導語：如何才能寫好一篇信息加密技術論文，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

1.1非人為安全隱患

因為信息數據是通過計算機進行存儲與傳輸的，所以數據安全隱患產生的第一步就是計算機中存在的安全風險，包括硬件與軟件的安全問題：第一、操作系統出現漏洞，內部含有竊取信息的程序或者木馬，其數據信息被盜取與修改都是在使用者毫無察覺的情況下發生的；第二、計算機病毒，如果計算機沒有安裝殺毒軟件，則會讓電腦處于危險狀態，很多病毒會隨著數據的傳輸或者程序的安裝而進入計算機，從而實現竊取與篡改計算機內信息數據的目的；第三、硬件不穩定，計算機硬件的不穩定如磁盤受損、缺少恢復程序等，會造成傳輸或存儲的數據丟失或錯誤，從而對信息數據造成危害。還有就是網絡安全隱患，主要是網絡的傳播不穩定和網絡存在安全漏洞，這也是存在安全隱患最多的一環，不過這一般和人為安全因素有很大的聯系，人們會利用網絡安全的漏洞進行數據的竊取與篡改。

1.2人為安全隱患

因為利益驅使，為了盜取或者篡改重要信息，出現了很多非法入侵他人電腦或者網絡系統的行為，如黑客、傳播病毒、電子詐騙、搭線竊聽、掛木馬等，這些人為的破壞行為其目的性就比較強，往往攻擊力強、危害度比較大，一般是涉及竊取重要的經濟情報、軍事情報、企業重要信息或者是進行國家網絡系統的惡意攻擊等，給個人、單位，甚至是國家都帶來難以彌補的損失，也是必須加以防范的安全隱患。

2計算機信息數據的加密技術

2.1存儲加密法

存儲加密是用來保護在存儲過程當中信息數據的完整性與保密性，包括密文存儲與存取控制。而密文存儲是通過加密算法的轉換、附加密碼進行加密、加密模塊的設置等技術實現其保密作用；存取控制是通過審查用戶資料來辨別用戶的合法性，從而通過限制用戶權限來保護信息數據不被其他用戶盜取或修改，包括阻止合法用戶的越權行為和非法用戶的入侵行為。

2.2傳輸加密法

傳輸加密是通過加密來保護傳輸中信息數據流的安全性，實現的是過程的動態性加密，分為端—端加密與線路加密兩種。端—端是一種從信息數據發出者的端口處制定加密信息，只要是從此端口發出的數據都會自動加密，加密后變成了不可閱讀與不可識別的某些信息數據，并通過TCP/IP數據包后，最終到達傳輸目的地，當到達最終端口時，這些信息數據會自動進行重組與解密，轉化為可以閱讀與識別的信息數據，以供數據接收者安全的使用；線路加密則有所不同，它是完全不需對信源和信宿進行加密保護，而是運用對信息數據傳輸的不同路線采用不同加密密鑰的手段，達到對線路的保護目的。

2.3密鑰管理法

很多的數據信息進行加密都是通過設置密鑰進行安全防護，所以密鑰是能否保護好信息數據的關鍵，如果密鑰被破解，則信息數據就無保密性可言，故對密鑰的保護非常關鍵，這也就是我們所說的密鑰管理法，它在密鑰形成的各個環節（產生、保存、分配、更換、銷毀等階段）進行管理控制，確保密鑰的安全性。

2.4確認加密法

確認加密法是通過對信息數據的共享范圍進行嚴格控制，來防止這些數據被非法篡改與偽造。按照不同的目的，確認加密法可分為：信息確認、數字簽名與身份確認三種。數字簽名是根據公開密鑰與私人密鑰兩者存在一定的數學關系而建立的，使用其中任一密鑰進行加密的信息數據，只能用另一密鑰進行解密，從而確保數據的真實性，如發送者用個人的私人密鑰對傳輸信息數據進行加密之后，傳送到接收者那里，接收者必須用其公開密鑰對數據進行解密，這樣可以準確的知道該信息的發送源是那里，避免信息的錯誤。

2.5信息摘要法

信息摘要法是通過一個單向的Hash加密函數來對信息數據進行處理，而產生出與數據對應的唯一文本值或消息值，即信息的摘要，來保證數據的完整性，它是在信息數據發送者那里進行加密后產生出一個摘要，接收者通過密鑰進行解密后會產生另一個摘要，接收者對兩個摘要進行對比，如果兩個有差別，就表面數據在傳輸途中被修改。

2.6完整性鑒別法

完整性鑒別法是將事先設定的某些參數（如口令、各相關人員的身份、密鑰、信息數據等）錄入系統，在數據信息傳輸中，通過讓驗證對象輸入相應的特征值，判斷輸入的特征值是否符合要求，來對信息數據進行保護的技術。

3結束語

篇2

在這個快速發展的信息化時代，網絡已成為人們信息交流的重要方式，網絡信息的安全問題也日益突出。然而人們對網絡通訊中的信息進行加密，防止信息被竊取，信息加密是指利用加密算法將所要加密的信息轉換為密文，然后再對密文進行解密的過程。對信息加密的方法有很多，常有的加密技術是將重要的數據信息變為亂碼或利用加密算法進行加密；但加密技術的核心是密碼技術，然而常用的密碼技術有對稱加密技術和非對稱加密技術。這些加密技術在一定程度上保證了信息的安全，促進了信息在網絡上的傳輸。

2 網絡通訊中信息安全存在的風險

計算機和互聯網是網絡通訊的載體，然而隨著信息產業的快速發展，網絡通訊中信息的安全性問題也越來越突出；這些安全問題主要表現在網絡的操作系統、網絡的開放性與虛擬性和應用平臺等方面，我們將對這些方面存在的信息安全問題進行分析。

2.1操作系統的安全

每一臺計算機都有操作系統，都知道如果一臺計算機沒有操作系統是無法使用的。網絡通信中主要的信息安全問題就在于網絡的操作系統，操作系統的穩定性決定著網絡通信的安全性，一旦系統出現漏洞，就容易被入侵，信息泄露的可能性非常大，甚至會出現計算機無法使用的情況。然而對系統操作存在的安全問題，主要有對操作系統的不了解、操作技術的不熟練、違反網絡通信安全保密的相關規定、網絡通信的安全意識不強以及對密鑰設置的不規范、長期使用同一個密鑰等原因，這些原因都有可能造成網絡通訊中信息的泄露；所以，我們要對網絡通訊加強管理，保證信息的安全，防止信息的泄露。

2.2網絡的開放性與虛擬性帶來的安全問題

網絡時時刻刻都在影響著我們的生活，對我們的生活帶來便利，但也會帶來負面的影響；網絡是一個開放性和虛擬性的平臺，然而由于網絡的開放性和虛擬性，會有一些人利用網絡的這一特點進行違規甚至是違法的操作，比如使用一些手段對重要的通訊信息進行攔截或竊聽，甚至是對信息的改變和破壞。網絡的通信線路，一般都沒有進行相應的電磁屏蔽保護措施，這就使得通信過程中信息容易被攔截和竊聽；這對網絡通訊中信息的安全帶來了嚴重的危害。

2.3通訊軟件的應用

人們在網絡上進行信息交流，一般都需要通訊軟件；然而這些通訊軟件或多或少的都存在一些漏洞，這就容易造成信息的泄露，更容易遭到病毒或黑客的入侵，對通訊過程中信息安全造成危害，所以應該對信息進行相應的安全防護措施，防止信息被竊取，保證通訊過程中信息交流的安全。

3 加密技術

一個完整的密碼體制由五個部分組成，分別是明文、密文、密鑰、加密變換、解密變換；對信息的加密過程是將明文通過加密算法進行加密，再經過網絡鏈路傳輸給接收者，然后接收者利用自己的密鑰通過解密算法對密文進行解密，還原成明文。

3.1對稱加密技術

對稱加密技術，就是對信息加密與解密采用相同的密鑰，加密密鑰同時也可以當做解密密鑰用。這種加密技術使用起來比較簡單，密鑰比較短，在網絡信息傳輸上得到了廣泛的應用，然而但這種加密技術的安全性不是很高。

在對稱加密技術中運用的加密算法有數據加密標準算法和高級加密標準算法，而數據加密標準算法最常用。對稱加密技術有一定的優勢也有一定的弊端，優勢是使用起來比較方便，密鑰比較短；缺點：一、通訊雙方在通訊時使用同一個密鑰，這就給信息通訊帶來了不安全因素，在信息傳輸過程中，常常一個傳送者給多個不同的接收者傳送信息，這就需要多個密鑰，這對信息的傳送者帶來煩瑣；二、對稱加密算法一般無法鑒別信息的完整性，也無法對信息發送者和信息接收者的身份進行確認，這對信息在傳輸過程中帶來了不安全因素。三、在對稱加密技術中對密鑰的管理是關鍵，因為在對稱加密技術中信息的傳送者和信息的接收者是采用相同的密鑰，這就需要雙方共同對密鑰進行保密。

3.2非對稱加密技術

非對稱加密技術，就是對信息的加密與解密采用不同的密鑰，然而這種加密技術是針對對稱加密技術中存在的不足所提出的一種加密技術；非對稱加密技術又可以稱為公鑰加密技術，意思是加密密鑰是公開的，大家都可以知道的；而解密密鑰只有信息的接收者才知道。在非對稱加密技術里，最常用的密碼算法是RSA算法，運用這種算法對信息進行加密，信息盜取者就不可能由加密密鑰推算出解密密鑰，因為這種算法將加密密鑰與加密算法分開，使得網絡用戶密鑰的管理更加方便安全。

4 加密技術的應用

4.1信息傳輸過程中的節點加密

對信息的加密方式有很多，有在傳輸前對信息進行加密，有在傳輸通道對信息進行加密等等。簡單介紹一下傳輸過程中的節點加密，節點加密是指信息傳輸路徑中對在節點機上傳輸的信息進行加密，然而節點加密不允許信息以明文的方式在節點機上進行傳輸；節點加密是先把接收到的信息進行解密，再對已解密的明文用另一個密鑰進行加密，這就是所謂的節點加密，由于節點加密對信息加密的特殊性，使得這種加密方式相對于其他加密方式的安全性比較弱，所以一些重要的信息不采用此方法來進行加密。

4.2信息傳輸過程中的鏈路加密

鏈路加密是指在鏈路上對信息進行加密，而不是在信息的發送端和接收端進行加密；鏈路加密是一種在傳輸路徑中的加密方式。鏈路加密原理是信息在傳輸路徑中每個節點機都作為信息接收端，對信息進行不斷的加密和解密，使信息最終到達真正的接收端。這種加密方式相對于節點加密較安全，運用相對比較廣泛。然而這種鏈路加密也存在弊端，由于運用這種方式進行加密，使得信息在傳輸過程中進行不斷地加解密，信息以明文的形式多次出現，這會導致信息容易泄露，給通訊過程中信息的安全帶來危害。

4.3信息傳輸過程中的端對端加密

端對端加密是指信息在傳輸過程中一直以密文的形式進行傳輸，在傳送過程中并不能進行解密，使得信息在整個傳送過程中得到保護；即使信息在傳輸過程中被攔截，信息也不會被泄露，而且每條信息在傳輸過程中都進行獨立加密，這樣即使一條信息被攔截或遭到破壞，也不會影響其他信息的安全傳輸；這種加密方式相對于前兩種加密方式可靠性更高、安全性更好，而且更容易設計和維護，價格也相對比較便宜。不過[ dylW.net專業提供教育論文寫作的服務，歡迎光臨dylW.NeT]此種加密方式存在一點不足，就是不能夠對傳輸的信息在發送端和接收端進行隱藏。由于端對端的加密方式可靠性高、安全性好、價格便宜，在信息傳輸中得到了廣泛的應用，更能確保信息在網絡通訊中的安全傳輸。

5 結束語

隨著互聯網的快速發展，網絡通訊在日常生活中的得到了廣泛的應用；竊取網絡通訊信息的人越來越多，對通訊信息攻擊的手段也層出不窮，攻擊技術也日益增強，使得各種網絡信息安全問題日益惡化，問題更得不到根本性的解決；可見網絡通訊中的信息安全技術有待提高。然而，由于我國網絡信息技術起步晚，改革初期發展慢，給網絡通訊安全埋下了隱患；雖然近幾年得到了快速發展，但也暴露出嚴重的網絡通訊信息安全問題；所以我們要不斷提高網絡信息交流的防御能力，防止信息在網絡通訊中被泄露；為大家營造出一個安全、快捷、舒適的網絡通訊環境，即能促進網絡通訊的發展，也能提高人們的生活質量。

參考文獻：

[1] 余文利.網絡環境中數據加密技術實現與分析[J].網絡與信息，2005（10）：50-51.

篇3

[關健詞]網絡安全加密DESRSA

隨著網絡的發展，網絡安全已成為信息化社會的一個焦點問題，因此需要一種網絡安全機制來解決這些問題。在早期，很多的專業計算機人員就通過對網絡安全構成威脅的主要因素的研究，已經開發了很多種類的產品。但縱觀所有的網絡安全技術，我們不難發現加密技術在扮演著主打角色。它無處不在，作為其他技術的基礎，它發揮了重要的作用。本論文講述了加密技術的發展，兩種密鑰體制（常規密鑰密碼體制和公開密鑰密碼體制），以及密鑰的管理(主要討論密鑰分配）。我們可以在加密技術的特點中看到他的發展前景，為網絡提供更可靠更安全的運行環境。

一、常規密鑰密碼體制

所謂常規密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統又稱為對稱密鑰系統。使用對稱加密方法，加密與解密方必須使用相同的一種加密算法和相同的密鑰。

因為通信的雙方在加密和解密時使用的是同一個密鑰，所以如果其他人獲取到這個密鑰，那么就會造成失密。只要通信雙方能確保密鑰在交換階段未泄露，那么就可以保證信息的機密性與完整性。對稱加密技術存在著通信雙方之間確保密鑰安全交換的問題。同時，一個用戶要N個其他用戶進行加密通信時，每個用戶對應一把密鑰，那么他就要管理N把密鑰。當網絡N個用戶之間進行加密通信時，則需要有N×(N-1)個密鑰，才能保證任意兩者之間的通信。所以，要確保對稱加密體系的安全，就好要管理好密鑰的產生，分配，存儲，和更換。常規密碼體制早期有替代密碼和置換密碼這二種方式。下面我們將講述一個著名的分組密碼——美國的數據加密標準DES。DES是一種對二元數據進行加密的算法，數據分組長度為64位，密文分組長度也是64位，使用的密鑰為64位，有效密鑰長度為56位，有8位用于奇偶校驗，解密時的過程和加密時相似，但密鑰的順序正好相反。DES算法的弱點是不能提供足夠的安全性，因為其密鑰容量只有56位。由于這個原因，后來又提出了三重DES或3DES系統，使用3個不同的密鑰對數據塊進行(兩次或)三次加密，該方法比進行普通加密的三次塊。其強度大約和112比特的密鑰強度相當。

二、公開密鑰密碼體制

公開密鑰(publickey)密碼體制出現于1976年。與“公開密鑰密碼體制”相對應的是“傳統密碼體制”，又稱“對稱密鑰密碼體制”。其中用于加密的密鑰與用于解密的密鑰完全一樣，在對稱密鑰密碼體制中，加密運算與解密運算使用同樣的密鑰。通常，使用的加密算法比較簡便高效，密鑰簡短，破譯極其困難。但是，在公開的計算機網絡上安全地傳送和保管密鑰是一個嚴峻的問題。在“公開密鑰密碼體制”中，加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用;而解密密鑰只有解密人自己知道。它們分別稱為“公開密鑰”(publickey)和“秘密密鑰”(private一key）。

它最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰──公開密鑰PK和秘密密鑰SK，因此，這種體制又稱為雙鑰或非對稱密鑰密碼體制。

在這種體制中，PK是公開信息，用作加密密鑰，而SK需要由用戶自己保密，用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK是成對出現，但卻不能根據PK計算出SK。在公開密鑰密碼體制中，最有名的一種是RSA體制。它已被ISO/TC97的數據加密技術分委員會SC20推薦為公開密鑰數據加密。RSA算法既能用于數據加密，也能用于數字簽名，RSA的理論依據為：尋找兩個大素數比較簡單，而將它們的乘積分解開則異常困難。在RSA算法中，包含兩個密鑰，加密密鑰PK，和解密密鑰SK，加密密鑰是公開的，其加密與解密方程為：

其中n=p×q，P∈[0，n-1]，p和q均為大于10100的素數，這兩個素數是保密的。

RSA算法的優點是密鑰空間大，缺點是加密速度慢，如果RSA和DES結合使用，則正好彌補RSA的缺點。即DES用于明文加密，RSA用于DES密鑰的加密。由于DES加密速度快，適合加密較長的報文；而RSA可解決DES密鑰分配的問題。

三、密鑰的管理

1.密鑰管理的基本內容

由于密碼算法是公開的，網絡的安全性就完全基于密鑰的安全保護上。因此在密碼學中就出先了一個重要的分支——密鑰管理。密鑰管理包括:密鑰的產生，分配，注入，驗證和使用。它的基本任務是滿足用戶之間的秘密通信。在這有的是使用公開密鑰體制，用戶只要保管好自己的秘密密鑰就可以了，公開密鑰集體公開在一張表上，要向哪個用戶發密文只要找到它的公開密鑰，再用算法把明文變成密文發給用戶，接收放就可以用自己的秘密密鑰解密了。所以它要保證分給用戶的秘密密鑰是安全的。有的是還是使用常規密鑰密碼體制，當用戶A想和用戶B通信時，他就向密鑰分配中心提出申請，請求分配一個密鑰，只用于A和B之間通信。

2.密鑰分配

密鑰分配是密鑰管理中最大的問題。密鑰必須通過安全的通路進行分配。例如,在早期,可以派專門的人給用戶們送密鑰，但是當隨著用戶數的膨脹，顯然已不再適用了，這時應采用網絡分配方式。

目前，公認的有效方法是通過密鑰分配中心KDC來管理和分配公開密鑰。每個用戶只保存自己的秘密密鑰和KDC的公開密鑰PKAS。用戶可以通過KDC獲得任何其他用戶的公開密鑰。

首先，A向KDC申請公開密鑰，將信息(A，B)發給KDC。KDC返回給A的信息為(CA，CB),其中,CA=DSKAS(A,PKA,T1)，CB=DSKAS(B，PKB，T2)。CA和CB稱為證明書(Certificate),分別含有A和B的公開密鑰。KDC使用其解密密鑰SKAS對CA和CB進行了簽名，以防止偽造。時間戳T1和T2的作用是防止重放攻擊。

然后，A將證明書CA和CB傳送給B。B獲得了A的公開密鑰PKA，同時也可檢驗他自己的公開密鑰PKB。對于常規密鑰進行分配要分三步:

(1)用戶A向KDS發送自己的密鑰KA加密的報文EKA（A，B），說明想和用戶B通信。

(2)KDC用隨機數產生一個“一次一密”密鑰R1供A和B這次的通信使用，然后向A發送回答報文，這個回答報文用A的密鑰KA加密，報文中有密鑰R1和請A轉給B的報文EKB（A，R1），但報文EKB（A，R1）是用B的密鑰加密的，因此A無法知道其中的內容，它也沒必要知道。

(3)當B收到A轉來的報文EKB（A，R1）并用自己的密鑰KB解密后，就知道A要和他通信，同時也知道和A通信應當使用的密鑰R1。

四、結束語

從一開始，我們就是為了解決一些網絡安全問題而提出了密鑰體制，也就是我們所說的加密。所以，不言而寓，密鑰就是在各種傳送機構中發揮他的作用，確保在傳送的過程中信息的安全。雖然所使用的方式方法不同，但密鑰體制本身是相同的。主要有數字簽名、報文鑒別、電子郵件加密幾種應用。我們在問題中找到了很好解決信息加密的方法。我們從加密技術一路走來的發展史中可以看出加密技術在不段的發展和完善中。并且就兩個經典的算法DES和RSA做出了扼要的介紹。在論文中間也介紹了密鑰的分配，這也是加密技術的一個重要方面。相信在不久的將來，可以看到更加完美的加密體制或算法。

參考文獻:

[1]段云所:網絡信息安全講稿.北京大學計算機系，2001

[2]劉曉敏:網絡環境下信息安全的技術保護.情報科學，1999

[3]張寧:《北京大學計算機系》.《電子商務技術》(2000年春季學期)

篇4

關鍵詞：網絡安全，網絡管理，多級安全

 

1　引言網絡技術，特別是Internet的興起，正在從根本上改變傳統的信息技術(IT)產業，隨著網絡技術和Internet的普及，信息交流變得更加快捷和便利，然而這也給信息保密和安全提出了更高的要求。近年來，研究人員在信息加密，如公開密鑰、對稱加密算法，網絡訪問控制，如防火墻，以及計算機系統安全管理、網絡安全管理等方面做了許多研究工作，并取得了很多究成果。

本論文主要針對網絡安全，從實現網絡信息安全的技術角度展開探討，以期找到能夠實現網絡信息安全的構建方案或者技術應用，并和廣大同行分享。

2 網絡安全風險分析影響局域網網絡安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來，主要有六個方面構成對網絡的威脅：

(1) 人為失誤：一些無意的行為，如：丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應進入網絡的人上網等，都會對網絡系統造成極大的破壞。

(2) 病毒感染：從“蠕蟲”病毒開始到CIH、愛蟲病毒，病毒一直是計算機系統安全最直接的威脅，網絡更是為病毒提供了迅速傳播的途徑，病毒很容易地通過服務器以軟件下載、郵件接收等方式進入網絡，然后對網絡進行攻擊，造成很大的損失。

(3) 來自網絡外部的攻擊：這是指來自局域網外部的惡意攻擊，例如：有選擇地破壞網絡信息的有效性和完整性；偽裝為合法用戶進入網絡并占用大量資源；修改網絡數據、竊取、破譯機密信息、破壞軟件執行；在中間站點攔截和讀取絕密信息等。

(4) 來自網絡內部的攻擊：在局域網內部，一些非法用戶冒用合法用戶的口令以合法身份登陸網站后，查看機密信息，修改信息內容及破壞應用系統的運行。

(5) 系統的漏洞及“后門”：操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。科技論文。另外，編程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會成為整個網絡系統受攻擊的首選目標和薄弱環節。大部分的黑客入侵網絡事件就是由系統的“漏洞”和“后門”所造成的。

3　網絡安全技術管理探討3.1 傳統網絡安全技術目前國內外維護網絡安全的機制主要有以下幾類：

Ø訪問控制機制；

Ø身份鑒別；

Ø加密機制；

Ø病毒防護。

針對以上機制的網絡安全技術措施主要有：

(1) 防火墻技術

防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它用來控制內部網和外部網的訪問。

(2) 基于主機的安全措施

通常利用主機操作系統提供的訪問權限，對主機資源進行保護，這種安全措施往往只局限于主機本身的安全，而不能對整個網絡提供安全保證。

(3) 加密技術

面向網絡的加密技術是指通信協議加密，它是在通信過程中對包中的數據進行加密，包括完整性檢測、數字簽名等，這些安全協議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數及其它一些序列密碼算法實現信息安全功能，用于防止黑客對信息進行偽造、冒充和篡改，從而保證網絡的連通性和可用性不受損害。

(4) 其它安全措施

包括鑒別技術、數字簽名技術、入侵檢測技術、審計監控、防病毒技術、備份和恢復技術等。鑒別技術是指只有經過網絡系統授權和登記的合法用戶才能進入網絡。審計監控是指隨時監視用戶在網絡中的活動，記錄用戶對敏感的數據資源的訪問，以便隨時調查和分析是否遭到黑客的攻擊。這些都是保障網絡安全的重要手段。

3.2 構建多級網絡安全管理多級安全作為一項計算機安全技術，在軍事和商業上有廣泛的需求。科技論文。“多級”包括數據、進程和人員的安全等級和分類，在用戶訪問數據時依據這些等級和分類進行不同的處理。人員和信息的安全標識一般由兩部分組成，一部分是用“密級”表示數據分類具有等級性，例如絕密、秘密、機密和無密級；另一部分是用“類別”表示信息類別的不同，“類別”并不需要等級關系。在具體的網絡安全實現上，可以從以下幾個方面來構建多級網絡安全管理：

(1) 可信終端

可信終端是指經過系統軟硬件認證通過、被系統允許接入到系統的終端設備。網絡安全架構中的終端具有一個最高安全等級和一個當前安全等級，最高安全等級表示可以使用該終端的用戶的最高安全等級，當前安全等級表示當前使用該終端用戶的安全等級。

(2) 多級安全服務器

多級安全服務器上需要部署具有強制訪問控制能力的操作系統，該操作系統能夠為不同安全等級的用戶提供訪問控制功能。該操作系統必須具備很高的可信性，一般而言要具備TCSEC標準下B1以上的評級。

(3) 單安全等級服務器和訪問控制網關

單安全等級服務器本身并不能為多個安全等級的用戶提供訪問，但結合訪問控制網關就可以為多安全等級用戶提供訪問服務。對于本網的用戶，訪問控制網關旁路許可訪問，而對于外網的用戶則必須經過訪問控制網關的裁決。訪問控制網關的作用主要是識別用戶安全等級，控制用戶和服務器之間的信息流。科技論文。如果用戶的安全等級高于單級服務器安全等級，則只允許信息從服務器流向用戶；如果用戶的安全等級等于服務器安全等級，則允許用戶和服務器間信息的雙向流動；如果用戶的安全等級低于服務器安全等級，則只允許信息從用戶流向服務器。

(4) VPN網關

VPN網關主要用來保護跨網傳輸數據的保密安全，用來抵御來自外部的攻擊。VPN網關還被用來擴展網絡。應用外接硬件加密設備連接網絡的方式，如果有n個網絡相互連接，那么就必須使用n×(n-1)個硬件加密設備，而每增加一個網絡，就需要增加2n個設備，這對于網絡的擴展很不利。引入VPN網關后，n個網絡只需要n個VPN網關，每增加一個網絡，也只需要增加一個VPN網關。

4　結語在網絡技術十分發達的今天，任何一臺計算機都不可能孤立于網絡之外，因此對于網絡中的信息的安全防范就顯得十分重要。針對現在網絡規模越來越大的今天，網絡由于信息傳輸應用范圍的不斷擴大，其信息安全性日益凸顯，本論文正是在這樣的背景下，重點對網絡的信息安全管理系統展開了分析討論，相信通過不斷發展的網絡硬件安全技術和軟件加密技術，再加上政府對信息安全的重視，計算機網絡的信息安全是完全可以實現的。

參考文獻：

[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.

[2] 黃國言.WEB方式下基于SNMP的網絡管理軟件的設計和實現[J].計算機應用與軟件,2003,20(9):92-94.

[3] 李木金,王光興.一種被用于網絡管理的性能分析模型和實現[J].軟件學報,2000,22(12): 251-255.

篇5

[論文摘要] 本文分析了電子商務首要的安全要素，以及將面臨的一系列安全問題,并從網絡平臺和數據傳輸兩個方面完整地介紹了一些相關的安全技術,通過它們來消除電子商務活動中的安全隱患。

一、引言

隨著信息技術和計算機網絡的迅猛發展， 基于Internet 的電子商務也隨之而生，并在近年來獲得了巨大的發展。電子商務作為一種全新的商業應用形式，改變了傳統商務的運作模式，極大地提高了商務效率，降低了交易的成本。然而，由于互聯網開放性的特點，安全問題也自始至終制約著電子商務的發展。因此，建立一個安全可靠的電子商務應用環境，已經成為影響到電子商務發展的關鍵性課題。

二、電子商務面臨的安全問題

1.信息泄漏。在電子商務中主要表現為商業機密的泄露，包括兩個方面:一是交易雙方進行交易的內容被第三方竊取；二是交易一方提供給另一方使用的文件被第三方非法使用。

2.信息被篡改。電子的交易信息在網絡上傳輸的過程中，可能被他人非法修改、刪除或被多次使用，這樣就使信息失去了真實性和完整性。

3.身份識別。身份識別在電子商務中涉及兩個方面的問題：一是如果不進行身份識別，第三方就有可能假冒交易一方的身份，破壞交易、敗壞被假冒一方的信譽或盜取交易成果；二是不可抵賴性，交易雙方對自己的行為應負有一定的責任，信息發送者和接受者都不能對此予以否認。進行身份識別就是防止電子商務活動中的假冒行為和交易被否認的行為。

4.信息破壞。一是網絡傳輸的可靠性，網絡的硬件或軟件可能會出現問題而導致交易信息丟失與謬誤；二是惡意破壞，計算機網絡本身遭到一些惡意程序的破壞，例如病毒破壞、黑客入侵等。

三、電子商務的安全要素

1.有效性。電子商務作為貿易的一種形式，其信息的有效性將直接關系到個人、企業或國家的經濟利益和聲譽。因此，要對一切潛在的威脅加以控制和預防，以保證貿易數據在確定的時刻和地點是有效的。

2.機密性。電子商務是建立在一個較為開放的網絡環境上的，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。解決數據機密性的一般方法是采用加密手段。

3.完整性。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方的差異。此外，數據傳輸過程中的丟失、重復或傳送的次序差異也會導致貿易各方的不同。因此，要預防對隨意生成、修改和刪除，同時要防止數據傳送過程中的丟失和重復并保證傳送次序的統一。

4.不可抵賴性。電子商務可能直接關系到貿易雙方的商業交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在交易進行時，交易各方必須附帶含有自身特征、無法由別人復制的信息，以保證交易后發生糾紛時有所對證。

四、電子商務采用的主要安全技術手段

1.防火墻技術。防火墻就是在網絡邊界上建立相應的網絡通信監控系統，用來保障計算機網絡的安全，它是一種控制技術，既可以是一種軟件產品，又可以制作或嵌入到某種硬件產品中。所有來自Internet 的傳輸信息或發出的信息都必須經過防火墻。這樣，防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。實現防火墻技術的主要途徑有：分組過濾和服務。分組過濾：這是一種基于路由器的防火墻。它是在網間的路由器中按網絡安全策略設置一張訪問表或黑名單，即借助數據分組中的IP地址確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過。防火墻的職責就是根據訪問表（或黑名單）對進出路由器的分組進行檢查和過濾。這種防火墻簡單易行，但不能完全有效地防范非法攻擊。目前，80%的防火墻都是采用這種技術。服務：是一種基于服務的防火墻，它的安全性高，增加了身份認證與審計跟蹤功能，但速度較慢。所謂審計跟蹤是對網絡系統資源的使用情況提供一個完備的記錄，以便對網絡進行完全監督和控制。通過不斷收集與積累有關出入網絡的完全事件記錄，并有選擇地對其中的一些進行審計跟蹤，發現可能的非法行為并提供有力的證據，然后以秘密的方式向網上的防火墻發出有關信息如黑名單等。防火墻雖然能對外部網絡的功擊實施有效的防護，但對網絡內部信息傳輸的安全卻無能為力，實現電子商務的安全還需要一些保障動態安全的技術。

2.數據加密技術。在電子商務中，數據加密技術是其他安全技術的基礎，也是最主要的安全措施，貿易方可根據需要在信息交換的階段使用。目前，加密技術分為兩類，即對稱加密和非對稱加密。

(1)對稱加密。對稱加密又稱為私鑰加密。發送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。使用對稱加密方法將簡化加密的處理，每個貿易方都不必彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。比較著名的對稱加密算法是：美國國家標準局提出的DES(DataEncryption Standard，數據加密標準)。對稱加密方式存在的一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享同一把專用密鑰，貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。

(2)非對稱加密。非對稱加密又稱為公鑰加密。公鑰加密法是在對數據加解密時，使用不同的密鑰，通信雙方各具有兩把密鑰，即一把公鑰和一把密鑰。公鑰對外界公開，私鑰自己保管，用公鑰加密的信息，只能用對應的私鑰解密。同樣地，用私鑰加密的數據只能用對應的公鑰解密。RSA(即Rivest，ShamirAdleman)算法是非對稱加密領域內最為著名的算法。貿易方利用該方案實現機密信息交換的基本過程是：貿易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開，得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密后再發送給貿易方甲；貿易方甲再用自己保存的另一把私有密鑰對加密后的信息進行解密。貿易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息。為了充分發揮對稱和非對稱加密體制各自的優點，在實際應用中通常將這兩種加密體制結合在一起使用，比如：利用DES來加密信息，而采用RSA來傳遞對稱加密體制中的密鑰。

3.數字簽名技術。僅有加密技術還不足以保證商務信息傳遞的安全，在確保信息完整性方面，數字簽名技術占據著不可替代的位置。目前數字簽名的應用主要有數字摘要、數字簽名和數字時間戳技術。

(1)數字摘要。數字摘要是對一條原始信息進行單向哈希（Hash）函數變換運算得到的一個長度一定的摘要信息。該摘要與原始信息一一對應，即不同的原始信息必然得到一個不同的摘要。若信息的完整性遭到破壞，信息就無法通過原始摘要信息的驗證，成為無效信息，信息接收者便可以選擇不再信任該信息。

(2)數字簽名。數字簽名實際上是運用公私鑰加密技術使信息具有不可抵賴性，其具體過程為：文件的發送方從文件中生成一個數字摘要，用自己的私鑰對這個數字摘要進行加密，從而形成數字簽名。這個被加密的數字簽名文件作為附件和原始文件一起發送給接收者。接收方收到信息后就用發送方的公開密鑰對摘要進行解密，如果解出了正確的摘要，即該摘要可以確認原始文件沒有被更改過。那么說明這個信息確實為發送者發出的。于是實現了對原始文件的鑒別和不可抵賴性。

(3)數字時間戳。數字時間戳技術或DTS 是對數字文件或交易信息進行日期簽署的一項第三方服務。本質上數字時間戳技術與數字簽名技術如出一轍。加蓋數字時間戳后的信息不能進行偽造、篡改和抵賴，并為信息提供了可靠的時間信息以備查用。

五、小結

本文分析了目前電子商務領域所使用的安全技術：防火墻技術，數據加密技術，數字簽名技術，以及安全協議，指出了它們使用范圍及其優缺點。但必須強調說明的是，電子商務的安全運行，僅從技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

參考文獻:

[1]謝紅燕:電子商務的安全問題及對策研究[J]．哈爾濱商業大學學報(自然科學版),2007,(3):350-358

[2]彭禹皓蘭波曉玲:電子商務的安全性探討[J]．集團經濟研究,2007,(232): 216- 217

篇6

論文摘 要：隨著電子商務時代的到來，電子商務安全問題越來越受到關注。特別是近年來的威脅網絡安全事件成出不窮，成為阻礙電子商務發展的一個大問題。對電子商務安全面臨的的威脅進行研究分析，提出電子商務安全策略的總體原則及使用的主要技術。

電子商務安全策略是對企業的核心資產進行全面系統的保護，不斷的更新企業系統的安全防護，找出企業系統的潛在威脅和漏洞，識別，控制，消除存在安全風險的活動。電子商務安全是相對的，不是絕對的，不能認為存在永遠不被攻破的系統，當然無論是何種模式的電子商務網站都要考慮到為了系統安全所要付出的代價和消耗的成本。作為一個安全系統的使用者，必須應該綜合考慮各方因素合理使用電子商務安全策略技術，作為系統的研發設計者，也必須在設計的同時考慮到成本與代價的因素。在這個網絡攻防此消彼長的時代，更應該根據安全問題的不斷出現來檢查，評估和調整相應的安全策略，采用適合當前的技術手段，來達到提升整體安全的目的。電子商務所帶來的巨大商機背后同樣隱藏著日益嚴重的電子商務安全問題，不僅為企業機構帶來了巨大的經濟損失，更使社會經濟的安全受到威脅。

1 電子商務面臨的安全威脅

在電子商務運作的大環境中，時時刻刻面臨著安全威脅，這不僅僅設計技術問題，更重要的是管理上的漏洞，而且與人們的行為模式有著密不可分的聯系。電子商務面臨的安全威脅可以分為以下幾類：

1.1 信息內容被截取竊取

這一類的威脅發生主要由于信息傳遞過程中加密措施或安全級別不夠，或者通過對互聯網，電話網中信息流量和流向等參數的分析來竊取有用信息。

1.2 中途篡改信息

主要破壞信息的完整性，通過更改、刪除、插入等手段對網絡傳輸的信息進行中途篡改，并將篡改后的虛假信息發往接受端。

1.3 身份假冒

建立與銷售者服務器名稱相似的假冒服務器、冒充銷售者、建立虛假訂單進行交易。

1.4 交易抵賴

比如商家對賣出的商品因價格原因不承認原有交易，購買者因簽訂了訂單卻事后否認。

1.5同行業者惡意競爭

同行業者利用購買者名義進行商品交易，暗中了解買賣流程、庫存狀況、物流狀況。

1.6 電子商務系統安全性被破壞

不法分子利用非法手段進入系統，改變用戶信息、銷毀訂單信息、生成虛假信息等。

2 電子商務安全策略原則

電子商務安全策略是在現有情況，實現投入的成本與效率之間的平衡，減少電子商務安全所面臨的威脅。據電子商務網絡環境的不同，采用不同的安全技術來制定安全策略。在制定安全策略時應遵循以下總體原則：

2.1 共存原則

是指影響網絡安全的問題是與整個網絡的運作生命周期同時存在，所以在設計安全體系結構時應考慮與網絡安全需求一致。如果不在網站設計開始階段考慮安全對策，等網站建設好后在修改會耗費更大的人力物力。

2.2 靈活性原則

安全策略要能隨著網絡性能及安全威脅的變化而變化，要及時的適應系統和修改。

2.3 風險與代價相互平衡的分析原則

任何一個網絡，很難達到絕對沒有安全威脅。對一個網絡要進行實際分析，并且對網絡面臨的威脅以及可能遇到的風險要進行定量與定性的綜合分析，制定規范的措施，并確定本系統的安全范疇，使花費在網絡安全的成本與在安全保護下的信息的價值平衡。

2.4 易使用性原則

安全策略的實施由人工完成，如果實施過程過于復雜，對于人的要求過高，對本身的安全性也是一種降低。

2.5 綜合性原則

一個好的安全策略在設計時往往采用是多種方法綜合應用的結果，以系統工程的觀點，方法分析網絡安全問題，才可能獲得有效可行的措施。

2.6 多層保護原則

任何單一的安全保護措施都不是能獨當一面，絕對安全的，應該建立一個多層的互補系統，那么當一層被攻破時，其它保護層仍然可以安全的保護信息。 轉貼于

3 電子商務安全策略主要技術

3.1 防火墻技術

防火墻技術是一種保護本地網絡，并對外部網絡攻擊進行抵制的重要網絡安全技術之一，是提供信息安全服務，實現網絡信息安全的基礎設施。總體可以分為：數據包過濾型防火墻、應用級網關型防火墻、服務型防火墻等幾類。防火墻具有5種基本功能：

（1）抵擋外部攻擊；

（2）防止信息泄露；

（3）控制管理網絡存取和訪問；

（4）VPN虛擬專用網功能；

（5）自身抗攻擊能力。

防火墻的安全策略有兩種情形：

（1）違背允許的訪問服務都是被禁止的；

（2）未被禁止的訪問服務都是被允許的。

多數防火墻是在兩者之間采取折中策略，在安全的情況之下提高訪問效率。

3.2 加密技術

加密技術是對傳輸的信息以某種方法進行偽裝并隱藏其內容，而達到不被第三方所獲取其真實內容的一種方法。在電子商務過程中，采用加密技術將信息隱藏起來，再將隱藏的信息傳輸出去，這樣即使信息在傳輸的過程中被竊取，非法截獲者也無法了解信息內容，進而保證了信息在交換過程中安全性、真實性、能夠有效的為安全策略提供幫助。

3.3 數字簽名技術

是指在對文件進行加密的基礎上，為了防止有人對傳輸過程中的文件進行更改破壞以及確定發信人的身份所采取的手段。在電子商務安全中占有特別重要的地位，能夠解決貿易過程中的身份認證、內容完整性、不可抵賴等問題。數字簽名過程：發送方首先將原文通過Hash算法生成摘要，并用發送者的私鑰進行加密生成數字簽名發送給接受方，接收方用發送者的公鑰進行解密，得到發送方的報文摘要，最后接收方將收到的原文用Hash算法生成其摘要，與發送方的摘要進行比對。

3.4 數字證書技術

數字證書是網絡用戶身份信息的一系列數據，由第三方公正機構頒發，以數字證書為依據的信息加密技術可以確保網上傳輸信息的的保密性、完整性和交易的真實性、不可否認性，為電子商務的安全提供保障。標準的數字證書包含：版本號，簽名算法，序列號，頒發者姓名，有效日期，主體公鑰信息，頒發者唯一標識符，主體唯一標示符等內容。一個合理的安全策略離不開數字證書的支持。

3.5 安全協議技術

安全協議能夠為交易過程中的信息傳輸提供強而有力的保障。目前通用的為電子商務安全策略提供的協議主要有電子商務支付安全協議、通信安全協議、郵件安全協議三類。用于電子商務的主要安全協議包括：通訊安全的SSL協議（Secure Socket Layer），信用卡安全的SET協議（Secure Electronic Transaction），商業貿易安全的超文本傳輸協議（S-HTTP），InternetEDI電子數據交換協議以及電子郵件安全協議S/MIME和PEM等。

4 結論

在電子商務飛速發展的過程中，電子商務安全所占的比重越發重要。研究電子商務安全策略，意在于減少由電子商務安全威脅帶給人們電子商務交易上的疑慮，以推動電子商務前進的步伐。解除這種疑慮的方法，依賴著安全策略原則的制定和主要技術的不斷開發與完善。

參考文獻

［1］田沛. 淺談電子商務安全發展戰略［J］. 知識經濟， 2010， （2）.

［2］如先姑力阿布都熱西提. 計算機網絡安全對策的研究［J］. 科技信息（學術研究）， 2008， （10）.

［3］陳偉. 電子商務安全策略初探［J］.才智， 2009，（11）.

篇7

論文摘要:重點分析了VPN的實現技術。

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡的安全性、保密性、可靠穩定性，對于企業和一些跨區域專門從事特定業務的部門，從經濟實用性、網絡安全性、數據傳輸可靠性上來，看VPN技術無疑是一種不錯的選擇。下面就VPN技術的實現做一下粗淺的分析:

1 VPN簡介

虛擬專用網(VirtuaIPrivateNetwork， VPN)是一種“基于公共數據網，給用戶一種直接連接到私人局域網感覺的服務”。VPN極大地降低了用戶的費用，而且提供了比傳統方法更強的安全性和可靠性。

VPN可分為三大類:(1)企業各部門與遠程分支之間的In-tranet VPN;(2)企業網與遠程(移動)雇員之間的遠程訪問(Re-mote Access)VPN;(3)企業與合作伙伴、客戶、供應商之間的Extranet VPNo

在ExtranetVPN中，企業要與不同的客戶及供應商建立聯系，VPN解決方案也會不同。因此，企業的VPN產品應該能夠同其他廠家的產品進行互操作。這就要求所選擇的VPN方案應該是基于工業標準和協議的。這些協議有IPSec、點到點隧道協議(PointtoPoint Tunneling Protocol，PPTP)、第二層隧道協議(layer2 Tunneling Protocol，I，2TP)等。

2 VPN的實現技術

VPN實現的兩個關鍵技術是隧道技術和加密技術，同時QoS技術對VPN的實現也至關重要。

2.1 VPN訪問點模型

首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。

2.2隧道技術

隧道技術簡單的說就是:原始報文在A地進行封裝，到達B地后把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generi-cRoutingEncapsulation， GRE )I，2TP和PPTPo

(1)GRE

GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過隧道的報文用一個新的報文頭(GRE報文頭)進行封裝然后帶著隧道終點地址放人隧道中。當報文到達隧道終點時，GRE報文頭被剝掉，繼續原始報文的目標地址進行尋址。GRE隧道通常是點到點的，即隧道只有一個源地址和一個終地址。然而也有一些實現允許一點到多點，即一個源地址對多個終地址。這時候就要和下一條路由協議(Next-HopRoutingProtocol ， NHRP)結合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來建立VPN有很大的吸引力。從體系結構的觀點來看，VPN就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接，配置成一個或多個隧道。在GRE隧道技術中人口地址用的是普通主機網絡的地址空間，而在隧道中流動的原始報文用的是VPN的地址空間，這樣反過來就要求隧道的終點應該配置成VPN與普通主機網絡之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網絡的路由信息中隔離出來，多個VPN可以重復利用同一個地址空間而沒有沖突，這使得VPN從主機網絡中獨立出來。從而滿足了VPN的關鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數量眾多的協議族，減少實現VPN功能函數的數量。還有，對許多VPN所支持的體系結構來說，用同一種格式來支持多種協議同時又保留協議的功能，這是非常重要的。IP路由過濾的主機網絡不能提供這種服務，而只有隧道技術才能把VPN私有協議從主機網絡中隔離開來。基于隧道技術的VPN實現的另一特點是對主機網絡環境和VPN路由環境進行隔離。對VPN而言主機網絡可看成點到點的電路集合，VPN能夠用其路由協議穿過符合VPN管理要求的虛擬網。同樣，主機網絡用符合網絡要求的路由設計方案，而不必受VPN用戶網絡的路由協議限制。

雖然GRE隧道技術有很多優點，但用其技術作為VPN機制也有缺點，例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的，所以配置和維護隧道所需的費用和隧道的數量是直接相關的—每次隧道的終點改變，隧道要重新配置。隧道也可自動配置，但有缺點，如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路，會極大惡化路由的效率。除此之外，通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進人隧道前的)進行的話，就會影響路由發送速率的能力及服務性能。

GRE隧道技術是用在路由器中的，可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠程訪問VPN中，多數用戶是采用撥號上網。這時可以通過L2TP和PPTP來加以解決。

(2)L2TP和PPTP

L2TP是L2F( Layer2Forwarding)和PPT’I〕的結合。但是由于PC機的桌面操作系統包含著PPTP，因此PPT’I〕仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主動’，隧道，后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的，而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。L2TP作為“強制”隧道模型是讓撥號用戶與網絡中的另一點建立連接的重要機制。建立過程如下:

a.用戶通過Modem與NAS建立連接;b.用戶通過NAS的L2TP接入服務器身份認證;;c.在政策配置文件或NAS與政策服務器進行協商的基礎上，NAS和L2TP接入服務器動態地建立一條L2TP隧道;d.用戶與L2TP接入服務器之間建立一條點到點協議(PointtoPointProtocol， PPP)訪問服務隧道;e.用戶通過該隧道獲得VPN服務。

與之相反的是，PPTP作為“主動”隧道模型允許終端系統進行配置，與任意位置的PPTP服務器建立一條不連續的、點到點的隧道。并且，PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網絡服務。PPTP建立過程如下:a.用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網絡服務;b.用戶通過路由信息定位PPTP接入服務器;c.用戶形成一個PPTP虛擬接口;d.用戶通過該接口與PPTP接入服務器協商、認證建立一條PPP訪問服務隧道;e.用戶通過該隧道獲得VPN服務。

在L2TP中，用戶感覺不到NAS的存在，仿佛與PPTP接入服務器直接建立連接。而在PPTP中，PPTP隧道對NAS是透明的;NAS不需要知道PPTP接入服務器的存在，只是簡單地把PPTP流量作為普通IP流量處理。

采用L2TP還是PPTP實現VPN取決于要把控制權放在NAS還是用戶手中。硯TP比PPTP更安全，因為硯TP接入服務器能夠確定用戶從哪里來的。硯TP主要用于比較集中的、固定的VPN用戶，而PPTP比較適合移動的用戶。

2.3加密技術

數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能了解被保護信息的內容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4雖然強度比較弱，但是保護免于非專業人士的攻擊已經足夠了;DES和三次DES強度比較高，可用于敏感的商業信息。

加密技術可以在協議棧的任意層進行;可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密只在路由器中進行，而終端與第一條路由之間不加密。這種方法不太安全，因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統的標準;而“隧道模式”方案，VPN安全粒度只達到子網標準。在鏈路層中，目前還沒有統一的加密標準，因此所有鏈路層加密方案基本上是生產廠家自己設計的，需要特別的加密硬件。

2.4 QoS技術

篇8

關鍵詞：數字簽名；加密技術；數字證書；電子文檔；安全問題

Abstract:Today’sapprovalofnewdrugsintheinternationalcommunityneedstocarryouttherawdatatransmission.Thetraditionalwayofexaminationandapprovalredtapeandinefficiency,andtheuseoftheInternettotransmitelectronictextcankeepdatasafeandreliable,butalsogreatlysavemanpower,materialandfinancialresources,andsoon.Inthispaper,encryptionanddigitalsignaturealgorithmofthebasicprinciples,combinedwithhisownideas,givenmedicalapprovalintheelectronictransmissionofthetextofthesecuritysolution.

Keywords:digitalsignature;encryptiontechnology;digitalcertificate;electronicdocuments;securityissues

1引言

隨著我國醫藥事業的發展，研制新藥，搶占國內市場已越演越烈。以前一些醫藥都是靠進口，不僅成本高，而且容易形成壁壘。目前，我國的醫藥研究人員經過不懈的努力，開始研制出同類同效的藥物，然而這些藥物在走向市場前，必須經過國際權威醫療機構的審批，傳統方式是藥物分析的原始數據都是采用紙張方式，不僅數量多的嚇人，而且一旦有一點差錯就需從頭做起，浪費大量的人力、物力、財力。隨著INTERNET的發展和普及，人們開始考慮是否能用互聯網來解決數據傳輸問題。他們希望自己的儀器所做的結果能通過網絡安全傳輸、并得到接收方認證。目前國外針對這一情況已⒘四承┤砑歡捎詡鄹癜汗螅際醪皇嗆艸墑歟勾τ諮櫓そ錐危媸被嶸兜腦潁諍萇偈褂謾U餼透諞揭┭蟹⑹亂敵緯閃思際跗烤保綰慰⒊鍪視櫚南嚶θ砑創俳夜揭┥笈ぷ韉姆⒄咕統閃斯詰那把亓煊潁胰漲骯謖夥矯嫻難芯坎皇嗆芏唷?lt;/DIV>

本文闡述的思想：基本上是參考國際國內現有的算法和體制及一些相關的應用實例，并結合個人的思想提出了一套基于公鑰密碼體制和對稱加密技術的解決方案，以確保醫藥審批中電子文本安全傳輸和防止竄改，不可否認等。

2算法設計

2.1AES算法的介紹[1]

高級加密標準（AdvancedEncryptionStandard）美國國家技術標準委員會(NIST)在2000年10月選定了比利時的研究成果"Rijndael"作為AES的基礎。"Rijndael"是經過三年漫長的過程，最終從進入候選的五種方案中挑選出來的。

AES內部有更簡潔精確的數學算法,而加密數據只需一次通過。AES被設計成高速，堅固的安全性能，而且能夠支持各種小型設備。

AES和DES的性能比較：

（1）DES算法的56位密鑰長度太短；

（2）S盒中可能有不安全的因素；

（3）AES算法設計簡單，密鑰安裝快、需要的內存空間少，在所有平臺上運行良好，支持并行處理，還可抵抗所有已知攻擊；

（4）AES很可能取代DES成為新的國際加密標準。

總之，AES比DES支持更長的密鑰，比DES具有更強的安全性和更高的效率，比較一下，AES的128bit密鑰比DES的56bit密鑰強1021倍。隨著信息安全技術的發展，已經發現DES很多不足之處，對DES的破解方法也日趨有效。AES會代替DES成為21世紀流行的對稱加密算法。

2.2橢圓曲線算法簡介[2]

2.2.1橢圓曲線定義及加密原理[2]

所謂橢圓曲線指的是由韋爾斯特拉斯（Weierstrass）方程y2+a1xy+a3y＝x3+a2x2+a4x+a6(1)所確定的平面曲線。若F是一個域，ai∈F,i=1,2,…,6。滿足式1的數偶(x,y)稱為F域上的橢圓曲線E的點。F域可以式有理數域，還可以式有限域GF(Pr)。橢圓曲線通常用E表示。除了曲線E的所有點外，尚需加上一個叫做無窮遠點的特殊O。

在橢圓曲線加密（ECC）中，利用了某種特殊形式的橢圓曲線，即定義在有限域上的橢圓曲線。其方程如下：

y2=x3+ax+b(modp)(2)

這里p是素數，a和b為兩個小于p的非負整數，它們滿足：

4a3+27b2(modp)≠0其中，x,y,a,b∈Fp,則滿足式（2）的點（x,y）和一個無窮點O就組成了橢圓曲線E。

橢圓曲線離散對數問題ECDLP定義如下：給定素數p和橢圓曲線E，對Q=kP,在已知P,Q的情況下求出小于p的正整數k。可以證明，已知k和P計算Q比較容易，而由Q和P計算k則比較困難，至今沒有有效的方法來解決這個問題，這就是橢圓曲線加密算法原理之所在。

2.2.2橢圓曲線算法與RSA算法的比較

橢圓曲線公鑰系統是代替RSA的強有力的競爭者。橢圓曲線加密方法與RSA方法相比，有以下的優點：

（1）安全性能更高如160位ECC與1024位RSA、DSA有相同的安全強度。

（2）計算量小，處理速度快在私鑰的處理速度上（解密和簽名），ECC遠比RSA、DSA快得多。

（3）存儲空間占用小ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多，所以占用的存儲空間小得多。

（4）帶寬要求低使得ECC具有廣泛得應用前景。

ECC的這些特點使它必將取代RSA，成為通用的公鑰加密算法。比如SET協議的制定者已把它作為下一代SET協議中缺省的公鑰密碼算法。

2.3安全散列函數（SHA）介紹

安全散列算法SHA(SecureHashAlgorithm，SHA)[1]是美國國家標準和技術局的國家標準FIPSPUB180-1，一般稱為SHA-1。其對長度不超過264二進制位的消息產生160位的消息摘要輸出。

SHA是一種數據加密算法，該算法經過加密專家多年來的發展和改進已日益完善，現在已成為公認的最安全的散列算法之一，并被廣泛使用。該算法的思想是接收一段明文，然后以一種不可逆的方式將它轉換成一段（通常更小）密文，也可以簡單的理解為取一串輸入碼（稱為預映射或信息），并把它們轉化為長度較短、位數固定的輸出序列即散列值（也稱為信息摘要或信息認證代碼）的過程。散列函數值可以說時對明文的一種“指紋”或是“摘要”所以對散列值的數字簽名就可以視為對此明文的數字簽名。

3數字簽名

“數字簽名”用來保證信息傳輸過程中信息的完整和提供信息發送者的身份認證和不可抵賴性。數字簽名技術的實現基礎是公開密鑰加密技術，是用某人的私鑰加密的消息摘要用于確認消息的來源和內容。公鑰算法的執行速度一般比較慢，把Hash函數和公鑰算法結合起來，所以在數字簽名時，首先用hash函數（消息摘要函數）將消息轉變為消息摘要，然后對這個摘

要簽名。目前比較流行的消息摘要算法是MD4,MD5算法，但是隨著計算能力和散列密碼分析的發展，這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。

4解決方案：

下面是醫藥審批系統中各個物理組成部分及其相互之間的邏輯關系圖：

要簽名。目前比較流行的消息摘要算法是MD4,MD5算法，但是隨著計算能力和散列密碼分析的發展，這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。

4解決方案：

下面是醫藥審批系統中各個物理組成部分及其相互之間的邏輯關系圖：

圖示：電子文本傳輸加密、簽名過程

下面是將醫藥審批過程中的電子文本安全傳輸的解決方案：

具體過程如下：

（1）發送方A將發送原文用SHA函數編碼，產生一段固定長度的數字摘要。

（2）發送方A用自己的私鑰（keyA私）對摘要加密，形成數字簽名，附在發送信息原文后面。

（3）發送方A產生通信密鑰（AES對稱密鑰），用它對帶有數字簽名的原文進行加密，傳送到接收方B。這里使用對稱加密算法AES的優勢是它的加解密的速度快。

（4）發送方A用接收方B的公鑰（keyB公）對自己的通信密鑰進行加密后，傳到接收方B。這一步利用了數字信封的作用，。

（5）接收方B收到加密后的通信密鑰，用自己的私鑰對其解密，得到發送方A的通信密鑰。

（6）接收方B用發送方A的通信密鑰對收到的經加密的簽名原文解密，得數字簽名和原文。

（7）接收方B用發送方A公鑰對數字簽名解密，得到摘要；同時將原文用SHA－1函數編碼，產生另一個摘要。

（8）接收方B將兩摘要比較，若一致說明信息沒有被破壞或篡改。否則丟棄該文檔。

這個過程滿足5個方面的安全性要求：（1）原文的完整性和簽名的快速性：利用單向散列函數SHA－1先將原文換算成摘要，相當原文的指紋特征，任何對原文的修改都可以被接收方B檢測出來，從而滿足了完整性的要求；再用發送方公鑰算法（ECC）的私鑰加密摘要形成簽名，這樣就克服了公鑰算法直接加密原文速度慢的缺點。（2）加解密的快速性：用對稱加密算法AES加密原文和數字簽名，充分利用了它的這一優點。（3）更高的安全性：第四步中利用數字信封的原理，用接收方B的公鑰加密發送方A的對稱密鑰，這樣就解決了對稱密鑰傳輸困難的不足。這種技術的安全性相當高。結合對稱加密技術(AES)和公開密鑰技術(ECC)的優點，使用兩個層次的加密來獲得公開密鑰技術的靈活性和對稱密鑰技術的高效性。（4）保密性：第五步中，發送方A的對稱密鑰是用接收方B的公鑰加密并傳給自己的，由于沒有別人知道B的私鑰，所以只有B能夠對這份加密文件解密，從而又滿足保密性要求。（5）認證性和抗否認性：在最后三步中，接收方B用發送方A的公鑰解密數字簽名，同時就認證了該簽名的文檔是發送A傳遞過來的；由于沒有別人擁有發送方A的私鑰，只有發送方A能夠生成可以用自己的公鑰解密的簽名，所以發送方A不能否認曾經對該文檔進進行過簽名。

5方案評價與結論

為了解決傳統的新藥審批中的繁瑣程序及其必有的缺點，本文提出利用基于公鑰算法的數字簽名對文檔進行電子簽名，從而大大增強了文檔在不安全網絡環境下傳遞的安全性。

本方案在選擇加密和數字簽名算法上都是經過精心的比較，并且結合現有的相關應用實例情況，提出醫藥審批過程的解決方案，其優越性是：將對稱密鑰AES算法的快速、低成本和非對稱密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結合在一起，從而提供了完整的安全服務，包括身份認證、保密性、完整性檢查、抗否認等。

參考文獻：

1．李永新.數字簽名技術的研究與探討。紹興文理學院學報。第23卷第7期2003年3月，P47~49.

2．康麗軍。數字簽名技術及應用，太原重型機械學院學報。第24卷第1期2003年3月P31~34.

3．胡炎，董名垂。用數字簽名解決電力系統敏感文檔簽名問題。電力系統自動化。第26卷第1期2002年1月P58～61。

4．LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.

5．WrightMA,workSecurity,1998(2)P10~13.

6.BruceSchneier.應用密碼學---協議、算法與C源程序（吳世終，祝世雄，張文政，等）.北京：機械工業出版社，2001。

7.賈晶，陳元，王麗娜，信息系統的安全與保密[M]，北京：清華大學出版社，1999

8．陳彥學.信息安全理論與實務【M】。北京：中國鐵道出版社，2000p167~178.

9．顧婷婷，《AES和橢圓曲線密碼算法的研究》。四川大學碩士學位論文，【館藏號】Y4625892002。

下面是將醫藥審批過程中的電子文本安全傳輸的解決方案：

具體過程如下：

（1）發送方A將發送原文用SHA函數編碼，產生一段固定長度的數字摘要。

（2）發送方A用自己的私鑰（keyA私）對摘要加密，形成數字簽名，附在發送信息原文后面。

（3）發送方A產生通信密鑰（AES對稱密鑰），用它對帶有數字簽名的原文進行加密，傳送到接收方B。這里使用對稱加密算法AES的優勢是它的加解密的速度快。

（4）發送方A用接收方B的公鑰（keyB公）對自己的通信密鑰進行加密后，傳到接收方B。這一步利用了數字信封的作用，。

（5）接收方B收到加密后的通信密鑰，用自己的私鑰對其解密，得到發送方A的通信密鑰。

（6）接收方B用發送方A的通信密鑰對收到的經加密的簽名原文解密，得數字簽名和原文。

（7）接收方B用發送方A公鑰對數字簽名解密，得到摘要；同時將原文用SHA－1函數編碼，產生另一個摘要。

（8）接收方B將兩摘要比較，若一致說明信息沒有被破壞或篡改。否則丟棄該文檔。

這個過程滿足5個方面的安全性要求：（1）原文的完整性和簽名的快速性：利用單向散列函數SHA－1先將原文換算成摘要，相當原文的指紋特征，任何對原文的修改都可以被接收方B檢測出來，從而滿足了完整性的要求；再用發送方公鑰算法（ECC）的私鑰加密摘要形成簽名，這樣就克服了公鑰算法直接加密原文速度慢的缺點。（2）加解密的快速性：用對稱加密算法AES加密原文和數字簽名，充分利用了它的這一優點。（3）更高的安全性：第四步中利用數字信封的原理，用接收方B的公鑰加密發送方A的對稱密鑰，這樣就解決了對稱密鑰傳輸困難的不足。這種技術的安全性相當高。結合對稱加密技術(AES)和公開密鑰技術(ECC)的優點，使用兩個層次的加密來獲得公開密鑰技術的靈活性和對稱密鑰技術的高效性。（4）保密性：第五步中，發送方A的對稱密鑰是用接收方B的公鑰加密并傳給自己的，由于沒有別人知道B的私鑰，所以只有B能夠對這份加密文件解密，從而又滿足保密性要求。（5）認證性和抗否認性：在最后三步中，接收方B用發送方A的公鑰解密數字簽名，同時就認證了該簽名的文檔是發送A傳遞過來的；由于沒有別人擁有發送方A的私鑰，只有發送方A能夠生成可以用自己的公鑰解密的簽名，所以發送方A不能否認曾經對該文檔進進行過簽名。

5方案評價與結論

為了解決傳統的新藥審批中的繁瑣程序及其必有的缺點，本文提出利用基于公鑰算法的數字簽名對文檔進行電子簽名，從而大大增強了文檔在不安全網絡環境下傳遞的安全性。

本方案在選擇加密和數字簽名算法上都是經過精心的比較，并且結合現有的相關應用實例情況，提出醫藥審批過程的解決方案，其優越性是：將對稱密鑰AES算法的快速、低成本和非對稱密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結合在一起，從而提供了完整的安全服務，包括身份認證、保密性、完整性檢查、抗否認等。

參考文獻：

1．李永新.數字簽名技術的研究與探討。紹興文理學院學報。第23卷第7期2003年3月，P47~49.

2．康麗軍。數字簽名技術及應用，太原重型機械學院學報。第24卷第1期2003年3月P31~34.

3．胡炎，董名垂。用數字簽名解決電力系統敏感文檔簽名問題。電力系統自動化。第26卷第1期2002年1月P58～61。

4．LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.

5．WrightMA,workSecurity,1998(2)P10~13.

6.BruceSchneier.應用密碼學---協議、算法與C源程序（吳世終，祝世雄，張文政，等）.北京：機械工業出版社，2001。

7.賈晶，陳元，王麗娜，信息系統的安全與保密[M]，北京：清華大學出版社，1999

篇9

關鍵詞:信息安全;密碼學;混沌加密;數字圖像;多混沌系統

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2009)36-10238-02

Research on Digital Image Encryption Algorithm Based on Multi-Chaos

LU Jing1,2, JIANG Li3

(1.School of Computer Science and Technology, Nanjing University of Science and Technology, Nanjing 210094, China; 2.Lianyungang Teacher's College, Lianyungang 222006, China; 3.The Department of Computer Science and Information Engineering, Shanghai Institute of Technology, Shanghai 200235, China)

Abstract: Based on the cryptology theory, we carry out an in-depth research on the chaotic encryption technology. a digital image encryption algorithm based on multistage chaotic is proposed. According to the characters of digital image, different chaotic models are used to generate diffusion and confusion matrixes. And then, digital image is encrypted with these matrixes.

Key words: information security; cryptology; chaotic encryption; digital image; multi-chaos

隨著計算機硬件的發展,計算機的運算速度不斷提高,對很多加密算法的抗破譯能力提出了挑戰。經研究證明原有的一些加密方法在現有技術條件下己經不具備足夠的安全性[1],因此繼續研究加密技術和設計新型有效的加密算法已經成為迫切的需要。一些新興的密碼技術如量子密碼技術、混沌密碼技術、基于生物特征的識別理論與技術相繼出現[2],這其中混沌現象以其獨特的動力學特征在現代密碼技術被廣泛應用。

1 混沌圖像加密算法設計

目前常用的一維混沌系統有Logistic系統、Rossler系統.、Tent系統、 lorenz系統等。在對一維混沌加密系統進行簡單的變換加密后,會轉化為一種平凡混沌加密系統,難以保障其安全性 [3-5]。

針對這種情況,本文提出一種基于多混沌的數字圖像加密算法,其基本思想是利用三個不同的混沌模型,在加密算法中實現不同的功能。第一個混沌模型經過多次迭代,產生置換矩陣,對原始圖像作置亂變換;第二個模型則決定各像素被修改的次序;第三個混沌模型迭代產生密鑰流,依照第二個模型決定的修改次序,對置換后圖像中各像素的值進行修改。

1.1 算法中用到的混沌模型

首先介紹算法中使用的三個混沌映射模型[6]。

1) 第一個混沌映射模型

該模型選用了混合光學雙穩模型,其迭代方程為:

Xn+1=ASin2(Xn-B)(1)

當A=6,B=3時,已知該模型處于混沌狀態。本論文的加密算法中,該模型用來產生置換矩陣,以便對輸入的明文進行初始置換。

2) 第二個混沌映射模型

該模型選用了分段線性混沌映射:

(2)

當0

3) 第三個混沌映射模型

該混沌映射模型采用了目前應用最為廣泛的Logistic映射:

Xn+1=μXn(1-Xn)(3)

該映射在3.5699456

1.2 圖像像素位置置亂算法

考慮一幅大小為M×N ,具有S 級灰度的圖像,設(i,j) 為像素P 所處的坐標,(i',j') 為經過置亂后,像素P 所處的坐標。其中1≤i≤M ,1≤j≤N ;1≤i'≤M ,1≤j'≤N 。圖像像素位置置亂算法即要求設計映射f ,使得:

映射f 同時應該滿足以下條件:?坌(i1,j1),(i2,j2) ,若(i1,j1)≠(i2,j2) ,則(i1',j1')≠(i2',j2') 。其中(i1,j1)=(i2,j2)表示i1=i2 并且j1=j2。這個條件表明,圖像像素置亂算法應該是一一映射的。本文利用混沌模型1,迭代產生圖像置亂算法。

1.3 圖像像素值替代算法

對一幅大小為M×N,具有S 級灰度的圖像,設rij 為經過置亂后坐標(i,j) 處的像素值,其中1≤i≤M ,1≤j≤N 。r'ij 為執行完替代操作后,坐標(i,j) 處的圖像像素值。圖像像素值替代算法即要求設計映射T ,使得:

本文利用混沌模型2和3,迭代產生圖像像素值替代算法。替代算法分為兩步,首先利用混沌模型2產生圖像像素的替代次序矩陣;然后利用混沌模型3生產密鑰流,按照替代次序矩陣對圖像的每一個像素加密。

2 多級混沌圖形加密算法的實現

2.1 加密算法的密鑰設計

本文提出的加密算法綜合使用了上述3種混沌模型,每一種混沌模型的初始值和參數(共7個)都可以作為密鑰。但是為了保證算法中采用的映射模型處于混沌狀態,定義混合光學雙穩模型中的參數A=6,B=3,定義Logistic映射中的參數μ=4,剩余的4個值作為算法的初始密鑰,由用戶輸入。所以初始密鑰K是一個4元組,包含4個子密鑰:

K=(X,P,Y,Z)。

其中:

X:模型(4-1)的初值,要求0

P:模型(4-2)的參數,要求0

Y:模型(4-2)的初值,要求0

Z:模型(4-3)的初值,要求0

2.2 加密算法的實現步驟

多級混沌加密算法的實現步驟描述如下:

1) 輸入密鑰K(X,P,Y,Z)。

2) 打開待加密的圖形。

3) 根據像像素位置置亂算法f ,對圖像進行置亂處理。

4) 根據圖像像素值替代算法T ,對圖像像素值進行替換操作。

5) 輸出加密后的圖形。

2.3 加密算法的原理圖

總體上講,上述加密算法由三個操作完成,分別是:擴展、置換和異或。其中擴展是將16位初始明文擴展為32位信息。置換是將擴展后的32位信息根據置換矩陣P進行置換,以達到“混亂”的目的;其中用到的置換矩陣由混沌模型(1)生成。異或是將置換后的結果與密鑰流Keyi(i=1,2,3,……)進行異或操作,生成最終的密文;其中密鑰流是通過混沌模型(2)和(3)的聯合作用產生的。

初始密鑰K包含4個子密鑰X,P,Y,Z,分別對應3個混沌模型的初始值與參數,加密時由用戶輸入。

算法的原理如圖1所示。

2.4 算法的實現細節討論

該多級混沌加密算法用C++語言設計,對算法的具體實現作如下討論:

2.4.1 算法中,對3個混沌模型的迭代分別得到不同的混沌序列

為了獲得更好的偽隨機性,可以舍棄初始若干次迭代所得的值,而選取第k次以后的迭代值。在本算法具體實現時,取k的值為20,即舍棄初始20次迭代的值,選取從第21次開始的迭代結果保存并使用。

2.4.2 圖像像素值替代算法T 中第5步,對密鑰和置亂后的圖形像素值進行了異或操作

對于具有S 級灰度的圖像,置亂后的圖形像素值是S 位的二進制代碼。為了使混沌系統產生的實數密鑰能夠和S 位像素值進行異或操作,以二進制代碼的形式讀取密鑰矩陣,并取其低S 位進行異或操作。實驗中,S 取值為8或者16。

2.5 解密過程

在解密過程中,密鑰X,P,Y,Z與加密時的密鑰完全一致。密鑰X仍然用于生成置換矩陣,密鑰P,Y,Z分別是另外2個混沌模型的初始值和參數,經過混沌迭代后,產生替換次序矩陣和密鑰矩陣,用于解密。密文圖形經過與密鑰矩陣的異或,再進行反向置換操作,可以正確地恢復成明文圖形。

3 結論

本文提出一種基于多混沌的數字圖像加密算法,利用三個不同的混沌模型對數字圖像進行多次置換、置亂,實現對數字圖像的加密。該加密算法具有實現簡單、加密速度快、安全性較高的特點。同時本算法是對稱加密算法,解密時根據初始密鑰進行加密過程的逆操作,就能夠實現正確的解密,恢復原始信息。

參考文獻:

[1] 楊波.現代密碼學[M].北京:清華大學出版社,2003.

[2] 龍冬陽.應用編碼與計算機密碼學[M].北京:清華大學出版社,2005.

[3] 高俊山.徐松源.基于混沌理論的加密過程的研究[J].自動化技術與應用,2001,(6):13-16.

[4] Yang T, Yang L B, Yang C M. Breaking chaotic switching using generalized synchronization Examples[J]. IEEE Trans. Circuits Syst.I,1998,45(10):1062.

[5] Yang T,Yang L B,Yang C M. Application of neural networks to unmasking chaotic secure communication[J].Phys D,1998,124:248.

[6] 姜麗.多級混沌加密算法的研究與應用[D].華東理工大學碩士學位論文,2003.

篇10

隨著信息技術在貿易和商業領域的廣泛應用，利用計算機技術、網絡通信技術和因特網實現商務活動的國際化、信息化和無紙化，已成為各國商務發展的一大趨勢。電子商務正是為了適應這種以全球為市場的的變化而出現的和發展起來的，它是當今社會發展最快的領域之一，同時也為全球的經濟發展帶來新的增長點。電子商務正在改變著人們的生活以及整個社會的發展進程，貿易網絡將引起人們對管理模式、工作和生活方式，乃至經營管理思維方式等等的綜合革新。對貿易和商業領域來說，電子商務的發展正在改變著傳統的貿易方式，縮減交易程序，提高辦事效率。現在，許多網站都提供有“商城”，供網民在網上購物。可以說，電子商務應用將越來越普及。然而，隨著Internet逐漸發展成為電子商務的最佳載體，互聯網具有充分開放，不設防護的特點使加強電子商務的安全問題日益緊迫，只有在全球范圍建立一套人們能充分信任的安全保障制度，確保信息的真實性、可靠性和保密性，才能夠打消人們的顧慮，放心的參與電子商務。否則，電子商務的發展將失去其支撐點。

要加強電子商務的安全，需要企業本身采取更為嚴格的管理措施，需要國家建立健全法律制度，更需要有科學的先進的安全技術。

在電子商務的交易中，經濟信息、資金都要通過網絡傳輸，交易雙方的身份也需要認證，因此，電子商務的安全性主要是網絡平臺的安全和交易信息的安全。而網絡平臺的安全是指網絡操作系統對抗網絡攻擊、病毒，使網絡系統連續穩定的運行。常用的保護措施有防火墻技術、網絡入侵檢測技術、網絡防毒技術。交易信息的安全是指保護交易雙方的不被破壞、不泄密，和交易雙方身份的確認。可以用數據加密、數字簽名、數字證書、ssl、set安全協議等技術來保護。

在這里我想重點談談防火墻技術和數據加密技術。

一、防火墻技術。

防火墻就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬件產品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:(1)過濾進、出網絡的數據;(2)管理進、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。

新一代的防火墻產品一般運用了以下技術：

(1)透明的訪問方式。

以前的防火墻在訪問方式上要么要求用戶做系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。而現在的防火墻利用了透明的系統技術,從而降低了系統登錄固有的安全風險和出錯概率。

(2)靈活的系統。

系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。采用兩種機制:一種用于從內部網絡到外部網絡的連接;另一種用于從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,后者采用非保密的用戶定制或保密的系統技術來解決。

(3)多級過濾技術。

為保證系統的安全性和防護水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透膽連接,并對服務的通行實行嚴格控制。

(4)網絡地址轉換技術。

防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。

(5)Internet網關技術。

由于是直接串聯在網絡之中,防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。在域名服務方面,新一代防火墻采用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部分DNS信息。在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。

(6)安全服務器網絡(SSN)。

為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,新一代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火墻保護,SSN與內部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。

(7)用戶鑒別與加密。

為了降低防火墻產品在Ielnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統來作為用戶的鑒別手段,并實現了對郵件的加密。

(8)用戶定制服務。

為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的,便可以利用這些支持,方便設置。

(9)審計和告警。

新一代防火墻產品采用的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。此外,防火墻還在網絡診斷、數據備份保全等方面具有特色。

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現，故也被稱為包過濾路由器。它在網絡層對進入和出去內部網絡的所有信息進行分析，一般檢查數據包的IP源地址、IP目標地址、TCP端口號、ICMP消息類型，并按照信息過濾規則進行篩選，若符合規則，則允許該數據包通過防火墻進入內部網，否則進行報警或通知管理員，并且丟棄該包。這樣一來，路由器能根據特定的劌則允許或拒絕流動的數據，如：Telnet服務器在TCP的23號端口監聽遠程連接，若管理員想阻塞所有進入的Telnet連接，過濾規則只需設為丟棄所有的TCP端口號為23的數據包。采用這種技術的防火墻速度快，實現方便，但由于它是通過IP地址來判斷數據包是否允許通過，沒有基于用戶的認證，而IP地址可以偽造成可信任的外部主機地址，另外它不能提供日志，這樣一來就無法發現黑客的攻擊紀錄。

其二是應用級防火墻。大多數的應用級防火墻產品使用的是應用機制，內置了應用程序，可用服務器作內部網和Internet之間的的轉換。若外部網的用戶要訪問內部網，它只能到達服務器，若符合條件，服務器會到內部網取出所需的信息，轉發出去。同樣道理，內部網要訪問Internet,也要通過服務器的轉接，這樣能監控內部用戶訪問Internet.這類防火墻能詳細記錄所有的訪問紀錄，但它不允許內部用戶直接訪問外部，會使速度變慢。且需要對每一個特定的Internet服務安裝相應的服務器軟件，用戶無法使用未被服務器支持的服務。

防火墻技術從其功能上來分，還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術被一起使用，以彌補各自的缺陷和增加系統的安全性能。

防火墻雖然能對外部網絡的功擊實施有效的防護，但對來自內部網絡的功擊卻無能為力。網絡安全單靠防火墻是不夠的，還需考慮其它技術和非技術的因素，如信息加密技術、制訂法規、提高網絡管理使用人員的安全意識等。就防火墻本身來看，包過濾技術和訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、“身份證”、安全內核等。但實踐證明，防火墻仍然是網絡安全中最成熟的一種技術。

二、數據加密技術

在電子商務中，信息加密技術是其它安全技術的基礎，加密技術是指通過使用代碼或密碼將某些重要信息和數據從一個可以理解的明文形式變換成一種復雜錯亂的、不可理解的密文形式（即加密），在線路上傳送或在數據庫中存儲，其他用戶再將密文還原成明文（即解密），從而保障信息數據的安全性。

數據加密的方法很多，常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制，1977年美國標準局正式頒布其為加密標準，這種方法使用簡單，加密解密速度快，適合于大量信息的加密。但存在幾個問題：第一，不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設每對交易方用不同的密鑰，N對交易方需要N*(N-1)/2個密鑰，難于管理。第三，不能鑒別數據的完整性。

非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數據加解密時，使用不同的密鑰，在通信雙方各具有兩把密鑰，一把公鑰和一把密鑰。公鑰對外界公開，私鑰自己保管，用公鑰加密的信息，只能用對應的私鑰解密，同樣地，用私鑰解密的數據只能用對應的公鑰解密。具體加密傳輸過程如下：

（1）發送方甲用接收方乙的公鑰加密自己的私鑰。

（2）發送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。

（3）接收方乙用自己的私鑰解密，得到甲的私鑰。

（4）接收方乙用甲的公鑰解密，得到明文。

這個過程包含了兩個加密解密過程：密鑰的加解密和文件本身的加解密。在密鑰的加密過程中，由于發送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無法解密。這就保證了信息的機密性。另外，發送方甲用自己的私鑰加密信息，因為信息是用甲的私鑰加密，只有甲保管它，可以認定信息是甲發出的，而且沒有甲的私鑰不能修改數據。可以保證信息的不可抵賴性。