前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的數(shù)字簽名技術(shù)論文主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:橢圓曲線 數(shù)字簽名 RSA
中圖分類號(hào):TH11 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-3973 (2010) 02-096-02
1概述
數(shù)字簽名技術(shù)是信息安全機(jī)制中的一種重要技術(shù)。已經(jīng)廣泛應(yīng)用于電子商務(wù)和通信系統(tǒng)中,包括身份認(rèn)證,數(shù)據(jù)完整性,不可否認(rèn)性等方面,甚至在日常的電子郵件中也有應(yīng)用。數(shù)字簽名提出的目的就是在網(wǎng)絡(luò)環(huán)境下模擬日常的手工簽名或印章,它可以抵御冒充、篡改、偽造、抵賴問(wèn)題。數(shù)字簽名的安全特性是:不可否認(rèn)性,不可偽造性。
數(shù)字簽名算法一般采用非對(duì)稱密鑰密碼體制來(lái)實(shí)現(xiàn)。常見的數(shù)字簽名算法有:RSA,其安全性是基于求解離散對(duì)數(shù)的困難性;DSA,其安全性是基于對(duì)有限域的離散對(duì)數(shù)問(wèn)題的不可實(shí)現(xiàn)性;ECDSA(橢圓曲線數(shù)字簽名算法,Elliptic CurveDigital Signature Algorithm),其安全性給予橢圓曲線離散對(duì)數(shù)問(wèn)題的不可實(shí)現(xiàn)性)等 。
在本文中首先介紹RSA和橢圓曲線域數(shù)字簽名算法ECDSA簽名與驗(yàn)證過(guò)程,然后比較兩種算法在抗攻擊性能,密鑰大小,系統(tǒng)消耗,求解難度等方面的不同。
2基于RSA數(shù)字簽名算法
RSA用到了初等數(shù)論中的一個(gè)重要定理-歐拉定理,其安全性依賴于數(shù)的因數(shù)分解的困難性。RSA的簽名產(chǎn)生和簽名認(rèn)證過(guò)程如下 :
(1)隨機(jī)選擇兩個(gè)素?cái)?shù)p和q,滿足|p|≈|q|;
(2)計(jì)算n=pq, (n)=(p-1)(q-l) ;
(3)隨機(jī)選擇整數(shù)e< (n),滿足gcd(e, (n))=1;計(jì)算整數(shù)d,滿足E*d1mod(n) ;
(4)p,q和 (n)保密,公鑰為(n,e),私鑰為d;
(5)對(duì)消息M進(jìn)行數(shù)字摘要運(yùn)算,得到摘要S;
(6)對(duì)摘要值S生成簽名:V=Sd mod n;
(7)接收方驗(yàn)證簽名:計(jì)算s=Ve mod n,并對(duì)消息M用同一數(shù)字摘要算法進(jìn)行摘要運(yùn)算,得到摘要值S。若S=s則通過(guò)簽名認(rèn)證。
3橢圓曲線數(shù)字簽名算法(ECDSA)
設(shè)橢圓曲線公鑰密碼系統(tǒng)參數(shù)為(),其中是有限域,E是Fq上的橢圓曲線,G是E上的一個(gè)有理點(diǎn),稱為基點(diǎn),G的階為q(q為素?cái)?shù)), a,b是橢圓曲線E的系數(shù),h是一個(gè)單向安全的哈希函數(shù)。
已知:待簽名消息M,域參數(shù)D=(q,f(x),a,b,G,n,h)及密鑰對(duì)(x,y)ECDSA簽名的產(chǎn)生 :
3.1簽名算法
(1)選取一個(gè)隨機(jī)或偽隨機(jī)數(shù) ;
(2)計(jì)算 ,且如果 r=0,則返回第一步;
(3)計(jì)算 ,若s=0則返回第一步;
(4)對(duì)消息m的簽名為(r,s);
3.2驗(yàn)證算法
(1)計(jì)算 ;
(2)計(jì)算;
(3)計(jì)算,如果v=r則簽名正確,否則驗(yàn)證失敗。
4算法比較與分析
數(shù)字簽名主要是利用公鑰密碼學(xué)構(gòu)造的,RSA和ECC它們是基于不同的數(shù)學(xué)難題基礎(chǔ)上的,而且不同的密碼算法以及簽名體制有不同的算法復(fù)雜度。RSA的破譯和求解難度是亞指數(shù)級(jí) 的,國(guó)家公認(rèn)的對(duì)于RSA最有效都是攻擊方法是用一般數(shù)篩選方法去破譯和攻擊RSA;而ECDSA的破譯和求解難度基本上是指數(shù)級(jí) 的,Pollard rho算法是目前破解一般ECDSA最有效的算法。
4.1RSA和ECDSA的密鑰長(zhǎng)度比較
表1RSA與ECDSA的密鑰長(zhǎng)度和抗攻擊性比較
4.2RSA和ECDSA的優(yōu)缺點(diǎn)的比較
ECC與RSA和離散對(duì)數(shù)系統(tǒng)的比較可知,160比特的ECC強(qiáng)度可大致相當(dāng)于1024比特的RSA/DSA。這樣,在相當(dāng)安全強(qiáng)度下,ECC的較短的密鑰長(zhǎng)度可提高電子交易的速度,減少存儲(chǔ)空間。下面對(duì)RSA和ECDSA在其他方便進(jìn)行比較:研究表明,在同樣安全級(jí)別的密碼體制中,ECDSA的密鑰規(guī)模小,節(jié)省帶寬和空間,尤其適合一些計(jì)算能力和存儲(chǔ)空間受限的應(yīng)用領(lǐng)域,從而研究ECDSA的快速實(shí)現(xiàn)一直被認(rèn)為有其重要的理論意義和應(yīng)用價(jià)值。
注釋:
張曉華,李宏佳,魏權(quán)利.橢圓曲線數(shù)字簽名算法(ECDSA)軟件仿真的研究[C]. 中國(guó)電子學(xué)會(huì)第十五屆信息論學(xué)術(shù)年會(huì)暨第一屆全國(guó)網(wǎng)絡(luò)編碼學(xué)術(shù)年會(huì)論文集(上).2008,1(Z) 607-611.
劉學(xué)清,李梅,宋超等.基于RSA的數(shù)字簽名算法及其快速實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2009.
賈良.基于橢圓曲線的數(shù)字簽名的分析與設(shè)計(jì)[D].學(xué)位論文.中北大學(xué),2009.
關(guān)鍵詞:信息系統(tǒng);權(quán)限管理;數(shù)據(jù)加密;數(shù)字簽名
中圖分類號(hào):TP309.2文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 05-0000-02
Information System Security Solutions
Qi Shifeng
(Computer Sciences School,Panzhihua University,Panzhihua617000,China)
Abstract:Security is inevitable for every information system.This paper provides solutions to the information system security by using the relevant technologies such as firewalls externally,and internally authority administration,data encryption,digital signatures and so on.Practice has proved these solutions and their reference value.
Keywords:Information System;Authority;Data encryption;Digital Signatures
一、引言
信息系統(tǒng)的迅速發(fā)展和廣泛應(yīng)用,顯示了它的巨大生命力;另一方面也體現(xiàn)了人類社會(huì)對(duì)信息系統(tǒng)的依賴性越來(lái)越強(qiáng)。但信息系統(tǒng)的安全是一個(gè)不可回避的問(wèn)題,一者信息系統(tǒng)管理著核心數(shù)據(jù),一旦安全出現(xiàn)問(wèn)題,后果不堪設(shè)想;再者現(xiàn)在信息系統(tǒng)大多運(yùn)行環(huán)境是基于TCP/IP的,眾所周知,TCP/IP協(xié)議本身是不安全的,因此必須充分考慮信息系統(tǒng)的安全性。信息系統(tǒng)的安全問(wèn)題已成為全球性的社會(huì)問(wèn)題,也是信息系統(tǒng)建設(shè)和管理的主要瓶頸。
二、一種解決方案
信息系統(tǒng)的安全包括很多方面,一般說(shuō)來(lái),可以分為外部安全和內(nèi)部安全兩方面。對(duì)外的安全主要是防止非法攻擊,本方案通過(guò)第三方防火墻來(lái)實(shí)現(xiàn)。內(nèi)部的安全主要是保證數(shù)據(jù)安全,本方案提出兩個(gè)方面的解決:①權(quán)限管理;②數(shù)據(jù)加密。
(一)防火墻技術(shù)
防火墻是一種綜合性的技術(shù),它是一種計(jì)算機(jī)硬件和軟件的結(jié)合。顧名思義,防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn),它實(shí)際上是一種隔離技術(shù)。工作原理如圖1所示。
圖1防火墻工作原理
(二)權(quán)限管理
構(gòu)建強(qiáng)健的權(quán)限管理系統(tǒng),對(duì)保證信息系統(tǒng)的安全性是十分重要的。基于角色的訪問(wèn)控制(Role-Based Access Control,簡(jiǎn)稱RBAC)方法是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問(wèn)控制的有效方法。其顯著的兩大特征是:
1.減小授權(quán)管理的復(fù)雜性,降低管理開銷。
2.靈活地支持企業(yè)的安全策略,并對(duì)企業(yè)的變化有很大的伸縮性。
一個(gè)完整的權(quán)限管理系統(tǒng)應(yīng)該包括:用戶、角色、資源、操作這四種主體,他們簡(jiǎn)化的關(guān)系可以簡(jiǎn)化為圖2。
圖2 權(quán)限管理四種主體關(guān)系圖
RBAC認(rèn)為權(quán)限授權(quán)實(shí)際上是Who、What、How的問(wèn)題??珊?jiǎn)單表述為這樣的邏輯表達(dá)式:判斷“Who對(duì)What(Which)進(jìn)行How的操作”是否為真。
本方案權(quán)限管理采用“用戶―角色―功能權(quán)限―數(shù)據(jù)對(duì)象權(quán)限”權(quán)限管理模式管理權(quán)限。具體參見圖3。
圖3 權(quán)限管理模型
圖3所示的權(quán)限管理模型實(shí)現(xiàn)過(guò)程如下:
1.劃分用戶角色級(jí)別:系統(tǒng)管理員根據(jù)用戶崗位職責(zé)要求對(duì)其功能權(quán)限進(jìn)行分配和管理。
2.劃分功能控制單元:功能控制單元即權(quán)限控制的對(duì)象。功能控制單元根據(jù)功能結(jié)構(gòu)樹按層次進(jìn)行劃分。
3.權(quán)限管理實(shí)現(xiàn):例如,當(dāng)新員工加盟時(shí)、系統(tǒng)首先為其分配一個(gè)系統(tǒng)賬號(hào),當(dāng)給他分配崗位時(shí)、便自動(dòng)有了該崗位對(duì)應(yīng)角色的權(quán)限。當(dāng)然如果該用戶有本系統(tǒng)的一些單獨(dú)的功能使用權(quán)限,可以提出申請(qǐng)經(jīng)批準(zhǔn)后由系統(tǒng)管理員分配。
(三)數(shù)據(jù)安全保證
1.實(shí)現(xiàn)技術(shù)
(1)數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)是指將一個(gè)信息(或稱明文)經(jīng)過(guò)加密鑰匙及加密函數(shù)轉(zhuǎn)換,變成無(wú)意義的密文,從而達(dá)到使非法用戶無(wú)法獲取信息真實(shí)內(nèi)容。另一方面接收方則將此密文經(jīng)過(guò)解密函數(shù)及解密鑰匙還原成明文。常見的對(duì)稱密鑰加密算法有DES加密算法和IDEA加密算法,用得最多的公開密鑰加密算法是RSA加密算法。
(2)數(shù)字簽名。數(shù)字簽名技術(shù)是在公鑰加密系統(tǒng)的基礎(chǔ)上建立起來(lái)的。數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù),防止被人(例如接收者)進(jìn)行偽造。用來(lái)模擬現(xiàn)實(shí)生活中的簽名或印章。
2.實(shí)施策略
本方案中,系統(tǒng)的數(shù)據(jù)安全保證主要是依靠上述的數(shù)據(jù)加密技術(shù)和數(shù)字簽名技術(shù)來(lái)實(shí)現(xiàn),具體的實(shí)施策略如圖4所示。
圖4 混合加密和數(shù)字簽名聯(lián)合使用的實(shí)施策略
在圖4中,將其數(shù)據(jù)安全保證實(shí)現(xiàn)過(guò)程分為四步:數(shù)據(jù)加密、數(shù)據(jù)簽名,驗(yàn)證入庫(kù)、數(shù)據(jù)解密。
(1)數(shù)據(jù)加密:當(dāng)需要將核心信息放入數(shù)據(jù)庫(kù)時(shí),信息發(fā)送方隨機(jī)生成本次通信用的DES或IDEA密鑰K,用密鑰K加密壓縮的明文M得到密文Cm,用系統(tǒng)的RSA公鑰加密密鑰K得到Ck,再將Cm和Ck合成密文C。
(2)數(shù)字簽名:信息發(fā)送方對(duì)數(shù)據(jù)加密時(shí)生成的密文C進(jìn)行MD5運(yùn)算,產(chǎn)生一個(gè)消息摘要MD,再用自己的RSA私鑰對(duì)MD進(jìn)行解密來(lái)形成發(fā)送方的數(shù)字簽名Cd,并將Cd和C合成密文Cc。
(3)驗(yàn)證入庫(kù):數(shù)據(jù)庫(kù)服務(wù)器收到Cc后,將其分解為Cd和C。用發(fā)送方的RSA公鑰加密Cd得到MD,然后對(duì)C進(jìn)行MD5運(yùn)算,產(chǎn)生一個(gè)消息摘要MD1。比較MD和MD1,如果相同,將合成密文C放入倉(cāng)庫(kù),否則不與入庫(kù)。
(4)數(shù)據(jù)解密:對(duì)于有權(quán)訪問(wèn)核心數(shù)據(jù)的用戶,系統(tǒng)將向其提供RSA私鑰,訪問(wèn)時(shí)首先從數(shù)據(jù)檢出合成密文C,將C分解成Cm和Ck;并用系統(tǒng)提供的RSA私鑰對(duì)Ck解密得到密鑰K,用密鑰K對(duì)Cm解密得到明文M。
三、小結(jié)
“三分技術(shù),七分管理”是技術(shù)與管理策略在整個(gè)信息安全保障策略中各自重要性的體現(xiàn),沒有完善的管理,技術(shù)就是再先進(jìn),也是無(wú)濟(jì)于事的。本文提出的這種信息系統(tǒng)安全的解決方案,已成功應(yīng)用于系統(tǒng)的設(shè)計(jì)和開發(fā)實(shí)踐,與應(yīng)用系統(tǒng)具有良好的集成。當(dāng)然這種方案并不一定是最好或最合理的保證信息系統(tǒng)安全的解決方案。但希望能夠拋磚引玉,使各位同仁在此類問(wèn)題上找到更合理更安全的解決方案。
參考文獻(xiàn):
[1]向模軍.基于QFD的新產(chǎn)品開發(fā)決策支持系統(tǒng)研究與實(shí)現(xiàn)[C].碩士論文.成都:電子科技大學(xué),2007
[2]唐成華,陳新度,陳新.管理信息系統(tǒng)中多用戶權(quán)限管理的研究及實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究,2004,21(3):217-219
[3]祖峰,熊忠陽(yáng),馮永.信息系統(tǒng)權(quán)限管理新方法及實(shí)現(xiàn)[J].重慶大學(xué)學(xué)報(bào):自然科學(xué)版,2003,26(11):91-94
[4]陳匯遠(yuǎn).計(jì)算機(jī)信息系統(tǒng)安全技術(shù)的研究及其應(yīng)用[C]:碩士論文.北京:鐵道部科學(xué)研究院,2004
[論文關(guān)鍵詞] 電子商務(wù) 信息安全 信息安全技術(shù) 數(shù)字認(rèn)證 安全協(xié)議
[論文摘 要]電子商務(wù)是新興商務(wù)形式,信息安全的保障是電子商務(wù)實(shí)施的前提。本文針對(duì)電子商務(wù)活動(dòng)中存在的信息安全隱患問(wèn)題,實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗(yàn)證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境,促進(jìn)我國(guó)電子商務(wù)可持續(xù)發(fā)展。
隨著網(wǎng)絡(luò)的發(fā)展,電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國(guó)際競(jìng)爭(zhēng)的新戰(zhàn)場(chǎng)。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會(huì)的脆性大大增加,一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運(yùn)作時(shí),整個(gè)社會(huì)就會(huì)陷入危機(jī)。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來(lái)愈受到國(guó)際社會(huì)的高度關(guān)注。
一、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別、訪問(wèn)控制、信息流控制、數(shù)據(jù)保護(hù)、軟件保護(hù)、病毒檢測(cè)及清除、內(nèi)容分類識(shí)別和過(guò)濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測(cè)報(bào)警與審計(jì)等技術(shù)。
1.防火墻技術(shù)。防火墻主要是加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制, 防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。
2.加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù),當(dāng)需要時(shí)可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。
3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。
4.數(shù)字時(shí)間戳技術(shù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,包括需加時(shí)間戳的文件的摘要、DTS 收到文件的日期與時(shí)間和DIS 數(shù)字簽名,用戶首先將需要加時(shí)間的文件用HASH編碼加密形成摘要,然后將該摘要發(fā)送到DTS,DTS 在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密,然后送回用戶。
二、電子商務(wù)安全防范措施
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻、完善的安全管理制度、硬件的加密和物理保護(hù)、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來(lái)進(jìn)行考慮和完善。
1.防火墻技術(shù)
用過(guò)Internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時(shí)又要面對(duì) Internet 帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶、推銷商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問(wèn);以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此,企業(yè)必須加筑安全的“壕溝”,而這個(gè)“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問(wèn);外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò),而且防火墻本身必須能夠免于滲透。
2. VPN技術(shù)
虛擬專用網(wǎng)簡(jiǎn)稱VPN,指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠IPS或 NSP在安全隧道、用戶認(rèn)證和訪問(wèn)控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能,從而實(shí)現(xiàn)基于 Internet 安全傳輸重要信息的效應(yīng)。目前VPN 主要采用四項(xiàng)技術(shù)來(lái)保證安全, 這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。
3.數(shù)字簽名技術(shù)
為了保證數(shù)據(jù)和交易的安全、防止欺騙,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)必須采用加密技術(shù)。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來(lái)確定用戶是否是真實(shí)的。數(shù)字簽名就是通過(guò)一個(gè)單向哈希函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理而得到的用以認(rèn)證報(bào)文是否發(fā)生改變的一個(gè)字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認(rèn)消息來(lái)自于誰(shuí),同時(shí)也是對(duì)發(fā)送者發(fā)送的信息真實(shí)性的一個(gè)證明,發(fā)送者對(duì)所發(fā)信息不可抵賴,從而實(shí)現(xiàn)信息的有效性和不可否認(rèn)性。
三、電子商務(wù)的安全認(rèn)證體系
隨著計(jì)算機(jī)的發(fā)展和社會(huì)的進(jìn)步,通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動(dòng)當(dāng)今社會(huì)越來(lái)越頻繁,身份認(rèn)證是一個(gè)不得不解決的重要問(wèn)題,它將直接關(guān)系到電子商務(wù)活動(dòng)能否高效而有序地進(jìn)行。認(rèn)證體系在電子商務(wù)中至關(guān)重要,它是用戶獲得訪問(wèn)權(quán)限的關(guān)鍵步驟?,F(xiàn)代密碼的兩個(gè)最重要的分支就是加密和認(rèn)證。加密目的就是防止敵方獲得機(jī)密信息。認(rèn)證則是為了防止敵方的主動(dòng)攻擊,包括驗(yàn)證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^(guò)程被篡改刪除、插入、偽造及重放等。認(rèn)證主要包括三個(gè)方面:消息認(rèn)證、身份認(rèn)證和數(shù)字簽名。
身份認(rèn)證一般是通過(guò)對(duì)被認(rèn)證對(duì)象(人或事)的一個(gè)或多個(gè)參數(shù)進(jìn)行驗(yàn)證。從而確定被認(rèn)證對(duì)象是否名實(shí)相符或有效。這要求要驗(yàn)證的參數(shù)與被認(rèn)證對(duì)象之間應(yīng)存在嚴(yán)格的對(duì)應(yīng)關(guān)系,最好是惟一對(duì)應(yīng)的。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡。
數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種 Internet 上驗(yàn)證用戶身份的方式,其作用類似于司機(jī)的駕駛執(zhí)照或身份證。它是由一個(gè)權(quán)威機(jī)構(gòu)CA機(jī)構(gòu),又稱為證書授權(quán)(Certificate Authority)中心發(fā)行的,人們可以在網(wǎng)上用它識(shí)別彼此的身份。
四、結(jié)束語(yǔ)
安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題,從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn)
[1] 勞幗齡.電子商務(wù)的安全技術(shù)[M].北京:中國(guó)水利水電出版社,2005.
[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京:清華大學(xué)出版社,2005.
關(guān)鍵詞:雜湊函數(shù);加密解密;數(shù)字簽名;消息認(rèn)證
中圖分類號(hào):TN918 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)10-0054-02
[Hash]函數(shù)也稱雜湊函數(shù)或散列函數(shù),通常用來(lái)構(gòu)造數(shù)據(jù)的短“指紋”。即對(duì)任意長(zhǎng)度的輸入消息[M],經(jīng)過(guò)[N]次變換后,得到固定長(zhǎng)度的輸出。[Hash]函數(shù)是一種單向密碼體制,它是一個(gè)從明文到密文的不可逆映射,只有加密過(guò)程,不能解密。[Hash]函數(shù)的這種單向性特征和輸出數(shù)據(jù)的長(zhǎng)度固定的特性使得它可以生成消息或其它數(shù)據(jù)塊的“指紋”,在消息完整性認(rèn)證、數(shù)字簽名等領(lǐng)域有著廣泛的應(yīng)用[1]。
1 [HASH]函數(shù)概念及安全性要求
1.1 [Hash]函數(shù)概念[2]
一個(gè)[Hash]函數(shù)是滿足以下要求的四元組[(X,Y,K,H):]
1)[X]代表所有消息的集合;
2)[Y]是所有消息指紋的集合;
3)[K]代表所有密鑰的有限集;
4)[H]代表加密[Hash]函數(shù);
1.2 [HASH]函數(shù)的安全性要求[3]
1)有數(shù)據(jù)壓縮功能:能將任意長(zhǎng)度的輸入數(shù)據(jù)轉(zhuǎn)換成一個(gè)固定長(zhǎng)度的輸出;
2)具有單向性:由[H(M)]計(jì)算消息指紋很容易,反之則不能,即對(duì)給定的一個(gè)散列值,不可能找出一條消息[M']的散列值正好相等。
3)抗碰撞性:所謂碰撞性是指兩個(gè)不同的消息[M]和[M'] ,如果它們的散列值相同,即[H(M)=H(M')],則發(fā)生碰撞。如果[M≠M(fèi)'],則有[H(M)≠H(M')],即使[M]和[M']差別非常小,甚至只有一個(gè)比特的差別,它們的散列值也會(huì)有很大的不同(強(qiáng)抗碰撞性);給定消息[M]和其散列值[H(M)],要找到另一個(gè)與[M]不同的消息[M'],使得[H(M)=H(M')]是不可能的(弱抗碰撞性)。
2 [HASH]函數(shù)的一般結(jié)構(gòu)
安全[Hash]函數(shù)一般結(jié)構(gòu)如下圖所示,這是一種迭代結(jié)構(gòu)[Hash]函數(shù),對(duì)于輸入的報(bào)文[M],首先將其分為N個(gè)固定長(zhǎng)度的分組,如果最后一個(gè)數(shù)據(jù)塊不滿足輸入分組的長(zhǎng)度要求,可以進(jìn)行填充[4]。
3 安全[HASH]函數(shù)比較
安全[Hash]算法(SHA)由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所NIST開發(fā),作為聯(lián)邦信息處理標(biāo)準(zhǔn)于1993年發(fā)表,1995年修訂為SHA-1。SHA-1基于MD4算法,并且在設(shè)計(jì)方面很大程度上是模仿MD4的。后來(lái)還新增了SHA-256、SHA-384和SHA-512三個(gè)散列算法標(biāo)準(zhǔn),它們的消息摘要長(zhǎng)度分別為256、384和512,以便與AES的使用相匹配,現(xiàn)在最新的是SHA-3,以下是各種SHA的比較[5]:
4 [HASH]函數(shù)的應(yīng)用
4.1 消息認(rèn)證
消息認(rèn)證的目的主要有兩個(gè):一個(gè)是驗(yàn)證信息的來(lái)源真實(shí)性,即信息來(lái)源認(rèn)證;另一個(gè)是驗(yàn)證信息的完整性,即驗(yàn)證信息在公共信道傳送或存儲(chǔ)過(guò)程是否被篡改、重放或延遲等。可以用作認(rèn)證的函數(shù)有消息加密函數(shù)、消息認(rèn)證碼(MAC)和散列函數(shù)三種,而散列函數(shù)是一個(gè)不需要密鑰的公開函數(shù),它將任意長(zhǎng)度的輸入消息映射成一個(gè)固定長(zhǎng)度的輸出值,度以此值作為認(rèn)證標(biāo)識(shí)[6]。
[Hash]函數(shù)可以將任意長(zhǎng)度的輸入消息[M]經(jīng)過(guò)若干次變換,成為固定長(zhǎng)度的輸出,得到文檔的散列值輸出,即“消息指紋”可與放在安全地方的原有“指紋”進(jìn)行比對(duì),如果消息被修改,那么這個(gè)兩個(gè)指紋就不會(huì)相等,從而表明此消息被篡改過(guò)。這就是保證了數(shù)據(jù)的完整性,實(shí)現(xiàn)消息認(rèn)證。
[AB:M||E(K,H(M))]
4.2 數(shù)字簽名
數(shù)字簽名是一種給以電子形式存儲(chǔ)的消息簽名方法。并以某種形式將簽名“綁”到所簽文件上,與傳統(tǒng)的手寫簽名具有同等的效果,并能通過(guò)一個(gè)公開的驗(yàn)證算法對(duì)它進(jìn)行確認(rèn)。
由于公鑰密碼學(xué)和對(duì)稱密碼學(xué)在加密和解密速度上的區(qū)別,在數(shù)字簽名中往往先使用雜湊函數(shù)對(duì)消息[M]實(shí)施“壓縮”運(yùn)算,接著對(duì)消息[M]的雜湊值實(shí)施簽名,這樣既起到了保密作用,又提高了加密速度。對(duì)于在數(shù)字簽名中使用的雜湊函數(shù),要求它們具有更強(qiáng)的安全性能[7]。一個(gè)使用雜湊函數(shù)[H(M)]的數(shù)字簽名方案中的合法用戶不能找到一對(duì)不同的消息[(M,M')]滿足[H(M)=H(M')],如果能找到這樣的消息,那她就可以簽署消息[M'],后來(lái)卻宣布她簽名的消息是[M']而不是[M]。如果找到這樣的消息對(duì)在計(jì)算上是不可行的,那么我們就稱它是抗碰撞(Collision Resistant)的或是碰撞自由(Collision Free)的。
4.3 其他應(yīng)用
雜湊函數(shù)在現(xiàn)代密碼學(xué)中具有非常廣泛的用途,比如用于安全存儲(chǔ)口令方面?;赱Hash]函數(shù)生成口令的散列值,比如在操作系統(tǒng)中保存用戶的ID和他的口令散列值,而不是口令本身,這有助于提高系統(tǒng)的安全性。當(dāng)用戶進(jìn)入系統(tǒng)時(shí)要求輸入口令,這時(shí)系統(tǒng)重新計(jì)算用戶輸入口令的散列值并與系統(tǒng)中保存的數(shù)值相比較,當(dāng)?shù)葧r(shí)進(jìn)入系統(tǒng),否則將被系統(tǒng)拒絕[8]。
[Hash]函數(shù)在入侵檢測(cè)和病毒掃描方面也有很好的應(yīng)用,比如可以為系統(tǒng)中每個(gè)文件進(jìn)行哈希函數(shù)運(yùn)算得到安全的[Hash]值,如果某個(gè)文件被非法修改就可以及時(shí)發(fā)現(xiàn)。
5 結(jié)論
單向散列函數(shù)可選的方案比較多,一般有SHA、MD5和基于分組密碼的構(gòu)造,而其他方案實(shí)在沒有得到足夠的重視和研究,目前比較流行的還是SHA,它的散列值比其他的要長(zhǎng),比各種分組密碼構(gòu)造更快[9],并且由NSA研制,雖然山東大的王小云團(tuán)隊(duì)已在破解SHA-1上有很大的突破,但要投入實(shí)用還有很長(zhǎng)的路要走,并且隨著SHA-384、SHA-512及SHA-3的出現(xiàn),我們堅(jiān)信SHA在密碼學(xué)上的應(yīng)用還是有很大的前途。
參考文獻(xiàn):
[1] Stinson D R.密碼學(xué)原理與實(shí)踐[M].馮登國(guó),譯. 3版.北京:電子工業(yè)出版社,2009:130-180.
[2] Wenbo Mao.現(xiàn)代密碼學(xué)理論與實(shí)踐[M]. 王繼林,伍前紅,譯.北京:電子工業(yè)出版社,2006:305-330.
[3] William Stallings.密碼編碼學(xué)與網(wǎng)絡(luò)安全――原理與實(shí)踐[M]. 孟慶樹,王麗娜,傅建明, 譯. 4版.北京:電子工業(yè)出版社,2006:229-249.
[4] Bruce Schneier.應(yīng)用密碼學(xué)協(xié)議、算法與C語(yǔ)言源程序[M]. 吳世忠,祝世雄,張文政. 2版. 北京:機(jī)械工業(yè)出版社, 2010:307-329.
[5 Forouzan B A.Cryptography and Network Security [M]. 北京:清華大學(xué)出版社,2009:200-280.
[6]胡向東,魏琴芳,胡蓉.應(yīng)用密碼學(xué)[M]. 2版.北京:電子工業(yè)出版社,2011:166-200.
[7] Forouzan B A. Cryptography and Network Security[M]. Beijing: Tsinghua university press,2009:363-385.
【論文摘要】隨著互聯(lián)網(wǎng)的廣泛應(yīng)用,網(wǎng)絡(luò)信息安全問(wèn)題越來(lái)越受到人們的關(guān)注。本文分析了目前網(wǎng)絡(luò)信息安全領(lǐng)域存在的多種安全問(wèn)題,提出了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的防范措施。
1引言
隨著internet的迅猛發(fā)展,網(wǎng)絡(luò)上各種新業(yè)務(wù)也不斷興起,比如電子商務(wù)、網(wǎng)上銀行、數(shù)字貨幣、網(wǎng)上證券等,使得工作、生活變得非常方便,但病毒侵虐、網(wǎng)絡(luò)犯罪、黑客攻擊等現(xiàn)象時(shí)有發(fā)生,嚴(yán)重危及我們正常工作、生活。據(jù)國(guó)際權(quán)威機(jī)構(gòu)統(tǒng)計(jì),全球每年因網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的損失高達(dá)數(shù)百億美元。因此網(wǎng)絡(luò)信息安全問(wèn)題的分析與防范顯得非常重要。
2網(wǎng)絡(luò)信息安全概述
網(wǎng)絡(luò)信息安全就是網(wǎng)絡(luò)上的信息安全,是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改或泄漏,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)信息安全涉及的內(nèi)容既有技術(shù)方面的問(wèn)題,也有管理方面的問(wèn)題,兩方面相互補(bǔ)充,缺一不可。
3網(wǎng)絡(luò)信息安全存在的戚脅
目前網(wǎng)絡(luò)信息安全面臨的威脅主要來(lái)自于以下幾個(gè)方面:
3.1 tcp/ip協(xié)議存在安全漏洞
目前英特網(wǎng)上廣泛使用的網(wǎng)絡(luò)協(xié)議是tcp/ip協(xié)議,而tcp/ip協(xié)議恰恰存在安全漏洞。如ip層協(xié)議就有許多安全缺陷。ip地址可以軟件設(shè)置,這就造成了地址假冒和地址欺騙兩類安全隱患;ip協(xié)議支持源路由方式,即源點(diǎn)可以指定信息包傳送到目的節(jié)點(diǎn)的中間路由,這就提供了源路由攻擊的條件。再如應(yīng)用層協(xié)議telnet、ftp、smtp等協(xié)議缺乏認(rèn)證和保密措施,這就為否認(rèn)、拒絕等欺瞞行為打開了方便之門。
3.2網(wǎng)絡(luò)濫用
合法的用戶濫用網(wǎng)絡(luò),引入不必要的安全威脅,包括用戶私拉亂接網(wǎng)線、局域網(wǎng)內(nèi)部私自架設(shè)服務(wù)器。近年來(lái)被廣泛關(guān)注的p2p傳輸問(wèn)題并不是一個(gè)典型的信息安全問(wèn)題,但由于這些傳輸流量常常嚴(yán)重干擾單位的正常通信流量而且也存在著一些泄漏單位信息的風(fēng)險(xiǎn)。
3.3信息泄漏和丟失
由于存儲(chǔ)設(shè)備、介質(zhì)丟失而引起信息丟失,造成信息泄漏,特別是在計(jì)算機(jī)日益普及的今天,這些現(xiàn)象越發(fā)突出。比如由于工作人員的疏忽大意,忘記將存儲(chǔ)有重要信息的筆記本電腦、存儲(chǔ)介質(zhì)、文件攜帶或刪除,造成他人能夠獲得該重要文件,導(dǎo)致信息泄露和丟失。
3.4破壞數(shù)據(jù)完整性和真實(shí)性
以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán),刪除、修改、插入或重發(fā)某些重要信息,以取得有益于攻擊者的響應(yīng):假冒合法用戶身份,干擾用戶的正常使用。
3.5利用網(wǎng)絡(luò)傳播病毒
通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒,其破壞性大大高于單機(jī)系統(tǒng),而且用戶很難防范。
4網(wǎng)絡(luò)信息安全的主要防范措施
4.1信息加密技術(shù)
信息加密技術(shù)是利用數(shù)學(xué)或物理手段,對(duì)電子信息在傳輸過(guò)程中和存儲(chǔ)體內(nèi)進(jìn)行保護(hù),以防止泄露的技術(shù)。數(shù)據(jù)加密過(guò)程就是通過(guò)加密系統(tǒng)把原始的數(shù)字信息(明文),按照加密算法變換成與明文完全不同的數(shù)字信息(密文)的過(guò)程。數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密,常用的有鏈路加密、節(jié)點(diǎn)加密和端到端加密三種方式。鏈路加密對(duì)用戶來(lái)說(shuō)比較容易,使用的密鑰較少,而端到端加密比較靈活,對(duì)用戶可見。在對(duì)鏈路加密中各節(jié)點(diǎn)安全狀況不放心的情況下也可使用端到端加密方式。
4.2數(shù)字簽名技術(shù)
所謂“數(shù)字簽名”就是通過(guò)某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名,來(lái)代替書寫簽名或印章,對(duì)于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證,其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證所無(wú)法比擬的。“數(shù)字簽名’可以確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性4.3防火墻技術(shù)
“防火墻”是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)問(wèn),實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的一組組件集合。防火墻的主要作用是提供行之有效的網(wǎng)絡(luò)安全機(jī)制,其本身也是網(wǎng)絡(luò)安全策略的有機(jī)組成部分。它能根據(jù)用戶設(shè)定的安全策略控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息流,且具有較強(qiáng)的抗攻擊能力。防火墻的技術(shù)已經(jīng)經(jīng)歷了三個(gè)階段,即包過(guò)濾技術(shù)、技術(shù)和狀態(tài)監(jiān)視技術(shù)?,F(xiàn)在大多數(shù)防火墻多采用以上幾種技術(shù)的結(jié)合,以期達(dá)到最佳性能。
4.4加強(qiáng)病毒防范
為了能有效地預(yù)防病毒并清除病毒,必須建立起有效的病毒防范體系,這包括漏洞檢測(cè)、病毒預(yù)防、病毒查殺、病毒隔離等措施,要建立病毒預(yù)警機(jī)制,以提高對(duì)病毒的反應(yīng)速度,并有效加強(qiáng)對(duì)病毒的處理能力。
4.4.1病毒預(yù)防。要從制度上堵塞漏洞,建立一套行之有效的制度。不要隨意使用外來(lái)光盤、移動(dòng)硬盤、u盤等存儲(chǔ)設(shè)備。
4.4.2病毒查殺。主要是對(duì)病毒實(shí)時(shí)檢測(cè),清除已知的病毒。要對(duì)病毒庫(kù)及時(shí)更新,保證病毒庫(kù)是最新的。這樣才可能查殺最新的病毒。
4.4.3病毒隔離。主要是對(duì)不能殺掉的病毒進(jìn)行隔離,以防病毒再次傳播和擴(kuò)散。
4.5定期掃描系統(tǒng)和軟件漏洞
堅(jiān)持不定期地對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查,發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估,它指出了哪些攻擊是可能的。然后針對(duì)這些系統(tǒng)和軟件漏洞,及時(shí)打上相關(guān)補(bǔ)丁。
4.6加強(qiáng)安全管理隊(duì)伍的建設(shè)
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,絕對(duì)的安全是不存在的。俗話說(shuō):“三分技術(shù),七分管理”,要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度,強(qiáng)化人員管理。制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證,只有通過(guò)網(wǎng)絡(luò)管理人員與使用人員的共同努力,運(yùn)用一切可以使用的工具和技術(shù),盡可能地把不安全的因素降到最低。
Abstract: Aiming at the security problem of embedded engineering file of smart meter, this paper puts forward a method of fast and intelligent embedded engineering file encryption and decryption based on elliptic curve. Firstly, the pretreatment of the smart meter embedded engineering documents has been taken, and then through turning embedded project file into the number symbols, the encryption and decryption of the smart meter software project file will be taken based on elliptic curve encryption preprocessing. By reducing the data length of the key and redefining the encryption value of the high frequency words in the project file, the time consumption and resource consumption are cut down, the amount of encryption computation is reduced, and the encryption speed is improved.
關(guān)鍵詞:智能電表;橢圓曲線;工程文件;加密算法
Key words: smart meter;elliptic curve;engineering document;encryption algorithm
中圖分類號(hào):TN918.1 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-4311(2017)01-0118-04
0 引言
目前,由于智能電網(wǎng)的高速發(fā)展,對(duì)智能電能表的需求量急速增加。為保證智能電表的準(zhǔn)確性和精確度,按照國(guó)家電網(wǎng)公司的要求,必須要嚴(yán)格根據(jù)智能電能表技術(shù)要求對(duì)即將投入使用的智能電表進(jìn)行檢測(cè),而當(dāng)前各個(gè)公司單位的智能電表嵌入式工程文件的送審?fù)緩蕉际翘峤恢林付ǖ脑破脚_(tái),如何保證智能電表嵌入式工程文件的保密性以及各公司的知識(shí)產(chǎn)權(quán)安全性,是當(dāng)前亟待解決的難題。隨著無(wú)線通訊技術(shù)以及網(wǎng)絡(luò)加密技術(shù)的發(fā)展,對(duì)于智能電表嵌入式工程文件的加密處理已成為工業(yè)檢測(cè)的發(fā)展趨勢(shì)。
橢圓曲線自1985年被提出以來(lái),一直受到各國(guó)研究學(xué)者的青睞,成為眾多研究學(xué)者的熱點(diǎn)研究課題。也正是由于眾多研究學(xué)者的努力,使得橢圓曲線密碼體制(ECC)在短短的二十年的時(shí)間里就由理論研究發(fā)展到應(yīng)用研究,并且進(jìn)一步成為下一代公鑰密碼體制的重要候選算法。目前國(guó)外己有用ECC進(jìn)行加密解密和數(shù)字簽名的產(chǎn)品出現(xiàn)在市場(chǎng)上。美國(guó)NeXT Computer公司已開發(fā)出快速橢圓曲線加密算法,其密鑰為容易記憶的字符串。加拿大Certicom公司也開發(fā)出了用于橢圓曲線加密算法的集成電路,可實(shí)現(xiàn)高效加密、數(shù)字簽名、認(rèn)證和密鑰管理等,并且已經(jīng)應(yīng)用于許多領(lǐng)域[1]。
很多學(xué)者對(duì)于ECC進(jìn)行了大量的研究并取得了很多成果。Darrel Hankerson, Alfred Menezes和Scott Vanstone寫了一本關(guān)于橢圓曲線加密算法的指南,書中涉及了橢圓曲線加密算法的大量細(xì)節(jié),加密協(xié)議以及應(yīng)用方案[2]。Lawrence C. Washington在文獻(xiàn)[3]提供了許多定理論證來(lái)幫助初學(xué)者理解橢圓曲線加密算法。Jorko Teeriaho在文獻(xiàn)[4]利用數(shù)學(xué)軟件提供了大量的橢圓曲線加密算法的應(yīng)用實(shí)例。S. Maria Celestin和K. Muneeswaran在文獻(xiàn)[5]中首次利用ECC在文本加密時(shí)將信息的ASCII值與橢圓曲線的仿射點(diǎn)建立映象。Amara M.和Siad A在文獻(xiàn)[6]中通過(guò)比較ECC與RSA的密鑰長(zhǎng)度,證明了ECC在網(wǎng)絡(luò)安全中是更好的選擇。 Balamurugan. R,Kamalakannan. V,Rahul Ganth. D和Tamilselvan. S在文獻(xiàn)[7]中提出了一個(gè)利用非單數(shù)矩陣進(jìn)行快速匹配的方法,將信息與橢圓曲線上的點(diǎn)建立映射關(guān)系,并使用EIGamal加密方法對(duì)橢圓曲線上的點(diǎn)利用非單數(shù)矩陣進(jìn)行加密,在解密時(shí)逆向地利用非單數(shù)矩陣。Megha Kolhekar和Anita Jadhav在文獻(xiàn)[8]中通過(guò)匹配ASCII值與橢圓曲線的坐標(biāo)建立映射表來(lái)進(jìn)行文本加密。
論文針對(duì)橢圓曲線加密算法有利于嵌入式工程文件的文本性以及存在大量重復(fù)詞匯的特點(diǎn),提出了一種智能電表嵌入式工程文件的加密和解密方法,保證智能電表嵌入式工程文件的保密性,并且相較其他加密算法加密時(shí)間更短,資源消耗更少。
4 總結(jié)
論文提出了一種新的方法利用ECC來(lái)對(duì)智能電表工程文件進(jìn)行加密。我們將工程文件中的文本字符全都轉(zhuǎn)換為ASCII值,并且將程序中的高頻詞匯分別定義對(duì)應(yīng)的ASCII值,這樣大大地減小了轉(zhuǎn)換后的ASCII值的數(shù)字長(zhǎng)度,縮短了后續(xù)的加密時(shí)間。之后,對(duì)ASCII值序列進(jìn)行分組,并利用一個(gè)大整數(shù)66536對(duì)每一組數(shù)字序列進(jìn)行了重構(gòu),作為橢圓加密操作的輸入。這個(gè)過(guò)程幫助我們節(jié)省了字符與橢圓曲線坐標(biāo)匹配以及查找映射表的損耗。通能比較,我們提出的工程文件的算法與其他方法相比具有更好的性能,加密解密操作的速度更快,并且生成的密文也更小。
參考文獻(xiàn):
[1]侯,李嵐.橢圓曲線密碼系統(tǒng)(ECC)整體算法設(shè)計(jì)及優(yōu)化研究[J].電子學(xué)報(bào),2004(32):11.
[2]Darrel Hankerson, Alfred Menezes and Scott Vanstone, Guide to Elliptic Curve Cryptography, Springer (2004).
[3]Lawrence C. Washington, Elliptic Curves Number Theory and Cryptography, Taylor & Francis Group, Second Edition (2008).
[4]Jorko Teeriaho, Cyclic Group Cryptography with Elliptic Curves, Brasov, May (2011).
[5]S. Maria Celestin Vigila and K. Muneeswaran, Implementation of Text based Cryptosystem using Elliptic Curve Cryptography, International Conference on Advanced Computing, IEEE, pp. 82004)工程文件的送審?fù)緩蕉际翘峤恢林付ǖ?
[6]M. Amara and A. Siad, Elliptic Curve Cryptography and its Applications, 7th International Workshop on Systems, Signal Processing and their Applications, pp. 247urve Cryptography.
關(guān)鍵詞:安全機(jī)制;電子商務(wù)
1引言
電子商務(wù)日益成為當(dāng)今社會(huì)使用頻率最高的詞匯之一,其中網(wǎng)上交易的安全問(wèn)題又是人們關(guān)心的重點(diǎn)。在網(wǎng)絡(luò)上,尤其是在互聯(lián)網(wǎng)上存儲(chǔ)和傳輸?shù)拇罅啃畔?,隨時(shí)受到安全威脅。電子商務(wù)作為極具價(jià)值的敏感信息之一,關(guān)系到電子商務(wù)主體單位的商業(yè)秘密。所以,電子商務(wù)系統(tǒng)中的安全問(wèn)題是關(guān)系到電子商務(wù)系統(tǒng)能否成功運(yùn)行的最為重要的問(wèn)題。在參考了大量有關(guān)信息安全的基礎(chǔ)理論、基本技術(shù)和解決方案后,對(duì)電子商務(wù)交易中的安全問(wèn)題展開論述。
2 電子商務(wù)的安全機(jī)制分析
在電子商務(wù)的交易過(guò)程中,買賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系的,應(yīng)用網(wǎng)絡(luò)的開放性和不安全性,給交易雙方在交易過(guò)程中確信交易的安全性和建立信任關(guān)系帶來(lái)了難度。
根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)這幾年公布的《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,目前網(wǎng)上交易存在的問(wèn)題主要是“安全性得不到保障”與“產(chǎn)品質(zhì)量、售后服務(wù)及廠商信用得不到保障”。
電子商務(wù)的實(shí)現(xiàn)是建立在網(wǎng)絡(luò)通信基礎(chǔ)上的,因此網(wǎng)絡(luò)安全面臨的威脅也就是電子商務(wù)面臨的威脅,這些威脅從宏觀上可分為自然威脅和人為威脅。人為威脅是指通過(guò)尋找系統(tǒng)的弱點(diǎn),達(dá)到破壞、欺騙、竊取數(shù)據(jù)等惡意目的。
為了安全要素在電子商務(wù)中的實(shí)施,滿足電子商務(wù)為交易參與者提供可靠的安全服務(wù)的要求,電子商務(wù)系統(tǒng)必須利用安全技術(shù)來(lái)搭建自己的交易平臺(tái),主要用到的安全技術(shù)有:加密技術(shù)、數(shù)字簽名及消息認(rèn)證、數(shù)字證書和CA體系。
各項(xiàng)安全機(jī)制中,其安全性主要是基于解橢曲線圓離散對(duì)數(shù)問(wèn)題與單向哈希函數(shù)的困難度。以下分別列出各項(xiàng)安全機(jī)制的安全性分析:
(1) 系統(tǒng)中心無(wú)法取得用戶的私鑰Si
系統(tǒng)中心無(wú)法經(jīng)由Si=wi+h(xi,Ii)(modq)來(lái)推得使用者的私鑰Si,除非系統(tǒng)中心能破解用戶在注冊(cè)階段所生的Vi,但其安全度是基于解橢曲線圓離散對(duì)數(shù)問(wèn)題的困難度。
(2) 攻擊者無(wú)法取得使用者的私鑰Si與系統(tǒng)中心的私鑰sSA
攻擊者可以取得的數(shù)據(jù)為Ii與Pi ,但經(jīng)由(1)的分析可知,攻擊者無(wú)法從Pi 獲取Si;而wi是由系統(tǒng)中心所產(chǎn)生的公鑰證明,但攻擊者并無(wú)法從wi獲取sSA。因此,任意的攻擊者皆無(wú)法取得Si與sSA。
(3) 達(dá)到安全等級(jí)Level 3
系統(tǒng)中心有意假造Pi與Si ,但這會(huì)造成相同的使用者擁有兩個(gè)公鑰,此系統(tǒng)中心的詐騙行為會(huì)被偵測(cè)出來(lái),因?yàn)楸菊撐牟捎米晕因?yàn)證公鑰密碼系統(tǒng),使用偽造的Pi來(lái)進(jìn)行的數(shù)字簽名/驗(yàn)證簽章、加/解密或簽密法時(shí)并不會(huì)成功。
(4)用戶無(wú)法取得系統(tǒng)中心的私鑰
使用者無(wú)法經(jīng)由Si=wi+h(xi,Ii)(modq)來(lái)計(jì)算合法的公鑰證明。因?yàn)橛脩魺o(wú)法取得系統(tǒng)中心的k與sSA,所以使用者也無(wú)法自行產(chǎn)生公鑰證明wi 。用戶也很難從系統(tǒng)公鑰來(lái)獲得系統(tǒng)私鑰,其安全度是基于解橢圓曲線離散對(duì)數(shù)問(wèn)題的困難度。
(5) 安全的加/解密機(jī)制
攻擊者要從加密者所傳遞的1 C 與2 C 解出明文,皆會(huì)遇到解橢圓曲線離散對(duì)數(shù)問(wèn)題的困難度,另外加密者每次使用不同的隨機(jī)整數(shù)w,因此攻擊者亦很難經(jīng)由累積多個(gè)1 C 與2 C 而計(jì)算出明文。
(6) 安全的鑒別加密法
使用者所產(chǎn)生的密文R與s是基于解橢圓曲線離散對(duì)數(shù)問(wèn)題的困難度下所產(chǎn)生。攻擊者也很難計(jì)算出密文s,因?yàn)闊o(wú)法取得使用者的w與Si。又因?yàn)槭褂谜呙看蔚拿芪慕圆幌嗤虼斯粽邿o(wú)法輕易地計(jì)算出使用者的私鑰,亦很難經(jīng)由累積多個(gè)密文來(lái)求解出明文。
3.結(jié)論
在本論文所研究的安全機(jī)制的基礎(chǔ)之下,針對(duì)后續(xù)之研究方向提出看法如下。在這個(gè)e時(shí)代下電子會(huì)議可以說(shuō)是越來(lái)越重要,因此如何使一群人在公眾的網(wǎng)絡(luò)上能夠安全地交談,是一個(gè)很重要的研究課題,也就是多人如何來(lái)共同分享一把加解密會(huì)議密鑰。此外,在現(xiàn)行的電子商務(wù)上可使用多重簽章技術(shù)來(lái)達(dá)到多人簽署同一份文件,尤其是在當(dāng)紅的延伸性標(biāo)記語(yǔ)言(Extensible MarkupLanguage;XML)盛行之下更突顯其重要性。因?yàn)閄ML具有跨平臺(tái)的信息交換能力,未來(lái)會(huì)被視為電子商務(wù)上重要的文件交換技術(shù)。
論文關(guān)鍵詞:CA認(rèn)證體系;信息安全;數(shù)字證書;公鑰
一、CA概述
CA是CeritficateAuthoirty的縮寫,通常翻譯成認(rèn)證權(quán)威或者認(rèn)證中心,是負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu),并承擔(dān)電子商務(wù)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。
CA認(rèn)證系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境,從功能上基本可以劃分為CA、RA和WP。核心系統(tǒng)和CA放在一個(gè)單獨(dú)的封閉空間中,為了保證運(yùn)行的絕對(duì)安全,其人員及制度都應(yīng)有嚴(yán)格的規(guī)定,并且系統(tǒng)設(shè)計(jì)為離線網(wǎng)絡(luò)。CA的功能是在收到來(lái)自RA的證書請(qǐng)求時(shí)頒發(fā)證書。一般的個(gè)人證書發(fā)放過(guò)程都是自動(dòng)進(jìn)行,無(wú)須人工干預(yù)。
二、對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)CA認(rèn)證體系的規(guī)劃和建設(shè)
(一)背景
對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)是教育部直屬的全國(guó)重點(diǎn)大學(xué),國(guó)家“211工程”首批重點(diǎn)建設(shè)高校,大學(xué)校園網(wǎng)始建于1997年,經(jīng)歷了建設(shè)、調(diào)整和完善的階段。截止目前為止校內(nèi)所有建筑物全部光纖接入到網(wǎng)絡(luò)與教育技術(shù)中心,網(wǎng)絡(luò)設(shè)備400余臺(tái),信息點(diǎn)數(shù)近17000個(gè),實(shí)現(xiàn)了所有辦公樓及宿舍樓的上網(wǎng)需求。各部門相關(guān)業(yè)務(wù)系統(tǒng)也在逐漸完善,信息系統(tǒng)在日常工作中的使用頻率在迅速提升,與此同時(shí),學(xué)校全面實(shí)施信息化校園(一期)建設(shè),搭建了統(tǒng)一數(shù)據(jù)庫(kù)平臺(tái)、建立統(tǒng)一身份認(rèn)證系統(tǒng)并建立了統(tǒng)一信息平臺(tái)門戶,基本實(shí)現(xiàn)各系統(tǒng)的信息共享。對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)的校園網(wǎng)建設(shè)成已基本形成了運(yùn)行比較穩(wěn)定、速度比較快捷、應(yīng)用比較廣泛、相對(duì)安全可靠的網(wǎng)絡(luò),為全校的教學(xué)和科研活動(dòng)提供了堅(jiān)實(shí)的保障。
然而,單純的用戶名/口令身份認(rèn)證方式已經(jīng)不足以保證用戶登陸系統(tǒng)的身份安全性,在學(xué)校信息化建設(shè)相對(duì)穩(wěn)定成熟的基礎(chǔ)上,我們考慮在校園網(wǎng)中建立一套完整的CA數(shù)字證書認(rèn)證系統(tǒng),通CA認(rèn)證,把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起,其中包括用戶名個(gè)人信息以及電子郵件地址等,以實(shí)現(xiàn)在網(wǎng)絡(luò)上驗(yàn)證用戶的真實(shí)身份。在開放網(wǎng)絡(luò)上實(shí)現(xiàn)密鑰的自動(dòng)管理,保證網(wǎng)上數(shù)據(jù)的安全傳輸。并制定有針對(duì)性的相關(guān)運(yùn)維策略,按照學(xué)校實(shí)際情況,頒發(fā)給校園內(nèi)用戶標(biāo)識(shí)個(gè)人身份的數(shù)字證書,使用戶利用數(shù)字證書登錄業(yè)務(wù)系統(tǒng),替代原有的用戶名/口令登錄方式。真正做到既簡(jiǎn)便了用戶的登陸操作,又進(jìn)一步提升了業(yè)務(wù)系統(tǒng)的安全性。
(二)建設(shè)原則
結(jié)合學(xué)校各業(yè)務(wù)系統(tǒng)自身應(yīng)用的現(xiàn)實(shí)情況,在相關(guān)國(guó)際標(biāo)準(zhǔn)的指導(dǎo)下,對(duì)外經(jīng)貿(mào)大學(xué)CA認(rèn)證系統(tǒng)建設(shè)項(xiàng)目的總體設(shè)計(jì)和實(shí)施都將依據(jù)國(guó)家有關(guān)信息安全政策法規(guī),根據(jù)項(xiàng)目的實(shí)際需要和高校信息化建設(shè)的實(shí)際情況,依靠科學(xué)技術(shù),依靠科學(xué)管理的思想進(jìn)行設(shè)計(jì);將長(zhǎng)遠(yuǎn)規(guī)劃和當(dāng)前建設(shè)相結(jié)合,安全可行和方便適用相結(jié)合。因此,項(xiàng)目的研究和實(shí)施遵循以下原則:符合國(guó)家有關(guān)規(guī)定的原則、堅(jiān)持繼承、發(fā)展、創(chuàng)新的原則、堅(jiān)持以人為本、方便適用的原則、需求、風(fēng)險(xiǎn)、成本折衷原則、堅(jiān)持統(tǒng)一標(biāo)準(zhǔn)、規(guī)范建設(shè)的原則、技術(shù)與管理相結(jié)合原則和保護(hù)已有投資、易于擴(kuò)展的原則。
(三)建設(shè)內(nèi)容
考慮CA身份認(rèn)證系統(tǒng)在國(guó)內(nèi)建設(shè)的相關(guān)情況以及結(jié)合對(duì)外經(jīng)貿(mào)大學(xué)各業(yè)務(wù)系統(tǒng)的應(yīng)用現(xiàn)實(shí)情況,對(duì)外經(jīng)貿(mào)大學(xué)CA認(rèn)證系統(tǒng)建設(shè)項(xiàng)目的建設(shè)內(nèi)容如下:
1.制訂標(biāo)準(zhǔn)規(guī)范
制定符合對(duì)外經(jīng)貿(mào)大學(xué)自身特色的標(biāo)準(zhǔn)規(guī)范,指導(dǎo)對(duì)外經(jīng)貿(mào)CA安全認(rèn)證體系的建設(shè)、推廣、使用,保證系統(tǒng)的高效管理和使用,保證系統(tǒng)之問(wèn)的互聯(lián)互通。
2.建設(shè)對(duì)外經(jīng)貿(mào)大學(xué)的CA安全認(rèn)證體系
所建立的CA認(rèn)證系統(tǒng)面向全校8000余名在校學(xué)生及1500名教職員工提供全面證書安全認(rèn)證服務(wù),認(rèn)證系統(tǒng)將具備萬(wàn)張級(jí)別的數(shù)字證書簽發(fā)管理能力,使整個(gè)校園信息化體系得到進(jìn)一步完善,從安全性方面保證數(shù)字化校園網(wǎng)絡(luò)的高效、可靠運(yùn)行,為對(duì)外經(jīng)貿(mào)大學(xué)涉及的多套教學(xué)及辦公業(yè)務(wù)系統(tǒng)提供完善的數(shù)字證書服務(wù)。
3.?dāng)?shù)字證書與業(yè)務(wù)系統(tǒng)的結(jié)合
①與公文系統(tǒng)的結(jié)合
建設(shè)一套電子簽章平臺(tái),來(lái)管理發(fā)放相關(guān)人員的電子印章,可以實(shí)現(xiàn)在OA審批流轉(zhuǎn)系統(tǒng)中對(duì)審批電子文檔的蓋章確認(rèn),包括對(duì)簽章人的身份確認(rèn),對(duì)審批文檔的防篡改,以及蓋章行為的不可抵賴。由于具備了真實(shí)性、完整性及可追溯性的安全機(jī)制,極大的推動(dòng)了信息化系統(tǒng)中無(wú)紙化辦公的可靠性。
②與其他業(yè)務(wù)系統(tǒng)的結(jié)合
另外一種情況是業(yè)務(wù)系統(tǒng)不是流轉(zhuǎn)公文,而是流轉(zhuǎn)各種業(yè)務(wù)數(shù)據(jù),比如合同、申報(bào)數(shù)據(jù)、審批表格等應(yīng)用系統(tǒng)。由于業(yè)務(wù)系統(tǒng)情況千差萬(wàn)別,不能用一個(gè)蓋章、簽字軟件與其結(jié)合,因此需要具體業(yè)務(wù)具體分析,學(xué)校將對(duì)于簽章、簽名系統(tǒng)提供二次開發(fā)接口,系統(tǒng)調(diào)用這些接口,實(shí)現(xiàn)電子簽章、電子簽名的應(yīng)用。
4.其他拓展功能建設(shè)
作為安全基礎(chǔ)設(shè)施的CA認(rèn)證系統(tǒng),在建成后其頒發(fā)的數(shù)字證書不僅使用于對(duì)系統(tǒng)的安全登錄,同時(shí)還包括一系列拓展功能。包括身份認(rèn)證、數(shù)字簽名/驗(yàn)簽、數(shù)據(jù)加/解密、安全傳輸、應(yīng)用支撐、安全審計(jì)等等。隨著校園網(wǎng)整個(gè)信息化系統(tǒng)的功能完善,信息安全體系建設(shè)的跟進(jìn)就顯得尤為必要。
三、結(jié)論
【論文摘要】在電子政務(wù)系統(tǒng)中,政府機(jī)關(guān)的公文往來(lái)、資料存儲(chǔ)、服務(wù)提供都以電子化的形式實(shí)現(xiàn),但在提高辦公效率、擴(kuò)大政府服務(wù)內(nèi)容的同時(shí).也為某些居心不良者提供了通過(guò)技術(shù)手段擾亂正常的工作秩序、竊取重要信息的可能。因此.安全的意義不言而喻。失去了安全的基石,再方便、先進(jìn)的政務(wù)方式也只能是“空中樓閣”!文章將從安全技術(shù)的角度,探討有關(guān)電子政務(wù)系統(tǒng)中的信息安全問(wèn)題。
一、引言
在2004年國(guó)家信息化領(lǐng)導(dǎo)小組正確領(lǐng)導(dǎo)下和各級(jí)政府的積極努力下,我國(guó)電子政務(wù)在基礎(chǔ)環(huán)境建設(shè)、業(yè)務(wù)系統(tǒng)應(yīng)用和信息資源開發(fā)等方面取得了重要進(jìn)展,為帶動(dòng)國(guó)民經(jīng)濟(jì)和社會(huì)信息化、促進(jìn)政府職能轉(zhuǎn)變起到了積極作用。
隨著信息化的推進(jìn),社會(huì)對(duì)信息與網(wǎng)絡(luò)系統(tǒng)高度依賴,人們?cè)谌找嫦硎苄畔?lái)的方便與迅捷的同時(shí),也面臨著越來(lái)越大的挑戰(zhàn),這種挑戰(zhàn)主要來(lái)自信息安全。一些政府官員和信息安全專家近日大聲疾呼,信息安全問(wèn)題涉及經(jīng)濟(jì)、政治、國(guó)防、科技等各個(gè)領(lǐng)域,把握信息技術(shù)發(fā)展趨勢(shì),確保網(wǎng)絡(luò)空間的順暢與安全,維護(hù)國(guó)家和人民的根本利益,是信息時(shí)代的重大戰(zhàn)略問(wèn)題,應(yīng)當(dāng)引起各界的高度重視。
本文將從信息安全技術(shù)的角度,分析和詮釋針對(duì)電子政務(wù)系統(tǒng)中的信息安全問(wèn)題。
二、電子政務(wù)系統(tǒng)的安全需求
電子政務(wù)是政府機(jī)構(gòu)運(yùn)用現(xiàn)代信息與通訊技術(shù),將管理與服務(wù)通過(guò)信息化集成,在網(wǎng)絡(luò)上實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化重組,超越時(shí)間、空問(wèn)與部門分割的限制,全方位地向社會(huì)提供高效、優(yōu)質(zhì)、規(guī)范、透明的管理與服務(wù)。電子政務(wù)作為當(dāng)代信息化最重要的領(lǐng)域之一,已經(jīng)成為全球關(guān)注的焦點(diǎn),是我國(guó)現(xiàn)代化進(jìn)程中不可或缺的一環(huán),也是全面提升政府機(jī)構(gòu)管理與服務(wù)水平的重要技術(shù)手段。
電子政務(wù)系統(tǒng)屬于計(jì)算機(jī)信息處理系統(tǒng)的范疇,國(guó)際標(biāo)準(zhǔn)化組織在其《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分:安全體系結(jié)構(gòu)》中規(guī)定了五項(xiàng)安全服務(wù)內(nèi)容:鑒別(Authentication)、訪問(wèn)控i]isJ(AccessContro1)、數(shù)據(jù)機(jī)密性(Conifdentiality)數(shù)據(jù)完整性(Integritv)、抗抵賴(Non—Reputation)。
我們結(jié)合國(guó)家標(biāo)準(zhǔn)中對(duì)安全服務(wù)內(nèi)容的描述,提出了電子政務(wù)系統(tǒng)的安全需求:
鑒別(Authentication):這種安全服務(wù)提供對(duì)通信中的對(duì)等實(shí)體和數(shù)據(jù)來(lái)源的鑒別。簡(jiǎn)單的說(shuō),就是鑒別用戶的身份,鑒別身份對(duì)于實(shí)現(xiàn)抗抵賴也是十分重要的。電子政務(wù)直接關(guān)系企業(yè)和個(gè)人的利益,如何確定網(wǎng)上管理的行政對(duì)象正是所期望的管理對(duì)象,這一問(wèn)題是保證電子政務(wù)順利進(jìn)行的關(guān)鍵。因此,要在交易信息的傳輸過(guò)程中為參與政務(wù)的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。
訪問(wèn)控制(AccessContro1):這種服務(wù)提供保護(hù)以對(duì)付OSI可訪問(wèn)資源的非授權(quán)使用。通過(guò)訪問(wèn)控制機(jī)制,可以有效防止對(duì)非授權(quán)資源的訪問(wèn),預(yù)防非法信息的存取。
數(shù)據(jù)機(jī)密性(Confidentiality):這種服務(wù)對(duì)數(shù)據(jù)提供保護(hù)使之不被非授權(quán)地泄露。電子政務(wù)的信息直接代表著國(guó)家和企業(yè)的機(jī)密。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。數(shù)據(jù)機(jī)密性和訪問(wèn)控制技術(shù)一同保護(hù)了機(jī)密信息不被非法獲取。
數(shù)據(jù)完整性(Integrity):這種服務(wù)對(duì)付主動(dòng)威脅,數(shù)據(jù)完整性確保數(shù)據(jù)只能為有權(quán)的用戶進(jìn)行存取和修改。用于確保數(shù)據(jù)完整性的措施包括控制聯(lián)網(wǎng)終端和服務(wù)器的物理環(huán)境、限制對(duì)數(shù)據(jù)的訪問(wèn)和保持使用嚴(yán)格的驗(yàn)證機(jī)制。要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。
抗抵賴(Non—Reputation):分為有數(shù)據(jù)原發(fā)證明的抗抵賴和有交付證明的抗抵賴,分別使發(fā)送者或接收者事后謊稱未發(fā)送過(guò)或接收過(guò)這些數(shù)據(jù)或否認(rèn)它的內(nèi)容的企圖不能得逞。應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄以備審計(jì),使用戶事后不能抵賴其行為。
電子政務(wù)本身的特點(diǎn)f開放性、虛擬性、網(wǎng)絡(luò)化、對(duì)電子政務(wù)系統(tǒng)的安全性提出了嚴(yán)格的要求。目前我國(guó)有的政府部門沒有制訂統(tǒng)一的建設(shè)標(biāo)準(zhǔn)和規(guī)范,也沒有形成一個(gè)可以互聯(lián)互通的統(tǒng)一平臺(tái)和網(wǎng)絡(luò)。我們也可以參考以上的安全需求,建立系統(tǒng)的安全評(píng)估標(biāo)準(zhǔn),但具體的技術(shù)細(xì)節(jié)還需要因地制宜,依照系統(tǒng)的具體環(huán)境因素制定。
三、電子政務(wù)系統(tǒng)中的安全技術(shù)
依照上述的安全需求,暫且拋開網(wǎng)絡(luò)和操作系統(tǒng)環(huán)境等因素的影響,在考慮系統(tǒng)本身的信息安全時(shí),通常的安全技術(shù)涉及到加密技術(shù)、鑒別和認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)等幾個(gè)方面的內(nèi)容。下面我們就分別看看這幾個(gè)方面的安全技術(shù):
1.加密技術(shù)
加密技術(shù)是解決網(wǎng)絡(luò)信息安全問(wèn)題的技術(shù)核心,通過(guò)數(shù)據(jù)加密技術(shù),可以在很大程度上提高數(shù)據(jù)傳輸?shù)陌踩?,保證傳輸數(shù)據(jù)的完整性。
數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密。
常用的數(shù)據(jù)加密算法有很多種,密碼算法標(biāo)準(zhǔn)化是信息化社會(huì)發(fā)展得必然趨勢(shì),是世界各國(guó)保密通信領(lǐng)域的一個(gè)重要課題。按照發(fā)展進(jìn)程來(lái)分,經(jīng)歷了古典密碼、對(duì)稱密鑰密碼和非對(duì)稱密鑰密碼階段。古典密碼算法有替代加密、置換加密;對(duì)稱加密算法包括DES和AES;非對(duì)稱加密算法包括RSA、背包密碼等。目前在數(shù)據(jù)通信中使用最普遍的算法有DES算法、RSA算法和PGP算法等。
如今普遍使用的加密算法,在可靠性和效率方面各有千秋。在具體的應(yīng)用中,還須根據(jù)具體需求對(duì)這些加密技術(shù)進(jìn)行取舍??傊?,目前加密技術(shù)的發(fā)展,已經(jīng)能在極大程度上保證敏感信息的機(jī)密性和完整性。
2.鑒另q和認(rèn)證技術(shù)
為保證信息傳遞的安全性、真實(shí)性、可靠性、完整性和不可抵賴性,不僅需要對(duì)用戶的身份真實(shí)性進(jìn)行鑒別,同時(shí)也需要有~個(gè)具有權(quán)威性、公正性、可信任的機(jī)構(gòu),負(fù)責(zé)向電子政務(wù)的各個(gè)主體頒發(fā)并管理數(shù)字證書,這樣一個(gè)機(jī)構(gòu)就是CA認(rèn)證中心。
CA認(rèn)證主要解決了信息交互參與各方的主體身份、資信認(rèn)定等問(wèn)題。通過(guò)持有CA認(rèn)證中心頒發(fā)的可信任數(shù)字證書,信息交互參與各方身份的真實(shí)性得以保證。而借助CA認(rèn)證中心頒發(fā)的可信任數(shù)字證書,還可以對(duì)敏感信息進(jìn)行加密或簽名,進(jìn)一步維護(hù)信息的保密性、完整性。
使用建立在公開密鑰加密技術(shù)基礎(chǔ)上的數(shù)字簽名技術(shù),能夠驗(yàn)證發(fā)送方的標(biāo)識(shí)并保護(hù)數(shù)據(jù)的完整性。事實(shí)上數(shù)字簽名不是一種具體的技術(shù)實(shí)現(xiàn),它是基于上述各種加密技術(shù)組合的解決方案。數(shù)字簽名是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強(qiáng)的一種電子簽名方法。數(shù)字簽名技術(shù)采用了規(guī)范化的程序和科學(xué)化的方法,用于鑒定簽名人的身份以及對(duì)一項(xiàng)電子數(shù)據(jù)內(nèi)容的認(rèn)可。它還能驗(yàn)證出文件的原文在傳輸過(guò)程中有無(wú)變動(dòng),確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性。
3.訪問(wèn)控制技術(shù)
現(xiàn)代訪問(wèn)控制技術(shù)發(fā)展開始于二十世紀(jì)六十年代。訪問(wèn)控制就是通過(guò)某種途徑準(zhǔn)許或限制訪問(wèn)權(quán)利及范圍的一種方法,通過(guò)訪問(wèn)控制服務(wù)可以限制對(duì)關(guān)鍵資源的訪問(wèn),防止非法用戶的入侵或因合法用戶的不慎操作所造成的破壞。訪問(wèn)控制也是信息安全理論基礎(chǔ)的重要組成部分。目前的主流訪問(wèn)控制技術(shù)有:自主訪問(wèn)控制(Dis—cl’etionary Aceess Contro1)、強(qiáng)制訪問(wèn)控制(MandatoryAccessContro1)、基于角色的訪問(wèn)控帶4(Role—basedAccessContro1)。
結(jié)合電子政務(wù)系統(tǒng)的自身特點(diǎn),基于角色的訪問(wèn)控制的優(yōu)勢(shì)會(huì)越來(lái)越突出,將具有非常廣闊的前景。其基本思想就是通過(guò)將權(quán)限授予角色而非直接授予主體,主體通過(guò)角色分派來(lái)得到客體操作權(quán)限,從而實(shí)現(xiàn)授權(quán)。由于角色在系統(tǒng)中具有相對(duì)于主體的穩(wěn)定性,并更為直觀,從而大大減少系統(tǒng)安全管理員工作的復(fù)雜性。
四、總結(jié)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)