试论应用密码技术安全策略

1、试论应用密码技术安全策论文摘要：网络安全的根本目的是防止通过计算机网络传输的信 息被非法使用。信息和数据安全的范围要比计算机安全和网络安全更为广泛，它 包括了信息系统中从信息的产生直到信息的应用这一全部过程。密码技术是保护 计算机信息安全的主要手段之一，使用密码技术可以保证信息的机密性，还可以 保证信息的完整性和确定性，防止信息被篡改、伪造和假sl论文关键词：网络；信息安全；密码技术计算机网络信息安全的两个基木需求是保密性和完整性。密码技术是网络 安全通信的基础，通过对通信内容进行加密变换，使未授权者不能理解其真实含 义，以防止窃听等被动性攻击，保证信息的保密性；应用密码体制的认证机制， 可以

2、防止篡改、意外破坏等对传输信息的主动性攻击，以维护数据的完整性。保 密和认证是信息系统安全的两个重要方而，但是认证不能自动提供保密性，而保 密也不能提供认证机制。密码设计的基本思想是伪装信息，使未授权者不能理解 它的真正含义，未隐藏的信息称为明文(plaintext),伪装后的信息称为密文 (ciphetrext)。构成一个密码体制的两个基木要素是密码算法和密钥(key)。在设 计密码系统时，总是假定密码算法是公开的，真正需要保密的是密钥。基于密码技术的访问控制是防止数据传输泄密的主要防护手段。访问控制 的类型可分为两类：初始保护和持续保护。初始保护只在入口处检查存取控制权 限，一旦被获准，则

3、此后的一切操作都不在安全机制控制之下。防火墙提供的就 是初如保护。连续保护指在网络屮的入口及数据传输过程屮都受到存取权限的检 查，这是为了防止监听、重发和篡改链路上的数据来窃取对主机的存取控制。由 于网络是一个开放式系统，使得加密变得不仅对femail, iru.a对于网络通信 都很重要。1电子邮件安全与pgppgp是由美国的philpzimmermann设计的一种电子邮件安全软件，口前已 在网络上广泛传播，拥有众多的用户。pgp是一个免费软件，并且其设计思想和 程序源代码都公开，经过不断的改进，其安全性逐渐为人们所依赖。pgp在电子邮件发送之前对邮件文本进行加密，由于一般是离线工作，所 以也

4、可以对文件等其他信息进行加密opgp'p采用了公钥和对称密码技术和单向 hash函数，它实现的安全机制有：数字签名、密钥管理、加密和完整性，它主 要为电子邮件捉供以下安全服务：保密性；信息来源证明；信息完整性；信息来 源的无法否认。pgp采用密文反馈(cfb)模式的idea对信息进行加密，每次加密都产生 一个临吋128比特的随机加密密钥，用这个随机密钥和idea算法加密信息，然 后pgp还要利用rsa算法和收信人的公开密钥对该随机加密密钥进行加密保 护。收信人在收到加密过的电子邮件后，首先用自己的rsa私冇密钥解密出 idea随机加密密钥，再用这个idea密钥对电了邮件的内容进行解密。

5、密钥长 度为128位的idea算法在加密速度和保密强度方面都比56位密钥的des算法 要好，而且pgp采用的cfb模式的idea,更增强了它的抗密码分析能力。另 外由于每次加密邮件内容的密钥是临时随机产生的即使破译了一个邮件，也不会 对其他邮件造成威胁。pgp的基本操作模式是用idea作为信息加密算法，它可 以提高加密、解密速度和增强保密性，同时对较短的随机密钥用较慢的rsa算 法进行保护，以方便密钥管理。pgp数字签名采用了 md5单向hash函数和rsa公钥密码算法。要创建 一个数字签名,首先要用md5算法生成信息的认证码(mac),再用发信人的rsa 私有密钥对此mac进行加密，最后将加

6、密过的mac附在信息后而。mac值的 产生和检查就是pgp的完整性保护机制。pgp采用分散的认证管理，每个用户的id、rsa公开密钥和此公开密钥 生成的吋戳构成了这个用户的身份证书。如果一个用户获得了 一份被他所信任的 朋友或机构签名过的证书，他就可以信任这个证书并使用其中的公开密钥与此证 书的主人进行加密通信。如果愿意，他也可以对这份证书签名使信任他的朋友也 能信任和使用这份证书。pgp就是采用这种分散模式的公证机构传递对证书的信 任，以实现信息來源的不可否认服务。pgp的密钥管理也是分散的，每个人产生自己的rsa公开密钥和私有密 钥对。目前pgp的rsa密钥和k度有3种普通级(384位)、

7、商用级(512位)、军 用级（1024位）。长度越长，保密性越强，但加懈密速度也就越慢。2www安全中的密码技术采用超文本链接和超文本传输协议（htrp）技术的www是因特网上发展最 为迅速的网络信息服务技术，各种实际的因特网应用，如电子商务等大多数是以 www技术为平台，但是www上的安全问题也是非常严重的。目前，解决www 安全的技术主要冇两种：安全套接字层ssl和安全htyp协议。2. 1sslssl是netscape公司提出的建立在tcp / ip协议之上的提供客户机和服 务器双方网络应用通信的开放i办议，它由ssl记录办议和ssl握手协议组成， 建立在应用层和传输层z间且独立于应用层

8、协议。和确定性。ssl握手协议在ssl记录协议发送数据之前建立安全机制，包括 认证、数据加密和数据完整性。ssl握手协议开始的起点是客户机知道服务器的 公钥，它通过服务器的公钥加密向服务器传送一个主密钥，公钥加密算法可以是 rsa、dififehellman或fohezzakea。客户机和服务器分别根据这个主密钥 计算出它们z间进行数据加密通信的一次性会话密钥这样会话密钥就永远不需 要在通信信道上传输。客户机和服务器使用这对会话密钥在一个连接中按des、 rc2 / rc4或idea算法进行数据加密，此连接用connectionid和与此相 关的会话密钥作废。所以每个连接都有不同的connec

9、tionid和会话密钥。 由于主密钥不直接参与加密数据，只在客户机与服务器建立第一次连接时传送 （同时产生一个sessionid）,它的生存期与sessionid有关。推荐的 sessionid在通信双方的cache（高速缓冲区）中保存的时间不犬于100秒，这 样主密钥被泄漏的机会很小。ssl握手协议规定每次连接必须进行服务器认证，方法是客户机向服务器 发送一个挑战数据，而服务器用本次连接双方所共享的会话密钥加密这个挑战数 据后送回客户机。服务器也可以请求客户机的认证，方法与服务器认证一样。ssl 记录协议定义了 ssl握手协议和应用层协议数据传送的格式，并用md2 / md5 算法产生被封装

10、数据的mac,以保证数据的完整性。总之，ssl协议针对网络连接的安全性，利用数据加密、完整性交换认证、 公证机构等机制，实现了对等实体认证、连接的保密性、数据完整性、数据源点 认证等安全服务。2. 2shttpshttp是有eit公司提出的增强gttp安全的一种新协议，shttp定义 了一个新方法 secure 和几个新报文头如 con一tent一privacy一domain、content transferencoding prearranged-key一info> content一type mac一info 等。 http报文贝0以pkcs 7或pem报文格式成为shti'

11、p的报文体，从而获 得了这两种安全增强型报文标准在数据加密、数字签名、完整性等方面的保护。 shtrp还定义了新的报文头、可重试的服务器状态错误报告、新的html 元素和anchor屈性，使客户机和服务器能够通过对等的协商，在报文格式、认 证方式、密钥管理、签名算法、加密算法和模式等方面达成一致，从而保证一次 安全事务通信。shtip所保护的是一次htrp请求/应答协议的报文，而h, iti' p连接 是一种无状态的连接，所以shti' p采用pkcs - 7或pem作为增强报文安全 的主要手段。在数据加密方而，shttp支持的对称加密算法有des、desx、cdmf、idea和rc2。数字签 名算法冇rsa和nist的数字签名标准(dss),数据完整性保护采用rsa的md2 / md5和nist的安全hash标准(shs)。支持的认证类型为x. 509,从而为h1tp 的安全提供了对等实体认证选择字段的保密性、数据完整性、数拯来源认证和 防止否认等服务。3结语网络信息的安全作为一项动态工程，它的安全程度会随着时间的变化而发 生变化。通过应用密码技术不仅保证了网络信息的安全，还可以保证信息的完整 性英他参考文献口熊飞木量利分析方法在高校成木核算屮的应用j会计之友2任婷,石芬芳.高校成本管理研究综述j.武汉职业技术学院学报3万楚军高校成本性态分析与管理j荆州师范学院