密码系统(共11篇)
密码系统 篇1
课改十余年来, 与阅读教学的诸多突破性变革相比, 习作教学仍旧难逃高耗低效、放任自流的窠臼。尽管小语界也有不少宝贵的带有名师个人色彩的习作教学经验, 但综观这些经验, 几乎无一例外“轻视”教材的习作, 或者说把教材的习作系统放在一个相对较低的位置。也因其浓郁的个人色彩, 一线教师“依样画葫芦”, 往往效果不佳。
对于更多的一线教师来说, 教材习作就是学生习作素养培育系统中最为核心的内容。但事实上, 教师们在进行教材习作教学时往往忽视教材编排的单元整体特色, 忽视“听、说、读、写”互相联动, 习惯于让教材习作“孤立独行”, 以致增加了教学的难度, 也降低了教学的效益。绍兴市蕺山小学的叶燕芬校长以其一位语文名师的专业敏感, 带领团队成员提出了《基于单元综合联动的中年级习作教学的探索》这一研究设想, 对习作教学进行了有意义的探索。
第二学段是习作的起步阶段, 其关键性不言而喻。教材习作教学作为一个系统, 其要素不只是显性的几次习作和写话训练的安排, 更有诸多隐性的习作要素“潜伏”。尤其是就一个单元来说, 发现、整合、运用单元中各个学习领域中指向单元习作的要素, 无疑能有效降低单元习作的难度, 提升习作教学的效益。当然, 单元语境中的语文学习领域, 各有各的核心教学目标和任务。我们不能因为习作教学的改进, 而把教材习作教学“当作一个框, 什么都往里面装”。单元的综合联动, 其操作精髓还在于随机而动, 顺势而为, 化整为零, 整合优化。阅读课题组的这份报告, 我们可以感觉到这方面的努力。这一探索完全基于教师的教学现场, 具有鲜明的问题解决特征, 最终初步实现了改进教学、成就教师的草根研究的价值追求。
这个项目还给了我们这样一个启示, 就是教师要成为教材的知音, 成为教材习作体系的发现者、回应者、建设者。个人认为“发现”是首要的。我们很高兴地看到, 叶燕芬校长和她的团队有着这样的专业自觉。这在当下对教材热衷批判、缺乏建设的学术流行中显得尤为可贵。
密码系统 篇2
设置启动密码
1. 点击菜单“开始→运行”,在运行对话框中输入“Syskey”,点“确定”弹出“保证Windows XP账户数据库的安全”对话框。
2. 在弹出的对话框中点击“更新”按钮,弹出“启动密码”对话框.
3. 选中“密码启动”,在下面输入系统启动是时的密码,然后点击“确定”按钮就可以了。
取消启动密码
如果要取消这个系统启动密码的话,按照上面的步骤操作后,在“启动密码”对话框中,选择“系统产生的密码”下面的“在本机上保存启动密码”就可以了,确定后系统密码就会保存到硬盘上,在下次启动电脑时就不会再出现启动密码的窗口了。
使用启动密码
“启动密码”就是在系统启动时显示的,在重新启动系统后,首先出现的就是提示你输入“启动密码”,输入了正确的密码后就会出现Windows XP的登录界面,输入用户名和密码就算完全登录系统了,现在你的系统就有了二重密码保护。
制作启动密码“钥匙盘”
“钥匙盘”就相当于一把钥匙,在启动的时候只有这张磁盘才能打开启动密码。 制作“钥匙盘”的方法很简单,还是在“运行”对话框中输入“Syskey”,在弹出的对话框中点击“更改”按钮,然后在“启动密码”中,选中“系统产生的密码”下面的“在软盘上保存启动密码”。点击“确定”按钮后会提示你输入密码,然后就会让你在软驱中插入一张软盘来制作“钥匙盘”,插入后点击“确定”按钮,稍等片刻就好了。
当重新启动电脑时,这次不是要求你输入启动密码了,而是让你插入“钥匙盘”,如果你没有这张盘就不能启动电脑。如果需要取消或者更改启动密码时,也必须插入这张“钥匙盘”才能更改。
二、登录密码的设置与取消:
1.首先点击“开始”,选择“控制面板”。
2.进入“控制面板”界面后选择“用户账户”。
3.进入“用户帐户”界面后选择“更改用户”。
4.在弹出的界面中选择你的登录账户。
5.然后选择“创建密码”。
6.输入两遍密码后点击“创建密码”,就完成了你的登录密码设置。
三、为administrator账号变身:
为administrator账号设置了登录密码并不等于就安全了,如果密码设置得比较简单或是强度不够,还是有可能被轻易地探测出来;但是如果登录密码设置得过于复杂,对于用户自己来讲又比较麻烦。如何解决这个矛盾?为administrator账号变身不失为一个好的选择。为administrator账号变身也就是将账号名称改为其他的、别人不易知晓的名称,变共知为未知。这样即使登录密码设置的比较简单,其他用户在不知道登录账号名称的情况下,也很难非法进入系统。为administrator账号变身是通过设置组策略来实现的。具体的操作如下:
(1)在“开始”菜单的“运行”处运行gpedit.msc命令,进入组策略编辑器;
(2)在组策略编辑器窗口,依次展开“计算机配置”—〉“windows设置”—〉“安全设置”—〉“本地策略”—〉“安全选项”,在右侧窗格中,双击“账号,重命名系统管理员账号”策略,在策略属性窗口中,输入新的内置的管理员账号的名称,点击“确定”即可。
为了增强登录的安全性,我们也可以通过启用“安全选项”策略子集中的“交互式登录:不显示上次登录的用户名”策略来隐藏登录系统时在登录窗口中自动显示的用户名称,这样即使其他用户能够物理地接触到这台计算机,也很难通过探测的方法进入系统。设置方法同设置“账号:重命名系统管理员账号”策略类似,双击“交互式登录:不显示上次登录的用户名”策略,在属性窗口中,选择“已启用”选项。
四、guest账号:
guest账号同样也是Windows XP系统内建的用户,和users(受限用户)组中的账号拥有同样的访问能力,但是受到的限制更多。由于我们通常很少使用该用户账号登录系统,因此也就不太关心guest账号的安全了。正是由于我们对guest账号的忽略,使得很多恶意程序利用这个疏漏入侵到系统中实施破坏或窃取信息。对guest账号的安全可以采取以下两个安全措施:
1.停用guest账号
在实际的应用中,我们很少会使用到guest账号,因此将guest账号停用不会影响到我们的正常使用,同时也可以彻底消除由guest账号引起的一些安全隐患。在“控制面板”的“用户账号”中不能进行guest账号的停用设置,这需要通过“计算机管理”功能来完成。
(1)右键单击桌面的“我的电脑”,选择“管理”命令,进入“计算机管理”窗口;
(2)在“计算机管理”中,依次展开“系统工具”—〉“本地用户和组”—〉“用户”,在右侧窗格中双击“guest”项,在属性设置窗口,选择“账号已停用”选项,点击“确定”完成设置。
2.为用户名称变身
如果在应用中要使用guest账号,那么除了需要给guest账号设置登录密码外,也可以采取类似于给administrator账号变身的方法,将guest账号的名称改为其他的名称。设置方法和administrator账号变身的方法类似,只需要在组策略编辑器中,设置“安全选项”策略子集中的“账号:重命名来宾账号”策略的属性就可以了,这里就不再过多地进行介绍。
五、为用户设置合适的身份:
在Windows XP系统中,administrator用户通过“控制面板”的“用户账号”添加本地用户的类型只有两种:要么是隶属于administrators组的管理员身份,要么是隶属于users组的受限用户身份。如果用户身份为受限用户,很多项目将被禁用,通常不能满足实际应用的要求。
但是用户全被设置为管理员身份,每个用户登录系统后都可以随意地对系统设置进行更改,任意的设置其他用户的访问权限,势必会造成系统的混乱,甚至引起系统的崩溃,这种情况在共用的计算机中尤为甚之。例如:administrator用户为了加强系统的安全,使用组策略编辑器对系统进行很多的策略设置,可是其他具有管理员权限的用户登录系统后可能会有意或无意地将这些设置进行更改,从而导致系统安全性降低。那么如何才能合理地设置用户的身份呢。
其实,在Windows XP系统中,用户账号的类型不只是管理员和受限用户两种。根据不同的应用目的,Windows XP内置了多种用户类型,如:拥有大部分管理权限的Power User用户类型、拥有管理网络功能配置权限的Network Configuration Operator用户类型、拥有远程登录权限的Remote Desktop User用户类型等等。administrator用户可以根据具体的应用需求为其他的用户设置适当的身份。这种设置用户身份的操作需要通过“计算机管理”功能实现。下面以将用户jack的身份由受限用户改为Power User为例介绍操作步骤:
(1)右键单击桌面的“我的电脑”,选择“管理”命令,在“计算机管理”中,依次展开 “系统工具”—〉“本地用户和组”—〉“组”,在右侧窗格中可以查看到不同用户类型组能够进行操作的权限;
(2)点击左侧“本地用户和组”下的“用户”,双击要设置身份的用户项,在该用户的“属性”窗口的“隶属于”标签页中,点击“添加”按钮;
(3)在“选择组”窗口,点击“高级”,并进而点击“立即查找”,在窗口下方的用户组列表中选择“Power Users”,点击“确定”返回,再次点击“确定”返回“选择组”窗口,此时可以在“隶属于”组列表中看到增加了“Power Users”项。
(4)点击“确定”完成设置。
经过上述的用户身份设置,当用户使用jack账号登录系统后,由于受到操作权限的限制,当用户试图进行一些操作时,将被提示没有权限执行此操作。例如,当jack用户执行gpedit.msc命令试图打开组策略编辑器时,将会得到警告信息。
上述用户类型的设置方法和Windows NT4.0/Windows Server/Windows Server系统中用户账号的设置方法类似。使用过这些系统的朋友可能会更熟悉一些。
注意:文中提到的所有操作,都要求用户以administrator用户或administrators组成员的账号身份登录系统。
找到激活人体免疫系统的“密码” 篇3
再往里走,就是院长于晓彤教授的办公室、也是他的接诊区。圆圆的、闪着亮光的脑袋,不太浓的眉毛下眯缝的双眼,以及一张乐呵呵的大嘴巴。这就是于晓彤教授留给人们的第一印象,不像是一个医生,倒像是哪家名山宝刹里走出来的弥勒佛。也正是他通过十年的努力探索开创和发展了综合集成医学,治愈了数千人,攻克了上百种疑难杂症。
“值得支持,给他立个大项!”
“综合集成医学是对祖国传统医学(中医)的继承和发展,它是将人作为一个整体和复杂巨系统,全面和系统地加以认识和解析,通过人体的现象(病症)找出本质(病因),采取“无毒、无害、无伤”的方法来扶正祛邪(治病),达到阴平阳秘(健康)的状态,最终实现天人合一(延年益寿)。原则就是:以人为本、疗效为王!”
“我们认为,人体失衡是导致疾病的根本原因,这是本源,而不是由于细菌,病毒,癌细胞。我们提出的治疗方法叫做非对抗性疗法。主要使用体外冲击波疼痛治疗系统,不开刀、不打针、不吃药!完全绿色无伤害。”
“它不是所谓‘治病’的医学!而是关于人体内环境治理的医学、是人体健康的医学!我们认为,未来医学的核心应该是整体的和系统的理解生命、理解人体及其免疫系统,谁找到了激活人体免疫系统的“密码”,谁就可以掌握启动自愈系统的“钥匙”,最终谁就打开了通向未来医学的大门!”
2013年10月28日,中医现代化创新项目——综合集成医学与非对抗性疗法国家级论证会在北京友谊宾馆召开。于晓彤面对来自国家科技部、政协教科文卫组、中科院、中医科学院、解放军总装备部、国家版权局、北京大学、清华大学、上海理工大学、中国医科大学、航天科技集团、中国发明协会等跨学科、跨领域、跨层次的专家学者、院士教授,认真汇报和演示自己多年来潜心研究的科学成果。
一石激起千层浪,与会嘉宾被震撼和打动了。中国发明协会理事长、原科技部部长朱丽兰率先发言:“你最大的创新就是在中西医结合战略上的创新,这比战术上的创新重要得多!我觉得那个指导思想非常重要,值得支持。给他立个大项!”
中科院院士、政协科教文卫副主任、原科技部副部长程津培说:“你们能把中医这套理论里边最容易被西方人所理解的经络作为一个载体,以你们的冲击波作为一个手段,深入解析里边的规律,这是一个了不起的事情!”
中国航天科技集团公司、710研究所科技委主任于景元表示:“这是个创新,将系统思想和现代技术结合,这里蕴含着深刻的值得我们高度重视的学问。还有一点可贵之处,是他的研究不是在体制内,而是体制外,这是另一个层次。”
国家“863”专家组组长马俊如说:“今天的视频和演讲令人很吃惊很兴奋!一个同样的工具,用一个新思维模式操作可以产生不同的效果,你这是创新思维产生的效果,很好!有推广的价值!这方面可能要得到社会的捐助,政府的支持。”
原联合国科技参赞、中国高技术产业发展促进会副会长孔德涌说:“方才给我的治疗非常有效,原先腿一活动就疼,现在非常轻松。它不仅治病,用冲击波还能找到你病在哪里。我觉得这个事是一个开创性的。”
而正是在这个论证会召开两个月之后,2013年12月24日,北京综合医学研究院应运而生。于晓彤为首席科学家兼院长,崔健君教授为首席研究员,并由27名教授组成研究团队。
“武林”高手:望、闻、问、切、打
坐下来,倒一杯茶,寻常的聊天唠家常,于教授的望闻问切,就在这茶香四溢的氛围中进行着。
望五官,闻气息,问症状,摸脉象。每一个环节,都细致入微,而春风般的笑意伴随始终。就在记者采访期间,于教授就通过持续地观察患者的舌苔,来判断诊疗效果。
问是关键的环节,他会问你,病症是从什么时候开始的,最近有没有遇到不顺心的事情,都去过哪些医院就诊。也许患者的答案漫无边际,但于教授看病的线索就在其中。例如,于教授就通过聊天,发现一位管状视力患者的病源,是来自于儿子婚事不合心意所导致的气血郁结。
“恐惧可以要人命,这点国外已从心理学上得到了验证。”所以尽管来这里的人,通常都患上了疑难杂症,但每一次问诊结束,于晓彤总会笑盈盈地说:没问题,你这个病是可以治好的。医院一上来就是这个检查,那个指标,告诉你身体这里有问题、那里也有问题,但是恰恰忽略了人这个整体。而在研究院,治疗的方案不仅仅是针对病症,更重要的是调理整个人体的系统,使用现代的高科技医疗设备帮助人体扶正,激发人体的自愈能力达到祛邪的目的。患者的信心很重要,找到真正的病因,患者的恐惧也就会消除。
除了望、闻、问、切之外,在于晓彤整个的综合集成疗法当中,还有一个特殊的环节:“打”。“通则不痛,不通则痛。”于教授的冲击波疗法,正是借助STORZ公司研发的MP200型体外冲击波疼痛治疗系统,帮助患者找到人体经络的瘀滞部位,消除全身的痛点、气淤点,使气血循环正常,从而改善人体内环境来激活和提高人体的自愈能力,让人体自身来治愈自己的“病”!
在于晓彤教授看来,冲击波疗法是非对抗性的。也就是人机结合以人为本,因人施治和辩证施治,把患者的功能态恢复的程度作为疗效的主要衡量指标,以生化指标和影像学作为参考指标。
2014年11月11日,对于52岁的刘先生来说,是一个值得铭记的日子。这一天,他接到了来自洽圩(北京)综合集成研究院的回访电话。
一年前的11月11日,他被诊断为右肺中心型肺癌并右肺门及纵膈7区多发淋巴结转移,同时被告知仅能存活三个月。同月15日,刘先生第一次接受了于晓彤教授的综合集成法的治疗。此后的半年时间里,刘先生共进行了13次连续治疗。电话里,刘先生的妻子做了这样的描述:目光有神、面色红润、体温正常、不咳不喘、能吃能睡、体重稳定。若是不知道他的病史,外人根本看不出来他曾经患过癌症。
就在《中国民商》记者采访期间,子宫肌腺症患者钱女士刚刚治疗结束。“痛,但是很爽!打完了,过后就舒服了。”
“冲击波治疗就像小说里写的,身体被武林高手注入一股真气,并不停游走,体内觉得热腾腾的,感觉变敏锐,反应也变灵活。而于教授,显然就是那个武林高手!”一位脑出血后遗症患者这样描述接受于教授治疗时的感受。
洋为中用:十年辛苦不寻常
“神乎其神”,“匪夷所思”,“难以置信”,这是几乎所有人听说于晓彤之后的第一印象。“不开刀、不打针、不吃药,让你吃得香、睡得着、拉得爽”,完全绿色无伤害。从3岁的孩童,到96岁的老人;从运动损失、骨关节外科,到红斑狼疮、渐冻症、先天软骨发育不全、帕金森症、癌症等,几乎所有疑难杂症在于晓彤这里,都可以得到不同程度的破解。
然而罗马并不是一天建成的,取得今天这样的成就,对于晓彤来说并非唾手可得。于晓彤与医疗的结缘,要从1987年就读于上海医疗器械高等专科学校开始。
而于晓彤真正学习诊治病人步入医生行业,则是从2003年师从“国务院学位办全国第五批遴选的博士生导师”、“国务院特殊津贴享受者”、“中国临床医学终身成就奖”获得者崔健君教授学习疼痛医学及西医基本理论开始。他了解到:慢性疼痛作为一种生物学疾病,其发生在35%的人群中,但目前社会上对它认知度还参差不齐,依然处在“疼痛科科诊治,科科难诊治”的状态中,治疗方法多,疗效不一,很难获得痛患的满意。
恰在此时,《世界卫生组织蓝皮书》的一段报告吸引了他的注意。报告指出:仅控制好偏头痛,就能使全球GDP上升2%—3%。细心的于晓彤查阅文献还发现:疼痛往往不单独出现,常常伴随有自主神经功能的紊乱(如精神抑郁等),这不仅给患者及其家庭带来极大的痛苦,甚至给社会带来负面影响,造成许多社会问题,诸如经济负担加重、家庭解体、离婚率增加、排斥与亲友的交往,甚至自杀或危及社会。
于是,于晓彤决定结合自己的专业在诊治疼痛方面做出自己的努力。当他刚刚被聘为上海理工大学医疗器械与食品学院的客座教授时就树立了一个目标:要找到一种新的治疗方法可以通过非药物的方式去解决疼痛,最大程度地减少手术和药物所带来的副作用。
然而,在国内经历了一年多的多方奔走,频频遇阻之后,于晓彤把目光瞄向了美国克利夫兰慢性疼痛研究所和德国法兰克福运动医学研究所,这是国际上治疗慢性疼痛和运动医学两个顶级的研究所。
在那里,他发现国外医生使用一种冲击波仪器治疗疼痛:通过联合式冲击波系统,医生可以同时使用放射式和聚焦式冲击波治疗多种疾病,不仅可以治疗机体末端性病痛,而且还可以治疗不同深度的疼痛(扳机点痛)。2004年,于晓彤进入德国STORZ公司师从珀尔博士学习医用冲击波原理及其临床实践,就此开始了冲击波治疗疼痛的求索。到2007年,于晓彤将放射式冲击波疗法应用于慢性疼痛的诊疗,他通过控制冲击波的能量、频率、治疗部位等来寻找最合适的治疗方案,大部分病人的疼痛在他那得到了满意的治疗效果。于晓彤对治疗经验进行了总结,并发表在国内核心期刊上。
然而,于晓彤很快就发现西医理论无法帮助理解许多内科的疾病,特别是疑难杂症。这时,他开始将目光转向中医理论,向老祖宗学习智慧。在《黄帝内经》等传统中医理论的学习和不断实践中初步形成了一套自己的理念。特别值得提出的是,在系统科学家于景元先生向他讲授钱学森先生的系统论之后,使他对之前学习的理论和实践经验融会贯通达到了提纲挈领的作用,使得临床实践更上一层楼,成功突破了晚期肺癌、肝癌、乳腺癌、胃癌、胰腺癌、甲状腺癌、结直肠癌、淋巴癌等不治之症。
以人为本:让生命有尊严的活着
对于于晓彤来说,2014年是一个很忙,但却很重要的年份。4月16日,解放日报发表《于晓彤教授谈综合集成医学》,全面介绍于晓彤综合集成医学的理念。8月13日,综合集成研究院的官方网站正式上线。与此同时,官方微信、微博也都开始投入运营。同月29日,综合医学研究院首批“综合医学研究院研究员”授聘仪式在北京观唐隆重举行。这意味着,研究院的运作逐步步入正轨。
9月,科技日报社主办的学术性期刊《前沿科学》2014年第3期,重点推荐于晓彤教授的论文《综合集成医学与非对抗性疗法》。该文由中国著名系统科学家和数学家于景元先生与原联合国科技参赞、中国高技术产业发展促进会副会长孔德涌联合推荐。
10月,于晓彤赴德国柏林参加由法兰克福医学院主办的第二届世界冲击波大会。大会期间,于晓彤教授还开始挑战了一项世界性的难题:西医认为,运动神经受损后功能是无法修复的。参会代表中,有一位嘉宾在15年前接受癌症手术后放疗导致右臂神经严重受损,整个右臂失去知觉。在之后的3个月内,经过了17次治疗后,成功地使这位患者的上肢恢复了知觉。本次会议还决定2015年的第三届世界冲击波大会将在上海举行,由洽圩(北京)综合集成医学研究院和法兰克福运动医学研究所联合主办。
2014年12月1日-5日,洽圩(北京)综合医学研究院首届综合集成医学与非对抗疗法研习会在北京举行。与此同时,研究院的首次大规模社会招聘,也正在如火如荼的展开。
忙是过程,不是目的。参加中国民商(黔西南)2014年度论坛是为了推广他的综合集成医学理念,但他会提前两天到达黔西南州,带上专业相机,把那里的山山水水都看遍。接诊很忙,他会和患者一起品品茶、聊聊天,不经意间告诉你一两条健康养生的秘诀,他会偶尔抽两支烟,检测肺病患者的治疗效果。
对于很多人来说,工作和生活是分开的。但对于晓彤来说,这两者是合二为一的。“我们讲以人为本,健康应该是向内求的,要靠我们自己本身身体的系统平衡,而并非依靠医疗器械,依靠药物,依靠手术这些外在手段。西医现在已经走入了误区,所有的东西都靠数据和指标。那是以物为本,人成了药物和医疗器械的奴隶。”于晓彤说。健康的生活来源于心情舒畅、气血通畅。保持一个良好的心情,稍微注重一下饮食习惯,让身体机能运转起来,整个人自然就是健康的。
时下,研究院的各项工作正有声有色的展开。“最近,我们提了发展规划。就整个产业来说,现在是产业化开始的阶段,有非常大的发展空间。我们内部的发展是“诊疗、科研、培训”三位一体,而就外部来说,我们的战略是放开中间,发展两端。一是发展高端,包括国外,现在也被邀请在国外开诊所。”
“另外一个是走向基层。我们开玩笑赤脚医生又回来了。乡村卫生员,只要稍微有一点中医的知识经过一定的培训,拿着我们的冲击波诊疗设备,基本上常见病都能解决。我们可以随时在网络上就案例进行会诊指导。这将会带来革命性的变化,可能就不需要弄那么多的药,这对药企业,不是个好消息。”于晓彤神秘地对记者说。
2014年12月24日,星期三,对于那些曾经在老一辈党和国家领导人以及老帅身边工作和服务过的老同志来说,是有着特殊意义的一天。自从曲琪玉老同志代表中国未来研究会与洽圩(北京)综合医学研究院的于晓彤院长商量决定,每星期的星期三专门为老干部进行免费义务诊治后,已经有上百名年过古稀的老干部享受到了综合集成医学的非对抗性物理疗法的有效诊疗,解除了困扰他们多年的颈、肩、腰、腿的疼痛问题,以及老年性耳聋、便秘、顽固性湿疹等问题,大大地提高了这些老同志的生活质量。
于晓彤有忙不完的事情,他像一个空中飞人似的四处奔波。但是,挂在他脸上如春风般的笑意却不曾稍减。他说:“我实际上是在传播一种健康的生活理念,让生命更有尊严的活着。”
学校网站用户密码系统浅析 篇4
学校网站是学校在网络世界中的门户, 既是学校树立形象、开展宣传、施行教育的基地, 又是广大师生交流信息、进行日常教学工作的工具。网站用户是网站操作人员的身份, 直接关系到操作人员的操作权限。如果网站用户系统的安全性不佳, 就可能导致错用、盗用他人身份, 轻则引起工作失误, 降低工作效率, 重则造成不良舆论影响。
因此, 学校网站的用户密码系统应具有足够高的安全性, 保证用户身份不易被错用、盗用。这包括两个方面, 一是保证普通用户不容易通过猜测、尝试、计算等方式破解网站用户的密码, 二是保证网站管理人员不容易借助自己的特殊权限破解其他用户的密码。
二、各种密码系统机制及其对比
1、明文存储与密文存储
最简单的密码系统, 是将用户设置的密码以明文的形式存储在网站的数据库中, 每次进行鉴权操作时, 将用户输入的密码与数据库中的密码进行比较, 判断用户的合法性。这种密码系统的安全性在很大程度上取决于网站数据库存储的安全性。访问者如果设法获取了数据库内容, 就可以直接获得密码, 盗用合法用户的身份进行登录。同时, 网站的管理者也可以直接查看数据库, 获取其他用户的密码, 盗用其身份。在这两种情况下, 被盗用身份的合法用户一般无法获知自己的身份被盗, 因此也不容易进行防范和追查。
针对明文密码存储的这些缺陷, 人们设计了密文密码存储的策略。一般的策略是这样的:设置密码时, 先将密码以一定的加密算法进行加密, 再将密文存储到网站数据库中;进行鉴权操作时, 将密文还原成明文, 与用户输入的密码进行比较判断。
2、可逆加密算法与不可逆加密算法
一种算法, 若可根据确定的规则将密文还原成明文, 则该算法称为可逆算法;反之, 若不可根据确定的规则将密文还原成明文, 则该算法称为不可逆算法。
在网站应用中, 网站管理人员往往可以通过自己的职权直接获取数据库内容和加密程序内容, 掌握密文和加密算法。若采用可逆加密, 则网站管理人员比较容易获得其他用户的密码明文, 盗用其他用户的身份。若采用不可逆加密, 则网站管理人员不能通过计算还原的方法得到其他用户的密码明文, 无法盗用其他用户的身份。
3、逐位加密算法与整体加密算法
一般说来, 密码明文都由多位字符构成。逐位加密算法只针对每个字符位进行加密, 每个明文字符对应于一个密文字符, 全部密文字符组成密文字符串;整体加密算法对整个明文字符串进行加密, 单个明文字符与密文字符之间没有直接的对应关系。
三、传统的简单加密算法
1、平移映射加密
最简单的加密方法是将明文字符集以循环平移的方式映射到自身, 形成密文字符集。例如, 对于256个字符构成的ASCII码字符集, 可以有如下算法:
其中, A是明文字符的ASCII码, C是预先设置的一个常量, A*是密文字符的ASCII码。A*的定义域与A的定义域相同, 仍在0~255之间。例如, 对于C=3的情况, 密文字符“H”将被加密成“K”, 字符串“HELLO”将被加密成“KHOOR”。
这是一种可逆的逐位加密算法, 其优点是运算简单, 时间效率和空间效率较高, 缺点是密文中带有较明显的明文信息, 容易找到加密规律继而被破解。
2、密码表映射加密
与平移映射不同, 密码表加密是采用查表的方式实现明文与密文之间的映射, 明文与密文之间没有明显的对应规则。例如, 可以规定“A”→“2”, “B”→“t”, “C”→“%”……将ASCII码表的256个字符映射到自身。加密时, 通过查表来获得密文;解密时, 通过查表来获得明文。
这也是一种可逆的逐位加密算法, 其效率也比较高, 但可靠性仍然不佳。通过统计密文字符的出现频率, 可分析构建密码表, 进而破解其密码系统。
四、本校网站密码系统的机制及优势
本校网站密码系统采用了密文存储, 加密算法是整体加密的不可逆算法。一般说来, 公开算法和密文不会造成密码失密的后果。
加密函数的程序如下:
此函数支持的最大密码长度是16字节, 密文以字符形式的16进制数输出, 密文长度为明文长度*4。
程序使用变量i控制外层循环, 每次循环生成4个16进制位。变量j用于控制内层循环, 每次循环将第i个明文字符加上第j个明文字符的信息共同转化成中间信息, 累加到本次i循环所处理的中间信息上。每次i循环所得到的中间信息用取余和求平方的方法进行随机化, 再用取余的方法得到4个16进制位。
本算法具有以下特点:
1、密文字符与明文字符之间没有固定的对应关系, 因此, 不能通过频率分析的方法进行破解。
2、密文是由明文整体加密得来的, 一位明文在每
位密文中都有所贡献, 一位密文中包含了每位明文的信息, 因此, 无法通过字母表分析的方法进行破解。
3、本算法是不可逆加密算法, 即使已知密文和加密算法, 也不能直接计算出明文。
这样就可在一定程度上防止网站管理人员盗用其他用户的身份。
4、解密时使用密文进行比较判断, 而不将密文还原成明文, 提高了系统的安全性。
五、结语
任何加密算法都不是绝对可靠的, 本算法也存在着一定的不可靠因素。借助密码字典进行穷举尝试, 可以破解较短、较简单的密码。另外, 获取加密算法和密文之后, 通过大量的逆向尝试运算, 也可能获得密码明文。因此, 为保证网站安全运行, 仍需加强网站系统的整体安全性, 并要求用户使用较长、较复杂的密码。
密码系统 篇5
DNA芯片技术是指在固相支持物上原位合成寡核苷酸或者直接将大量的DNA探针以显微打印的方式有序地固化于支持物表面,然后与标记的样品杂交,通过对杂交信号的检测分析,即可获得样品的遗传信息。DNA芯片被广泛应用于大通量的基因表达分析,对疾病的基因诊断、生物的基因组学研究具有重大的作用。
由于DNA芯片的高度集成性,人们也开始探索DNA芯片应用于密码学领域。但每一条消息加密或解密过程都必须特别制作一张DNA芯片,成本巨大,信息传递效率极低。缺乏可操作性或操作成本太高,远远不能进入实用阶段。
此发明采用随机DNA序列制作DNA芯片,只需批量生产同一种DNA芯片,批量合成芯片上对应DNA的探针,无需对每一条秘密信息进行DNA芯片的特制。信息发送方也只需要使用上述预先批量合成的探针进行不同的配比混合,就可以传送和接收不同的秘密信息。
中科院制备铁电-半导体耦合光伏器件
中科院电工所化合物薄膜太阳能电池研究组在普通钠钙玻璃上制备的铁电-半导体耦合光伏器件,经中科院太阳光伏发电系统和风力发电系统质量检测中心认证,其转化效率达11.3%。
铁电-半导体耦合光伏器件,又叫纳米偶极子太阳能电池,属第三代太阳能电池。与传统PN结不同的是,该光伏器件是由具有铁电特性的纳米颗粒矩阵的极化电场来产生内建电场,而填充在纳米偶极子颗粒之间的半导体介质充当吸光材料的角色。在光照条件下,半导体吸光材料吸收可见光,产生光生载流子。后者在极化场的作用下分离,并向电池两极运动,对外电路输出功率,完成太阳能光伏器件的电流和电压两个必要输出。该新型器件与传统PN结光伏器件的重要区别是,薄膜中的纳米颗粒在外电场的极化作用下形成一个极化场,可在电池制备完成后,通过外电场的偏转影响电池输出电压,进而提高转换效率。中科院电工所刘向鑫团队采用硫化镉纳米颗粒作为压电材料、碲化镉作为吸光材料,不仅通过多种技术证明了纳米偶极子太阳能电池工作机理,而且将该新型光伏器件的转换效率提高到11.3%。
中芯赢高通28奈米订单,高通中芯携手合作
中芯国际与美国高通公司共同宣布,双方在28奈米制程和晶圆制造服务方面紧密合作,在大陆制造高通骁龙处理器,将会提升中芯国际28奈米制程的成熟度及产能,也使其成为本土率先为高通部分最新的骁龙处理器并提供28奈米多晶矽和高介电常数金属闸极制程产品晶圆代工业者之一。中芯国际此前已为高通的电源管理、无线及连接IC产品提供不同制程的支援,通过在28奈米技术及晶圆制造服务上的新合作,中芯国际将进一步强化与高通的战略合作关系,并共同为不断增长的移动通信行业带来新的28奈米设计和产品。未来,中芯国际还会将其技术延伸到立体堆叠晶片以及射频前端晶圆制造,以支援高通不断扩展的骁龙产品组合。透过最新合作协议,中芯国际表示将与高通共同为持续成长的行动通讯业带来新的28奈米设计和产品。未来,中芯国际还会将其技术延伸至3DIC以及射频前端(RF front-end)晶圆制造,以支援高通持续扩展Snapdragon 系列产品组合。在中芯国际正搭上国内无晶圆厂 IC产业成长浪潮的此时,高通毫无疑问仍是国内与全球市场最具主导地位的手机晶片供应商。
IBM豪掷30亿美元研发7纳米芯片
IBM将在未来五年里投资30亿美元用于研发7纳米芯片和碳纳米管等多项技术,以推动计算机处理器行业的发展。
IBM表示,未来五年里,它的第一个目标是开发晶体管直径仅为7纳米的芯片。第二个目标则是在当今一系列前沿芯片技术中进行有选择性的研发,其中包括碳纳米管、石墨烯、硅光子、量子计算、类大脑结构和硅替代品等。为达到第一个目标, IBM的研发工作将集中于寻找制造7纳米芯片所需的材料和工艺,使7纳米芯片的生产在经济上成为可能。 IBM的这些投资将用于为该公司在美国纽约、加州和瑞士的实验室提供资金,该公司还将为研发部门聘请新员工。
目前,IBM是材料科学、化学、物理学和纳米技术等高科技产业的领导者。IBM曾经声称,它在晶片处理器方面的专利比任何竞争对手都多一倍。然而,该公司的芯片产量增长相对落后,其发展势头反而不如英特尔、三星和TSMC等公司。(腾讯科技)
新傲科技投资参股300毫米大硅片项目合资公司
上海新傲科技股份有限公司与上海新阳半导体材料股份有限公司)、深圳市兴森快捷电路科技股份有限公司、上海皓芯投资管理有限公司,共同投资设立上海新昇半导体科技有限公司,承担300毫米半导体硅片项目。合资公司注册资本为人民币5亿元,其中上海新阳出资人民币1.9亿元,兴森科技出资人民币1.6亿元,新傲科技出资人民币0.5亿元,皓芯投资出资人民币1亿元。
300毫米半导体硅片是我国半导体产业链上缺失的一环,长期以来一直依赖进口,从国家发展战略和安全战略上考虑,都必须尽快填补这一空白。300毫米半导体硅片是我国半导体集成电路产业战略发展中亟待解决的、对提升全行业技术能级起支撑作用并具有很大产业化前景的关键技术和核心技术,具有举足轻重的全局性影响力。
本项目致力于在我国建设300毫米半导体硅片生产基地,实现300毫米半导体硅片的国产化,同时发展200毫米抛光硅片生产能力,充分满足我国极大规模集成电路产业的对硅衬底基础材料的迫切要求。
华虹设计新产品亮相住建部博览会
由住房和城乡建设部IC卡应用服务中心主办的“首届城市建设物联网技术产品博览会暨城市一卡通及智慧社区应用体验展”(博览会)在北京召开。上海华虹集成电路有限责任公司(华虹设计)积极参与本届博览会,在现场展示了与城市一卡通和金融支付相关的产品和解决方案。华虹设计在博览会现场的新品发布会上用多媒体视频方式生动展示了华虹非接CPU卡和金融IC卡互联网交易终端产品和解决方案。
随着行业的发展,用户对城市通卡提出了更多需求,如高安全性、大容量、多应用等。为了适应市场新需求,华虹设计推出了多样化的非接CPU产品配置和全套解决方案,包括密钥管理系统、交易终端等配套产品和服务,可以有效满足通卡用户的多种个性化需求。其中金融IC卡互联网交易终端集成了音频通讯接口,通过智能手机连接到互联网。只要有移动通信网络,用户便通过服务网站,随时随地就可完成还款、付款、缴费、充值、转账等多种金融支付业务。各项交易不受时间、地点限制,操作简单,享受真正的安全便利的网购刷卡消费。
华虹设计作为中国电子信息集团下属核心公司,在智能卡芯片领域持续耕耘,参与过不少行业内的第一项工程,有着丰富的实践经验。华虹设计积极配合住建部智标委的相关工作,先后参与了多项国家标准、行业标准的编制和修订,参与编制国家标准《城镇建设智能卡系统工程技术规范》,《数字城市智能卡应用技术要求》、《数字城市一卡通互联互通 通用技术要求》、《智慧社(园)区评价指标体系》等。华虹设计非接CPU卡产品和双界面产品均通过了住建部的测试和备案。
密码系统 篇6
1 RSA密码体制原理
1.1 RSA算法
RSA算法如下:
(1) 首先随机选两个大素数p, q, 计算n=p*q;
(2) 计算欧拉函数φ (n) = (p-1) * (q-1) ;
(3) 任选一个整数e, 要求e满足gcd (e, φ (n) ) =1;
(4) 根据公式e*d≡1 modφ (n) ;
(5) 加密:
将明文分成一定长度的明文块m,
加密过程是:c=m^e mod n
(6) 解密:
c=m^d mod n[1]
1.2 RSA密码体制中加密的核心算法
1.2.1 质数检测算法
(1) 计算q=sqr (n) ;
(2) q=q+1;
(3) For i=0 to q
1.2.2 欧几里德算法
欧几里德算法又称辗转相除法, 用于计算两个整数a, b的最大公约数。其计算原理依赖于下面的定理:
定理:gcd (a, b) =gcd (b, a mod b)
证明:a可以表示成a=kb+r, 则r=a mod b
假设d是a, b的一个公约数, 则有
d|a, d|b, 而r=a-kb, 因此d|r
因此d是 (b, a mod b) 的公约数
假设d是 (b, a mod b) 的公约数, 则
d|b, d|r, 但是a=kb+r因此d也是 (a, b) 的公约数
因此 (a, b) 和 (b, a mod b) 的公约数是一样的, 其最大公约数也必然相等。[3]
1.2.3 幂次求余算法
幂次求余算法是计算M= (C*D) MOD N算法如下:
(1) D->B, W=1;//把D的值赋给B, 给W赋值1
(2) W^C MOD N->W//计算上次余数乘上C后模上N的结果赋给W
(3) if B=1结束输出W//如果B=1, 程序结束
Else B-1->B, goto步骤 (2) ;//不等于1, B=B-1, 转到步骤 (2)
算法流程图如图1。
1.3 拓展RSA密码体制中加密算法
1.3.1 基本运算算法
由于RSA的安全性取决于N的位数, 现在流行的RSA要求N的位数达到1024位, 这使得在RSA中涉及的四则运算都不能实现, 为了能把RSA的安全性提高, 我们必须重新设计基本运算。基本运算包括:四则运算, 求余运算, 比较大小算法, 指定位数大数生成运算等。下面以加法算法进行详细说明, 算法如下:
准备工作:把加数和被加数转换成字符串。
1) 读取被加数a (字符串) 和加数b (字符串) 进位标志JW=0
2) 保证a>b//如果a
3) For i=length[b]to 0 do{//从低位开始
4) IF JW=0 THEN//b的最高位做完后进位处理
5) IF JW=0 THEN//a的最高位运算结束后处理进位, 如99+1=100
6) RETURN str;//返回结果, 字符串
算法流程图如图2。
1.3.2 米勒-拉宾算法
当数值过大时, 3.2.1质数检测算法速度很就慢, 所以我们需要一种更高效的质数检测算法, 米勒-拉宾算法就是这样一个算法。由于米勒-拉宾法的非确定性, 当我们对判定素数的要求仅为需要为“是”的判定时, 用米勒-拉宾法比较容易, 算法如下:
Miller-Rabin (n)
把n-1写成n-1=2^k*m, 其中m是一个奇数
选取随机整数a, 使得1<=a<=n-1
若n通过一次测试, 则n不是素数的概率为25%。[2]算法流程图如图3。
2 RSA密码体制通信系统的设计与实现
2.1 RSA密码体制系统加密模块程序流程图
RSA密码体制中加密密匙生成及对明文加密的过程如图4所示。
2.2 RSA通信系统模块设计与实现
RSA通信系统中, 通信双方都同时具有发送和接收的能力, 即可以作为通信的加密端也可以作为通信的解密端。利用各自的不同公钥和私钥完成加密和解密, 从而完成信息的秘密传送。
2.2.1 RSA通信系统的发送端加密模块流程图
图5为通信发送流程图。
2.2.2 RSA通信系统的解密模块
RSA通信系统的解密模块数据流程图陈述系统怎样实现对信息进行解密的过程。如图6所示。
3 RSA的安全性分析
RSA的安全性依赖于大整数的因式分解问题。实际上, 人们推测RSA的安全性依赖于大整数的因式分解问题, 但谁也没有在数学上证明。可以想象可能会有完全不同的方式去分析RSA。然而, 如果这种方法能让密码解析员推导出d, 则它也可以用作大整数因式分解的新方法。最难以令人置信的是, 有些RSA变体已经被证明与因式分解同样困难。甚至从RSA加密的密文中恢复出某些特定的位也与解密整个消息同样困难。另外, 对RSA的具体实现存在一些针对协议而不是针对基本算法的攻击方法。
3.1 RSA的选择密文攻击
RSA在选择密文攻击面前很脆弱。一般攻击者是将某一信息作一下伪装 (Blind) , 让拥有私钥的实体签署。然后, 经过计算就可得到它所想要的信息。实际上, 攻击利用的都是同一个弱点, 即存在这样一个事实:乘幂保留了输入的乘法结构:
(XM) ^d=X^d*M^d mod n
前面已经提到, 这个固有的问题来自于公钥密码系统的最有用的特征--每个人都能使用公钥。但从算法上无法解决这一问题, 主要措施有两条:一条是采用好的公钥协议, 保证工作过程中实体不对其他实体任意产生的信息解密, 不对自己一无所知的信息签名;另一条是决不对陌生人送来的随机文档签名, 签名时首先使用One-Way Hash Function对文档作HASH处理。[4]
3.2 RSA的公共模数攻击
若系统中共有一个模数, 只是不同的人拥有不同的e和d, 系统将是危险的。最普遍的情况是同一信息用不同的公钥加密, 这些公钥共模而且互质, 那末该信息无需私钥就可得到恢复。设P为信息明文, 两个加密密钥为e1和e2, 公共模数是n, 则:
C1=P^e1 mod n
C2=P^e2 mod n
密码分析者知道n、e1、e2、C1和C2, 就能得到P。
因为e1和e2互质, 故用Euclidean算法能找到r和s, 满足:
r*e1+s*e2=1
假设r为负数, 需再用Euclidean算法计算C1^ (-1) , 则
(C1^ (-1) ) ^ (-r) *C2^s=P mod n
另外, 还有其它几种利用公共模数攻击的方法。总之, 如果知道给定模数的一对e和d, 一是有利于攻击者分解模数, 一是有利于攻击者计算出其它成对的e和d, 而无需分解模数。解决办法只有一个, 那就是不要共享模数n。
RSA的小指数攻击。有一种提高RSA速度的建议是使公钥e取较小的值, 这样会使加密变得易于实现, 速度有所提高。但这样作是不安全的, 对付办法就是e和d都取较大的值。[4]
RSA算法是第一个能同时用于加密和数字签名的算法, 也易于理解和操作。RSA是被研究得最广泛的公钥算法, 从提出到现在已近二十年, 经历了各种攻击的考验, 逐渐为人们接受, 普遍认为是目前最优秀的公钥方案之一。RSA的安全性依赖于大数的因子分解, 但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何, 而且密码学界多数人士倾向于因子分解不是NPC问题。
3.3 RSA加密算法的缺点
1) 产生密钥很麻烦, 受到素数产生技术的限制, 因而难以做到一次一密。
2) 安全性, RSA的安全性依赖于大数的因子分解, 但并没有从理论上证明破译RSA的难度与大数分解难度等价, 而且密码学界多数人士倾向于因子分解不是NPC问题。目前, 人们已能分解140多个十进制位的大素数, 这就要求使用更长的密钥, 速度更慢。
3) 速度太慢, 由于RSA的分组长度太大, 为保证安全性, n至少也要600 bitx以上, 使运算代价很高, 尤其是速度较慢, 较对称密码算法慢几个数量级;且随着大数分解技术的发展, 这个长度还在增加, 不利于数据格式的标准化。目前, SET协议中要求CA采用2048比特长的密钥, 其他实体使用1024比特的密钥。为了速度问题, 目前人们广泛使用单, 公钥密码结合使用的方法, 优缺点互补:单钥密码加密速度快, 人们用它来加密较长的文件, 然后用RSA来给文件密钥加密, 极好的解决了单钥密码的密钥分发问题。[1]
参考文献
[1]步山岳.计算机信息安全技术[M].北京:高等教育出版社, 2005.
[2]何大可.现代密码学[M].北京:人民邮电出版社, 2009.
[3]Douglas R.Stinson.密码学原理与实践[M].北京:电子工业出版社, 2003:131-132.
基于单片机的电子密码锁系统设计 篇7
电子密码锁在两种情况下可报警:第一是密码输入的错误次数达到3次时, 则报警;第二是在系统的红外监视装置监测下, 当门非正常打开时会发出报警声, 这样确保系统的安全稳定性。系统在正常工作状态下, 用户输入4位由自己原来设定的密码, 此时系统会将输入的密码与原来设定的密码进行比较, 若密码正确, 则门会被打开, 系统不报警;若密码不正确, 则系统有指示灯错误提示信号, 则需要重新输入密码, 密码输入不能超过3次, 超过3次密码错误, 则系统会发出报警信号, 本系统所提的密码锁具有操作性强, 方便设计编程, 能耗低, 应用市场比较广泛。
1 电子密码锁的总体设计
本设计选用单片机、数码管、指示灯、存储器, 具体如图1所示。
1.1 设计项目功能。
51单片机是本文的电子密码锁设计的主控芯片, 其他电路的组成都是由单片机进行控制。整个系统的执行过程完全有单片机负责执行, 从而来控制密码锁的打开与关闭。
1.2 开锁机构设计。
本设计系统通过单片机传输给各个开锁执行机构, 各个执行机构运行单片机的写入程序使得电路驱动电磁锁开合, 这样就可以达到电子密码锁开锁的目的了。
用户是通过输入的正确的密码并且在规定的时间及次数之内, 信号通过单片机的传输, 从而达到电子密码锁开锁的目的。
2 硬件电路设计
整体电路图 (图2)
3 软件设计
3.1 系统软件设计整体思路。
完善的硬件设施是系统得以顺利运行的首要保证, 同时, 随着微机应用高速的发展, 设计相应合理的软件是非常必要的, 因为通过软件编程可代替许多由系统硬件来完成的工作。甚至通过软件简单的编程可以代替很复杂的硬件电路才能完成的工作, 例如数字滤波, 信号处理等。
3.2 软件设计流程图 (图3) 。
4 程序调试
用汇编语言把编写好的程序载入到软件调试工具中, 看看有没有语法和设法的错误, 然后根据软件的提示再对程序进行修改, 直到没有错误出现为止, 然后再生成单片机运行的机器码, 然后机器码再被写入单片机中进行程序调试, 直到调试满意为止。
4.1 程序调试用到的软件及工具。本程序的调试需要用到KEIL C51, 及51开发板一块以及其他配套的软件设施。
4.2 调试过程。在调试程序时, KEIL C51的主程序首先被打开, 把事先编写好的程序再写入新建的文本中, 再保存, 再检查, 直至没有错误为止, 然后再生成51单片机可执行的HEX文件。
5 设计总结与展望
电子密码锁是应于信息化和人类社会发展和需求的产物, 随着科技及信息化的快速发展, 以后的电子密码锁更加智能化, 更加安全便捷, 更能适应于人们的实际需要。
参考文献
[1]李朝青.单片机原理及接口技术 (简明修订版) [M].北京:北京航空航天大学出版社, 1998.
[2]李全利.单片机原理及接口技术[M].北京:高等教育出版社, 2003.
[3]PROTEL99 SE电路设计与制板[M].北京:机械工业出版社, 2007.
[4]杨将新, 李华军, 刘到骏等.单片机程序设计及应用 (从基础到实践) [M].北京:电子工业出版社, 2006.
[5]Steven F.Barrett.Daneil J.Pack.Embedded System[M].北京:电子工业出版社, 2006.
[6]周立功.LPC900系列Flash单片机应用技术[M].北京:北京航空航天大学出版社, 2004.
密码系统 篇8
关键词:虚拟机,多核技术,密码系统,信息安全,EFI
0引言
Internet飞速发展, 信息化在社会中不断深入, 电子商务、电子政务的应用日益广泛, 技术的开放性与互联性带来的众多安全问题是始料未及的, 系统自身的漏洞、病毒、木马给信息安全带来了莫大的挑战。
信息安全服务依靠安全机制来完成, 而安全机制主要依赖于密码技术[1], 因此, 密码技术是信息安全的核心。而密码算法 (Cryptography Algorithm, 用于加密和解密的数学函数) 又是密码技术的核心, 其重要性受到世界各国的重视, 1977年美国NIST提出数据加密标准 (DES) , 其后多种密码算法在世界各国相继出现, 这些算法有:RJJ INDAEL、 MARS、RC6、Twofish、Serpent、IDEA、CS-Cipher、MMB、CA-1.1、SKIPJACK、Karn等对称密码算法以及背包公钥密码算法、RSA、ElGamal、椭圆曲线密码算法 (ECC) 、NTRU等非对称密码算法。这些算法强度不一, 但仍然难以在有限的时间内加以破解。
密钥的安全性是密码技术安全性的另一个不可忽视的方面, 一般来说, 系统的保密性应遵循不依赖于加密体制或算法而只依赖于密钥的保密 (Kerckhoff) 原则[2], 也即是, 加密和解密算法是公开的, 密码分析者可以知道算法与密文, 但由于他并不知道密钥, 因此仍难以将密文还原为明文。为此, 专用加密机、TPM应运而生。它们可将密钥存储, 密码学运算和操作系统隔离, 防止密钥被非法获取。
本文在对密码学基本概念介绍的基础上, 对密码技术中的密钥保护技术进行研究, 着重分析了基于虚拟机技术的密码系统的理论及其应用价值, 并给出了基于EFI-Tiano和多核处理器的密码系统的实现方法。
1传统的密码系统
普通纯软件实现的密码系统是完全在操作系统的内存中进行密钥的生成、存储和应用。尽管这样的密码系统在密钥存储中可能会采取分层加密的方式以提高用户密钥的保密性, 但分层加密的保密性最终依赖的是一个根密钥, 一旦此根密钥暴露, 那受其保护的其它密钥也能够被逐层地解密[3]。
因此, 必须把密码系统和应用系统从物理上或者逻辑上隔离开来才能较好地解决密钥保密性的问题。
现有的密码系统如加密机、TPM都采用物理隔离使密码系统同应用系统保持分离[4,5]。这些加密系统都是完全独立的, 有自己的运算器、控制器、存储器、IO端口等等, 并通过网络或总线与计算机系统相连接。对计算机系统来说, 他们就像黑盒一样, 无法用通常的手段来获取其内部关键信息, 如密钥等。
2基于虚拟机的密码系统
虚拟机作为主操作系统下的一个应用程序可以为运行于其上的目标操作系统创建出一部虚拟的机器, 目标操作系统就像运行在一台独立的真实的计算机上, 丝毫察觉不到自己是处于主操作系统的控制之下[6]。在虚拟机上运行的应用程序认为自己独占整个计算机。由于虚拟机的处理器、存储器、IO控制器都只是全部计算机资源的某个子集, 这就使得运行在虚拟机上的应用程序既无法判断自己是否运行在真实计算机上, 也无法使用到这个子集以外的系统资源。也就是把虚拟机同计算机的其余资源通过逻辑隔离分割开来, 而密码系统则工作在虚拟机以外的主操作系统之上。系统的结构如图1所示。
通过这样的设计, 密钥的生成、存储和应用完全都在目标操作系统之外完成, 而目标操作系统仅能通过主操作系统提供的接口使用到密码系统提供的密码功能, 从而保证了密钥的安全, 提高了整个密码系统的安全水准。
3密码系统的设计与实现
本文论述的设计实现方案是使用EFI (Extensible Firmware Interface) 作为虚拟机的主操作系统。EFI是Intel于1999年开始开发并于2004年成功完成的新一代BIOS规范。它与传统的BIOS不同, 1) EFI采用C语言编写, 运行在保护模式下;2) EFI采用模块化设计并具有定义清晰的规范;3) 使用OS Loader兼容传统的操作系统;4) EFI使用Shell支持功能扩展;5) Intel为EFI开发了许多硬件驱动程序, 使得EFI能够原生地支持最新的硬件设备[7]。此外, EFI密码系统可以被固化入BIOS, 可以进一步提高安全性。因为EFI拥有不输于一般操作系统的强大功能, 又具有BIOS可固化的特点, 所以它非常适合成为虚拟机的密码系统的主操作系统。
用C语言编写的EFI可以通过Shell运行同样是用C语言编写的应用程序, 而传统BIOS是由汇编语言编写且无法运行扩展程序。同时EFI使用OS Loader来兼容传统的操作系统, 用于支持非EFI-aware的操作系统的引导。在本方案中就是用Shell应用程序把作为虚拟机客户操作系统的Linux加载到第二个处理器核心AP (Application processor) 来执行[8]。首先, EFI需要进入Shell 并执行命令OsLoader.efi elinux.img把Linux加载到AP运行。之后, 启动密码系统CryptoSys.efi, 这一Shell程序首先使用BootService->AllocatePages () 分配用于建立消息传输通道的存储空间, 指定地址参数为物理地址0xA000。这块地址能够映射到Linux内核的相应地址。然后进入以下循环:
while (true)
{
ReciveMessage () ; //读取 (服务请求)
TranslateMessage () ; //处理 (密码学运算)
SendMessage () ; //发送 (返回运算结果)
}
另一方面Linux在成功启动后运行insmod加载一个块设备驱动程序virtual cryptography device driver, 在这个设备驱动中实现了与EFI加密系统的通信协议, 并在/dev下新建了一个块设备。当Linux应用程序打开这个设备并执行写操作时, 设备驱动首先对写入的块进行分析, 将数据部分写入内核存储区, 再发送消息给EFI密码系统。在执行读操作时, 驱动程序使用ReciveMessage () 获取返回结果, 验证后能把加解密的结果从内核存储区移动到客户存储区。简单来说, Linux应用程序只需打开这个块设备, 并使用读写操作就能使用各种密码服务了。
基于典型桌面计算机系统, 虚拟机的实现采用的是逻辑分区的方式, EFI和Linux分别使用各自独占的设备[9]。Intel Dual-Core处理器中的两个核心被划分给EFI和Linux各自使用, 同时内存也作了划分, Linux使用高端的128M内存, 而EFI使用低端内存, 此外的设备如外存, 输入输出设备都分配给了Linux使用。所以从Linux看来, 它就像运行在一台普通的计算机上一样, 完全不知道自己是一个虚拟机, 而在另一个处理器上还有密码系统在工作。虚拟机密码系统工作时序图如图2所示。
4安全性与效率分析
运行在操作系统中的密码系统因容易受到其它进程的影响, 特别是恶意程序, 如病毒、木马后门的攻击导致密钥泄漏等问题, 所以安全性较低, 不适用于保密性要求较高的应用场合。
而由于基于虚拟机的密码系统与操作系统分离, 操作系统进程无法访问密码系统的存储空间, 从而可达到保护密码系统中的密钥等关键信息的目的。在本文论述的EFI虚拟机的实现方案中, 运行在Linux中的进程如果读写操作系统范围外的内存数据只会获得一个错误信息作为返回。因此恶意程序无法获取或者更改密码系统的密钥, 从而保证了密钥的安全性。
此外, 基于EFI虚拟机的密码系统也拥有较强的性能, 由于采用了系统的中央处理器作为密码系统的处理器, 并采用了系统内存作为密码系统的存储器, 不论是处理器运算速度还是存储器带宽都大幅度超越使用单片机的TPM和加密机, 以Sha256签名算法为测试用例, 当平均数据长度在350Bit时, 签名速度约10.2MB/S;当平均数据长度增加到13.3KB时, 由于数据交换的代价降低, 签名速度可提高到约19.1MB/S。
在实时加密方面, 由于操作系统和密码系统分别使用不同的处理器核心, 加密运算能够做到不受操作系统进程数目的影响, 也就是不论操作系统的进程数有多少, 系统资源占用率有多高, 密码系统总是能够保证密码运算的速度不会降低, 此特性非常有助于提高如网络视频、音频加解密传输等实时密码运算的性能。
参考文献
[1]秦志光.密码算法的现状和发展研究[J].计算机应用, 2004, 24 (2) .
[2]杨茂磷, 葛勇.密码算法及其在军事通信中的应用[J].火力与指挥控制, 2006, 31 (3) .
[3]张淼, 杨昌.可信计算平台中的密钥管理[N].楚雄示范学院学报, 2006, 21 (9) .
[4]曲英杰.可编程移动电脑加密机的设计方法[J].计算机工程与应用, 2007, 43.
[5]孔维广.TPM的工作模型[N].武汉科技学院学报, 2005, 18 (1) .
[6]曾宪伟, 张智军.基于虚拟机的启发式扫描反病毒技术[J].计算机应用与软件, 2005, 22 (9) .
[7]Intel Corporation.Extensible Firmware Interface Specification Version1.10.2002, 12.
[8]Intel Corporation.Multi-Processor Specification Version1.4.1997, 5.
密码系统 篇9
一、椭圆曲线密码体制
椭圆曲线加密法ECC(Elliptic Curve Cryptography)是一种公钥加密技术,以椭圆曲线理论为基础,利用有限域上椭圆曲线的点构成的Abel群离散对数难解性,实现加密、解密和数字签名,将椭圆曲线中的加法运算与离散对数中的模乘运算相对应,就可以建立基于椭圆曲线的对应密码体制。椭圆曲线是由下列韦尔斯特拉斯Weierstrass方程所确定的平面曲线:
椭圆曲线加密算法以其密钥长度小、安全性能高、整个数字签名耗时小,使其在智能终端应用中有很大的发展潜力,比如掌上电脑、移动手机等都能有更好的表现。而在网络中,ECC算法也保证了其协同工作的实时性,使用ECC算法加密敏感性级别较高的数据(如密钥),速度上能够满足大数据量要求,而且安全性高,能很好地保障系统的安全。
由于椭圆曲线密码体制的安全性只与椭圆曲线的安全性有关,而椭圆曲线安全性是由ECDLP求解的困难性决定的,因此,为了保证ECDLP是难解的,在选取椭圆曲线的时候除了选择合适的参数(a,b),使得相应的Weierstrass方程满足非超奇异椭圆曲线的要求外,还要选取合适的有限域GF(q),使得q满足#E能被一大素数(≥30位的整数)整除,或q本身就是一个大素数。安全的椭圆曲线也就是能抵抗各种已有攻击算法攻击的椭圆曲线。
1. 选取安全椭圆曲线时应该遵循的一些原则
(1)E选用非超奇异椭圆曲线,而不选取奇异椭圆曲线、超椭圆曲线以及反常椭圆曲线;
(2)#E不能整除qk-1,1≤k≤20;
(3)当q=P为素数时,#E应为素数,随机选取椭圆曲线上的一点作为基点;当q=2m时,#E应包含大的素因子,如#E=2n,4n,其中的n是大素数,且m不取合数。随机选取E上一阶为n的点作为基点;
(4)选择以基点生成循环子域H∈GF(q)上实现ECC,|H|是#E的最大素因子。
2. 描述一个利用椭圆曲线进行加密通信的过程
(1)用户A选定一条椭圆曲线Ep(a,b),并取椭圆曲线上一点作为基点G,选择一个私有密钥k,并生成公开密钥K=k G;
(2)用户A将Ep(a,b)和点K,G传给用户B;
(3)用户B接到信息后,将待传输的明文编码到Ep(a,b)上一点M,并产生一个随机整数r(r
(4)用户B将C1、C2传给用户A;
(5)用户A接到信息后,计算C1-k C2,结果就是点M。
因为C1-k C2=M+r K-k(r G)=M+r K-r(k G)=M,再对点M进行解码就可以得到明文。
在这个加密通信中,如果有一个入侵H,他只能看到Ep(a,b)、K、G、C1、C2而通过K、G求k或通过C1、C2求r都是相对困难的。因此H无法得到A、B间传送的明文信息。基于椭圆曲线的密码体制如图1所示。
二、基于椭圆曲线密码体制的网络身份认证系统
由于网络具有信息量大的特点,其主要威胁来自于非授权用户的非法访问,因此它对数据完整性的要求很高,需要最快的速度提供最高的安全性,保证信息的机密性、完整性和有效性。网络身份认证是依靠用户账号、口令或者生物特征等信息来实现的,这些认证方法在某种程度上存在着安全隐患,如账号、口令或指纹特征信息在存储、传输过程中可能被截取、被篡改等。在身份认证系统中,起关键作用的是其中的加密体系。本文设计的身份认证系统中,用户首先要通过认证模块进行注册,注册成功后,获得经过系统认证中心C A签名的公钥和私钥。用户公钥和CA的公钥都是公开信息,用户的私钥只有用户本人知道,由用户自己保存。
1. 系统的总体结构
假设通信的是A与B双方,A与B处在同一个网络中,文本加解密采用对称算法AES,而密钥的传输与签名验签都采用非对称算法ECC。系统由服务器和客户端两部分组成,如图2所示,服务器端包括代理服务器、认证服务器、应用服务器;客户端包括代理客户端、认证客户端。代理客户端和代理服务器共同完成代理功能,认证客户端和认证服务器共同完成身份认证功能。
系统模型主要工作流程如下:
(1)将用户信息存放在系统数据库中;
(2)客户端应用程序通过客户端代理向认证模块请求申请登录认证;
(3)认证模块检查用户身份并完成认证过程,向客户端发放应用服务器的Ticket;
(4)客户端向安全代理服务器请求获取访问策略数据;
(5)安全代理服务器读取访问控制表中对应的策略控制记录,确定用户是否有权限访问相应的应用服务器资源;
(6)确定用户有权访问后,连接到相应的应用服务器;
(7)客户端与应用服务器间建立起了一条加密通道,双方通过此通道来交换数据。
2. 系统功能模块及实现
(1)认证模块。认证模块主要实现身份认证、密钥分发等功能,采用基于公钥密码体制的改进Kerberos认证协议来对用户进行身份认证,是模型的核心部分。
认证模块由认证客户端模块、认证服务器端模块组成。当客户端代理接到来自客户端的任意请求时,先判断是否为客户端代理启动后接收到的第一个请求,如果是,则客户端代理必须先去认证服务器进行身份认证。
(1)认证客户端。认证客户端主要包括六个模块,分别为:A S请求模块、TGS请求模块、GSSAPI接口模块、Kerberos GSSAPI模块、票据列出模块、票据销毁模块。
AS请求模块主要功能是用户获取TGS的票据TGT。当用户进行身份认证时,AS请求模块被调用,从AS服务器中获取TGT。AS请求模块包括获取Ticket模块和报错子模块。通过调用ECC加密模块,对每条信息进行必要的安全处理;TGS请求模块主要用于获得应用服务器的票据。在调用TGS请求之前,客户端必须己经得到TGT,以便用TGT向TG服务器证明自己的身份。GSSAPI接口模块用于实现与客户端代理的接口,客户端代理调用GSSAPI接口模块来进行身份认证;Kerberos GSSAPI模块被GSSAPI接口模块调用,真正实现建立安全上下文,报文保护级别协商以及对每条报文的保护。通过调用Kerberos GSSAPI模块,用户获得与代理服务器进行加密通信的会话密钥。票据列出模块用于列出保留在缓存中的主要实体名和当前所有活动票据的内容。票据销毁模块用于销毁所有的票据,以防止他人窃取票据,当用户断开与服务器的连接时,系统会调用该模块来销毁用户的票据。
(2)认证服务器。认证服务器模块主要包括KDC模块、GSSAPI接口模块Kerberos GSSAPI模块以及其他辅助模块。
KDC模块主要完成用户身份认证和票据分发等功能,包括AS请求处理子模块和TGS请求处理子模块。它与认证客户端的AS请求模块和TGS请求模块一起工作,来完成身份认证和票据分发功能;GSSAPI接口模块用于实现与代理服务器的接口,代理服务器调用GSSAPI接口模块来进行身份认证,而GSSAPI接口模块则调用Kerberos GSSAPI,用于真正实现建立安全上下文,报文保护级别协商以及对每条报文的保护。
(2)代理模块。代理模块在模型中主要实现客户端应用程序通过代理客户端、代理服务器访问应用服务器的功能,通过采用Socks5协议实现。
代理模块分别在客户端和应用服务器端加载一个代理软件。客户端代理接受客户端的所有请求,经处理后转发给服务器端代理。客户端代理首先与代理服务器建立一个TCP连接,通常SOCKS端口为1080,通过安全隧道,代理服务器认证并接受所有来自客户端软件的通信。若身份得以认证,则安全服务器将请求递交应用服务器,处理请求后并将结果返回安全服务器,安全服务器将此结果返回给客户端。
安全代理服务器在确认客户端连接请求有效后接管连接,代为向应用服务器发出连接请求,安全代理服务器应根据应用服务器的应答,决定如何响应客户端请求,代理服务进程应当连接两个连接,客户端与代理服务进程间的连接、代理服务进程与应用服务器端的连接。为确认连接的唯一性与时效性,代理进程应当维护代理连接表或相关数据库。安全代理服务器为所有网络通信提供了一个安全隧道,在建立通道的过程中,存在用户认证的过程。用户经过认证和原始协议请求,通过GSSAPI建立的安全隧道传送。
(3)加密模块。加密模块在系统中主要完成对数据的加解密处理,通过调用椭圆曲线加密算法具体实现。模型中采用ECIES加解密方案,具体实现过程采用bor Zoi算法库。bor Zoi是个免费的C++椭圆曲线加密库,含有完整的源代码,提供了定义在特征值为2的有限域上的算法,提供了加密模块。
三、系统安全性分析
系统提供了应用层的安全解决方案,可作为网络的授权访问控制中心,提供用户到应用服务器的访问控制服务。基于椭圆曲线加密法的网络身份认证,用户可以采用较短的密钥长度来实现较高的安全性,这样既有便于用户的记忆也提高了服务器的计算速度,从而将大大缩短登录时间。在椭圆曲线密码体制中,椭圆曲线Ep(a,b)中p、a、b的任何一个数字改变就产生新椭圆曲线方程,这样既可为用户提供丰富的选择性也可以为服务器节约更广阔的存储空间,同时确保网络信息的保密性、完整性和可用性。
本文通过分析椭圆曲线密码体制,建立了网络身份认证系统模型,该模型采用软硬件协同的方式,基于混合加密体制,使用速度快而安全性高的ECC算法进行加解密、签名与验证签名,对网络的信息建立起良好的保护的屏障,能够很好地抵抗重放攻击、猜测攻击、网络窃听攻击,整个网络身份认证方案简单有效。
参考文献
密码系统 篇10
关键词:密码学;计算机;系统安全;运用
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-01
密码学作为集编制、破译为一体的技术,在计算机系统安全中有重要作用。其不仅具有信息鉴别、信息保护优势,还具有数字签名和保证数据完整性、抵赖性等优势。然而,在实际应用过程中总会有不完善的地方,为了使密码学在计算机中更好的应用,有必要对密码学的概况、作用等相关内容进行相应研究。如何将密码学更好的应用在计算机系统安全中,已经成为相关部门值得思索的事情。
一、密码学概况
密码学就是对编制密码和破译密码技术进行研究。对密码变化客观规律进行研究并将其应用在编制密码上,使其通信密码得以保护,可以将其称为编制密码学。将其应用在破译密码上并用来获取通信情报,可以将其称为破译密码学。将编码学和破译密码学结合一切,可以称其为密码学。编制密码学是由密码体制设计而成的,破译密码学是由密码体制复制而成的,二者作为密码学重要内容,其在技术上是相互支持、不可分割的整体。密码体制一般可以分为对称密钥密码体制和非对称密钥密码体制。其中对称密钥密码体制要求加密双方必须有同样的密钥。非对称密钥密码体制则不需要加密双方有同样的密钥,这种密码体制在不知道双方相关信息的条件下,加密密钥和解密密钥是不能相互计算的。就目前来看,密码学除了在编制密码和破译密码中使用外,在安全管理和安全协议设计中也有所应用。
二、密码学功能及种类
(一)密码学功能
密码学在网络安全中,主要是用来辅助完成敏感信息传递并保证其安全的。具体来说,在计算机网络中,可以通过数据加密来变换信息,并以信息的形式伪装来保护敏感信息,使未经授权者无法知晓被保护信息内容。密码学主要功能有机密性、鉴别性、报文完整性和不可否认性。机密性就是只有发送方和指定接收方能理解的传输报文内容,即便窃听者能从中截获报文,也会因为报文加密而无法还原原有信息或是无法还原到报文原有的内容;鉴别就是发送方和接收方都可以对通信过程涉及到的一方进行证实,证明通信另一方具有其之前声称的身份,也就是第三者无法冒充通信对方,一方可以以所掌握的信息对对方的身份进行鉴别;报文完整性就是发送方和接收方可以互相鉴别,但是在证实之前必須保证通信内容在传输过程中没有被改变;不可否认性就是当人们收到通信方报文之后,还需要对报文发送方发送的报文进行证实,看其是否在发送报文后否认自己发送过报文,以确保信息安全。
(二)密码学种类
密码学在实际应用过程中,除了需要算法本身以数学的方式证明其是安全的,也需要算法在实际应用中证明其是安全的。随着攻击手段及密码分析技术的不断进步,迫切需要新的密码算法。目前来看,已经对密码学提出了信息的算法。其主要包括在线/离线密码学、代理密码学、密钥托管问题及身份密码学等。在线/离线密码学是针对非对称密码执行效率无法满足实际速度而提出的。其主要内容就是将密码体制分为在线执行阶段和离线执行阶段。其中离线执行阶段以耗时较多计算为主,实际执行中可以提前执行。而在线阶段主要是执行一些计算量较地的工作;代理密码学一般包括代理签名和代理密码系统,二者都可以提供代理功能,其代理功能主要是代理签名和代理解密;密钥托管就是在密钥管理中以法律轻质的形式对域进行访问,其一般是指被通信加密和存储的额外信息块,主要作用是对合法政府实体和被授权第三方的明文信息进行保护。为了使典型的密钥构造更合理,可以将密钥分成不同密钥碎片,并用不同的密钥托管代理公钥来对密钥碎片进行加密,再以门限化形式对密钥碎片进行加密,以此来解决监控问题;身份密码学就是将用户的姓名或电子邮件地址作为公钥,而私钥则可以通过用户私钥生成器对可信任第三方进行计算得到。目前来看,这种方法可以对身份进行鉴别、加密、签名、门限体制、密码体制等。
三、密码学在计算机安全系统中的应用
计算机安全问题主要来源于人为的破坏,一旦出现人为的破坏,计算机的系统安全就无法保证,用户信息安全也无法保证。通过对密码学概况、功能、种类叙述可以知道密码对计算机安全有重要作用。其不仅能计算机系统提供相应服务,同时也能解决一些衍生问题。将密码学应用在计算机安全系统中,能用来编制密码和解密,发信方和收信方信息往来时通过对称密钥和非对称密钥才能知晓报文信息,在一定程度上能保证发信方和收信方安全,使信息不被第三方截获,同时也能计算机安全进行更好管理,以保证系统和用户安全。密码学在计算机中应用,也能对计算机病毒进行检测,以避免计算机受病毒侵袭而使其计算机不能正常运行。虽然现在的密码学取得了一定成就,但是其还不够完善,随着科学技术不断的发展,新密码学不断的研究和应用,计密码学将会被逐步完善,密码技术将会更加成熟,在计算机系统中应用能更好满足其需求。
四、结束语
就目前来看,许多密码学已经被广泛应用在不同领域安全系统中,尤其是在计算机中的应用,在一定程度上保证了其系统安全,也保证了你们使用安全。然而,随着科学技术不断的发展,计算机网络中会出现更多安全问题,为了更好保证计算机安全,还应该加大密码学研究力度,发展密码学理论和创新密码算法,以便更好解决计算机发展中的网络安全问题。
参考文献:
[1]陈峰.信息安全的研究现状及发展[J].中国人民公安大学学报,2009,15,2
[2]罗婉平.现代计算机密码学及其发展前景[J].江西广播电视大学学报,2009,3
[3]王新成,孙宏,蔡吉人,杨义先.基于TPM芯片的计算机安全启动系统设计[J].电子技术应用,2008,32,13
[4]田野,张玉军,李忠诚.使用对技术的基于身份密码学研究综述[J].计算机研究与发展,2008,43,10
密码系统 篇11
信息安全是国家重点发展的新兴学科, 是一门计算机科学与技术、通信工程、信息与计算科学等学科的交叉学科[1]。密码学是信息安全专业的基础必修课, 对于计算机、电子信息类专业人才培养目标的实现有着至关重要的作用。
然而, 在传统的密码学教学过程中, 出现了许多由于课程本身的特性而引发的实际问题, 严重影响着教学工作的有效开展, 对教学效果有明显的制约作用。存在的主要问题有:
(1) 传统的教学手段单一, 教学内容晦涩难懂。传统的课堂教学包括实践教学在内, 主要以教师讲授为主导, 老师与学生间, 学生与学生间的交流互动缺乏, 并且教学方式单一, 多以多媒体演示或者板书为主, 对于密码学课程所涉及的诸多密码算法缺乏对细节的动态介绍, 其内容抽象, 使得学生难于深刻理解算法的原理。
(2) 实践教学缺少助力。目前大多数的院校在密码学课程的教学中, 都会安排有相应的实践教学内容。但在实际的教学过程中, 缺少系统的实践教材或讲义, 没有对应的实验平台和工具, 使得实践教学的效果很难达到预期, 学生的实践动手能力难于提高。
(3) 缺乏有效的辅助工具, 学生的学习积极性和主动性不够, 久而久之, 对课程产生厌烦心理, 继而不能良好地继续课程的学习。
基于教学过程中发现的问题, 本文提出了一种密码算法的动态演示系统用于教学, 该系统实现了DES、AES、MD5、SHA、RSA等密码学课程中的关键算法, 可将各类算法的运行细节, 每个模块的数据变化进行演示, 学生通过演示系统的推算, 快速地理解并掌握各类算法的实现过程, 并对其算法工作原理有更深入的了解。
2 演示系统的设计与实现
本文以哈希算法SHA-1算法演示系统的实现为例, 介绍算法动态演示系统的设计与实现。本文所设计的算法演示系统界面简洁, 在SHA算法的演示系统中, 包括直接加解密演示模块 (输入输出区) , 分步执行模块 (功能区) , 分步数据演示模块 (演示区) 和算法步骤说明演示模块 (状态介绍区) 。
本文设计的演示系统支持两种模式演示, 一是直接加解密演示模式, 另一种是分步演示模式。在直接加解密演示模式中, 输入明文 (任意长度字符) , 在输入输出区可直接看到HASH变换的结果;对HASH算法中的每个分步骤的演示, 在系统中还可以对其状态和功能进行文字说明, 对算法的原理进行介绍, 如图1所示。
如果要对分步数据进行跟踪演示, 可以在功能区输入要演示的分步序号, 系统提示是否进入详细步骤演示, 单击“确定”, 即可进入轮函数的分步演示区;通过“上一步”, “下一步”和“跳转”功能可实现对每一分步和任一分步的演示, 如图2所示。
3演示系统在教学中的应用
实现算法的动态演示系统在教学中的应用, 是密码学课程教学中的创新之举, 为该课程教学提供了一项新型的教学资源。本文设计的以SHA-1哈希算法为代表的动态演示系统的教学主要从以下几个方面来实现对传统教学的改进:
(1) 首先, 对教材所涉及的密码算法的描述, 基本原理的讲解与分析仍然通过传统的课堂讲解方式为学生讲解。通过课堂的讲解, 使学生对各类密码算法的基本结构和原理有一个初步的了解;
(2) 接着, 利用动态演示系统实现对各类算法的辅助教学。主要的手段有:
1、通过动态演示系统对算法的变换细节进行直观的演示;
2、在重点难点的变换处, 可进行交互演示。比如, 在演示中, 可给出任意数据来验证算法的过程;
3、自由操作和演练。由学生自己根据自身的实际学习情况完成对系统使用, 从而实现更好地掌握算法的原理, 达到学生更深入地理解密码算法原理的目的。
(3) 最后, 在前述基础上, 安排实践课程设计, 要求学生在基于动态演示系统的平台上, 对主流的典型密码算法进行实现, 并在实际应用中进行验证。
4 总结
本文设计和实现的密码算法动态演示系统可以依据输入的参数将密码算法分步骤向学生动态演示算法的执行过程, 中间数据的变化情况, 对学生掌握密码算法的工作原理, 及工作流程有较大的帮助。一方面, 将动态演示系统引入教学中, 克服了传统多媒体教学存在的演示示例固定, 不能灵活动态展示算法中间过程的缺点, 更有利于学生分析和理解各类密码算法的原理。
另一方面, 为了解算法动态演示系统辅助教学的实际效果, 本文作者连续在所在学院2012级计算机科学与技术专业1-3班, 2012级物联网工程1-2班, 以及2013级计算机科学与技术专业1-3班的计算机安全与保密, 信息安全原理等课程教学中进行了对比研究, 在12级教学中未使用演示系统, 在13级的教学中加入了演示系统的辅助教学。在对学生进行的抽样调查统计中发现, 13级学生在对课程的理解程度上, 以及在学习的积极性和主动性上普遍高于12级学生。调查结果表明, 结合动态演示算法的教学方式, 对学生的学习积极性及求知欲有很大地提升, 教学效果良好。
参考文献
[1]李曦.密码学课程实践教学存在的问题及改进措施[J].高等教育研究, 2011, (2) :23-24.
[2]ASSEISAH M S, BAHIG H M, DAOUD S S.Interactive Visualization System for DES[M].//Active Media Technology, Germany:Springer Berlin Heidelberg, 2010:18-25.
[3]GAFFER SM, ALGHAZZAWI D M.Using Virtual Security Lab in Teaching Cryptography[J].International Journal of Modern Education and Computer Science (IJMECS) , 2012, 4 (1) :26-32.
[4]黄新平.密码学课程交互式算法演示系统的开发与应用[J].软件, 2013, 34 (6) :8-12.