1、湖 南 农 业 大 学 课 程 论 文学 院 : 信 息 科 学 技 术 学 院 班 级 : 网 络 一 班姓 名 : 雷 胜 杰 学 号 : 201241842205课 程 论 文 题 目 : 现代密码技术发展及在密码安全中的应用课 程 名 称 : 网络安全评 阅 成 绩 :评 阅 意 见 :成 绩 评 定 教 师 签 名 :日 期 : 年 月 日摘要:如何保证数据安全,是当前信息领域亟待解决的突出问题,作为数据安全的基础和核心,密码技术及应用是信息发展的重中之重。综合分析现代密码技术的发展,深入研究其在传统数据安全及云计算平台下的数据安全中发挥了巨大作用,为信息安全的持续发展奠定了基础。关
2、键词:数据安全 现代密码技术 防范建议引言:随着互联网的普及和信息网络建设的深入发展,信息安全的重要性也随之越来越显现出来。信息化的高速发展使得信息的获取,共享和传播更加方便,同时也增加了敏感信息泄密的风险。无论对于个人企业还是政府,计算机中最重要的是存储的数据,一旦丢失,将造成不可估量的损失。2015 年 10 月 19 日知名白帽子平台下午 2 时多突然发布公告,称接到一起惊人的数据泄密报告,网易的用户数据库疑似泄露,影响到网易 163/126 邮箱过亿数据,泄露信息包括用户名、MD5 密码、密码密保信息、登录 IP 以及用户生日等,其中密码密保解开后测试大部分邮箱依旧还可登录。黑吧安全网
3、官微随后又发文称,这次密码泄露似乎也不是改密码就能解决这么简单,因为还泄露了用户密码提示问题及答案,而且这个数据应该是用其他网站泄露的账号密码“撞库”也无法获取的,因此建议大家“改密码的同时也将密码提示答案进行更新修改” 。这些事件都充分说明了数据安全问题已经成为一个迫在眉睫的问题,而保障数据安全最基本的方式就是利用密码技术,对敏感数据进行加密处理针对该问题,本文结合现代密码技术的发展,探讨密码技术在安全防护中的应用。一.现代密码技术的发展:密码技术是信息安全技术的核心。密码学包括密码编码学和密码分析学。密码体制设计是密码编码学的主要内容,密码体制的破译是密码分析学的主要内容,密码编码技术和密
4、码分析技术是相互依存,相互支持,密不可分的两个方面。现在世界各国对密码算法的研究和密码技术的发展都很重视,相对于古典密码学的算法保密性,现代密码技术的安全是基于密钥的保密性,算法是公开的。所以在过去的 30 多年中,各国科学家提出了一系列的密码算法。一个密码体制通常由 5 部分组成:明文信息空间 M,密文信息空间 C,密钥空间 K,加密变换Ek:MC,其中 k 属于 K.目前的加密算法按照这种密码体制划分,即便分为两类:一是对称密钥密码体制;一类是非对称密钥密码体制.1. 对称密码对称密码体制也称为私钥密码体制。在对称加密中,加密和解密采用相同的密钥。对称密码通常使用分组密码或序列密码来实现。
5、现代分组密码的研究始于 20 世纪 70 年代中期。美国数据加密标准 DES 算法的公布。分组密码将定长的明文块转换或等长的密文,这一过程在密钥的控制之下。使用逆向变换和同一密钥来实现解密。分组密码的运行模式有电码本模式,秘密反馈模式,密码分组链接模式,输出反馈模式,计数模式等。现在主要的分组密码包括 DES 算法,IDEA 算法等。序列密码也称为流密码,序列密码加密过称就算用一个随机序列与明文序列叠加产生密文,用同一个随机序列与密文序列叠加产生明文。序列密码主要应用于军事和外交等机密部门,许多研究成果并为完全公开。目前,公开的序列密码算法主要有 RC4,SEAL 等。2.非对称密码非对称密码
6、也称公钥密码,双钥密码。与对称密码不同,其安全性是基于数学函数,而不是代替和置换技术。非对称密码需要两个密钥,公开密钥和私有密钥。公开密钥和私有密钥是一对,如果用公开密钥对数据进行加密只有用对应的私有密钥才能进行解密。如果用私有密钥对数据进行加密只有用对应的公开密钥才能进行解密。且不能由其中一个密钥推出另一个密钥。非对称密码既可以用作加密,也能用于签名。非对称密码研究始于 20 世纪 70 年代,RSA 是第一个非对称密码算法,其安全性是基于大整数因子分解的困难性。目前主流的非对称密码还基于离散对数问题的 ELGamal公钥密码和椭圆曲线公钥密码。除此之外,还有 Rabin 密码体制 McEl
7、ieee密码体制,背包密码体制,Paillier 同态密码体制等。其中 Paillier 同态密码体制在云计算平台下的数据安全防护中有重要的意义。3Hash 函数散列函数 H 也称为哈希函数,是典型的多到一的函数,其输入为一可变长 x(可以足够的长) ,输出一固定长的串 h(一般为 128 位,比输入的串短),该串 h 被称为输入 x 的 Hash 值(或称消息摘要,指纹,密码校验) ,计作h=H(x)。为防止传输和存储的消息被有意或无意地篡改,采用散用函数对消息进行运算生成消息摘要,附在消息之后发出或与信息一起存储,它在报文防伪中具有重要的应用。散列函数具有以下特性:一致性:相同的输入产生相
8、同的输出;随机性:消息摘要外观是随机的以防被猜出源消息:唯一性:几乎不可能找到两个消息产生相同的消息摘要:单向性:即如果给出输出,则很难给出输入的消息。Hash 函数有基于离散对称等数学难题设计的,有基于密码体制设计的,但更大范围被使用和关注的是直接设计的杂凑函数,如 MD4,MD5,SHA 等。目前各国,包括美国,欧洲和中国都在制定自己的 HASH 标准。二.密码技术在传统安全数据安全中的应用按照数据存储的表示方式,数据可划分为两大类。一类是结构化数据,可以用统一的结构加以表示,最常见的是各类数据库:另一类信息无法用数字或统一的结构表示,如文本,图像,声音等,我们称之为非结构化数据。2.1
9、结构化数据安全结构化基本是以块的形式呈现的,这里主要指的是行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据,即数据库数据。传统的数据库保护方式是通过设定口令字和访问权限等方法实现的,数据库管理员可以不加限制地访问数据库中的所有数据。解决这一重大安全隐患是要对数据的本身加密,即使数据泄露或丢失,也难以破译。数据库加密按照加密的粒度可以分为数据库级加密,表级加密,记录级加密和字段级加密。在实际应用中,大量使用的是字段级加密,这里也大量讨论字段级加密的应用。字段级加密又分为两类,一是存储加密,二是存储验证。存储加密是对数据库的某些加密保持的字段内容,例如信用卡号,身份证号,银行卡号等,在
10、存储时进行加密,使用时再解密读出,一般使用非对称加密和对称加密混合的加密方式。对称密码和非对称密码各有利弊。非对称密码体制加密速度比较慢,但其不可逆性可以与对称密码体制一起创建完美和有效的密码机制,可以提供高级别的安全性。三对于密码库泄露事件的一些防范建议1要注意个人隐私保护在互联网时代,严格说起来,我们的个人信息随时处于一个被公开的状态,只是那个知道的人愿不愿意为你保守秘密,或者说会不会有人从哪个地方去窃取你的信息。相比于依靠别人保护你的信息,用户自己在安全意识方面也不够完善,所以今天再一次就保护个人信息的问题强调几点:在移动互联网时代,各种应用 APP 疯狂袭来。每次注册都要用到 QQ 信
11、息、微信号、手机号、邮箱等等联系方式,即使你不是在同一个应用上填写所有相关信息,都有“人”将你的信息整合到一起,说实在的,想想是有点害怕的。注意保护个人信息我们在应用各类 APP 时,一定不要盲目跟风,安装很多,其实根本不常用到。另外,一定要挑选那些好评度高、平台可靠的客户端,真正遇到信息泄露的时候还能找到人解决或是追责。同时,质量把关的平台对于用户信息的保护也更加慎重,方法更多样化。例如目前部分互联网金融企业正在试图通过给用户买资金险、账号险等当时加强安全保障。2.定期注销账户登录信息另外,大多数人习惯在手机平板上使用各类 APP 客户端,然后防止忘记密码就经常保持自动登录状态,也不设置手势
12、密码什么的。如果不慎遗失智能设备,那你可惨了。所以建议大家定期注销 APP 登录信息,如果实在怕忘记就记在本上,好记性不如烂笔头。3、定期修改各类账户密码可能有人说我有账号密码,数字的排列组合那么多,我就不信他能破解。我给数据关在自己的保险柜里了,不怕。你没想过你这个保险柜是放在别人家里保管的吗?并且研发这个保险柜的人你都不认识,你就那么放心将自己的众多资料交付于他保管?虽然没有这么夸张,其实真正有人要黑数据时,根本不需要你的密码,这才是最可怕的。我们做好密码管理是相当有必要的。建议大家不要所有的账号都使用同一个密码,同时定期更换安全性高的密码设置,从自身做起保护个人信息数据。按照数字、字母以
13、及其他特殊符号的排列组合,密码设置可以有好多种。有一些用户为了方便记忆就凡是用同一个邮箱账户的都使用相同的密码,这是相当危险的,跟把所有的鸡蛋放在同一个篮子里挂阳台上一个道理。密码更换也要变成一种习惯。结论通过研究现代密码技术发展及在密码安全中的应用,我们可以看到,随着信息技术的发展,密码技术也在不断发展中,当然密码技术不是解决信息安全问题的唯一方式。现在信息安全问题越来越重要,这就要求我们使用密码技术来保护我们的数据,防止被一些非授权用户看到或破坏。通过数据加密,可以实现数据的保密性,完整性,可用性和不可否认性,保证数据安全。参考文献1何大可,唐小虎,现代密码学M,北京:人民出版社,2009,10150。2DiffieW.HellmanM.New direction in crptography J.information Theory 1976,22(6):644654.3BrassardG.Relativized Crptography J information Theory 1983,29(3),877894.4王丽丽 云计算研究综述及安全问题分析J.硅谷,2010,17.5姜涛 云计算安全性探讨.金融信息化论坛 2009(12).
