前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的數(shù)據(jù)加密技術(shù)論文主題范文,僅供參考,歡迎閱讀并收藏。
網(wǎng)絡(luò)通信有一定的風(fēng)險(xiǎn)性,對(duì)數(shù)據(jù)加密技術(shù)的需求比較大,結(jié)合網(wǎng)絡(luò)通信的實(shí)踐應(yīng)用,通過(guò)例舉網(wǎng)絡(luò)通信中的風(fēng)險(xiǎn)表現(xiàn),分析其對(duì)數(shù)據(jù)加密技術(shù)的需求。網(wǎng)絡(luò)通信的安全風(fēng)險(xiǎn)有:①網(wǎng)絡(luò)通信的過(guò)程中,面臨著攻擊者的監(jiān)聽、竊取破壞,很容易丟失傳輸中的數(shù)據(jù)信息;②攻擊者隨意更改網(wǎng)絡(luò)通信中的信息,冒充管理者截取傳輸信息,導(dǎo)致網(wǎng)絡(luò)通信的數(shù)據(jù)丟失;③網(wǎng)絡(luò)通信中的數(shù)據(jù)信息被惡意復(fù)制,引起了系統(tǒng)癱瘓、信息不準(zhǔn)確的問(wèn)題。由此可見:網(wǎng)絡(luò)通信中,必須強(qiáng)化數(shù)據(jù)加密技術(shù)的應(yīng)用,采取數(shù)據(jù)加密技術(shù),保護(hù)網(wǎng)絡(luò)通信的整個(gè)過(guò)程,預(yù)防攻擊行為,提高網(wǎng)絡(luò)通信的安全水平,避免出現(xiàn)惡意攻擊的現(xiàn)象,保障網(wǎng)絡(luò)通信的安全性和積極性,表明數(shù)據(jù)加密技術(shù)的重要性,進(jìn)而完善網(wǎng)絡(luò)通信的環(huán)境。
2數(shù)據(jù)加密技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用
數(shù)據(jù)加密技術(shù)提升了網(wǎng)絡(luò)通信的安全性,規(guī)范了網(wǎng)絡(luò)通信的運(yùn)營(yíng)環(huán)境,規(guī)避了潛在的風(fēng)險(xiǎn)因素。網(wǎng)絡(luò)通信中的數(shù)據(jù)加密,主要分為方法和技術(shù)兩部分,對(duì)其做如下分析:
2.1網(wǎng)絡(luò)通信中的數(shù)據(jù)加密方法
2.1.1對(duì)稱加密
對(duì)稱加密方法在網(wǎng)絡(luò)通信中比較常用,利用相同的密鑰,完成通信數(shù)據(jù)加密到解密的過(guò)程,降低了數(shù)據(jù)加密的難度。對(duì)稱加密中,比較有代表性的方法是DES加密,屬于標(biāo)準(zhǔn)對(duì)稱加密的方法。例如:DES在網(wǎng)絡(luò)通信中的應(yīng)用,使用了固定的加密框架,DES通過(guò)密鑰,迭代子密鑰,將56bit密鑰分解成16組48bit,迭代的過(guò)程中進(jìn)行加密,而解密的過(guò)程與加密流程相似,使用的密鑰也完全相同,加密與解密密鑰的使用正好相反,根據(jù)網(wǎng)絡(luò)通信的數(shù)據(jù)類型,完成對(duì)稱加密。
2.1.2非對(duì)稱加密
非對(duì)稱加密方法的難度稍高,加密與解密的過(guò)程,采用了不同的密鑰,以公鑰、私鑰的方式,對(duì)網(wǎng)絡(luò)通信實(shí)行非對(duì)稱加密。公鑰和私鑰配對(duì)后,才能打開非對(duì)稱加密的網(wǎng)絡(luò)通信數(shù)據(jù),其私鑰由網(wǎng)絡(luò)通信的管理者保管,不能公開使用。非對(duì)稱加密方法在網(wǎng)絡(luò)通信中的應(yīng)用,解密時(shí)僅需要管理者主動(dòng)輸入密鑰的數(shù)據(jù)即可,操作方法非常簡(jiǎn)單,而且具有較高的安全水平,提高了加密解密的時(shí)間效率。
2.2網(wǎng)絡(luò)通信中的數(shù)據(jù)加密技術(shù)
2.2.1鏈路加密
網(wǎng)絡(luò)通信中的鏈路加密,實(shí)際是一種在線加密技術(shù),按照網(wǎng)絡(luò)通信的鏈路分配,提供可行的加密方法。網(wǎng)絡(luò)通信的數(shù)據(jù)信息在傳輸前,已經(jīng)進(jìn)入了加密的狀態(tài),鏈路節(jié)點(diǎn)先進(jìn)行解密,在下一鏈路環(huán)境中,重新進(jìn)入加密狀態(tài),整個(gè)網(wǎng)絡(luò)通信鏈路傳輸?shù)倪^(guò)程中,都是按照先解密在加密的方式進(jìn)行,鏈路上的數(shù)據(jù)信息,均處于密文保護(hù)狀態(tài),隱藏了數(shù)據(jù)信息的各項(xiàng)屬性,避免數(shù)據(jù)信息被攻擊竊取。
2.2.2節(jié)點(diǎn)加密
節(jié)點(diǎn)加密技術(shù)確保了網(wǎng)絡(luò)通信節(jié)點(diǎn)位置數(shù)據(jù)信息的安全性,通過(guò)節(jié)點(diǎn)處的數(shù)據(jù)信息,都不會(huì)是明文形式,均表現(xiàn)為密文,促使節(jié)點(diǎn)加密成為具有安全保護(hù)功能的模塊,安全的連接了網(wǎng)絡(luò)通信中的信息。加點(diǎn)加密技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用,依賴于密碼裝置,用于完成節(jié)點(diǎn)信息的加密、解密,但是此類應(yīng)用也存在一個(gè)明顯的缺陷,即:報(bào)頭、路由信息為明文方式,由此增加了節(jié)點(diǎn)加密的難度,很容易為攻擊者提供竊取條件,是節(jié)點(diǎn)加密技術(shù)應(yīng)用中需要重點(diǎn)考慮的問(wèn)題。
2.2.3端到端加密
網(wǎng)絡(luò)通信的端到端加密,是指出發(fā)點(diǎn)到接收點(diǎn),整個(gè)過(guò)程不能出現(xiàn)明文狀態(tài)的數(shù)據(jù)信息。端到端加密的過(guò)程中,不會(huì)出現(xiàn)解密行為,數(shù)據(jù)信息進(jìn)入到接收點(diǎn)后,接收人借助密鑰加密信息,提高網(wǎng)絡(luò)通信的安全性,即使網(wǎng)絡(luò)通信的節(jié)點(diǎn)發(fā)生安全破壞,也不會(huì)造成數(shù)據(jù)信息的攻擊丟失,起到優(yōu)質(zhì)的加密作用。端到端加密時(shí),應(yīng)該做好出發(fā)點(diǎn)、接收點(diǎn)位置的網(wǎng)絡(luò)通信加密,以便確保整個(gè)網(wǎng)絡(luò)通信過(guò)程的安全性。
3結(jié)束語(yǔ)
論文摘要:數(shù)據(jù)加密作為一項(xiàng)基本技術(shù),是所有網(wǎng)絡(luò)通信安全的基石。本文通過(guò)對(duì)數(shù)據(jù)加密技術(shù)原理的分析,探討了數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用方案。
隨著計(jì)算機(jī)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。與此同時(shí),由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性,再加上本身技術(shù)弱點(diǎn)和人為疏忽的存在,網(wǎng)絡(luò)安全也就成為當(dāng)今網(wǎng)絡(luò)社會(huì)的焦點(diǎn)中的焦點(diǎn),人們?cè)趶V泛的應(yīng)用網(wǎng)絡(luò)的同時(shí)更加關(guān)注私有數(shù)據(jù)的安全性。數(shù)據(jù)安全是指以為實(shí)現(xiàn)電子信息的保密性、完整性、可用性和可控性,建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護(hù)?,F(xiàn)代的電腦加密技術(shù)就是為適應(yīng)網(wǎng)絡(luò)安全的需要而應(yīng)運(yùn)產(chǎn)生的,是保證信息保密性的有效措施。
1、影響計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)安全的因素
1.1 網(wǎng)絡(luò)漏洞
目前的操作系統(tǒng)支持多用戶和多進(jìn)程,若干個(gè)不同的進(jìn)程可能在接收數(shù)據(jù)包的主機(jī)上同時(shí)運(yùn)行。它們中的任何一個(gè)都可能是傳輸?shù)哪繕?biāo),這樣使得網(wǎng)絡(luò)操作系統(tǒng)的漏洞成為網(wǎng)絡(luò)漏洞,從而導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)受到黑客的攻擊。
1.2 計(jì)算機(jī)病毒
計(jì)算機(jī)病毒蔓延范圍廣,增長(zhǎng)速度快,附著在其他程序上。如果帶毒文件被共享,其他機(jī)器打開、瀏覽時(shí)就會(huì)被感染,進(jìn)而成為滾雪球一樣的連鎖式傳播??赡苁瓜到y(tǒng)死機(jī)或毀壞,造成數(shù)據(jù)的損失。
1.3 服務(wù)器信息泄露
由于計(jì)算機(jī)系統(tǒng)程序的缺陷,在對(duì)錯(cuò)誤處理不正確的情況下,利用這類漏洞,攻擊者可以收集到對(duì)于進(jìn)一步攻擊系統(tǒng)有用的信息,從而導(dǎo)致數(shù)據(jù)的不安全。
1.4 非法入侵
非法侵入者通過(guò)監(jiān)視等非法手段,獲取攜帶用戶名和口令和IP包,然后通過(guò)使用它而登錄到系統(tǒng),非法侵入者可以冒充一個(gè)被信任的主機(jī)或客戶,并通過(guò)被信任客戶的IP地址取代自己的地址,竊取網(wǎng)絡(luò)數(shù)據(jù)。
2、數(shù)據(jù)加密技術(shù)的原理
在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)際運(yùn)行中,所有的應(yīng)用系統(tǒng)無(wú)論提供何種服務(wù),其基礎(chǔ)運(yùn)行都想通過(guò)數(shù)據(jù)的傳輸。因此,數(shù)據(jù)的安全是保證整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的核心。數(shù)據(jù)加密的基本過(guò)程是按某種算法,對(duì)原來(lái)為明文的文件或數(shù)據(jù)進(jìn)行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來(lái)內(nèi)容,通過(guò)這樣的途徑來(lái)達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。
3、數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用方案
3.1 確定加密目標(biāo)
使用數(shù)據(jù)加密技術(shù)首先要明確網(wǎng)絡(luò)中的哪些方面需要使用數(shù)據(jù)加密,即要明確如下問(wèn)題:一是在服務(wù)器、工作站、筆記本等可移動(dòng)存儲(chǔ)設(shè)備或手持智能設(shè)備上會(huì)出現(xiàn)哪些機(jī)密信息;二是機(jī)密信息在各類存儲(chǔ)設(shè)備上的什么位置及以什么文件類型保存;三是機(jī)密數(shù)據(jù)在局域網(wǎng)中傳輸是否安全;四是進(jìn)行WEB瀏覽等網(wǎng)絡(luò)通信是否包含機(jī)密信息,從而鎖定加密目標(biāo)。
3.2 選擇加密方案
3.2.1 對(duì)稱數(shù)據(jù)加密技術(shù)
對(duì)稱數(shù)據(jù)加密技術(shù)是使用加密密鑰與解密密鑰是相同的密碼體制。該加密技術(shù)通信的雙方在加密和解密時(shí)使用的是同1個(gè)密鑰。在通信雙方能確保密鑰在交換階段未泄露的情況下,可以保證信息的機(jī)密性與完整性。典型的算法有DES及其各種變形。DES是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的算法,將信息分成64位的分組,并使用56位長(zhǎng)度的密鑰,另8位用于奇偶校驗(yàn)。它對(duì)每1個(gè)分組使用一種復(fù)雜的變位組合、替換,再進(jìn)行異或運(yùn)算和其他一些過(guò)程,最后生成64位的加密數(shù)據(jù)。對(duì)每一個(gè)分組進(jìn)行l(wèi)9步處理,每一步的輸出是下一步的輸入。以此類推,直到用完K(16),再經(jīng)過(guò)逆初始置換,全部加密過(guò)程結(jié)束。該技術(shù)在運(yùn)用中主要策略是:假如A要向B發(fā)送密文(DES)和密鑰SK,可以用B公布的公開密鑰對(duì)Sk進(jìn)行RSA加密,向B一起發(fā)送其結(jié)果和密文,接受數(shù)據(jù)后,B首先用自己的私鑰對(duì)SK 進(jìn)行解密, 從而取得A 的密鑰SK。再用SK 解密密文。從而實(shí)現(xiàn)了密鑰傳輸?shù)陌踩珕?wèn)題,保證了數(shù)據(jù)的安全。
3.2.2 非對(duì)稱數(shù)據(jù)加密技術(shù)
非對(duì)稱式加密就是使用不同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密,通常為“公鑰”和“私鑰。其中“公鑰”是可以公開的,不用擔(dān)心被別人知道,收件人解密時(shí)只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問(wèn)題。典型的算法有l(wèi)ISA體制。其加密過(guò)程如下:① 為字母制定1個(gè)簡(jiǎn)單的編碼,如A~Z分別對(duì)應(yīng)于1—26。② 選擇1個(gè)足夠大的數(shù)n,將2個(gè)大的素?cái)?shù)P和q的乘積定義為n。③ 找出1個(gè)數(shù)k,k與(P—1)×(q一1)互為素?cái)?shù)。數(shù)字k就是加密密鑰。④ 將要發(fā)送的信息分成多個(gè)部分,一般可以將多個(gè)字母分為一部分。在此例中將每一個(gè)字母作為一部分。⑤ 對(duì)每部分,將所有字母的二進(jìn)制編碼串接起來(lái),并轉(zhuǎn)換成整數(shù)。⑥ 將每個(gè)部分?jǐn)U大到它的k次方,并使用模n運(yùn)算,從而得到密文。解密時(shí)找出1個(gè)數(shù)k 使得k x k 一1 rnod((P一1)×(q一1)),且p k× k 一1臺(tái)皂被(P一1)X(q一1)整除。k 的值就是解密密鑰。
3.2.3 公開密鑰密碼技術(shù)
開密鑰加密技術(shù)使用兩個(gè)不同的密鑰,一個(gè)用來(lái)加密信息,稱為加密密鑰;
另一個(gè)用來(lái)解密信息,稱為解密密鑰。加密密鑰與解密密鑰是數(shù)學(xué)相關(guān)的,它們成對(duì)出現(xiàn),但解密密鑰不能由加密密鑰計(jì)算出來(lái),加密密鑰也不能由解密密鑰計(jì)算出來(lái)。信息用某用戶的加密密鑰加密后,所得到的數(shù)據(jù)只能用該用戶的解密密鑰才能解密。其計(jì)算過(guò)程如下:①用加密密鑰PK對(duì)明文x加密后,再用解密密鑰sK解密,即可恢復(fù)出明文,或?qū)憺椋篋SK(EPK(x))=x②加密密鑰不能用來(lái)解密,即DPK(EPK(x))≠x③在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的PK和SK。④從已知的PK實(shí)際上不可能推導(dǎo)出sK。⑤加密和解密的運(yùn)算可以對(duì)調(diào),即:EPK(DSK(x))=x
參考文獻(xiàn)
論文摘要:本文針對(duì)電子商務(wù)安全的要求,分析了電子商務(wù)中常用的安全技術(shù),并闡述了數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)的安全交易標(biāo)準(zhǔn)在電子商務(wù)安全中的應(yīng)用。
所謂電子商務(wù)(Electronic Commerce) 是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù), 實(shí)現(xiàn)整個(gè)商務(wù)(買賣)過(guò)程中的電子化、數(shù)字化和網(wǎng)絡(luò)化。目前,因特網(wǎng)上影響交易最大的阻力就是交易安全問(wèn)題, 據(jù)最新的中國(guó)互聯(lián)網(wǎng)發(fā)展統(tǒng)計(jì)報(bào)告顯示, 在被調(diào)查的人群中只有2.8%的人對(duì)網(wǎng)絡(luò)的安全性是感到很滿意的, 因此,電子商務(wù)的發(fā)展必須重視安全問(wèn)題。
一、電子商務(wù)安全的要求
1、信息的保密性:指信息在存儲(chǔ)、傳輸和處理過(guò)程中,不被他人竊取。
2、信息的完整性:指確保收到的信息就是對(duì)方發(fā)送的信息,信息在存儲(chǔ)中不被篡改和破壞,保持與原發(fā)送信息的一致性。
3、 信息的不可否認(rèn)性:指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息,接收方也不可否認(rèn)已經(jīng)收到的信息。
4、 交易者身份的真實(shí)性:指交易雙方的身份是真實(shí)的,不是假冒的。
5、 系統(tǒng)的可靠性:指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的硬件和軟件工作的可靠性。
在電子商務(wù)所需的幾種安全性要求中,以保密性、完整性和不可否認(rèn)性最為關(guān)鍵。電子商務(wù)安全性要求的實(shí)現(xiàn)涉及到以下多種安全技術(shù)的應(yīng)用。
二、數(shù)據(jù)加密技術(shù)
將明文數(shù)據(jù)進(jìn)行某種變換,使其成為不可理解的形式,這個(gè)過(guò)程就是加密,這種不可理解的形式稱為密文。解密是加密的逆過(guò)程,即將密文還原成明文。
(一)對(duì)稱密鑰加密與DES算法
對(duì)稱加密算法是指文件加密和解密使用一個(gè)相同秘密密鑰,也叫會(huì)話密鑰。目前世界上較為通用的對(duì)稱加密算法有RC4和DES。這種加密算法的計(jì)算速度非??欤虼吮粡V泛應(yīng)用于對(duì)大量數(shù)據(jù)的加密過(guò)程。
最具代表的對(duì)稱密鑰加密算法是美國(guó)國(guó)家標(biāo)準(zhǔn)局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非對(duì)稱密鑰加密與RSA算法
為了克服對(duì)稱加密技術(shù)存在的密鑰管理和分發(fā)上的問(wèn)題,1976年產(chǎn)生了密鑰管理更為簡(jiǎn)化的非對(duì)稱密鑰密碼體系,也稱公鑰密碼體系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位發(fā)明者(Rivest、Shamir、Adleman)姓名的第一個(gè)字母組合而成的。
在實(shí)踐中,為了保證電子商務(wù)系統(tǒng)的安全、可靠以及使用效率,一般可以采用由RSA和DES相結(jié)合實(shí)現(xiàn)的綜合保密系統(tǒng)。
三、認(rèn)證技術(shù)
認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)。主要包括身份認(rèn)證和信息認(rèn)證。前者用于鑒別用戶身份,后者用于保證通信雙方的不可抵賴性以及信息的完整性
(一)身份認(rèn)證
用戶身份認(rèn)證三種常用基本方式
1、口令方式
這種身份認(rèn)證方法操作十分簡(jiǎn)單,但最不安全,因?yàn)槠浒踩詢H僅基于用戶口令的保密性,而用戶口令一般較短且容易猜測(cè),不能抵御口令猜測(cè)攻擊,整個(gè)系統(tǒng)的安全容易受到威脅。
2、標(biāo)記方式
訪問(wèn)系統(tǒng)資源時(shí),用戶必須持有合法的隨身攜帶的物理介質(zhì)(如存儲(chǔ)有用戶個(gè)性化數(shù)據(jù)的智能卡等)用于身份識(shí)別,訪問(wèn)系統(tǒng)資源。
3、人體生物學(xué)特征方式
某些人體生物學(xué)特征,如指紋、聲音、DNA圖案、視網(wǎng)膜掃描圖案等等,這種方案一般造價(jià)較高,適用于保密程度很高的場(chǎng)合。
加密技術(shù)解決信息的保密性問(wèn)題,對(duì)于信息的完整性則可以用信息認(rèn)證方面的技術(shù)加以解決。在某些情況下,信息認(rèn)證顯得比信息保密更為重要。
(二)數(shù)字摘要
數(shù)字摘要,也稱為安全Hash編碼法,簡(jiǎn)稱SHA或MD5 ,是用來(lái)保證信息完整性的一項(xiàng)技術(shù)。它是由Ron Rivest發(fā)明的一種單向加密算法,其加密結(jié)果是不能解密的。類似于人類的“指紋”,因此我們把這一串摘要而成的密文稱之為數(shù)字指紋,可以通過(guò)數(shù)字指紋鑒別其明文的真?zhèn)巍?/p>
(三)數(shù)字簽名
數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上,是公鑰加密技術(shù)的另一類應(yīng)用。它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來(lái),形成了實(shí)用的數(shù)字簽名技術(shù)。
它的作用:確認(rèn)當(dāng)事人的身份,起到了簽名或蓋章的作用;能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。
(四)數(shù)字時(shí)間戳
在電子交易中,時(shí)間和簽名同等重要。數(shù)字時(shí)間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用,是由DTS服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目,專門用于證明信息的發(fā)送時(shí)間。包括三個(gè)部分:需加時(shí)間戳的文件的數(shù)字摘要;DTS機(jī)構(gòu)收到文件摘要的日期和時(shí)間; DTS機(jī)構(gòu)的數(shù)字簽名。
(五)認(rèn)證中心
認(rèn)證中心:(Certificate Authority,簡(jiǎn)稱CA),也稱之為電子商務(wù)認(rèn)證中心,是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,確認(rèn)用戶身份的、與具體交易行為無(wú)關(guān)的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理證書的申請(qǐng)、簽發(fā)和管理數(shù)字證書。其核心是公共密鑰基礎(chǔ)設(shè)(PKI)。
我國(guó)現(xiàn)有的安全認(rèn)證體系(CA)在金融CA方面,根證書由中國(guó)人民銀行管理,根認(rèn)證管理一般是脫機(jī)管理;品牌認(rèn)證中心采用“統(tǒng)一品牌、聯(lián)合建設(shè)”的方針進(jìn)行。在非金融CA方面,最初主要由中國(guó)電信負(fù)責(zé)建設(shè)。
(六)數(shù)字證書
數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用于證明某一主體(如個(gè)人用戶、服務(wù)器等)的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔,由權(quán)威公正的第三方機(jī)構(gòu),即CA中心簽發(fā)。
以數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
四、電子商務(wù)的安全交易標(biāo)準(zhǔn)
(一)安全套接層協(xié)議
SSL (secure sockets layer)是由Netscape Communication公司是由設(shè)計(jì)開發(fā)的,其目的是通過(guò)在收發(fā)雙方建立安全通道來(lái)提高應(yīng)用程序間交換數(shù)據(jù)的安全性,從而實(shí)現(xiàn)瀏覽器和服務(wù)器(通常是Web服務(wù)器)之間的安全通信。
目前Microsoft和Netscape的瀏覽器都支持SSL,很多Web服務(wù)器也支持SSL。SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn),已經(jīng)廣泛用于Internet。
(二)安全電子交易協(xié)議
SET (Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發(fā)起,會(huì)同IBM、Microsoft等信息產(chǎn)業(yè)巨頭于1997年6月正式制定的用于因特網(wǎng)事務(wù)處理的一種標(biāo)準(zhǔn)。采用DES、RC4等對(duì)稱加密體制加密要傳輸?shù)男畔?,并用?shù)字摘要和數(shù)字簽名技術(shù)來(lái)鑒別信息的真?zhèn)渭捌渫暾?,目前已?jīng)被廣為認(rèn)可而成了事實(shí)上的國(guó)際通用的網(wǎng)上支付標(biāo)準(zhǔn),其交易形態(tài)將成為未來(lái)電子商務(wù)的規(guī)范。
五、總結(jié)
網(wǎng)絡(luò)應(yīng)用以安全為本,只有充分掌握有關(guān)電子商務(wù)的技術(shù),才能使電子商務(wù)更好的為我們服務(wù)。然而,如何利用這些技術(shù)仍是今后一段時(shí)間內(nèi)需要深入研究的課題。
參考文獻(xiàn):
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全;隱患管理維護(hù)
【前言】隨著現(xiàn)代科技的不斷發(fā)展,信息技術(shù)影響力遍及各個(gè)行業(yè),計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用涉及生活的方方面面,全面推進(jìn)了社會(huì)的進(jìn)步。但是,網(wǎng)絡(luò)也具有兩面性,尤其是其突出的開放性與共享性使得其在使用過(guò)程中存在較大的潛在危險(xiǎn),制約計(jì)算機(jī)網(wǎng)絡(luò)優(yōu)勢(shì)的發(fā)揮。因此,要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患管理與維護(hù)工作,制定針對(duì)性的發(fā)展策略,為擴(kuò)大計(jì)算機(jī)網(wǎng)絡(luò)安全使用創(chuàng)造優(yōu)質(zhì)的條件。
1結(jié)合社會(huì)發(fā)展對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患類型的介紹
1.1黑客攻擊威脅計(jì)算機(jī)網(wǎng)絡(luò)安全,信息可靠性無(wú)法保障
隨著科技的進(jìn)步以及社會(huì)的發(fā)展,計(jì)算機(jī)技術(shù)深入社會(huì)生活。依托計(jì)算機(jī)技術(shù),實(shí)現(xiàn)信息實(shí)時(shí)傳遞。借助互聯(lián)網(wǎng),完成商品交易。同時(shí),計(jì)算機(jī)最為基礎(chǔ)的功能是進(jìn)行信息數(shù)據(jù)的存儲(chǔ)與管理。由此可見,計(jì)算機(jī)滲透到社會(huì)生活的諸多方面。與此同時(shí),網(wǎng)絡(luò)自身突出的開放性也埋下安全隱患。一旦計(jì)算機(jī)網(wǎng)絡(luò)遭受黑客攻擊,勢(shì)必誘發(fā)程序混亂,威脅計(jì)算機(jī)系統(tǒng)運(yùn)行,計(jì)算機(jī)內(nèi)部存儲(chǔ)的信息無(wú)法實(shí)現(xiàn)絕對(duì)可靠性。從類型上分析,黑客攻擊涉及兩個(gè)方面,即網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)偵查。前者通過(guò)多種途徑進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的損壞,包含欺騙攻擊、協(xié)同攻擊以及拒絕服務(wù)攻擊等。后者不破壞網(wǎng)絡(luò)有效性,但是,借助多種不正當(dāng)手段獲取價(jià)值信
1.2不法者以偽造虛假信息為手段,非法竊取用戶信息
立足計(jì)算機(jī)網(wǎng)絡(luò),在使用過(guò)程中,通常利用自己身份進(jìn)行信息注冊(cè)、登陸等行為,但是,忽視網(wǎng)站安全性,也使得不法分子有機(jī)可乘。具體講,他們會(huì)對(duì)網(wǎng)站信息進(jìn)行偽造,依靠虛假信息進(jìn)行用戶登陸,達(dá)到竊取用戶身份信息的目的。另外,虛假網(wǎng)站一般是在用戶下載軟件的同時(shí)進(jìn)行捆綁操作,植入木馬,維修用戶信息安全,造成不可預(yù)估的損失。
1.3計(jì)算機(jī)操作系統(tǒng)自身存在漏洞,擴(kuò)大計(jì)算機(jī)遭受侵襲的幾率
對(duì)于計(jì)算機(jī)系統(tǒng)運(yùn)行,一般借助操作平臺(tái)實(shí)現(xiàn)。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷升級(jí)更新的過(guò)程中,非法訪問(wèn)的風(fēng)險(xiǎn)也逐漸增高。鑒于操作系統(tǒng)自身漏洞的存在,給不法分子創(chuàng)造機(jī)會(huì),以漏洞為跳板,入侵用戶計(jì)算機(jī),竊取計(jì)算機(jī)存儲(chǔ)的數(shù)據(jù),數(shù)據(jù)信息的安全性受到挑戰(zhàn),網(wǎng)絡(luò)安全隱患重重。
1.4使用者安全意識(shí)薄弱,操作失誤誘發(fā)安全隱患
對(duì)于計(jì)算機(jī)而言,雖然普及率較高,但是,在日常操作中,使用者應(yīng)用水平不高,技術(shù)不熟練,操作不當(dāng)與失誤現(xiàn)象十分常見,誘發(fā)文件損壞或者丟失。另外,使用者安全防范觀念不強(qiáng),對(duì)安全防范措施缺乏全面了解,導(dǎo)致信息泄露,影響網(wǎng)絡(luò)應(yīng)用的安全性與可靠性。
2如何加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患管理與維護(hù)工作
2.1以訪問(wèn)控制技術(shù)為依托,避免遭受惡意訪問(wèn)
在計(jì)算機(jī)網(wǎng)絡(luò)安全隱患維護(hù)工作中,網(wǎng)絡(luò)訪問(wèn)權(quán)限的控制是重要方式,目的是維護(hù)網(wǎng)絡(luò)數(shù)據(jù)資源的安全性,避免遭受惡意程序的強(qiáng)制訪問(wèn)。一般情況下,常用技術(shù)包含系統(tǒng)資源的集中,系控制、黑名單過(guò)濾、數(shù)據(jù)幀阻止以及數(shù)字證書等,達(dá)到對(duì)訪問(wèn)權(quán)限的目的性控制。其中,網(wǎng)絡(luò)訪問(wèn)控制技術(shù)涉及虛擬局域網(wǎng)隔斷、網(wǎng)卡篩選等。
2.2防火墻技術(shù)強(qiáng)化對(duì)軟硬件的全面防護(hù),增強(qiáng)防御能力
立足當(dāng)前網(wǎng)絡(luò)安全,防火墻技術(shù)的應(yīng)用極具普遍性,主要是對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行多區(qū)塊隔離,授予差異化訪問(wèn)控制權(quán)限,實(shí)現(xiàn)對(duì)不同權(quán)限等級(jí)區(qū)塊之間數(shù)據(jù)包的有序交換。依托一定安全規(guī)則進(jìn)行信息過(guò)濾,從而確定區(qū)塊之間信息交互的響應(yīng)情況,強(qiáng)化對(duì)整個(gè)網(wǎng)絡(luò)聯(lián)通情況的監(jiān)督與管理。防火墻技術(shù)的應(yīng)用能夠在很大程度上維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全性。依托防火墻,計(jì)算機(jī)硬件與軟件設(shè)備得到保護(hù),強(qiáng)化對(duì)外部攻擊的有效抵御,穩(wěn)固計(jì)算機(jī)操作系統(tǒng)的安全運(yùn)行,實(shí)現(xiàn)對(duì)病毒與木馬的攔截。面對(duì)病毒等級(jí)的不斷提升,防火墻技術(shù)也要及時(shí)升級(jí)與更新,以便更好應(yīng)對(duì)新型病毒的侵害。
2.3采用多種密碼技術(shù),維護(hù)信息的安全性
在密碼技術(shù)中,比較常見的是加密技術(shù)與解密技術(shù)。對(duì)于加密技術(shù),主要對(duì)將外在信息進(jìn)行隱匿,一旦缺少特定數(shù)據(jù),識(shí)別與判斷無(wú)法形成。解密技術(shù)是依托加密原則進(jìn)行還原對(duì)稱加密與非對(duì)稱加密也是互聯(lián)網(wǎng)數(shù)據(jù)加密技術(shù)不可或缺的組成部分。前者是在加密與解密過(guò)程中使用相同秘鑰,目的是為專屬信息的聯(lián)系創(chuàng)造條件。非對(duì)稱加密是設(shè)置不同的秘鑰,分別由私人與公共掌握,二者存在一定程度的相關(guān)性。
2.4積極安裝殺毒軟件,實(shí)現(xiàn)病毒針對(duì)性攔截
立足當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境,最大的安全隱患主要來(lái)自病毒與木馬,一旦遭受入侵,計(jì)算機(jī)系統(tǒng)很難實(shí)現(xiàn)穩(wěn)定運(yùn)行。另外,鑒于較強(qiáng)的傳染性,加之較強(qiáng)的爆發(fā)性,因此其破壞行為能夠在短時(shí)間內(nèi)進(jìn)行擴(kuò)張,威脅計(jì)算機(jī)使用者的利益。為此,為了防止病毒入侵,要安裝殺毒軟件,增強(qiáng)針對(duì)性。一旦用戶進(jìn)行不安全瀏覽與下載,殺毒軟件會(huì)進(jìn)行全面掃描。在發(fā)現(xiàn)病毒之后,殺毒軟件會(huì)在第一時(shí)間發(fā)出警示,并進(jìn)行快速攔截。
3結(jié)束語(yǔ)
關(guān)鍵詞:網(wǎng)絡(luò)安全,網(wǎng)絡(luò)管理,多級(jí)安全
1 引言網(wǎng)絡(luò)技術(shù),特別是Internet的興起,正在從根本上改變傳統(tǒng)的信息技術(shù)(IT)產(chǎn)業(yè),隨著網(wǎng)絡(luò)技術(shù)和Internet的普及,信息交流變得更加快捷和便利,然而這也給信息保密和安全提出了更高的要求。近年來(lái),研究人員在信息加密,如公開密鑰、對(duì)稱加密算法,網(wǎng)絡(luò)訪問(wèn)控制,如防火墻,以及計(jì)算機(jī)系統(tǒng)安全管理、網(wǎng)絡(luò)安全管理等方面做了許多研究工作,并取得了很多究成果。
本論文主要針對(duì)網(wǎng)絡(luò)安全,從實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的技術(shù)角度展開探討,以期找到能夠?qū)崿F(xiàn)網(wǎng)絡(luò)信息安全的構(gòu)建方案或者技術(shù)應(yīng)用,并和廣大同行分享。
2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析影響局域網(wǎng)網(wǎng)絡(luò)安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結(jié)起來(lái),主要有六個(gè)方面構(gòu)成對(duì)網(wǎng)絡(luò)的威脅:
(1) 人為失誤:一些無(wú)意的行為,如:丟失口令、非法操作、資源訪問(wèn)控制不合理、管理員安全配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)等,都會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)造成極大的破壞。
(2) 病毒感染:從“蠕蟲”病毒開始到CIH、愛蟲病毒,病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅,網(wǎng)絡(luò)更是為病毒提供了迅速傳播的途徑,病毒很容易地通過(guò)服務(wù)器以軟件下載、郵件接收等方式進(jìn)入網(wǎng)絡(luò),然后對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,造成很大的損失。
(3) 來(lái)自網(wǎng)絡(luò)外部的攻擊:這是指來(lái)自局域網(wǎng)外部的惡意攻擊,例如:有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性;偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源;修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行;在中間站點(diǎn)攔截和讀取絕密信息等。
(4) 來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊:在局域網(wǎng)內(nèi)部,一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后,查看機(jī)密信息,修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運(yùn)行。
(5) 系統(tǒng)的漏洞及“后門”:操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷、無(wú)漏洞的??萍颊撐?。另外,編程人員為自便而在軟件中留有“后門”,一旦“漏洞”及“后門”為外人所知,就會(huì)成為整個(gè)網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標(biāo)和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”和“后門”所造成的。
3 網(wǎng)絡(luò)安全技術(shù)管理探討3.1 傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)目前國(guó)內(nèi)外維護(hù)網(wǎng)絡(luò)安全的機(jī)制主要有以下幾類:
Ø訪問(wèn)控制機(jī)制;
Ø身份鑒別;
Ø加密機(jī)制;
Ø病毒防護(hù)。
針對(duì)以上機(jī)制的網(wǎng)絡(luò)安全技術(shù)措施主要有:
(1) 防火墻技術(shù)
防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它用來(lái)控制內(nèi)部網(wǎng)和外部網(wǎng)的訪問(wèn)。
(2) 基于主機(jī)的安全措施
通常利用主機(jī)操作系統(tǒng)提供的訪問(wèn)權(quán)限,對(duì)主機(jī)資源進(jìn)行保護(hù),這種安全措施往往只局限于主機(jī)本身的安全,而不能對(duì)整個(gè)網(wǎng)絡(luò)提供安全保證。
(3) 加密技術(shù)
面向網(wǎng)絡(luò)的加密技術(shù)是指通信協(xié)議加密,它是在通信過(guò)程中對(duì)包中的數(shù)據(jù)進(jìn)行加密,包括完整性檢測(cè)、數(shù)字簽名等,這些安全協(xié)議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數(shù)及其它一些序列密碼算法實(shí)現(xiàn)信息安全功能,用于防止黑客對(duì)信息進(jìn)行偽造、冒充和篡改,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。
(4) 其它安全措施
包括鑒別技術(shù)、數(shù)字簽名技術(shù)、入侵檢測(cè)技術(shù)、審計(jì)監(jiān)控、防病毒技術(shù)、備份和恢復(fù)技術(shù)等。鑒別技術(shù)是指只有經(jīng)過(guò)網(wǎng)絡(luò)系統(tǒng)授權(quán)和登記的合法用戶才能進(jìn)入網(wǎng)絡(luò)。審計(jì)監(jiān)控是指隨時(shí)監(jiān)視用戶在網(wǎng)絡(luò)中的活動(dòng),記錄用戶對(duì)敏感的數(shù)據(jù)資源的訪問(wèn),以便隨時(shí)調(diào)查和分析是否遭到黑客的攻擊。這些都是保障網(wǎng)絡(luò)安全的重要手段。
3.2 構(gòu)建多級(jí)網(wǎng)絡(luò)安全管理多級(jí)安全作為一項(xiàng)計(jì)算機(jī)安全技術(shù),在軍事和商業(yè)上有廣泛的需求。科技論文。“多級(jí)”包括數(shù)據(jù)、進(jìn)程和人員的安全等級(jí)和分類,在用戶訪問(wèn)數(shù)據(jù)時(shí)依據(jù)這些等級(jí)和分類進(jìn)行不同的處理。人員和信息的安全標(biāo)識(shí)一般由兩部分組成,一部分是用“密級(jí)”表示數(shù)據(jù)分類具有等級(jí)性,例如絕密、秘密、機(jī)密和無(wú)密級(jí);另一部分是用“類別”表示信息類別的不同,“類別”并不需要等級(jí)關(guān)系。在具體的網(wǎng)絡(luò)安全實(shí)現(xiàn)上,可以從以下幾個(gè)方面來(lái)構(gòu)建多級(jí)網(wǎng)絡(luò)安全管理:
(1) 可信終端
可信終端是指經(jīng)過(guò)系統(tǒng)軟硬件認(rèn)證通過(guò)、被系統(tǒng)允許接入到系統(tǒng)的終端設(shè)備。網(wǎng)絡(luò)安全架構(gòu)中的終端具有一個(gè)最高安全等級(jí)和一個(gè)當(dāng)前安全等級(jí),最高安全等級(jí)表示可以使用該終端的用戶的最高安全等級(jí),當(dāng)前安全等級(jí)表示當(dāng)前使用該終端用戶的安全等級(jí)。
(2) 多級(jí)安全服務(wù)器
多級(jí)安全服務(wù)器上需要部署具有強(qiáng)制訪問(wèn)控制能力的操作系統(tǒng),該操作系統(tǒng)能夠?yàn)椴煌踩燃?jí)的用戶提供訪問(wèn)控制功能。該操作系統(tǒng)必須具備很高的可信性,一般而言要具備TCSEC標(biāo)準(zhǔn)下B1以上的評(píng)級(jí)。
(3) 單安全等級(jí)服務(wù)器和訪問(wèn)控制網(wǎng)關(guān)
單安全等級(jí)服務(wù)器本身并不能為多個(gè)安全等級(jí)的用戶提供訪問(wèn),但結(jié)合訪問(wèn)控制網(wǎng)關(guān)就可以為多安全等級(jí)用戶提供訪問(wèn)服務(wù)。對(duì)于本網(wǎng)的用戶,訪問(wèn)控制網(wǎng)關(guān)旁路許可訪問(wèn),而對(duì)于外網(wǎng)的用戶則必須經(jīng)過(guò)訪問(wèn)控制網(wǎng)關(guān)的裁決。訪問(wèn)控制網(wǎng)關(guān)的作用主要是識(shí)別用戶安全等級(jí),控制用戶和服務(wù)器之間的信息流。科技論文。如果用戶的安全等級(jí)高于單級(jí)服務(wù)器安全等級(jí),則只允許信息從服務(wù)器流向用戶;如果用戶的安全等級(jí)等于服務(wù)器安全等級(jí),則允許用戶和服務(wù)器間信息的雙向流動(dòng);如果用戶的安全等級(jí)低于服務(wù)器安全等級(jí),則只允許信息從用戶流向服務(wù)器。
(4) VPN網(wǎng)關(guān)
VPN網(wǎng)關(guān)主要用來(lái)保護(hù)跨網(wǎng)傳輸數(shù)據(jù)的保密安全,用來(lái)抵御來(lái)自外部的攻擊。VPN網(wǎng)關(guān)還被用來(lái)擴(kuò)展網(wǎng)絡(luò)。應(yīng)用外接硬件加密設(shè)備連接網(wǎng)絡(luò)的方式,如果有n個(gè)網(wǎng)絡(luò)相互連接,那么就必須使用n×(n-1)個(gè)硬件加密設(shè)備,而每增加一個(gè)網(wǎng)絡(luò),就需要增加2n個(gè)設(shè)備,這對(duì)于網(wǎng)絡(luò)的擴(kuò)展很不利。引入VPN網(wǎng)關(guān)后,n個(gè)網(wǎng)絡(luò)只需要n個(gè)VPN網(wǎng)關(guān),每增加一個(gè)網(wǎng)絡(luò),也只需要增加一個(gè)VPN網(wǎng)關(guān)。
4 結(jié)語(yǔ)在網(wǎng)絡(luò)技術(shù)十分發(fā)達(dá)的今天,任何一臺(tái)計(jì)算機(jī)都不可能孤立于網(wǎng)絡(luò)之外,因此對(duì)于網(wǎng)絡(luò)中的信息的安全防范就顯得十分重要。針對(duì)現(xiàn)在網(wǎng)絡(luò)規(guī)模越來(lái)越大的今天,網(wǎng)絡(luò)由于信息傳輸應(yīng)用范圍的不斷擴(kuò)大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點(diǎn)對(duì)網(wǎng)絡(luò)的信息安全管理系統(tǒng)展開了分析討論,相信通過(guò)不斷發(fā)展的網(wǎng)絡(luò)硬件安全技術(shù)和軟件加密技術(shù),再加上政府對(duì)信息安全的重視,計(jì)算機(jī)網(wǎng)絡(luò)的信息安全是完全可以實(shí)現(xiàn)的。
參考文獻(xiàn):
[1] 胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.
[2] 黃國(guó)言.WEB方式下基于SNMP的網(wǎng)絡(luò)管理軟件的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件,2003,20(9):92-94.
[3] 李木金,王光興.一種被用于網(wǎng)絡(luò)管理的性能分析模型和實(shí)現(xiàn)[J].軟件學(xué)報(bào),2000,22(12): 251-255.
[論文摘要]計(jì)算機(jī)網(wǎng)絡(luò)日益成為重要信息交換手段,認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅以及現(xiàn)實(shí)客觀存在的各種安全問(wèn)題,采取強(qiáng)有力的安全策略,保障網(wǎng)絡(luò)信息的安全,是每一個(gè)國(guó)家和社會(huì)以及個(gè)人必須正視的事情。本文針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用相關(guān)的基本信息安全問(wèn)題和解決方案進(jìn)行了探討。
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,全球信息化己成為人類發(fā)展的大趨勢(shì),計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在同防軍事領(lǐng)域、金融、電信、證券、商業(yè)、教育以及日常生活巾得到了大量的應(yīng)用。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。因此,網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施,否則網(wǎng)絡(luò)將是尤用的,相反會(huì)給使用者帶來(lái)各方面危害,嚴(yán)重的甚至?xí)<爸芗野踩?nbsp;
一、信息加密技術(shù)
網(wǎng)絡(luò)信息發(fā)展的關(guān)鍵問(wèn)題是其安全性,因此,必須建立一套有效的包括信息加密技術(shù)、安全認(rèn)證技術(shù)、安全交易議等內(nèi)容的信息安全機(jī)制作為保證,來(lái)實(shí)現(xiàn)電子信息數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性和交易者身份認(rèn)證忡,防止信息被一些懷有不良用心的人看到、破壞,甚至出現(xiàn)虛假信息。
信息加密技術(shù)是保證網(wǎng)絡(luò)、信息安全的核心技術(shù),是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成不可直接讀取的秘文,阻止非法用戶扶取和理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密忭。ⅱ月文變成秘文的過(guò)程稱為加密,南秘文還原成明文的過(guò)程稱為解密,加密、解密使用的町變參數(shù)叫做密鑰。
傳統(tǒng)上,幾種方法町以用來(lái)加密數(shù)據(jù)流,所有這些方法都町以用軟件很容易的實(shí)現(xiàn),當(dāng)只知道密文的時(shí)候,是不容易破譯這些加密算法的。最好的加密算法塒系統(tǒng)性能幾乎沒有影響,并且還可以帶來(lái)其他內(nèi)在的優(yōu)點(diǎn)。例如,大家郜知道的pkzip,它既壓縮數(shù)據(jù)義加密數(shù)據(jù)。義如,dbms的一些軟件包包含一些加密方法使復(fù)制文件這一功能對(duì)一些敏感數(shù)據(jù)是尢效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
二、防火墻技術(shù)
“防火墻”是一個(gè)通用術(shù)i五,是指在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng),是在網(wǎng)絡(luò)邊界上建立的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬什產(chǎn)品中。防火墻通常是巾軟什系統(tǒng)和硬什設(shè)備組合而成,在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)建起安全的保護(hù)屏障。
從邏輯上講,防火墻是起分隔、限制、分析的作用。實(shí)際上,防火墻是加強(qiáng)intranet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它南一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來(lái)自intemet的傳輸信息或發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件傳輸、遠(yuǎn)程登錄、布特定的系統(tǒng)問(wèn)進(jìn)行信息交換等安全的作用。
防火墻可以被看成是阻塞點(diǎn)。所有內(nèi)部網(wǎng)和外部網(wǎng)之間的連接郝必須經(jīng)過(guò)該阻塞點(diǎn),在此進(jìn)行檢查和連接,只有被授權(quán)的通信才能通過(guò)該阻塞點(diǎn)。防火墻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定條件下隔離,從而防止非法入侵及非法使用系統(tǒng)資源。同時(shí),防火墻還日,以執(zhí)行安全管制措施,記錄所以可疑的事件,其基本準(zhǔn)則有以下兩點(diǎn):
(1)一切未被允許的就是禁止的?;谠摐?zhǔn)則,防火墑應(yīng)封鎖所有信息流,然后對(duì)希單提供的服務(wù)逐項(xiàng)丌放。這是一種非常災(zāi)用的方法,可以造成一種十分安全的環(huán)境,為只有經(jīng)過(guò)仔細(xì)挑選的服務(wù)才被允許使用。其弊端是,安全件高于片j戶使片j的方便件,用戶所能使用的服務(wù)范同受到限制。
(2)一切未被禁止的就是允許的?;谠摐?zhǔn)則,防火埔轉(zhuǎn)發(fā)所有信息流,然后逐項(xiàng)屏蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境,可為用戶提供更多的服務(wù)。其弊端是,在口益增多的網(wǎng)絡(luò)服務(wù)面前,網(wǎng)管人員疲于奔命,特別是受保護(hù)的網(wǎng)絡(luò)范嗣增大時(shí),很難提供町靠的安全防護(hù)。
較傳統(tǒng)的防火墻來(lái)說(shuō),新一代防火墻具有先進(jìn)的過(guò)濾和體系,能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)行全方位安全處理,協(xié)議和的直接相互配合,提供透明模式,使本系統(tǒng)的防欺騙能力和運(yùn)行的健壯件都大大提高;除了訪問(wèn)控制功能外,新一代的防火墻還集成了其它許多安全技術(shù),如nat和vpn、病毒防護(hù)等、使防火墻的安全性提升到義一高度。
三、網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng)設(shè)計(jì)
在網(wǎng)絡(luò)層使用了防火墻技術(shù),經(jīng)過(guò)嚴(yán)格的策略配置,通常能夠在內(nèi)外網(wǎng)之問(wèn)提供安全的網(wǎng)絡(luò)保護(hù),降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是,儀儀使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。因?yàn)槿涨霸S多入侵手段如icmp重定向、盯p反射掃描、隧道技術(shù)等能夠穿透防火墑進(jìn)入網(wǎng)絡(luò)內(nèi)部;防火墻無(wú)法防護(hù)不通過(guò)它的鏈接(如入侵者通過(guò)撥號(hào)入侵);不能防范惡意的知情者、不能防范來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊;無(wú)法有效地防范病毒;無(wú)法防范新的安全威脅;南于性能的限制,防火墻通常不能提供實(shí)時(shí)動(dòng)態(tài)的保護(hù)等。
因此,需要更為完善的安全防護(hù)系統(tǒng)來(lái)解決以上這些問(wèn)題。網(wǎng)絡(luò)入侵監(jiān)測(cè)與安全審計(jì)系統(tǒng)是一種實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)測(cè)包括系統(tǒng),能夠彌補(bǔ)防火墑等其他系統(tǒng)的不足,進(jìn)一步完善整個(gè)網(wǎng)絡(luò)的安全防御能力。網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng),可以在網(wǎng)絡(luò)巾建立完善的安全預(yù)警和安全應(yīng)急反應(yīng)體系,為信息系統(tǒng)的安全運(yùn)行提供保障。
在計(jì)算機(jī)網(wǎng)絡(luò)信息安全綜合防御體系巾,審計(jì)系統(tǒng)采用多agent的結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng)來(lái)構(gòu)建。整個(gè)審計(jì)系統(tǒng)包括審計(jì)agent,審計(jì)管理中心,審計(jì)管理控制臺(tái)。審計(jì)agent有軟什和硬什的形式直接和受保護(hù)網(wǎng)絡(luò)的設(shè)備和系統(tǒng)連接,對(duì)網(wǎng)絡(luò)的各個(gè)層次(網(wǎng)絡(luò),操作系統(tǒng),應(yīng)用軟件)進(jìn)行審計(jì),受審計(jì)巾心的統(tǒng)一管理,并將信息上報(bào)到各個(gè)巾心。審計(jì)巾心實(shí)現(xiàn)對(duì)各種審計(jì)agent的數(shù)據(jù)收集和管理。審計(jì)控制會(huì)是一套管理軟件,主要實(shí)現(xiàn)管理員對(duì)于審計(jì)系統(tǒng)的數(shù)據(jù)瀏覽,數(shù)據(jù)管理,規(guī)則沒置功能。管理員即使不在審計(jì)中心現(xiàn)場(chǎng)也能夠使用審計(jì)控制臺(tái)通過(guò)遠(yuǎn)程連接審計(jì)中心進(jìn)行管理,而且多個(gè)管理員可以同時(shí)進(jìn)行管理,根據(jù)權(quán)限的不同完成不同的職責(zé)和任務(wù)。
四、結(jié)論
【論文摘要】:虛擬專用網(wǎng)(VPN)技術(shù)主要包括數(shù)據(jù)封裝化,隧道協(xié)議,防火墻技術(shù),加密及防止數(shù)據(jù)被篡改技術(shù)等等。文章著重介紹了虛擬專用網(wǎng)以及對(duì)相關(guān)技術(shù)。并對(duì)VPN隧道技術(shù)的分類提出了一些新的探索。
引言
虛擬專用網(wǎng)即VPN(Virtual Private Network)是利用接入服務(wù)器(Access Sever)、廣域網(wǎng)上的路由器以及VPN專用設(shè)備在公用的WAN上實(shí)現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利internet上開展的VPN服務(wù)被稱為IPVPN。
利用共用的WAN網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個(gè)關(guān)鍵的問(wèn)題就是信息的安全問(wèn)題。為了解決此問(wèn)題,VPN采用了一系列的技術(shù)措施來(lái)加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。
1. 隧道技術(shù)
Internet中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機(jī)。總部和分公司到ISP的接入點(diǎn)上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機(jī)B向微機(jī)A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以內(nèi)部IP地址表示的"目的地址A""源地址B"。因此分組到達(dá)分公司的VPN設(shè)備后,立即在它的前部加上與全局IP地址對(duì)應(yīng)的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過(guò)Internet中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達(dá)總部的VPN設(shè)備C后,全局IP地址即被刪除,恢復(fù)成IP分組發(fā)往地址A。由此可見,隧道技術(shù)就是VPN利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此,還必須在IP分組上添加新頭標(biāo),這就是所謂IP的封裝化。同時(shí)利用隧道技術(shù),還必須使得隧道的入口與出口相對(duì)地出現(xiàn)。
基于隧道技術(shù)VPN網(wǎng)絡(luò),對(duì)于通信的雙方,感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。
2. 隧道協(xié)議
在一個(gè)分組上再加上一個(gè)頭標(biāo)被稱為封裝化。對(duì)封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用VPN技術(shù)還需要有隧道協(xié)議。
2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技術(shù),作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器。將撥號(hào)數(shù)據(jù)流封裝在PPP幀內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP協(xié)議又稱為點(diǎn)對(duì)點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對(duì)IP,IPX或NETBEUT數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。
⑶ 2TP(Layer 2 Tunneling Protocol)
該協(xié)議是遠(yuǎn)程訪問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議。
L2F、PPTP、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)入口的VPN設(shè)備建立PPP連接,端口用戶可以在客戶側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外,還能在VPN上利用PPP支持的多協(xié)議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對(duì)于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來(lái)處理,稱其為第三層隧道,以區(qū)分于第二層隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠(yuǎn)程訪問(wèn)的VPN協(xié)議,它部分采用了移動(dòng)IP的機(jī)制。ATMP以GRE實(shí)現(xiàn)封裝化,將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)。因此,用戶可以不裝與VPN想適配的軟件。
⑸ PSEC
IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中,通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如INTERNET發(fā)送。
從以上的隧道協(xié)議,我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),DSI七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法,從此產(chǎn)生了"二層VPN "與"三層VPN"的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會(huì)話加密的SSLVPN技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的HTTPTunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機(jī)制的分類。
2.2 改進(jìn)后的幾種隧道機(jī)制的分類
⑴ J.Heinanen等人提出的根據(jù)隧道建立時(shí)采用的接入方式不同來(lái)分類,將隧道分成四類。分別是使用撥號(hào)方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。
例如同樣是以太網(wǎng)的技術(shù),根據(jù)實(shí)際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別,因此按照接入方式不同來(lái)分類也無(wú)法表示這幾種方式在網(wǎng)絡(luò)性能上的差異,由此將引起在實(shí)際應(yīng)用中對(duì)VPN技術(shù)選型造成誤導(dǎo)。
⑵ 由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評(píng)價(jià)標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對(duì)網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過(guò)公眾網(wǎng)絡(luò)傳遞。例如L2TP就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標(biāo)記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時(shí)已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術(shù)一般只能提供點(diǎn)對(duì)點(diǎn)的通道,而點(diǎn)對(duì)多點(diǎn)的業(yè)務(wù)支持能力教差,但是可擴(kuò)展性,靈活性具有優(yōu)勢(shì)。
采用隔離型隧道技術(shù),則不存在以上問(wèn)題,可以根據(jù)實(shí)際需要,提供點(diǎn)對(duì)點(diǎn),點(diǎn)對(duì)多點(diǎn),多點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)洹?/p>
3. 諸種安全與加密技術(shù)
IPVPN技術(shù),由于利用了Internet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠(yuǎn)距離。但隨之而來(lái)的是由于Internet技術(shù)的標(biāo)準(zhǔn)化和開放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對(duì)策的訪問(wèn)控制來(lái)提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,使得在IPVPN的網(wǎng)點(diǎn)A和網(wǎng)點(diǎn)B之間安全通信受到威脅。因此,利用IPVPN通信時(shí),應(yīng)比專線更加注意Internet接入點(diǎn)的安全。為此,IPVPN采用了以下諸種安全與加密技術(shù)。[2]
⑴ 防火墻技術(shù)
防火墻技術(shù),主要用于抵御來(lái)自黑客的攻擊。
⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)
加密技術(shù)可以分為對(duì)稱加密和非對(duì)稱加密(專用密鑰號(hào)與公用密鑰)。對(duì)稱加密(或?qū)S眉用?也稱常規(guī)加密,由通信雙方共享一個(gè)秘密密鑰。
非對(duì)稱加密,或公用密鑰,通信雙方使用兩個(gè)不同的密鑰,一個(gè)是只有發(fā)送方知道的專用密鑰,另一個(gè)則是對(duì)應(yīng)的公用密鑰。任何一方都可以得到公用密鑰?;谒淼兰夹g(shù)的VPN虛擬專用網(wǎng),只有采用了以上諸種技術(shù)以后,才能夠發(fā)揮其良好的通信功能。
參考文獻(xiàn)
[1] E Rescorla, A Schiffman. The secure hypertext trausfer protocol. Draft-wes-shttp-06[R]. text 1998,6.
關(guān)鍵詞 網(wǎng)絡(luò)型病毒 網(wǎng)絡(luò)安全 安全技術(shù)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A
隨著科技的發(fā)展以及計(jì)算機(jī)普及,當(dāng)前計(jì)算機(jī)運(yùn)用已經(jīng)深入到了人們生活的各個(gè)領(lǐng)域,在網(wǎng)絡(luò)信息時(shí)代,人們對(duì)網(wǎng)絡(luò)具有較高的依賴性。但是在計(jì)算機(jī)網(wǎng)絡(luò)快速發(fā)展的今天,由網(wǎng)絡(luò)型病毒帶來(lái)的計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題對(duì)人們生活生產(chǎn)中的信息通訊安全造成消極影響,需充分對(duì)網(wǎng)絡(luò)型的病毒進(jìn)行分析,提升網(wǎng)絡(luò)安全水平。
1 網(wǎng)絡(luò)型病毒概況與計(jì)算機(jī)網(wǎng)絡(luò)在安全方面存在的威脅
1.1 網(wǎng)絡(luò)型病毒概況
計(jì)算機(jī)病毒是會(huì)對(duì)計(jì)算機(jī)造成危害的、人為編制而成的代碼或者程序,從上個(gè)世紀(jì)80年代流行至今,計(jì)算機(jī)病毒的分類較多,如,按照寄生對(duì)象,可分為混合型病毒、文件型病毒以及引導(dǎo)型病毒幾類,另外還可按照特有的算法、危害的程度或者相關(guān)鏈接形式進(jìn)行分類。網(wǎng)絡(luò)型病毒的特點(diǎn)在于具有可執(zhí)行性、傳播性、破壞性以及隱蔽性,最為突出特征在于傳播形式復(fù)雜,擴(kuò)散面積廣泛,傳染速度較快以及較難進(jìn)行清除等。據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì),超過(guò)86%以上的網(wǎng)絡(luò)型病毒在清除之后仍然會(huì)在30天以內(nèi)進(jìn)行二次感染。
1.2 計(jì)算機(jī)網(wǎng)絡(luò)潛在的安全隱患
計(jì)算機(jī)網(wǎng)絡(luò)面臨的是網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)數(shù)據(jù)信息等多方面的安全隱患。概括而言包括3大方面的安全威脅:其一是人為的攻擊,又分為被動(dòng)的攻擊以及主動(dòng)的攻擊,主動(dòng)攻擊指對(duì)數(shù)據(jù)流進(jìn)行復(fù)制、修改、插入或者延遲,從而實(shí)現(xiàn)信息破壞目的,被動(dòng)的攻擊為截獲某種信息,實(shí)現(xiàn)監(jiān)視或者偷聽目的;其二是人為粗心大意造成的威脅,例如,計(jì)算機(jī)用戶操作失誤形成安全漏洞,防火墻設(shè)置不完善則會(huì)為外界攻擊創(chuàng)造條件;又如,未能及時(shí)對(duì)防護(hù)軟件進(jìn)行更新也會(huì)帶來(lái)隱患;其三,網(wǎng)絡(luò)下載軟件存在漏洞,也會(huì)成為黑客攻擊的重點(diǎn)。
2 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)探究
實(shí)際上,網(wǎng)絡(luò)型病毒可能是執(zhí)行碼,也可能是某個(gè)程序,對(duì)計(jì)算機(jī)正常使用造成破壞,甚至損壞硬盤或者操作系統(tǒng)。①如同生物病毒,網(wǎng)絡(luò)型病毒能夠進(jìn)行自我復(fù)制以及快速傳播,造成較大范圍的網(wǎng)絡(luò)安全威脅。當(dāng)前涉及網(wǎng)絡(luò)安全的病毒防護(hù)技術(shù)主要包括病毒的檢測(cè)、病毒的防御以及病毒的清除等技術(shù)。②而隨著科技的發(fā)展,當(dāng)前網(wǎng)絡(luò)安全保障技術(shù)的發(fā)展方向可以論述為:開放式網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)集成化的網(wǎng)絡(luò)安全技術(shù)等。
2.1 容災(zāi)網(wǎng)絡(luò)安全技術(shù)
當(dāng)前,保證數(shù)據(jù)信息的安全可靠已經(jīng)成為影響各個(gè)機(jī)構(gòu)生存和發(fā)展的關(guān)鍵所在,包括吉林大學(xué)某學(xué)院的網(wǎng)絡(luò)中心在內(nèi)的各個(gè)機(jī)構(gòu)都十分重視數(shù)據(jù)安全,在災(zāi)難發(fā)生時(shí)確保網(wǎng)絡(luò)安全,容災(zāi)技術(shù)十分關(guān)鍵。對(duì)計(jì)算機(jī)的正常運(yùn)轉(zhuǎn)造成影響的因素都被稱為災(zāi)難,例如,人為的破壞、設(shè)備的故障或者客觀自然災(zāi)害都是計(jì)算機(jī)網(wǎng)絡(luò)的災(zāi)難,一旦發(fā)生上述幾種情況,容災(zāi)技術(shù)可在盡量保證數(shù)據(jù)丟失量較小的前提下,保證系統(tǒng)的運(yùn)行。
該安全技術(shù)的評(píng)價(jià)指標(biāo)內(nèi)容為:服務(wù)的丟失(RT0)、以及數(shù)據(jù)的丟失(RPO),數(shù)據(jù)容災(zāi)技術(shù)主要是事先設(shè)置異地?cái)?shù)據(jù)信息系統(tǒng),用于關(guān)鍵數(shù)據(jù)的實(shí)時(shí)恢復(fù);應(yīng)用容災(zāi)技術(shù)主要是異地構(gòu)建備份系統(tǒng),出現(xiàn)災(zāi)難情況,啟用備份的系統(tǒng)確保系統(tǒng)正常運(yùn)轉(zhuǎn)。
2.2 數(shù)據(jù)加密網(wǎng)絡(luò)安全技術(shù)
這一技術(shù)是為網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。是在傳輸數(shù)據(jù)過(guò)程中,為數(shù)據(jù)設(shè)置加法運(yùn)算并進(jìn)行重新編碼,保證數(shù)據(jù)信息的隱藏,從而使非法用戶無(wú)法查看信息,保護(hù)數(shù)據(jù)以及信息系統(tǒng)安全。
這一技術(shù)能在計(jì)算機(jī)的OSl7層協(xié)議使用,以數(shù)據(jù)加密技術(shù)的邏輯方位為前提進(jìn)行分析,通常加密技術(shù)形式為節(jié)點(diǎn)加密、鏈路加密、以及端口對(duì)端口的加密,另外從加密技術(shù)的作用出發(fā),可將其分為密鑰管理、傳輸數(shù)據(jù)、儲(chǔ)存數(shù)據(jù)、保證數(shù)據(jù)完整等方面技術(shù)。
2.3 計(jì)算機(jī)虛擬專用網(wǎng)絡(luò)的安全技術(shù)
所謂虛擬專用網(wǎng)絡(luò),主要是指以公共的數(shù)據(jù)網(wǎng)絡(luò)為基礎(chǔ)的,讓使用者能直接與私人局域網(wǎng)進(jìn)行(下轉(zhuǎn)第57頁(yè))(上接第52頁(yè))連接的網(wǎng)絡(luò)服務(wù),又被稱為VPN(如圖1),該技術(shù)的基礎(chǔ)在于網(wǎng)絡(luò)服務(wù)的供應(yīng)商以及Internet的服務(wù)商利用公用的網(wǎng)絡(luò)構(gòu)建專用通信網(wǎng)絡(luò),而專用虛擬的網(wǎng)絡(luò)中,連接不同的兩個(gè)節(jié)點(diǎn)并不需要依靠傳統(tǒng)的端口到端口的鏈路,而是由公共網(wǎng)絡(luò)資源的動(dòng)態(tài)所構(gòu)成。
圖1 某VPN應(yīng)用網(wǎng)絡(luò)接入圖
當(dāng)前,VPN的主要作用在于傳輸私人數(shù)據(jù)信息,虛擬專用網(wǎng)絡(luò)的安全技術(shù)主要包括4大板塊內(nèi)容,身份認(rèn)證技術(shù)、加密解密技術(shù)、隧道技術(shù)以及密鑰管理的技術(shù),這4種技術(shù)能有效保證網(wǎng)絡(luò)信息的安全,抵制別有用心的信息攔截、偷聽、篡改信息等行為,實(shí)現(xiàn)網(wǎng)絡(luò)的安全,而該技術(shù)的優(yōu)勢(shì)在于能在對(duì)網(wǎng)絡(luò)設(shè)計(jì)進(jìn)行簡(jiǎn)化的過(guò)程中提升網(wǎng)絡(luò)安全水平,具有極強(qiáng)的靈活性以及拓展性。因此,也成為計(jì)算機(jī)的網(wǎng)絡(luò)安全技術(shù)主要研究方向之一。
關(guān)鍵詞:數(shù)字簽名;加密技術(shù);數(shù)字證書;電子文檔;安全問(wèn)題
Abstract:Today’sapprovalofnewdrugsintheinternationalcommunityneedstocarryouttherawdatatransmission.Thetraditionalwayofexaminationandapprovalredtapeandinefficiency,andtheuseoftheInternettotransmitelectronictextcankeepdatasafeandreliable,butalsogreatlysavemanpower,materialandfinancialresources,andsoon.Inthispaper,encryptionanddigitalsignaturealgorithmofthebasicprinciples,combinedwithhisownideas,givenmedicalapprovalintheelectronictransmissionofthetextofthesecuritysolution.
Keywords:digitalsignature;encryptiontechnology;digitalcertificate;electronicdocuments;securityissues
1引言
隨著我國(guó)醫(yī)藥事業(yè)的發(fā)展,研制新藥,搶占國(guó)內(nèi)市場(chǎng)已越演越烈。以前一些醫(yī)藥都是靠進(jìn)口,不僅成本高,而且容易形成壁壘。目前,我國(guó)的醫(yī)藥研究人員經(jīng)過(guò)不懈的努力,開始研制出同類同效的藥物,然而這些藥物在走向市場(chǎng)前,必須經(jīng)過(guò)國(guó)際權(quán)威醫(yī)療機(jī)構(gòu)的審批,傳統(tǒng)方式是藥物分析的原始數(shù)據(jù)都是采用紙張方式,不僅數(shù)量多的嚇人,而且一旦有一點(diǎn)差錯(cuò)就需從頭做起,浪費(fèi)大量的人力、物力、財(cái)力。隨著INTERNET的發(fā)展和普及,人們開始考慮是否能用互聯(lián)網(wǎng)來(lái)解決數(shù)據(jù)傳輸問(wèn)題。他們希望自己的儀器所做的結(jié)果能通過(guò)網(wǎng)絡(luò)安全傳輸、并得到接收方認(rèn)證。目前國(guó)外針對(duì)這一情況已⒘四承┤砑歡?,由釉傐格昂贵,茧H醪皇嗆艸墑歟勾τ諮櫓そ錐危媸被嶸兜腦潁諍萇偈褂謾U餼透諞揭┭蟹⑹亂敵緯閃思際跗烤?,染U慰⒊鍪視櫚南嚶θ砑?,绖?chuàng)俳夜揭┥笈ぷ韉姆⒄咕統(tǒng)閃斯詰那把亓煊潁胰漲骯謖夥矯嫻難芯坎皇嗆芏唷?lt;/DIV>
本文闡述的思想:基本上是參考國(guó)際國(guó)內(nèi)現(xiàn)有的算法和體制及一些相關(guān)的應(yīng)用實(shí)例,并結(jié)合個(gè)人的思想提出了一套基于公鑰密碼體制和對(duì)稱加密技術(shù)的解決方案,以確保醫(yī)藥審批中電子文本安全傳輸和防止竄改,不可否認(rèn)等。
2算法設(shè)計(jì)
2.1AES算法的介紹[1]
高級(jí)加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard)美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)委員會(huì)(NIST)在2000年10月選定了比利時(shí)的研究成果"Rijndael"作為AES的基礎(chǔ)。"Rijndael"是經(jīng)過(guò)三年漫長(zhǎng)的過(guò)程,最終從進(jìn)入候選的五種方案中挑選出來(lái)的。
AES內(nèi)部有更簡(jiǎn)潔精確的數(shù)學(xué)算法,而加密數(shù)據(jù)只需一次通過(guò)。AES被設(shè)計(jì)成高速,堅(jiān)固的安全性能,而且能夠支持各種小型設(shè)備。
AES和DES的性能比較:
(1)DES算法的56位密鑰長(zhǎng)度太短;
(2)S盒中可能有不安全的因素;
(3)AES算法設(shè)計(jì)簡(jiǎn)單,密鑰安裝快、需要的內(nèi)存空間少,在所有平臺(tái)上運(yùn)行良好,支持并行處理,還可抵抗所有已知攻擊;
(4)AES很可能取代DES成為新的國(guó)際加密標(biāo)準(zhǔn)。
總之,AES比DES支持更長(zhǎng)的密鑰,比DES具有更強(qiáng)的安全性和更高的效率,比較一下,AES的128bit密鑰比DES的56bit密鑰強(qiáng)1021倍。隨著信息安全技術(shù)的發(fā)展,已經(jīng)發(fā)現(xiàn)DES很多不足之處,對(duì)DES的破解方法也日趨有效。AES會(huì)代替DES成為21世紀(jì)流行的對(duì)稱加密算法。
2.2橢圓曲線算法簡(jiǎn)介[2]
2.2.1橢圓曲線定義及加密原理[2]
所謂橢圓曲線指的是由韋爾斯特拉斯(Weierstrass)方程y2+a1xy+a3y=x3+a2x2+a4x+a6(1)所確定的平面曲線。若F是一個(gè)域,ai∈F,i=1,2,…,6。滿足式1的數(shù)偶(x,y)稱為F域上的橢圓曲線E的點(diǎn)。F域可以式有理數(shù)域,還可以式有限域GF(Pr)。橢圓曲線通常用E表示。除了曲線E的所有點(diǎn)外,尚需加上一個(gè)叫做無(wú)窮遠(yuǎn)點(diǎn)的特殊O。
在橢圓曲線加密(ECC)中,利用了某種特殊形式的橢圓曲線,即定義在有限域上的橢圓曲線。其方程如下:
y2=x3+ax+b(modp)(2)
這里p是素?cái)?shù),a和b為兩個(gè)小于p的非負(fù)整數(shù),它們滿足:
4a3+27b2(modp)≠0其中,x,y,a,b∈Fp,則滿足式(2)的點(diǎn)(x,y)和一個(gè)無(wú)窮點(diǎn)O就組成了橢圓曲線E。
橢圓曲線離散對(duì)數(shù)問(wèn)題ECDLP定義如下:給定素?cái)?shù)p和橢圓曲線E,對(duì)Q=kP,在已知P,Q的情況下求出小于p的正整數(shù)k??梢宰C明,已知k和P計(jì)算Q比較容易,而由Q和P計(jì)算k則比較困難,至今沒有有效的方法來(lái)解決這個(gè)問(wèn)題,這就是橢圓曲線加密算法原理之所在。
2.2.2橢圓曲線算法與RSA算法的比較
橢圓曲線公鑰系統(tǒng)是代替RSA的強(qiáng)有力的競(jìng)爭(zhēng)者。橢圓曲線加密方法與RSA方法相比,有以下的優(yōu)點(diǎn):
(1)安全性能更高如160位ECC與1024位RSA、DSA有相同的安全強(qiáng)度。
(2)計(jì)算量小,處理速度快在私鑰的處理速度上(解密和簽名),ECC遠(yuǎn)比RSA、DSA快得多。
(3)存儲(chǔ)空間占用小ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多,所以占用的存儲(chǔ)空間小得多。
(4)帶寬要求低使得ECC具有廣泛得應(yīng)用前景。
ECC的這些特點(diǎn)使它必將取代RSA,成為通用的公鑰加密算法。比如SET協(xié)議的制定者已把它作為下一代SET協(xié)議中缺省的公鑰密碼算法。
2.3安全散列函數(shù)(SHA)介紹
安全散列算法SHA(SecureHashAlgorithm,SHA)[1]是美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)局的國(guó)家標(biāo)準(zhǔn)FIPSPUB180-1,一般稱為SHA-1。其對(duì)長(zhǎng)度不超過(guò)264二進(jìn)制位的消息產(chǎn)生160位的消息摘要輸出。
SHA是一種數(shù)據(jù)加密算法,該算法經(jīng)過(guò)加密專家多年來(lái)的發(fā)展和改進(jìn)已日益完善,現(xiàn)在已成為公認(rèn)的最安全的散列算法之一,并被廣泛使用。該算法的思想是接收一段明文,然后以一種不可逆的方式將它轉(zhuǎn)換成一段(通常更?。┟芪模部梢院?jiǎn)單的理解為取一串輸入碼(稱為預(yù)映射或信息),并把它們轉(zhuǎn)化為長(zhǎng)度較短、位數(shù)固定的輸出序列即散列值(也稱為信息摘要或信息認(rèn)證代碼)的過(guò)程。散列函數(shù)值可以說(shuō)時(shí)對(duì)明文的一種“指紋”或是“摘要”所以對(duì)散列值的數(shù)字簽名就可以視為對(duì)此明文的數(shù)字簽名。
3數(shù)字簽名
“數(shù)字簽名”用來(lái)保證信息傳輸過(guò)程中信息的完整和提供信息發(fā)送者的身份認(rèn)證和不可抵賴性。數(shù)字簽名技術(shù)的實(shí)現(xiàn)基礎(chǔ)是公開密鑰加密技術(shù),是用某人的私鑰加密的消息摘要用于確認(rèn)消息的來(lái)源和內(nèi)容。公鑰算法的執(zhí)行速度一般比較慢,把Hash函數(shù)和公鑰算法結(jié)合起來(lái),所以在數(shù)字簽名時(shí),首先用hash函數(shù)(消息摘要函數(shù))將消息轉(zhuǎn)變?yōu)橄⒄?,然后?duì)這個(gè)摘
要簽名。目前比較流行的消息摘要算法是MD4,MD5算法,但是隨著計(jì)算能力和散列密碼分析的發(fā)展,這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。
4解決方案:
下面是醫(yī)藥審批系統(tǒng)中各個(gè)物理組成部分及其相互之間的邏輯關(guān)系圖:
要簽名。目前比較流行的消息摘要算法是MD4,MD5算法,但是隨著計(jì)算能力和散列密碼分析的發(fā)展,這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――SHA算法。
4解決方案:
下面是醫(yī)藥審批系統(tǒng)中各個(gè)物理組成部分及其相互之間的邏輯關(guān)系圖:
圖示:電子文本傳輸加密、簽名過(guò)程
下面是將醫(yī)藥審批過(guò)程中的電子文本安全傳輸?shù)慕鉀Q方案:
具體過(guò)程如下:
(1)發(fā)送方A將發(fā)送原文用SHA函數(shù)編碼,產(chǎn)生一段固定長(zhǎng)度的數(shù)字摘要。
(2)發(fā)送方A用自己的私鑰(keyA私)對(duì)摘要加密,形成數(shù)字簽名,附在發(fā)送信息原文后面。
(3)發(fā)送方A產(chǎn)生通信密鑰(AES對(duì)稱密鑰),用它對(duì)帶有數(shù)字簽名的原文進(jìn)行加密,傳送到接收方B。這里使用對(duì)稱加密算法AES的優(yōu)勢(shì)是它的加解密的速度快。
(4)發(fā)送方A用接收方B的公鑰(keyB公)對(duì)自己的通信密鑰進(jìn)行加密后,傳到接收方B。這一步利用了數(shù)字信封的作用,。
(5)接收方B收到加密后的通信密鑰,用自己的私鑰對(duì)其解密,得到發(fā)送方A的通信密鑰。
(6)接收方B用發(fā)送方A的通信密鑰對(duì)收到的經(jīng)加密的簽名原文解密,得數(shù)字簽名和原文。
(7)接收方B用發(fā)送方A公鑰對(duì)數(shù)字簽名解密,得到摘要;同時(shí)將原文用SHA-1函數(shù)編碼,產(chǎn)生另一個(gè)摘要。
(8)接收方B將兩摘要比較,若一致說(shuō)明信息沒有被破壞或篡改。否則丟棄該文檔。
這個(gè)過(guò)程滿足5個(gè)方面的安全性要求:(1)原文的完整性和簽名的快速性:利用單向散列函數(shù)SHA-1先將原文換算成摘要,相當(dāng)原文的指紋特征,任何對(duì)原文的修改都可以被接收方B檢測(cè)出來(lái),從而滿足了完整性的要求;再用發(fā)送方公鑰算法(ECC)的私鑰加密摘要形成簽名,這樣就克服了公鑰算法直接加密原文速度慢的缺點(diǎn)。(2)加解密的快速性:用對(duì)稱加密算法AES加密原文和數(shù)字簽名,充分利用了它的這一優(yōu)點(diǎn)。(3)更高的安全性:第四步中利用數(shù)字信封的原理,用接收方B的公鑰加密發(fā)送方A的對(duì)稱密鑰,這樣就解決了對(duì)稱密鑰傳輸困難的不足。這種技術(shù)的安全性相當(dāng)高。結(jié)合對(duì)稱加密技術(shù)(AES)和公開密鑰技術(shù)(ECC)的優(yōu)點(diǎn),使用兩個(gè)層次的加密來(lái)獲得公開密鑰技術(shù)的靈活性和對(duì)稱密鑰技術(shù)的高效性。(4)保密性:第五步中,發(fā)送方A的對(duì)稱密鑰是用接收方B的公鑰加密并傳給自己的,由于沒有別人知道B的私鑰,所以只有B能夠?qū)@份加密文件解密,從而又滿足保密性要求。(5)認(rèn)證性和抗否認(rèn)性:在最后三步中,接收方B用發(fā)送方A的公鑰解密數(shù)字簽名,同時(shí)就認(rèn)證了該簽名的文檔是發(fā)送A傳遞過(guò)來(lái)的;由于沒有別人擁有發(fā)送方A的私鑰,只有發(fā)送方A能夠生成可以用自己的公鑰解密的簽名,所以發(fā)送方A不能否認(rèn)曾經(jīng)對(duì)該文檔進(jìn)進(jìn)行過(guò)簽名。
5方案評(píng)價(jià)與結(jié)論
為了解決傳統(tǒng)的新藥審批中的繁瑣程序及其必有的缺點(diǎn),本文提出利用基于公鑰算法的數(shù)字簽名對(duì)文檔進(jìn)行電子簽名,從而大大增強(qiáng)了文檔在不安全網(wǎng)絡(luò)環(huán)境下傳遞的安全性。
本方案在選擇加密和數(shù)字簽名算法上都是經(jīng)過(guò)精心的比較,并且結(jié)合現(xiàn)有的相關(guān)應(yīng)用實(shí)例情況,提出醫(yī)藥審批過(guò)程的解決方案,其優(yōu)越性是:將對(duì)稱密鑰AES算法的快速、低成本和非對(duì)稱密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結(jié)合在一起,從而提供了完整的安全服務(wù),包括身份認(rèn)證、保密性、完整性檢查、抗否認(rèn)等。
參考文獻(xiàn):
1.李永新.數(shù)字簽名技術(shù)的研究與探討。紹興文理學(xué)院學(xué)報(bào)。第23卷第7期2003年3月,P47~49.
2.康麗軍。數(shù)字簽名技術(shù)及應(yīng)用,太原重型機(jī)械學(xué)院學(xué)報(bào)。第24卷第1期2003年3月P31~34.
3.胡炎,董名垂。用數(shù)字簽名解決電力系統(tǒng)敏感文檔簽名問(wèn)題。電力系統(tǒng)自動(dòng)化。第26卷第1期2002年1月P58~61。
4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.
5.WrightMA,workSecurity,1998(2)P10~13.
6.BruceSchneier.應(yīng)用密碼學(xué)---協(xié)議、算法與C源程序(吳世終,祝世雄,張文政,等).北京:機(jī)械工業(yè)出版社,2001。
7.賈晶,陳元,王麗娜,信息系統(tǒng)的安全與保密[M],北京:清華大學(xué)出版社,1999
8.陳彥學(xué).信息安全理論與實(shí)務(wù)【M】。北京:中國(guó)鐵道出版社,2000p167~178.
9.顧婷婷,《AES和橢圓曲線密碼算法的研究》。四川大學(xué)碩士學(xué)位論文,【館藏號(hào)】Y4625892002。
下面是將醫(yī)藥審批過(guò)程中的電子文本安全傳輸?shù)慕鉀Q方案:
具體過(guò)程如下:
(1)發(fā)送方A將發(fā)送原文用SHA函數(shù)編碼,產(chǎn)生一段固定長(zhǎng)度的數(shù)字摘要。
(2)發(fā)送方A用自己的私鑰(keyA私)對(duì)摘要加密,形成數(shù)字簽名,附在發(fā)送信息原文后面。
(3)發(fā)送方A產(chǎn)生通信密鑰(AES對(duì)稱密鑰),用它對(duì)帶有數(shù)字簽名的原文進(jìn)行加密,傳送到接收方B。這里使用對(duì)稱加密算法AES的優(yōu)勢(shì)是它的加解密的速度快。
(4)發(fā)送方A用接收方B的公鑰(keyB公)對(duì)自己的通信密鑰進(jìn)行加密后,傳到接收方B。這一步利用了數(shù)字信封的作用,。
(5)接收方B收到加密后的通信密鑰,用自己的私鑰對(duì)其解密,得到發(fā)送方A的通信密鑰。
(6)接收方B用發(fā)送方A的通信密鑰對(duì)收到的經(jīng)加密的簽名原文解密,得數(shù)字簽名和原文。
(7)接收方B用發(fā)送方A公鑰對(duì)數(shù)字簽名解密,得到摘要;同時(shí)將原文用SHA-1函數(shù)編碼,產(chǎn)生另一個(gè)摘要。
(8)接收方B將兩摘要比較,若一致說(shuō)明信息沒有被破壞或篡改。否則丟棄該文檔。
這個(gè)過(guò)程滿足5個(gè)方面的安全性要求:(1)原文的完整性和簽名的快速性:利用單向散列函數(shù)SHA-1先將原文換算成摘要,相當(dāng)原文的指紋特征,任何對(duì)原文的修改都可以被接收方B檢測(cè)出來(lái),從而滿足了完整性的要求;再用發(fā)送方公鑰算法(ECC)的私鑰加密摘要形成簽名,這樣就克服了公鑰算法直接加密原文速度慢的缺點(diǎn)。(2)加解密的快速性:用對(duì)稱加密算法AES加密原文和數(shù)字簽名,充分利用了它的這一優(yōu)點(diǎn)。(3)更高的安全性:第四步中利用數(shù)字信封的原理,用接收方B的公鑰加密發(fā)送方A的對(duì)稱密鑰,這樣就解決了對(duì)稱密鑰傳輸困難的不足。這種技術(shù)的安全性相當(dāng)高。結(jié)合對(duì)稱加密技術(shù)(AES)和公開密鑰技術(shù)(ECC)的優(yōu)點(diǎn),使用兩個(gè)層次的加密來(lái)獲得公開密鑰技術(shù)的靈活性和對(duì)稱密鑰技術(shù)的高效性。(4)保密性:第五步中,發(fā)送方A的對(duì)稱密鑰是用接收方B的公鑰加密并傳給自己的,由于沒有別人知道B的私鑰,所以只有B能夠?qū)@份加密文件解密,從而又滿足保密性要求。(5)認(rèn)證性和抗否認(rèn)性:在最后三步中,接收方B用發(fā)送方A的公鑰解密數(shù)字簽名,同時(shí)就認(rèn)證了該簽名的文檔是發(fā)送A傳遞過(guò)來(lái)的;由于沒有別人擁有發(fā)送方A的私鑰,只有發(fā)送方A能夠生成可以用自己的公鑰解密的簽名,所以發(fā)送方A不能否認(rèn)曾經(jīng)對(duì)該文檔進(jìn)進(jìn)行過(guò)簽名。
5方案評(píng)價(jià)與結(jié)論
為了解決傳統(tǒng)的新藥審批中的繁瑣程序及其必有的缺點(diǎn),本文提出利用基于公鑰算法的數(shù)字簽名對(duì)文檔進(jìn)行電子簽名,從而大大增強(qiáng)了文檔在不安全網(wǎng)絡(luò)環(huán)境下傳遞的安全性。
本方案在選擇加密和數(shù)字簽名算法上都是經(jīng)過(guò)精心的比較,并且結(jié)合現(xiàn)有的相關(guān)應(yīng)用實(shí)例情況,提出醫(yī)藥審批過(guò)程的解決方案,其優(yōu)越性是:將對(duì)稱密鑰AES算法的快速、低成本和非對(duì)稱密鑰ECC算法的有效性以及比較新的算列算法SHA完美地結(jié)合在一起,從而提供了完整的安全服務(wù),包括身份認(rèn)證、保密性、完整性檢查、抗否認(rèn)等。
參考文獻(xiàn):
1.李永新.數(shù)字簽名技術(shù)的研究與探討。紹興文理學(xué)院學(xué)報(bào)。第23卷第7期2003年3月,P47~49.
2.康麗軍。數(shù)字簽名技術(shù)及應(yīng)用,太原重型機(jī)械學(xué)院學(xué)報(bào)。第24卷第1期2003年3月P31~34.
3.胡炎,董名垂。用數(shù)字簽名解決電力系統(tǒng)敏感文檔簽名問(wèn)題。電力系統(tǒng)自動(dòng)化。第26卷第1期2002年1月P58~61。
4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.
5.WrightMA,workSecurity,1998(2)P10~13.
6.BruceSchneier.應(yīng)用密碼學(xué)---協(xié)議、算法與C源程序(吳世終,祝世雄,張文政,等).北京:機(jī)械工業(yè)出版社,2001。
7.賈晶,陳元,王麗娜,信息系統(tǒng)的安全與保密[M],北京:清華大學(xué)出版社,1999
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:CSCD期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)