兩次發(fā)送中,CLK26-1至少有一位是不同的,因此在每次初始化后都將產(chǎn)生新的密鑰流。對占用多個時隙的分組來說,CLK26-1為分組所占的第一個時隙的時鐘值。
第二部分是該密碼系統(tǒng)的主要部分,并也將用于初始化過程中。密鑰流取自于Massey和Rueppel流密碼發(fā)生器的方法來生成。
最后就是流加密算法的加密過程。將數(shù)據(jù)流與密碼算法生成二進(jìn)制流比特進(jìn)行異或運算。對于加密規(guī)則,流密碼算法用于將加密位按位模2并加到數(shù)據(jù)流上,然后通過無線接口進(jìn)行傳輸。對每一分組的有效載荷的加密是單獨進(jìn)行的,它發(fā)生在CRC校驗之后,F(xiàn)EC編碼之前。由于加密是對稱的,解密使用完全和加密相同的密鑰和相同的方法實現(xiàn)。
4藍(lán)牙標(biāo)準(zhǔn)中加密算法存在的問題
藍(lán)牙所采用的E0流密碼算法的本身就有一些弱點。流密碼算法主要的缺點在于若一個偽隨機序列發(fā)生錯誤便會使整個密文發(fā)生錯誤,致使在解密過程中無法還原回明文。流加密算法系統(tǒng)的安全完全依靠密鑰流發(fā)生器的內(nèi)部機制。如果它的輸出是無窮無盡的0序列,那么密文就是明文,這樣整個系統(tǒng)就一文不值;如果它的輸出是一個周期性的16-位模式,那么該算法僅是一個可忽略安全性的異或運算;如果輸出的是一系列無盡的隨機序列(是真正的隨機,非偽隨機),那么就有一次一密亂碼本和非常完美的安全。實際的流密碼算法的安全性依賴于簡單的異或運算和一次一密亂碼本。密鑰流發(fā)生器產(chǎn)生的看似隨機的密鑰流實際上是確定的,在解密的時候能很好的將其再現(xiàn)。密鑰流發(fā)生器輸出的密鑰越接近于隨機,對密碼分析者來說就越困難。然而,這種隨機的密鑰流卻不容易得到。
在藍(lán)牙E0流加密中用到的LFSR易受到相關(guān)攻擊和分割解決攻擊,且用軟件實現(xiàn)效率非常低。在實現(xiàn)過程中要避免稀疏的反饋多項式,因為它們易遭到相關(guān)攻擊,但稠密的反饋多項式效率也很低。事實上LFSR算法用軟件實現(xiàn)并不比DES快。
以上的這些問題會讓人認(rèn)為藍(lán)牙的安全體系是高度不可靠的,然而一個不可忽略的事實是:通過藍(lán)牙連接傳輸?shù)臄?shù)據(jù)一般來說并不是非常重要的。目前藍(lán)牙標(biāo)準(zhǔn)考慮到的安全技術(shù)只適用于規(guī)模較小的網(wǎng)絡(luò),如果網(wǎng)絡(luò)結(jié)點較多,拓?fù)鋸?fù)雜(如AdHoc網(wǎng)絡(luò)),現(xiàn)有的基于點對點的密鑰分配和認(rèn)證機制不能滿足需求。藍(lán)牙所提供的數(shù)據(jù)安全性措施對小型應(yīng)用來說看起來已足夠了,但任何敏感數(shù)據(jù)或會產(chǎn)生問題的數(shù)據(jù)都不應(yīng)直接通過藍(lán)牙傳輸。為了使藍(lán)牙技術(shù)應(yīng)用得更廣泛,我們可采用另外更強勁的加密算法,如DES算法。
5DES解決方案
5.1DES簡介
1977年1月,美國政府采納了由IBM研制的作為非絕密信息的正式標(biāo)準(zhǔn)乘積密碼。這激勵了一大批生產(chǎn)廠家實現(xiàn)這個在保密產(chǎn)業(yè)中成為數(shù)據(jù)加密標(biāo)準(zhǔn)DES(dataencrytionstandard)的加密算法。此算法有一個64比特的密鑰作為參數(shù)。明文按64比特分組加密,生成64比特的密文。
由于DES是一種塊加密方法,這意味著加密過程是針對一個數(shù)據(jù)塊一個數(shù)據(jù)塊地進(jìn)行的。在DES算法中,原始信息被分成64位的固定長度數(shù)據(jù)塊,然后利用56位的加密密鑰通過置換和組合方法生成64位的加密信息。解密用的密鑰與加密密鑰相同,只是解密步驟正好相反。DES傳送數(shù)據(jù)的一般形式是以代入法密碼格式按塊傳送數(shù)據(jù)。DES采用的加密方法,一次加密一位或一個字節(jié),形成密碼流。密碼流具有自同步的特點,被傳送的密碼文本中發(fā)生錯誤和數(shù)據(jù)丟失,將只影響最終的明碼文本的一小段(64位),這稱為密碼反饋。
與藍(lán)牙流密碼算法不同,數(shù)學(xué)上可以證明分組加密算法是完全安全的。DES塊密碼是高度隨機的、非線性的,生成的加密密文與明文和密鑰的每一位都相關(guān)。DES的可用加密密鑰數(shù)量多達(dá)72x1015個。應(yīng)用于每一明文信息的密鑰都是從這一巨大數(shù)量的密鑰中隨機產(chǎn)生的。DES算法已被廣泛采用并被認(rèn)為是非常可靠的。
5.2藍(lán)牙中用DES取代E0流密碼
如圖1,在兩個藍(lán)牙設(shè)備經(jīng)過認(rèn)證并已生成了加密密鑰Kc后就可進(jìn)行加密了。因為Kc可在8~128比特變化,而DES加密算法使用長度為56比特的密鑰加密長度為64比特的明文從而獲得64比特的密文,所以這里可取Kc的長度為56比特。用DES加密藍(lán)牙數(shù)據(jù)分組的過程如下:
a)將來自藍(lán)牙分組分割成64比特的明文段。其中的一段記為x=DIN[63:0],先通過一個固定的初始置換IP,將x的比特置換為x0。即:x0=IP(x)=L0R0,這里L(fēng)0是x0的前32比特,R0是x0的后32比特。
b)進(jìn)行16輪完全相同的運算,在這里是數(shù)據(jù)與密鑰相結(jié)合,例計算LiRi,。
Li=Ri-1
Ri=Lif(Ri-1,Ki)
其中Ki是來自密鑰Kc=Key[63:0]的比特的一個置換結(jié)果。而f函數(shù)是實現(xiàn)代替、置換及密鑰異或的函數(shù)。
c)對R16L16進(jìn)行初始置換IP的逆置換IP,獲得密文y=DOUT[63:0],即y=IP(R16L16)。最后一次迭代后,左邊和右邊未交換,將R16L16作為IP的輸入,目的是使算法可同時用于加密和解密。
無論是硬件還是軟件,此DES加密方案都易實現(xiàn)。其中DES的硬件實現(xiàn)如圖3。此硬件加密方案采用低成本的可編程邏輯器件和現(xiàn)成可用的用于高級加密處理的智力產(chǎn)權(quán)(IP)產(chǎn)品實現(xiàn)。目前,大批量時只用10美元即可購買到10萬系統(tǒng)門的可編程邏輯器件。這些器件還允許在設(shè)計中增加其它功能,如高級錯誤糾正。因此可編程邏輯器件可大幅度降低系統(tǒng)級的成本。
用軟件(這里選用C語言)來實現(xiàn)該加密算法。為了算法實現(xiàn)的方便,這里刪去了初始置換和末置換。
將此加密算法嵌入藍(lán)牙協(xié)議中的基帶部分以取代E0流密碼算法,可允許藍(lán)牙技術(shù)安全地應(yīng)用到范圍廣泛的安全性具有最重要地位的應(yīng)用中去。這些應(yīng)用包括:金融電子交易:ATM、智能卡,安全電子商務(wù)交易,安全辦公通信,安全視頻監(jiān)視系統(tǒng),數(shù)字機頂盒,高清晰度電視(HDTV),其它消費電子設(shè)備等領(lǐng)域。
另外,對藍(lán)牙加密這個過程中,可發(fā)現(xiàn)DES加密算法在近距離無線局域網(wǎng)的特定環(huán)境下存在一些問題。進(jìn)而優(yōu)化算法,最終可為應(yīng)用于各種近距離無線網(wǎng)絡(luò)通信的加密算法的選擇提供有實際意義的參考依據(jù)。
6結(jié)束語
藍(lán)牙是一項將會改變我們通信方式的令人激動的新技術(shù)。然而,藍(lán)牙技術(shù)在標(biāo)準(zhǔn)化過程中都未曾完整地考慮安全問題。作為以無線信道為傳輸媒體的通信網(wǎng)絡(luò),藍(lán)牙網(wǎng)絡(luò)相對于固定網(wǎng)絡(luò)更容易受到攻擊。對于數(shù)據(jù)安全性處于首要地位的應(yīng)用來說,實現(xiàn)高水平的數(shù)據(jù)安全性是必須的。目前藍(lán)牙標(biāo)準(zhǔn)所采用的E0流密碼算法存在著很多弊端,而DES和RSA算法相對來說更安全,而且較易實現(xiàn)。
參考文獻(xiàn)
[1]金純許光辰等編著《藍(lán)牙技術(shù)》[M](北京)電子工業(yè)出版社2001年3月
[2]于躍韓永飛藍(lán)牙技術(shù)的安全性[J]《電信技術(shù)》2001年第9期
[3]Andrew《ComputerNetwork》[M]S.TanenbaunPrenticeHall1998
[4]VainioJ.,BluetoothSecurity,05-25-2000
[5]Bluetooth,TheBluetoothSpecification,v.1.0B
篇9
1 信息數(shù)據(jù)安全與加密的必要外部條件
1.1 計算機安全。每一個計算機網(wǎng)絡(luò)用戶都首先把自己的信息數(shù)據(jù)存儲在計算機之中,然后,才進(jìn)行相互之間的信息數(shù)據(jù)傳遞與交流,有效地保障其信息數(shù)據(jù)的安全必須以保證計算機的安全為前提,計算機安全主要有兩個方面包括:計算機的硬件安全與計算機軟件安全。1)計算機硬件安全技術(shù)。保持計算機正常的運轉(zhuǎn),定期檢查是否出現(xiàn)硬件故障,并及時維修處理,在易損器件出現(xiàn)安全問題之前提前更換,保證計算機通電線路安全,提供備用供電系統(tǒng),實時保持線路暢通。2)計算機軟件安全技術(shù)。首先,必須有安全可靠的操作系統(tǒng)。作為計算機工作的平臺,操作系統(tǒng)必須具有訪問控制、安全內(nèi)核等安全功能,能夠隨時為計算機新加入軟件進(jìn)行檢測,如提供windows安全警報等等。其次,計算機殺毒軟件,每一臺計算機要正常的上網(wǎng)與其他用戶交流信息,都必須實時防護(hù)計算機病毒的危害,一款好的殺毒軟件可以有效地保護(hù)計算機不受病毒的侵害。
1.2 通信安全。通信安全是信息數(shù)據(jù)的傳輸?shù)幕緱l件,當(dāng)傳輸信息數(shù)據(jù)的通信線路存在安全隱患時,信息數(shù)據(jù)就不可能安全的傳遞到指定地點。盡管隨著科學(xué)技術(shù)的逐步改進(jìn),計算機通信網(wǎng)絡(luò)得到了進(jìn)一步完善和改進(jìn),但是,信息數(shù)據(jù)仍舊要求有一個安全的通信環(huán)境。主要通過以下技術(shù)實現(xiàn)。1)信息加密技術(shù)。這是保障信息安全的最基本、最重要、最核心的技術(shù)措施。我們一般通過各種各樣的加密算法來進(jìn)行具體的信息數(shù)據(jù)加密,保護(hù)信息數(shù)據(jù)的安全通信。2)信息確認(rèn)技術(shù)。為有效防止信息被非法偽造、篡改和假冒,我們限定信息的共享范圍,就是信息確認(rèn)技術(shù)。通過該技術(shù),發(fā)信者無法抵賴自己發(fā)出的消息;合法的接收者可以驗證他收到的消息是否真實;除合法發(fā)信者外,別人無法偽造消息。3)訪問控制技術(shù)。該技術(shù)只允許用戶對基本信息庫的訪問,禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時,系統(tǒng)管理員能夠利用這一技術(shù)實時觀察用戶在網(wǎng)絡(luò)中的活動,有效的防止黑客的入侵。
2 信息數(shù)據(jù)的安全與加密技術(shù)
隨著計算機網(wǎng)絡(luò)化程度逐步提高,人們對信息數(shù)據(jù)傳遞與交流提出了更高的安全要求,信息數(shù)據(jù)的安全與加密技術(shù)應(yīng)運而生。然而,傳統(tǒng)的安全理念認(rèn)為網(wǎng)絡(luò)內(nèi)部是完全可信任,只有網(wǎng)外不可信任,導(dǎo)致了在信息數(shù)據(jù)安全主要以防火墻、入侵檢測為主,忽視了信息數(shù)據(jù)加密在網(wǎng)絡(luò)內(nèi)部的重要性。以下介紹信息數(shù)據(jù)的安全與加密技術(shù)。
2.1 存儲加密技術(shù)和傳輸加密技術(shù)。存儲加密技術(shù)分為密文存儲和存取控制兩種,其主要目的是防止在信息數(shù)據(jù)存儲過程中信息數(shù)據(jù)泄露。密文存儲主要通過加密算法轉(zhuǎn)換、加密模塊、附加密碼加密等方法實現(xiàn);存取控制則通過審查和限制用戶資格、權(quán)限,辨別用戶的合法性,預(yù)防合法用戶越權(quán)存取信息數(shù)據(jù)以及非法用戶存取信息數(shù)據(jù)。 轉(zhuǎn)貼于
傳輸加密技術(shù)分為線路加密和端-端加密兩種,其主要目的是對傳輸中的信息數(shù)據(jù)流進(jìn)行加密。線路加密主要通過對各線路采用不同的加密密鑰進(jìn)行線路加密,不考慮信源與信宿的信息安全保護(hù)。端-端加密是信息由發(fā)送者端自動加密,并進(jìn)入TCP/IP信息數(shù)據(jù)包,然后作為不可閱讀和不可識別的信息數(shù)據(jù)穿過互聯(lián)網(wǎng),這些信息一旦到達(dá)目的地,將被自動重組、解密,成為可讀信息數(shù)據(jù)。
2.2 密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)。密鑰管理加密技術(shù)是為了信息數(shù)據(jù)使用的方便,信息數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導(dǎo)體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配、保存、更換與銷毀等各環(huán)節(jié)上的保密措施。網(wǎng)絡(luò)信息確認(rèn)加密技術(shù)通過嚴(yán)格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認(rèn)方案應(yīng)該能使:合法的接收者能夠驗證他收到的消息是否真實;發(fā)信者無法抵賴自己發(fā)出的消息;除合法發(fā)信者外,別人無法偽造消息;發(fā)生爭執(zhí)時可由第三人仲裁。按照其具體目的,信息確認(rèn)系統(tǒng)可分為消息確認(rèn)、身份確認(rèn)和數(shù)字簽名。數(shù)字簽名是由于公開密鑰和私有密鑰之間存在的數(shù)學(xué)關(guān)系,使用其中一個密鑰加密的信息數(shù)據(jù)只能用另一個密鑰解開。發(fā)送者用自己的私有密鑰加密信息數(shù)據(jù)傳給接收者,接收者用發(fā)送者的公鑰解開信息數(shù)據(jù)后,就可確定消息來自誰。這就保證了發(fā)送者對所發(fā)信息不能抵賴。
2.3 消息摘要和完整性鑒別技術(shù)。消息摘要是一個惟一對應(yīng)一個消息或文本的值,由一個單向Hash加密函數(shù)對消息作用而產(chǎn)生。信息發(fā)送者使用自己的私有密鑰加密摘要,也叫做消息的數(shù)字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發(fā)送者,當(dāng)消息在途中被改變時,接收者通過對比分析消息新產(chǎn)生的摘要與原摘要的不同,就能夠發(fā)現(xiàn)消息是否中途被改變。所以說,消息摘要保證了消息的完整性。
完整性鑒別技術(shù)一般包括口令、密鑰、身份(介入信息傳輸、存取、處理的人員的身份)、信息數(shù)據(jù)等項的鑒別。通常情況下,為達(dá)到保密的要求,系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實現(xiàn)對信息數(shù)據(jù)的安全保護(hù)。
3 結(jié)束語
綜上所述,信息數(shù)據(jù)的安全與加密技術(shù),是保障當(dāng)前形勢下我們安全傳遞與交流信息的基本技術(shù),對信息安全至關(guān)重要。希望通過本文的研究,能夠拋磚引玉,引起國內(nèi)外專家的重視,投入更多的精力以及更多的財力、物力來研究信息數(shù)據(jù)安全與加密技術(shù),以便更好的保障每一個網(wǎng)絡(luò)使用者的信息安全。
參考文獻(xiàn):
[1]曾莉紅,基于網(wǎng)絡(luò)的信息包裝與信息數(shù)據(jù)加密[J].包裝工程,2007(08).
篇10
1、影響計算機網(wǎng)絡(luò)數(shù)據(jù)安全的因素
1.1 網(wǎng)絡(luò)漏洞
目前的操作系統(tǒng)支持多用戶和多進(jìn)程,若干個不同的進(jìn)程可能在接收數(shù)據(jù)包的主機上同時運行。它們中的任何一個都可能是傳輸?shù)哪繕?biāo),這樣使得網(wǎng)絡(luò)操作系統(tǒng)的漏洞成為網(wǎng)絡(luò)漏洞,從而導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)受到黑客的攻擊。
1.2 計算機病毒
計算機病毒蔓延范圍廣,增長速度快,附著在其他程序上。如果帶毒文件被共享,其他機器打開、瀏覽時就會被感染,進(jìn)而成為滾雪球一樣的連鎖式傳播。可能使系統(tǒng)死機或毀壞,造成數(shù)據(jù)的損失。
1.3 服務(wù)器信息泄露
由于計算機系統(tǒng)程序的缺陷,在對錯誤處理不正確的情況下,利用這類漏洞,攻擊者可以收集到對于進(jìn)一步攻擊系統(tǒng)有用的信息,從而導(dǎo)致數(shù)據(jù)的不安全。
1.4 非法入侵
非法侵入者通過監(jiān)視等非法手段,獲取攜帶用戶名和口令和IP包,然后通過使用它而登錄到系統(tǒng),非法侵入者可以冒充一個被信任的主機或客戶,并通過被信任客戶的IP地址取代自己的地址,竊取網(wǎng)絡(luò)數(shù)據(jù)。
2、數(shù)據(jù)加密技術(shù)的原理
在計算機網(wǎng)絡(luò)實際運行中,所有的應(yīng)用系統(tǒng)無論提供何種服務(wù),其基礎(chǔ)運行都想通過數(shù)據(jù)的傳輸。因此,數(shù)據(jù)的安全是保證整個計算機網(wǎng)絡(luò)的核心。數(shù)據(jù)加密的基本過程是按某種算法,對原來為明文的文件或數(shù)據(jù)進(jìn)行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容,通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。
3、數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用方案
3.1 確定加密目標(biāo)
使用數(shù)據(jù)加密技術(shù)首先要明確網(wǎng)絡(luò)中的哪些方面需要使用數(shù)據(jù)加密,即要明確如下問題:一是在服務(wù)器、工作站、筆記本等可移動存儲設(shè)備或手持智能設(shè)備上會出現(xiàn)哪些機密信息;二是機密信息在各類存儲設(shè)備上的什么位置及以什么文件類型保存;三是機密數(shù)據(jù)在局域網(wǎng)中傳輸是否安全;四是進(jìn)行WEB瀏覽等網(wǎng)絡(luò)通信是否包含機密信息,從而鎖定加密目標(biāo)。
3.2 選擇加密方案
3.2.1 對稱數(shù)據(jù)加密技術(shù)
對稱數(shù)據(jù)加密技術(shù)是使用加密密鑰與解密密鑰是相同的密碼體制。該加密技術(shù)通信的雙方在加密和解密時使用的是同1個密鑰。在通信雙方能確保密鑰在交換階段未泄露的情況下,可以保證信息的機密性與完整性。典型的算法有DES及其各種變形。DES是一種對二元數(shù)據(jù)進(jìn)行加密的算法,將信息分成64位的分組,并使用56位長度的密鑰,另8位用于奇偶校驗。它對每1個分組使用一種復(fù)雜的變位組合、替換,再進(jìn)行異或運算和其他一些過程,最后生成64位的加密數(shù)據(jù)。對每一個分組進(jìn)行l(wèi)9步處理,每一步的輸出是下一步的輸入。以此類推,直到用完K(16),再經(jīng)過逆初始置換,全部加密過程結(jié)束。該技術(shù)在運用中主要策略是:假如A要向B發(fā)送密文(DES)和密鑰SK,可以用B公布的公開密鑰對Sk進(jìn)行RSA加密,向B一起發(fā)送其結(jié)果和密文,接受數(shù)據(jù)后,B首先用自己的私鑰對SK 進(jìn)行解密, 從而取得A 的密鑰SK。再用SK 解密密文。從而實現(xiàn)了密鑰傳輸?shù)陌踩珕栴},保證了數(shù)據(jù)的安全。
3.2.2 非對稱數(shù)據(jù)加密技術(shù)
非對稱式加密就是使用不同的密鑰對數(shù)據(jù)進(jìn)行加密和解密,通常為“公鑰”和“私鑰。其中“公鑰”是可以公開的,不用擔(dān)心被別人知道,收件人解密時只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。典型的算法有l(wèi)ISA體制。其加密過程如下:① 為字母制定1個簡單的編碼,如A~Z分別對應(yīng)于1—26。② 選擇1個足夠大的數(shù)n,將2個大的素數(shù)P和q的乘積定義為n。③ 找出1個數(shù)k,k與(P—1)×(q一1)互為素數(shù)。數(shù)字k就是加密密鑰。④ 將要發(fā)送的信息分成多個部分,一般可以將多個字母分為一部分。在此例中將每一個字母作為一部分。⑤ 對每部分,將所有字母的二進(jìn)制編碼串接起來,并轉(zhuǎn)換成整數(shù)。⑥ 將每個部分?jǐn)U大到它的k次方,并使用模n運算,從而得到密文。解密時找出1個數(shù)k 使得k x k 一1 rnod((P一1)×(q一1)),且p k× k 一1臺皂被(P一1)X(q一1)整除。k 的值就是解密密鑰。
3.2.3 公開密鑰密碼技術(shù)
開密鑰加密技術(shù)使用兩個不同的密鑰,一個用來加密信息,稱為加密密鑰;
另一個用來解密信息,稱為解密密鑰。加密密鑰與解密密鑰是數(shù)學(xué)相關(guān)的,它們成對出現(xiàn),但解密密鑰不能由加密密鑰計算出來,加密密鑰也不能由解密密鑰計算出來。信息用某用戶的加密密鑰加密后,所得到的數(shù)據(jù)只能用該用戶的解密密鑰才能解密。其計算過程如下:①用加密密鑰PK對明文x加密后,再用解密密鑰sK解密,即可恢復(fù)出明文,或?qū)憺椋篋SK(EPK(x))=x②加密密鑰不能用來解密,即DPK(EPK(x))≠x③在計算機上可以容易地產(chǎn)生成對的PK和SK。④從已知的PK實際上不可能推導(dǎo)出sK。⑤加密和解密的運算可以對調(diào),即:EPK(DSK(x))=x
篇11
二、數(shù)據(jù)加密相關(guān)信息
2.1數(shù)據(jù)加密的方法
加密技術(shù)通常分為兩大類:對稱式和非對稱式
對稱式加密,被廣泛采用,它的特點是文件加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰,這種方法在密碼學(xué)中叫做對稱加密算法,對稱加密算法使用起來簡單快捷,密鑰較短,且破譯困難。對稱加密的優(yōu)點是具有很高的保密強度,可以達(dá)到經(jīng)受較高級破譯力量的分析和攻擊,但它的密鑰必須通過安全可靠的途徑傳遞,密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素,使它難以滿足系統(tǒng)的開放性要求。對稱密碼加密算法中最著名的是DES(Data Encryption Standard)加密算法,它是由IBM公司開發(fā)的數(shù)據(jù)加密算法,它的核心是乘積變換。如果用公開密鑰對數(shù)據(jù)進(jìn)行加密,只有用對應(yīng)的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進(jìn)行加密,那么只有用對應(yīng)的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種算法叫非對稱加密算法。非對稱密碼的主要優(yōu)點是可以適應(yīng)開放性的使用環(huán)境,密鑰管理問題相對簡單,可以方便、安全地實現(xiàn)數(shù)字簽名和驗證, 但加密和解密花費時間長、速度慢。非對稱加密算法中最著名的是由美國MIT的Rivset、Shemir、Adleman于1977年實現(xiàn)的RSA算法。
2.2 數(shù)據(jù)加密的標(biāo)準(zhǔn)
最早、最著名的保密密鑰或?qū)ΨQ密鑰加密算法DES(Data Encryption Standard)是由IBM公司在70年展起來的,并經(jīng)政府的加密標(biāo)準(zhǔn)篩選后,于1976年11月被美國政府采用,DES隨后被美國國家標(biāo)準(zhǔn)局和美國國家標(biāo)準(zhǔn)協(xié)會(American National Standard Institute,ANSI)承認(rèn)。 DES使用56位密鑰對64位的數(shù)據(jù)塊進(jìn)行加密,并對64位的數(shù)據(jù)塊進(jìn)行16輪編碼。與每輪編碼時,一個48位的”每輪”密鑰值由56位的完整密鑰得出來。DES用軟件進(jìn)行解碼需用很長時間,而用硬件解碼速度非常快。幸運的是,當(dāng)時大多數(shù)黑客并沒有足夠的設(shè)備制造出這種硬件設(shè)備。在1977年,人們估計要耗資兩千萬美元才能建成一個專門計算機用于DES的解密,而且需要12個小時的破解才能得到結(jié)果。當(dāng)時DES被認(rèn)為是一種十分強大的加密方法。另一種非常著名的加密算法就是RSA了,RSA算法是基于大數(shù)不可能被質(zhì)因數(shù)分解假設(shè)的公鑰體系。簡單地說就是找兩個很大的質(zhì)數(shù)。一個對外公開的為“公鑰”(Prblic key) ,另一個不告訴任何人,稱為“私鑰”(Private key)。這兩個密鑰是互補的,也就是說用公鑰加密的密文可以用私鑰解密,反過來也一樣。
三、數(shù)據(jù)加密傳輸系統(tǒng)
3.1 系統(tǒng)的整體結(jié)構(gòu)
系統(tǒng)的整體結(jié)構(gòu)分為以下幾個模塊,首先是發(fā)送端的明文經(jīng)過數(shù)據(jù)加密系統(tǒng)加密后,文件傳輸系統(tǒng)將加密后的密文傳送給接收端,接收端接收到密文以后,用已知的密鑰進(jìn)行解密,得到明文。
3.2 模塊設(shè)計
3.2.1 加解密模塊
(1)DES加解密模塊。DES加解密模塊的設(shè)計,分為兩個部分:DES加密文件部分和DES加密演示部分。DES加密文件部分可以實現(xiàn)對文件的瀏覽,選中文件后對文件進(jìn)行加密,加密后的文件存放在新的文檔;DES加密演示部分輸入數(shù)據(jù)后可以直接加密。(2)RSA加解密模塊。RSA加解密系統(tǒng),主界面有三個模塊,分別為加密、解密和退出;加密模塊對明文和密鑰的輸入又設(shè)置了直接輸入和從文件讀取;解密模塊可以直接實現(xiàn)對文件的解密。
3.2.2 文件傳輸模塊
(1)文件瀏覽:用戶手動點擊瀏覽按鈕,根據(jù)用戶的需要,按照目錄選擇要傳輸?shù)奈募x中文件。(2)文件傳輸:當(dāng)用戶點擊發(fā)送文件時,文件就可通過軟件傳給客戶端。點擊客戶端按鈕,軟件會彈出客戶端的窗體,它包含輸入框(輸入對方IP地址)和按鈕(接收和退出),通過輸入IP地址,就可實現(xiàn)一臺電腦上的文件傳輸。
四、數(shù)據(jù)加密在商務(wù)中的應(yīng)用
在電子商務(wù)發(fā)展過程中,采用數(shù)字簽名技術(shù)能保證發(fā)送方對所發(fā)信息的不可抵賴性。在法律上,數(shù)字簽名與傳統(tǒng)簽名同樣具有有效性。數(shù)字簽名技術(shù)在電子商務(wù)中所起的作用相當(dāng)于親筆簽名或印章在傳統(tǒng)商務(wù)中所起的作用。
數(shù)據(jù)簽名技術(shù)的工作原理: 1.把要傳輸?shù)男畔⒂秒s湊函數(shù)(Hash Function)轉(zhuǎn)換成一個固定長度的輸出,這個輸出稱為信息摘要(Message Digest,簡稱MD)。雜湊函數(shù)是一個單向的不可逆的函數(shù),它的作用是能對一個輸入產(chǎn)生一個固定長度的輸出。 2.發(fā)送者用自己的私鑰(SK)對信息摘要進(jìn)行加密運算,從而形成數(shù)字簽名。 3.把數(shù)字簽名和原始信息(明文)一同通過Internet發(fā)送給接收方。 4.接收方用發(fā)送方的公鑰(PK)對數(shù)字簽名進(jìn)行解密,從而得到信息摘要。 5.接收方用相同的雜湊函數(shù)對接收到的原始信息進(jìn)行變換,得到信息摘要,與⑷中得到的信息摘要進(jìn)行比較,若相同,則表明在傳輸過程中傳輸信息沒有被篡改。同時也能保證信息的不可抵賴性。若發(fā)送方否認(rèn)發(fā)送過此信息,則接收方可將其收到的數(shù)字簽名和原始信息傳送至第三方,而第三方用發(fā)送方的公鑰很容易證實發(fā)送方是否向接收方發(fā)送過此信息。
然而,僅采用上述技術(shù)在Internet上傳輸敏感信息是不安全的,主要有兩方面的原因。 1.沒有考慮原始信息即明文本身的安全; 2.任何知道發(fā)送方公鑰的人都可以獲取敏感信息,而發(fā)送方的公鑰是公開的。 解決1可以采用對稱密鑰加密技術(shù)或非對稱密鑰加密技術(shù),同時考慮到整個加密過程的速度,一般采用對稱密鑰加密技術(shù)。而解決2需要介紹數(shù)字加密算法的又一應(yīng)用即數(shù)字信封。
五、 結(jié)論
上述內(nèi)容主要介紹了數(shù)據(jù)傳輸過程中的加密處理,數(shù)據(jù)加密是一個主動的防御策略,從根本上保證數(shù)據(jù)的安全性。和其他電子商務(wù)安全技術(shù)相結(jié)合,可以一同構(gòu)筑安全可靠的電子商務(wù)環(huán)境,使得網(wǎng)上通訊,數(shù)據(jù)傳輸更加安全、可信。
參 考 文 獻(xiàn)
[1]黃河明.數(shù)據(jù)加密技術(shù)及其在網(wǎng)絡(luò)安全傳輸中的應(yīng)用.碩士論文,2008年
[2]孟揚.網(wǎng)絡(luò)信息加密技術(shù)分析[J].信息網(wǎng)絡(luò)安全,2009年4期
篇12
1 計算機網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)
1.1 數(shù)據(jù)加密的基本概念。計算機網(wǎng)絡(luò)中的數(shù)據(jù)加密技術(shù)是對數(shù)據(jù)信息進(jìn)行加密處理的過程,通過數(shù)據(jù)加密可以將原文信息變?yōu)橐淮豢芍苯幼x取的密文,接收方在接收到密文信息后,利用自己擁有的密鑰對密文信息進(jìn)行解密,接收方才能顯示并讀取原文信息。數(shù)據(jù)加密技術(shù)中需要按照一定的算法作為支撐才能進(jìn)行。數(shù)據(jù)加密過程是指將原數(shù)據(jù)信息變?yōu)槊芪男畔ⅲ鴶?shù)據(jù)解密過程是指將密文信息轉(zhuǎn)化為原數(shù)據(jù)信息,兩者是密切結(jié)合在一起存在的,缺一不可。
通過對數(shù)據(jù)信息進(jìn)行加密處理,可以將數(shù)據(jù)信息隱藏起來,避免非法用戶截取、閱讀、篡改原始數(shù)據(jù)信息,從而達(dá)到保護(hù)數(shù)據(jù)安全、維護(hù)計算機網(wǎng)絡(luò)安全的目的。
1.2 數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)包括對稱加密技術(shù)、非對稱加密技術(shù)、混合密鑰加密技術(shù),對稱加密技術(shù)和非對稱加密技術(shù)的區(qū)別在于加密和解密過程中使用的密鑰是否一致,而混合密鑰是將對稱加密技術(shù)和非對稱加密技術(shù)的優(yōu)點結(jié)合到一起進(jìn)行利用的。下文將對三種數(shù)據(jù)加密技術(shù)進(jìn)行介紹。
(1)對稱加密技術(shù)。由于對稱加密技術(shù)簡單、容易實現(xiàn)的特點,使得對稱加密技術(shù)得到了較為廣泛的應(yīng)用。對稱加密技術(shù)中的對稱是指加密和解密是使用相同的密鑰,密鑰是對稱存在的,以此稱之為對稱加密技術(shù)。通信雙方在通信時,發(fā)送方首先將密鑰發(fā)送給接收方,發(fā)送方對通信數(shù)據(jù)信息進(jìn)行加密后,將密文信息傳送給接收方,接收方利用自己持有的密鑰進(jìn)行數(shù)據(jù)解密,從而讀取數(shù)據(jù)信息。對稱加密技術(shù)能提高網(wǎng)絡(luò)安全性的前提是密鑰沒有被惡意竊取,同時也沒有被泄露。
對稱加密技術(shù)中涉及到的算法包括DES算法、IDEA算法、AES算法。DES算法利用置換技術(shù)、代替等多種密碼技術(shù),將數(shù)據(jù)信息劃分為64位大小的塊,其中8位作為奇偶校驗,56位作為密鑰。IDEA算法按標(biāo)準(zhǔn)為64位的組進(jìn)行劃分,并對密鑰的程度進(jìn)行規(guī)定,即為128位。AES算法是區(qū)塊加密標(biāo)準(zhǔn),是一個迭代的算法,該算法中規(guī)定的區(qū)塊長度為固定的128位,而密鑰長度可以有所不同。
對稱加密技術(shù)的主要優(yōu)點是加密速度快、保密性高,也有一定的缺點,在加解密的過程中,必須確保密鑰的安全,如果密鑰發(fā)生了泄露,獲得密鑰的人就可以對截獲的數(shù)據(jù)信息進(jìn)行閱讀、修改等操作,因此,為了提高密鑰的安全性,保證密鑰安全的發(fā)送,就需要付出高代價進(jìn)行完善。
(2)非對稱加密技術(shù)。我們平時常說的公開密鑰加密技術(shù)就是非對稱解密技術(shù),在使用非對稱加密技術(shù)時,加密密鑰和解密密鑰是不同的兩個密鑰,加密密鑰即公鑰,解密密鑰即私鑰,這兩個密鑰需要配對使用。公鑰是對外公布的密鑰,用于加密;私鑰則由私人擁有,用于解密。通信雙方在發(fā)送數(shù)據(jù)信息時,發(fā)送方用接收方已經(jīng)公布的公鑰對數(shù)據(jù)信息進(jìn)行加密,然后進(jìn)行數(shù)據(jù)傳輸,接收方接收到數(shù)據(jù)后,用私鑰解密,將密文信息進(jìn)行還原。對于對稱加密技術(shù)來說,在網(wǎng)絡(luò)傳輸過程中將密鑰進(jìn)行傳遞,很可能被惡意竊取,使數(shù)據(jù)信息的安全受到威脅。而對于非對稱加密技術(shù)來說,公鑰是公開的,私鑰不需要進(jìn)行傳輸,這就避免了密鑰傳輸過程中存在的安全問題。
非對稱加密算法中RSA加密算法應(yīng)用范圍廣,該算法的優(yōu)點是操作簡單、實現(xiàn)方便,同時能夠用于數(shù)據(jù)加密和數(shù)字簽名等維護(hù)計算機網(wǎng)絡(luò)的安全性能中。RSA加密算法屬于支持可變長密鑰的算法,主要以大數(shù)難以被質(zhì)因數(shù)分解假設(shè)為基礎(chǔ)。RSA算法的優(yōu)點為密鑰少便于管理;公鑰分配過程簡單,易于實現(xiàn);私鑰不需要傳遞,提高了私鑰的安全性。而RSA算法的缺點為產(chǎn)生密鑰過程復(fù)雜;加解密速度慢,運算代價高。
(3)混合密鑰加密技術(shù)。由于對稱加密技術(shù)和非對稱加密技術(shù)都有其各自的優(yōu)缺點和適應(yīng)范圍,所以將兩者的特點進(jìn)行結(jié)合,即混合密鑰加密技術(shù),以此來對計算機網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行加密,提高數(shù)據(jù)傳輸中的安全性。在混合密鑰加密技術(shù)中,首先通信雙方中的發(fā)送方利用對稱加密技術(shù)對通信數(shù)據(jù)信息進(jìn)行加密,然后將對稱密鑰通過非對稱加密技術(shù)進(jìn)行加密并傳輸,接收方接收到密文后,用私鑰對對稱密鑰進(jìn)行解密,從而獲得解碼密文的密鑰,并利用該密鑰對密文進(jìn)行解碼,以此來讀取原數(shù)據(jù)信息。這種混合密鑰加密的方法,結(jié)合了對稱和非對稱加密技術(shù)的優(yōu)點,提高了加解密的速度,同時也提高了數(shù)據(jù)信息的安全性。
2 數(shù)據(jù)備份與恢復(fù)技術(shù)
利用數(shù)據(jù)加密技術(shù)可以提高數(shù)據(jù)在傳輸過程中的安全性,然而由于計算機本身的硬件故障、病毒破壞、非正常操作等都可以造成計算機內(nèi)數(shù)據(jù)信息的丟失,為數(shù)據(jù)的安全帶來問題。為了減少計算機的數(shù)據(jù)損失,提高計算機內(nèi)數(shù)據(jù)的安全性和完整性,要定期或不定期的對數(shù)據(jù)信息進(jìn)行備份,當(dāng)計算機中的數(shù)據(jù)出現(xiàn)問題時,可以利用數(shù)據(jù)備份信息對計算機內(nèi)的數(shù)據(jù)進(jìn)行恢復(fù)。
2.1 利用專業(yè)軟件進(jìn)行數(shù)據(jù)備份和恢復(fù)。利用專業(yè)軟件來恢復(fù)數(shù)據(jù)是一種非常重要的方法。常用的軟件有Easy Recovery、Final Data、Norton Ghost等。Easy Recovery的功能很強大,通過對硬盤的掃描,可以恢復(fù)由誤操作(誤刪除、誤格式化)、重新分區(qū)造成的數(shù)據(jù)損失,如果分區(qū)表受損,可以使用該軟件進(jìn)行恢復(fù),然而該軟件不能完全恢復(fù)包含多個簇的文件。Final Data的優(yōu)點是有較快的數(shù)據(jù)恢復(fù)速度,并且可以掃描計算機的邏輯硬盤和物理硬盤,根據(jù)掃描的結(jié)果來隊服計算機的數(shù)據(jù)。Norton Ghost可以對一個或者多個分區(qū)盤進(jìn)行備份,并將備份文件保存在安全的存儲介質(zhì)中,如保存到光盤中。當(dāng)計算機受到損壞時,專業(yè)數(shù)據(jù)恢復(fù)軟件可以快速的找回丟失的信息,并進(jìn)行系統(tǒng)重建工作。
2.2 在BIOS中建數(shù)據(jù)防護(hù)。在BIOS中建數(shù)據(jù)防護(hù)主要是以BIOS中內(nèi)嵌的硬盤工具為基礎(chǔ)進(jìn)行數(shù)據(jù)恢復(fù),此技術(shù)通過主要是對硬盤的數(shù)據(jù)進(jìn)行完整的備份,并存儲在一定的介質(zhì)中,而這個存儲介質(zhì)僅要求是硬盤。該技術(shù)是對數(shù)據(jù)進(jìn)行完整備份,因此利用該技術(shù)進(jìn)行數(shù)據(jù)備份與恢復(fù)會耗費很長的時間。鏡像文件以隱藏的形式存儲雜硬盤中,因此不存在誤刪除的現(xiàn)象,加強了數(shù)據(jù)信息的安全性。
2.3 網(wǎng)絡(luò)備份存儲管理系統(tǒng)。網(wǎng)絡(luò)備份存儲管理系統(tǒng)主要是以存儲設(shè)備和硬件設(shè)施為基礎(chǔ),加上存儲管理軟件的應(yīng)用,來統(tǒng)一管理數(shù)據(jù)備份信息,由于相關(guān)軟件的應(yīng)用,系統(tǒng)可以根據(jù)備份文件進(jìn)行數(shù)據(jù)恢復(fù)。網(wǎng)絡(luò)備份存儲管理系統(tǒng)是需要備份管理軟件作為支撐,以此來完成系統(tǒng)的功能,并能夠根據(jù)備份數(shù)據(jù)來處理數(shù)據(jù)恢復(fù)的過程,從而很好的實現(xiàn)計算機網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)的智能化管理和高效。
3 結(jié)束語
由于計算機網(wǎng)絡(luò)的廣泛應(yīng)用,計算機網(wǎng)絡(luò)的安全影響著社會生活的方法面面,維護(hù)計算機網(wǎng)絡(luò)的安全是我們必須要義不容辭的責(zé)任。計算機網(wǎng)絡(luò)安全技術(shù)很多,如數(shù)據(jù)加密技術(shù)、數(shù)據(jù)恢復(fù)技術(shù),然而單純的一種技術(shù)對于計算機網(wǎng)絡(luò)的安全性來說是遠(yuǎn)遠(yuǎn)不夠的,必須要結(jié)合多種技術(shù),從不同的角度進(jìn)行努力,來提高網(wǎng)絡(luò)的安全性能。
參考文獻(xiàn):
[1]徐雁萍.數(shù)據(jù)加密技術(shù)的研究[C].中國氣象學(xué)會2008年年會第二屆研究生年會分會場論文集,2008(11):151-158.
[2]黃志清.網(wǎng)絡(luò)安全中的數(shù)據(jù)加密技術(shù)研究[J].微型電腦應(yīng)用,2000(05):20-21.
[3]王棟松.計算機網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)探討[J].文教資料:信息技術(shù),2006(01):139-140.
篇13
由于數(shù)據(jù)庫具有數(shù)據(jù)復(fù)雜、數(shù)據(jù)的查詢操作非常頻繁且數(shù)據(jù)存儲時限相對較長等特點,所以應(yīng)用于數(shù)據(jù)庫的加、解密算法及相應(yīng)的密鑰管理機制應(yīng)滿足以下要求:
(1)數(shù)據(jù)庫加密系統(tǒng)應(yīng)滿足的首要條件是保證數(shù)據(jù)的安全性。在此方面要求加密算法保證數(shù)據(jù)的保密性和完整性,防止未授權(quán)的數(shù)據(jù)訪問和修改。
(2)數(shù)據(jù)庫中存在大量的查詢操作,因此加解密效率要求較高,不能引起數(shù)據(jù)庫系統(tǒng)的性能大幅度下降。
(3)數(shù)據(jù)庫組織結(jié)構(gòu)對于數(shù)據(jù)庫管理系統(tǒng)而言不能有太大的變動,應(yīng)盡可能做到明文和密文長度相等或至少相當(dāng)。
(4)由于時限較長和密鑰的復(fù)雜,密鑰管理機制應(yīng)更加安全、靈活和堅固。
二、數(shù)據(jù)庫加密的常用辦法
數(shù)據(jù)加密技術(shù)按照實現(xiàn)的方法可劃分為靜態(tài)加密和動態(tài)加密,從實現(xiàn)的層次上則可分為文件級加密和存儲設(shè)備級加密。
(1)靜態(tài)加密與動態(tài)加密
靜態(tài)加密是指在加密期間,待加密的數(shù)據(jù)處于未使用狀態(tài),這些數(shù)據(jù)一旦加密,在使用前,需首先通過靜態(tài)解密得到明文,然后才能使用。目前市場上許多加密軟件產(chǎn)品就屬于這種加密方式。
與靜態(tài)加密不同,動態(tài)加密是指數(shù)據(jù)在使用過程中自動對數(shù)據(jù)進(jìn)行加密或解密操作,無需用戶的干預(yù),合法用戶在使用加密的文件前,也不需要進(jìn)行解密操作即可使用,表面看來,訪問加密的文件和訪問未加密的文件基本相同,對合法用戶來說,這些加密文件是“透明的”,即好像沒有加密一樣,但對于沒有訪問權(quán)限的用戶,即使通過其它非常規(guī)手段得到了這些文件,由于文件是加密的,因此也無法使用。由于動態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣,而且無需用戶太多的干預(yù)操作即可實現(xiàn)文檔的安全,因而近年來得到了廣泛的應(yīng)用。
由于動態(tài)加密要實時加密數(shù)據(jù),必須動態(tài)跟蹤需要加密的數(shù)據(jù)流,而且其實現(xiàn)的層次一般位于系統(tǒng)內(nèi)核中,因此,從實現(xiàn)的技術(shù)角度看,實現(xiàn)動態(tài)加密要比靜態(tài)加密難的多,需要解決的技術(shù)難點也遠(yuǎn)遠(yuǎn)超過靜態(tài)加密。
(2)文件級動態(tài)加解密技術(shù)
在文件系統(tǒng)層,不僅能夠獲得文件的各種信息,而且能夠獲得訪問這些文件的進(jìn)程信息和用戶信息等,因此,可以研制出功能非常強大的文檔安全產(chǎn)品。就動態(tài)加解密產(chǎn)品而言,有些文件系統(tǒng)自身就支持文件的動態(tài)加解密,如Windows系統(tǒng)中的NTFS文件系統(tǒng),其本身就提供了EFS支持,但作為一種通用的系統(tǒng),雖然提供了細(xì)粒度的控制能力(如可以控制到每個文件),但在實際應(yīng)用中,其加密對象一般以分區(qū)或目錄為單位,難以做到滿足各種用戶個性化的要求,如自動加密某些類型文件等。雖然有某些不足,但支持動態(tài)加密的文件系統(tǒng)在某種程度上可以提供和磁盤級加密技術(shù)相匹敵的安全性。由于文件系統(tǒng)提供的動態(tài)加密技術(shù)難以滿足用戶的個性化需求,因此,為第三方提供動態(tài)加解密安全產(chǎn)品提供了足夠的空間。
要研發(fā)在文件級的動態(tài)加解密安全產(chǎn)品,雖然與具體的操作系統(tǒng)有關(guān),但仍有多種方法可供選擇,一般可通過Hook或過濾驅(qū)動等方式嵌入到文件系統(tǒng)中,使其成為文件系統(tǒng)的一部分,從某種意義上來說,第三方的動態(tài)加解密產(chǎn)品可以看作是文件系統(tǒng)的一個功能擴展,這種擴展往往以模塊化的形式出現(xiàn),能夠根據(jù)需要進(jìn)行掛接或卸載,從而能夠滿足用戶的各種需求,這是作為文件系統(tǒng)內(nèi)嵌的動態(tài)加密系統(tǒng)難以做到的。
三、數(shù)據(jù)庫加密對數(shù)據(jù)庫的影響
數(shù)據(jù)加密是通過對明文進(jìn)行復(fù)雜的加密操作,進(jìn)而無法發(fā)現(xiàn)明文和密文之間、密文和密鑰之間的內(nèi)在關(guān)系,也就是說經(jīng)過加密的數(shù)據(jù)經(jīng)得起來自操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的攻擊。但在數(shù)據(jù)庫中以密文形式存在的敏感數(shù)據(jù)無法使用數(shù)據(jù)庫管理系統(tǒng)的一些功能。數(shù)據(jù)庫管理系統(tǒng)的功能比較完備,然而數(shù)據(jù)庫數(shù)據(jù)加密以后,數(shù)據(jù)庫管理系統(tǒng)一些功能將無法直接使用。
1、加密字段不能實現(xiàn)索引功能。
為了達(dá)到迅速查詢的目的,數(shù)據(jù)庫文件需要建立一些索引。索引建立和應(yīng)用必須是明文狀態(tài),否則將失去索引的作用。有的DBMS中可以建立索引,這類索引也需要在明文狀態(tài)下建立、維護(hù)和使用。
2、表間的連接碼字段不能加密。
數(shù)據(jù)模型規(guī)范化以后,數(shù)據(jù)庫表之間存在著密切的聯(lián)系,這種相關(guān)性往往是通過局部編碼聯(lián)系的,這些編碼若加密就無法進(jìn)行表與表之間的連接運算。
3、無法實現(xiàn)對數(shù)據(jù)制約因素的定義。
數(shù)據(jù)庫管理系統(tǒng)定義了數(shù)據(jù)之間的制約規(guī)則。數(shù)據(jù)一旦加密,DBMS將無法實現(xiàn)這一功能,而且,值域的定義也無法進(jìn)行。
4、密文數(shù)據(jù)無法實現(xiàn)SQL的排序、分組和分類功能。
SELECT語句中的Group、Orderby、Having子句分別完成分組、排序、分類等操作。這些子句的操作對象如果是加密數(shù)據(jù),那么解密后的明文數(shù)據(jù)將失去原語句的分組、排序、分類作用,顯然這不是用戶所需要的。
5、SQL語言中的內(nèi)部函數(shù)將對加密數(shù)據(jù)失去作用。
6、BDMS對各種類型數(shù)據(jù)均提供了一些內(nèi)部函數(shù),這些函數(shù)不能直接作用于加密數(shù)據(jù)。
7、BDMS的一些應(yīng)用開發(fā)工具的使用受到限制。
DBMS的一些應(yīng)用開發(fā)工具不能直接對加密數(shù)據(jù)進(jìn)行操作,因而它們的使用會受到限制。
數(shù)據(jù)庫加密影響了一些數(shù)據(jù)庫管理系統(tǒng)的功能,如閱讀語句中的函數(shù)、排序、分組等,但可以通過組件技術(shù)來實現(xiàn)這些功能,如可采用SQL解釋器。所以說數(shù)據(jù)庫加密以后,DBMS的一些功能將無法直接使用,但可以在DBMS外層的SMS(安全管理系統(tǒng))中增加組件來實現(xiàn)這些功能。
四、結(jié)束語
數(shù)據(jù)庫是數(shù)據(jù)管理的最新技術(shù),是計算機科學(xué)的重要分支。建立一個滿足各級部門信息處理要求的、行之有效的信息系統(tǒng),也成為一個企業(yè)或組織生存和發(fā)展的重要條件。因此,作為信息系統(tǒng)核心和基礎(chǔ)的數(shù)據(jù)庫技術(shù)得到越來越廣泛的應(yīng)用,數(shù)據(jù)庫技術(shù)因現(xiàn)實的需求迅速發(fā)展。通過研究,人們認(rèn)識到數(shù)據(jù)庫安全與保密這一領(lǐng)域研究的重要性和迫切性。在數(shù)據(jù)庫安全和加密技術(shù)的研究方面,只是做了一些嘗試性的工作,許多細(xì)節(jié)有待于進(jìn)一步深入。
參考文獻(xiàn)
[1] 張敏等.?dāng)?shù)據(jù)庫安全[M].北京:科學(xué)出版社,2005
