第一篇:加密技術是電子商務采取的主要安全保密措施
加密技術是電子商務采取的主要安全保密措施,是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。加密技術的應用是多方面的,但最為廣泛的還是在電子商務和VPN上的應用,深受廣大用戶的喜愛。加密技術簡介
加密技術包括兩個元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一串數字(密鑰)的結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標準(DES,Data Encryption Standard)算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Ad1eman)算法為代表。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。編輯本段對稱加密技術簡介
對稱加密采用了對稱密碼編碼技術,它的特點是文件加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰,這種方法在密碼學中叫做對稱加密算法,對稱加密算法使用起來簡單快捷,密鑰較短,且破譯困難,除了數據加密標準(DES),另一個對稱密鑰加密系統是國際數據加密算法(IDEA),它比DES的加密性好,而且對計算機功能要求也沒有那么高。IDEA加密標準由PGP(Pretty Good Privacy)系統使用。編輯本段非對稱加密技術簡介
1976年,美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題,提出一種新的密鑰交換協議,允許在不安全的媒體上的通訊雙方交換信息,安全地達成一致的密鑰,這就是“公開密鑰系統”。相對于“對稱加密算法”這種方法也叫做“非對稱加密算法”。與對稱加密算法不同,非對稱加密算法需要兩個密鑰:公開密鑰(publickey)和私有密(privatekey)。公開密鑰與私有密鑰是一對,如果用公開密鑰對數據進行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數據進行加密,那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種算法叫作非對稱加密算法。
PKI:
編輯本段功能作用
PKI(Public Key Infrastructure 的縮寫)是一種遵循既定標準的密鑰管理平臺,它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。
原有的單密鑰加密技術采用特定加密密鑰加密數據,而解密時用于解密的密鑰與加密密鑰相同,這稱之為對稱型加密算法。采用此加密技術的理論基礎的加密方法如果用于網絡傳輸數據加密,則不可避免地出現安全漏洞。因為在發送加密數據的同時,也需要將密鑰通過網絡傳輸通知接收者,第三方在截獲加密數據的同時,只需再截取相應密鑰即可將數據解密使用或進行非法篡改。
區別于原有的單密鑰加密技術,PKI采用非對稱的加密算法,即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰,以避免第三方獲取密鑰后將密文解密。編輯本段證書簽發機構CA
CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,并對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。
CA 也擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。
如果用戶想得到一份屬于自己的證書,他應先向 CA 提出申請。在 CA 判明申請者的身份后,便為他分配一個公鑰,并且 CA 將該公鑰與申請者的身份信息綁在一起,并為之簽字后,便形成證書發給申請者。
如果一個用戶想鑒別另一個證書的真偽,他就用 CA 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。編輯本段證書
證書實際是由證書簽證機關(CA)簽發的對用戶的公鑰的認證。
證書的內容包括:電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前,證書的格式和驗證方法普遍遵循X.509 國際標準。
加密:
我們將文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。
解密:
我們將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
如何在電子文檔上實現簽名的目的呢?我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名,方法如下:
信息發送者用其私鑰對從所傳報文中提取出的特征數據(或稱數字指紋)進行RSA算法操作,以保證發信人無法抵賴曾發過該信息(即不可抵賴性),同時也確保信息報文在傳遞過程中未被篡改(即完整性)。當信息接收者收到報文后,就可以用發送者的公鑰對數字簽名進行驗證。
在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數(HASH函數)生成的。對這些HASH函數的特殊要求是:
1.接受的輸入報文數據沒有長度限制;
2.對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出;
3.從報文能方便地算出摘要;
4.難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要;
5.難以生成兩個不同的報文具有相同的摘要。
驗證:
收方在收到信息后用如下的步驟驗證您的簽名:
1.使用自己的私鑰將信息轉為明文;
2.使用發信方的公鑰從數字簽名部分得到原摘要;
3.收方對您所發送的源信息進行hash運算,也產生一個摘要;
4.收方比較兩個摘要,如果兩者相同,則可以證明信息簽名者的身份。
如果兩摘要內容不符,會說明什么原因呢?
可能對摘要進行簽名所用的私鑰不是簽名者的私鑰,這就表明信息的簽名者不可信;也可能收到的信息根本就不是簽名者發送的信息,信息在傳輸過程中已經遭到破壞或篡改。編輯本段數字證書簡介
數字證書為實現雙方安全通信提供了電子認證。在因特網、公司內部網或外部網中,使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對(公鑰和私鑰)所有者的識別信息,通過驗證識別信息的真偽實現對證書持有者身份的認證。
使用數字證書能做什么?
數字證書在用戶公鑰后附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分,另一部分是私鑰。公鑰公之于眾,誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件,發送者要用收件人的公鑰加密信件;收件人便可用自己的私鑰解密信件。同樣,為證實發件人的身份,發送者要用自己的私鑰對信件進行簽名;收件人可使用發送者的公鑰對簽名進行驗證,以確認發送者的身份。
在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息,可以確保只有接收者才能解密、閱讀原文,信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現,電子郵件、在線交易和信用卡購物的安全才能得到保證。
認證、數字證書和PKI解決的幾個問題?
保密性確認信息發送者的身份。
完整性發送者不能否認已發送的信息。編輯本段加密技術的應用
加密技術的應用是多方面的,但最為廣泛的還是在電子商務和VPN上的應用,下面就分別簡敘。
1、在電子商務方面的應用
電子商務(E-business)要求顧客可以在網上進行各種商務活動,不必擔心自己的信用卡會被人盜用。在過去,用戶為了防止信用卡的號碼被竊取到,一般是通過電話訂貨,然后使用用戶的信用卡進行付款。現在人們開始用RSA(一種公開/私有密鑰)的加密技術,提高信用卡交易的安全性,從而使電子商務走向實用成為可能。
許多人都知道NETSCAPE公司是Internet商業中領先技術的提供者,該公司提供了一種基于RSA和保密密鑰的應用于因特網的技術,被稱為安全插座層(Secure Sockets Layer,SSL)。
也許很多人知道Socket,它是一個編程界面,并不提供任何安全措施,而SSL不但提供編程界面,而且向上提供一種安全的服務,SSL3.0現在已經應用到了服務器和瀏覽器上,SSL2.0則只能應用于服務器端。
SSL3.0用一種電子證書(electric certificate)來實行身份進行驗證后,雙方就可以用保密密鑰進行安全的會話了。它同時使用“對稱”和“非對稱”加密方法,在客戶與電子商務的服務器進行溝通的過程中,客戶會產生一個Session Key,然后客戶用服務器端的公鑰將Session Key進行加密,再傳給服務器端,在雙方都知道Session Key后,傳輸的數據都是以Session Key進行加密與解密的,但服務器端發給用戶的公鑰必需先向有關發證機關申請,以得到公證。
基于SSL3.0提供的安全保障,用戶就可以自由訂購商品并且給出信用卡號了,也可以在網上和合作伙伴交流商業信息并且讓供應商把訂單和收貨單從網上發過來,這樣可以節省大量的紙張,為公司節省大量的電話、傳真費用。在過去,電子信息交換(Electric Data Interchange,EDI)、信息交易(information transaction)和金融交易(financial transaction)都是在專用網絡上完成的,使用專用網的費用大大高于互聯網。正是這樣巨大的誘惑,才使人們開始發展因特網上的電子商務,但不要忘記數據加密。
2、加密技術在VPN中的應用
現在,越多越多的公司走向國際化,一個公司可能在多個國家都有辦事機構或銷售中心,每一個機構都有自己的局域網LAN(Local Area Network),但在當今的網絡社會人們的要求不僅如此,用戶希望將這些LAN連結在一起組成一個公司的廣域網,這個在現在已不是什么難事了。
事實上,很多公司都已經這樣做了,但他們一般使用租用專用線路來連結這些局域網,他們考慮的就是網絡的安全問題。現在具有加密/解密功能的路由器已到處都是,這就使人們通過互聯網連接這些局域網成為可能,這就是我們通常所說的虛擬專用網(Virtual Private Network,VPN)。當數據離開發送者所在的局域網時,該數據首先被用戶湍連接到互聯網上的路由器進行硬件加密,數據在互聯網上是以加密的形式傳送的,當達到目的LAN的路由器時,該路由器就會對數據進行解密,這樣目的LAN中的用戶就可以看到真正的信息了。編輯本段安全套接字層(SSL)
SSL是一種廣泛實施的公鑰加密。SSL最初由網景公司(Netscape)開發,是互聯網瀏覽器和Web服務器用于傳輸機密信息的互聯網安全協議。SSL現在已經成為總體安全協議傳輸層安全(TLS)的一部分。
在您的瀏覽器中,您可以通過多種不同方式知道自己什么時候在使用安全協議(例如TLS)。您將注意到,地址行中的“http”中被替換為“https”,在瀏覽器窗口底部的狀態欄中還會看到一個小的掛鎖符號。
公鑰加密占用大量計算資源,所以大多數系統結合使用公鑰和對稱密鑰。當兩臺計算機發起安全會話時,一臺計算機創建一個對稱密鑰,并將其發送給使用公鑰加密的另一臺計算機。然后這兩臺計算機使用對稱密鑰加密進行通信。一旦完成會話,每臺計算機都會丟棄該會話使用的對稱密鑰。進行新的會話要求創建新的對稱密鑰,然后重復上述過程。編輯本段網絡加密的四種類型
1、無客戶端SSL:SSL的原始應用。在這種應用中,一臺主機計算機在加密的鏈路上直接連接到一個來源(如Web服務器、郵件服務器、目錄等)。
2、配置VPN設備的無客戶端SSL:這種使用SSL的方法對于主機來說與第一種類似。但是,加密通訊的工作是由VPN設備完成的,而不是由在線資源完成的(如Web或者郵件服務器)。
3、主機至網絡:在上述兩個方案中,主機在一個加密的頻道直接連接到一個資源。在這種方式中,主機運行客戶端軟件(SSL或者IPsec客戶端軟件)連接到一臺VPN設備并且成為包含這個主機目標資源的那個網絡的一部分。
SSL:由于設置簡單,SSL已經成為這種類型的VPN的事實上的選擇。客戶端軟件通常是很小的基于Java的程序。用戶甚至可能都注意不到。
IPsec:在SSL成為創建主機至網絡的流行方式之前,要使用IPsec客戶端軟件。IPsec仍在使用,但是,它向用戶提供了許多設置選擇,容易造成混淆。
4、網絡至網絡:有許多方法能夠創建這種類型加密的隧道VPN.但是,要使用的技術幾乎總是IPsec.信息加密技術是利用數學或物理手段,對電子信息在傳輸過程中和存儲體內進行保護,以防止泄漏的技術。簡介
保密通信,計算機密鑰,防復制軟盤 等都屬于信息加密技術。通信過程
信息加密技術
中的加密主要是采用密碼,在數字通信中可利用計算機采用加密法,改變負載信息的數碼結構。計算機信息保護則以軟件加密為主。目前世界上最流行的幾種加密體制和加密算法有:RSA算法和CCEP算法等。為防止破密,加密軟件還常采用硬件加密和加密軟盤。一些軟件商品常帶有一種小的硬卡,這就是硬件加密措施。在軟盤上用激光穿 孔,使軟件的存儲區有不為人所知的局部存壞,就可以防止非法復制。這樣的加密軟盤可以為不掌握加密技術的人員使用,以保護軟件。由于計算機軟件的非法復制,解密及盜版問題日益嚴重,甚至引發國際爭端,因此對信息加密技術和加密手段的研究與開發,受到各國計算機界的重視,發展日新月異。
編輯本段加密技術應用
在常規的郵政系統中,寄信人用信封隱藏其內容,這就是最基本的保密技術,而在電子商務中,有形的信封就不再成為其代表性的選擇。為了實現電子信息的保密性,就必須實現該信息對除特定收信人以外的任何人都是不可讀取的。而為了保證共享設計規范的貿易伙伴的信息安全性就必須采取一定的手段來隱藏信息,而隱藏信息的最有效手段便是加密。
保密通信,計算機密鑰,防復制軟盤等都屬于信息加密技術。通信過程中的加密主要是采用密碼,在數字通信中可利用計算機采用加密法,改變負載信息的數碼結構。計算機信息保護則以軟件加密為主。編輯本段加密技術分析
加密就是通過密碼算術對數據進行轉化,使之成為沒有正確密鑰任何人都無法讀懂的報文。而這些以無法讀懂的形式出現的數據一般被稱為密文。為了讀懂報文,密文必須重新轉變為它的最初形式--明文。而含有用來以數學方式轉換報文的雙重密碼就是密鑰。在這種情況下即使一則信息被截獲并閱讀,這則信息也是毫無利用價值的。而實現這種轉化的算法標準,據不完全統計,到現在為止已經有近200多種。在這里,主要介紹幾種重要的標準。按照國際上通行的慣例,將
信息加密技術
這近200種方法按照雙方收發的密鑰是否相同的標準劃分為兩大類:一種是常規算法(也叫私鑰加密算法或對稱加密算法),其特征是收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有:美國的DES及其各種變形,比如3DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL N、LOKI?91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼,而最近美國NIST(國家標準與技術研究所)推出的AES將有取代DES的趨勢,后文將作出詳細的分析。常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。另外一種是公鑰加密算法(也叫非對稱加密算法)。其特征是收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導解密密鑰。比較著名的公鑰密碼算法有:RSA、背包密碼、McEliece密碼、Diffe Hellman、Rabin、Ong Fiat Shamir、零知識證明的算法、橢圓曲線、EIGamal算法等等⑷。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊,而最近勢頭正勁的ECC算法正有取代RSA的趨勢。公鑰密碼的優點是可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其算法復雜,加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼算法將是一種很有前途的網絡安全加密體制。這兩種算法各有其短處和長處,在下面將作出詳細的分析。1.1 私鑰加密算法
在私鑰加密算法中,信息的接受者和發送者都使用相同的密鑰,所以雙方的密鑰都處于保密的狀態,因為私鑰的保密性必須基于密鑰的保密性,而非算法上。這在硬件上增加了私鑰加密算法的安全性。但同時我們也看到這也增加了一個挑戰:收發雙方都必須為自己的密鑰負責,這種情況在兩者在地理上分離顯得尤為重要。私鑰算法還面臨這一個更大的困難,那就是對私鑰的管理和分發十分的困難和復雜,而且所需的費用十分的龐大。比如說,一個n個用戶的網絡就需要派發n(n-1)/2個私鑰,特別是對于一些大型的并且廣域的網絡來說,其管理是一個十分困難的過程,正因為這些因素從而決定了私鑰算法的使用范圍。而且,私鑰加密算法不支持數字簽名,這對遠距離的傳輸來說也是一個障礙。另一個影響私鑰的保密性的因素是算法的復雜性。現今為止,國際上比較通行的是DES、3DES以及最近推廣的AES。
數據加密標準(Data Encryption Standard)是IBM公司1977年為美國政府研制的一種算法。DES是以56 位密鑰為基礎的密碼塊加密技術。它的加密過程一般如下:
① 一次性把64位明文塊打亂置換。
② 把64位明文塊拆成兩個32位塊;
③ 用機密DES密鑰把每個32位塊打亂位置16次;
④ 使用初始置換的逆置換。
但在實際應用中,DES的保密性受到了很大的挑戰,1999年1月,EFF和分散網絡用不到一天的時間,破譯了56位的DES加密信息。DES的統治地位受到了嚴重的影響,為此,美國推出DES的改進版本--三重加密(triple Data Encryption Standard)即在使用過程中,收發雙方都用三把密鑰進行加解密,無疑這種3*56式的加密方法大大提升了密碼的安全性,按現在的計算機的運算速度,這種破解幾乎是不可能的。但是我們在為數據提供強有力的安全保護的同時,也要化更多的時間來對信息進行三次加密和對每個密層進行解密。同時在這種前提下,使用這種密鑰的雙發都必須擁有3個密鑰,如果丟失了其中任何一把,其余兩把都成了無用的密鑰。這樣私鑰的數量一下又提升了3倍,這顯然不是我們想看到的。于是美國國家標準與技術研究所推出了一個新的保密措施來保護金融交易。高級加密標準(Advanced Encryption Standard)美國國家技術標準委員會(NIST)在2000年10月選定了比利時的研究成果“Rijndael”作為AES的基礎。“Rijndael”是經過三年漫長的過程,最終從進入候選的五種方案中挑選出來的。
AES內部有更簡潔精確的數學算法,而加密數據只需一次通過。AES被設計成高速,堅固的安全性能,而且能夠支持各種小型設備。AES與3DES相比,不僅是安全性能有重大差別,使用性能和資源有效利用上也有很大差別。雖然到現在為止,我還不了解AES的具體算法但是從下表可以看出其與3DES的巨大優越性。
還有一些其他的一些算法,如美國國家安全局使用的飛魚(Skipjack)算法,不過它的算法細節始終都是保密的,所以外人都無從得知其細節類容;一些私人組織開發的取代DES的方案:RC2、RC4、RC5等。1.2 公鑰加密算法
面對在執行過程中如何使用和分享密鑰及保持其機密性等問題,1975年Whitefield Diffe和Marti Hellman提出了公開的密鑰密碼技術的概念,被稱為Diffie-Hellman技術。從此公鑰加密算法便產生了。
由于采取了公共密鑰,密鑰的管理和分發就變得簡單多了,對于一個n個用戶的網絡來說,只需要2n個密鑰便可達到密度。同時使得公鑰加密法的保密性全部集中在及其復雜的數學問題上,它的安全性因而也得到了保證。但是在實際運用中,公共密鑰加密算法并沒有完全的取代私鑰加密算法。其重要的原因是它的實現速度遠遠趕不上私鑰加密算法。又因為它的安全性,所以常常用來加密一些重要的文件。自公鑰加密問世以來,學者們提出了許多種公鑰加密方法,它們的安全性都是基于復雜的數學難題。根據所基于的數學難題來分類,有以下三類系統目前被認為是安全和有效的:大整數因子分解系統(代表性的有RSA)、橢圓曲線離散對數系統(ECC)和離散對數系統(代表性的有DSA),下面就作出較為詳細的敘述。
RAS算法是由羅納多·瑞維斯特(Rivet)、艾迪·夏彌爾(Shamir)和里奧納多·艾德拉曼(Adelman)聯合推出的,RAS算法由此而得名。它的安全性是基于大整數素因子分解的困難性,而大整數因子分解問題是數學上的著名難題,至今沒有有效的方法予以解決,因此可以確保RSA算法的安全性。RSA系統是公鑰系統的最具有典型意義的方法,大多數使用公鑰密碼進行加密和數字簽名的產品和標準使用的都是RSA算法。它得具體算法如下: ① 找兩個非常大的質數,越大越安全。把這兩個質數叫做P和Q。
② 找一個能滿足下列條件得數字E:
A. 是一個奇數。
B. 小于P×Q。
C. 與(P-1)×(Q-1)互質,只是指E和該方程的計算結果沒有相同的質數因子。
③ 計算出數值D,滿足下面性質:((D×E)-1)能被(P-1)×(Q-1)整除。
公開密鑰對是(P×Q,E)。
私人密鑰是D。
公開密鑰是E。
解密函數是:
假設T是明文,C是密文。
加密函數用公開密鑰E和模P×Q;
加密信息=(TE)模P×Q。
解密函數用私人密鑰D和模P×Q;
解密信息=(CD)模P×Q。
橢圓曲線加密技術(ECC)是建立在單向函數(橢圓曲線離散對數)得基礎上,由于它比RAS使用得離散對數要復雜得多。而且該單向函數比RSA得要難,所以與RSA相比,它有如下幾個優點:
安全性能更高 加密算法的安全性能一般通過該算法的抗攻擊強度來反映。ECC和其他幾種公鑰系統相比,其抗攻擊性具有絕對的優勢。如160位 ECC與1024位 RSA有相同的安全強度。而210位 ECC則與2048bit RSA具有相同的安全強度。
計算量小,處理速度快 雖然在RSA中可以通過選取較小的公鑰(可以小到3)的方法提高公鑰處理速度,即提高加密和簽名驗證的速度,使其在加密和簽名驗證速度上與ECC有可比性,但在私鑰的處理速度上(解密和簽名),ECC遠比RSA、DSA快得多。因此ECC總的速度比RSA、DSA要快得多。
存儲空間占用小 ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多,意味著它所占的存貯空間要小得多。這對于加密算法在IC卡上的應用具有特別重要的意義。
帶寬要求低 當對長消息進行加解密時,三類密碼系統有相同的帶寬要求,但應用于短消息時ECC帶寬要求卻低得多。而公鑰加密系統多用于短消息,例如用于數字簽名和用于對對稱系統的會話密鑰傳遞。帶寬要求低使ECC在無線網絡領域具有廣泛的應用前景。
ECC的這些特點使它必將取代RSA,成為通用的公鑰加密算法。比如SET協議的制定者已把它作為下一代SET協議中缺省的公鑰密碼算法。
編輯本段優劣比較
以上綜述了兩種加密方法的各自的特點,并對他們優劣處作了一個簡要的比較,總體來說主要有下面幾個方面: 管理方面
第一、在管理方面,公鑰密碼算法只需要較少的資源就可以實現目的,在密鑰的分配上,兩者之間相差一個指數級別(一個是n一個是n2)。所以私鑰密碼算法不適應廣域網的使用,而且更重要的一點是它不支持數字簽名。安全方面
第二、在安全方面,由于公鑰密碼算法基于未解決的數學難題,在破解上幾乎不可能。對于私鑰密碼算法,到了AES雖說從理論來說是不可能破解的,但從計算機的發展角度來看。公鑰更具有優越性。速度方面
第三、從速度上來看,AES的軟件實現速度已經達到了每秒數兆或數十兆比特。是公鑰的100倍,如果用硬件來實現的話這個比值將擴大到1000倍。算法方面
第四、對于這兩中算法,因為算法不需要保密,所以制造商可以開發出低成本的芯片以實現數據加密。這些芯片有著廣泛的應用,適合于大規模生產。總結
縱觀這兩種算法一個從DES到3DES再到ADES,一個從RSA到ECC。其發展角度無不是從密鑰的簡單性,成本的低廉性,管理的簡易性,算法的復雜性,保密的安全性以及計算的快速性這幾個方面去考慮。因此,未來算法的發展也必定是從這幾個角度出發的,而且在實際操作中往往把這兩種算法結合起來,也需將來一種集兩種算法有點于一身的新型算法將會出現,到那個時候,電子商務的實現必將更加的快捷和安全。編輯本段流行算法
目前世界上最流行的幾種加密體制和加密算法有:RSA算法和CCEP算法等。為防止破密,加密軟件還常采用硬件加密和加密軟盤。一些軟件商品常帶有一種小的硬卡,這就是硬件加密措施。在軟盤上用激光穿 孔,使軟件的存儲區有不為人所知的局部存壞,就可以防止非法復制。這樣的加密軟盤可以為不掌握加密技術的人員使用,以保護軟件。由于計算機軟件的非法復制,解密及盜版問題日益嚴重,甚至引發國際爭端,因此對信息加密技術和加密手段的研究與開發,受到各國計算機界的重視,發展日新月異。編輯本段軟件保護技術
1、序列號保護
數學算法一項都是密碼加密的核心,但在一般的軟件加密中,它似乎并不太為人們關心,因為大多數時候軟件加密本身實現的都是一種編程的技巧。但近幾年來隨著序列號加密程序的普及,數學算法在軟件加密中的比重似乎是越來越大了。
看看在網絡上大行其道的序列號加密的工作原理。當用戶從網絡上下載某個shareware——共享軟件后,一般都有使用時間上的限制,當過了共享軟件的試用期后,你必須到這個軟件的公司去注冊后方能繼續使用。注冊過程一般是用戶把自己的私人信息(一般主要指名字)連同信用卡號碼告訴給軟件公司,軟件公司會根據用戶的信息計算出一個序列碼,在用戶得到這個序列碼后,按照注冊需要的步驟在軟件中輸入注冊信息和注冊碼,其注冊信息的合法性由軟件驗證通過后,軟件就會取消掉本身的各種限制,這種加密實現起來比較簡單,不需要額外的成本,用戶購買也非常方便,在互聯網上的軟件80%都是以這種方式來保護的。
軟件驗證序列號的合法性過程,其實就是驗證用戶名和序列號之間的換算關系是否正確的過程。其驗證最基本的有兩種,一種是按用戶輸入的姓名來生成注冊碼,再同用戶輸入的注冊碼比較,公式表示如下:
序列號 = F(用戶名)
但這種方法等于在用戶軟件中再現了軟件公司生成注冊碼的過程,實際上是非常不安全的,不論其換算過程多么復雜,解密者只需把你的換算過程從程序中提取出來就可以編制一個通用的注冊程序。
另外一種是通過注冊碼來驗證用戶名的正確性,公式表示如下:
用戶名稱 = F逆(序列號)(如ACDSEE)
這其實是軟件公司注冊碼計算過程的反算法,如果正向算法與反向算法不是對稱算法的話,對于解密者來說,的確有些困難,但這種算法相當不好設計。
于是有人考慮到以下的算法:
F1(用戶名稱)= F2(序列號)
F1、F2是兩種完全不同的的算法,但用戶名通過F1算法計算出的特征字等于序列號通過F2算法計算出的特征字,這種算法在設計上比較簡單,保密性相對以上兩種算法也要好的多。如果能夠把F1、F2算法設計成不可逆算法的話,保密性相當的好;可一旦解密者找到其中之一的反算法的話,這種算法就不安全了。一元算法的設計看來再如何努力也很難有太大的突破,那么二元呢?
特定值 = F(用戶名,序列號)
這個算法看上去相當不錯,用戶名稱與序列號之間的關系不再那么清晰了,但同時也失去了用戶名于序列號的一一對應關系,軟件開發者必須自己維護用戶名稱與序列號之間的唯一性,但這似乎不是難以辦到的事,建個數據庫就可以了。當然也可以把用戶名稱和序列號分為幾個部分來構造多元的算法。
特定值 = F(用戶名1,用戶名2,...序列號1,序列號2...)
現有的序列號加密算法大多是軟件開發者自行設計的,大部分相當簡單。而且有些算法作者雖然下了很大的功夫,效果卻往往得不到它所希望的結果。
2、時間限制
有些程序的試用版每次運行都有時間限制,例如運行10分鐘或20分鐘就停止工作,必須重新運行該程序才能正常工作。這些程序里面自然有個定時器來統計程序運行的時間。這種方法使用的較少。
3、Key File 保護
Key File(注冊文件)是一種利用文件來注冊軟件的保護方式。Key File一般是一個小文件,可以是純文本文件,也可以是包含不可顯示字符的二進制文件,其內容是一些加密過或未加密的數據,其中可能有用戶名、注冊碼等信息。文件格式則由軟件作者自己定義。試用版軟件沒有注冊文件,當用戶向作者付費注冊之后,會收到作者寄來的注冊文件,其中可能包含用戶的個人信息。用戶只要將該文件放入指定的目錄,就可以讓軟件成為正式版。該文件一般是放在軟件的安裝目錄中或系統目錄下。軟件每次啟動時,從該文件中讀取數據,然后利用某種算法進行處理,根據處理的結果判斷是否為正確的注冊文件,如果正確則以注冊版模式來運行。這種保護方法使用也不多。
4、CD-check
即光盤保護技術。程序在啟動時判斷光驅中的光盤上是否存在特定的文件,如果不存在則認為用戶沒有正版光盤,拒絕運行。在程序運行的過程當中一般不再檢查光盤的存在與否。Windows下的具體實現一般是這樣的:先用GetLogicalDriveStrings()或GetLogicalDrives()得到系統中安裝的所有驅動器的列表,然后再用GetDriveType()檢查每一個驅動器,如果是光驅則用CreateFileA()或FindFirstFileA()等函數檢查特定的文件存在與否,并可能進一步地檢查文件的屬性、大小、內容等。
5、軟件狗
軟件狗是一種智能型加密工具。它是一個安裝在并口、串口等接口上的硬件電路,同時有一套使用于各種語言的接口軟件和工具軟件。當被狗保護的軟件運行時,程序向插在計算機上的軟件狗發出查詢命令,軟件狗迅速計算查詢并給出響應,正確的響應保證軟件繼續運行。如果沒有軟件狗
軟件狗,程序將不能運行,復雜的軟硬件技術結合在一起防止軟件盜版。真正有商業價值得軟件一般都用軟件狗來保護。
平時常見的狗主要有“洋狗”(國外狗)和“土狗”(國產狗)。這里“洋狗”主要指美國的彩虹和以色列的HASP,“土狗”主要有金天地(現在與美國彩虹合資,叫“彩虹天地”)、深思、尖石。總的說來,“洋狗”在軟件接口、加殼、反跟蹤等“軟”方面沒有“土狗”好,但在硬件上破解難度非常大;而“土狗”在軟的方面做的很好,但在硬件上不如“洋狗”,稍有單片機功力的人,都可以復制。
6、軟盤加密
通過在軟盤上格式化一些非標準磁道,在這些磁道上寫入一些數據,如軟件的解密密鑰等等。這種軟盤成為“鑰匙盤”。軟件運行時用戶將軟盤插入,軟件讀取這些磁道中的數據,判斷是否合法的“鑰匙盤”。
軟盤加密還有其它一些技術,如弱位加密等等。隨著近年來軟盤的沒落,這種方法基本上退出了歷史舞臺。
7、將軟件與機器硬件信息結合
用戶得到(買到或從網上下載)軟件后,安裝時軟件從用戶的機器上取得該機器的一些硬件信息(如硬盤序列號、BOIS序列號等等),然后把這些信息和用戶的序列號、用戶名等進行計算,從而在一定程度上將軟件和硬件部分綁定。用戶需要把這一序列號用Email、電話或郵寄等方法寄給軟件提供商或開發商,軟件開發商利用注冊機(軟件)產生該軟件的注冊號寄給用戶即可。軟件加密雖然加密強度比硬件方法較弱,但它具有非常廉價的成本、方便的使用方法等優點。非常適合做為采用光盤(CDROM)等方式發授軟件的加密方案。
此種加密算法的優點:
· 不同機器注冊碼不同。用戶獲得一個密碼只能在一臺機器上注冊使用軟件。不同于目前大多軟件采用的注冊方法,即只要知道注冊碼,可在任何機器上安裝注冊。
· 不需要任何硬件或軟盤
· 可以選擇控制軟件運行在什么機器、運行多長時間或次數等
· 可讓軟件在不注冊前的功能為演示軟件,只能運行一段時間或部分功能。注冊后就立即變為正式軟件 · 采用特別技術,解密者很難找到產生注冊號碼的規律
· 在使用注冊號產生軟件(注冊機)時可采用使用密碼、密鑰盤、總次數限制等方法
· 方便易用,價格低廉。
這種加密還有以下特點:
1、注冊加密的軟件,只能在一臺機器上安裝使用。把軟件拷貝到其它機器上不能運行。
2、若用戶想在另一機器上安裝運行,必須把軟件在這一機器上運行時的序列號,寄給軟件出版商換取注冊密碼。當然應再交一份軟件費用。
3、此加密方法特別適應在因特網上發布的軟件及用光盤發布的軟件。
所謂數據加密(Data Encryption)技術是指將一個信息(或稱明文,plain text)經過加密鑰匙(Encryption key)及加密函數轉換,變成無意義的密文(cipher text),而接收方則將此密文經過解密函數、解密鑰匙(Decryption key)還原成明文。加密技術是網絡安全技術的基石。
數據加密技術 要求
數據加密技術要求只有在指定的用戶或網絡下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用于加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密算法分為專用密鑰和公開密鑰兩種。編輯本段分類 專用密鑰
專用密鑰,又稱為對稱密鑰或單密鑰,加密和解密時使用同一個密鑰,即同一個算法。如DES和MIT的Kerberos算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據后,用對方所給的密鑰進行解密。當一個文本要加密傳送時,該文本用密鑰加密構成密文,密文在信道上傳送,收到密文后用同一個密鑰將密文解出來,形成普通文體供閱讀。在對稱密鑰中,密鑰的管理極為重要,一旦密鑰丟失,密文將無密可保。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。對稱密鑰
對稱密鑰是最古老的,一般說“密電碼”采用的就是對稱密鑰。由于對稱密鑰運算量小、速度快、安全強度高,因而目前仍廣泛被采用。
DES是一種數據分組的加密算法,它將數據分成長度為64位的數據塊,其中8位用作奇偶校驗,剩余的56位作為密碼的長度。第一步將原文進行置換,得到64位的雜亂無章的數據組;第二步將其分成均等兩段;第三步用加密函數進行變換,并在給定的密鑰參數條件下,進行多次迭代而得到加密密文。公開密鑰
公開密鑰,又稱非對稱密鑰,加密和解密時使用不同的密鑰,即不同的算法,雖然兩者之間存在一定的關系,但不可能輕易地從一個推導出另一個。有一把公用的加密密鑰,有多把解密密鑰,如RSA算法。
非對稱密鑰由于兩個密鑰(加密密鑰和解密密鑰)各不相同,因而可以將一個密鑰公開,而將另一個密鑰保密,同樣可以起到加密的作用。
在這種編碼過程中,一個密碼用來加密消息,而另一個密碼用來解密消息。在兩個密鑰中有一種關系,通常是數學關系。公鑰和私鑰都是一組十分長的、數字上相關的素數(是另一個大數字的因數)。有一個密鑰不足以翻譯出消息,因為用一個密鑰加密的消息只能用另一個密鑰才能解密。每個用戶可以得到唯一的一對密鑰,一個是公開的,另一個是保密的。公共密鑰保存在公共區域,可在用戶中傳遞,甚至可印在報紙上面。而私鑰必須存放在安全保密的地方。任何人都可以有你的公鑰,但是只有你一個人能有你的私鑰。它的工作過程是:“你要我聽你的嗎?除非你用我的公鑰加密該消息,我就可以聽你的,因為我知道沒有別人在偷聽。只有我的私鑰(其他人沒有)才能解密該消息,所以我知道沒有人能讀到這個消息。我不必擔心大家都有我的公鑰,因為它不能用來解密該消息。”
公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者,即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。非對稱加密技術
數字簽名一般采用非對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以采用多種方式,例如,將簽名附在明文之后。數字簽名普遍用于銀行、電子貿易等。
數字簽名不同于手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特征,是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之后的,與文本信息是分離的。
值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在于密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。編輯本段網絡數據加密的三種技術 概述
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer;歐洲的IDEA;日本的FEAL?N、LOKI?91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導解密密鑰。比較著名的公鑰密碼算法有:RSA、背包密碼、McEliece密碼、Diffe?Hellman、Rabin、Ong?Fiat?Shamir、零知識證明的算法、橢圓曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其算法復雜,加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼算法將是一種很有前途的網絡安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組,每次處理一個組。
密碼技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。
一般的數據加密可以在通信的三個層次來實現:鏈路加密、節點加密和端到端加密。鏈路加密
對于在兩個網絡節點間的某一次通信鏈路,鏈路加密能為網上傳輸的數據提供安全保證。對于鏈路加密(又稱在線加密),所有消息在被傳輸之前進行加密,在每一個節點對接收到的消息進行解密,然后先使用下一個鏈路的密鑰對消息進行加密,再進行傳輸。在到達目的地之前,一條消息可能要經過許多通信鏈路的傳輸。
由于在每一個中間傳輸節點消息均被解密后重新進行加密,因此,包括路由信息在內的鏈路上的所有數據均以密文形式出現。這樣,鏈路加密就掩蓋了被傳輸消息的源點與終點。由于填充技術的使用以及填充字符在不需要傳輸數據的情況下就可以進行加密,這使得消息的頻率和長度特性得以掩蓋,從而可以防止對通信業務進行分析。
盡管鏈路加密在計算機網絡環境中使用得相當普遍,但它并非沒有問題。鏈路加密通常用在點對點的同步或異步線路上,它要求先對在鏈路兩端的加密設備進行同步,然后使用一種鏈模式對鏈路上傳輸的數據進行加密。這就給網絡的性能和可管理性帶來了副作用。
在線路/信號經常不通的海外或衛星網絡中,鏈路上的加密設備需要頻繁地進行同步,帶來的后果是數據丟失或重傳。另一方面,即使僅一小部分數據需要進行加密,也會使得所有傳輸數據被加密。
在一個網絡節點,鏈路加密僅在通信鏈路上提供安全性,消息以明文形式存在,因此所有節點在物理上必須是安全的,否則就會泄漏明文內容。然而保證每一個節點的安全性需要較高的費用,為每一個節點提供加密硬件設備和一個安全的物理環境所需要的費用由以下幾部分組成:保護節點物理安全的雇員開銷,為確保安全策略和程序的正確執行而進行審計時的費用,以及為防止安全性被破壞時帶來損失而參加保險的費用。
在傳統的加密算法中,用于解密消息的密鑰與用于加密的密鑰是相同的,該密鑰必須被秘密保存,并按一定規則進行變化。這樣,密鑰分配在鏈路加密系統中就成了一個問題,因為每一個節點必須存儲與其相連接的所有鏈路的加密密鑰,這就需要對密鑰進行物理傳送或者建立專用網絡設施。而網絡節點地理分布的廣闊性使得這一過程變得復雜,同時增加了密鑰連續分配時的費用。節點加密
盡管節點加密能給網絡數據提供較高的安全性,但它在操作方式上與鏈路加密是類似的:兩者均在通信鏈路上為傳輸的消息提供安全性;都在中間節點先對消息進行解密,然后進行加密。因為要對所有傳輸的數據進行加密,所以加密過程對用戶是透明的。
然而,與鏈路加密不同,節點加密不允許消息在網絡節點以明文形式存在,它先把收到的消息進行解密,然后采用另一個不同的密鑰進行加密,這一過程是在節點上的一個安全模塊中進行。
節點加密要求報頭和路由信息以明文形式傳輸,以便中間節點能得到如何處理消息的信息。因此這種方法對于防止攻擊者分析通信業務是脆弱的。端到端加密
端到端加密允許數據在從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密(又稱脫線加密或包加密),消息在被傳輸時到達終點之前不進行解密,因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。
端到端加密系統的價格便宜些,并且與鏈路加密和節點加密相比更可靠,更容易設計、實現和維護。端到端加密還避免了其它加密系統所固有的同步問題,因為每個報文包均是獨立被加密的,所以一個報文包所發生的傳輸錯誤不會影響后續的報文包。此外,從用戶對安全需求的直覺上講,端到端加密更自然些。單個用戶可能會選用這種加密方法,以便不影響網絡上的其他用戶,此方法只需要源和目的節點是保密的即可。
端到端加密系統通常不允許對消息的目的地址進行加密,這是因為每一個消息所經過的節點都要用此地址來確定如何傳輸消息。由于這種加密方法不能掩蓋被傳輸消息的源點與終點,因此它對于防止攻擊者分析通信業務是脆弱的。
PTT加密技術
科發源研究出針對加密手術的專利技術PTT,主要特點是可見縫插針,不損傷自身其他頭發,可以加到很密的效果。國內一般移植器械針對頭發加密不能盡善盡美,一次種植數量不會很多,而且器械粗糙導致其他毛囊受損,科發源的PTT加密技術克服也這一缺陷。密鑰加密技術
密鑰技術提供的加密服務可以保證在開放式環境中網絡傳輸的安全。通常大量使用的兩種密鑰加密技術是:私用密鑰(對稱加密)和公共密鑰(非對稱加密)。
在私用密鑰機制中,信息采用發送方和接收方保存的私有的密鑰進行加密。這種系統假定雙方已經通過一些人工方法交換了密鑰,并且采用的密鑰交換方式并不危及安全性。
公共密鑰機制為每個用戶產生兩個相關的密鑰。一個由用戶私下保存(私鑰),另一個放于公共區(公鑰)。如果某人想給你發送消息,他(她)用你的公開密鑰對信息加密。當收到信息后,你可以用私存的密鑰對信息解密。SSL加密技術
為了保護敏感數據在傳送過程中的安全,全球許多知名企業采用SSL(Security Socket Layer)加密機制。SSL是Netscape公司所提出的安全保密協議,在瀏覽器(如Internet Explorer、Netscape Navigator)和Web服務器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之間構造安全通道來進行數據傳輸,SSL運行在TCP/IP層之上、應用層之下,為應用程序提供加密數據通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密鑰,適用于商業信息的加密。同時,Netscape公司相應開發了HTTPS協議并內置于其瀏覽器中,HTTPS實際上就是HTTP over SSL,它使用默認端口443,而不是像HTTP那樣使用端口80來和TCP/IP進行通信。HTTPS協議使用SSL在發送方把原始數據進行加密,然后在接受方進行解密,加密和解密需要發送方和接受方通過交換共知的密鑰來實現,因此,所傳送的數據不容易被網絡黑客截獲和解密。
然而,加密和解密過程需要耗費系統大量的開銷,嚴重降低機器的性能,相關測試數據表明使用HTTPS協議傳輸數據的工作效率只有使用HTTP協議傳輸的十分之一。假如為了安全保密,將一個網站所有的Web應用都啟用SSL技術來加密,并使用HTTPS協議進行傳輸,那么該網站的性能和效率將會大大降低,而且沒有這個必要,因為一般來說并不是所有數據都要求那么高的安全保密級別
編輯本段SSL協議的工作方式。
客戶端要收發幾個握手信號:
發送一個ClientHello消息,說明它支持的密碼算法列表、壓縮方法及最高協議版本,也發送稍后將被使用的隨機數。然后收到一個ServerHello消息,包含服務器選擇的連接參數,源自客戶端初期所提供的ClientHello。當雙方知道了連接參數,客戶端與服務器交換證書(依靠被選擇的公鑰系統)。這些證書通常基于X.509,不過已有草案支持以OpenPGP為基礎的證書。服務器請求客戶端公鑰。客戶端有證書即雙向身份認證,沒證書時隨機生成公鑰。客戶端與服務器通過公鑰保密協商共同的主私鑰(雙方隨機協商),這通過精心謹慎設計的偽隨機數功能實現。結果可能使用Diffie-Hellman交換,或簡化的公鑰加密,雙方各自用私鑰解密。所有其他關鍵數據的加密均使用這個“主密鑰”。數據傳輸中記錄層(Record layer)用于封裝更高層的HTTP等協議。記錄層數據可以被隨意壓縮、加密,與消息驗證碼壓縮在一起。每個記錄層包都有一個Content-Type段用以記錄更上層用的協議。
文件加密技術
文件加密是一種常見的密碼學應用。文件加密技術是下面三種技術的結合(1)密碼技術.包括對稱密碼和非對稱密碼,可能是分組密碼,也可能采用序列密碼文件加密的底層技術是數據加密。
(2)操作系統。文件系統是操作系統的重要組成部分。對文件的輸入輸出操作或文件的組織和存儲形式進行加密也是文件加密的常用于段。對動態文件進行加密尤其需要熟悉文件系統的細節。文件系統與操作系統其他部分的關聯,如設備管理、進程管理和內存管理等,都可被用于文件加密。
(3)文件分析技術。不同的文件類型的語義操作體現在對該文件類型進行操作的應用程序中,通過分析文件的語法結構和關聯的應用程序代碼而進行一些置換和替換,在實際應用中經常可以達到一定的文件加密效果。
利用以上技術文件加密主要包括以下內容。
(1)文件的內容加密通常采用二進制加密的方法
(2)文件的屬性加密
(3)文件的輸入輸出和操作過程的加密,即動態文件加密
通常一個完整的文件加密系統包括操作系統的核心驅動、設備接口、密碼服務組件和應用層幾個部分。
水印加密技術
原始圖片在壓縮前通過攝像機的自身特性及前端軟件疊字加的違法信息,同時要用用一種技術(暫稱為防偽水印加密技術),對違法圖象和違法數據進行加密,防止圖像被非法修改,確保證據的真實性和有效性。
不對稱加密技術
公共密鑰加密技術不對稱加密技術:允許任何人對信息進行加密處理后,將它發送給另一個人,而不需要預先交換密鑰。但該過程對于互相了解的或屬于同一組織的兩個人之間是不可行的。在公共密鑰加密過程中,實現Internet上的敏感數據報文的交換,需要提供兩種密鑰支持:公共密鑰和私人密鑰。公共密鑰是由其主人加以公開的,而私人密鑰必須保密存放。為發送一份保密報文,發送者必須使用接收者的公共密鑰對數據進行加密,一旦加密,只有接收方用其私人密鑰才能加以解密。換句話說,如果A要向 B 發送經過加密的數據,那么 A 使用 B 的公共密鑰對將要發送的數據進行加密處理,而 B 使用對應的私人密鑰才可以對由 A 發送的那些加密數據解密。公開密鑰加密技術
(public key crypto-system)
l976年,Diffie和Hellman首次提非對稱加密出公開密鑰加密體制,即每個人都有一對密鑰,其中一個為公開的,一個為私有的。發送信息時用對方的公開密鑰加密,收信者用自己的私用密鑰進行解密。公開密鑰加密算法的核心是運用一種特殊的數學函數一單向陷門函數,即從一個方向求值是容易的。但其逆向計算卻很困難,從而在實際上成為不可行的。公開密鑰加密技術它不僅保證了安全性又易于管理。其不足是加密和解密的時間長。
公開密鑰密碼編碼學的發展是整個密碼編碼學歷史上最大的而且也許是唯一真正的革命。公開密鑰密碼編碼學與傳統的方法不同:一方面它是基于數學函數;更為重要的是,它是非對稱的。公鑰系統對于保密通信、密鑰分配和鑒別等領域有著深遠的影響。
公開密鑰密碼體制的產生主要是因為兩個方面的原因,一是由于常規密鑰密碼體制分配(distribution)問題,另一是由于對數字簽名的需求。公鑰方法是一種與過去所有密碼編碼學截然不同的方法。公鑰用于:密鑰分配、機密性和認證。
在公開密鑰密碼體制中,加密密碼(即公開密鑰)PK是公開信息,而解密密鑰(即秘密密鑰)SK是需要保密的。雖然秘密密鑰SK是由公開密鑰PK決定的,但卻不能根據PK計算出SK。
第二篇:電子商務安全與技術,電子商務安全論文,電子商務加密技術論文
電子商務安全保密技術及應用論文
題目:電子商務存在隱患及防治措施
系部:信息工程系
專業:電子商務
班級:120502
學號:12050214
姓名:喬彪 成績:
日期:2014年11月6日
隨著電子商務不斷的擴大影響,勢必將成為一種新型的交易模式走入人們日常生活,計算機技術與其是密不可分,相輔相成的。電子商務的發展將帶動計算機技術應用的更加廣泛,計算機技術的進步將推動電子商務的蓬勃發展。而其在發展的過程中安全問題也變得越來越突出,可以說,沒有安全就沒有電子商務。
一、電子商務網絡的安全隱患
1.竊取信息。交易雙方進行交易的 內容 被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。
2.篡改信息。電子的交易信息在網絡傳輸的過程中,可能被他人非法的修改、刪除這樣就使信息失去了真實性和完整性。
3.假冒。第三方可以冒充合法用戶發送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞。由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,破壞網絡的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞。
二、電子商務的安全要求
1.交易者身份的可認證性。
在傳統的交易中,交易雙方往往是面對面進行活動的,這樣很容易確認對方的身份。即使開始不熟悉,不能確信對方,也可以通過對方的簽名、印章、證書等一系列有形的身份憑證來鑒別身份。然而,在進行網上交易時,情況就大不一樣了,因為網上交易的雙方可能素昧平生,相隔千里,并且在整個交易過程中都可能不見一面。要使交易成功,首先要能驗證對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店是不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
2.信息的機密性。
由于電子商務是建立在一個開放的網絡環境上的,維護商業機密是電子商務全面推廣應用的重要保障。當交易雙方通過Internet交換信息時,如果不采取適當的保密措施,就可能將通信內容泄密;另外,在網絡上的文件信息如果不加密的話,也有可能被黑客竊取。上述種種情況都有可能造成敏感商業信息的泄漏,導致商業上的巨大損失。因此,電子商務一個重要的安全需求就是信息的保密性。這意味著,一定要對敏感信息進行加密,即使別人截獲或竊取了數據,也無法識別信息的真實內容,以使商業機密信息難以被泄漏。
3.信息的真實完整性。
信息輸入時的意外差錯或欺詐行為、傳輸過程中信息的丟失、重復或傳送次序差異都會導致貿易各方信息的不同。交易的文件是不可被修改的,應該保證接受方收到的信息確實是發送方發送的,中途沒有被非法用戶篡改過。電子交易文件必須做到不可修改,以保障交易的嚴肅和公正。
三、電子商務交易中的一些網絡安全技術
針對以上問題現在廣泛采用了身份識別技術、數據加密技術、數字簽名技術和放火墻技術、PKI技術。
1.身份識別技術。
通過電子網絡開展電子商務,身份識別問題是一個必須解決的問題。一方面,只有合法用戶才可以使用網絡資源,所以網絡資源管理要求識別用戶的身份;另一方面,傳統的交易方式,交易雙方可以面對面地談判交涉,很容易識別對方的身份。通過電子網絡交易方式,交易雙方不見面,并且通過普通的電子傳輸信息很難確認對方的身份。因此,電子商務中的身份識別問題顯得尤為突出。
2.數據加密技術。
與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。
(1)對稱加密技術
對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
(2)非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。
3.智能化防火墻技術。
智能防火墻從技術特征上,是利用統計、記憶、概率和決策的智能 方法 來對數據進行識別,并達到訪問控制的目的。新的方法,消除了匹配檢查所需要的海量 計算,高效發現 網絡 行為的特征值,直接進行訪問控制。智能防火墻成功地解決了普遍存在的拒絕服務攻擊(DDOS)的 問題、病毒傳播問題和高級 應用 入侵問題,代表著防火墻的主流 發展 方向。新型智能防火墻自身的安全性較傳統的防火墻有很大的提高,在特權最小化、系統最小化、內核安全、系統加固、系統優化和網絡性能最大化方面,與傳統防火墻相比較有質的飛躍。
4.PKI技術。
PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。
(1)認證機構
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職
責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。
(2)注冊機構
RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易于操作的RA系統。
(3)密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統強健性、安全性、可用性的重要因素。
(4)證書管理與撤消系統
證書是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況,這就需要進行證書撤消。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的發布機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。
四、總結
電子商務安全對計算機網絡安全與商務安全提出了雙重要求,其復雜程度比大多數計算機網絡都高。在電子商務的建設過程中涉及到許多安全技術問題,制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展,同時也促進安全的電子商務體系的形成。當然,任何一個安全技術都不會提供永遠和絕對的安全,因為網絡在變化,應用在變化,入侵和破壞的手段也在變化,只有技術的不斷進步才是真正的安全保障。
第三篇:保密要害部門部位采取防護措施
保密要害部門部位采取防護措施
一、保密要害部門、部位的保密管理堅持“誰主管、誰 負責”的原則,建立人防、物防、技防綜合防護體系,做到 嚴格管理、責任到人、嚴密防范、確保安全。
二、保密要害部門、部位應配備文件粉碎機、鐵質密碼 文件柜等保密辦公設備。根據實際需要安裝電子監控、防盜、報警等保密安全裝置。
三、加強計算機系統的保密管理,明確區分涉密與非涉 密計算機,涉密計算機必須完全與互聯網、局域網和其它公 共信息網絡物理隔離,并采取身份認證、傳輸加密等保密防 范措施。
四、無關人員不得隨意進入保密要害部門部位,確因工 作關系需經本單位領導同意后,才能借閱有關資料和進行公務活動。
五、保密機構領導小組負責:
(一)、確定本機關的保密要害部門、部位;
(二)、組織制定保密要害部門、部位的保密管理制度和防范措施;
(三)、與保密要害部門、部位主要負責人簽訂保密責任書;
(四)、組織協調保密要害部門、部位的工作人員進行保密教育培訓;
(五)、定期檢查保密要害部門、部位的保密技術防范情況,針對存在問題及時整改,不留后患。
六、有下列情形之一的人員不得在保密要害部門、部位工作:
(一)、受過刑事責任追究的;
(二)、受過黨紀政紀記過以上處分的;
(三)、有嚴重違反保密法規記錄的;
(四)、未通過涉密資格審查的;
(五)、社會上臨時聘用的;
(六)、其他經保密工作部門認定不適宜的。
七、保密要害部門、部位工作人員范圍由本機關確定,保密要害部門、部位工作人員名單須報區保密局備案。
八、保密要害部門、部位工作人員,上崗前須接受保密 教育和培訓;在崗接受保密教育和培訓的時間,每年累計不 得少于3個工作日。
九、保密要害部門、部位工作人員與單位負責人簽訂保 密責任書。
十、保密要害部門、部位工作人員脫離涉密崗位的,須 簽訂離崗保密承諾書。同時實行脫密期制度,脫密期限由本 機關根據涉密程度確定,一般為6個月至3年。
十一、保密要害部門、部位要建立并嚴格執行以下保密 制度:
(一)、保密要害部門、部位工作人員資格審查、教育、培訓和監督檢查制度;
(二)、涉密載體、密品使用和管理制度;
(三)、保密技術設備、設施、裝置使用和管理制度。
十二、保密要害部位工作人員違反保密規定造成泄密的,應給予黨紀政紀處分,并調離工作崗位;構成犯罪的,移送司法機關依法處理。
十三、保密要害部門部位管理責任人或單位因失職或管 理不善造成泄密事件的,將追究主要領導、分管領導及相關 責任人的責任。
第四篇:保密要害部門部位采取防護措施
保密要害部門部位采取防護措施
一、保密要害部門、部位的保密管理堅持“誰主管、誰負責”的原則,建立人防、物防、技防綜合防護體系,做到嚴格管理、責任到人、嚴密防范、確保安全。
二、保密要害部門、部位應配備文件粉碎機、鐵質密碼文件柜等保密辦公設備。根據實際需要安裝電子監控、防盜、報警等保密安全裝置。
三、加強計算機系統的保密管理,明確區分涉密與非涉密計算機,涉密計算機必須完全與互聯網、局域網和其他公共信息網絡物理隔離,并采取身份認證、傳輸加密等保密防范措施。
四、無關人員不得隨意進入保密要害部門部位,確因工作關系需經本單位領導同意后,才能借閱有關資料和進行公務活動。
五、保密機構領導小組負責:
(一)、確定本機關的保密要害部門、部位;
(二)組織制定保密要害部門、部位的保密管理制度和防范措施;
(三)與保密要害部門、部委主要負責人簽訂保密責任書;
(四)組織協調保密要害部門、部位的工作人員進行保密教育培訓;
(五)、定期檢查保密要害部門、部位的保密技術防范情況,針對在問題及時整改,不留后患。
六、有下列情形之一的人員不得在保密要害部門、部位工作;
(一)受過刑事責任追究的;
(二)受過黨紀政紀記過以上處分的;
(三)有嚴重違反保密法規記錄的;
(四)未通過涉密資格審查的;
(五)其他經保密工作部門認定不適宜的。
七、保密要害部門、部位工作人員范圍由本單位確定,保密要害部門、部位工作人員名單須報區保密局備案。
八、保密要害部門、部位工作人員,上崗前須接受保密教育和培訓;在崗接受保密教育和培訓的時候,每年累計不得少于3個工作日。
九、保密要害部門、部位工作人員與單位負責人簽訂保密責任書。
十、保密要害部門、部位工作人員脫離涉密崗位的,須簽訂離崗保密承諾書。同時實行脫密期制度,脫密期限由本機關根據涉密程度確定,一般為6個月至3年。
十一、保密要害部門、部位要建立并嚴格執行以下保密制度;
(一)、保密要害部門、部位工作人員資格審查、教育、培訓和監督檢查制度;
(二)、涉密載體、密品使用和管理制度;
(三)保密技術設備、設施、裝置使用和管理制度。
十二、保密要害部位工作人員違反保密規定造成泄密的,應給予黨紀政紀處分,并調離工作崗位;構成犯罪的,移送司法機關依法處理。
十三、保密要害部門部位工作人員或單位因失職或管理不善造成泄密事件的,將追究主要領導、分管領導及相關責任人的責任。
第五篇:安全保密技術
Outlook與郵件捆綁以及郵件簽名的實驗報告
實驗一:Outlook與郵件捆綁實驗
一實驗目的:完成并掌握outlook的內容配置,可以收發163郵件。
二、實驗內容:申請163郵箱,并進行其與outlook的捆綁。
三、實驗步驟
1、先申請一個163郵箱
2、啟用outlook express,打開“Internet連接引導”,首先輸入“顯示名”,如圖所示,然后單擊“下一步”按鈕;
2、在“Internet電子郵件地址”窗口中輸入申請的163郵箱地址,然后單擊“下一步”;
、在“電子郵件服務器名”分別輸入pop3.163.com、smtp.163.com,然后單擊“下一步”
4、在“賬戶名”欄的輸入申請的163郵箱用戶名,在“密碼”欄中輸入163郵箱的登錄密碼,然后單擊“下一步”;
5、然后會出現一個窗口,點擊“完成”,在Internet賬戶中,選擇“郵件”選項,單擊屬性,可以進行outlook的配置,勾選“我的服務器需要身份驗證”,然后單擊“確定”,即完成了郵箱與outlook的捆綁于配置。
四、實驗總結
通過此次實驗,我了解了利用outlook進行收發郵件的操作步驟,這樣可以很方便的進行收發文件,同時也為下面收發簽名郵件做了很好的準備。
實驗二:電子郵件數據簽名加密
一、實驗目的:可以收發更加安全的郵件。
二、實驗內容:收發簽名郵件。
三、實驗步驟:
1、在中國數據網(www.tmdps.cn)上下載測試證書中的根證書并安裝;
2、在“選擇證書存儲”窗口中進行選擇存儲區
點擊咨詢 