网络签名范文

时间:2023-04-06 05:48:40

导语:如何才能写好一篇网络签名,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络签名

篇1

接过那只水桶

小柯刚任职的公司,为了方便工作,都统一用“飞秋”聊天工具。小柯把自己的“飞秋”签名设为了一句话:“接过那只水桶。”这句话是小柯一直很喜欢的一句话,出处是二战时美国杜鲁门总统,据说贴在杜鲁门总统办公室墙上。这句话的意思是,所有的麻烦传到自己这儿就不会再传给别人了,自己就会解决这个麻烦。而小柯确实也是按这句话的意思去做,所有同事交给小柯去干的活,小柯都是很认真的去干,就连不是自己的份内之事,小柯只要有空都会去帮同事完成。

三个月的试用期过去以后,人力资源部找到小柯通知他转正时,特地告诉他,他的工资比当初商定的高三百块钱,而原因则是老板对他这三个月的试用期非常满意,因此决定给他加薪三百块钱,而人事也偷偷地告诉了小柯,这在公司创办以来还是很少出现的情况。

小柯却不明白为什么老板会这么欣赏自己,在三个月时间里,小柯和老板只是见过三次面,连话都没说,老板怎么会欣赏自己呢?在公司的时间长了小柯才明白了其中的原因,原来是“飞秋”上签名的那句话起了很大的作用,据说老板也很欣赏这句话,也明白这句话的出处,同时老板侧面了解到同事们对小柯评价很不错,因此决定给小柯加薪三百。

二百字的签名

李华是一家广告公司的高级策划,由于工作的需要,李华需要经常和项目经理在MSN上谈一些关于工作的进度及客户要求的事。

可是让李华郁闷的是,最近经理和李华在MSN上聊天时,总是慢一拍甚至不回信,而这也直接影响了李华的工作,影响了李华对客户要求的回应。毕竟客户的要求对李华的策划也是很重要的一部分,只有详细了解了客户的要求才能设计出真正好的方案。

可是经理的态度却让李华很是不解,为什么经理会不回复,而且似乎对自己很有意见。可是李华又不好意思去问,有好几次由于经理没有把客户的要求完整的说给李华,导致了李华的设计出现了偏差。

过了一个月李华实在忍不住了,到了经理办公室说明了问题,经理一句话也没有说,只是打开了MSN,李华这才明白了原因:原来自己一个月前设的MSN签名有二百字,而聊天的时候,这些签名内容基本把聊天内容遮挡了,要费好大劲才能看到内容,更要命的是签名内容是李华一个网站上抄来的,大意是说广告公司的设计师做的活多却拿的钱少。

李华这才明白这一切都是自己的错,可是已经晚了,这一条签名所有的人都看到了,而以前很看重李华的老板也对李华开始冷淡起来。半年后,李华辞职去另找工作。

一日N变的签名

阿雅在一家公司里做会计,公司里好多同事都是通过QQ来沟通工作。

由于阿雅的工作都是在月底的时候比较忙,其它时间都是比较清闲,但由于不能上外网,阿雅只能和朋友聊聊QQ,阿雅很喜欢看一些笑话,而每当阿雅看到搞笑的段子都会发到QQ签名上,因此阿雅的QQ签名一天会换十几次。

本来这样的工作也算轻松自在,可是有一天阿雅却接到老板通知:以后办公室的卫生也由阿雅来打扫,阿雅很不服气,为什么不请清洁工而是由自己来打扫?老板说道,你的工作比较轻松,为了节约公司开支,因此决定由阿雅来打扫。

阿雅更生气了,凭什么说自己工作就轻松,自己忙碌的时候老板怎么不说呢?阿雅据理力争,可是老板却说道,如果工作忙,QQ签名怎么会一天换几十次呢?尽管老板的判断可能有些片面,但阿雅却无可辩驳,只有接受打扫办公室的工作,毕竟要想再找这样一份轻松的工作是没有那么容易的。

篇2

关键词:身份认证;RSA签名;Windows;CryptoAPI

1引言

在以WEB形式提供服务的系统中,用户的身份鉴别至关重要,它是维护系统安全不可或缺的重要环节,决定了系统的后续动作。任何安全系统的实现都需要针对威胁等级和所要保护的信息的重要性,结合自身能力选择恰当的方案。当前流行的是采用用户名和密码(口令)登录的传统方式,其优点是用户易于接受、易于使用、成本低廉、不必再对基础设施进行投入即可得到基本的安全保障,只需简单的软件就可达到目的,因此得到了广泛的应用。

这种方式所面临的威胁主要是网络窃听、中间人攻击。用户密码若以明文在网络上传输极易被恶意攻击者窃取。例如:在共享式非交换网络中,各种网络监控软件可轻易截获网络传输的数据;交换式网络本来被窃听的可能性很小,但随着Dsniff的出现、ARP欺骗威胁的日益现实,也面临着同样的问题。用户密码历来是安全系统被攻击的首选目标,一旦泄漏会直接威胁到系统的正常运转。因此,大多数对安全性要求较高的应用,一般均在传输密码前先对其进行加密(利用DES、Rijndael等算法)。不过,这种方法仍然无法完全避免被窃听的危害,暴力攻击仍然是可能的,对弱口令更是如此。

如果采用了妥善的密码策略,则窃听造成的危害等级就会有明显下降。但是安全系统的安全性与易用性之间的平衡点很难掌握。试想如果被要求每半个月更换一次密码且不能与以前20个密码重复,用户会有怎样的反应呢?而且,更现实、更严重的威胁是中间人攻击。当前已有大量实例显示通过冒险的服务站点骗取用户信息并不难,大多数用户在享受网络的方便、快捷时很少考虑安全问题。屡见不鲜的个人信用卡资料被盗就是最有力的证据。

2公开密钥算法验证方案

公开密钥算法发展至今,已经成为密码学的一个重要组成部分。而最著名、应用最广泛的当属RSA算法,以至于一提公开密钥算法一般都是指RSA算法。RSA算法提供两种密钥――公开密钥和私有密钥。在RSA算法中,用公开密钥加密数据,用私有密钥进行解密实现普通的加密。但是,同样可以使用私有密钥加密而用公开密钥解密。这个特性使得RSA可以用作签名算法。发送方传送文件时,同时传送对文件摘要的RSA签名;接受方用同样的算法计算文件摘要,使用发送方的公开密钥解密签名,比较其是否一致即可鉴别文件是否是伪造的。

可考虑采用公开密钥算法进行数字签名来实现WEB站点的身份验证。用户申请服务时,主机产生一随机字符串发送给用户,用户用自己的私钥对该字符串签名并传回主机,随后主机使用该用户的公钥验证用户身份。

验证服务器给出随机字符串,客户对字符串进行数字签名,验证服务器验证签名的有效性,验证通过,客户得到要求的服务。

由于整个签名过程避免了用户私钥在网络上传输,从而杜绝了窃听的可能。对于中间人攻击,发起攻击的人只能得到用户名、随机字符串及其密文,破译出用户私钥的难度极大,以至于不值得或无法实现。即使有人发起选择密文攻击,由于此方案的特点――验证服务器自己保管用户的公钥,事实上用户的公钥也是保密的,他也无法获得用户私钥。若再加上适当的用户响应时间限制则安全性更好。从而,此方案实现了比传统方式更好的安全性,虽仍不及其他更严格的身份鉴别协议完善,但可以方便地使用ASP、JSP实现,不需投入硬件设施,而且可以直接与所要保护的服务系统整合在一起,更适于要求综合考虑安全性、易用性、成本等因素的中小型网络系统应用。

3利用公开密钥算法RSA建立公/私钥系统

在诸多公开密钥算法中RSA算法被研究得最多,已非常成熟,在世界上许多地方已成为事实上的标准。而且其专利已到期,我们可以毫无障碍地使用。虽然随着技术的发展,它要求模数的位数越来越多(当前要求1024位,推荐1280位),导致加/解密速度缓慢,但对于局域网这样的应用,显然用不着如此之多的位数。因此,采用RSA算法是值得一试的。由于现在许多密码学教材都有关于RSA算法的详细内容,网上对RSA算法的原理及实现也有许多材料,例如:FLINT/C、GNU MP、Miracle等等,这里对RSA算法产生公/私钥的详细步骤不再赘述。

有一个很简便快捷的实现方法,就是利用Windows CryptoAPI函数建立用户公/私钥库。使用Windows CryptoAPI时,先调用CryptAcquireContext()函数连接加密服务程序,再配合CRYPT-EXPORTABLE参数调用CryptGenKey()创建密钥,最后调用CryptExportKey()函数输出密钥。如此可方便地产生自己的密钥库。

4结束语

上面给出的是利用RSA实现WEB站点的身份认证的一个初步构想。为把注意力集中于验证服务的原理上,程序设计中一些实际问题没有包括在内。实际上,在ASP脚本的编写过程中要十分注意安全性,对所有用户输入均应进行有效性验证。密钥在数据库的存储应该先用哈希摘要,再用对称加密算法加密。全部服务页面均应验证页面的上一页属性,以避免非法用户绕过身份检查。

参考文献

[1]王继林,等译.现代密码学理论与实践(英),Wenbo Mao.电子工业出版社,2004.

篇3

关键词:Ping命令 网络 维护

在网络的维护过程中ping命令是第一个必须掌握的DOS命令,它是用来检查网络是否通畅或者网络连接速度的命令。它所利用的原理是这样的:利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通,时延是多少。它内置于Windows系统的TCP/IP协议中,无需单独安装。Ping命令功能强大,通过它可以检测网络之间的连通性,或检测网络传输的不稳定性。

1、利用ping命令测试网卡及其配置

通过使用ping计算机的本地IP地址或ping127.0.0.1可直接检测计算机是否正确安装了网卡设备,网卡设备是否安装了TGP/IP协议,以及网卡是否正确配置了IP地址和子网掩码。具体使用形式是:ping本地IP地址或ping127.0.0.1。如果ping计算机本地IP地址成功,则会显示如下信息

Replay from 172.168.200.2 bytes=32 time10ms

Ping statistics for 172.168.200.2

Packets Sent=4 Received=4 Lost=0 0% loss

Approximate round trip times in milli-seconds

Minimum=0ms Maxiumu=1ms Average=0ms

说明网卡设备TCP/IP协议已正确安装。如果在MS-DOS方式下执行此命令显示内容为:Request timed out,则表明网卡安装或配置有问题。将网线断开再次执行此命令,如果显示正常,则说明本机使用的IP地址可能与另一台正在使用的机器IP地址重复了。如果仍然不正常,则表明本机网卡安装或配置有问题,需继续检查相关网络配置。反之,说明网卡的驱动程序正确,可能没有安装TCP/IP协议。这里的127.0.0.1是网卡的自带默认的IP地址,不论网卡中是否分配了IP地址,该地址都会存在,且在本地计算机中有效,在网络中无效。

2、Ping网关IP

假定网关IP为:172.168.6.1,则执行命令Ping 172.168.6.1。在MS-DOS方式下执行此命令,如果显示类似以下信息:

Reply from 172.168.6.1 bytes=32 time=9ms TTL=255

Ping statistics for 172.168.6.1

Packets Sent=4 Received=4 Lost=0

Approximate round trip times in milli-seconds

Minimum=1ms Maximum=9ms Average=5ms

则表明局域网中的网关路由器正在正常运行。不反之,则说明网关有问题。

3、Ping远程IP

这一命令可以检测本机能否正常访问Internet。比如本地电信运营商的IP地址为:202.102.48.141。在MS-DOS方式下执行命令:Ping 202.102.48.141,如果屏幕显示:

Reply from 202.102.48.141 bytes=32 time=33ms TTL=252

Reply from 202.102.48.141 bytes=32 time=21ms TTL=252

Reply from 202.102.48.141 bytes=32 time=5ms TTL=252

Reply from 202.102.48.141 bytes=32 time=6ms TTL=252

Ping statistics for 202.102.48.141

Packets Sent=4 Received=4 Lost=0 0% loss

Approximate round trip times in milli-seconds

Minimum=5ms Maximum=33ms Average=16ms

则表明运行正常,能够正常接入互联网。

反之,则表明主机文件(windows/host)存在问题。

4、利用ping测试局域网连接

在局域网内,计算机之间的相互连接联通情况可通过ping局域网内其它计算机或服务器计算机名或IP地址便可测试同一网络(或VLAN)的连接是否正常。具体有如下情形:

(1)检测IP地址和子网掩码设置是否正确

通过ping局域网内的计算机名或IP地址,如果没有pmg通,应着手检查本机的IP地址和子网掩码的设置是否正确,检查IP地址是否设置为同一网段内的IP地址,子网掩码设置合理、相一致。

(2)检测网络连接是否正确

如果局域网内计算机的IP地址和子网掩码设置正确,利用ping命令ping局域内的计算机名或IP地址仍不能成功,应着手对局域内的网络设备如交换机或Hub和通信传输介质-网线、接头等逐段检查、测试和排除。

5、ping命令常见的出错提示信息

(1)Request timed out

a.对方已关机,或者网络上根本没有这个地址:比如在上图中主机A中PING 192.168.0.7 ,或者主机B关机了,在主机A中PING 192.168.0.5 都会得到超时的信息。

b.对方与自己不在同一网段内,通过路由也无法找到对方,但有时对方确实是存在的,当然不存在也是返回超时的信息。

篇4

2、《高地》,作者是刘家成。

3、《狼烟北平》,作者是 陈国星。

4、《抗战狙击手》,作者是独孤手。

5、《雪亮军刀》,作者是 张磊。

6、《铁血》,作者是陈祖继。

7、《特战先驱》,作者是业余狙击手。

8、《祖上光荣》,作者是杨景标 。

9、《零炮楼》,作者是何群。

篇5

[关键词]网络 大学生 网络文化建设

[中图分类号] G641 [文献标识码] A [文章编号] 2095-3437(2013)14-0132-02

随着互联网的迅速普及及其新型媒体平台(飞信、微博等)技术的发展,大学生已成为网络社会的主要群体之一。而各个通信运营商大力推广的3G业务以及无线网络接入的兴起,是高校大学生的网络学习与生活更加的多元化,选择空间更加广阔,但是同时也产生了高校大学生管理部门如何正确引导大学生的正确的网络行为的心得问题与思考。

一、大学生网络文化建设的现状

(一)对学习与生活的影响

互联网作为新型的传播媒体,已经成为大学生学习知识、信息资源共享、交流思想和休闲娱乐的一个不可或缺的平台。网络对大学生的生活,学习和成长发挥着越来越重要的作用,然而,由于网络环境的复杂性以及缺乏有效的管理和保护,与网络有着频繁接触的大学生必然受到双重影响。互联网的应用已经进入大学生学习和生活的各个领域,涉及学习、工作、娱乐、购物、社交、应聘、旅游出行等。网络是一把双刃剑,有利有弊,关键在于大学生怎么利用。教育者和管理者也必须设计新的网络管理模式来引导大学生网络行为。

(二)常州大学网络文化建设调查

日前,常州大学几名学生联合作了一个以本校大学生上网及心态为主的随机调查。通过调查可以发现,网络如今已经成为了高校大学生一个重要的信息交流渠道和娱乐手段。在大学期间没有接触过网络的大学生已经没有了。而且网络正在对大学生的生活、学习和成长产生越来越重要的影响。调查结果显示,大部分大学生上网目的主要是娱乐、资讯和聊天交流,使用免费邮箱,而并非是学习功能。大部分学生的网络知识贫乏,不知道除了打游戏、聊天和看电影之外,通过网络还可以做什么。甚至有部分学生根本不知道网络上的“搜索引擎”及不会用电子邮箱。超过60%的学生表示自己的网络知识是通过网络和书籍上自学及向同学朋友请教得来的,很少是通过学校教育(计算机课、网络知识讲座等)得到的。此外,笔者作为我校石油工程专业大一班级的班主任,在以网络运用为主题的班会上,也发现大多数同学都对网络的学习功能特别是运用文献检索功能比较陌生,仅知道其影视音乐等娱乐功能。而且针对石油工程专业的自身特点,大多数同学还从未想到利用网络获取相关的专业知识学习视频,比如说钻井工程,采油工程等方面,更很少知道可以在网上浏览查阅学习资料、听讲座、做实验,与其他国内外高校的师生进行交流等。这意味着高校大学生网络知识教育方面还待加强、改进。如何科学引导高校大学生利用互联网的先进性,对自身进行能力学习和提高,这是亟待解决的一个课题。

二、网络对大学生的正面影响主要有以下几点

其一,网络学习模式拓宽视野,提高学习效率。

其二,有利于大学生培养发散性思维,拓宽思路和培养创新精神。

其三,网络提供的交互交流空间有利于缓解大学生心理压力。在网络上学生可以自主选择关注的信息,自由发表自己的观点以及轻松扮演各种社会角色,满足现实中难以实现的梦想。网络俨然已经成为大学生生活的有机组成部分,思维活跃的大学生更容易接受网络文化所传递的价值取向。

网络的双刃性也使它具有较强的负面影响。网络及新媒体传播方式的直接和便捷同时也使消极文化对大学生的渗透加剧。网络新媒体传播方式的直接使多种文化不加过滤地直接呈现在大学生眼前,特别是享乐主义、拜金主义、个人主义等消极文化在市场经济条件下被强化,又通过网络新媒体被放大,从而对大学生思想造成了更为强烈的侵蚀和冲击。

三、网络新媒体存在的负面影响主要有以下几点

其一,网络上涌出的大量不良信息容易造成尚未成熟稳定的大学生思想混乱,不利于学生的正确成长和树立各种价值观和人生观。

其二,自控力差的大学生容易沉溺于网络游戏、视频、聊天、交友等方面。

要科学引导高校大学生利用好网络的先进性,正确利用网络,抵制网络的不良影响及负面作用,防范措施不应是阻止大学生上网,而是要进行正确的引导和疏导,特别是思想上的正确引导,以做到防微杜渐,帮助学生树立正确的网络运用思想,真正把网络作为一个有效的学习工具和成长引擎而运用起来。鉴于此,把握新形势下大学生利用网络的心理动态和认识特点,对大学生进行有针对性的引导和教育是一个切实有效的办法。

四、网络对大学生产生负面影响使其产生网络依赖症主要有以下原因

其一,由于学生自控力不足以及自主时间的不合理利用。过多的自主时间,会使自控力差的学生将注意力转向学习之外的事物,从而导致成绩的不理想,学生往往会选择网络在虚拟世界中来找寻和满足自己的成就感。

其二,逃避现实中的压力。大学生面临诸如学习上的、情感上的多种压力,以及对未来发展的迷茫等都会造成大学生过大的心理负荷,沉迷网络这时往往就会成为大学生逃避现实和减压的手段。

其三,不得当的管理方法。当学生管理者的教诲与学生心理相冲突时,学生就会因为得不到承认而转向自主性更强的网络世界,却无法抵御随之而来的消极因素。

五、为引导大学生的正确网络行为,使其向着积极向上的方向发展,以促进大学生的健康成长,可以从以下三个方面入手

(一)加强对学生正确运用网络的思想引导,提高网络主体道德修养

由于网络作为一个最开放的媒体,联通全球,海量信息及新闻层出不穷,这也造成了各种信息良莠混杂,大学生作为一个情绪相对不稳定的群体,很容易误听误信而形成偏颇的观点,进而影响自身正确社会价值观的树立。这时,就需要对大学生上网进行正确的引导,加强他们对网络上的各种信息来源的鉴别能力。同时也可以搭建日常学生思想教育管理平台:可以考虑在QQ、飞信、人人网等学生喜欢交流、聚集、沟通的网络载体上建立一批具有组织结构的网上基层团支部,利用这些载体进行学生的日常管理教育开展工作,提高大学生网络主体的道德修养和政治素质修养。

(二)积极举办校园网络应用知识讲座和实践

根据高校大学生的兴趣所在,各高校职能和管理部门,可以在互联网上开展各种对大学生学习和生活大有裨益的活动。例如:图书馆可以举办互联网操作、网页制作、网络信息资源和文献检索(可与具体的专业课程学习相结合)、进行网上课程设计和多媒体软件制作展示、开设个人、班级网站和创办电子刊物等主题活动。针对学生提出的问题可以在网络上和大学生建立起平等的交流渠道,高校大学生可以利用网络学知识、活跃思维、陶冶情操、提高综合素质、丰富课余生活。在这里大学生的主体意识和参与意识都被极大地调动起来,构筑起网络环境下一种新型的教育者及管理者和大学生互动关系,使网络成为他们交流思想、发展个性、开拓创新的有益平台。

(三)正确认识到大学生是网络文化建设的一支重要力量,重视并发挥好大学生的作用

当代大学生是名副其实的互联网一代,他们是使用网络的主体人群,是一批信息通信新技术的率先使用者及创造者。无论新兴的苹果iphone手机还是平板电脑iPad,都可以看到大批大学生粉丝的身影。大学生以充满创造精神的网络文化实践,为互联网的发展注入了重要的力量。

总之,互联网的广泛应用深刻地影响着大学生核心价值观的培养,如何正确利用网络培养理工科大学生核心价值观,必然是网络时代我们必须持续思考和解决的问题。

[ 参 考 文 献 ]

[1] 严园,葛敏.网络对在校大学生素质影响的调查与研究――以江苏省26所高校的调查为例[J].中国建设教育,2011:1-2.

[2] 郭加书,陈涛,王鑫.切实加强大学生网络文明教育与行为引导[J].中国高等教育,2009,(23).

[3] 游敏.网络环境对大学生健康人格形成的影响探究[J].西安文理学院学报(社会科学版),2010,13(2).

[4] 毛剑,刘召利.论网络对大学生健康成长的影响及对策[J].中国科教创新导刊,2010,(29).

[5] 王栾生,李方.大学生上网情况调查报告[J].洛阳工学院学报社会版,2002,(1).

[6] 翁铁慧.准确把握“80后”的成长特点增强思想政治教育实效性[J].思想理论教育.2008,(19).

篇6

关键词:网络精神文明建设;问题;对策

什么是网络精神文明建设,是指网络社区的精神文明建设,既包括引导社会主义精神文明建设向网络社区的延伸和扩展,也包括网络社区中涉及教育科学文化和思想道德两方面的规范和引导,其目的在于探索一条既适合我国国情又符合网络发展特点的精神文明建设之路。当前网络精神文明建设在发展进程中存在不少问题,为搞好网络精神文明建设,必须找出存在问题,分析原因并提出相应对策。

一、当前网络精神文明建设存在的主要问题

自2008年中国文明网的一则主题为“开创网络精神文明建设的新时代”的消息以来,取得较大成效,但也存在一些问题。

1.网络精神文明建设队伍素质不高

“没有一大批政治素质高、业务能力强、具有信息网络知识、法律知识和管理能力的复合型人才,工作是很难做好的①”。问卷中② “你认为当前网络精神文明队伍存在的主要问题是?”26.3%的人认为是“网络技术水平不高”;25.63%的人认为是“网络监管责任不强”;30.3%的人认为是“理论水平不足,政治敏感度不够”。由此可见,网络精神文明队伍素质存在三方面的不足:

第一,理论水平不足,政治敏感度不够。网络监管人员是网络精神文明建设的重要力量,目前我国招聘网络监管人员的主要条件是计算机专业、或懂得计算机网络技术的人,对于是否具备一定的理论水平基本不做要求;部分认为网络思想政治教育是任何人都可以从事的工作,不需要具备理论或思想政治教育理论水平。这就造成了我国网络精神文明建设队伍出现的理论水平不足,政治敏感度不够的现状:不会运用的世界观和方法论预测问题、解决问题;政治敏感度不强、信息甄别能力弱、难以从庞大的信息库中发现问题。

第二,网络监管责任不强。从法律角度上讲,责任是一种义务,意味着使命和奉献。网络监管责任不强的具体表现是:(1)网络监管人员对未触及法律法规的行为视而不见,导致部分网络运营商或者网民跨越道德底线钻法律的空子。(2)网络监管人员在工作岗位上严格执行监管工作,但是工作之余对任何网络违法违规行为不予理会。(3)监管工作中立场不坚定、接受他人利益诱惑或本着“多一事不如少一事”的观念逃避困难,拈轻怕重。(4)监管工作以是否获得利益为出发点。例如,“博警”孙健以“滕州狼”事件中网络服务提供者和微博管理方存在的监管不力为由,将微博告至法院。网络监管责任不强是导致群众合法利益无法得到保障、网络监管不力的重要原因。

第三,网络技术水平不高。一般来说,网络犯罪分子基本上都有一定的网络技术水平,这就要求网络精神文明建设队伍具备同等甚至更高的网络技术水平。然而,当前我国网络精神文明建设队伍的网络技术水平还不高,主要表现在:(1)网络思想政治教育工作者的网络技术水平不高,不会运用网络来检索教育资料、开展网络教学活动。(2)网络监管人员的网络技术水平不高,不懂得用互联网软件来监督不良信息和不法行为,难以应付网络黑客攻击、保护网民隐私,据统计③,2013年1月1日至2月28日,中国境内有190万台电脑主机遭受了以美国为首的境外网络攻击,这足有表明当前我国网络监管人员的网络问题预测能力和防御技术不高,计算机网络技术难以与发达国家抗衡。提高网络精神文明建设队伍的网络技术水平,是促进我国网络技术发展,维护网络安全的必要手段。

2. 网络技术支撑不力

第一,网络安全技术支撑不力。我国网络安全研究起步晚、网络安全市场产品单一、功能简单、核心竞争力不强,且大部分网络安全设备需要进口,抗攻击能力弱。据报告①显示:仅2007年上半年,全国就有3500万台电脑遭病毒感染,不法分子在我们更新技术同时不断研制新病毒,即使是作为信息强国的美国,也同样受到黑客病毒的攻击,如2012年8月维基解密组织遭受黑客攻击事件。正如我国外交部发言人洪磊就韩国网络攻击事件所表述的:“网络安全是当前国际社会面临的共同挑战”④,要不断改进我国网络安全技术,才能维护社会的长治久安、保障人们安居乐业。

第二,网络实名制与隐私保护的平衡技术支撑不力。网络实名制自2000年开始实施,成功地降低了网络犯罪率,却导致个人隐私暴露。例如2011年12月21日,由于CSDN密码泄密导致天涯论坛,世纪佳缘、珍爱网、百合网等网站内容被曝光事件,警示我们,在平衡网络实名制与隐私保护方面还存在技术不力,今后不仅要对网络实名制立法,还要兼顾个人信息保护机制的完善,以防御上网地址、上网信息被不分子窃取或利用。

第三,网络不良信息的过滤技术支撑不力。目前我国最主要的信息过滤技术是URL过滤、内容分级过滤及关键词过滤。但此类过滤技术都存在缺陷。例如,URL过滤技术不会对图像搜索结果进行分类,若不法分子将不良文档信息放置图像文件中传送,便可轻易逃避URL的过滤,若不法分子设置多个域名或虚拟服务空间、不断地变更自己的URL也可躲避URL过滤,比如依依成人社区。内容分级过滤技术主要是通过网页作者的意愿来过滤不良信息,网络用户是无法介入的。

二、我国网络精神文明建设存在问题的原因分析

篇7

4月20日凌晨5点左右,广州某大学学生潘某在其单人宿舍被人杀害。案发当日,广州警方通过侦查,发现在校学生牛某有重大嫌疑。经审讯,牛某交代了他伙同他的初中同班同学林某、陈某绑架杀人的犯罪事实,并进一步交待出林某、陈某已逃往惠州老家的情况。

4月21日,广州市警方将嫌疑人资料转往惠州市公安机关。经惠州刑警多方侦查,逐渐掌握了两名嫌疑人的基本情况,其中林某在2000年的时候曾经改名,其父为惠州市某医院干部。4月22日,办案民警决定正面接触林父,希望以此为突破口,找到林某的下落。

林父对儿子的罪行痛心疾首,在林父的带领与配合下,警方在林某的家中将林某抓获。随后,根据林某提供的信息,于当日下午5时左右在另一犯罪嫌疑人陈某的女友家中将陈某抓获。

篇8

关键词:密钥管理;智能家居;本地认证;ZigBee;FPGA

中图分类号:TP393 文献标识码:A 文章编号:2095-1302(2013)09-0053-04

0 引 言

随着中国社会经济的持续迅猛发展,人们的生活水平不断提高,人们在住宅方面的观念也潜移默化,由原来的居住温饱逐渐地倾向于舒适和方便。在此背景下,智能家居产业如雨后春笋般蓬勃发展,蒸蒸日上,从概念到实际应用,正一步一步地走进我们的生活。智能家居的远程控制系统,让我们能够随时随地而轻松快捷地了解家庭状况,并且进行远程遥控,极大方便了我们的生活,吸引了大量消费者的眼球。然而,这种远程控制是否可靠,是否会被不法分子非法控制,这一系列的不安因素让许多用户望而止步。智能家居远程控制的安全性,直接或间接地关系到我们的生命财产安全,所以对智能家居的信息安全研究刻不容缓。

1 密钥管理技术发展

现代信息安全技术是基于密钥完成的,因此密钥的安全管理和分配是现代信息安全的重要基础。有效的密钥管理机制也是其他安全机制,如安全路由、安全定位、安全数据融合及针对特定攻击的解决方案等的基础。

密钥技术的发展,经历了一段曲折漫长的道路。1976年,Diffie、Hellman提出了著名的D-H密钥分发体制[1],第一次解决了不依赖秘密信道的密钥分发问题,但这种体制只能用于会话密钥的交换,而且不能抵抗中间人攻击(attack in the middle)。1978年,Kohnfelder提出了CA认证机构概念[2],采用密钥动态分发的管理体制,公钥以CA证书形式公布,用于解决密钥的规模化问题。1991年,相继出现了PGP、PEM,首次提出密钥由个人生成的分散式体系。各依赖方各自建立密钥环,将常用对方公钥储存在自己设备中。1996年,提出了SPKI解决方案[3]。PKI设立了证书授权中心机构(Certificate Authority,CA),证明公钥和标识的一体化,防止他人冒名;创立了多层CA架构,以解决密钥的规模化问题。PKI的另一进展是利用提供数字签名的功能,构建在线认证系统,从而大大推动了认证理论的发展。由于需要数据库的在线支持,应用效率不高,维护代价过高。

2001年,Boneh和Franklin利用Weil对理论[4],将标识作为公钥,私钥由密钥中心产生配发的新体制,实现了Shamir的基于标识密码(Identity Based Encryption,IBE)设想[5]。此方案将个体的唯一标识符或网络地址作为它的公钥,从而两通信方不需要交换私钥或公钥来解密和验证签名,也无需保存密钥目录,取消了依靠第三方证明的层次化CA机构链。但是,该方案仍然需要数据库的在线支持,同样效率不高。

2 矩阵密钥管理方案

智能家居的网路大部分都是无线传感网络(Wireless Sensor Networks,WSN),相对于传统有线网络,WSN的开放性使得网络更加地容易受到窃听、干扰等各种攻击[6]。有线网络的网络连接是相对固定的,具有确定的边界,攻击者必须物理地接入网络或经过物理边界,如防火墙和网关,才能进入到有线网络。通过对接入端口的管理可以有效地控制非法用户的接入。而无线网络则没有一个明确的防御边界。首先,无线网络的开放性带来了信息截取、未授权使用服务、恶意注入信息等一系列信息安全问题。其次,WSN节点大部分都是低端的处理器,它们的资源(包括存储容量、计算能力、通信带宽和距离等)极其有限。再者,WSN的网络容量非常庞大。鉴于以上特点,传统密钥管理方案并不适用于WSN。

本文在南相浩教授的组合公钥算法[7]的研究基础上,对算法进行改进,提出了一种矩阵密钥的认证方案。跟IBE一样,矩阵密钥算法也是基于身份标识的公钥算法,不需要第三方证明的CA机构链,但是,它不需要保留与用户相关的参数,只要保留少量的公共参数即可处理大量的公钥,无需数据库的支持。该算法以芯片级的储存能力处理大规模(比如1048)的公钥,非常适合应用于智能家居控制网络。

矩阵密钥管理体制的安全基础是椭圆曲线上的离散对数难题(Elliptic Curve Discrete Logarithm Problem, ECDLP),即对椭圆曲线上的点P,求Q=kP很容易,相反已知P和Q求k却非常的困难。

矩阵密钥管理体制在公开参数基础上建立公钥矩阵和私钥矩阵,采用散列映射函数将实体的标识映射为矩阵的行列坐标,将矩阵元素进行组合生成庞大的公钥与私钥。

2.1 椭圆曲线及其公开参数

由于本系统的有限域计算是在FPGA上实施的,考虑二进制有限域在硬件上比素数域实现更加地方便,本系统选取了F2m上的Koblitz椭圆曲线y2+xy=x3+ax2+b mod F。其中,F为约减多项式(在南相浩教授的组合公钥方案里,采用的是素数域[8])。确定椭圆曲线后,适当地选取曲线上的点G作为生成元,成为基点。基点G=(Gx,Gy)的所有倍点构成子群S={G, 2G, 3G, … ,(N-1)G, NG}。其中NG即O,N称为子群S的阶[9]。表明N是个殆素数(almost-prime),可以表示为N=h×n,其中n是个大素数,h是个小整数。椭圆曲线密码的公开参数组为T={a,b,G,N,m}。

按照NIST推荐,本系统参数选取见表1所列。椭圆曲线的计算可参见文献[9]。

2.2 私钥矩阵、公钥矩阵的构建

公钥矩阵为16×32的矩阵。矩阵中的16×32 个元素记为Xi,j(0≤i≤15,0≤j≤31)。它们都是子群S中的元素,即Xi,j= (xi,j, yi,j)∈S。公钥矩阵记为PSK,则:

私钥矩阵也是16×32矩阵,矩阵中的16×32 个元素记为ri,j(0≤i≤15,0≤j≤31)。私钥矩阵记为SSK,则:

公钥与私钥的对应关系为

2.3 基于标识的密钥的产生

密钥是根据实体标识产生的。每个实体都有一个唯一可以区分其他实体的标识,比如居民的身份证号。在网络中,每个节点都有一个网络地址,这地址在整个网络中是唯一的。我们首先对这个网络地址进行散列映射处理,使得标识更具有随机性。运算表达式如下:

(4)

identity为实体的标识,ID为标识的散列映射值。本系统中,HASH为SHA1算法,影射值为160位。从160位的ID中取出后128位,分割成32组,每组4位,每组依次为W0,W1, …,W31。计算公钥为:

2.4 密钥管理

本系统中,有一个设备来负责密钥的产生和发放,该设备叫密钥管理中心(Key Manage Center,KMC)。KMC首先选择系统的加密曲线参数以及基点,参数T={a,b,G,N,m}向网络公布。然后随机产生16×32的私钥矩阵。为了使每个不同的标识产生不同的私钥,文献[10]给出了优化方案。根据私钥矩阵和基点,计算出公钥矩阵。私钥矩阵由KMC秘密保留,公钥矩阵则公布。

当网络节点申请入网时,KMC根据节点的标识计算出节点的私钥,并通过安全信道告知节点私钥。公开参数和公钥矩阵则在公开信道告知。图1所示是其密钥管理方案示意图。

图1 密钥管理方案

两节点之间通信时,发送方用自己的私钥对消息进行签名,将消息和签名在公开信道上发送给目标节点。接收方接收到消息和签名时,先根据发送者的标识,从公钥矩阵中计算出接收者的公钥,从而进行消息的验证。此过程无需第三方的参与,减少了网络信息流量,提高了效率。

本方案支持海量节点的网络,以16×32密钥矩阵为例,几百Kb的容量就能支持1632=2128≈1039个节点。

3 数字签名协议

本系统签名协议采用椭圆曲线签名算法(Elliptic Curve Digital Signature Algorithm,ECDSA)。签名算法如算法1。其中,H为散列映射函数,m为待签名的消息,dA为发送者的私钥,QA为发送者的公钥。

算法1 ECDSA如下:

(1)签名过程:

1)选择整数k∈(0,n);

2)计算kG=(x1,y1),并将转换为整数x;

3)计算r=x mod n,如果r=0,则返回步骤1);

4)计算e=H(m);

5)计算s=k-1(e+dAr) mod n。若s=0,则跳至步骤1);

6)返回(r,s)。

(2)验证过程:

1)检查r,s是否是区间(0,n)内的整数,若任一个不成立则否认签名;

2)计算e=H(m);

3)计算w=s-1mod n;

4)计算u1=ew mod n,u2=rw mod n;

5)计算X=u1G+u2QA=(x0,y0);

6)若X=∞,则否认签名;

7)将x0转换为整数x,计算v= x mod n;

8)若v=r,则认可签名,否则否认签名。

签名验证的工作证明以及安全性证明详见文献[9]。

4 系统设计

本系统完成对智能家居控制网络通信的地址认证。本系统的家居控制网络由ZigBee网络构成。ZigBee网络是一种短距离、低功耗的无线通信技术,其近距离、低复杂度、自组织、低功耗、低数据速率、低成本等特点非常适合智能家居控制网络[11]。ZigBee节点的通信地址有64位的IEEE地址(也叫扩展地址,由设备商固化在设备中)和32位的网络地址(也叫短地址,加入网络后由协调器分配,每次加入网络可能都不同)。在试验中,我们采用扩展地址通信方式。本系统中网络通信认证主要是对地址真实性的认证,能够正确地识别数据的来源,避免消息的伪造。消息的签名和认证算法则由FPGA完成。ZigBee模块与FPGA之间通过SPI总线通信。其硬件设计框图见图2所示。

图2 硬件设计框图

ZigBee模块在发送消息m前,将消息发送给FPGA,FPGA完成对消息的签名,并将签名返回给ZigBee模块。之后,ZigBee模块在接收到后,将签名内容附属在消息后面,形成,并将这发送。当ZigBee模块接收到附带签名的消息后,将消息发送给FPGA进行处理。FPGA对消息进行验证,将验证结果返回给ZigBee模块。若消息验证成功,则交给用户进行下一步的处理,否则认为消息来源不可信,抛弃消息不予处理。

图3 软件流程图

FPGA签名和认证流程图如图3所示。FPGA模块有签名和验证两种模式,由ZigBee模块通知选择。在两种模式下分别进行ECDSA签名和ECDSA验证处理,将处理结果传送回ZigBee模块进行下一步处理。

5 实验结果分析

本次试验中,采用CC2530作为ZigbBee模块,签名认证算法由EP2C5T144CB完成,时钟频率为40 MHz。

发送方发送消息为“Hello!”,消息HASH值为表2中的HASH(m)。

发送方用自己的私钥dA对消息进行签名,得到消息签名r和s。

接收方收到带有签名的消息后,根据发送方的IEEE地址,通过公钥矩阵查询到发送方的公钥为坐标(QA_x,QA_y),经过ECDSA认证算法后得到v。

表2记录了实验数据。

分析实验数据表2可得v=r,根据认证算法接收该签名。本方案实现了对消息的签名和认证,提高了网络通信的可靠安全性。

6 结 语

本系统将基于标志认证的矩阵密钥算法应用到智能家居远程控制网络的真实性认证当中,实现了无需第三方的在线参与的本地认证,大大提高了认证效率。网络中的KMC只需要在设备加入网络时分配密钥,平时并不参与认证活动;网络中的各个终端节点,也只是增加一些算法的实现,以很小的代价实现了对家庭网络的地址认证,为建立安全可信任的网络打下了良好的基础,确保了网络通信间的安全可靠。

参 考 文 献

[1] DIFFIE W, HELLMAN M E. New directions in cryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6): 644–654.

[2] KOHNFELDER L M. Towards a practical public-key cryptosystem [D]. Cambridge, Massachusetts: Massachusetts Institute of Tech-nology, 1978.

[3] 肖凌, 李之棠. 公开密钥基础设施(PKI)结构[J].计算机工程与应用,2002(10): 163-251.

[4] BONEH D, FRANKLIN M K. Identity-based encryption from the Weil pairing [C]// Proceedings of the 21st Annual International Cryptology. Santa Barbara, CA, USA: CRYPTO, 2001: 213-229.

[5] SHAMIR A. Identity-based cryptosystems and signature

[6] 代航阳, 徐红兵.无线传感器网络(WSN)安全综述[J].

计算机应用研, 2002(7):12-22.

[7] 南相浩.CPK标识认证[M].北京:国防工业出版社,

2006.

[8] NAN Xiang-hao. CPK cryptosystem and identity authentication [M]. Beijing: Publishing House of Electronics Industry, 2012.

[9] HANKERSON D, MENEZES A J, VANSTON S. Guide to Elliptic Curve Cryptography [M]. New York: Springer-Verlag, 2003.

篇9

[关键词]网络安全;防火墙技术;生物识别技术;数字签名技术。

近年来,随着互联网技术的进步,电子商务迅猛发展,银行转账、网上购物等电子商务应用也越来越多地出现在人们的日常生活当中。由于电子商务的不断发展和普及,全球电子交易一体化将很可能实现。“数字化经济”(Digital Economy)已初具规模。

但开放的信息系统存在诸多潜在的安全隐患,破坏与反破坏、黑客与反黑客的斗争仍将继续。在这样的斗争中,安全技术应受到全球网络建设者的更多关注。

网络安全产品具有以下几大特点:首先,在网络安全策略与技术方面,多元化相对于统一化而言更加安全;其次,网络的安全机制与技术要不断地变化;再次,随着网络在社会各个方面的延伸,进入网络的手段也越来越多。网络安全技术是一个十分复杂的系统工程,建立有中国特色的网络安全体系,需要政府的政策和法律支持以及各相关产业的集团联合研发。

一、防火墙技术

网络防火墙是一种有效控制网络之间访问、阻止外部网络用户通过非法手段从外部网络进入内部网络并访问内部网络资源、保护内部网络操作环境的特殊网络互联技术。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定是否允许该网络之间的通信,并对该网络运行状态进行监视。

目前的防火墙产品根据技术不同可以分为四种基本类型:包括过滤型防火墙、型防火墙、状态检测型防火墙和综合型防火墙。尽管防火墙是目前保护网络比较有效的手段,但仍有不足之处:例如,目前的防火墙无法防范通过防火墙以外的其它途径的攻击.不能防止来自于内部用户们的疏忽所带来的威胁,也不能完全防止传送已感染病毒的文件,以及无法防范数据驱动型的攻击。

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,并首次提出了防火墙概念后,防火墙技术便得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列,如瑞星、卡巴斯基等。防火墙是5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:是否所有的IP都能访问到企业的内部网络系统,如果答案为“是”,则证明企业内部网络还没有在网络层采取相应的防范措施。

随着网络安全技术的发展和网络应用的不断变化,现代防火墙技术已经涉及到网络层之外的其他安全层次。不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。

防火墙技术和数据加密传输技术将继续沿用并发展.多方位的扫描监控、对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全,五者综合应用。在产品功能上.将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议。建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。

所谓防火墙其实是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。随着硬件技术的进步,基于高速Internet上的新一代防火墙,还将更加注重发挥全网的效能。安全策略会更加明晰化、合理化、规范化。由140家高技术公司、大学和美国政府开发的高速网络Internet2是21世纪互联网的雏形,其主干网之一――AbiIene横跨10,000英里,网络速度高达2-4GB/秒。技术的进步将进一步减少时延、提高网络效能。目前全球连入Internet的计算机中约有1/3拥有防火墙的保护,而未来这个比率会有更大幅度的提升。

二、生物识别技术

人类在追寻文档、交易及物品的安全保护的有效性与方便性经历了三个阶段的发展。第一阶段是采用大家早已熟悉的各种机械钥匙。第二阶段是由机械钥匙发展到数字密钥,如登录上网的个人密码(Password)以及使用银行自动提款机所需的身份识别码(PIN-Personal Identification Number)、身份证(ID Cards)或条形码等,它是当今数字化生活中较为流行的安全密钥系统。第三阶段是一种更加便捷、先进的信息安全技术将全球带进了电子商务时代,它就是集光学、传感技术、超声波扫描和计算机技术于一身的生物识别技术。

生物识别技术(Biometric Identification Technology)是利用人体生物特征进行身份认证的一种技术,由于人体特征具有不可复制性,这一技术的安全系数较传统意义上的身份验证机制有很大的提高。

现代生物识别技术始于70年代中期,由于早期的识别设备比较昂贵,因而仅限于安全级别要求较高的原子能实验、生产基地等。由于微处理器及各种电子元器件的成本不断下降,精度逐渐提高,生物识别系统逐渐应用于商业上的授权控制如门禁、企业考勤管理系统安全认证等领域。用于生物识别的生物特征有手形、指纹、脸形、虹膜、视网膜、脉搏、耳廓等,行为特征有签字、声音、按键力度等。基于这些特征。人们已经发展了手形识别、指纹识别、面部识别、发音识别、虹膜识别、签名识别等多种生物识别技术。

20世纪60年代,计算机可以有效地处理图形,人们开始着手研究使用计算机来处理指纹,自动指纹识别系统AFIS由此发展起来。AFIS是当今数字生活中一套成功的身份鉴别系统,也是未来生物识别技术的主流之一。它通过外设来获取指纹的数字图像并存贮在计算机系统中,再运用先进的滤波、图像二值化、细化手段对数字图像提取特征,最后使用复杂的匹配算法对指纹特征进行匹配。随着指纹识别产品的不断开发和生产,未来该项技术的应用将进入民用市场。比如,在ATM取款机加装指纹识别功能,持卡人可以取消密码(避免老人和孩子记忆困难),通过指纹直接操作。

除了指纹识别技术外,近年来视网膜识别技术和签名识别技术的研究也取得了骄人的成绩。视网膜识别技术分为两个不同的领域:虹膜识别技术和角膜识别技术。 虹膜识别系统使用一台摄像机来捕捉样本,而角膜扫描的进行则是用低密度的红外线去捕捉角膜的独特特征。该项技术具有高度的准确性。签名识别,也被称为签名力学识别(Danamic Siqnature Verification――DSV),它是建立在签名时的力度上,分析笔的移动,例如加速度、压力、方向以及笔划的长度,而非签名的图像本身。签名力学的关键在于区分出不同的签名细节,有些是习惯性的,而另一些在每次签名时都不同,DSV系统能被控制在某种方式上去接受变量,此项技术预计在今后十年中将会得到进一步的发展和应用。

三、加密及数字签名技术

加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此,完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即“公开密钥密码体制”,其中加密密钥不同于解密密钥。加密密钥公之于众,谁都可以使用,解密密钥只有解密人自己知道,分别称为“公开密钥”和“秘密密钥”。

目前,广为采用的一种对称加密方式是数据加密标准(DES),DES对64位二进制数据加密,产生64位密文数据,实际密钥长度为56位(有8位用于奇偶校验.解密时的过程和加密时相似,但密钥的顺序正好相反),这个标准由美国国家安全局和国家标准与技术局来管理。DES的成功应用是在银行业中的电子资金转账(EFT)领域中。现在DES也可由硬件实现,AT&T首先用LSl芯片实现了DES的全部工作模式,该产品称为数据加密处理机DEP。另一个系统是国际数据加密算法(JDEA),它比DES的加密性好,而且对计算机功能的要求相对低一些。在未来,它的应用将被推广到各个领域。IDEA加密标准由PGP(Pretty Good Privacy)系统使用,PGP是一种可以为普通电子邮件用户提供加密、解密方案的安全系统。在PGP系统中,使用IDEA(分组长度128bit)、RSA(用于数字签名、密钥管理)、MD5(用于数据压缩)算法,它不但可以对个人的邮件保密以防止非授权者阅读,还能对你的邮件加以数字签名从而使收信人确信邮件是由你发出。

篇10

【 关键词 】 网络安全;传输模型;AES; ECC;混合密码算法

1 引言

在信息网络应用中,我们经常利用虚拟专用网络VPN进行数据信息传输。在VPN上保密传输数据信息,对其来源的真实性进行鉴别,从而保证信息的私密性、不可抵赖性和完整性,其关键技术是进行加密传输和数字签名。ECC算法(Elliptic Curves Cryptography,椭圆曲线密码编码学)利用椭圆曲线作为数字签名,其基本原理大致和RSA与DSA的功能相同,且数字签名的产生与认证的速度要比RSA和DSA快;而AES算法加密数据简单快速可靠。本文通过AES和ECC构建的混合密码,设计了一种安全实用的网络安全传输模型。

2 混合密码算法原理

对称加密算法的数字签名和密钥由公开密钥算法来进行加密,明文采用对称密码算法来加密,这是混合密码算法的核心思想。发送方应用AES算法的密钥kAES对明文P进行加密。并且加密数据只用一次密钥kAES,这样可以实现简单化管理密匙并且密码算法的安全性也能够得到保证。这种算法的流程如下:

(1)应用接收方的ECC 公钥Kpubb,发送方加密AES 密钥kAES形成Ck;

(2)应用自己的ECC 私钥kpria,发送方加密签名信息M形成CM;

(3)应用AES 密钥kAES,发送方加密密文CM和明文P,在加上CK的基础上形成密文C;

(4)应用自己的ECC 私钥kpria,接收方解密CK,得到AES 算法的密钥kAES;

(5)应用密钥kAES,接收方解密密文C,得到加密后的签名CM和明文P;

(6)应用发送方的ECC 公钥kpuba,接收方解密CM得到签名M。

3 设计网路安全传输模型系统

3.1 模型的体系结构

包括客户端、服务器端、数据传输接口和网络安全连接三个部分。其中客户端的作用是解密文件、更改用户密码、传输公钥;服务器端的作用是密钥管理、混合密码算法管理、文件管理、用户管理。

3.2 安全功能所在的模型网络层次

Internet 的实际标准是TCP/IP 协议,从上到下采用四层结构,由应用层、传输层、网络层、网络接口层分别组成,在应用层中建立安全功能,全面连接的传输是基于TCP 进行的,提供一个安全的接口给其他的应用程序,和其他任何协议是独立的关系,把混合密码层增加到应用层上,对TCP/IP 协议部分不足的安全性问题进行了弥补。模型所在的网络层次如图3所示。

4 混合密码层在模型中的工作流程

通过分析ECC和AES算法,ECC算法能够很好的实现数字签名、便于密钥管理;AES算法在较长明文加密中较为适用并且加密速度快。辅以MD5算法,综合ECC算法和AES算法,构成本模型中采用的混合加密方案。

4.1 密钥的产生

选一点G(x,y) 在椭圆曲线上Ep (a,b) 上,G公开并且阶数为n(n 为一个大素数)。一个整数KS的确定在在[1,n-1] 之间,计算Kp=KSG,且EP(a,b) 为的一点在Kp 椭圆曲线上。通过以上密钥对(Ks,Kp)被确定,Kp为公钥,Ks为私钥。

4.2 加密和解密

加密AES 密钥:设为AES 算法密钥,发送方取随机数r,r ∈ {1,2,…,n-1},计算u=r KBP (KBP为B的公钥),R1=rG=( x1,y1),V= x1 KA,由此产生二元组(u,v) 传送给接受方B。

解密AES 密钥:用KBP (KBP为B的私钥) 计算(x1,y1)=KBS-1u,从而得KA= x1-1v。

4.3 签名和认证

计算消息明文的摘要H(m)需要选取一个公开消息摘要函数( 本系统选用MD5 算法)。

签名生成:发送方A 取随机数S,S ∈{1,2,…,n-1)。计算R2=sG=( x2,y2),e=x2H(m),k=s+eKAS,w=kG,由此产生二元组(w,e) 作为发送方A 对消息的签名。

身份认证:计算R=w-eKAP=(x1,yr),如e=xrH(m) 成立则签名有效,否则无效。

5 结束语

上文提出的结合AES与ECC的混合加密算法,具有易于理解、易于计算实现、易于进行密钥分配的优点,原理简单,符合加密算法的准则且具有很高的安全性。在虚拟专用网络VPN上通过应用AES与ECC的混合加密算法,构建安全传输模型,既能保证数据信息的保密性,又确保了数据信息的真实性和完整性,对确保网络信息安全具有一定的实际意义。

参考文献

[1] Man Young Rhee. 网络安全加密原理、算法与协议[ M] . 金名, 张长富, 等译. 北京: 清华大学出版社, 2007.

[2] 吴志军, 阚洪涛. 基于ECC 的TES 网络链路层安全协议的研究[J]. 通信学报,2009.11.

[3] 王凤英. 基于高维混沌离散系统的动态密钥3DES 算法[J] . 微电子学与计算机, 2005, 7: 25- 28.

[4] 王常林, 吴斌. 基于AES 算法和改进ECC 算法的混合加密方案. 科学技术与工程,2009.09.

[5] 黄河明. 数据加密技术及其在网络安全传输中的应用. 厦门大学,2008.05.

[6] Falk A.The IETF, the IRTF and the networking research community[C] .Computer Communication Review, v35, n5, Oct. 2005: 6970.

[7] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.

[8] 刘德祥.数码代密模块的软件设计与实现[J].信息网络安全,2012,(05):15-16.

[9] 王勇.多重不确定的密码体制研究[J].信息网络安全,2012,(06):82-84.