引論:我們為您整理了13篇加密技術論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
混沌是一種復雜的非線性、非平衡的動力學過程,其特點為:(1)混沌系統的行為是許多有序行為的集合,而每個有序分量在正常條件下,都不起主導作用;(2)混沌看起來似為隨機,但都是確定的;(3)混沌系統對初始條件極為敏感,對于兩個相同的混沌系統,若使其處于稍異的初態就會迅速變成完全不同的狀態。
1963年,美國氣象學家洛倫茲(Lorenz)提出混沌理論,認為氣候從本質上是不可預測的,最微小的條件改變將會導致巨大的天氣變化,這就是著名的“蝴蝶效應”。此后混沌在各個領域都得到了不同程度的運用。20世紀80年代開始,短短的二十幾年里,混沌動力學得到了廣泛的應用和發展。
二、混沌在加密算法中的應用
混沌系統由于對初值的敏感性,很小的初值誤差就能被系統放大,因此,系統的長期性是不可預測的;又因為混沌序列具有很好的統計特性,所以它可以產生隨機數列,這些特性很適合于序列加密技術。信息論的奠基人美國數學家Shannon指出:若能以某種方式產生一隨機序列,這一序列由密鑰所確定,任何輸入值一個微小變化對輸出都具有相當大影響,則利用這樣的序列就可以進行加密。混沌系統恰恰符合這種要求。
混沌系統的特性使得它在數值分布上不符合概率統計學原理,得不到一個穩定的概率分布特征;另外,混沌數集是實數范圍,還可以推廣到復數范圍。因此,從理論上講,利用混沌原理對數據進行加密,可以防范頻率分析攻擊、窮舉攻擊等攻擊方法,使得密碼難于分析、破譯。
從1992年至今,混沌保密通信經歷了四代。混沌掩蓋和混沌鍵控屬于第一代混沌保密通信技術,安全性能非常低,實用性大大折扣。混沌調制屬于第二代混沌保密通信技術,盡管第二代系統的安全性能比第一代高,但是仍然達不到滿意的程度。混沌加密技術屬于第三代混沌保密通信,該類方法將混沌和密碼學的優點結合起來,具有非常高的安全性能。基于脈沖同步的混沌通信則屬于第四代混沌保密通信。
三、混沌加密算法的性能評估
參考美國國家標準與技術協會(NIST)的評判規則LNIST的評判規則大體分為三個部分:安全性、代價和算法實現特性。介紹了一種基于Lorenz系統的混沌加密算法,以此標準分析了其性能,并將其與當前通用加密算法進行比較。
1.安全性分析
篇2
幸運的是,在所有的加密算法中最簡單的一種就是“置換表”算法,這種算法也能很好達到加密的需要。每一個數據段(總是一個字節)對應著“置換表”中的一個偏移量,偏移量所對應的值就輸出成為加密后的文件。加密程序和解密程序都需要一個這樣的“置換表”。事實上,80x86cpu系列就有一個指令‘xlat’在硬件級來完成這樣的工作。這種加密算法比較簡單,加密解密速度都很快,但是一旦這個“置換表”被對方獲得,那這個加密方案就完全被識破了。更進一步講,這種加密算法對于黑客破譯來講是相當直接的,只要找到一個“置換表”就可以了。這種方法在計算機出現之前就已經被廣泛的使用。
對這種“置換表”方式的一個改進就是使用2個或者更多的“置換表”,這些表都是基于數據流中字節的位置的,或者基于數據流本身。這時,破譯變的更加困難,因為黑客必須正確的做幾次變換。通過使用更多的“置換表”,并且按偽隨機的方式使用每個表,這種改進的加密方法已經變的很難破譯。比如,我們可以對所有的偶數位置的數據使用a表,對所有的奇數位置使用b表,即使黑客獲得了明文和密文,他想破譯這個加密方案也是非常困難的,除非黑客確切的知道用了兩張表。
與使用“置換表”相類似,“變換數據位置”也在計算機加密中使用。但是,這需要更多的執行時間。從輸入中讀入明文放到一個buffer中,再在buffer中對他們重排序,然后按這個順序再輸出。解密程序按相反的順序還原數據。這種方法總是和一些別的加密算法混合使用,這就使得破譯變的特別的困難,幾乎有些不可能了。例如,有這樣一個詞,變換起字母的順序,slient可以變為listen,但所有的字母都沒有變化,沒有增加也沒有減少,但是字母之間的順序已經變化了。
但是,還有一種更好的加密算法,只有計算機可以做,就是字/字節循環移位和xor操作。如果我們把一個字或字節在一個數據流內做循環移位,使用多個或變化的方向(左移或右移),就可以迅速的產生一個加密的數據流。這種方法是很好的,破譯它就更加困難!而且,更進一步的是,如果再使用xor操作,按位做異或操作,就就使破譯密碼更加困難了。如果再使用偽隨機的方法,這涉及到要產生一系列的數字,我們可以使用fibbonaci數列。對數列所產生的數做模運算(例如模3),得到一個結果,然后循環移位這個結果的次數,將使破譯次密碼變的幾乎不可能!但是,使用fibbonaci數列這種偽隨機的方式所產生的密碼對我們的解密程序來講是非常容易的。
在一些情況下,我們想能夠知道數據是否已經被篡改了或被破壞了,這時就需要產生一些校驗碼,并且把這些校驗碼插入到數據流中。這樣做對數據的防偽與程序本身都是有好處的。但是感染計算機程序的病毒才不會在意這些數據或程序是否加過密,是否有數字簽名。所以,加密程序在每次load到內存要開始執行時,都要檢查一下本身是否被病毒感染,對與需要加、解密的文件都要做這種檢查!很自然,這樣一種方法體制應該保密的,因為病毒程序的編寫者將會利用這些來破壞別人的程序或數據。因此,在一些反病毒或殺病毒軟件中一定要使用加密技術。
循環冗余校驗是一種典型的校驗數據的方法。對于每一個數據塊,它使用位循環移位和xor操作來產生一個16位或32位的校驗和,這使得丟失一位或兩個位的錯誤一定會導致校驗和出錯。這種方式很久以來就應用于文件的傳輸,例如xmodem-crc。這是方法已經成為標準,而且有詳細的文檔。但是,基于標準crc算法的一種修改算法對于發現加密數據塊中的錯誤和文件是否被病毒感染是很有效的。
二.基于公鑰的加密算法
一個好的加密算法的重要特點之一是具有這種能力:可以指定一個密碼或密鑰,并用它來加密明文,不同的密碼或密鑰產生不同的密文。這又分為兩種方式:對稱密鑰算法和非對稱密鑰算法。所謂對稱密鑰算法就是加密解密都使用相同的密鑰,非對稱密鑰算法就是加密解密使用不同的密鑰。非常著名的pgp公鑰加密以及rsa加密方法都是非對稱加密算法。加密密鑰,即公鑰,與解密密鑰,即私鑰,是非常的不同的。從數學理論上講,幾乎沒有真正不可逆的算法存在。例如,對于一個輸入‘a’執行一個操作得到結果‘b’,那么我們可以基于‘b’,做一個相對應的操作,導出輸入‘a’。在一些情況下,對于每一種操作,我們可以得到一個確定的值,或者該操作沒有定義(比如,除數為0)。對于一個沒有定義的操作來講,基于加密算法,可以成功地防止把一個公鑰變換成為私鑰。因此,要想破譯非對稱加密算法,找到那個唯一的密鑰,唯一的方法只能是反復的試驗,而這需要大量的處理時間。
rsa加密算法使用了兩個非常大的素數來產生公鑰和私鑰。即使從一個公鑰中通過因數分解可以得到私鑰,但這個運算所包含的計算量是非常巨大的,以至于在現實上是不可行的。加密算法本身也是很慢的,這使得使用rsa算法加密大量的數據變的有些不可行。這就使得一些現實中加密算法都基于rsa加密算法。pgp算法(以及大多數基于rsa算法的加密方法)使用公鑰來加密一個對稱加密算法的密鑰,然后再利用一個快速的對稱加密算法來加密數據。這個對稱算法的密鑰是隨機產生的,是保密的,因此,得到這個密鑰的唯一方法就是使用私鑰來解密。
我們舉一個例子:假定現在要加密一些數據使用密鑰‘12345’。利用rsa公鑰,使用rsa算法加密這個密鑰‘12345’,并把它放在要加密的數據的前面(可能后面跟著一個分割符或文件長度,以區分數據和密鑰),然后,使用對稱加密算法加密正文,使用的密鑰就是‘12345’。當對方收到時,解密程序找到加密過的密鑰,并利用rsa私鑰解密出來,然后再確定出數據的開始位置,利用密鑰‘12345’來解密數據。這樣就使得一個可靠的經過高效加密的數據安全地傳輸和解密。
一些簡單的基于rsa算法的加密算法可在下面的站點找到:
ftp://ftp.funet.fi/pub/crypt/cryptography/asymmetric/rsa
三.一個嶄新的多步加密算法
現在又出現了一種新的加密算法,據說是幾乎不可能被破譯的。這個算法在1998年6月1日才正式公布的。下面詳細的介紹這個算法:
使用一系列的數字(比如說128位密鑰),來產生一個可重復的但高度隨機化的偽隨機的數字的序列。一次使用256個表項,使用隨機數序列來產生密碼轉表,如下所示:
把256個隨機數放在一個距陣中,然后對他們進行排序,使用這樣一種方式(我們要記住最初的位置)使用最初的位置來產生一個表,隨意排序的表,表中的數字在0到255之間。如果不是很明白如何來做,就可以不管它。但是,下面也提供了一些原碼(在下面)是我們明白是如何來做的。現在,產生了一個具體的256字節的表。讓這個隨機數產生器接著來產生這個表中的其余的數,以至于每個表是不同的。下一步,使用"shotguntechnique"技術來產生解碼表。基本上說,如果a映射到b,那么b一定可以映射到a,所以b[a[n]]=n.(n是一個在0到255之間的數)。在一個循環中賦值,使用一個256字節的解碼表它對應于我們剛才在上一步產生的256字節的加密表。
使用這個方法,已經可以產生這樣的一個表,表的順序是隨機,所以產生這256個字節的隨機數使用的是二次偽隨機,使用了兩個額外的16位的密碼.現在,已經有了兩張轉換表,基本的加密解密是如下這樣工作的。前一個字節密文是這個256字節的表的索引。或者,為了提高加密效果,可以使用多余8位的值,甚至使用校驗和或者crc算法來產生索引字節。假定這個表是256*256的數組,將會是下面的樣子:
crypto1=a[crypto0][value]
變量''''crypto1''''是加密后的數據,''''crypto0''''是前一個加密數據(或著是前面幾個加密數據的一個函數值)。很自然的,第一個數據需要一個“種子”,這個“種子”是我們必須記住的。如果使用256*256的表,這樣做將會增加密文的長度。或者,可以使用你產生出隨機數序列所用的密碼,也可能是它的crc校驗和。順便提及的是曾作過這樣一個測試:使用16個字節來產生表的索引,以128位的密鑰作為這16個字節的初始的"種子"。然后,在產生出這些隨機數的表之后,就可以用來加密數據,速度達到每秒鐘100k個字節。一定要保證在加密與解密時都使用加密的值作為表的索引,而且這兩次一定要匹配。
加密時所產生的偽隨機序列是很隨意的,可以設計成想要的任何序列。沒有關于這個隨機序列的詳細的信息,解密密文是不現實的。例如:一些ascii碼的序列,如“eeeeeeee"可能被轉化成一些隨機的沒有任何意義的亂碼,每一個字節都依賴于其前一個字節的密文,而不是實際的值。對于任一個單個的字符的這種變換來說,隱藏了加密數據的有效的真正的長度。
如果確實不理解如何來產生一個隨機數序列,就考慮fibbonacci數列,使用2個雙字(64位)的數作為產生隨機數的種子,再加上第三個雙字來做xor操作。這個算法產生了一系列的隨機數。算法如下:
unsignedlongdw1,dw2,dw3,dwmask;
inti1;
unsignedlongarandom[256];
dw1={seed#1};
dw2={seed#2};
dwmask={seed#3};
//thisgivesyou332-bit"seeds",or96bitstotal
for(i1=0;i1<256;i1++)
{
dw3=(dw1+dw2)^dwmask;
arandom[i1]=dw3;
dw1=dw2;
dw2=dw3;
}
如果想產生一系列的隨機數字,比如說,在0和列表中所有的隨機數之間的一些數,就可以使用下面的方法:
int__cdeclmysortproc(void*p1,void*p2)
{
unsignedlong**pp1=(unsignedlong**)p1;
unsignedlong**pp2=(unsignedlong**)p2;
if(**pp1<**pp2)
return(-1);
elseif(**pp1>*pp2)
return(1);
return(0);
}
...
inti1;
unsignedlong*aprandom[256];
unsignedlongarandom[256];//samearrayasbefore,inthiscase
intaresult[256];//resultsgohere
for(i1=0;i1<256;i1++)
{
aprandom[i1]=arandom+i1;
}
//nowsortit
qsort(aprandom,256,sizeof(*aprandom),mysortproc);
//finalstep-offsetsforpointersareplacedintooutputarray
for(i1=0;i1<256;i1++)
{
aresult[i1]=(int)(aprandom[i1]-arandom);
}
...
變量''''aresult''''中的值應該是一個排過序的唯一的一系列的整數的數組,整數的值的范圍均在0到255之間。這樣一個數組是非常有用的,例如:對一個字節對字節的轉換表,就可以很容易并且非常可靠的來產生一個短的密鑰(經常作為一些隨機數的種子)。這樣一個表還有其他的用處,比如說:來產生一個隨機的字符,計算機游戲中一個物體的隨機的位置等等。上面的例子就其本身而言并沒有構成一個加密算法,只是加密算法一個組成部分。
作為一個測試,開發了一個應用程序來測試上面所描述的加密算法。程序本身都經過了幾次的優化和修改,來提高隨機數的真正的隨機性和防止會產生一些短的可重復的用于加密的隨機數。用這個程序來加密一個文件,破解這個文件可能會需要非常巨大的時間以至于在現實上是不可能的。
四.結論:
由于在現實生活中,我們要確保一些敏感的數據只能被有相應權限的人看到,要確保信息在傳輸的過程中不會被篡改,截取,這就需要很多的安全系統大量的應用于政府、大公司以及個人系統。數據加密是肯定可以被破解的,但我們所想要的是一個特定時期的安全,也就是說,密文的破解應該是足夠的困難,在現實上是不可能的,尤其是短時間內。
參考文獻:
1.pgp!/
cyberknights(newlink)/cyberkt/
(oldlink:/~merlin/knights/)
2.cryptochamberjyu.fi/~paasivir/crypt/
3.sshcryptographa-z(includesinfoonsslandhttps)ssh.fi/tech/crypto/
4.funet''''cryptologyftp(yetanotherfinlandresource)ftp://ftp.funet.fi/pub/crypt/
agreatenigmaarticle,howthecodewasbrokenbypolishscientists
/nbrass/1enigma.htm
5.ftpsiteinukftp://sable.ox.ac.uk/pub/crypto/
6.australianftpsiteftp://ftp.psy.uq.oz.au/pub/
7.replayassociatesftparchiveftp://utopia.hacktic.nl/pub/replay/pub/crypto/
篇3
信息加密是由各種加密算法實現的,傳統的加密系統是以密鑰為基礎的,是一種對稱加密,即用戶使用同一個密鑰加密和解密。而公鑰則是一種非對稱加密方法。加密者和解密者各自擁有不同的密鑰,對稱加密算法包括DES和IDEA;非對稱加密算法包括RSA、背包密碼等。目前在數據通信中使用最普遍的算法有DES算法、RSA算法和PGP算法等。
2.1對稱加密算法
對稱密碼體制是一種傳統密碼體制,也稱為私鑰密碼體制。在對稱加密系統中,加密和解密采用相同的密鑰。因為加解密鑰相同,需要通信的雙方必須選擇和保存他們共同的密鑰,各方必須信任對方不會將密鑰泄漏出去,這樣就可以實現數據的機密性和完整性。對于具有n個用戶的網絡,需要n(n-1)/2個密鑰,在用戶群不是很大的情況下,對稱加密系統是有效的。DES算法是目前最為典型的對稱密鑰密碼系統算法。
DES是一種分組密碼,用專門的變換函數來加密明文。方法是先把明文按組長64bit分成若干組,然后用變換函數依次加密這些組,每次輸出64bit的密文,最后將所有密文串接起來即得整個密文。密鑰長度56bit,由任意56位數組成,因此數量高達256個,而且可以隨時更換。使破解變得不可能,因此,DES的安全性完全依賴于對密鑰的保護(故稱為秘密密鑰算法)。DES運算速度快,適合對大量數據的加密,但缺點是密鑰的安全分發困難。
2.2非對稱密鑰密碼體制
非對稱密鑰密碼體制也叫公共密鑰技術,該技術就是針對私鑰密碼體制的缺陷被提出來的。公共密鑰技術利用兩個密碼取代常規的一個密碼:其中一個公共密鑰被用來加密數據,而另一個私人密鑰被用來解密數據。這兩個密鑰在數字上相關,但即便使用許多計算機協同運算,要想從公共密鑰中逆算出對應的私人密鑰也是不可能的。這是因為兩個密鑰生成的基本原理根據一個數學計算的特性,即兩個對位質數相乘可以輕易得到一個巨大的數字,但要是反過來將這個巨大的乘積數分解為組成它的兩個質數,即使是超級計算機也要花很長的時間。此外,密鑰對中任何一個都可用于加密,其另外一個用于解密,且密鑰對中稱為私人密鑰的那一個只有密鑰對的所有者才知道,從而人們可以把私人密鑰作為其所有者的身份特征。根據公共密鑰算法,已知公共密鑰是不能推導出私人密鑰的。最后使用公鑰時,要安裝此類加密程序,設定私人密鑰,并由程序生成龐大的公共密鑰。使用者與其向聯系的人發送公共密鑰的拷貝,同時請他們也使用同一個加密程序。之后他人就能向最初的使用者發送用公共密鑰加密成密碼的信息。僅有使用者才能夠解碼那些信息,因為解碼要求使用者知道公共密鑰的口令。那是惟有使用者自己才知道的私人密鑰。在這些過程當中。信息接受方獲得對方公共密鑰有兩種方法:一是直接跟對方聯系以獲得對方的公共密鑰;另一種方法是向第三方即可靠的驗證機構(如CertificationAuthori-ty,CA),可靠地獲取對方的公共密鑰。公共密鑰體制的算法中最著名的代表是RSA系統,此外還有:背包密碼、橢圓曲線、ELGamal算法等。公鑰密碼的優點是可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其算法復雜,加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼算法將是一種很有前途的網絡安全加密體制。
RSA算法得基本思想是:先找出兩個非常大的質數P和Q,算出N=(P×Q),找到一個小于N的E,使E和(P-1)×(Q-1)互質。然后算出數D,使(D×E-1)Mod(P-1)×(Q-1)=0。則公鑰為(E,N),私鑰為(D,N)。在加密時,將明文劃分成串,使得每串明文P落在0和N之間,這樣可以通過將明文劃分為每塊有K位的組來實現。并且使得K滿足(P-1)×(Q-1I)K
3加密技術在網絡中的應用及發展
實際應用中加密技術主要有鏈路加密、節點加密和端對端加密等三種方式,它們分別在OSI不同層次使用加密技術。鏈路加密通常用硬件在物理層實現,加密設備對所有通過的數據加密,這種加密方式對用戶是透明的,由網絡自動逐段依次進行,用戶不需要了解加密技術的細節,主要用以對信道或鏈路中可能被截獲的部分進行保護。鏈路加密的全部報文都以明文形式通過各節點的處理器。在節點數據容易受到非法存取的危害。節點加密是對鏈路加密的改進,在協議運輸層上進行加密,加密算法要組合在依附于節點的加密模塊中,所以明文數據只存在于保密模塊中,克服了鏈路加密在節點處易遭非法存取的缺點。網絡層以上的加密,通常稱為端對端加密,端對端加密是把加密設備放在網絡層和傳輸層之間或在表示層以上對傳輸的數據加密,用戶數據在整個傳輸過程中以密文的形式存在。它不需要考慮網絡低層,下層協議信息以明文形式傳輸,由于路由信息沒有加密,易受監控分析。不同加密方式在網絡層次中側重點不同,網絡應用中可以將鏈路加密或節點加密同端到端加密結合起來,可以彌補單一加密方式的不足,從而提高網絡的安全性。針對網絡不同層次的安全需求也制定出了不同的安全協議以便能夠提供更好的加密和認證服務,每個協議都位于計算機體系結構的不同層次中。混合加密方式兼有兩種密碼體制的優點,從而構成了一種理想的密碼方式并得到廣泛的應用。在數據信息中很多時候所傳輸數據只是其中一小部分包含重要或關鍵信息,只要這部分數據安全性得到保證整個數據信息都可以認為是安全的,這種情況下可以采用部分加密方案,在數據壓縮后只加密數據中的重要或關鍵信息部分。就可以大大減少計算時間,做到數據既能快速地傳輸,并且不影響準確性和完整性,尤其在實時數據傳輸中這種方法能起到很顯著的效果。
4結語
篇4
-對數據進行加密,主要有三種方式:系統中加密、客戶端(DBMS外層)加密、服務器端(DBMS內核層)加密。客戶端加密的好處是不會加重數據庫服務器的負載,并且可實現網上的傳輸加密,這種加密方式通常利用數據庫外層工具實現。而服務器端的加密需要對數據庫管理系統本身進行操作,屬核心層加密,如果沒有數據庫開發商的配合,其實現難度相對較大。此外,對那些希望通過ASP獲得服務的企業來說,只有在客戶端實現加解密,才能保證其數據的安全可靠。
1.常用數據庫加密技術
信息安全主要指三個方面。一是數據安全,二是系統安全,三是電子商務的安全。核心是數據庫的安全,將數據庫的數據加密就抓住了信息安全的核心問題。
對數據庫中數據加密是為增強普通關系數據庫管理系統的安全性,提供一個安全適用的數據庫加密平臺,對數據庫存儲的內容實施有效保護。它通過數據庫存儲加密等安全方法實現了數據庫數據存儲保密和完整性要求,使得數據庫以密文方式存儲并在密態方式下工作,確保了數據安全。
1.1數據庫加密技術的功能和特性
經過近幾年的研究,我國數據庫加密技術已經比較成熟。
一般而言,一個行之有效的數據庫加密技術主要有以下6個方面的功能和特性。
(1)身份認證:
用戶除提供用戶名、口令外,還必須按照系統安全要求提供其它相關安全憑證。如使用終端密鑰。
(2)通信加密與完整性保護:
有關數據庫的訪問在網絡傳輸中都被加密,通信一次一密的意義在于防重放、防篡改。
(3)數據庫數據存儲加密與完整性保護:
數據庫系統采用數據項級存儲加密,即數據庫中不同的記錄、每條記錄的不同字段都采用不同的密鑰加密,輔以校驗措施來保證數據庫數據存儲的保密性和完整性,防止數據的非授權訪問和修改。
(4)數據庫加密設置:
系統中可以選擇需要加密的數據庫列,以便于用戶選擇那些敏感信息進行加密而不是全部數據都加密。只對用戶的敏感數據加密可以提高數據庫訪問速度。這樣有利于用戶在效率與安全性之間進行自主選擇。
(5)多級密鑰管理模式:
主密鑰和主密鑰變量保存在安全區域,二級密鑰受主密鑰變量加密保護,數據加密的密鑰存儲或傳輸時利用二級密鑰加密保護,使用時受主密鑰保護。
(6)安全備份:
系統提供數據庫明文備份功能和密鑰備份功能。
1.2對數據庫加密系統基本要求
(1)字段加密;
(2)密鑰動態管理;
(3)合理處理數據;
(4)不影響合法用戶的操作;
(5)防止非法拷貝;
1.3數據加密的算法
加密算法是一些公式和法則,它規定了明文和密文之間的變換方法。密鑰是控制加密算法和解密算法的關鍵信息,它的產生、傳輸、存儲等工作是十分重要的。
數據加密的基本過程包括對明文(即可讀信息)進行翻譯,譯成密文或密碼的代碼形式。該過程的逆過程為解密,即將該編碼信息轉化為其原來的形式的過程。
DES算法,DES(DataEncryptionStandard)是由IBM公司在1970年以后發展起來的,于1976年11月被美國政府采用,DES隨后被美國國家標準局和美國國家標準協會(AmericanNationalStandardInstitute,ANSI)承認,DES算法把64位的明文輸入塊變為64位的密文輸出塊,它所使用的密鑰也是64位,DES算法中只用到64位密鑰中的其中56位。
三重DES,DES的密碼學缺點是密鑰長度相對比較短,因此,人們又想出了一個解決其長度的方法,即采用三重DES,三重DES是DES的一種變形。這種方法使用兩個獨立的56位密鑰對交換的信息(如EDI數據)進行3次加密,從而使其有效密鑰長度達到112位或168位,對安全性有特殊要求時則要采用它。
RSA算法它是第一個既能用于數據加密也能用于數字簽名的算法。它易于理解和操作,也很流行。算法的名字就是發明者的名字:RonRivest,AdiShamir和LeonardAdleman,但RSA的安全性一直未能得到理論上的證明,RSA的安全性依賴于大數的因子分解,但并沒有從理論上證明破譯RSA的難度與大數分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何,而且密碼學界多數人士傾向于因子分解不是NPC問題,RSA算法是第一個能同時用于加密和數字簽名的算法,也易于理解和操作。RSA是被研究得最廣泛的公鑰算法,從提出到現在已近二十年,經歷了各種攻擊的考驗,逐漸為人們接受,普遍認為是目前最優秀的公鑰方案之一。
AES是美國高級加密標準算法,將在未來幾十年里代替DES在各個領域中得到廣泛應用,盡管人們對AES還有不同的看法,但總體來說,AES作為新一代的數據加密標準匯聚了強安全性、高性能、高效率、易用和靈活等優點。AES設計有三個密鑰長度:128,192,256位,相對而言,AES的128密鑰比DES的56密鑰強1021倍。AES算法主要包括三個方面:輪變化、圈數和密鑰擴展。在理論上,此加密方法需要國家軍事量級的破解設備運算10年以上時間才可能破譯。
1.4數據庫數據加密的實現
使用數據庫安全保密中間件對數據庫進行加密是最簡便直接的方法。主要是通過系統中加密、DBMS內核層(服務器端)加密和DBMS外層(客戶端)加密。
在系統中加密,在系統中無法辨認數據庫文件中的數據關系,將數據先在內存中進行加密,然后文件系統把每次加密后的內存數據寫入到數據庫文件中去,讀入時再逆方面進行解密就,這種加密方法相對簡單,只要妥善管理密鑰就可以了。缺點對數據庫的讀寫都比較麻煩,每次都要進行加解密的工作,對程序的編寫和讀寫數據庫的速度都會有影響。
在DBMS內核層實現加密需要對數據庫管理系統本身進行操作。這種加密是指數據在物理存取之前完成加解密工作。這種加密方式的優點是加密功能強,并且加密功能幾乎不會影響DBMS的功能,可以實現加密功能與數據庫管理系統之間的無縫耦合。其缺點是加密運算在服務器端進行,加重了服務器的負載,而且DBMS和加密器之間的接口需要DBMS開發商的支持。
在DBMS外層實現加密的好處是不會加重數據庫服務器的負載,并且可實現網上的傳輸,加密比較實際的做法是將數據庫加密系統做成DBMS的一個外層工具,根據加密要求自動完成對數據庫數據的加解密處理。
采用這種加密方式進行加密,加解密運算可在客戶端進行,它的優點是不會加重數據庫服務器的負載并且可以實現網上傳輸的加密,缺點是加密功能會受到一些限制,與數據庫管理系統之間的耦合性稍差。
數據庫加密系統分成兩個功能獨立的主要部件:一個是加密字典管理程序,另一個是數據庫加解密引擎。數據庫加密系統將用戶對數據庫信息具體的加密要求以及基礎信息保存在加密字典中,通過調用數據加解密引擎實現對數據庫表的加密、解密及數據轉換等功能。數據庫信息的加解密處理是在后成的,對數據庫服務器是透明的。
按以上方式實現的數據庫加密系統具有很多優點:首先,系統對數據庫的最終用戶是完全透明的,管理員可以根據需要進行明文和密文的轉換工作;其次,加密系統完全獨立于數據庫應用系統,無須改動數據庫應用系統就能實現數據加密功能;第三,加解密處理在客戶端進行,不會影響數據庫服務器的效率。
數據庫加解密引擎是數據庫加密系統的核心部件,它位于應用程序與數據庫服務器之間,負責在后成數據庫信息的加解密處理,對應用開發人員和操作人員來說是透明的。數據加解密引擎沒有操作界面,在需要時由操作系統自動加載并駐留在內存中,通過內部接口與加密字典管理程序和用戶應用程序通訊。數據庫加解密引擎由三大模塊組成:加解密處理模塊、用戶接口模塊和數據庫接口模塊。
2.結束語
上面的論述還遠遠沒達到數據庫安全需要,比如現在的數據庫基本都給與網絡架構,網際的安全傳輸等,也是要重點考慮的方面,等等。一個好的安全系統必須綜合考慮核運用這些技術,以保證數據的安全,通過一上論述希望對大家有所幫助,同時也和大家一起討論一起學習,共同進步。
參考文獻:
篇5
(2)電磁泄漏。計算機在運行過程中,會輻射出巨大的電磁脈沖,惡意破壞者則通過對計算機輻射的電磁波進行接收,進一步通過復原獲取計算機中的信息數據。
(3)硬件故障。在計算機存儲器硬件遭遇損壞的情況下,便會導致所存儲的數據無法有效讀取出來。
1.2軟件方面的安全問題
(1)竊聽。主要指的是資料數據在進行網絡傳輸過程當中,被第三方非法獲取,從而造成資料數據的流失。對于企業而言,遭遇竊聽則會泄漏公司機密,從而使企業造成不可估量的經濟損失。
(2)病毒入侵。主要指的是電腦病毒,對于電腦病毒來說,能夠進行自行復制,從而對應用軟件進行更換,并且還可以更改資料或刪除文檔。
(3)網絡釣魚。通過或者仿冒網絡商店的構建,從而獲取網民的信息資料,進一步造成網民個人信息泄露或直接的經濟損失。
(4)偽裝及篡改。在“偽裝”方面,主要指的是攻擊者偽裝成合法的使用者,從而輕而易舉地獲取使用權限。在“篡改”方面主要指的是資料被篡改,比如儲存或者處于傳輸過程中的資料被篡改,那么這些資料的完整性便遭遇損壞,同時這些資料的安全性也失去了可靠性及安全性。
二、計算機安全常見問題的防御對策探究
1、加固技術
使用加固技術可以使計算機硬件的安全性得到有效提升。涵蓋了防腐加固、溫度環境加固、密封加固及防震加固等。對于加固技術中的防輻射加固來說,是將計算機各方面的硬件,比如電源、硬盤、芯片等均進行屏蔽,從而使電磁波輻射現象的發生實現有效避免。當然,對于計算機硬件方面的工作,除了加固技術外,還需具體情況具體分析,比如為了使數據存儲的安全性得到有效提升,便可以使用數據備份的方面,把有用的數據進行定期復制,并進一步加以保存。
2、加密技術
為了使信息竊取實現有效避免,便可以采取加密技術。該項技術主要分為兩類,一類為對稱加密技術,另一類為非對稱加密技術。其中,對于對稱加密技術來說,主要是指信息的發送方與接收方使用同一各密鑰進行加密及解密數據。非對稱加密技術即為公鑰加密,通過一對密鑰的利用,以分別的方式進行加密與解密數據。
3、認證技術
對于認證技術來說,主要是指通過電子手段的加以利用,以此證明發送者與接受者身份的一種技術,同時該項技術還能夠辨識文件的完整性。也就是說,能夠辨識出數據在傳輸過程中是否被篡改或非法存儲等。認證技術分為兩類,一類為數字簽名,另一類為數字證書。其中,數字簽名又稱之為電子簽名,主要是將數字簽名當作報文發送給接收者。對于用戶來說,可以通過安全可靠的方法向相關部門提交資金的公鑰,從而獲取證書,進一步用戶便具備公開此項證書的合法權益。對于需要用戶公鑰的人,均能夠獲取此項證書,并且通過相關合法協議的簽訂,從而使公鑰的有效性得到證實。對于數字證書來說,將交易各方的身份信息逐一標識出來,進一步提供出驗證各身份的方法,如此一來用戶便能夠使用這些方法對對方的身份進行有效識別。
篇6
2.1關于現代機械制造工藝的應用分析
2.1.1氣體保護焊工藝。在進行焊接工藝的使用中,需要明確的一點是,該焊接的主要熱源之一就是電弧。在進行工作的時候,他的主要特點就是將某種惰性氣體或者性質符合要求的氣體作為焊接物之間的有一種保護的介質,在焊接工作開展的過程中,這種氣體就會從噴槍中配出來,對電弧的周圍進行一種有效的保證,這樣做就保證電弧、熔池和空氣三者之間能夠達到有效的分析。這種做的目的是為了保證有害氣體不會干擾到焊接工作的正常進行,保護焊接工作中的電弧能夠正常的進行燃燒、工作。在當代社會的發展中,應用最多的保護氣體應該屬于二氧化碳保護氣體,該氣體的使用是因為其使用性質較為不錯,并且制造的成本也比較低廉,適合大范圍的使用,所以,其在當代機械制造行業得到了有效且廣泛的應用。
2.1.2電阻焊工藝。該工藝是把焊接物置于正電極、負電極之間進行通電操作,當電流通過時,就會在焊接物之間的接觸面及其周圍形成“店長效應”,從而焊接物達到熔化并融合的效果,實現壓力焊接的目的。該工藝的特點是焊接質量較好、工作生產效率較高、充分實現機械化操作、且需要時間較短、氣體及噪聲污染較小等,優點較多。電阻焊工藝目前已在航空航天、汽車和家電等現代機械制造業中應用較廣。但其也存在缺點和不足,即焊接設備的成本較高、后期維修費用大,并且沒有有效的無損檢測技術等。
2.1.3埋弧焊工藝。該工藝是指在焊劑層下燃燒電弧而進行焊接的一種焊接工藝。其分為自動焊接以及半自動焊接兩種焊接方式。進行自動焊接時,通過焊接車把焊絲以及移動電弧送入從而自動完成焊接操作。進行半自動焊接時,則是由機械完成焊絲送入,再由焊接操作人員進行移動電弧的送入操作,因此增加了勞動成本,目前應用較少。以焊接鋼筋為例,過去經常采取手工電弧焊的方法,即半自動埋弧焊,而如今電渣壓力焊取代了半自動埋弧焊,該焊法生產效率較高、焊縫質量好,并且具有良好的勞動條件。但選擇該焊接工藝焊接時需要注意選擇理想的焊劑,因為焊接的工藝水平、應用電流大小、鋼材的級別等許多技術指標都可以通過焊劑堿度充分體現出來,所以要特別注意焊劑的堿度。
2.1.4螺柱焊工藝。該工藝是指首先把螺柱與管件或者板件相連接,引入電弧使接觸面熔化在一起,再對螺住施加壓力進行焊接。其分為儲能式、拉弧式兩種焊接方式。其中儲能式焊接熔深較小,在薄板焊接時應用較多,而拉弧式焊接與之相反,在重工業中應用較多。該兩種焊接方式都為單面焊接方式,因此具有無需打孔、鉆洞、粘結、攻螺紋和鉚接等諸多優勢,特別是無需打孔和鉆洞,能夠確保焊接工藝不會發生漏氣漏水現象,現代機械制造業中應用極廣。
篇7
2.1電子郵件傳播
一些惡意電子郵件HTML正文中嵌入惡意腳本,或電子郵件附件中攜帶病毒的壓縮文件,這些病毒經常利用社會工程學進行偽裝,增大病毒傳播機會。2.2網絡共享傳播一些病毒會搜索本地網絡中存在的共享,包括默認共享,通過空口令或弱口令猜測,獲得完全訪問權限,并將自身復制到網絡共享文件夾中,通常以游戲,CDKEY等相關名字命名,不易察覺。
2.3P2P共享軟件傳播
隨著P2P軟件的普遍應用,也成為計算機病毒傳播的重要途徑,通常把病毒代碼植入到音頻、視頻、游戲軟件中,誘使用戶下載。
2.4系統漏洞傳播
隨著互聯網的發展,我們的企業和個人用戶在享受網絡帶來的快捷和商機的同時,也面臨無時不在的計算機病毒威脅,計算機病毒也由全球性爆發逐漸向地域性爆發轉變。本文主要簡述計算機病毒的特點和防治方法,以及數據機密技術的應用。摘要由于操作系統固有的一些設計缺陷,導致被惡意用戶通過畸形的方式利用后,可執行任意代碼,病毒往往利用系統漏洞進入系統,達到傳播的目的。常被利用的漏有RPC-DCOM緩沖區溢出(MS03-026)、WebDAV(MS03-007)、LSASS(MS04-011)。
2.5移動設備傳播
一些使用者的優盤、移動硬盤等移動存儲設備,常常攜帶電腦病毒,當插入電腦時沒有使用殺毒軟件對病毒進行查殺,可能導致病毒侵入電腦。
3計算機病毒的防治策略
3.1計算機病毒的預防
計算機病毒防治,要采取預防為主的方針,安裝防病毒軟件,定期升級防病毒軟件,不隨便打開不明來源的郵件附件,盡量減少其他人使用你的計算機,及時打系統補丁,從外面獲取數據先檢察,建立系統恢復盤,定期備份文件,綜合各種防病毒技術,防火墻與防毒軟件結合,達到病毒檢測、數據保護、實時監控多層防護的目的。
3.2病毒的檢測
對于普通用戶,使用殺毒軟件即可對計算機進行常規的病毒檢測,但由于病毒傳播快、新病毒層出不窮,殺毒軟件不能對新病毒有效的查殺,對于專業人員進行查毒。常見的病毒檢測方法有比較法、特征代碼掃描法、效驗和法、分析法,當有新病毒出現時,需要同時使用分析法和比較法,搞清楚病毒體的大致結構,提取特征代碼或特征字,用于增添到病毒代碼庫供病毒掃描和識別程序用;詳細分析病毒代碼,為制定相應的反病毒措施制定方案。
3.3病毒的清除
使用windows自帶的任務管理器或第三方的進程管理工具,中止病毒進程或服務,根據病毒修改的具體情況,刪除或還原相應的注冊表項,檢查Win.ini配置文件的[windows]節中的項和System.ini配置文件的[boot]節中的項,刪除病毒相關的部分。常用的工具有:系統診斷(SIC,HijackThis)、分析進程(ProcessExplorer)、分析網絡連接(TCPView)、監視注冊表(Regmon,InstallRite)、監視文件系統(Filemon,InstallRite)。
3.4殺毒軟件的選擇
一般的殺毒軟件具有預防、檢測、消除、免疫和破壞控制的功能,選擇殺毒軟件時應考慮軟件的高偵測率、誤報率、漏報率、操作管理和隔離政策等幾個關鍵因素。
4計算機數據加密技術
4.1計算機數據加密的概述
密碼技術通過信息的變換或編碼,將機密的敏感消息變換成為難以讀懂的亂碼字符,使竊聽者不可能由其截獲的亂碼中得到任何有意義的信息,同時使竊聽者不可能偽造任何亂碼型的信息。在計算機網絡中,為了提高信息系統及數據的安全性和保密性,防止機密信息的泄露和信息源的真實性的認證,以及驗證接收數據的完整性,防止被一些別有用心的人利用或破壞,需要對數據進行加密來保護機密數據不被竊取或篡改。
4.2計算機加密的分類
目前對網絡數據加密主要有鏈路加密、節點對節點加密和端對端加密3種實現方式。
(1)鏈路加密
鏈路加密又稱在線加密,它是對在兩個網絡節點間的某一條通信鏈路實施加密,是目前網絡安全系統中主要采用的方式。
(2)節點對節點加密
節點對節點加密是在中間節點里裝有用于加密和解密的保護裝置,由這個裝置來完成一個密鑰向另一個密鑰的交換,提高網絡數據的安全性。
(3)端對端加密
端對端加密又稱脫線加密或包加密,它允許數據在從源節點被加密后,到終點的傳輸過程中始終以密文形式存在,消息在到達終點之前不進行解密,只有消息到達目的節點后才被解密。因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。身份認證技術:通過身份認證可以驗證消息的收發者是否持有身份認證符,同時驗證消息的完整性,并對消息的序號性和時間性進行認證,有效防止不法分子對信息系統進行主動攻擊。數字簽名技術:數字簽名是信息收發者使用公開密鑰算法技術,產生別人無法偽造的一段數字串。發送者使用自己的私有密鑰加密后將數據傳送給接受者,接受者需要使用發送者的公鑰解開數據,可以確定消息來自誰,同時是對發送者發送信息的真實性的一個證明。數字簽名具有可驗證、防抵賴、防假冒、防篡改、防偽造的特點,確保信息數據的安全。
篇8
1引言
隨著計算機網絡技術的迅速發展,網絡中的信息安全問題越來越受到廣泛關注。信息安全主要涉及到用戶身份驗證、訪問控制、數據完整性、數據加密等問題。網絡安全產品大量涌現。雖然各種網絡安全產品的功能多種多樣,但它們無一例外地要使用加密技術。一個好的加密算法首先表現在它的安全性上,一個不安全的算法會使使用它的網絡變得更加脆弱;其次要考慮它在軟硬件方面實現的難易度,不易實現的加密算法是不現實的;第三要看使用此加密算法會不會降低數據傳輸速率。
藍牙技術是一種新興的無線網絡標準,它基于芯片提供短距離范圍的無線跳頻通信。它注定會成為一項通用的低成本無線技術,可適用于一系列范圍廣泛的數據通信應用。藍牙標準定義了一系列安全機制,從而為近距離無線通信提供了基本的保護。它要求每個藍牙設備都要實現密鑰管理、認證以及加密等功能。此外藍牙技術所采用的跳頻數據通信方式本身也是一個防止竊聽的有效安全手段。藍牙加密過程中所用到的加密算法是E0流密碼。但是這種算法存在有一些缺點,128位密鑰長度的E0流加密在某些情況下可通過0(2^64)方式破解。所以對于大多數需要將保密放在首位來考慮的應用來說,僅僅采用藍牙提供的數據安全性是不夠的。
2藍牙標準中的安全措施
藍牙技術中,物理層數據的安全性主要是采用了跳頻擴展頻譜,由于藍牙技術采用了跳頻技術從而使得竊聽變得極困難。藍牙射頻工作在2.4Hz頻段。在北美和歐洲的大部分國家,藍牙設備工作與從2.402到2.480Hz的頻帶,整個頻帶被分為79個1MHz帶寬的子信道。FHSS依靠頻率的變化來對抗干擾。如果射頻單元在某個頻率遇到干擾,則會在下一步跳到另一頻率點時重傳受到干擾的信號,因此總的干擾可變得很低。
為了得到完整的傳輸數據,藍牙技術使用以下三種糾錯方案:1/3比例前向糾錯碼(FEC),2/3比例前向糾錯碼(FEC),數據的自動重發請求(ARQ)方案。
藍牙技術產品的認證和加密服務一般由鏈路層提供,認證采用口令-應答方式進行。在連接過程中往往需要一兩次認證。為了確保通信安全,對藍牙技術產品進行認證是十分必要的,通過認證之后,可以允許用戶自行增添可信任的藍牙技術設備,例如,用戶自己的筆記本電腦經過認證之后,能夠確保只有用戶自己的這臺筆記本電腦,才可以借助用戶自己的移動電話手機進行通信。
若對于通信有更高的安全要求,那么通信中的藍牙技術產品就不必局限于采用物理層的提供,還可以采用更高級別的傳輸層和應用層安全機制,以確保基于藍牙技術產品的通信更加安全可靠。
3藍牙技術中的加密算法
在鏈路層中,藍牙系統提供了認證、加密和密鑰管理等功能,每一個用戶都有一個標識碼(PIN),藍牙設備中所用的PIN碼的長度可以在1到16個字節之間變化。通常4個字節的PIN碼已經可以滿足一般應用,但是更高安全級別的應用將需要更長的碼字。PIN碼可以是藍牙設備提供的一個固定碼,也可以由用戶任意指定,標識碼(PIN)會被一個128位鏈路密鑰來進行單雙向認證。一旦認證完畢,鏈路層會以不同長度的密鑰來加密。如圖1。
PINPIN
認證
鏈路密鑰
鏈路密鑰
加密
加密密鑰Kc
加密密鑰Kc
申請者校驗者
圖1:藍牙中鏈路層的加密過程
藍牙技術在加密過程中所采用的加密算法如下表1。
表1:藍牙加密過程中所用的加密算法
3.1認證算法
在認證過程中,用于藍牙認證的E1認證函數來計算出一個安全認證碼或被稱為MAC(媒體訪問控制地址)。E1所采用的算法是SAFER+,SAFER+算法是參與1997年美國國家標準技術研究所(NIST)征集AES(AdvancedEncryptionStandard)的候選算法之一。SAFER+是基于現有的64位分組密碼的SAFER-SK128,因此它的安全性可以說是經過了時間的考驗。
E1函數的輸入是linkkey,AU_RAND及BD_ADDR,它的定義如下:
E1:
在藍牙技術中,認證采用口令-應答方式。驗證方要求申請者鑒別隨機數AU_RAND并返回計算結果SRES,若雙方的計算結果相等則認證成功,并保留ACO(AuthenticatedCipheringOffset)值。若某次認證失敗,則必須等待一定的時間間隔才能進行再次認證
3.2加密算法
在藍牙技術中,用戶信息可采用分組有效載荷的加密進行保護,但識別碼和分組頭不加密。有效載荷的加密采用E0流密碼來實現。E0將對每一有效載荷重新同步。流密碼系統E0由三部分組成。第一部分執行初始化(生成有效載荷字),第二部分生成密鑰流,第三部分完成加密和解密,如圖2。
有效載荷字明碼文本/密碼文本
Kc
地址
時鐘Z密碼文本/明碼文本
RAND
圖2藍牙的E0流加密
有效載荷字發生器非常簡單,它僅僅以適當序列對輸入的位進行組合,然后將它們轉移到用于密鑰流發生器的四位LFSR中。加密機采用了四個線性反饋移位寄存器(LFSR),依次為LFSR1、LFSR2、LFSR3、LFSR4,其長度分別為25,31,33,39比特。LFSR的性質:加密機把四個LFSR的輸出結果輸入到一個有限狀態機中,經有限狀態機的組合運算輸出密鑰流序列,若在初始化階段則輸出一個隨機的初始化值。加密算法使用Kc、BD_ADDR、主時鐘CLK26-1及RAND這些參數。時鐘CLK26-1按時隙遞增,在任兩次發送中,CLK26-1至少有一位是不同的,因此在每次初始化后都將產生新的密鑰流。對占用多個時隙的分組來說,CLK26-1為分組所占的第一個時隙的時鐘值。
第二部分是該密碼系統的主要部分,并也將用于初始化過程中。密鑰流取自于Massey和Rueppel流密碼發生器的方法來生成。
最后就是流加密算法的加密過程。將數據流與密碼算法生成二進制流比特進行異或運算。對于加密規則,流密碼算法用于將加密位按位模2并加到數據流上,然后通過無線接口進行傳輸。對每一分組的有效載荷的加密是單獨進行的,它發生在CRC校驗之后,FEC編碼之前。由于加密是對稱的,解密使用完全和加密相同的密鑰和相同的方法實現。
4藍牙標準中加密算法存在的問題
藍牙所采用的E0流密碼算法的本身就有一些弱點。流密碼算法主要的缺點在于若一個偽隨機序列發生錯誤便會使整個密文發生錯誤,致使在解密過程中無法還原回明文。流加密算法系統的安全完全依靠密鑰流發生器的內部機制。如果它的輸出是無窮無盡的0序列,那么密文就是明文,這樣整個系統就一文不值;如果它的輸出是一個周期性的16-位模式,那么該算法僅是一個可忽略安全性的異或運算;如果輸出的是一系列無盡的隨機序列(是真正的隨機,非偽隨機),那么就有一次一密亂碼本和非常完美的安全。實際的流密碼算法的安全性依賴于簡單的異或運算和一次一密亂碼本。密鑰流發生器產生的看似隨機的密鑰流實際上是確定的,在解密的時候能很好的將其再現。密鑰流發生器輸出的密鑰越接近于隨機,對密碼分析者來說就越困難。然而,這種隨機的密鑰流卻不容易得到。
在藍牙E0流加密中用到的LFSR易受到相關攻擊和分割解決攻擊,且用軟件實現效率非常低。在實現過程中要避免稀疏的反饋多項式,因為它們易遭到相關攻擊,但稠密的反饋多項式效率也很低。事實上LFSR算法用軟件實現并不比DES快。
以上的這些問題會讓人認為藍牙的安全體系是高度不可靠的,然而一個不可忽略的事實是:通過藍牙連接傳輸的數據一般來說并不是非常重要的。目前藍牙標準考慮到的安全技術只適用于規模較小的網絡,如果網絡結點較多,拓撲復雜(如AdHoc網絡),現有的基于點對點的密鑰分配和認證機制不能滿足需求。藍牙所提供的數據安全性措施對小型應用來說看起來已足夠了,但任何敏感數據或會產生問題的數據都不應直接通過藍牙傳輸。為了使藍牙技術應用得更廣泛,我們可采用另外更強勁的加密算法,如DES算法。
5DES解決方案
5.1DES簡介
1977年1月,美國政府采納了由IBM研制的作為非絕密信息的正式標準乘積密碼。這激勵了一大批生產廠家實現這個在保密產業中成為數據加密標準DES(dataencrytionstandard)的加密算法。此算法有一個64比特的密鑰作為參數。明文按64比特分組加密,生成64比特的密文。
由于DES是一種塊加密方法,這意味著加密過程是針對一個數據塊一個數據塊地進行的。在DES算法中,原始信息被分成64位的固定長度數據塊,然后利用56位的加密密鑰通過置換和組合方法生成64位的加密信息。解密用的密鑰與加密密鑰相同,只是解密步驟正好相反。DES傳送數據的一般形式是以代入法密碼格式按塊傳送數據。DES采用的加密方法,一次加密一位或一個字節,形成密碼流。密碼流具有自同步的特點,被傳送的密碼文本中發生錯誤和數據丟失,將只影響最終的明碼文本的一小段(64位),這稱為密碼反饋。
與藍牙流密碼算法不同,數學上可以證明分組加密算法是完全安全的。DES塊密碼是高度隨機的、非線性的,生成的加密密文與明文和密鑰的每一位都相關。DES的可用加密密鑰數量多達72x1015個。應用于每一明文信息的密鑰都是從這一巨大數量的密鑰中隨機產生的。DES算法已被廣泛采用并被認為是非常可靠的。
5.2藍牙中用DES取代E0流密碼
如圖1,在兩個藍牙設備經過認證并已生成了加密密鑰Kc后就可進行加密了。因為Kc可在8~128比特變化,而DES加密算法使用長度為56比特的密鑰加密長度為64比特的明文從而獲得64比特的密文,所以這里可取Kc的長度為56比特。用DES加密藍牙數據分組的過程如下:
a)將來自藍牙分組分割成64比特的明文段。其中的一段記為x=DIN[63:0],先通過一個固定的初始置換IP,將x的比特置換為x0。即:x0=IP(x)=L0R0,這里L0是x0的前32比特,R0是x0的后32比特。
b)進行16輪完全相同的運算,在這里是數據與密鑰相結合,例計算LiRi,。
Li=Ri-1
Ri=Lif(Ri-1,Ki)
其中Ki是來自密鑰Kc=Key[63:0]的比特的一個置換結果。而f函數是實現代替、置換及密鑰異或的函數。
c)對R16L16進行初始置換IP的逆置換IP,獲得密文y=DOUT[63:0],即y=IP(R16L16)。最后一次迭代后,左邊和右邊未交換,將R16L16作為IP的輸入,目的是使算法可同時用于加密和解密。
無論是硬件還是軟件,此DES加密方案都易實現。其中DES的硬件實現如圖3。此硬件加密方案采用低成本的可編程邏輯器件和現成可用的用于高級加密處理的智力產權(IP)產品實現。目前,大批量時只用10美元即可購買到10萬系統門的可編程邏輯器件。這些器件還允許在設計中增加其它功能,如高級錯誤糾正。因此可編程邏輯器件可大幅度降低系統級的成本。
用軟件(這里選用C語言)來實現該加密算法。為了算法實現的方便,這里刪去了初始置換和末置換。
將此加密算法嵌入藍牙協議中的基帶部分以取代E0流密碼算法,可允許藍牙技術安全地應用到范圍廣泛的安全性具有最重要地位的應用中去。這些應用包括:金融電子交易:ATM、智能卡,安全電子商務交易,安全辦公通信,安全視頻監視系統,數字機頂盒,高清晰度電視(HDTV),其它消費電子設備等領域。
另外,對藍牙加密這個過程中,可發現DES加密算法在近距離無線局域網的特定環境下存在一些問題。進而優化算法,最終可為應用于各種近距離無線網絡通信的加密算法的選擇提供有實際意義的參考依據。
6結束語
藍牙是一項將會改變我們通信方式的令人激動的新技術。然而,藍牙技術在標準化過程中都未曾完整地考慮安全問題。作為以無線信道為傳輸媒體的通信網絡,藍牙網絡相對于固定網絡更容易受到攻擊。對于數據安全性處于首要地位的應用來說,實現高水平的數據安全性是必須的。目前藍牙標準所采用的E0流密碼算法存在著很多弊端,而DES和RSA算法相對來說更安全,而且較易實現。
參考文獻
[1]金純許光辰等編著《藍牙技術》[M](北京)電子工業出版社2001年3月
[2]于躍韓永飛藍牙技術的安全性[J]《電信技術》2001年第9期
[3]Andrew《ComputerNetwork》[M]S.TanenbaunPrenticeHall1998
[4]VainioJ.,BluetoothSecurity,05-25-2000
[5]Bluetooth,TheBluetoothSpecification,v.1.0B
篇9
1 信息數據安全與加密的必要外部條件
1.1 計算機安全。每一個計算機網絡用戶都首先把自己的信息數據存儲在計算機之中,然后,才進行相互之間的信息數據傳遞與交流,有效地保障其信息數據的安全必須以保證計算機的安全為前提,計算機安全主要有兩個方面包括:計算機的硬件安全與計算機軟件安全。1)計算機硬件安全技術。保持計算機正常的運轉,定期檢查是否出現硬件故障,并及時維修處理,在易損器件出現安全問題之前提前更換,保證計算機通電線路安全,提供備用供電系統,實時保持線路暢通。2)計算機軟件安全技術。首先,必須有安全可靠的操作系統。作為計算機工作的平臺,操作系統必須具有訪問控制、安全內核等安全功能,能夠隨時為計算機新加入軟件進行檢測,如提供windows安全警報等等。其次,計算機殺毒軟件,每一臺計算機要正常的上網與其他用戶交流信息,都必須實時防護計算機病毒的危害,一款好的殺毒軟件可以有效地保護計算機不受病毒的侵害。
1.2 通信安全。通信安全是信息數據的傳輸的基本條件,當傳輸信息數據的通信線路存在安全隱患時,信息數據就不可能安全的傳遞到指定地點。盡管隨著科學技術的逐步改進,計算機通信網絡得到了進一步完善和改進,但是,信息數據仍舊要求有一個安全的通信環境。主要通過以下技術實現。1)信息加密技術。這是保障信息安全的最基本、最重要、最核心的技術措施。我們一般通過各種各樣的加密算法來進行具體的信息數據加密,保護信息數據的安全通信。2)信息確認技術。為有效防止信息被非法偽造、篡改和假冒,我們限定信息的共享范圍,就是信息確認技術。通過該技術,發信者無法抵賴自己發出的消息;合法的接收者可以驗證他收到的消息是否真實;除合法發信者外,別人無法偽造消息。3)訪問控制技術。該技術只允許用戶對基本信息庫的訪問,禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時,系統管理員能夠利用這一技術實時觀察用戶在網絡中的活動,有效的防止黑客的入侵。
2 信息數據的安全與加密技術
隨著計算機網絡化程度逐步提高,人們對信息數據傳遞與交流提出了更高的安全要求,信息數據的安全與加密技術應運而生。然而,傳統的安全理念認為網絡內部是完全可信任,只有網外不可信任,導致了在信息數據安全主要以防火墻、入侵檢測為主,忽視了信息數據加密在網絡內部的重要性。以下介紹信息數據的安全與加密技術。
2.1 存儲加密技術和傳輸加密技術。存儲加密技術分為密文存儲和存取控制兩種,其主要目的是防止在信息數據存儲過程中信息數據泄露。密文存儲主要通過加密算法轉換、加密模塊、附加密碼加密等方法實現;存取控制則通過審查和限制用戶資格、權限,辨別用戶的合法性,預防合法用戶越權存取信息數據以及非法用戶存取信息數據。 轉貼于
傳輸加密技術分為線路加密和端-端加密兩種,其主要目的是對傳輸中的信息數據流進行加密。線路加密主要通過對各線路采用不同的加密密鑰進行線路加密,不考慮信源與信宿的信息安全保護。端-端加密是信息由發送者端自動加密,并進入TCP/IP信息數據包,然后作為不可閱讀和不可識別的信息數據穿過互聯網,這些信息一旦到達目的地,將被自動重組、解密,成為可讀信息數據。
2.2 密鑰管理加密技術和確認加密技術。密鑰管理加密技術是為了信息數據使用的方便,信息數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配、保存、更換與銷毀等各環節上的保密措施。網絡信息確認加密技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認方案應該能使:合法的接收者能夠驗證他收到的消息是否真實;發信者無法抵賴自己發出的消息;除合法發信者外,別人無法偽造消息;發生爭執時可由第三人仲裁。按照其具體目的,信息確認系統可分為消息確認、身份確認和數字簽名。數字簽名是由于公開密鑰和私有密鑰之間存在的數學關系,使用其中一個密鑰加密的信息數據只能用另一個密鑰解開。發送者用自己的私有密鑰加密信息數據傳給接收者,接收者用發送者的公鑰解開信息數據后,就可確定消息來自誰。這就保證了發送者對所發信息不能抵賴。
2.3 消息摘要和完整性鑒別技術。消息摘要是一個惟一對應一個消息或文本的值,由一個單向Hash加密函數對消息作用而產生。信息發送者使用自己的私有密鑰加密摘要,也叫做消息的數字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發送者,當消息在途中被改變時,接收者通過對比分析消息新產生的摘要與原摘要的不同,就能夠發現消息是否中途被改變。所以說,消息摘要保證了消息的完整性。
完整性鑒別技術一般包括口令、密鑰、身份(介入信息傳輸、存取、處理的人員的身份)、信息數據等項的鑒別。通常情況下,為達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對信息數據的安全保護。
3 結束語
綜上所述,信息數據的安全與加密技術,是保障當前形勢下我們安全傳遞與交流信息的基本技術,對信息安全至關重要。希望通過本文的研究,能夠拋磚引玉,引起國內外專家的重視,投入更多的精力以及更多的財力、物力來研究信息數據安全與加密技術,以便更好的保障每一個網絡使用者的信息安全。
參考文獻:
[1]曾莉紅,基于網絡的信息包裝與信息數據加密[J].包裝工程,2007(08).
篇10
1、影響計算機網絡數據安全的因素
1.1 網絡漏洞
目前的操作系統支持多用戶和多進程,若干個不同的進程可能在接收數據包的主機上同時運行。它們中的任何一個都可能是傳輸的目標,這樣使得網絡操作系統的漏洞成為網絡漏洞,從而導致整個網絡系統的薄弱環節受到黑客的攻擊。
1.2 計算機病毒
計算機病毒蔓延范圍廣,增長速度快,附著在其他程序上。如果帶毒文件被共享,其他機器打開、瀏覽時就會被感染,進而成為滾雪球一樣的連鎖式傳播。可能使系統死機或毀壞,造成數據的損失。
1.3 服務器信息泄露
由于計算機系統程序的缺陷,在對錯誤處理不正確的情況下,利用這類漏洞,攻擊者可以收集到對于進一步攻擊系統有用的信息,從而導致數據的不安全。
1.4 非法入侵
非法侵入者通過監視等非法手段,獲取攜帶用戶名和口令和IP包,然后通過使用它而登錄到系統,非法侵入者可以冒充一個被信任的主機或客戶,并通過被信任客戶的IP地址取代自己的地址,竊取網絡數據。
2、數據加密技術的原理
在計算機網絡實際運行中,所有的應用系統無論提供何種服務,其基礎運行都想通過數據的傳輸。因此,數據的安全是保證整個計算機網絡的核心。數據加密的基本過程是按某種算法,對原來為明文的文件或數據進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應的密鑰之后才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。
3、數據加密技術在計算機網絡安全中的應用方案
3.1 確定加密目標
使用數據加密技術首先要明確網絡中的哪些方面需要使用數據加密,即要明確如下問題:一是在服務器、工作站、筆記本等可移動存儲設備或手持智能設備上會出現哪些機密信息;二是機密信息在各類存儲設備上的什么位置及以什么文件類型保存;三是機密數據在局域網中傳輸是否安全;四是進行WEB瀏覽等網絡通信是否包含機密信息,從而鎖定加密目標。
3.2 選擇加密方案
3.2.1 對稱數據加密技術
對稱數據加密技術是使用加密密鑰與解密密鑰是相同的密碼體制。該加密技術通信的雙方在加密和解密時使用的是同1個密鑰。在通信雙方能確保密鑰在交換階段未泄露的情況下,可以保證信息的機密性與完整性。典型的算法有DES及其各種變形。DES是一種對二元數據進行加密的算法,將信息分成64位的分組,并使用56位長度的密鑰,另8位用于奇偶校驗。它對每1個分組使用一種復雜的變位組合、替換,再進行異或運算和其他一些過程,最后生成64位的加密數據。對每一個分組進行l9步處理,每一步的輸出是下一步的輸入。以此類推,直到用完K(16),再經過逆初始置換,全部加密過程結束。該技術在運用中主要策略是:假如A要向B發送密文(DES)和密鑰SK,可以用B公布的公開密鑰對Sk進行RSA加密,向B一起發送其結果和密文,接受數據后,B首先用自己的私鑰對SK 進行解密, 從而取得A 的密鑰SK。再用SK 解密密文。從而實現了密鑰傳輸的安全問題,保證了數據的安全。
3.2.2 非對稱數據加密技術
非對稱式加密就是使用不同的密鑰對數據進行加密和解密,通常為“公鑰”和“私鑰。其中“公鑰”是可以公開的,不用擔心被別人知道,收件人解密時只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。典型的算法有lISA體制。其加密過程如下:① 為字母制定1個簡單的編碼,如A~Z分別對應于1—26。② 選擇1個足夠大的數n,將2個大的素數P和q的乘積定義為n。③ 找出1個數k,k與(P—1)×(q一1)互為素數。數字k就是加密密鑰。④ 將要發送的信息分成多個部分,一般可以將多個字母分為一部分。在此例中將每一個字母作為一部分。⑤ 對每部分,將所有字母的二進制編碼串接起來,并轉換成整數。⑥ 將每個部分擴大到它的k次方,并使用模n運算,從而得到密文。解密時找出1個數k 使得k x k 一1 rnod((P一1)×(q一1)),且p k× k 一1臺皂被(P一1)X(q一1)整除。k 的值就是解密密鑰。
3.2.3 公開密鑰密碼技術
開密鑰加密技術使用兩個不同的密鑰,一個用來加密信息,稱為加密密鑰;
另一個用來解密信息,稱為解密密鑰。加密密鑰與解密密鑰是數學相關的,它們成對出現,但解密密鑰不能由加密密鑰計算出來,加密密鑰也不能由解密密鑰計算出來。信息用某用戶的加密密鑰加密后,所得到的數據只能用該用戶的解密密鑰才能解密。其計算過程如下:①用加密密鑰PK對明文x加密后,再用解密密鑰sK解密,即可恢復出明文,或寫為:DSK(EPK(x))=x②加密密鑰不能用來解密,即DPK(EPK(x))≠x③在計算機上可以容易地產生成對的PK和SK。④從已知的PK實際上不可能推導出sK。⑤加密和解密的運算可以對調,即:EPK(DSK(x))=x
篇11
二、數據加密相關信息
2.1數據加密的方法
加密技術通常分為兩大類:對稱式和非對稱式
對稱式加密,被廣泛采用,它的特點是文件加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰,這種方法在密碼學中叫做對稱加密算法,對稱加密算法使用起來簡單快捷,密鑰較短,且破譯困難。對稱加密的優點是具有很高的保密強度,可以達到經受較高級破譯力量的分析和攻擊,但它的密鑰必須通過安全可靠的途徑傳遞,密鑰管理成為影響系統安全的關鍵性因素,使它難以滿足系統的開放性要求。對稱密碼加密算法中最著名的是DES(Data Encryption Standard)加密算法,它是由IBM公司開發的數據加密算法,它的核心是乘積變換。如果用公開密鑰對數據進行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數據進行加密,那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種算法叫非對稱加密算法。非對稱密碼的主要優點是可以適應開放性的使用環境,密鑰管理問題相對簡單,可以方便、安全地實現數字簽名和驗證, 但加密和解密花費時間長、速度慢。非對稱加密算法中最著名的是由美國MIT的Rivset、Shemir、Adleman于1977年實現的RSA算法。
2.2 數據加密的標準
最早、最著名的保密密鑰或對稱密鑰加密算法DES(Data Encryption Standard)是由IBM公司在70年展起來的,并經政府的加密標準篩選后,于1976年11月被美國政府采用,DES隨后被美國國家標準局和美國國家標準協會(American National Standard Institute,ANSI)承認。 DES使用56位密鑰對64位的數據塊進行加密,并對64位的數據塊進行16輪編碼。與每輪編碼時,一個48位的”每輪”密鑰值由56位的完整密鑰得出來。DES用軟件進行解碼需用很長時間,而用硬件解碼速度非常快。幸運的是,當時大多數黑客并沒有足夠的設備制造出這種硬件設備。在1977年,人們估計要耗資兩千萬美元才能建成一個專門計算機用于DES的解密,而且需要12個小時的破解才能得到結果。當時DES被認為是一種十分強大的加密方法。另一種非常著名的加密算法就是RSA了,RSA算法是基于大數不可能被質因數分解假設的公鑰體系。簡單地說就是找兩個很大的質數。一個對外公開的為“公鑰”(Prblic key) ,另一個不告訴任何人,稱為“私鑰”(Private key)。這兩個密鑰是互補的,也就是說用公鑰加密的密文可以用私鑰解密,反過來也一樣。
三、數據加密傳輸系統
3.1 系統的整體結構
系統的整體結構分為以下幾個模塊,首先是發送端的明文經過數據加密系統加密后,文件傳輸系統將加密后的密文傳送給接收端,接收端接收到密文以后,用已知的密鑰進行解密,得到明文。
3.2 模塊設計
3.2.1 加解密模塊
(1)DES加解密模塊。DES加解密模塊的設計,分為兩個部分:DES加密文件部分和DES加密演示部分。DES加密文件部分可以實現對文件的瀏覽,選中文件后對文件進行加密,加密后的文件存放在新的文檔;DES加密演示部分輸入數據后可以直接加密。(2)RSA加解密模塊。RSA加解密系統,主界面有三個模塊,分別為加密、解密和退出;加密模塊對明文和密鑰的輸入又設置了直接輸入和從文件讀取;解密模塊可以直接實現對文件的解密。
3.2.2 文件傳輸模塊
(1)文件瀏覽:用戶手動點擊瀏覽按鈕,根據用戶的需要,按照目錄選擇要傳輸的文件,選中文件。(2)文件傳輸:當用戶點擊發送文件時,文件就可通過軟件傳給客戶端。點擊客戶端按鈕,軟件會彈出客戶端的窗體,它包含輸入框(輸入對方IP地址)和按鈕(接收和退出),通過輸入IP地址,就可實現一臺電腦上的文件傳輸。
四、數據加密在商務中的應用
在電子商務發展過程中,采用數字簽名技術能保證發送方對所發信息的不可抵賴性。在法律上,數字簽名與傳統簽名同樣具有有效性。數字簽名技術在電子商務中所起的作用相當于親筆簽名或印章在傳統商務中所起的作用。
數據簽名技術的工作原理: 1.把要傳輸的信息用雜湊函數(Hash Function)轉換成一個固定長度的輸出,這個輸出稱為信息摘要(Message Digest,簡稱MD)。雜湊函數是一個單向的不可逆的函數,它的作用是能對一個輸入產生一個固定長度的輸出。 2.發送者用自己的私鑰(SK)對信息摘要進行加密運算,從而形成數字簽名。 3.把數字簽名和原始信息(明文)一同通過Internet發送給接收方。 4.接收方用發送方的公鑰(PK)對數字簽名進行解密,從而得到信息摘要。 5.接收方用相同的雜湊函數對接收到的原始信息進行變換,得到信息摘要,與⑷中得到的信息摘要進行比較,若相同,則表明在傳輸過程中傳輸信息沒有被篡改。同時也能保證信息的不可抵賴性。若發送方否認發送過此信息,則接收方可將其收到的數字簽名和原始信息傳送至第三方,而第三方用發送方的公鑰很容易證實發送方是否向接收方發送過此信息。
然而,僅采用上述技術在Internet上傳輸敏感信息是不安全的,主要有兩方面的原因。 1.沒有考慮原始信息即明文本身的安全; 2.任何知道發送方公鑰的人都可以獲取敏感信息,而發送方的公鑰是公開的。 解決1可以采用對稱密鑰加密技術或非對稱密鑰加密技術,同時考慮到整個加密過程的速度,一般采用對稱密鑰加密技術。而解決2需要介紹數字加密算法的又一應用即數字信封。
五、 結論
上述內容主要介紹了數據傳輸過程中的加密處理,數據加密是一個主動的防御策略,從根本上保證數據的安全性。和其他電子商務安全技術相結合,可以一同構筑安全可靠的電子商務環境,使得網上通訊,數據傳輸更加安全、可信。
參 考 文 獻
[1]黃河明.數據加密技術及其在網絡安全傳輸中的應用.碩士論文,2008年
[2]孟揚.網絡信息加密技術分析[J].信息網絡安全,2009年4期
篇12
1 計算機網絡數據加密技術
1.1 數據加密的基本概念。計算機網絡中的數據加密技術是對數據信息進行加密處理的過程,通過數據加密可以將原文信息變為一串不可直接讀取的密文,接收方在接收到密文信息后,利用自己擁有的密鑰對密文信息進行解密,接收方才能顯示并讀取原文信息。數據加密技術中需要按照一定的算法作為支撐才能進行。數據加密過程是指將原數據信息變為密文信息,而數據解密過程是指將密文信息轉化為原數據信息,兩者是密切結合在一起存在的,缺一不可。
通過對數據信息進行加密處理,可以將數據信息隱藏起來,避免非法用戶截取、閱讀、篡改原始數據信息,從而達到保護數據安全、維護計算機網絡安全的目的。
1.2 數據加密技術。數據加密技術包括對稱加密技術、非對稱加密技術、混合密鑰加密技術,對稱加密技術和非對稱加密技術的區別在于加密和解密過程中使用的密鑰是否一致,而混合密鑰是將對稱加密技術和非對稱加密技術的優點結合到一起進行利用的。下文將對三種數據加密技術進行介紹。
(1)對稱加密技術。由于對稱加密技術簡單、容易實現的特點,使得對稱加密技術得到了較為廣泛的應用。對稱加密技術中的對稱是指加密和解密是使用相同的密鑰,密鑰是對稱存在的,以此稱之為對稱加密技術。通信雙方在通信時,發送方首先將密鑰發送給接收方,發送方對通信數據信息進行加密后,將密文信息傳送給接收方,接收方利用自己持有的密鑰進行數據解密,從而讀取數據信息。對稱加密技術能提高網絡安全性的前提是密鑰沒有被惡意竊取,同時也沒有被泄露。
對稱加密技術中涉及到的算法包括DES算法、IDEA算法、AES算法。DES算法利用置換技術、代替等多種密碼技術,將數據信息劃分為64位大小的塊,其中8位作為奇偶校驗,56位作為密鑰。IDEA算法按標準為64位的組進行劃分,并對密鑰的程度進行規定,即為128位。AES算法是區塊加密標準,是一個迭代的算法,該算法中規定的區塊長度為固定的128位,而密鑰長度可以有所不同。
對稱加密技術的主要優點是加密速度快、保密性高,也有一定的缺點,在加解密的過程中,必須確保密鑰的安全,如果密鑰發生了泄露,獲得密鑰的人就可以對截獲的數據信息進行閱讀、修改等操作,因此,為了提高密鑰的安全性,保證密鑰安全的發送,就需要付出高代價進行完善。
(2)非對稱加密技術。我們平時常說的公開密鑰加密技術就是非對稱解密技術,在使用非對稱加密技術時,加密密鑰和解密密鑰是不同的兩個密鑰,加密密鑰即公鑰,解密密鑰即私鑰,這兩個密鑰需要配對使用。公鑰是對外公布的密鑰,用于加密;私鑰則由私人擁有,用于解密。通信雙方在發送數據信息時,發送方用接收方已經公布的公鑰對數據信息進行加密,然后進行數據傳輸,接收方接收到數據后,用私鑰解密,將密文信息進行還原。對于對稱加密技術來說,在網絡傳輸過程中將密鑰進行傳遞,很可能被惡意竊取,使數據信息的安全受到威脅。而對于非對稱加密技術來說,公鑰是公開的,私鑰不需要進行傳輸,這就避免了密鑰傳輸過程中存在的安全問題。
非對稱加密算法中RSA加密算法應用范圍廣,該算法的優點是操作簡單、實現方便,同時能夠用于數據加密和數字簽名等維護計算機網絡的安全性能中。RSA加密算法屬于支持可變長密鑰的算法,主要以大數難以被質因數分解假設為基礎。RSA算法的優點為密鑰少便于管理;公鑰分配過程簡單,易于實現;私鑰不需要傳遞,提高了私鑰的安全性。而RSA算法的缺點為產生密鑰過程復雜;加解密速度慢,運算代價高。
(3)混合密鑰加密技術。由于對稱加密技術和非對稱加密技術都有其各自的優缺點和適應范圍,所以將兩者的特點進行結合,即混合密鑰加密技術,以此來對計算機網絡中的數據進行加密,提高數據傳輸中的安全性。在混合密鑰加密技術中,首先通信雙方中的發送方利用對稱加密技術對通信數據信息進行加密,然后將對稱密鑰通過非對稱加密技術進行加密并傳輸,接收方接收到密文后,用私鑰對對稱密鑰進行解密,從而獲得解碼密文的密鑰,并利用該密鑰對密文進行解碼,以此來讀取原數據信息。這種混合密鑰加密的方法,結合了對稱和非對稱加密技術的優點,提高了加解密的速度,同時也提高了數據信息的安全性。
2 數據備份與恢復技術
利用數據加密技術可以提高數據在傳輸過程中的安全性,然而由于計算機本身的硬件故障、病毒破壞、非正常操作等都可以造成計算機內數據信息的丟失,為數據的安全帶來問題。為了減少計算機的數據損失,提高計算機內數據的安全性和完整性,要定期或不定期的對數據信息進行備份,當計算機中的數據出現問題時,可以利用數據備份信息對計算機內的數據進行恢復。
2.1 利用專業軟件進行數據備份和恢復。利用專業軟件來恢復數據是一種非常重要的方法。常用的軟件有Easy Recovery、Final Data、Norton Ghost等。Easy Recovery的功能很強大,通過對硬盤的掃描,可以恢復由誤操作(誤刪除、誤格式化)、重新分區造成的數據損失,如果分區表受損,可以使用該軟件進行恢復,然而該軟件不能完全恢復包含多個簇的文件。Final Data的優點是有較快的數據恢復速度,并且可以掃描計算機的邏輯硬盤和物理硬盤,根據掃描的結果來隊服計算機的數據。Norton Ghost可以對一個或者多個分區盤進行備份,并將備份文件保存在安全的存儲介質中,如保存到光盤中。當計算機受到損壞時,專業數據恢復軟件可以快速的找回丟失的信息,并進行系統重建工作。
2.2 在BIOS中建數據防護。在BIOS中建數據防護主要是以BIOS中內嵌的硬盤工具為基礎進行數據恢復,此技術通過主要是對硬盤的數據進行完整的備份,并存儲在一定的介質中,而這個存儲介質僅要求是硬盤。該技術是對數據進行完整備份,因此利用該技術進行數據備份與恢復會耗費很長的時間。鏡像文件以隱藏的形式存儲雜硬盤中,因此不存在誤刪除的現象,加強了數據信息的安全性。
2.3 網絡備份存儲管理系統。網絡備份存儲管理系統主要是以存儲設備和硬件設施為基礎,加上存儲管理軟件的應用,來統一管理數據備份信息,由于相關軟件的應用,系統可以根據備份文件進行數據恢復。網絡備份存儲管理系統是需要備份管理軟件作為支撐,以此來完成系統的功能,并能夠根據備份數據來處理數據恢復的過程,從而很好的實現計算機網絡數據備份與恢復的智能化管理和高效。
3 結束語
由于計算機網絡的廣泛應用,計算機網絡的安全影響著社會生活的方法面面,維護計算機網絡的安全是我們必須要義不容辭的責任。計算機網絡安全技術很多,如數據加密技術、數據恢復技術,然而單純的一種技術對于計算機網絡的安全性來說是遠遠不夠的,必須要結合多種技術,從不同的角度進行努力,來提高網絡的安全性能。
參考文獻:
[1]徐雁萍.數據加密技術的研究[C].中國氣象學會2008年年會第二屆研究生年會分會場論文集,2008(11):151-158.
[2]黃志清.網絡安全中的數據加密技術研究[J].微型電腦應用,2000(05):20-21.
[3]王棟松.計算機網絡數據加密技術探討[J].文教資料:信息技術,2006(01):139-140.
篇13
由于數據庫具有數據復雜、數據的查詢操作非常頻繁且數據存儲時限相對較長等特點,所以應用于數據庫的加、解密算法及相應的密鑰管理機制應滿足以下要求:
(1)數據庫加密系統應滿足的首要條件是保證數據的安全性。在此方面要求加密算法保證數據的保密性和完整性,防止未授權的數據訪問和修改。
(2)數據庫中存在大量的查詢操作,因此加解密效率要求較高,不能引起數據庫系統的性能大幅度下降。
(3)數據庫組織結構對于數據庫管理系統而言不能有太大的變動,應盡可能做到明文和密文長度相等或至少相當。
(4)由于時限較長和密鑰的復雜,密鑰管理機制應更加安全、靈活和堅固。
二、數據庫加密的常用辦法
數據加密技術按照實現的方法可劃分為靜態加密和動態加密,從實現的層次上則可分為文件級加密和存儲設備級加密。
(1)靜態加密與動態加密
靜態加密是指在加密期間,待加密的數據處于未使用狀態,這些數據一旦加密,在使用前,需首先通過靜態解密得到明文,然后才能使用。目前市場上許多加密軟件產品就屬于這種加密方式。
與靜態加密不同,動態加密是指數據在使用過程中自動對數據進行加密或解密操作,無需用戶的干預,合法用戶在使用加密的文件前,也不需要進行解密操作即可使用,表面看來,訪問加密的文件和訪問未加密的文件基本相同,對合法用戶來說,這些加密文件是“透明的”,即好像沒有加密一樣,但對于沒有訪問權限的用戶,即使通過其它非常規手段得到了這些文件,由于文件是加密的,因此也無法使用。由于動態加密技術不僅不改變用戶的使用習慣,而且無需用戶太多的干預操作即可實現文檔的安全,因而近年來得到了廣泛的應用。
由于動態加密要實時加密數據,必須動態跟蹤需要加密的數據流,而且其實現的層次一般位于系統內核中,因此,從實現的技術角度看,實現動態加密要比靜態加密難的多,需要解決的技術難點也遠遠超過靜態加密。
(2)文件級動態加解密技術
在文件系統層,不僅能夠獲得文件的各種信息,而且能夠獲得訪問這些文件的進程信息和用戶信息等,因此,可以研制出功能非常強大的文檔安全產品。就動態加解密產品而言,有些文件系統自身就支持文件的動態加解密,如Windows系統中的NTFS文件系統,其本身就提供了EFS支持,但作為一種通用的系統,雖然提供了細粒度的控制能力(如可以控制到每個文件),但在實際應用中,其加密對象一般以分區或目錄為單位,難以做到滿足各種用戶個性化的要求,如自動加密某些類型文件等。雖然有某些不足,但支持動態加密的文件系統在某種程度上可以提供和磁盤級加密技術相匹敵的安全性。由于文件系統提供的動態加密技術難以滿足用戶的個性化需求,因此,為第三方提供動態加解密安全產品提供了足夠的空間。
要研發在文件級的動態加解密安全產品,雖然與具體的操作系統有關,但仍有多種方法可供選擇,一般可通過Hook或過濾驅動等方式嵌入到文件系統中,使其成為文件系統的一部分,從某種意義上來說,第三方的動態加解密產品可以看作是文件系統的一個功能擴展,這種擴展往往以模塊化的形式出現,能夠根據需要進行掛接或卸載,從而能夠滿足用戶的各種需求,這是作為文件系統內嵌的動態加密系統難以做到的。
三、數據庫加密對數據庫的影響
數據加密是通過對明文進行復雜的加密操作,進而無法發現明文和密文之間、密文和密鑰之間的內在關系,也就是說經過加密的數據經得起來自操作系統和數據庫管理系統的攻擊。但在數據庫中以密文形式存在的敏感數據無法使用數據庫管理系統的一些功能。數據庫管理系統的功能比較完備,然而數據庫數據加密以后,數據庫管理系統一些功能將無法直接使用。
1、加密字段不能實現索引功能。
為了達到迅速查詢的目的,數據庫文件需要建立一些索引。索引建立和應用必須是明文狀態,否則將失去索引的作用。有的DBMS中可以建立索引,這類索引也需要在明文狀態下建立、維護和使用。
2、表間的連接碼字段不能加密。
數據模型規范化以后,數據庫表之間存在著密切的聯系,這種相關性往往是通過局部編碼聯系的,這些編碼若加密就無法進行表與表之間的連接運算。
3、無法實現對數據制約因素的定義。
數據庫管理系統定義了數據之間的制約規則。數據一旦加密,DBMS將無法實現這一功能,而且,值域的定義也無法進行。
4、密文數據無法實現SQL的排序、分組和分類功能。
SELECT語句中的Group、Orderby、Having子句分別完成分組、排序、分類等操作。這些子句的操作對象如果是加密數據,那么解密后的明文數據將失去原語句的分組、排序、分類作用,顯然這不是用戶所需要的。
5、SQL語言中的內部函數將對加密數據失去作用。
6、BDMS對各種類型數據均提供了一些內部函數,這些函數不能直接作用于加密數據。
7、BDMS的一些應用開發工具的使用受到限制。
DBMS的一些應用開發工具不能直接對加密數據進行操作,因而它們的使用會受到限制。
數據庫加密影響了一些數據庫管理系統的功能,如閱讀語句中的函數、排序、分組等,但可以通過組件技術來實現這些功能,如可采用SQL解釋器。所以說數據庫加密以后,DBMS的一些功能將無法直接使用,但可以在DBMS外層的SMS(安全管理系統)中增加組件來實現這些功能。
四、結束語
數據庫是數據管理的最新技術,是計算機科學的重要分支。建立一個滿足各級部門信息處理要求的、行之有效的信息系統,也成為一個企業或組織生存和發展的重要條件。因此,作為信息系統核心和基礎的數據庫技術得到越來越廣泛的應用,數據庫技術因現實的需求迅速發展。通過研究,人們認識到數據庫安全與保密這一領域研究的重要性和迫切性。在數據庫安全和加密技術的研究方面,只是做了一些嘗試性的工作,許多細節有待于進一步深入。
參考文獻
[1] 張敏等.數據庫安全[M].北京:科學出版社,2005
