加密技術含義
Ⅰ 信息安全論文
http://www.lwenwang.cn/news_list.asp?id=17959&p=2
摘要:眾所周知,作為全球使用范圍最大的信息網,Internet自身協議的開放性極大地方便了各種聯網的計算機,拓寬了共享資源。但是,由於在早期網路協議設計上對安全問題的忽視,以及在管理和使用上的無政府狀態,逐漸使Internet自身安全受到嚴重威脅,與它有關的安全事故屢有發生。對網路信息安全的威脅主要表現在:非授權訪問,冒充合法用戶,破壞數據完整性,干擾系統正常運行,利用網路傳播病毒,線路竊聽等方面。
本文主要介紹了有關網路信息安全的基礎知識:網路信息安全的脆弱性體現、網路信息安全的關鍵技術、常見攻擊方法及對策、安全網路的建設。並提出和具體闡述自己針對這些問題的對策。隨著網路技術的不斷發展,網路信息安全問題終究會得到解決。
關鍵詞:網路信息安全 防火牆 數據加密 內部網
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。信息網路涉及到國家的政府、軍事、文教等諸多領域,存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。其中有很多是敏感信息,甚至是國家機密,所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。通常利用計算機犯罪很難留下犯罪證據,這也大大刺激了計算機高技術犯罪案件的發生。計算機犯罪率的迅速增加,使各國的計算機系統特別是網路系統面臨著很大的威脅,並成為嚴重的社會問題之一。
網路信息安全是一個關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快越來越重要。網路信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。它主要是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
本文從網路信息安全的脆弱性、網路安全的主要技術、常見網路攻擊方法及對策、網路安全建設等方面剖析了當前網路信息安全存在的主要問題,並對常見網路攻擊從技術層面提出了解決方案,希望通過網路安全建設逐步消除網路信息安全的隱患。
一、網路信息安全的脆弱性
網際網路已遍及世界180多個國家,為億萬用戶提供了多樣化的網路與信息服務。在網際網路上,除了原來的電子郵件、新聞論壇等文本信息的交流與傳播之外,網路電話、網路傳真、靜態及視頻等通信技術都在不斷地發展與完善。在信息化社會中,網路信息系統將在政治、軍事、金融、商業、交通、電信、文教等方面發揮越來越大的作用。社會對網路信息系統的依賴也日益增強。各種各樣完備的網路信息系統,使得秘密信息和財富高度集中於計算機中。另一方面,這些網路信息系統都依靠計算機網路接收和處理信息,實現相互間的聯系和對目標的管理、控制。以網路方式獲得信息和交流信息已成為現代信息社會的一個重要特徵。網路正在逐步改變人們的工作方式和生活方式,成為當今社會發展的一個主題。
然而,伴隨著信息產業發展而產生的互聯網和網路信息的安全問題,也已成為各國政府有關部門、各大行業和企事業領導人關注的熱點問題。目前,全世界每年由於信息系統的脆弱性而導致的經濟損失逐年上升,安全問題日益嚴重。面對這種現實,各國政府有關部門和企業不得不重視網路安全的問題。
互聯網安全問題為什麼這么嚴重?這些安全問題是怎麼產生的呢?綜合技術和管理等多方面因素,我們可以歸納為四個方面:互聯網的開放性、自身的脆弱性、攻擊的普遍性、管理的困難性。
(一)互聯網是一個開放的網路,TCP/IP是通用的協議
各種硬體和軟體平台的計算機系統可以通過各種媒體接入進來,如果不加限制,世界各地均可以訪問。於是各種安全威脅可以不受地理限制、不受平台約束,迅速通過互聯網影響到世界的每一個角落。
(二)互聯網的自身的安全缺陷是導致互聯網脆弱性的根本原因
互聯網的脆弱性體現在設計、實現、維護的各個環節。設計階段,由於最初的互聯網只是用於少數可信的用戶群體,因此設計時沒有充分考慮安全威脅,互聯網和所連接的計算機系統在實現階段也留下了大量的安全漏洞。一般認為,軟體中的錯誤數量和軟體的規模成正比,由於網路和相關軟體越來越復雜,其中所包含的安全漏洞也越來越多。互聯網和軟體系統維護階段的安全漏洞也是安全攻擊的重要目標。盡管系統提供了某些安全機制,但是由於管理員或者用戶的技術水平限制、維護管理工作量大等因素,這些安全機制並沒有發揮有效作用。比如,系統的預設安裝和弱口令是大量攻擊成功的原因之一。
(三)互聯網威脅的普遍性是安全問題的另一個方面
隨著互聯網的發展,攻擊互聯網的手段也越來越簡單、越來越普遍。目前攻擊工具的功能卻越來越強,而對攻擊者的知識水平要求卻越來越低,因此攻擊者也更為普遍。
(四)管理方面的困難性也是互聯網安全問題的重要原因
具體到一個企業內部的安全管理,受業務發展迅速、人員流動頻繁、技術更新快等因素的影響,安全管理也非常復雜,經常出現人力投入不足、安全政策不明等現象。擴大到不同國家之間,雖然安全事件通常是不分國界的,但是安全管理卻受國家、地理、政治、文化、語言等多種因素的限制。跨國界的安全事件的追蹤就非常困難。
二、網路安全的主要技術
(一)防火牆技術
「防火牆」是一種形象的說法,其實它是一種由計算機硬體和軟體的組合,使互聯網與內部網之間建立起一個安全網關(securitygateway),從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指區域網或城域網)隔開的屏障。
1.防火牆的技術實現
防火牆的技術實現通常是基於所謂「包過濾」技術,而進行包過濾的標准通常就是根據安全策略制定的。在防火牆產品中,包過濾的標准一般是靠網路管理員在防火牆設備的訪問控制清單中設定。訪問控制一般基於的標准有:包的源地址、包的目的地址、連接請求的方向(連入或連出)、數據包協議(如TCP/IP等)以及服務請求的類型(如ftp、www等)等。
防火牆還可以利用代理伺服器軟體實現。早期的防火牆主要起屏蔽主機和加強訪問控制的作用,現在的防火牆則逐漸集成了信息安全技術中的最新研究成果,一般都具有加密、解密和壓縮、解壓等功能,這些技術增加了信息在互聯網上的安全性。現在,防火牆技術的研究已經成為網路信息安全技術的主導研究方向。
2.防火牆的特性
從物理上說,防火牆就是放在兩個網路之間的各種系統的集合,這些組建具有以下特性:
(1)所有從內到外和從外到內的數據包都要經過防火牆;
(2)只有安全策略允許的數據包才能通過防火牆;
(3)防火牆本身應具有預防侵入的功能,防火牆主要用來保護安全網路免受來自不安全的侵入。
3.防火牆的使用
網路的安全性通常是以網路服務的開放性、便利性、靈活性為代價的,對防火牆的設置也不例外。防火牆的隔斷作用一方面加強了內部網路的安全,一方面卻使內部網路與外部網路的信息系統交流受到阻礙,因此必須在防火牆上附加各種信息服務的代理軟體來代理內部網路與外部的信息交流,這樣不僅增大了網路管理開銷,而且減慢了信息傳遞速率。針對這個問題,近期,美國網屏(NetScreen)技術公司推出了第三代防火牆,其內置的專用ASIC處理器用於提供硬體的防火牆訪問策略和數據加密演算法的處理,使防火牆的性能大大提高。
需要說明的是,並不是所有網路用戶都需要安裝防火牆。一般而言,只有對個體網路安全有特別要求,而又需要和Internet聯網的企業網、公司網,才建議使用防火牆。另外,防火牆只能阻截來自外部網路的侵擾,而對於內部網路的安全還需要通過對內部網路的有效控制和管理來實現。
(二)數據加密技術
1.數據加密技術的含義
所謂數據加密技術就是使用數字方法來重新組織數據,使得除了合法受者外,任何其他人想要恢復原先的「消息」是非常困難的。這種技術的目的是對傳輸中的數據流加密,常用的方式有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路採用不同的加密密鑰提供安全保護。後者則指信息由發送者端通過專用的加密軟體,採用某種加密技術對所發送文件進行加密,把明文(也即原文)加密成密文(加密後的文件,這些文件內容是一些看不懂的代碼),然後進入TCP/IP數據包封裝穿過互聯網,當這些信息一旦到達目的地,將由收件人運用相應的密鑰進行解密,使密文恢復成為可讀數據明文。
2.常用的數據加密技術
目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用一個密鑰進行加密和解密,非對稱加密技術就是加密和解密所用的密鑰不一樣,它有一對密鑰,分別稱為「公鑰」和「私鑰」,這兩個密鑰必須配對使用,也就是說用公鑰加密的文件必須用相應人的私鑰才能解密,反之亦然。
3.數據加密技術的發展現狀
在網路傳輸中,加密技術是一種效率高而又靈活的安全手段,值得在企業網路中加以推廣。目前,加密演算法有多種,大多源於美國,但是會受到美國出口管製法的限制。現在金融系統和商界普遍使用的演算法是美國的數據加密標准DES。近幾年來我國對加密演算法的研究主要集中在密碼強度分析和實用化研究上。
(三)訪問控制
1.身份驗證
身份驗證是一致性驗證的一種,驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據、驗證系統和安全要求。身份驗證技術是在計算機中最早應用的安全技術,現在也仍在廣泛應用,它是互聯網信息安全的第一道屏障。
2.存取控制
存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網路安全理論的重要方面,主要包括人員限制、數據標識、許可權控制、類型控制和風險分析。存取控制也是最早採用的安全技術之一,它一般與身份驗證技術一起使用,賦予不同身份的用戶以不同的操作許可權,以實現不同安全級別的信息分級管理。
三、常見網路攻擊方法及對策
網路中的安全漏洞無處不在。即便舊的安全漏洞補上了,新的安全漏洞又將不斷涌現。網路攻擊正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊。
(一)網路攻擊的步驟
1.隱藏自己的位置
普通攻擊者都會利用別人的電腦隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP,然後再盜用他人的帳號上網。
2.尋找目標主機並分析目標主機
攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地址,域名是為了便於記憶主機的IP地址而另起的名字,只要利用域名和IP地址就可以順利地找到目標主機。此時,攻擊者們會使用一些掃描器工具,輕松獲取目標主機運行的是哪種操作系統的哪個版本,系統有哪些帳戶,WWW、FTP、Telnet、SMTP等伺服器程序是何種版本等資料,為入侵作好充分的准備。
3.獲取帳號和密碼,登錄主機
攻擊者要想入侵一台主機,首先要有該主機的一個帳號和密碼,否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶文件,進行破解,從中獲取某用戶的帳戶和口令,再尋覓合適時機以此身份進入主機。當然,利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。
4.獲得控制權
攻擊者們用FTP、Telnet等工具利用系統漏洞進入目標主機系統獲得控制權之後,就會做兩件事:清除記錄和留下後門。他會更改某些系統設置、在系統中置入特洛伊木馬或其他一些遠程操縱程序,以便日後可以不被覺察地再次進入系統。大多數後門程序是預先編譯好的,只需要想辦法修改時間和許可權就可以使用了,甚至新文件的大小都和原文件一模一樣。攻擊者一般會使用rep傳遞這些文件,以便不留下FTB記錄。清除日誌、刪除拷貝的文件等手段來隱藏自己的蹤跡之後,攻擊者就開始下一步的行動。
5.竊取網路資源和特權
攻擊者找到攻擊目標後,會繼續下一步的攻擊。如:下載敏感信息;實施竊取帳號密碼、信用卡號等經濟偷竊;使網路癱瘓。
(二)網路攻擊的常見方法
1.口令入侵
所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然後再進行合法用戶口令的破譯。
2.放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或者執行了這些程序之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到網際網路上時,這個程序就會通知攻擊者,來報告您的IP地址以及預先設定的埠。攻擊者在收到這些信息後,再利用這個潛伏在其中的程序,就可以任意地修改你的計算機的參數設定、復制文件、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
3.WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麼黑客就可以達到欺騙的目的了。
Ⅱ 數據加密技術有什麼意義嗎
現在,大家都有一個習慣,不論是個人還是企業都會把大量數據存儲在網路上,有了數據加密技術,就能夠始終數據的安全性、完整性、保護用戶隱私,企業的任何信息都不會輕易被泄露出去,從而讓自己遭受不同程度的經濟損失。你看你需要什麼類型的加密軟體,億賽通企業有很多類型,比如全磁碟加密系統(簡稱:DiskSec)、電子文檔安全管理系統(簡稱CDG)、涉密文檔管理系統(簡稱:CDMS)等多種加密軟體,可以選擇最適合公司的加密產品。
Ⅲ 大家都知道的加密演算法有什麼意義
摩斯密碼其實不是密碼,是把字母和符號轉化為二進制符號,點,劃,通過電信號的通斷傳播出去。只有這樣才能通過發報機把復雜的信息傳播出去。我們目前使用的電腦,電視,手機等電子設備的底層設計採用的仍是它的變形。
加密演算法有一定的規則性,加密原則很多人都知道,但關鍵在於你要知道密匙才能直接解開。最簡單的編碼是把字母按順序轉為數字,a1b2c3.。。。在這個基礎上編碼加n就是最簡單的密碼,這個n就是密匙,如果你不知道n=1或是某函數時,你就要花時間破解,當n越趨於復雜時,破解花費的精力就越多。理論上講,只要有足夠時間,任何密碼都可以被破譯掉。我們能做的是使這個時間足夠長,長到足以保護這個秘密,所以n就需要不時變化,避免被發現規律而被破譯。
Ⅳ 加密技術是指什麼
加密其實就是通過一些特殊的手段或方式,使原本可以直觀看到的東西增加了高級防護的措施。
例如一般的文件加密,通常是加了層密碼保護。
密碼加密,就是給原有密碼增加一種轉換模式,就有點像電報一樣,經過固定的演算法把原來的密碼轉化成其他的代碼,即便給你看了你也不知道他原來是什麼。
Ⅳ 信息加密的意義
信息加密技術是利用數學或物理手段,對電子信息在傳輸過程中和存儲體內進行保護,以防止泄漏的技術。保密通信,計算機密鑰,防復制軟盤 等都屬於信息加密技術。通信過程中的加密主要是採用密碼,在數字通信中可利用計算機採用加密法,改變負載信息的數碼結構。計算機信息保護則以軟體加密為主。目前世界上最流行的幾種加密體制和加密演算法有:RSA演算法和CCEP演算法等。為防止破密,加密軟體還常採用硬體加密和加密軟盤。一些軟體商品常帶有一種小的硬卡,這就是硬體加密措施。在軟盤上用激光穿 孔,使軟體的存儲區有不為人所知的局部存壞,就可以防止非法復制。這樣的加密軟盤可以為不掌握加密技術的人員使用,以保護軟體。由於計算機軟體的非法復制,解密及盜版問題日益嚴重,甚至引發國際爭端,因此對信息加密技術和加密手段的研究與開發,受到各國計算機界的重視,發展日新月異。
Ⅵ 安全加密技術的演算法的含義是什麼具體有些什麼方法請舉例說明
加密就是對原來為明文的文件或數據按某種演算法進行處理,使其成為不可讀的一段代碼,通常稱為「密文」,使其只能在輸入相應的密鑰之後才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。
加密過程的逆過程為解密,即將該密文信息轉化為其原來可讀的明文。
對稱式加密就是加密和解密使用同一個密鑰,通常稱之為「Session Key 」這種加密技術目前被廣泛採用,如美國政府所採用的DES加密標准就是一種典型的「對稱式」加密法,它的Session Key長度為56Bits。
非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為「公鑰」和「私鑰」,它們兩個必需配對使用,否則不能打開加密文件。這里的「公鑰」是指可以對外公布的,「私鑰」則不能,只能由持有人一個人知道。它的優越性就在這里,因為對稱式的加密方法如果是在網路上傳輸加密文件就很難把密鑰告訴對方,不管用什麼方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰,且其中的「公鑰」是可以公開的,也就不怕別人知道,收件人解密時只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。
Ⅶ 簡述對稱加密演算法的基本原理
對稱加密是計算機加密領域最古老也是最經典的加密標准。雖然對稱加密被認為不再是安全的加密方式,但是直到現在,還看不到它被淘汰的跡象。在很多非網路化的加密環境中,對稱加密足以滿足人們的需要。
對稱加密採用單密鑰加密方式,不論是加密還是解密都是用同一個密鑰,即「一把鑰匙開一把鎖」。對稱加密的好處在於操作簡單、管理方便、速度快。它的缺點在於密鑰在網路傳輸中容易被竊聽,每個密鑰只能應用一次,對密鑰管理造成了困難。對稱加密的實現形式和加密演算法的公開性使它依賴於密鑰的安全性,而不是演算法的安全性。
一個對稱加密系統由五個部分組成,可以表述為
S={M,C,K,E,D}
各字母的含義如下:
M:明文空間,所有明文的集合。
C:密文空間,全體密文的集合。
K:密鑰空間,全體密鑰的集合。
E:加密演算法。
D:解密演算法。
Ⅷ 什麼是SSL加密技術
SSL是Netscape公司所提出的安全保密協議,在瀏覽器(如Internet Explorer、Netscape Navigator)和Web伺服器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之間構造安全通道來進行數據傳輸,SSL運行在TCP/IP層之上、應用層之下,為應用程序提供加密數據通道,它採用了RC4、MD5以及RSA等加密演算法,使用40 位的密鑰,適用於商業信息的加密。
SSL加密並不保護數據中心本身,而是確保了SSL加密設備的數據中心安全,可以監控企業中來往於數據中心的最終用戶流量。從某個角度來看,數據中心管理員可以放心將加密裝置放在某個地方,需要使用時再進行應用,數據中心應該會有更合理的方法來應對利用SSL的惡意攻擊,需要找到SSL加密應用的最佳實踐。