試論應(yīng)用密碼技術(shù)安全策略

1、試論應(yīng)用密碼技術(shù)安全策論文摘要：網(wǎng)絡(luò)安全的根本目的是防止通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)男?息被非法使用。信息和數(shù)據(jù)安全的范圍要比計(jì)算機(jī)安全和網(wǎng)絡(luò)安全更為廣泛，它 包括了信息系統(tǒng)中從信息的產(chǎn)生直到信息的應(yīng)用這一全部過(guò)程。密碼技術(shù)是保護(hù) 計(jì)算機(jī)信息安全的主要手段之一，使用密碼技術(shù)可以保證信息的機(jī)密性，還可以 保證信息的完整性和確定性，防止信息被篡改、偽造和假sl論文關(guān)鍵詞：網(wǎng)絡(luò)；信息安全；密碼技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的兩個(gè)基木需求是保密性和完整性。密碼技術(shù)是網(wǎng)絡(luò) 安全通信的基礎(chǔ)，通過(guò)對(duì)通信內(nèi)容進(jìn)行加密變換，使未授權(quán)者不能理解其真實(shí)含 義，以防止竊聽(tīng)等被動(dòng)性攻擊，保證信息的保密性；應(yīng)用密碼體制的認(rèn)證機(jī)制， 可以

2、防止篡改、意外破壞等對(duì)傳輸信息的主動(dòng)性攻擊，以維護(hù)數(shù)據(jù)的完整性。保 密和認(rèn)證是信息系統(tǒng)安全的兩個(gè)重要方而，但是認(rèn)證不能自動(dòng)提供保密性，而保 密也不能提供認(rèn)證機(jī)制。密碼設(shè)計(jì)的基本思想是偽裝信息，使未授權(quán)者不能理解 它的真正含義，未隱藏的信息稱(chēng)為明文(plaintext),偽裝后的信息稱(chēng)為密文 (ciphetrext)。構(gòu)成一個(gè)密碼體制的兩個(gè)基木要素是密碼算法和密鑰(key)。在設(shè) 計(jì)密碼系統(tǒng)時(shí)，總是假定密碼算法是公開(kāi)的，真正需要保密的是密鑰?；诿艽a技術(shù)的訪問(wèn)控制是防止數(shù)據(jù)傳輸泄密的主要防護(hù)手段。訪問(wèn)控制 的類(lèi)型可分為兩類(lèi)：初始保護(hù)和持續(xù)保護(hù)。初始保護(hù)只在入口處檢查存取控制權(quán) 限，一旦被獲準(zhǔn)，則

3、此后的一切操作都不在安全機(jī)制控制之下。防火墻提供的就 是初如保護(hù)。連續(xù)保護(hù)指在網(wǎng)絡(luò)屮的入口及數(shù)據(jù)傳輸過(guò)程屮都受到存取權(quán)限的檢 查，這是為了防止監(jiān)聽(tīng)、重發(fā)和篡改鏈路上的數(shù)據(jù)來(lái)竊取對(duì)主機(jī)的存取控制。由 于網(wǎng)絡(luò)是一個(gè)開(kāi)放式系統(tǒng)，使得加密變得不僅對(duì)femail, iru.a對(duì)于網(wǎng)絡(luò)通信 都很重要。1電子郵件安全與pgppgp是由美國(guó)的philpzimmermann設(shè)計(jì)的一種電子郵件安全軟件，口前已 在網(wǎng)絡(luò)上廣泛傳播，擁有眾多的用戶(hù)。pgp是一個(gè)免費(fèi)軟件，并且其設(shè)計(jì)思想和 程序源代碼都公開(kāi)，經(jīng)過(guò)不斷的改進(jìn)，其安全性逐漸為人們所依賴(lài)。pgp在電子郵件發(fā)送之前對(duì)郵件文本進(jìn)行加密，由于一般是離線工作，所 以也

4、可以對(duì)文件等其他信息進(jìn)行加密opgp'p采用了公鑰和對(duì)稱(chēng)密碼技術(shù)和單向 hash函數(shù)，它實(shí)現(xiàn)的安全機(jī)制有：數(shù)字簽名、密鑰管理、加密和完整性，它主 要為電子郵件捉供以下安全服務(wù)：保密性；信息來(lái)源證明；信息完整性；信息來(lái) 源的無(wú)法否認(rèn)。pgp采用密文反饋(cfb)模式的idea對(duì)信息進(jìn)行加密，每次加密都產(chǎn)生 一個(gè)臨吋128比特的隨機(jī)加密密鑰，用這個(gè)隨機(jī)密鑰和idea算法加密信息，然 后pgp還要利用rsa算法和收信人的公開(kāi)密鑰對(duì)該隨機(jī)加密密鑰進(jìn)行加密保 護(hù)。收信人在收到加密過(guò)的電子郵件后，首先用自己的rsa私冇密鑰解密出 idea隨機(jī)加密密鑰，再用這個(gè)idea密鑰對(duì)電了郵件的內(nèi)容進(jìn)行解密。

5、密鑰長(zhǎng) 度為128位的idea算法在加密速度和保密強(qiáng)度方面都比56位密鑰的des算法 要好，而且pgp采用的cfb模式的idea,更增強(qiáng)了它的抗密碼分析能力。另 外由于每次加密郵件內(nèi)容的密鑰是臨時(shí)隨機(jī)產(chǎn)生的即使破譯了一個(gè)郵件，也不會(huì) 對(duì)其他郵件造成威脅。pgp的基本操作模式是用idea作為信息加密算法，它可 以提高加密、解密速度和增強(qiáng)保密性，同時(shí)對(duì)較短的隨機(jī)密鑰用較慢的rsa算 法進(jìn)行保護(hù)，以方便密鑰管理。pgp數(shù)字簽名采用了 md5單向hash函數(shù)和rsa公鑰密碼算法。要?jiǎng)?chuàng)建 一個(gè)數(shù)字簽名,首先要用md5算法生成信息的認(rèn)證碼(mac),再用發(fā)信人的rsa 私有密鑰對(duì)此mac進(jìn)行加密，最后將加

6、密過(guò)的mac附在信息后而。mac值的 產(chǎn)生和檢查就是pgp的完整性保護(hù)機(jī)制。pgp采用分散的認(rèn)證管理，每個(gè)用戶(hù)的id、rsa公開(kāi)密鑰和此公開(kāi)密鑰 生成的吋戳構(gòu)成了這個(gè)用戶(hù)的身份證書(shū)。如果一個(gè)用戶(hù)獲得了 一份被他所信任的 朋友或機(jī)構(gòu)簽名過(guò)的證書(shū)，他就可以信任這個(gè)證書(shū)并使用其中的公開(kāi)密鑰與此證 書(shū)的主人進(jìn)行加密通信。如果愿意，他也可以對(duì)這份證書(shū)簽名使信任他的朋友也 能信任和使用這份證書(shū)。pgp就是采用這種分散模式的公證機(jī)構(gòu)傳遞對(duì)證書(shū)的信 任，以實(shí)現(xiàn)信息來(lái)源的不可否認(rèn)服務(wù)。pgp的密鑰管理也是分散的，每個(gè)人產(chǎn)生自己的rsa公開(kāi)密鑰和私有密 鑰對(duì)。目前pgp的rsa密鑰和k度有3種普通級(jí)(384位)、

7、商用級(jí)(512位)、軍 用級(jí)（1024位）。長(zhǎng)度越長(zhǎng)，保密性越強(qiáng)，但加懈密速度也就越慢。2www安全中的密碼技術(shù)采用超文本鏈接和超文本傳輸協(xié)議（htrp）技術(shù)的www是因特網(wǎng)上發(fā)展最 為迅速的網(wǎng)絡(luò)信息服務(wù)技術(shù)，各種實(shí)際的因特網(wǎng)應(yīng)用，如電子商務(wù)等大多數(shù)是以 www技術(shù)為平臺(tái)，但是www上的安全問(wèn)題也是非常嚴(yán)重的。目前，解決www 安全的技術(shù)主要冇兩種：安全套接字層ssl和安全htyp協(xié)議。2. 1sslssl是netscape公司提出的建立在tcp / ip協(xié)議之上的提供客戶(hù)機(jī)和服 務(wù)器雙方網(wǎng)絡(luò)應(yīng)用通信的開(kāi)放i辦議，它由ssl記錄辦議和ssl握手協(xié)議組成， 建立在應(yīng)用層和傳輸層z間且獨(dú)立于應(yīng)用層

8、協(xié)議。和確定性。ssl握手協(xié)議在ssl記錄協(xié)議發(fā)送數(shù)據(jù)之前建立安全機(jī)制，包括 認(rèn)證、數(shù)據(jù)加密和數(shù)據(jù)完整性。ssl握手協(xié)議開(kāi)始的起點(diǎn)是客戶(hù)機(jī)知道服務(wù)器的 公鑰，它通過(guò)服務(wù)器的公鑰加密向服務(wù)器傳送一個(gè)主密鑰，公鑰加密算法可以是 rsa、dififehellman或fohezzakea。客戶(hù)機(jī)和服務(wù)器分別根據(jù)這個(gè)主密鑰 計(jì)算出它們z間進(jìn)行數(shù)據(jù)加密通信的一次性會(huì)話密鑰這樣會(huì)話密鑰就永遠(yuǎn)不需 要在通信信道上傳輸。客戶(hù)機(jī)和服務(wù)器使用這對(duì)會(huì)話密鑰在一個(gè)連接中按des、 rc2 / rc4或idea算法進(jìn)行數(shù)據(jù)加密，此連接用connectionid和與此相 關(guān)的會(huì)話密鑰作廢。所以每個(gè)連接都有不同的connec

9、tionid和會(huì)話密鑰。 由于主密鑰不直接參與加密數(shù)據(jù)，只在客戶(hù)機(jī)與服務(wù)器建立第一次連接時(shí)傳送 （同時(shí)產(chǎn)生一個(gè)sessionid）,它的生存期與sessionid有關(guān)。推薦的 sessionid在通信雙方的cache（高速緩沖區(qū)）中保存的時(shí)間不犬于100秒，這 樣主密鑰被泄漏的機(jī)會(huì)很小。ssl握手協(xié)議規(guī)定每次連接必須進(jìn)行服務(wù)器認(rèn)證，方法是客戶(hù)機(jī)向服務(wù)器 發(fā)送一個(gè)挑戰(zhàn)數(shù)據(jù)，而服務(wù)器用本次連接雙方所共享的會(huì)話密鑰加密這個(gè)挑戰(zhàn)數(shù) 據(jù)后送回客戶(hù)機(jī)。服務(wù)器也可以請(qǐng)求客戶(hù)機(jī)的認(rèn)證，方法與服務(wù)器認(rèn)證一樣。ssl 記錄協(xié)議定義了 ssl握手協(xié)議和應(yīng)用層協(xié)議數(shù)據(jù)傳送的格式，并用md2 / md5 算法產(chǎn)生被封裝

10、數(shù)據(jù)的mac,以保證數(shù)據(jù)的完整性。總之，ssl協(xié)議針對(duì)網(wǎng)絡(luò)連接的安全性，利用數(shù)據(jù)加密、完整性交換認(rèn)證、 公證機(jī)構(gòu)等機(jī)制，實(shí)現(xiàn)了對(duì)等實(shí)體認(rèn)證、連接的保密性、數(shù)據(jù)完整性、數(shù)據(jù)源點(diǎn) 認(rèn)證等安全服務(wù)。2. 2shttpshttp是有eit公司提出的增強(qiáng)gttp安全的一種新協(xié)議，shttp定義 了一個(gè)新方法 secure 和幾個(gè)新報(bào)文頭如 con一tent一privacy一domain、content transferencoding prearranged-key一info> content一type mac一info 等。 http報(bào)文貝0以pkcs 7或pem報(bào)文格式成為shti'

11、p的報(bào)文體，從而獲 得了這兩種安全增強(qiáng)型報(bào)文標(biāo)準(zhǔn)在數(shù)據(jù)加密、數(shù)字簽名、完整性等方面的保護(hù)。 shtrp還定義了新的報(bào)文頭、可重試的服務(wù)器狀態(tài)錯(cuò)誤報(bào)告、新的html 元素和anchor屈性，使客戶(hù)機(jī)和服務(wù)器能夠通過(guò)對(duì)等的協(xié)商，在報(bào)文格式、認(rèn) 證方式、密鑰管理、簽名算法、加密算法和模式等方面達(dá)成一致，從而保證一次 安全事務(wù)通信。shtip所保護(hù)的是一次htrp請(qǐng)求/應(yīng)答協(xié)議的報(bào)文，而h, iti' p連接 是一種無(wú)狀態(tài)的連接，所以shti' p采用pkcs - 7或pem作為增強(qiáng)報(bào)文安全 的主要手段。在數(shù)據(jù)加密方而，shttp支持的對(duì)稱(chēng)加密算法有des、desx、cdmf、idea和rc2。數(shù)字簽 名算法冇rsa和nist的數(shù)字簽名標(biāo)準(zhǔn)(dss),數(shù)據(jù)完整性保護(hù)采用rsa的md2 / md5和nist的安全hash標(biāo)準(zhǔn)(shs)。支持的認(rèn)證類(lèi)型為x. 509,從而為h1tp 的安全提供了對(duì)等實(shí)體認(rèn)證選擇字段的保密性、數(shù)據(jù)完整性、數(shù)拯來(lái)源認(rèn)證和 防止否認(rèn)等服務(wù)。3結(jié)語(yǔ)網(wǎng)絡(luò)信息的安全作為一項(xiàng)動(dòng)態(tài)工程，它的安全程度會(huì)隨著時(shí)間的變化而發(fā) 生變化。通過(guò)應(yīng)用密碼技術(shù)不僅保證了網(wǎng)絡(luò)信息的安全，還可以保證信息的完整 性英他參考文獻(xiàn)口熊飛木量利分析方法在高校成木核算屮的應(yīng)用j會(huì)計(jì)之友2任婷,石芬芳.高校成本管理研究綜述j.武漢職業(yè)技術(shù)學(xué)院學(xué)報(bào)3萬(wàn)楚軍高校成本性態(tài)分析與管理j荊州師范學(xué)院