數據加密技術論文范文
時間:2023-03-17 01:51:31
導語:如何才能寫好一篇數據加密技術論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
一:數據加密方法
在傳統上,我們有幾種方法來加密數據流。所有這些方法都可以用軟件很容易的實現,但是當我們只知道密文的時候,是不容易破譯這些加密算法的(當同時有原文和密文時,破譯加密算法雖然也不是很容易,但已經是可能的了)。最好的加密算法對系統性能幾乎沒有影響,并且還可以帶來其他內在的優點。例如,大家都知道的pkzip,它既壓縮數據又加密數據。又如,dbms的一些軟件包總是包含一些加密方法以使復制文件這一功能對一些敏感數據是無效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
幸運的是,在所有的加密算法中最簡單的一種就是“置換表”算法,這種算法也能很好達到加密的需要。每一個數據段(總是一個字節)對應著“置換表”中的一個偏移量,偏移量所對應的值就輸出成為加密后的文件。加密程序和解密程序都需要一個這樣的“置換表”。事實上,80x86cpu系列就有一個指令‘xlat’在硬件級來完成這樣的工作。這種加密算法比較簡單,加密解密速度都很快,但是一旦這個“置換表”被對方獲得,那這個加密方案就完全被識破了。更進一步講,這種加密算法對于黑客破譯來講是相當直接的,只要找到一個“置換表”就可以了。這種方法在計算機出現之前就已經被廣泛的使用。
對這種“置換表”方式的一個改進就是使用2個或者更多的“置換表”,這些表都是基于數據流中字節的位置的,或者基于數據流本身。這時,破譯變的更加困難,因為黑客必須正確的做幾次變換。通過使用更多的“置換表”,并且按偽隨機的方式使用每個表,這種改進的加密方法已經變的很難破譯。比如,我們可以對所有的偶數位置的數據使用a表,對所有的奇數位置使用b表,即使黑客獲得了明文和密文,他想破譯這個加密方案也是非常困難的,除非黑客確切的知道用了兩張表。
與使用“置換表”相類似,“變換數據位置”也在計算機加密中使用。但是,這需要更多的執行時間。從輸入中讀入明文放到一個buffer中,再在buffer中對他們重排序,然后按這個順序再輸出。解密程序按相反的順序還原數據。這種方法總是和一些別的加密算法混合使用,這就使得破譯變的特別的困難,幾乎有些不可能了。例如,有這樣一個詞,變換起字母的順序,slient可以變為listen,但所有的字母都沒有變化,沒有增加也沒有減少,但是字母之間的順序已經變化了。
但是,還有一種更好的加密算法,只有計算機可以做,就是字/字節循環移位和xor操作。如果我們把一個字或字節在一個數據流內做循環移位,使用多個或變化的方向(左移或右移),就可以迅速的產生一個加密的數據流。這種方法是很好的,破譯它就更加困難!而且,更進一步的是,如果再使用xor操作,按位做異或操作,就就使破譯密碼更加困難了。如果再使用偽隨機的方法,這涉及到要產生一系列的數字,我們可以使用fibbonaci數列。對數列所產生的數做模運算(例如模3),得到一個結果,然后循環移位這個結果的次數,將使破譯次密碼變的幾乎不可能!但是,使用fibbonaci數列這種偽隨機的方式所產生的密碼對我們的解密程序來講是非常容易的。
在一些情況下,我們想能夠知道數據是否已經被篡改了或被破壞了,這時就需要產生一些校驗碼,并且把這些校驗碼插入到數據流中。這樣做對數據的防偽與程序本身都是有好處的。但是感染計算機程序的病毒才不會在意這些數據或程序是否加過密,是否有數字簽名。所以,加密程序在每次load到內存要開始執行時,都要檢查一下本身是否被病毒感染,對與需要加、解密的文件都要做這種檢查!很自然,這樣一種方法體制應該保密的,因為病毒程序的編寫者將會利用這些來破壞別人的程序或數據。因此,在一些反病毒或殺病毒軟件中一定要使用加密技術。
循環冗余校驗是一種典型的校驗數據的方法。對于每一個數據塊,它使用位循環移位和xor操作來產生一個16位或32位的校驗和,這使得丟失一位或兩個位的錯誤一定會導致校驗和出錯。這種方式很久以來就應用于文件的傳輸,例如xmodem-crc。這是方法已經成為標準,而且有詳細的文檔。但是,基于標準crc算法的一種修改算法對于發現加密數據塊中的錯誤和文件是否被病毒感染是很有效的。
二.基于公鑰的加密算法
一個好的加密算法的重要特點之一是具有這種能力:可以指定一個密碼或密鑰,并用它來加密明文,不同的密碼或密鑰產生不同的密文。這又分為兩種方式:對稱密鑰算法和非對稱密鑰算法。所謂對稱密鑰算法就是加密解密都使用相同的密鑰,非對稱密鑰算法就是加密解密使用不同的密鑰。非常著名的pgp公鑰加密以及rsa加密方法都是非對稱加密算法。加密密鑰,即公鑰,與解密密鑰,即私鑰,是非常的不同的。從數學理論上講,幾乎沒有真正不可逆的算法存在。例如,對于一個輸入‘a’執行一個操作得到結果‘b’,那么我們可以基于‘b’,做一個相對應的操作,導出輸入‘a’。在一些情況下,對于每一種操作,我們可以得到一個確定的值,或者該操作沒有定義(比如,除數為0)。對于一個沒有定義的操作來講,基于加密算法,可以成功地防止把一個公鑰變換成為私鑰。因此,要想破譯非對稱加密算法,找到那個唯一的密鑰,唯一的方法只能是反復的試驗,而這需要大量的處理時間。
rsa加密算法使用了兩個非常大的素數來產生公鑰和私鑰。即使從一個公鑰中通過因數分解可以得到私鑰,但這個運算所包含的計算量是非常巨大的,以至于在現實上是不可行的。加密算法本身也是很慢的,這使得使用rsa算法加密大量的數據變的有些不可行。這就使得一些現實中加密算法都基于rsa加密算法。pgp算法(以及大多數基于rsa算法的加密方法)使用公鑰來加密一個對稱加密算法的密鑰,然后再利用一個快速的對稱加密算法來加密數據。這個對稱算法的密鑰是隨機產生的,是保密的,因此,得到這個密鑰的唯一方法就是使用私鑰來解密。
我們舉一個例子:假定現在要加密一些數據使用密鑰‘12345’。利用rsa公鑰,使用rsa算法加密這個密鑰‘12345’,并把它放在要加密的數據的前面(可能后面跟著一個分割符或文件長度,以區分數據和密鑰),然后,使用對稱加密算法加密正文,使用的密鑰就是‘12345’。當對方收到時,解密程序找到加密過的密鑰,并利用rsa私鑰解密出來,然后再確定出數據的開始位置,利用密鑰‘12345’來解密數據。這樣就使得一個可靠的經過高效加密的數據安全地傳輸和解密。
一些簡單的基于rsa算法的加密算法可在下面的站點找到:
ftp://ftp.funet.fi/pub/crypt/cryptography/asymmetric/rsa
三.一個嶄新的多步加密算法
現在又出現了一種新的加密算法,據說是幾乎不可能被破譯的。這個算法在1998年6月1日才正式公布的。下面詳細的介紹這個算法:
使用一系列的數字(比如說128位密鑰),來產生一個可重復的但高度隨機化的偽隨機的數字的序列。一次使用256個表項,使用隨機數序列來產生密碼轉表,如下所示:
把256個隨機數放在一個距陣中,然后對他們進行排序,使用這樣一種方式(我們要記住最初的位置)使用最初的位置來產生一個表,隨意排序的表,表中的數字在0到255之間。如果不是很明白如何來做,就可以不管它。但是,下面也提供了一些原碼(在下面)是我們明白是如何來做的。現在,產生了一個具體的256字節的表。讓這個隨機數產生器接著來產生這個表中的其余的數,以至于每個表是不同的。下一步,使用"shotguntechnique"技術來產生解碼表。基本上說,如果a映射到b,那么b一定可以映射到a,所以b[a[n]]=n.(n是一個在0到255之間的數)。在一個循環中賦值,使用一個256字節的解碼表它對應于我們剛才在上一步產生的256字節的加密表。
使用這個方法,已經可以產生這樣的一個表,表的順序是隨機,所以產生這256個字節的隨機數使用的是二次偽隨機,使用了兩個額外的16位的密碼.現在,已經有了兩張轉換表,基本的加密解密是如下這樣工作的。前一個字節密文是這個256字節的表的索引。或者,為了提高加密效果,可以使用多余8位的值,甚至使用校驗和或者crc算法來產生索引字節。假定這個表是256*256的數組,將會是下面的樣子:
crypto1=a[crypto0][value]
變量''''crypto1''''是加密后的數據,''''crypto0''''是前一個加密數據(或著是前面幾個加密數據的一個函數值)。很自然的,第一個數據需要一個“種子”,這個“種子”是我們必須記住的。如果使用256*256的表,這樣做將會增加密文的長度。或者,可以使用你產生出隨機數序列所用的密碼,也可能是它的crc校驗和。順便提及的是曾作過這樣一個測試:使用16個字節來產生表的索引,以128位的密鑰作為這16個字節的初始的"種子"。然后,在產生出這些隨機數的表之后,就可以用來加密數據,速度達到每秒鐘100k個字節。一定要保證在加密與解密時都使用加密的值作為表的索引,而且這兩次一定要匹配。
加密時所產生的偽隨機序列是很隨意的,可以設計成想要的任何序列。沒有關于這個隨機序列的詳細的信息,解密密文是不現實的。例如:一些ascii碼的序列,如“eeeeeeee"可能被轉化成一些隨機的沒有任何意義的亂碼,每一個字節都依賴于其前一個字節的密文,而不是實際的值。對于任一個單個的字符的這種變換來說,隱藏了加密數據的有效的真正的長度。
如果確實不理解如何來產生一個隨機數序列,就考慮fibbonacci數列,使用2個雙字(64位)的數作為產生隨機數的種子,再加上第三個雙字來做xor操作。這個算法產生了一系列的隨機數。算法如下:
unsignedlongdw1,dw2,dw3,dwmask;
inti1;
unsignedlongarandom[256];
dw1={seed#1};
dw2={seed#2};
dwmask={seed#3};
//thisgivesyou332-bit"seeds",or96bitstotal
for(i1=0;i1<256;i1++)
{
dw3=(dw1+dw2)^dwmask;
arandom[i1]=dw3;
dw1=dw2;
dw2=dw3;
}
如果想產生一系列的隨機數字,比如說,在0和列表中所有的隨機數之間的一些數,就可以使用下面的方法:
int__cdeclmysortproc(void*p1,void*p2)
{
unsignedlong**pp1=(unsignedlong**)p1;
unsignedlong**pp2=(unsignedlong**)p2;
if(**pp1<**pp2)
return(-1);
elseif(**pp1>*pp2)
return(1);
return(0);
}
...
inti1;
unsignedlong*aprandom[256];
unsignedlongarandom[256];//samearrayasbefore,inthiscase
intaresult[256];//resultsgohere
for(i1=0;i1<256;i1++)
{
aprandom[i1]=arandom+i1;
}
//nowsortit
qsort(aprandom,256,sizeof(*aprandom),mysortproc);
//finalstep-offsetsforpointersareplacedintooutputarray
for(i1=0;i1<256;i1++)
{
aresult[i1]=(int)(aprandom[i1]-arandom);
}
...
變量''''aresult''''中的值應該是一個排過序的唯一的一系列的整數的數組,整數的值的范圍均在0到255之間。這樣一個數組是非常有用的,例如:對一個字節對字節的轉換表,就可以很容易并且非常可靠的來產生一個短的密鑰(經常作為一些隨機數的種子)。這樣一個表還有其他的用處,比如說:來產生一個隨機的字符,計算機游戲中一個物體的隨機的位置等等。上面的例子就其本身而言并沒有構成一個加密算法,只是加密算法一個組成部分。
作為一個測試,開發了一個應用程序來測試上面所描述的加密算法。程序本身都經過了幾次的優化和修改,來提高隨機數的真正的隨機性和防止會產生一些短的可重復的用于加密的隨機數。用這個程序來加密一個文件,破解這個文件可能會需要非常巨大的時間以至于在現實上是不可能的。
四.結論:
由于在現實生活中,我們要確保一些敏感的數據只能被有相應權限的人看到,要確保信息在傳輸的過程中不會被篡改,截取,這就需要很多的安全系統大量的應用于政府、大公司以及個人系統。數據加密是肯定可以被破解的,但我們所想要的是一個特定時期的安全,也就是說,密文的破解應該是足夠的困難,在現實上是不可能的,尤其是短時間內。
參考文獻:
1.pgp!/
cyberknights(newlink)/cyberkt/
(oldlink:/~merlin/knights/)
2.cryptochamberjyu.fi/~paasivir/crypt/
3.sshcryptographa-z(includesinfoonsslandhttps)ssh.fi/tech/crypto/
4.funet''''cryptologyftp(yetanotherfinlandresource)ftp://ftp.funet.fi/pub/crypt/
agreatenigmaarticle,howthecodewasbrokenbypolishscientists
/nbrass/1enigma.htm
5.ftpsiteinukftp://sable.ox.ac.uk/pub/crypto/
6.australianftpsiteftp://ftp.psy.uq.oz.au/pub/
7.replayassociatesftparchiveftp://utopia.hacktic.nl/pub/replay/pub/crypto/
8.rsadatasecurity(whynotincludethemtoo!)/
篇2
信息安全論文3900字(一):探究計算機網絡信息安全中的數據加密技術論文
【摘要】隨著近幾年網絡信息技術的發展,社會生產和生活對網絡數據的依賴程度越來越越高,人們對網絡信息安全重視程度也隨之提升。對于網絡信息而言,信息數據安全非常重要,一旦發生數據泄露或丟失,不僅會影響人們正常生活和財產安全,甚至還會影響社會穩定和安全。在此基礎上,本文將分析計算機網絡信息安全管理現狀,探索有效的數據加密技術,為網絡環境安全和質量提供保障。
【關鍵詞】計算機;網絡信息安全;數據加密技術
引言:信息技術的普及為人們生活帶來了許多便利和幫助,但是由于信息安全風險問題,人們的隱私數據安全也受到了威脅。但是,目前計算機網絡環境下,數據泄露、信息被竊取問題非常常見,所以計算機網絡信息安全保護必須重視這些問題,利用數據加密技術解決此難題,才能維護網絡用戶的信息安全。因此,如何優化數據加密技術,如何提升網絡信息保護質量,成為計算機網絡發展的關鍵。
1.計算機網絡安全的基本概述
所謂計算機網絡安全就是網絡信息儲存和傳遞的安全性。技術問題和管理問題是影響計算機網絡安全的主要因素,所以想要提升網絡信息安全性能,必須優化信息加密技術和加強信息管理控制,才能為計算機網絡安全提供保障。將數據加密技術應用于計算機網絡安全管理中,不僅可以提升數據保護權限,限制數據信息的可讀性,確保數據儲存和運輸過程不會被惡意篡改和盜取,還會提高網絡數據的保密性,營造良好的網絡運行環境。因此,在計算機網絡快速發展的環境下,重視網絡信息安全管理工作,不斷優化數據加密技術,對維護用戶信息安全、保護社會穩定非常有利。
2.計算機網絡信息安全現狀問題
2.1網絡信息安全問題的緣由
根據網絡信息發展現狀,信息安全面臨的風險多種多樣,大體可分為人文因素和客觀因素。首先:網絡信息安全的客觀因素。在計算機網絡運行中,病毒危害更新換代很快,其攻擊能力也在不斷提升,如果計算機防御系統沒有及時更新優化,很容易遭受新病毒的攻擊。例如,部分計算機由于系統長時間沒有升級,無法識別新木馬病毒,這樣便已遺留下一些安全漏洞,增加了信息安全風險。同時,部分計算機防火墻技術局限,必須安裝外部防護軟件,才能提升計算機網絡防護能力。其次:網絡信息安全的人文因素。所謂人為因素,就是工作人員在操作計算機時,缺乏安全防護意識,計算機操作行為不當,如:隨意更改權限、私自讀取外部設備、隨意下載上傳文件等等,嚴重影響了計算機網絡數據的安全性,涉密數據安全也得不到保障。例如,在連接外部設備時,忽視設備安全檢查工作,隨意插入電腦外部接口,容易導致計算機感染設備病毒,導致計算機網絡信息安全受到威脅。
2.2計算機網絡信息安全技術有待提升
信息安全是計算機網絡通信的重要內容,也是計算機網絡通信發展必須攻擊的難題。隨著信息技術的發展,我國計算機信息安全防御技術也在不斷創新升級,能夠有效應對病毒沖擊危害,但是相比先進國家而言,我國計算機信息技術起步較晚,網絡信息安全技術也有待提升。例如,根據我國計算機網絡信息安全現狀,對新病毒的辨識能力和清除能力較弱,無法有效控制病毒侵害,這對信息安全保護和系統運行都非常不利。因此,技術人員可以借鑒他國安全技術經驗,構建出針對性的信息安全防護技術,優化計算機系統安全性能,才能為網絡信息安全傳輸提供保障,避免造成嚴重的安全事故。
3.數據加密技術分析
3.1對稱加密技術
所謂對稱機密技術,就是指網絡信息傳輸中所采用的密鑰功能,利用加密和解密的方式,提升傳輸數據的安全性,常常被應用于電子郵件傳輸中。同時,對稱加密技術具有加密和解密密鑰相同的特征,所以密鑰內容可以通過其中一方進行推算,具備較強的可應用性。例如,在利用電子郵件傳輸信息時,傳輸者可以采用加密算法將郵件內容轉化為不可直接閱讀的密文,待郵件接收者收到數據信息文件后,再采用解密算法將密文還原可讀文字,既可以實現數據傳輸加密的目的,又能確保交流溝通的安全性。從應用角度來講,對稱加密技術操作簡捷方便,并且具備較高的安全度,可以廣泛應用于信息傳輸中。但是,對稱加密技術欠缺郵件傳輸者和接收者的身份驗證,郵件傳輸雙方密鑰有效的獲取途徑,所以也存在一定的安全風險。
3.2公私鑰加密技術
相對于對稱加密技術而言,公私鑰加密技術在進行信息加密時,加密密鑰和解密密鑰不具備一致性,密鑰安全性更佳。在公私鑰加密技術中,信息數據被設置了雙層密碼,即私有密碼和公開密碼,其中公開密碼實現了信息數據加密工作,并采用某種非公開途徑告知他人密鑰信息,而私有密碼是由專業人員保管,信息保密程度高。因此,在采用公私鑰加密技術時,需要先對文件進行公開密鑰加密,然后才能發送給接收者,而文件接收者需要采用私有密鑰進行解密,才能獲取文件信息。在這樣的加密模式下,網絡數據信息安全度提升,密碼破解難度也進一步加大,但是這種加密方式程序較為復雜,加密速度慢,無法實現高效率傳播,加密效率相對較低,不適用于日常信息交流傳輸。
3.3傳輸加密和儲存加密技術
在計算機網絡信息安全保護中,數據傳輸加密、儲存加密是重點保護內容,也是信息數據保護的重要手段,其主要目的是避免在數據傳輸過程中被竊取和篡改風險問題。線路加密和端對端加密是兩種主要的傳輸加密方式,實現了傳輸端和傳輸過程的信息安全保護工作。例如,傳輸加密是對網絡信息傳輸過程中的安全保護,通過加密傳輸數據線路,實現信息傳輸過程保護,如果想要停止加密保護,必須輸入正確的密鑰,才能更改數據加密保護的狀態。端對端加密技術是在信息發送階段,對數據信息實施自動加密操作,讓數據信息在傳遞過程中呈現出不可讀的狀態,直到數據信息到達接收端,加密密碼會自動解除,將數據信息轉變為可讀性的明文。此外,存取控制和密文儲存是儲存加密的兩種形式。在存取控制模式中,信息數據讀取需要審核用戶的身份和權限,這樣既可以避免非法用戶訪問數據的問題,又能限制合法用戶的訪問權限,實現了數據信息安全等級分層保護。
4.計算機網絡信息安全中數據加密技術的合理應用
4.1數據隱藏技術
在網絡信息數據加密保護中,將數據信息屬性轉變為隱藏性,可以提升數據信息的可讀權限,提升信息安全度。因此,將信息隱藏技術應用于網絡信息加密工程中,利用隱蔽算法結構,將數據信息傳輸隱蔽載體中,可以將明文數據轉變為密文數據,在確保信息安全到達傳輸目的地時,再采用密鑰和隱蔽技術對數據信息進行還原,將密文數據還原成明文數據。例如,在企業內部區域網絡信息傳輸時,便可以采用數據隱蔽技術控制讀取權限,提升網絡信息傳遞的安全性。因為在企業運行模式下,一些企業信息只限于部分員工可讀取,尤其是一些涉及企業內部機密、財務經濟等數據,所以需要采用隱蔽載體技術,通過密鑰將隱藏的提取數據信息。在這樣的加密模式下,企業數據信息安全性得到保障,不僅可以實現信息數據高效率傳播,還降低了二次加密造成的安全隱患,控制了員工讀取權限,對企業穩定發展非常有利。
4.2數字簽名技術
相比公私鑰加密技術而言,數字簽名技術更加快捷便利,是公私鑰加密技術的發展和衍生。將數字簽名技術應用于網絡信息安全中,在數據傳輸之前,傳輸者需要先將數據文件進行私有密鑰加密,加密方式則是數字簽名信息,而數據文件接收者在收到文件信息后,要使用公共密鑰解密文件。由此可見,數字簽名技術在公私鑰加密技術的基礎上,增加了權限身份的審核程序,即利用數字簽名的方式,檢查數據文件傳輸者的權限和身份,進一步提升了網絡信息傳輸的安全性。同時,在計算機網絡信息安全管理中,根據信息數據管理要求,靈活運用對稱加密技術、公私鑰加密技術和數字簽名技術,充分發揮各項加密技術的優勢作用,落實數據傳輸和存儲加密工作。例如,針對保密程度較低的數據信息而言,可采用靈活便利的對稱加密技術,而對于保密級別較高的數據而言,即可采用數字簽名技術進行加密。通過這樣的方式,不僅可以保障網絡信息傳輸效率,優化信息傳輸的安全性能,還可以提升數據加密技術水平,為網絡信息安全提供保障。
4.3量子加密技術
隨著計算機信息技術的發展,數據加密技術也在不斷創新和優化,信息安全保護質量也隨之提升。相比以往的數據加密技術而言,量子加密技術的安全性更好,對數據安全控制效果更佳。將量子力學與加密技術進行有效融合,既可以實現數據傳輸時的加密操作,又能同時傳遞解密信息,節省了單獨的密鑰傳輸操作,加密方式也更加智能化。例如,在網絡信息傳輸中,一旦發現數據傳輸存在被竊取和被篡改的風險,量子加密技術會及時作出反應,轉變數據傳輸狀態,而數據傳輸者和接收者也能及時了解數據傳輸狀況。這種數據加密方式一旦發生狀態轉變是不可復原的,雖然有效避免的數據泄漏風險,但可能會造成數據自毀和破壞問題。同時,由于量子加密技術專業性強,并且仍處于開發試用狀態,應用范圍和領域比較局限,無法實現大范圍應用。
5.結束語
總而言之,為了提升計算機網絡信息的安全性,落實各項數據加密技術應用工作非常必要。根據網絡信息安全現狀問題,分析了對稱加密、公私鑰加密、數據隱蔽等技術的應用優勢和弊端,指出其合理的應用領域。通過合理運用這些數據加密技術,不僅強化了數據傳輸、存儲的安全性,營造了良好的網絡信息環境,還有利于提升用戶的數據加密意識,促進數據加密技術優化發展。
信息安全畢業論文范文模板(二):大數據時代計算機網絡信息安全與防護研究論文
摘要:大數據技術的快速發展和廣泛應用為計算機網絡提供了重要的技術支持,有效提高了社會經濟建設的發展水平。計算機網絡的開放性和虛擬性特征決定了技術的應用必須考慮信息安全與防護的相關問題。本文介紹了大數據時代計算機網絡安全的特征和問題,研究了如何保證網絡信息安全,提出了3點防護策略。
關鍵詞:大數據時代;計算機網絡;信息安全與防護
進入信息時代,計算機網絡技術已經逐步成為人們的日常工作、學習和生活必備的工具,如電子商務、網絡辦公、社交媒體等。計算機網絡相關技術的發展也在不斷改變人類社會的生產模式和工作效率,實現全球各地區人們的無障礙溝通。但在網絡世界中,信息的傳播和交流是開放和虛擬的,并沒有防止信息泄露和被非法利用的有效途徑,這就需要從技術層面上考慮如何提高計算機網絡信息安全。特別是近年來大數據技術的高速發展,海量數據在網絡中傳播,如何保證這些數據的可靠性和安全性,是目前網絡信息安全研究的一個重要方向。
1大數據時代計算機網絡信息安全的特征
大數據是指信息時代產生的海量數據,對這些數據的描述和定義并加以利用和創新是目前大數據技術發展的主要方向。大數據的產生是伴隨著全球信息化網絡的發展而出現的,在這個背景下誕生了大量的商業企業和技術組織,也為各行各業提高生產力水平和改變生產模式提供了有效幫助。大數據時代的網絡特征首先是非結構化的海量數據,傳統意義上的海量數據是相關業務信息,而大數據時代由于社交網絡、移動互聯和傳感器等新技術與工具快速發展產生了大量非結構化的數據,這些數據本身是沒有關聯性的,必須通過大數據的挖掘和分析才能產生社會價值;其次,大數據時代的網絡信息種類和格式繁多,包括文字、圖片、視頻、聲音、日志等等,數據格式的復雜性使得數據處理的難度加大;再次,有用信息的比例較低,由于是非結構化的海量數據,數據價值的提煉要經過挖掘、分析、統計和提煉才能產生,這個周期還不宜過長否則會失去時效性,數據的技術和密度都會加大數據挖掘的難度;最后,大數據時代的信息安全問題更加突出,被非法利用、泄露和盜取的數據信息往往會給國家和人民群眾造成較大的經濟社會損失。傳統計算機網絡的信息安全防護主要是利用網絡管理制度和監控技術手段來提高信息存儲、傳輸、解析和加密的保密性來實現的。在大數據時代背景下,網絡信息的規模、密度、傳播渠道都是非常多樣化的和海量的,網絡信息安全防護的措施也需要不斷補充和發展。目前網絡信息安全的主要問題可以概括為:一是網絡的自由特征會對全球網絡信息安全提出較大的挑戰;二是海量數據的防護需要更高的軟硬件設備和更有效的網絡管理制度才能實現;三是網絡中的各類軟件工具自身的缺陷和病毒感染都會影響信息的可靠性;第四是各國各地區的法律、社會制度、宗教信仰不同,部分法律和管理漏洞會被非法之徒利用來獲取非法利益。
2大數據時代背景下計算機網絡安全防護措施
2.1防范非法用戶獲取網絡信息
利用黑客技術和相關軟件入侵他人計算機或網絡賬戶謀取不法利益的行為稱為黑客攻擊,黑客攻擊是目前網絡信息安全防護體系中比較常見的一類防護對象。目前針對這部分網絡信息安全隱患問題一般是從如下幾個方面進行設計的:首先是完善當地的法律法規,從法律層面對非法用戶進行約束,讓他們明白必須在各國法律的范疇內進行網絡活動,否則會受到法律的制裁;其次是構建功能完善的網絡信息安全防護管理系統,從技術層面提高數據的可靠性;再次是利用物理隔離和防火墻,將關鍵數據進行隔離使用,如銀行、證券機構、政府部門都要與外部網絡隔離;最后是對數據進行不可逆的加密處理,使得非法用戶即使獲取了信息也無法解析進而謀利。
2.2提高信息安全防護技術研究的效率
大數據技術的發展是非常迅速的,這對信息安全防護技術的研究和發展提出了更高的要求。要針對網絡中的病毒、木馬和其他非法軟件進行有效識別和防護,這都需要國家和相關企業投入更多的人力物力成本才能實現。目前信息安全防護技術可以概括為物理安全和邏輯安全兩個方面,其中物理安全是保證網路系統中的通信、計算、存儲、防護和傳輸設備不受到外部干擾;邏輯安全則是要保障數據完整性、保密性和可靠性。目前主要的研究方向是信息的邏輯安全技術,包括安全監測、數據評估、撥號控制、身份識別等。這些技術研究的效率直接影響著網絡信息安全,必須組織科研人員深入研究,各級監管部門也要積極參與到網絡管理制度的建立和完善工作中來,從技術和制度兩個方面來提高信息防護技術的研究效率。
2.3提高社會大眾的信息安全防護意識
目前各國都對利用網絡進行詐騙、信息盜取等行為進行法律約束,也利用報紙、電視、廣播和網絡等途徑進行信息安全防護的宣傳教育。社會大眾要認識到信息安全的重要性,在使用網絡時才能有效杜絕信息的泄露和盜用,如提高個人電腦防護措施、提高密碼強度等。各級教育部門也要在日常的教學活動中對網絡信息安全的相關事宜進行宣傳和教育,提高未成年人的安全意識,這都是有效提高信息安全防護能力的有效途徑。
篇3
關鍵詞:計算機網絡;數據加密技術;數據恢復技術
中圖分類號:TP393.0
1 計算機網絡數據加密技術
1.1 數據加密的基本概念。計算機網絡中的數據加密技術是對數據信息進行加密處理的過程,通過數據加密可以將原文信息變為一串不可直接讀取的密文,接收方在接收到密文信息后,利用自己擁有的密鑰對密文信息進行解密,接收方才能顯示并讀取原文信息。數據加密技術中需要按照一定的算法作為支撐才能進行。數據加密過程是指將原數據信息變為密文信息,而數據解密過程是指將密文信息轉化為原數據信息,兩者是密切結合在一起存在的,缺一不可。
通過對數據信息進行加密處理,可以將數據信息隱藏起來,避免非法用戶截取、閱讀、篡改原始數據信息,從而達到保護數據安全、維護計算機網絡安全的目的。
1.2 數據加密技術。數據加密技術包括對稱加密技術、非對稱加密技術、混合密鑰加密技術,對稱加密技術和非對稱加密技術的區別在于加密和解密過程中使用的密鑰是否一致,而混合密鑰是將對稱加密技術和非對稱加密技術的優點結合到一起進行利用的。下文將對三種數據加密技術進行介紹。
(1)對稱加密技術。由于對稱加密技術簡單、容易實現的特點,使得對稱加密技術得到了較為廣泛的應用。對稱加密技術中的對稱是指加密和解密是使用相同的密鑰,密鑰是對稱存在的,以此稱之為對稱加密技術。通信雙方在通信時,發送方首先將密鑰發送給接收方,發送方對通信數據信息進行加密后,將密文信息傳送給接收方,接收方利用自己持有的密鑰進行數據解密,從而讀取數據信息。對稱加密技術能提高網絡安全性的前提是密鑰沒有被惡意竊取,同時也沒有被泄露。
對稱加密技術中涉及到的算法包括DES算法、IDEA算法、AES算法。DES算法利用置換技術、代替等多種密碼技術,將數據信息劃分為64位大小的塊,其中8位作為奇偶校驗,56位作為密鑰。IDEA算法按標準為64位的組進行劃分,并對密鑰的程度進行規定,即為128位。AES算法是區塊加密標準,是一個迭代的算法,該算法中規定的區塊長度為固定的128位,而密鑰長度可以有所不同。
對稱加密技術的主要優點是加密速度快、保密性高,也有一定的缺點,在加解密的過程中,必須確保密鑰的安全,如果密鑰發生了泄露,獲得密鑰的人就可以對截獲的數據信息進行閱讀、修改等操作,因此,為了提高密鑰的安全性,保證密鑰安全的發送,就需要付出高代價進行完善。
(2)非對稱加密技術。我們平時常說的公開密鑰加密技術就是非對稱解密技術,在使用非對稱加密技術時,加密密鑰和解密密鑰是不同的兩個密鑰,加密密鑰即公鑰,解密密鑰即私鑰,這兩個密鑰需要配對使用。公鑰是對外公布的密鑰,用于加密;私鑰則由私人擁有,用于解密。通信雙方在發送數據信息時,發送方用接收方已經公布的公鑰對數據信息進行加密,然后進行數據傳輸,接收方接收到數據后,用私鑰解密,將密文信息進行還原。對于對稱加密技術來說,在網絡傳輸過程中將密鑰進行傳遞,很可能被惡意竊取,使數據信息的安全受到威脅。而對于非對稱加密技術來說,公鑰是公開的,私鑰不需要進行傳輸,這就避免了密鑰傳輸過程中存在的安全問題。
非對稱加密算法中RSA加密算法應用范圍廣,該算法的優點是操作簡單、實現方便,同時能夠用于數據加密和數字簽名等維護計算機網絡的安全性能中。RSA加密算法屬于支持可變長密鑰的算法,主要以大數難以被質因數分解假設為基礎。RSA算法的優點為密鑰少便于管理;公鑰分配過程簡單,易于實現;私鑰不需要傳遞,提高了私鑰的安全性。而RSA算法的缺點為產生密鑰過程復雜;加解密速度慢,運算代價高。
(3)混合密鑰加密技術。由于對稱加密技術和非對稱加密技術都有其各自的優缺點和適應范圍,所以將兩者的特點進行結合,即混合密鑰加密技術,以此來對計算機網絡中的數據進行加密,提高數據傳輸中的安全性。在混合密鑰加密技術中,首先通信雙方中的發送方利用對稱加密技術對通信數據信息進行加密,然后將對稱密鑰通過非對稱加密技術進行加密并傳輸,接收方接收到密文后,用私鑰對對稱密鑰進行解密,從而獲得解碼密文的密鑰,并利用該密鑰對密文進行解碼,以此來讀取原數據信息。這種混合密鑰加密的方法,結合了對稱和非對稱加密技術的優點,提高了加解密的速度,同時也提高了數據信息的安全性。
2 數據備份與恢復技術
利用數據加密技術可以提高數據在傳輸過程中的安全性,然而由于計算機本身的硬件故障、病毒破壞、非正常操作等都可以造成計算機內數據信息的丟失,為數據的安全帶來問題。為了減少計算機的數據損失,提高計算機內數據的安全性和完整性,要定期或不定期的對數據信息進行備份,當計算機中的數據出現問題時,可以利用數據備份信息對計算機內的數據進行恢復。
2.1 利用專業軟件進行數據備份和恢復。利用專業軟件來恢復數據是一種非常重要的方法。常用的軟件有Easy Recovery、Final Data、Norton Ghost等。Easy Recovery的功能很強大,通過對硬盤的掃描,可以恢復由誤操作(誤刪除、誤格式化)、重新分區造成的數據損失,如果分區表受損,可以使用該軟件進行恢復,然而該軟件不能完全恢復包含多個簇的文件。Final Data的優點是有較快的數據恢復速度,并且可以掃描計算機的邏輯硬盤和物理硬盤,根據掃描的結果來隊服計算機的數據。Norton Ghost可以對一個或者多個分區盤進行備份,并將備份文件保存在安全的存儲介質中,如保存到光盤中。當計算機受到損壞時,專業數據恢復軟件可以快速的找回丟失的信息,并進行系統重建工作。
2.2 在BIOS中建數據防護。在BIOS中建數據防護主要是以BIOS中內嵌的硬盤工具為基礎進行數據恢復,此技術通過主要是對硬盤的數據進行完整的備份,并存儲在一定的介質中,而這個存儲介質僅要求是硬盤。該技術是對數據進行完整備份,因此利用該技術進行數據備份與恢復會耗費很長的時間。鏡像文件以隱藏的形式存儲雜硬盤中,因此不存在誤刪除的現象,加強了數據信息的安全性。
2.3 網絡備份存儲管理系統。網絡備份存儲管理系統主要是以存儲設備和硬件設施為基礎,加上存儲管理軟件的應用,來統一管理數據備份信息,由于相關軟件的應用,系統可以根據備份文件進行數據恢復。網絡備份存儲管理系統是需要備份管理軟件作為支撐,以此來完成系統的功能,并能夠根據備份數據來處理數據恢復的過程,從而很好的實現計算機網絡數據備份與恢復的智能化管理和高效。
3 結束語
由于計算機網絡的廣泛應用,計算機網絡的安全影響著社會生活的方法面面,維護計算機網絡的安全是我們必須要義不容辭的責任。計算機網絡安全技術很多,如數據加密技術、數據恢復技術,然而單純的一種技術對于計算機網絡的安全性來說是遠遠不夠的,必須要結合多種技術,從不同的角度進行努力,來提高網絡的安全性能。
參考文獻:
[1]徐雁萍.數據加密技術的研究[C].中國氣象學會2008年年會第二屆研究生年會分會場論文集,2008(11):151-158.
[2]黃志清.網絡安全中的數據加密技術研究[J].微型電腦應用,2000(05):20-21.
[3]王棟松.計算機網絡數據加密技術探討[J].文教資料:信息技術,2006(01):139-140.
[4]王.淺談計算機數據備份和數據恢復技術[J].科技資訊:信息技術,2009(01):26.
篇4
經過多方聯系,筆者獲悉,深圳市科創電子有限公司與北京中文之星數碼科技有限公司聯合推出了一款安全加密鑰匙盤。據從技術上了解,這種加密技術與一般的本地加密 技術不同,它采用深科創自主開發的“四層交互式自反饋網絡動態認證加密技術”,通過ID號,利用動態的算法,計算出一個結果到服務器上針對算法來驗證這個ID,每次在線加密認證過程中,服務器會將新的加密結果寫入密鑰盤,同時在三套加密算法中有兩套是可以升級的,在一個時間段就算破解其中一支,但是服務器可以隨時監控到數據的異常而進行屏蔽,這種加密技術可以說是一個技術上革命性的做法,理論上無人能破。
據了解,目前基于該加密技術的軟件有:北京中文之星以全新架構最新開發的智能狂拼III.3專業版,及《中國實用工具書集成》OEM版。據悉,深科創將繼續整合推出涵蓋20萬冊以客戶命名的網上個人圖書館;超多更新更全的電影、MP3個性影音庫;大學院校各學科論文庫;VOIP電話等等。這些經過密鑰盤加密后的軟件程序可以隨便在網上下載,用戶下載這些程序后,插上密鑰盤就可以使用了,密鑰盤將做為軟件產品的“通用鑰匙盤”。憑借密鑰盤就可以自由進入這些經密鑰技術加密的網上數據庫。
“智能狂拼III.3”專業版被稱為目前超強大的中文輸入法,期整句輸入準確率達到97%以上,增加了語境學習功能,精心篩選包含電子、法律、金融、醫學等20多個行業專業詞庫;補充商務、信件、法律、合同、管理模板庫;對輸入字句及指定資料自動記憶學習,學習過的詞庫與文章其整句輸入準確率達100%。支持選擇習慣輸入法鍵盤方案;拼音、五筆、手寫板三種模式;單鍵簡、繁、英、數混編輸入;字詞句聯想、同義反義修辭造句聯想輔助寫作功能;根據輸入中文字詞句同步聯想英文詞句(逐步增加語種:韓文、德文、法文、俄文、日文等)和地方方言(逐步增加方言:四川、上海、粵語、湖南等);支持專業術語整句首拼輸入,提供終生免費升級。市場定價為180元。
《中國實用工具書集成》OEM版經正版授權,包涵《中國大百科辭典》《英漢百科翻譯大詞典》《學生辭海》《中國歷代名詩名詞鑒賞辭典》《家庭實用百科全書》《中國南北名菜譜》《科學育兒自助手冊》《家庭法律實用指南》《美容自助手冊》等九十余冊百科實用工具電子書,自由縮放視圖,多形式全文檢索功能 。電子版僅售680元/套,是平面版的十分之一。
篇5
論文摘要:同絡是計算機技術和通信技術的產物,在國防電信,銀行,廣播等方面都有廣泛的應用。其安全性是不可忽視的,網絡安全主要是由于tcp/ip協議的脆弱。網絡結構的不安全.易被竊聽和缺乏安全意識等原因造成的,網絡入侵者主要通過破譯口令,ip欺騙和dns欺騙等途徑攻擊網絡。防范措施主要通過防火墻技術和數據加密技術來完成。
1近年來網絡威脅發展趨勢
由于黑客發動攻擊的目的和組織化的轉變,近年發生大規模的網絡安全事件的可能性比較小,以僵尸網絡、間諜軟件、身份竊取為代表的惡意代碼,以及網絡仿冒網址嫁接/劫持類安全事件將會繼續增加,對新流行的網絡應用的安全事件將會發生,這些問題將導致事件數量整體仍呈上升趨勢,同時也提醒網絡安全管理員盡可能的保護好企業的內部數據。
常見的危害安全有:外部攻擊;內部威脅;網絡儒蟲;垃圾郵件;w eb服務器;僵死網絡l網絡釣魚;arp欺騙。薄弱的信息安全意識可能造成重大的經濟損失或嚴重的法律后果。網絡飛速的發展,網絡安全往往很容易忽視。但是帶來網絡安全的原因有很多。
2網絡安全概述
2.1網絡安全的定義
網絡安全的具體含義會隨著“角度”的變化而變化。從社會教育和意識形態角度來講,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。總之,幾是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。
2.2行系統安全
行系統安全:即保證信息處理和傳輸系統的安全。
它側重于保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由于電磁泄漏,產生信息泄露,干擾他人,受他人干擾。網絡上系統信息的安全:包括用戶口令鑒別,用戶存取權限控制,數據存取權限、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
2.3網絡中的安全缺陷及產生的原因
(1)tcp/ip的脆弱性。因特網的基石是tcp/ip協議。該協議對于網絡的安全性考慮得并不多,并且由于tcp/ip協議是公布于眾的,如果人們對tcp/ip~e熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
(2)絡結構的不安全性。因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。
(3)易被竊聽。由于因特網上大多數數據流都沒有加密,因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。
(4)缺乏安全意識。雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們為了避開防火墻服務器的額外認證,進行直接的ppp連接從而避開了防火墻的保護。
3網絡攻擊和入侵的主要途徑
網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限,并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有:破譯口令、ip欺騙和dns欺騙。口令是計算機系統抵御人侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。
4網絡安全的防范措施
4.1防火墻技術
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。
防火墻系統是由兩個基本部件包過濾路由器(packetfilteringr0uter)、應用層網關(application gateway)構成的,防火墻處于5層網絡安全體系中的最底層,作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。
4.2數據加密技術
數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。加密技術通常分為兩大類:“對稱式”和“非對稱式”。對稱式加密就是加密和解密使用同一個密鑰,通常稱之為“sessionkey”這種加密技術目前被廣泛采用,如美國政府所采用的des]jij密標準就是-一種典型的“對稱式”加密法,它的session key長度為56bits。而非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必需配對使用,否則不能打開加密文件。
4.3身份的驗證
身份的驗證指使用網絡資源時需要提交一一定的信息,表示申請者具備的身份。驗證有很多種方式,人們最熟悉的就是用戶名加密碼的方式了,雖然在實踐中,密碼方式并不是一種非常安全的身份驗證方式。
4.4授權
授權和身份驗證不同,身份驗證控制能否訪問網絡。而授權則是控制能夠訪問那些資源和可以如何訪問這些資源。授權包括兩種,一種是行為的授權。另外一種是范圍的授權。
4.5審核
通過審核,網絡管理員可以了解攻擊著的主攻方向,了解所不知道的網絡薄弱環節,攻擊者通常是從網絡的薄弱環節攻入的。
4.6公共密匙加密和數字簽名
在數據加密中,密匙非常重要,但加密解密的雙方又需要同樣的密匙,密匙就需要采用某種傳送方式,這樣密匙就變成了網絡安全的主要攻擊目標。
4.7數據包過濾
比身份驗證和授權更進一步,數據包過濾能夠接受或拒絕特定特點的數據包,能夠防止非授權的使用、破壞網絡資源、禁止、拒絕服務攻擊。
篇6
論文關鍵詞:電子商務;安全;安全技術
2、電子商務安全的主要要求
2. 1. 機密性
電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個開放的網絡環境上的,維護商業機密是電子商務全面推廣應用的重要保障。
2.2. 完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。
2.3. 可靠性
在傳統的紙面貿易中,貿 易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。這也就是人們常說的“白紙黑字”。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已不可能,因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
2.4 有效性
電子商務以電子形式取代了紙張,那么如何保證這種電子形式貿易信息的有效性則是開展電子商務的前提。
2.5 可靠性
傳統的交易是面對面的,比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網絡進行的,買賣雙方互不見面,因而缺乏傳統交易中的信任感和安全感。美國密執安大學一個調查機構通過對23000名因特網用戶的調查顯示,超過60%的人由于電子商務的安全問題而不愿進行網上購物。任何個人、企業或商業機構以及銀行都不會通過一個不安全的網絡進行商務交易,這樣會導致商業機密信息或個人隱私的泄露,從而導致巨大的利益損失。根據中國互聯網絡信息中心(CNNIC)的“中國互聯網絡發展狀況統計報告”,在電子商務方面,52.26%的用戶最關心的是交易的安全可靠性。由此可見,電子商務中的網絡安全和交易安全問題是實現電子商務的關鍵之所在。
3、引起電子商務的不安全因素
商務信息的存儲依靠計算機的數據庫技術來實現,信息傳輸的主要途徑是互聯網。所以,電子商務的不安全因素也正是以計算機的數據庫技術和網絡通信技術的安全漏洞為主要目標,構成了威脅電子商務活動的主要原因,成為不法分子入侵的主要途徑。
3.1. 數據庫面臨的安全問題
實現電子商務的企業,大都建立用來存儲和管理各種業務數據的核心數據庫。對于大多合法用戶來說,這個核心數據庫是存儲關鍵信息的一種非常便捷的方式,而從攻擊者的角度來看,直接破解這個數據庫所帶來的利益要比在網絡中嗅探數據帶來的利益打得多。通過破解數據庫,就可以只在一個點上訪問到準確的數據信息。攻擊者一旦竊取到數據庫的訪問權,就可以通過數據庫的查詢命令方便的獲取想要的信息,如信用卡號、客戶資料、報價單、價目表等機密商業信息。電子商務在數據庫中所面臨的安全問題表現在非法入侵者對數據庫的攻擊,電子的交易信息在網絡上傳輸的過程中,可能被他人非法的修改,刪除或重放(指只能使用一次的信息被多次使用),從而使信息失去了真實性和完整性。
3.2. 網絡通信面臨的安全問題
電子商務在網絡通信中所面臨的安全問題主要體現在以下幾個方面:交易的內容被第三方竊取;電子交易信息在網上傳輸過程中,可能被他人非法修改、刪除或重放。網絡傳輸的可靠性受硬件設備或軟件的缺陷的限制,使信息傳輸過程得不到保障;信息的存儲和傳輸受到惡意破壞的威脅(如病毒威脅),信息破壞。包括網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導致電子商務信息遭到破壞。
4、電子商務中的安全防范技術
為了滿足電子商務的安全要求,電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務,具體可采用的技術如下:
4.1. 數字簽名技術
“數字簽名”是通過密碼技術實現電子交易安全的形象說法,是電子簽名的主要實現形式。它力圖解決互聯網交易面臨的幾個根本問題:數據保密、數據不被篡改、交易方能互相驗證身份、交易發起方對自己的數據不能否認。“數字簽名”是目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。它采用了規范化的程序和科學化的方法,用于鑒定簽名人的身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動,確保傳輸電子文件的完整性、真實性和不可抵賴性。
4.2. 防火墻技術
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。目前的防火墻主要有以下三種類型:包過濾防火墻、防火墻、雙穴主機防火墻。
4.3. 入侵檢測系統
入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日志,以及網絡中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統進行報警、阻斷等響應。
4.4. 信息加密技術
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。
4.5 安全認證技術
安全認證的主要作用是進行信息認證,信息認證的目的就是要確認信息發送者的身份,驗證信息的完整性,即確認信息在傳送或存儲過程中未被篡改過。
4.6 防病毒系統
病毒在網絡中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品,實施“層層設防、集中控制、以防為主、防殺結合”的防病毒策略,構建全面的防病毒體系。
5.主要的安全技術
5.1虛擬專用網(VPN)
這是用于Internet交易的一種專用網絡,它可以在兩個系統之間建立安全的信道(或隧道),用于電子數據交換(EDI)。它與信用卡交易和客戶發送訂單交易不同,因為在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性,因而能夠保證數據的保密性和可用性。
5.2數字認證
數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性(如一個發票未被修改過),甚至數據媒體的有效性(如錄音、照片等)。隨著商家在電子商務中越來越多地使用加密技術,人們都希望有一個可信的第三方,以便對有關數據進行數字認證。
目前,數字認證一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性,Java JDK1.1也能夠支持幾種單向Hash算法。另外,S/MIME協議已經有了很大的進展,可以被集成到產品中,以便用戶能夠對通過Email發送的信息進行簽名和認證。同時,商家也可以使用PGP(Pretty Good Privacy)技術,它允許利用可信的第三方對密鑰進行控制。可見,數字認證技術將具有廣闊的應用前景,它將直接影響電子商務的發展。
5.3加密技術
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現在,一些專用密鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而,這些技術的廣泛使用卻不是一件容易的事情。密碼學界有一句名言:加密技術本身都很優秀,但是它們實現起來卻往往很不理想。現在雖然有多種加密標準,但人們真正需要的是針對企業環境開發的標準加密系統。加密技術的多樣化為人們提供了更多的選擇余地,但也同時帶來了一個兼容性問題,不同的商家可能會采用不同的標準。另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制。目前,美國的商家一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的算法出口。雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多。據報載,最近美國加州已經有人成功地破譯了 40位的SSL,這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128 位 SSL的算法,彌補國內的空缺,并采用數字簽名等技術確保電子商務的安全。
6、展望
安全是電子商務生存和發展的命脈,隨著網絡信息技術的發展,安全技術平臺和安全管理策略將不斷發展和改進提高。電子商務網站的設計人員必須在精心的安全分析、風險評估、商業需求分析和網站運行效率分析的基礎上,才能制定出整體的安全解決方案。
篇7
論文摘要:隨著當代信息技術的發展,互聯網的共享性、開放性以及互聯程度也在不斷擴大。internet的廣泛普及,商業數字貨幣、網絡銀行等一部分網絡新業務的迅速興起,使得計算機網絡的安全問題越來越顯得重要,通過歸納總結,提出網絡信息中的一些安全防護策略。
1.引言
網絡環境的復雜性、多變性以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。當前,隨著計算機技術的飛速發展,利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了,因此,如何采用更加安全的數據保護及加密技術,成為當前計算機工作者的研究熱點與重點。網絡安全技術,尤其是網絡信息的安全,關系到網民、企業甚至是國家的信息安全。因此,發展更加安全的網絡安全技術,是關系到社會經濟穩定繁榮發展的關鍵,成為當前計算機安全工作的重點。
2.網絡信息安全的風險來源
影響計算機網絡安全的因索很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結起來豐要以下幾個方面:
(1)病毒感染
從“蠕蟲”病毒開始到cih、愛蟲病毒,病毒一直是計算機系統安全最直接的威脅。病毒依靠網絡迅速傳播,它很容易地通過服務器以軟件下載、郵件接收等方式進入網絡,竊取網絡信息,造成很人的損失。
(2)來自網絡外部的攻擊
這是指來自局域網外部的惡意攻擊,例如:有選擇地破壞網絡信息的有效性和完整性;偽裝為合法用戶進入網絡并占用大量資源;修改網絡數據、竊取、破譯機密信息、破壞軟件執行;在中間站點攔截和讀取絕密信息等。
(3)來自網絡內部的攻擊
在局域網內部,一些非法用戶冒用合法用戶的口令以合法身份登陸網站后。竊取機密信息,破壞信息內容,造成應用系統無法運行。
(4)系統的漏洞及“后門”
操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中留有漏洞。一旦這個疏漏被不法分子所知,就會借這個薄弱環節對整個網絡系統進行攻擊,大部分的黑客入侵網絡事件就是由系統的“漏洞” 和“后門”所造成的。
3.網絡信息安全的防護策略
現在網絡信息安全的防護措施必不可少。從技術上來說,計算機網絡安全主要由防病毒、入侵檢測等多個安全組件組成,就此對我們常用的幾項防護技術分別進行分析。
3.1防火墻技術
防火墻(ifrewal1)是指設置在不同網絡或網絡安全域之間的系列部件的組合,它越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入internet網絡為甚。不同網絡或網絡安拿域之間信息都會經過它的過濾,防火墻就會根據自身的安全政策控制(允許、拒絕、監測)出入網絡的信息流,而且它本身也具有較強的抗攻擊能力,不會被病毒控制。防火墻可以阻j網絡中的黑客來訪問你的機器,防止他們篡改、拷貝、毀壞你的重要信息。它為網絡信息的安全提供了很好的服務,為我們更安全地使用網絡提供了很好的保障。
“防火墻”技術是指假設被保護網絡具有明確定義的邊界和服務而采取的一種安全保障技術,它通過監測、限制和更改通過“防火墻”的數據流,一方面盡可能地對外部網絡屏蔽被保護網絡的信息、結構,實現對內部網絡的保護,以防“人放火”;另一方面對內屏蔽外部某些危險站點,防止“引火燒身”。因而,比較適合于相對獨立、與外部網絡互聯單一、明確并且網絡服務種類相對集中的統一互聯網絡系統。防火墻可對網絡存取和訪問進行監控審計,如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有internet服務特性的企業內部網絡技術體系vpn。vpn,可以將分部在世界各地的lan或專用電子網有機地聯成一個整體。這樣一方面省去了專用通信線路,也達到了信息共享的目的。
3.2數據加密技術
數據加密技術是網絡中最藎木的安傘技術,主要是通過對網絡傳輸的信息進行數據加密來保障其安全性。加密是對網絡上傳輸數據的訪問權加強限制的一種技術。原始數據(也稱為明文,plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。解密是加密的反向處理,是將密文還原為原始明文,但解秘者必須利用相同類型的加密設備和密鑰,才能對密文進行解密。
3.3入侵檢測技術
入侵檢測系統(intrusiondetectionsystem,ids)是從多種計算機系統及網絡系統中收集信息,再通過這些信息分析,對計算機和網絡資源的惡意使用行為進行識別的網絡信息安全系統。入侵檢測系統具有多方面的功能:威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等。入侵檢測技術是為保證計算機信息系統安全而設計與配置的一種能夠及時發現并報告系統中朱授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
3.4病毒防護
可采用如下的方法或措施:
(1)合理設置殺毒軟什,如果安裝的殺毒軟什具備掃描電郵件的功能,盡量將這些功能傘部打開;
(2)定期檢查敏感文件;
(3)采取必要的病毒檢測和監控措施;
(4)對新購的硬盤、軟盤、軟件等資源,使用前應先用病毒測試軟件檢查已知病毒,硬盤可以使用低級格式化(dos中的format格式化可以去抻軟盤中的病毒,但不能清除硬盤引導的病毒);
(5)慎重對待郵件附件,如果收到郵件中有可執行文件(如.exe、.com等)或者帶有“宏”的文殺一遍,確認沒有病毒后再打開;
(6)及時升級郵件程序和操作系統,以修補所有已知的安全漏洞。
3.5身份認證技術
身份認證(authentication)是系統核查用戶身份證明的過程,其實質是查明用戶是否具仃它所請求資源的存儲使用權。身份識別(identificaiion)是指用戶向系統出示自己的身份證明的過程。這兩項上作通常被稱為身份認證。
身份認證至少應包括驗證協議和授權協議。網絡中的各種應用和計算機系統都需要通過身份認證來確認合法性,然后確定它的個人數據和特定權限。對于身份認證系統來說,合法用戶的身份是否易于被別人冒充足它最重要的技術指標。用戶身份被冒充不儀可能損害用戶自身的利益,也可能損害其他用戶的利益或整個系統。因此,身份認證是授權控制的基礎。只有有效的身份認證,才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。
安裝必要的安全軟件,殺毒軟件和防火墻這些都是必備的,而且還要安裝并使用必要的防黑軟件。我們一定要把這些安全防護措施及時應在電腦中,在上網時一定要打開它們。最后要及時給系統打補丁,建議人家下載自己的操作系統對應的補丁程序,這是我們網絡安全的恭礎。
篇8
關鍵詞:云計算;加密;隱私數字資源;屬性基加密;權重屬性
中圖分類號:G250 文獻標識碼:A 文章編號:1009-3044(2016)32-0068-03
Encryption Policy for the Library Privacy Digital Resources in the Cloud Computing Environment
LI Zhi-ping
(Guangzhou University Sontan College, Guanzhou 511370, China)
Abstract: As for the safety of library privacy digital resources in the cloud computing environment, this paper outlines the data encryption, studies the algorithm implementation of the identity based symmetric encryption system and its advantages and disadvantages. Then it introduces the attribute-based encryption, probes into its composite structure access, and the main encryption algorithms. Since less attention has been paid to the current cipher text-policy attribute-based encryption (CP-ABE), it is quite necessary to use the weighed one.
Key words: cloud computing; encryption; Privacy Digital Resources; attribute-based encryption; weighted attribute
1 背景
在圖書館數字資源研究中發現,基本包括公開數字資源以及隱私數字資源,其中前者主要為電子圖書、報刊以及書目信息等等,這些內容均可以公開;后者則主要包括有學位論文、學生信息以及財務數據等等,這些數據均不可以公開。在云計算發展應用下,數據提供者及其訪問者不再是傳統的一對一模式,數據提供者在進行數據提供的時候,需要將其存儲在第三方云計算服務提供商數據庫中,通過此才能夠為廣大數據訪問者提供相應的服務,借助服務商的多種開發接口則可以享受到數據閱讀及查詢等服務。但是在此過程中,云服務端所存儲的數據則可能會出現被非法竊取及篡改問題。在圖書館數字資源中的一些電子圖書等公開信息,則不必對其實施保密處理,在云存儲保存中也可以采用明文形式,只需對其進行完整性檢測。但對于隱私數字資源,一些保密學生信息及學位論文等等,為防止云服務提供商私自使用數據,或第三方用戶盜取數據,云計算都必須先進行加密處理。
2 基于身份的加密體制
2.1 數據加密技術原理
數據加密簡而言之也就是采用某種算法實現之前明文文件或者數據的處理,將其轉換成為一些不可讀的代碼,也就將其稱為是“密文”。在閱讀過程中只有應用相應密鑰,才可以看到具體的文本內容,以此有效確保一些不可公開信息數據不受到非法竊取及閱讀。將此過程逆向處理也就是解密過程,也就是將“密文”形式成功轉化為之前數據形式的過程。其中圖1則為典型數據加密模型。
2.2 云計算環境下數據資源的加密技術分析
在云計算環境中,基于密鑰特點則可以將加密算法分成兩種,其中一種為對稱密碼算法,另外一種則為非對稱密碼算法。前者也被稱為傳統密碼算法,在其應用中需要確保數據擁有者和數據訪問者協調確定出一組加解密密鑰,之后借助于加密密鑰實現相關數據的有效加密,數據訪問者在進行數據訪問的時候,則可以通過數據擁有者或者密鑰管理中心到相應的解密密鑰。其特點是在加密與解密過程中使用相同的密鑰,并且在實際應用中安全性比較高,加密速度較快,在實際數據加密中也比較常用,最常見的主要有DES、AES、IDEA 等。
而與之相對應的是非對稱密碼算法,簡而言之也就是加密密鑰和解密密鑰不一致,其中加密密鑰也被稱之為公鑰,可以公開;解密密鑰則被稱之為私鑰,不可以公開。這一加密算法也被稱為公鑰密碼算法,最常見則主要有RSA、ECC等,屬于是在實際應用中最為廣泛的公算法,也是一種分組加密算法,算法原理簡單、易于使用。
但是在云計算技術不斷發展進程中,互聯網中的數據共享也逐漸廣泛,在新的網絡環境下如果依舊采用傳統的數據加密方式,則無法有效滿足實際網絡應用需求。對于云計算數據資源安全加密技術也提出了新的要求,在云計算加密技術研究中也成為新的方向。基于身份的加密、屬性基加密、引入權重的屬性基加密等各種加密算法都不斷地被提出、論證、實施及改進。
2.3 基于身份的對稱加密體制
在圖書館數據資源管理過程中,數據量非常大,在數據加密中如果還是單純采用非對稱密碼體制,無法有效提高其應用效率,因此則可以采用對稱密碼體制實施數據加密,操作如下:
第一 步:應用對稱密碼算法實現圖書館數據信息[F]的加密處理,之后即為加密文件[S]。
第二 步:將[S]分成[n]個數據塊[s1,s2,…,sn]
第 三步:對每個密文件塊[Si]簽名,假設簽名序列為[σ1,σ2,…,σn],數據塊[Si]的簽名為[σi=μH(Si)α]。[H]在密碼學中屬于是[hash]函數,不同長度的0,1字符串均可以將其在群[G]上映射成為元素,在群[G]中[μ]則屬于是生成元,[α]也就是圖書館數據中的私鑰。
第四 步:在云存儲數據庫中保存圖書館密文數據庫以及相關簽名。
第 五步:檢測文件[F]過程中,圖書館則需要生成挑戰[chal=i,vi],并發送給云存儲然后等候應答。其中[i,vi]為挑戰對,用來對第[i]個數據塊進行檢測,[vi]是為數據塊[i]選取的隨機數。
第 六步:基于挑戰[chal=i,vi]結果,云存儲系統則需要對[μ,σ]實施返回應答。[μ]則需要實現圖書館挑戰隨機數乘以云存儲數據塊,乘出來的結果相加也就是[μ=i=1nviHSi];[σ]則是在計算過不同數據塊簽名及挑戰隨機數之后,進一步實施結果相乘所得,也就是[σ=i=1nσivi]。
第 七步:在進行方程[e(σ,g)=e(μμ,v)]成立判別中,也就可以分析圖書館的數據完整性。其中[e]也就是密碼學的雙線性映射結果,本身屬于是函數運算;在群[G]中[g]屬于是生成元,在進行圖書館公鑰[v]生成過程中需要用到,也就是[v=gα]。
在身份加密體制實施加密處理,公鑰也就可以應用用戶身份信息,從而避免了任務設立CA中心的負擔,但這一加密體制在應用中依舊存在多種問題,比如說數據擁有者如果想要實現數據共享,同時實現多個授權用戶訪問,那么在進行公鑰設置過程中,則可以分別將訪問用戶身份信息作為公約實現機密,隨著用戶量的加大,需要實施協商的密鑰數量也會有所增長;同時如果網絡環境本身安全性不夠,關于密鑰的協商及分發安全渠道問題則需要進一步探索。
3 基于屬性基的加密體制設計
訪問用戶身份信息具有唯一性,然而在其屬性研究中則非常可能具有共性特點,因此在研究過程中則提出了基于屬性基加密的概念。這一方式和之前應用用戶唯一身份信息作為加密數據公鑰具有一定差異,基于屬性加密體制在設計過程中,數據加密公約則是用戶屬性集合,只有用戶屬性集合和密文屬性集合共有屬性數量,能夠和門限要求有效滿足的時候,一個訪問用戶才能夠解密一個密文。也就是將屬性劃分為普通屬性和許可屬性兩類,用戶只有在其持有的屬性,并且也能夠對密文訪問結果以及許可屬性條件有效滿足的時候,才能夠有效實現數據的成功解密。
3.1 儺曰加密體制的復合訪問結構
假設用[TA]表示普通屬性結構樹,[TB]表示許可屬性結構樹,則基于屬性基加密體制的訪問結構[T]由[TA]及[TB]用“與”門操作實現,子樹[TA]包含的普通屬性集管理者則屬于授權中心,子樹[TB]則主要為屬性集,管理者為數據屬性。解密密文的獲得必須要確保用戶持有屬性和[TA]和[TB]同時滿足,同時也能夠“與”門根節點[T],所得到才是正確的解密密文。
3.2 主要加密方案
1)密鑰第一部分生成算法:將用戶[u]的屬性集[U]作為輸入,選擇隨機元素[ti∈Z*p]、選擇隨機數[r1∈Z*p],計算[d1=gα1-r1],再為[U]中的每個屬性[αj∈U]隨機選擇[rj∈Z*p],計算[dj=grtj-1]。最終輸出用戶私鑰第一部分為 [SK1=(d1=gα1-r1,?j∈Au:dj=grtj-1)]。
2)密鑰第二部分生成算法:將用戶身份[bk]作為輸入,選擇隨機元素[ti∈Z*p]、選擇隨機數[r2∈Z*p],計算[d2=gα2-r2],再為用戶身份[bk]隨機選擇[rk∈Z*p],計算[dk=grtn+k-1]。最終輸出用戶私鑰第二部分為[SK2=(d2=gα2-r2,dk=grtn+k-1)]。
在執行完這兩部分算法后,用戶[u]的一個完整私鑰[SKU=(SK1,SK2)]就能夠成功生成。
3)復合訪問結構[T]生成算法:隨機選取[s1,s2∈Zp]中的兩個隨機數,并且將其一一對應作為子樹[TA]和[TB]的根節點,采用遞歸方式將共享秘密分配在[TA]中每個非葉節點。
4)密文主體部分生成算法:
分別計算 [c1=gs1],[c2=gs2],[c*=Me(g,g)α1s1e(g,g)α2s2],
最終輸出密文為
[ct=(T,c*,c1,c2,?αj,i∈TA:cj,i,?tj,i∈TB:kj,i)]。
基于屬性基加密方案的應用特點主要有:不管是加密還是解密方案均具有一定動態性,并且可以靈活應用,在用戶解密能力以及保護密文中,可以顯著實現細粒度控制。但其不足之處是沒有考慮到每個屬性值的地位和重要性都不盡相同,屬性加密方案中對這方面的差異性未作區別對待,這不符合客觀實際應用環境。
4 引入權重的屬性基加密體制
基于實際應用環境的綜合考慮,關于屬性值地位則可有一定差異,在屬性基加密過程中則可以加大權重的引入及應用。在圖書館數據系統中,用戶屬性不同則權值也具有差異,在解密過程中,只有確保密鑰屬性能夠對密文訪問結構有效滿足的時候,才能夠實現正確解密。實際應用中為減少計算量,屬性的權重值可以分別取為不同的自然數,具體算法實現如下:
1)屬性集轉化算法([Γ]):將系統全體屬性輸入其中,屬性不同權值也具有差異。對于全體屬性集[Γ=λ1,λ2,…,λr]中的每一個屬性[λi],分配屬性[λi]允許在系統中的最大權值為整數[θi=ω(λi)]。可信中心依據屬性在系統中重要程度的不同,對系統中的每一個屬性都分配一個系統允許的最大權值。將屬性集[Γ]中的每一個屬性[λi],依據權重進行分割,將其分割后的最小份額設定為1,分割之后的屬性[λi]所對應的則分別是[(λi,1),(λi,2),…,(λi,θi)],組成的集合也就被稱為是全體屬性權重的分割集[Γ?]。
2)系統建立[(1λ,Γ?)]算法:選擇素數階[ρ] 的群[G],記[u=iθi]。系統隨機選擇[h1,…,hu∈G],此外隨機地選定指數[α],[α∈Zρ],可信中心根據安全參數[1λ]與全體屬性權重分割集[Γ?] 運行系統,也即將全w屬性權重的分割集[Γ?] 輸入到系統。在以上計算過程中則可以生成公鑰為[PK=g,e(g,g)α,gα,h1,…,hu],主密鑰為[QK=gα]。
3)加密算法[(PK,m,A)]:輸入參數則分別為公鑰參數[PK]、訪問結構[A]以及消息[m], [A]則屬于是矩陣訪問結構[(Q,f)],函數[f] 則能夠有效實現屬性權重最小份額和[Q]的有效對應。屬性[λe]的第[θt]個權重分割位置則需要和矩陣第[i]個位置相對應,也就是確保[f(i)(λe,θt)]。[Q] 則可以作為是[l×n]的矩陣,在計算過程中需要先在[Znp]上確定出一組隨機行向量[v=(s,y2,y3,…,yn)],則可以在加密元素[s]分享中應用。如果[i=1,2,…,l],則可以計算得出[γi=v?Qi],[Qi]則和[Q] 的第[i]行相對應。
加密算法公布密文則為
[CT=C=me(g,g)αs,C*=gs,C1=gαγ1h-sf(1),…,Cl=gαγlh-sf(l)]
4)密鑰生成算法[(Qk,S*)]:在密鑰算法過程中,則需要首先將主密鑰[Qk]和用戶對應屬性分割集[S*]分別進行輸入,隨機確定[t∈Zp],將分割集[S*]生成為屬性對應的私鑰[SK]。以上計算過程中所得私鑰為[SK=K=gαgαt,L=gt,?x∈S*:Kx=htx]。
5)解密算法[(PK,CT,SK)]:數據接受者在得到相應密文自后,在解密算法中一一輸入公鑰參數[PK]、私鑰[SK]以及密文[CT],如果在私鑰中的屬性分割集[S*] 能夠對密文訪問結構[A]有效滿足,也就能夠成功解密,并有效恢復出消息[m]。
引入權重的屬性基加密體制的優點體現在該方案不但支持細粒度的訪問控制,也區別對待了不同屬性的不同重要性,更加貼近于實際應用環境,近年來引起較多學者的重視。
5 結束語
圖書館隱私數字資源屬于是自身特有的寶貴資源,在其應用中安全性非常重要。加密處理則是有效提高數據安全的一個重要措施。在云計算技術發展進程中,網絡環境下的數據機密技術要求也隨之加大,不斷有新的加密算法提出、應用以及否定、改進等等,任何一種加密算法均具有自身的應用優勢,因此在未來數據加密中,將實現不同加密體制的共同發展。由于算法原理簡單、易于使用,同時在實際應用中安全性高以及加密速度快,對稱加密技術的應用最為廣泛,其中基于屬性加密算法能夠有效將傳統的身份控制及認證,擴展成為用戶屬性集合認證,能夠進一步實現其控制手段的豐富性。基于與門、或門等控制單元,能夠設計出和不同情況相其和的訪問控制結構,其在理論設計上的復雜性,近年得到廣泛的關注。但是在當前應用過程中,基于屬性加密算法和相關方案還存在一定不足,而屬性權重的引入就是一種嘗試。
參考文獻:
[1] 楊D, 胡予濮, 張樂友, 等. 標準模型下可證明安全的分級身份簽名方案[J]. 西安交通大學學報, 2011, 45(2): 27-33.
[2] 劉西蒙, 馬建峰, 熊金波, 等. 密文策略的權重屬性基加密方案[J]. 西安交通大學學報, 2013, 47(8): 44-48.
[3] 蘇金樹, 曹丹, 王小峰. 屬性基加密機制[J]. 軟件學報, 2011, 22(6): 1299-1315.
[4] 劉帆, 楊明. 一種用于云存儲的密文策略屬性基加密方案[J]. 計算機應用研究, 2012, 29(4): 1452-1456.
篇9
論文摘要:隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網絡安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗, 都防不勝防。
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。從技術上來說, 計算機網絡安全主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、PKI技術等。
一、計算機網絡安全技術
(一)防火墻技術。防火墻是指一個由軟件或硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
(二)數據加密技術。與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術。對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。2.非對稱加密。在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。
(三)PKI技術。PKI技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術作為一種相對安全的技術,恰恰成為了電子商務、電子政務、電子事務的密碼技術的首要選擇,在實際的操作過程中他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題,而進一步保護客戶的資料安全。
二、計算機網絡安全存在的問題
(一)互聯網絡的不安全性。1.1網絡的開放性,由于現代網絡技術是全開放的,所以在一定程度上導致了網絡面臨著來自多方面的攻擊。這其中可能存在來自物理傳輸線路的攻擊,也有肯那個來自對網絡通信協議的攻擊,也包括來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客等等。1.2網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。 這也為了影響網絡安全的一個主要因素。
(二)操作系統存在的安全問題。操作系統作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
1.操作系統結構體系的缺陷。操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。2.操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。3.操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。
(三)防火墻的局限性。防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使內部網與外部網之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
三、結束語
計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重,安全技術必須結合安全措施,并加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。此外,由于計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
參考文獻:
篇10
關鍵詞:數字簽名;加密技術;數字證書;電子文檔;安全問題
Abstract:Today’sapprovalofnewdrugsintheinternationalcommunityneedstocarryouttherawdatatransmission.Thetraditionalwayofexaminationandapprovalredtapeandinefficiency,andtheuseoftheInternettotransmitelectronictextcankeepdatasafeandreliable,butalsogreatlysavemanpower,materialandfinancialresources,andsoon.Inthispaper,encryptionanddigitalsignaturealgorithmofthebasicprinciples,combinedwithhisownideas,givenmedicalapprovalintheelectronictransmissionofthetextofthesecuritysolution.
Keywords:digitalsignature;encryptiontechnology;digitalcertificate;electronicdocuments;securityissues
1引言
隨著我國醫藥事業的發展,研制新藥,搶占國內市場已越演越烈。以前一些醫藥都是靠進口,不僅成本高,而且容易形成壁壘。目前,我國的醫藥研究人員經過不懈的努力,開始研制出同類同效的藥物,然而這些藥物在走向市場前,必須經過國際權威醫療機構的審批,傳統方式是藥物分析的原始數據都是采用紙張方式,不僅數量多的嚇人,而且一旦有一點差錯就需從頭做起,浪費大量的人力、物力、財力。隨著INTERNET的發展和普及,人們開始考慮是否能用互聯網來解決數據傳輸問題。他們希望自己的儀器所做的結果能通過網絡安全傳輸、并得到接收方認證。目前國外針對這一情況已⒘四承┤砑歡捎詡鄹癜汗螅際醪皇嗆艸墑歟勾τ諮櫓そ錐危媸被嶸兜腦潁諍萇偈褂謾U餼透諞揭┭蟹⑹亂敵緯閃思際跗烤保綰慰⒊鍪視櫚南嚶θ砑創俳夜揭┥笈ぷ韉姆⒄咕統閃斯詰那把亓煊潁胰漲骯謖夥矯嫻難芯坎皇嗆芏唷?lt;/DIV>
本文闡述的思想:基本上是參考國際國內現有的算法和體制及一些相關的應用實例,并結合個人的思想提出了一套基于公鑰密碼體制和對稱加密技術的解決方案,以確保醫藥審批中電子文本安全傳輸和防止竄改,不可否認等。
2算法設計
2.1AES算法的介紹[1]
高級加密標準(AdvancedEncryptionStandard)美國國家技術標準委員會(NIST)在2000年10月選定了比利時的研究成果"Rijndael"作為AES的基礎。"Rijndael"是經過三年漫長的過程,最終從進入候選的五種方案中挑選出來的。
AES內部有更簡潔精確的數學算法,而加密數據只需一次通過。AES被設計成高速,堅固的安全性能,而且能夠支持各種小型設備。
AES和DES的性能比較:
(1)DES算法的56位密鑰長度太短;
(2)S盒中可能有不安全的因素;
(3)AES算法設計簡單,密鑰安裝快、需要的內存空間少,在所有平臺上運行良好,支持并行處理,還可抵抗所有已知攻擊;
(4)AES很可能取代DES成為新的國際加密標準。
總之,AES比DES支持更長的密鑰,比DES具有更強的安全性和更高的效率,比較一下,AES的128bit密鑰比DES的56bit密鑰強1021倍。隨著信息安全技術的發展,已經發現DES很多不足之處,對DES的破解方法也日趨有效。AES會代替DES成為21世紀流行的對稱加密算法。
2.2橢圓曲線算法簡介[2]
2.2.1橢圓曲線定義及加密原理[2]
所謂橢圓曲線指的是由韋爾斯特拉斯(Weierstrass)方程y2+a1xy+a3y=x3+a2x2+a4x+a6(1)所確定的平面曲線。若F是一個域,ai∈F,i=1,2,…,6。滿足式1的數偶(x,y)稱為F域上的橢圓曲線E的點。F域可以式有理數域,還可以式有限域GF(Pr)。橢圓曲線通常用E表示。除了曲線E的所有點外,尚需加上一個叫做無窮遠點的特殊O。
在橢圓曲線加密(ECC)中,利用了某種特殊形式的橢圓曲線,即定義在有限域上的橢圓曲線。其方程如下:
y2=x3+ax+b(modp)(2)
這里p是素數,a和b為兩個小于p的非負整數,它們滿足:
4a3+27b2(modp)≠0其中,x,y,a,b∈Fp,則滿足式(2)的點(x,y)和一個無窮點O就組成了橢圓曲線E。
橢圓曲線離散對數問題ECDLP定義如下:給定素數p和橢圓曲線E,對Q=kP,在已知P,Q的情況下求出小于p的正整數k。可以證明,已知k和P計算Q比較容易,而由Q和P計算k則比較困難,至今沒有有效的方法來解決這個問題,這就是橢圓曲線加密算法原理之所在。
2.2.2橢圓曲線算法與RSA算法的比較
橢圓曲線公鑰系統是代替RSA的強有力的競爭者。橢圓曲線加密方法與RSA方法相比,有以下的優點:
(1)安全性能更高如160位ECC與1024位RSA、DSA有相同的安全強度。
(2)計算量小,處理速度快在私鑰的處理速度上(解密和簽名),ECC遠比RSA、DSA快得多。
(3)存儲空間占用小ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多,所以占用的存儲空間小得多。
(4)帶寬要求低使得ECC具有廣泛得應用前景。
ECC的這些特點使它必將取代RSA,成為通用的公鑰加密算法。比如SET協議的制定者已把它作為下一代SET協議中缺省的公鑰密碼算法。
2.3安全散列函數(SHA)介紹
安全散列算法SHA(SecureHashAlgorithm,SHA)[1]是美國國家標準和技術局的國家標準FIPSPUB180-1,一般稱為SHA-1。其對長度不超過264二進制位的消息產生160位的消息摘要輸出。
SHA是一種數據加密算法,該算法經過加密專家多年來的發展和改進已日益完善,現在已成為公認的最安全的散列算法之一,并被廣泛使用。該算法的思想是接收一段明文,然后以一種不可逆的方式將它轉換成一段(通常更小)密文,也可以簡單的理解為取一串輸入碼(稱為預映射或信息),并把它們轉化為長度較短、位數固定的輸出序列即散列值(也稱為信息摘要或信息認證代碼)的過程。散列函數值可以說時對明文的一種“指紋”或是“摘要”所以對散列值的數字簽名就可以視為對此明文的數字簽名。
3數字簽名
“數字簽名”用來保證信息傳輸過程中信息的完整和提供信息發送者的身份認證和不可抵賴性。數字簽名技術的實現基礎是公開密鑰加密技術,是用某人的私鑰加密的消息摘要用于確認消息的來源和內容。公鑰算法的執行速度一般比較慢,把Hash函數和公鑰算法結合起來,所以在數字簽名時,首先用hash函數(消息摘要函數)將消息轉變為消息摘要,然后對這個摘
要簽名。目前比較流行的消息摘要算法是MD4,MD5算法,但是隨著計算能力和散列密碼分析的發展,這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。
4解決方案:
下面是醫藥審批系統中各個物理組成部分及其相互之間的邏輯關系圖:
要簽名。目前比較流行的消息摘要算法是MD4,MD5算法,但是隨著計算能力和散列密碼分析的發展,這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。
4解決方案:
下面是醫藥審批系統中各個物理組成部分及其相互之間的邏輯關系圖:
圖示:電子文本傳輸加密、簽名過程
下面是將醫藥審批過程中的電子文本安全傳輸的解決方案:
具體過程如下:
(1)發送方A將發送原文用SHA函數編碼,產生一段固定長度的數字摘要。
(2)發送方A用自己的私鑰(keyA私)對摘要加密,形成數字簽名,附在發送信息原文后面。
(3)發送方A產生通信密鑰(AES對稱密鑰),用它對帶有數字簽名的原文進行加密,傳送到接收方B。這里使用對稱加密算法AES的優勢是它的加解密的速度快。
(4)發送方A用接收方B的公鑰(keyB公)對自己的通信密鑰進行加密后,傳到接收方B。這一步利用了數字信封的作用,。
(5)接收方B收到加密后的通信密鑰,用自己的私鑰對其解密,得到發送方A的通信密鑰。
(6)接收方B用發送方A的通信密鑰對收到的經加密的簽名原文解密,得數字簽名和原文。
(7)接收方B用發送方A公鑰對數字簽名解密,得到摘要;同時將原文用SHA-1函數編碼,產生另一個摘要。
(8)接收方B將兩摘要比較,若一致說明信息沒有被破壞或篡改。否則丟棄該文檔。
這個過程滿足5個方面的安全性要求:(1)原文的完整性和簽名的快速性:利用單向散列函數SHA-1先將原文換算成摘要,相當原文的指紋特征,任何對原文的修改都可以被接收方B檢測出來,從而滿足了完整性的要求;再用發送方公鑰算法(ECC)的私鑰加密摘要形成簽名,這樣就克服了公鑰算法直接加密原文速度慢的缺點。(2)加解密的快速性:用對稱加密算法AES加密原文和數字簽名,充分利用了它的這一優點。(3)更高的安全性:第四步中利用數字信封的原理,用接收方B的公鑰加密發送方A的對稱密鑰,這樣就解決了對稱密鑰傳輸困難的不足。這種技術的安全性相當高。結合對稱加密技術(AES)和公開密鑰技術(ECC)的優點,使用兩個層次的加密來獲得公開密鑰技術的靈活性和對稱密鑰技術的高效性。(4)保密性:第五步中,發送方A的對稱密鑰是用接收方B的公鑰加密并傳給自己的,由于沒有別人知道B的私鑰,所以只有B能夠對這份加密文件解密,從而又滿足保密性要求。(5)認證性和抗否認性:在最后三步中,接收方B用發送方A的公鑰解密數字簽名,同時就認證了該簽名的文檔是發送A傳遞過來的;由于沒有別人擁有發送方A的私鑰,只有發送方A能夠生成可以用自己的公鑰解密的簽名,所以發送方A不能否認曾經對該文檔進進行過簽名。
5方案評價與結論
為了解決傳統的新藥審批中的繁瑣程序及其必有的缺點,本文提出利用基于公鑰算法的數字簽名對文檔進行電子簽名,從而大大增強了文檔在不安全網絡環境下傳遞的安全性。
本方案在選擇加密和數字簽名算法上都是經過精心的比較,并且結合現有的相關應用實例情況,提出醫藥審批過程的解決方案,其優越性是:將對稱密鑰AES算法的快速、低成本和非對稱密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結合在一起,從而提供了完整的安全服務,包括身份認證、保密性、完整性檢查、抗否認等。
參考文獻:
1.李永新.數字簽名技術的研究與探討。紹興文理學院學報。第23卷第7期2003年3月,P47~49.
2.康麗軍。數字簽名技術及應用,太原重型機械學院學報。第24卷第1期2003年3月P31~34.
3.胡炎,董名垂。用數字簽名解決電力系統敏感文檔簽名問題。電力系統自動化。第26卷第1期2002年1月P58~61。
4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.
5.WrightMA,workSecurity,1998(2)P10~13.
6.BruceSchneier.應用密碼學---協議、算法與C源程序(吳世終,祝世雄,張文政,等).北京:機械工業出版社,2001。
7.賈晶,陳元,王麗娜,信息系統的安全與保密[M],北京:清華大學出版社,1999
8.陳彥學.信息安全理論與實務【M】。北京:中國鐵道出版社,2000p167~178.
9.顧婷婷,《AES和橢圓曲線密碼算法的研究》。四川大學碩士學位論文,【館藏號】Y4625892002。
下面是將醫藥審批過程中的電子文本安全傳輸的解決方案:
具體過程如下:
(1)發送方A將發送原文用SHA函數編碼,產生一段固定長度的數字摘要。
(2)發送方A用自己的私鑰(keyA私)對摘要加密,形成數字簽名,附在發送信息原文后面。
(3)發送方A產生通信密鑰(AES對稱密鑰),用它對帶有數字簽名的原文進行加密,傳送到接收方B。這里使用對稱加密算法AES的優勢是它的加解密的速度快。
(4)發送方A用接收方B的公鑰(keyB公)對自己的通信密鑰進行加密后,傳到接收方B。這一步利用了數字信封的作用,。
(5)接收方B收到加密后的通信密鑰,用自己的私鑰對其解密,得到發送方A的通信密鑰。
(6)接收方B用發送方A的通信密鑰對收到的經加密的簽名原文解密,得數字簽名和原文。
(7)接收方B用發送方A公鑰對數字簽名解密,得到摘要;同時將原文用SHA-1函數編碼,產生另一個摘要。
(8)接收方B將兩摘要比較,若一致說明信息沒有被破壞或篡改。否則丟棄該文檔。
這個過程滿足5個方面的安全性要求:(1)原文的完整性和簽名的快速性:利用單向散列函數SHA-1先將原文換算成摘要,相當原文的指紋特征,任何對原文的修改都可以被接收方B檢測出來,從而滿足了完整性的要求;再用發送方公鑰算法(ECC)的私鑰加密摘要形成簽名,這樣就克服了公鑰算法直接加密原文速度慢的缺點。(2)加解密的快速性:用對稱加密算法AES加密原文和數字簽名,充分利用了它的這一優點。(3)更高的安全性:第四步中利用數字信封的原理,用接收方B的公鑰加密發送方A的對稱密鑰,這樣就解決了對稱密鑰傳輸困難的不足。這種技術的安全性相當高。結合對稱加密技術(AES)和公開密鑰技術(ECC)的優點,使用兩個層次的加密來獲得公開密鑰技術的靈活性和對稱密鑰技術的高效性。(4)保密性:第五步中,發送方A的對稱密鑰是用接收方B的公鑰加密并傳給自己的,由于沒有別人知道B的私鑰,所以只有B能夠對這份加密文件解密,從而又滿足保密性要求。(5)認證性和抗否認性:在最后三步中,接收方B用發送方A的公鑰解密數字簽名,同時就認證了該簽名的文檔是發送A傳遞過來的;由于沒有別人擁有發送方A的私鑰,只有發送方A能夠生成可以用自己的公鑰解密的簽名,所以發送方A不能否認曾經對該文檔進進行過簽名。
5方案評價與結論
為了解決傳統的新藥審批中的繁瑣程序及其必有的缺點,本文提出利用基于公鑰算法的數字簽名對文檔進行電子簽名,從而大大增強了文檔在不安全網絡環境下傳遞的安全性。
本方案在選擇加密和數字簽名算法上都是經過精心的比較,并且結合現有的相關應用實例情況,提出醫藥審批過程的解決方案,其優越性是:將對稱密鑰AES算法的快速、低成本和非對稱密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結合在一起,從而提供了完整的安全服務,包括身份認證、保密性、完整性檢查、抗否認等。
參考文獻:
1.李永新.數字簽名技術的研究與探討。紹興文理學院學報。第23卷第7期2003年3月,P47~49.
2.康麗軍。數字簽名技術及應用,太原重型機械學院學報。第24卷第1期2003年3月P31~34.
3.胡炎,董名垂。用數字簽名解決電力系統敏感文檔簽名問題。電力系統自動化。第26卷第1期2002年1月P58~61。
4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.
5.WrightMA,workSecurity,1998(2)P10~13.
6.BruceSchneier.應用密碼學---協議、算法與C源程序(吳世終,祝世雄,張文政,等).北京:機械工業出版社,2001。
7.賈晶,陳元,王麗娜,信息系統的安全與保密[M],北京:清華大學出版社,1999
