加密控制

2024-10-07

加密控制（共12篇）

加密控制篇1

1引言

过程控制广泛应用于工业领域,20世纪80年代从CCS过渡到DCS,21世纪开始将以太网技术引入过程控制领域。

加密技术指利用加密算法对明文进行加密处理,变换为不可读的密文,从而实现信息隐藏和保护。20世纪70年代非对称加密技术出现,把密码学的研究和应用带到一种全新的方式,也为传统密码注入新的活力,加密技术作为一种主动防御技术被应用在互联网中以保障网络信息安全。

2加密技术在过程控制中的作用

过程控制网络正以各种方式同互联网进行连接,传统网络的病毒、木马不断向过程控制网络扩散。影响过程控制网络安全的主要隐患包括入侵、拒绝服务攻击以及病毒攻击。其中以入侵最为严重,从2007年意大利的水利CSADA控制系统入侵事件到2010年震网病毒入侵伊朗核反应堆, 表明入侵从最初以破坏控制系统为目的转向通过修改、盗取有关数据导致控制中心运行瘫痪或重要数据信息流失为目的。

目前两种加密技术被广泛应用到数据加密领域,分别是对称加密和非对称加密,非对称加密大多基于数学函数从而时间耗费很大, 控制领域要求较高的实时性, 采用对称加密较好。它的加解密算法采用相同的密钥, 如图1所示反映了传统加解密流程。目前安全性较高的对称加密算法是高级加密算法AES。

3AES 在液位过程控制中的应用

3.1 系统硬件

液位过程控制设备分为现场级、过程控制级、监控级和管理级。

(1)现场级:受过程控制设备控制执行相应动作的现场设备。选用浙大中控的SUPCON CS4000过程控制装置,通过压力传感器对水位采集监测。

(2)过程控制级:控制现场设备进行相应过程操作。选用配备以太网模块CP343-1的西门子S7-300PLC为过程控制级。

(3)监控级:监控级即上位机。上位机和过程控制级设备借助监控网络通信。

(4)管理级:管理级负责对上位机采集的数据进行定期的分析整理,分散在不同地域,利用以太网技术同上位机进行通信。

3.2 系统软件

系统软件分别采用西门子Step7和Win CC对系统进行组态、监控。

(1)Step7主要用于西门子S7-300 PLC的硬件和参数设置。在各配置窗口对模块、执行程序以及Ethernet的参数进行配置。

(2)WinCC是西门子公司用来对现场级设备进行组态且支持以太网通讯协议的软件。利用该软件对SUPCON CS4000的监控画面进行组态。

3.3 AES 加密技术的应用

黑客成功入侵到管理级并将自己伪装成管理级设备中的合法成员,骗取上位机的信任来获取采集到的过程数据,为保障液位数据的安全性利用加密技术将数据进行加密。

1998年美国数据加密标准DES (Data EncryptionStandard)算法被成功破解,其安全性便遭到了质疑。作为对它的替代, 产生了拥有更长加密密钥的加密算法, 分别是拥有两个56位不同密钥的3DES加密算法和拥有128位密钥的高级加密算法AES。

AES加密算法由密钥扩展算法和加密(解密)算法两部分组成。算法共进行十轮加解密运算,除最后一轮外每轮加密过程包括:轮密钥加、字节代替、行移位、列混淆4部分;解密是对加密过程中每一部分进行求逆运算。

上位机采集完过程控制级设备数据后利用随机产生的128位加密密钥通过十轮加密计算对数据进行加密并将加密后产生的密文保存,管理级请求获取数据进行分析时上位机将加密的数据文件通过以太网传送给管理级,此时只有拥有正确密钥的管理者才可读出真实的数据信息。若入侵者在不知道正确密钥的情况下入侵了管理级并请求数据,其所获得的数据将是没有任何实际意义的乱码。这样便防止了重要信息的泄漏从而保障数据的安全。

3.4 实验结果

系统配置完成后利用已知密钥的管理机和未知密钥的管理机分别对监控级请求数据,获取的数据结果如图4和图5。

通过测试,已知密钥的管理者可以成功解密获取明文而未知密钥的管理者得到的是不可读的乱码, 表明AES加密技术可以保证过程控制中数据安全,同时不会对控制系统的实时性造成本质影响。

4结束语

针对过程控制中以太网技术引发的安全问题,利用AES加密算法安全、高效的优点 ,在保证实时性要求下对过程控制数据进行加密是一个可行且有效的方法,不足是加密文件可能被第三方恶意篡改而影响数据完整性,可考虑利用认证技术对数据进行完整性验证。

摘要：过程控制中数据安全问题日益凸显,将加密技术应用到该领域尤为必要。考虑过程控制实时性要求,利用高级加密算法对数据加密。采用中控CS4000过程控制装置为现场设备,西门子S7-300PLC为过程控制设备,配置组态软件的PC若干作为上位机和管理机,对上位机获取数据加密处理确保数据安全。

关键词：过程控制,高级加密算法,数据安全

加密控制篇2

软件版本：4.01

软件大小：1057 KB

下载地址：www4.skycn.com/soft/10820.html

Puffer是一款功能强大的电子邮件加密软件，它采用公开密钥加密，用户只要记住自己的口令就可以安全加密和解密;可以将文件加密成各种格式，加密后的文件可以是文本文件、二进位文件或可执行文件;可以在任何E-mail软件窗口中调用Puffer进行加/解密，

运行软件，单击界面中的“Keys”图标进入Key管理界面，单击“File”下的“New”选项新建一个公开密钥文件，接着在弹出的“保存文件”对话框中输入保存文件名和路径。

单击Key管理界面的“Create”图标，然后弹出的界面中输入你的姓名和E-mail地址(如图1)，Key Expiration Date则是用来设置公开密钥的使用期限，超过这个日期公开密钥就宣告失效，

点“OK”按钮后弹出加密密码口令设置窗口，设置完成后系统将开始建一个新的公开密钥(如图2)，你只要将此密钥文件寄给向你发送E-mail的人，对方用Puffer将E-mail内容按你的公开密钥加密，就可以作为电子邮件的附件寄给你了。

当你收到别人给你发送使用你的公开密钥加密过的电子邮件，你需要进行解密才能阅读。进入Puffer软件主窗口(如图3)，设置好待解密的文件来源和解密后的文件输出方式，然后单击“Decrypt”按钮。此时将出现一个对话框，让你选择解密使用的公开密钥并输入相对的口令。单击解密窗口中的“Key Ring”按钮，在跳出的文件选择对话框中，选择保存有你自己的公开密钥的文件。在“输入口令”框中输入创建公开密钥时设置的口令，最后单击“Decrypt”按键即可将加密的文件解密，我们就可以阅读加密的邮件了。

点击阅读更多学院相关文章>>

玩转网页加密篇3

在了解之前，先问你个问题。你喜欢看间谍片吗？知道密码电报和公码电报吧？其实这个问题的答案就是网页加密的原理了。公码电报就是使用一套公认的规则，将资料转换成特定的电波信号发送出去，然后接收到信号的那一端也使用公认的规则将信号还原成资料。而密码电报呢？是使用一套只有发送者和接收者才知道的规则来发送信号和将信号还原。虽然发送出去的电波任何人都接收得到，但如何还原资料，也就是如何破解这个秘密的规则，就成了反间谍的一项重要任务了。据说日本偷袭珍珠港之前，任何飞机都不能发送通讯，也就是为了避免遭美军拦截到信号从而破解，因而偷袭相当成功。不过，其策划者山本五十六后来也是因为美军破解了日方的密码电报，获知其行踪，在太平洋上空将其飞机击落。

好了，我们言归正传，不妨先来看几个不错的网页加密软件：

1.网页加密器

图1是一个小巧的软件，专门用来加密网页，一共三个有用的按钮---"选择需要处理的网页"、"加密""解密"。加密时首先点击"选择需要处理的网页"这个按钮，选择一个网页文件，然后点击"加密"，软件会提示你加密后的文件需要选择一个保存位置，选定后进度条显示加密过程，达到100%后加密过程完毕。

2.易优软件网页压缩加密器

比上面的软件增加了一个可以调节加密强度的功能（如图2）。笔者做了实验，把一个29.8K大的网页进行了最大强度的加密，需要等待几秒钟，而且生成文件已经达到了2.32M，可见其作用之大。查看其源代码的效果（如图3），基本上面目全非了，由此便达到了网页加密的目的了。

3.世纪鸟网页加密精灵

图4还是蛮有特点的，首先就是支持代码直接加密。我所说代码直接加密是说把代码直接复制到软件中后进行加密，这样就省去了保存网页、打开网页等等烦琐的操作，用"粘贴代码"按扭就搞定了。第二个特点是支持直接预览，加密后的网页能否成功运行可是个问题，万一不行就不好办了。所以即时预览还是不错的功能。最后一个特点就是支持多重加密。可能你会问，上面刚刚介绍的"易优软件网页压缩加密器"不是就可以实现加密强度的设定吗？是的，其实原理是一样的，但是"世纪鸟网页加密精灵"中加密一次，都会提示你（如图5），这样你就可以清楚地了解如果要解开你的网页需要解密几次了。

4.页面网页加密

顾名思义，就是在网页上进行网页的加密。这个根本不需要任何软件，当然，你得有浏览器吧，呵呵。这样的网页可以在网上很容易的找到，而且都是千篇一律（如图6）。如：http://www.54114.com/menu/jiami.htm。

细心的朋友可能早已看出其中的门道，这些加密手段虽说不完全一样，但是其工作原理都是一样一样的啊。那么这种加密方法真的安全吗？未必如此吧，因为这种加密方法采用统一的编码方法，既然都是统一的，那也就谈不上什么加密了，但是用它们来糊弄一些外行人还是有一定作用的。既然已经知道了不安全，那一定有好的破解办法，下面我们就来谈谈加密网页的破解方法。归结起来，破解加密网页的方法大体上有这么几种：

（1）全部保存（NC不适用）

利用IE的"文件"→"另存为"把本页保存选择"Web页，全部(*.htm;*.html)"。你会发现在存档的目录下有一个和页面同名的子目录，里面包含了所有作用于该页面，而目标不在本页的图片和脚本文件，及Frames页源码。如果你看中了某个网页，但是苦于看不懂加密后的源代码，那就不如来个网页GHOST，管他三七二十一，先拿下再说。

（2）清空缓存（NETSCAPE,IE通用）

此法适用于使用脚本加密的网页，把windowsTemporary Internet Files或EditPreferencesadvancedcachedisk cache folder

的内容清空。然后浏览网站，源码、Frames页、脚本就在Tem-porary Internet Files和disk cache folder中。但在NETSCAPE中，所有脚本都改了名，辨认比较麻烦。（看多个网站，需多次清空和拷出源码保存）

（ 3）关掉JavaScript（限于NETSCAPE）

在NC中把advancedEnable JavaScript屏蔽,可避免运行JavaScript，但对乱码和脚本无能为力，脚本可是特殊效果的关键哦！

（4）关掉Java（NETSCAPE，IE通用）

由于目前常用JavaScript的简单加密，关掉IE和NC的Java并不能屏蔽JavaScript，无实用价值。除非是用Java加密。

总结上面的方法，我看还是用全部保存比较好，只存一次盘。一会就存例如几十个网页，多点不要紧留着日后，慢慢研究吧！

说了半天，其实网页上也有直接可以进行网页解密的方法。比如：http://www.cidu.net/jiemi/jiemi1.asp，刚才加密后的源代码，都可以在这里进行解密，速度很快（如图7）。

还有一种加密的方法就是干脆不让浏览者接触网页的源代码，于是就诞生了下面这段小程序：

此法对IE有特效，但在NC中右键定义为无法控制的帮助菜单，所以NC中event对象无button属性，在NC中右键选View Source可查看源码。

老式程序没有if （event.button==3）的判断句，不知哪位老前辈想出---先按下左钮不放再按下右钮，然后松开左钮再松开右钮，快捷菜单就会弹出，点击查看源文件就能看到源码。（左右键法？………^_^）

加密控制篇4

云存储基于云计算进行扩充和发展, 其核心就是实现海量的数据存储和管理。云存储利用各种网络存储设备以及相关应用软件, 通过集群应用、网络技术和分布式文件系统等实现海量数据存储和业务访问[1]。

云存储可以使用户通过任何网络设备、在任意时间、任意地点接入到云, 从而达到快速访问数据的目的。云存储方便、灵活、价格低廉, 在很多领域云存储都可以满足大规模数据存储的需求, 因此被企业和个人广泛使用。然而云存储中的数据安全问题成为用户关注的焦点, 即如何保护敏感数据的机密性以及如何保护合法用户的访问。其中, 访问控制和授权则成为现阶段实现安全地访问云存储的关键技术以及主要内容。在访问控制中, Thomas首次提出了两种传统的访问控制, 即自主访问控制以及强制访问控制[2], 但是, 这两种访问控制并没有适应分布式环境。基于角色的访问控制在1996年被Sandu等人提出[3], 该访问控制借助引入的一个“角色”, 从而可以实现“用户-角色-权限”模式。然而, 这几种类型的访问控制模型都只能解决数据的相对完整以及数据的合法访问, 它并不能保证在通信过程中数据是否被非法拦截。Fuzzy IBE加密方法被Amit Sahai和Brent Waters提出, 在该加密方法中, 属性加密的概念被首次提出。直到2006年KP-ABE的概念被Sahai和Brent Waters首次提出, 通过这种加密方法可以更好地加密解密数据。论文首先研究了属性加密以及访问控制, 使用基于角色的访问控制方法以及属性加密技术提出了基于属性加密的云存储访问控制系统, 该访问控制系统在实现合法访问的同时, 能够有效确保数据的完整性和机密性。

2 云存储的相关知识

2.1 在云存储中基于角色的访问控制模型

使用基于角色的访问控制模型 (Role-Based Access Control, RBAC) 提出基于属性加密的云存储访问控制系统。基于角色的访问控制模型RBAC的核心技术是采用传统的访问控制方法分离主体、客体。主体以及客体并不直接被赋予某种访问权限, 而是将访问权限分配给某一个角色, 继而, 当用户被确定为某个角色时, 用户也就会具有这个角色所被赋予的所有权利。

2.2 基于属性的加密算法

将基于身份的加密 (Identity Based Encryption, IBE) 进一步延伸扩展就得到基于属性的加密 (Attribute Based Encryption, ABE) [4]。基于属性的加密体制包括两种, 分别是基于密文策略的属性加密系统 (Ciphertext-Policy ABE, CP-ABE) 以及基于密钥策略的属性加密体制 (Key-Policy ABE, KP-ABE) [5]。在基于密钥策略的属性加密体制中, 一组属性可以和密文相关联, 用决策树来约束解密密钥。用户如果想要得到解密密钥, 前提条件是用户属性和访问控制策略树得以匹配。对加密的明文没有任何控制。基于密钥策略的属性加密在大规模网络环境中的密钥管理非常适用。基于密文策略的属性加密中, 访问控制策略树与密文、解密密钥一起被描述为一组属性约束。云计算资源具有高开放性、高集中性以及易扩展的特性, 比较基于密文策略的属性加密体制以及基于密钥策略的属性加密体制这两种体制, 前者则要更适合于云存储系统, 密钥管理也会更容易、更快捷。

3 云存储访问控制系统解决方案

3.1 系统数据类别

由于在实际系统中不需要加密全部数据, 并且为了有效提高加密技术的效率, 考虑将云存储环境中的数据分为非敏感数据以及敏感数据这两类。例如, 在档案管理系统中的图片、公告和视频等可以被用户共享而不需要加密的数据, 就被叫做非敏感数据;档案管理系统中的合同、档案等关键数据则被叫做敏感数据, 对于这类敏感数据则需要使用加密技术加密。

3.2 属性加密机制

云存储环境中数据加密访问控制的难点是对密钥的管理, 如果在访问控制中仅用对称加密并不能保证秘钥的安全, 相反, 如果使用非对称加密则能够使系统的安全性得以提升, 非对称加密算法比对称加密算法要相对复杂, 但是在直接加密数据文件时算法的效率很低。试图在云存储环境中实现数据加密的高效访问控制, 必须保证密钥以及数据被安全有效的加密。系统采用属性加密机制在访问控制中的优势, 并且结合高效的对称加密算法完成加密, 最终实现多用户安全、高效地访问云数据。云存储中基于属性加密的数据访问控制架构如图1所示。

3.3 系统框架

论文描述的基于属性加密的云存储访问控制系统由四个模块构成, 分别是基于角色的访问控制模块、云存储模块、主信息管理模块以及基于属性的加密解密模块。基于属性加密的云存储访问控制系统如图2所示。

在基于属性加密的云存储访问控制系统中, 用户会首先发出需要进行资源访问的请求, 当基于角色的访问控制模块收到该请求后, 将对用户身份进行验证, 如果用户身份验证失败, 则给用户返回失败消息, 结束该访问请求;如果用户身份验证成功, 就需要进一步查看资源, 确定该资源的类型。如果请求的资源是非敏感数据, 即未加密数据, 则基于角色的访问控制模块将给用户分配具备一定权限的角色, 然后转向云存储模块使用数据。相反, 如果用户请求了一个敏感资源即敏感数据时, 则需要从主模块中寻找适合的用户属性, 如果用户属性与资源访问控制策略一致, 就会依照基于属性加密解密模块完成明文的加密或密文的解密。每个模块的内容详细介绍如下:

(1) 基于角色的访问控制模块

基于角色的访问控制模块的作用是验证用户信息以及访问控制非敏感数据。如果用户请求访问资源, 基于角色的访问控制模块将给云授权中心上传该用户信息, 由云授权中心审核用户信息, 如果用户信息满足系统的安全规则, 访问控制模块将进一步确定所需访问资源的类型;如果访问的是非敏感数据, 则访问控制模块授予用户所需的角色, 然后将相应的访问权限赋予用户角色。此后, 用户就可以直接把数据提交给云存储模块并访问资源。如果访问的是敏感数据, 用户相关信息会被直接传递给加密和解密模块。

(2) 主信息模块

主信息模块的主要任务是保存用户属性的相关信息、对称加密 (Data Encryption Standard, DES) 算法生成的对称密钥以及私钥。

(3) 云存储模块

云存储模块的主要任务是保存在访问控制模块中的没有加密的明文以及加密后的密文。

(4) 属性加密和解密模块

属性加密和解密模块由三个功能构成, 分别是对称加密和解密功能, 属性加密功能以及解密功能。“对称加密解密功能”使用对称加密算法生成对称密钥, 使用该对称密钥加密明文以及解密密文, “属性加密功能”使用基于密文策略的属性加密算法加密对称密钥, 获得加密后的对称密钥, 然后将该对称秘钥存储在信息管理模块的主体中。“属性解密功能”在加密后根据用户的身份信息搜索用户的私钥和对称密钥, 运行基于密文策略的属性加密算法解密加密后的对称密钥后获得对称密钥。

属性加密和解密模块使用对称加密算法实现数据加密, 其复杂性低于非对称加密算法, 加密效率高, 但密钥是不安全的, 基于此, 再通过基于密文策略的属性加密算法加密该不安全的对称密钥, 基于密文策略的属性加密算法的优点是非常适合解密分布式环境中的非固定信息, 在加密时加秘方根本不需要了解解密方, 解密时要求解密方按照加密方的规则对密文进行解密得到明文。

基于密文策略的属性加密算法包括以下四个部分:

(1) 系统初始化:选取随机算法的输入消息I, 设置一个素数q, 密钥分发中心KDC中取Uj∈U, 并设置属性Aj, 每一个KDC包含两个随机指数Xi, Yi∈Zq, KDC的私钥是, 公钥是。

(2) 密钥生成:利用Ks=Key Gen (KS, A) , 以及用户U属性生成用户的私钥

(3) 加密:选择一个随机数s∈Zq, 一个随机向量v∈Zqh, h是访问树的叶节点的数量, 矩阵W的行, 性别 (民族) , 籍贯, 单位+职称 (职务) , 研究方向为 (或从事) 。是r, 得到密文

4 系统实施及安全分析

4.1 系统实施

基于属性加密的访问控制系统平台是Linux ubuntu 12.04, 实验环境安装工作站为VMware8, 并安装Hadoop0.20.0, 使用My Eclipse10开发环境。

系统拓扑图如图3所示。

基于属性加密的访问控制系统主要包括身份验证服务器以及若干个存储节点。其中, 身份验证服务器需要对用户的身份进行验证以及对非敏感数据的访问, 这两项控制主要通过基于角色的访问控制, 用户根据属性验证生成策略, 确定是否是一个授权用户访问数据资源, 如果用户属性和访问策略一致, 那么用户将被授权允许访问, 否则提示未经授权的响应信息。访问控制系统的存储节点通过对称加密算法对敏感数据进行加密或解密, 使用基于密文策略的属性加密算法加密和解密密钥, 并完成云环境中的数据存储。

4.2 系统分析

通过仿真实验来验证基于属性的加密算法的访问控制, 实验结果如图4和图5中, 很明显, DES加密和解密的性能比基于密文策略的属性加密体制强。当使用DES对称加密算法加密系统中的敏感数据时, 能够确保数据的完整性以及机密性, 对称加密算法的高效特点, 即使系统性能下降, 但是也在用户许可接收的范围, 此后, 通过基于密文策略的属性加密DES对称密钥, 以保证密钥的机密性。

5结论

针对云存储环境中数据安全问题, 论文首先研究了属性加密以及访问控制, 利用基于角色的访问控制技术以及属性加密技术提出了基于属性加密的云存储访问控制系统, 该访问控制系统在实现合法访问的同时, 能够有效确保数据的完整性和机密性。最后通过仿真实验证明了访问控制系统的可靠。

摘要：云存储技术迅猛发展的同时也引起诸多安全问题, 在云存储环境中, 数据被外包给云服务器而处于用户控制之外, 如何实施新颖可信的访问控制技术就变得非常关键。作为一类新兴的公钥加密技术, 基于属性的加密算法以其灵活性被广泛应用在云存储访问控制方案的设计中。文章提出了一种基于属性加密的云存储访问控制方案, 方案可以实现安全的云存储, 系统采用基于角色的访问控制技术实现身份验证、对属性的加密/解密以及对非敏感数据的访问。最后通过仿真实验证明该方案是一种可以保证数据完整性和机密性的云存储访问控制。

关键词：云存储,数据安全,访问控制模块,属性加密算法

参考文献

[1]李乔, 郑啸.云计算研究现状综述[J].计算机科学, 2011, 38 (4) :32-37.

[2]孙国梓, 董宇, 李云.基于CP-ABE算法的云存储数据访问控制[J].通信学报, 2011, 32 (7) :147.

[3]傅颖勋, 罗圣美, 舒继武.安全云存储系统与关键技术综述[J].计算机研究与发展, 2013, 50 (1) :136.

[4]牛德华, 马建峰, 马卓, 等.基于属性的安全增强云存储访问控制方案[J].通信学报, 2013, 34 (Z1) :276.

加密控制篇5

无线网卡对无线加密协议支持程度不同

内置无线网卡可以算作是笔记本的标配，但每款笔记本内置的无线网卡都存在差异。尤其是一些“上了岁数”的笔记本，内置的无线网卡较老，支持的无线加密协议也很有限。

我们以一款早期的的Intel PRO/Wireless 2100系列无线网卡为例。

Intel PRO/Wireless 2100无线网卡

Intel PRO/Wireless 2100支持IEEE 802.11b标准和WEP无线加密协议，但不支持现在主流的WPA和WPA2无线加密协议，

所以如果你用的是此类无线网卡，虽然在无线网络列表中可以搜索到WPA或WPA2加密的无线网络，但却无法连接上这些无线网络，因为你的无线网卡不支持最新的无线加密协议。

由此可见，想要连接到加密的无线网络，你的无线网卡必须支持相关的无线协议。那么符合IEEE 802.11a/b/g/n标准的无线网卡都支持那些无线加密协议呢？一起来看看。

标准与协议

通过上表我们可以看到，如果你的笔记本较老，那么内置的无线网卡就会经常受到无线加密协议的阻挡而无法连接网络。所以在连接无线网络之前，最好先看看你的无线网卡支持何种无线加密协议。

如何加密私人数据篇6

通过美国国家安全局的监听丑闻，人们了解到一个事实，那就是无论电脑还是互联网上的数据都毫无安全可言，我们虽然未必会成为黑客攻击的目标，但是却有可能不小心被恶意程序侵入窃取数据，更有可能成为间谍机构的监视对象。当然，间谍机构未必对我们本人感兴趣，只是他们在监视某一个人的同时将监听与之有联系的人以及与这些人有联系的所有人，而根据著名的“六度分离”理论，生活这个世界上的每个人平均只需要通过6个中间人就能与全世界任何一个人建立联系，所以任何人都很有可能成为间谍机构的监视对象。诸如美国国家安全局之类的机构有足够的能力和手段获取、存储和分析监视目标的数据，包括从互联网服务供应商获取数据。除此之外，Google等大型的互联网企业通过分析用户的通讯数据而显示相关的广告来赚钱。因而，如果不希望自己的数据被其他人获得，那么目前唯一的解决办法就是将这些数据加密。

开放源代码的加密软件

热门的加密软件TrueCrypt已经在几个月前停止了开发，因而，如果你正在使用该软件加密文件，那么是时候解密文件，然后使用我们下面介绍的加密软件重新加密这些文件，避免TrueCrypt出现漏洞或者缺陷时无法得到及时的修复。

TrueCrypt也提供加密驱动器的功能，用户需要考虑是否转为我们介绍的DiskCryptor。如果使用Windows专业版或者更高版本的用户，也可以考虑按照TrueCrypt开发者的建议，改用微软的BitLocker。不过，谁也不能排除这种商业的加密方案会由于厂商受到某些机构的压力而加密数据有可以被随意访问的可能性。

在下面介绍的文件、邮件、驱动器和云数据加密方案中，我们选择的都是开放源代码的加密软件，目的就是为了避免类似的事情发生，并且开源软件不容易因为开发商的退出而导致数据无法解密，出现安全漏洞时也更容易被发现。

加密文件

我们可以使用Gpg4win来保护文件和文件夹，该软件是目前流行的加密工具GnuPG（英文GNU Privacy Guard，简称GPG，是一种加密软件，是依照由IETF制订的OpenPGP技术标准设计，是遵循GPL协议的PGP加密软件替代物）的windOWS版本。它采用非对称的RSA加密算法，利用一个公钥和一个私钥组成的密钥对，我们使用公钥加密的文件只有使用对应的私钥才可以解密。因而，Gpg4win除了可以用于加密我们自己的文件之外，还可以用于加密发送给指定收件人的文件。在文章后半部分介绍的电子邮件安全解决方案中我们也是使用Gpg4win对邮件数据进行加密的。

1、设置Gpg4win

通过www.gpg4win.org下载并安装Gpg4win，对于个人用户来说，出于提高安全性、减少受到攻击的可能性的目的考虑，建议使用普通用户账户安装该软件，在使用单独的Windows账户下使用，并设置Windows加密该账户的配置文件，并尽可能地在没有网络连接或者安全的网络连接下进行数据加密和解密的工作。

2、生成的密钥

安装Gpg4win后，启动其中的密钥管理工具Kleopatra，然后选择“Fie[Newcertificate…”打开证书创建向导，选择“GeneratepersonalOpenPGPkeypair”，输入姓名和电子邮件地址，点击“Next”，然后单击“Create Key”并在弹出的对话框中输入一个最少10位数的密码，其中包含大小写字母和数字，例如“C1H213P4good！”，向导将要求再次输入密码，输入完毕密钥对将马上生成，单击“Finish”即可。

3、管理密钥

在Kleopatra的主界面上可以看到我们刚生成的密钥，通过它我们可以加密自己的文件。但是如果想用朋友的公钥加密一个只有他才能够打开的文件，则需要通过“Import certificate”导入对方的公钥到Kleopatra中，在文章后半部分介绍的电子邮件安全解决方案中也是这样。如果别人希望给我们发送只有我们能够解读的加密邮件，那么我们将需要右击自己的密钥并选择“Export certificate”将公钥导出。希望发送加密文件给我们的朋友，需要将我们的公钥导入他们的Kleopatra中。

4、加密文件

要加密文件或文件夹，只需在资源管理器中右击该文件或文件夹，然后在快捷菜单中选择“sign and encrypt”，在接下来的对话框中选择“Sign and encrypt…”选项，然后单击“Next”选择要使用的加密公钥，单击“Add”按钮添加密钥。接下来，单击“Next”选择自己的OpenPGP证书作为签名证书。最后，输入前面我们设置的密码，即可加密文件。

保护邮件

通过Enigmall我们可以使用类似加密文件的方式加密电子邮件，并可以在免费的电子邮件程序Thuriderblrd中直接使用加密功能，与其他Enigmall用户安全地交换电子邮件文本和附件。不过，该软件虽然提供中文界面，但是在使用的过程中菜单选项将不时出现英文。

1、设置Thunderbird

下载安装Thunderbird（www.mozilla.org/thunderbird），并设置好自己的电子邮件账户。如果使用的是热门的电子邮件供应商提供的电子邮箱，那么在Thunderbird中只需简单地输入电子邮件地址，软件即可自动设置电子邮件服务器等信息。

2、配置Enigmail

在“https：//vwvw.enigmail.net/download/index.php”的“What emallclient do you use？”下拉菜单中选择使用的Thunderbid版本，下载适用的Enigmail版本。下载后解压缩文件，在Thunderbird中单击右上角的菜单按钮，选择“附加组件”，将解压缩的Enigmail XPI文件拖到打开的附加组件管理器的左侧部分，并在弹出的对话框中确认安装，单击右上角的“立即重启”。重启Thunderbid后，在打开的向导中选择“是的，我想用向导来帮我开始”，然后选择“Convenient auto encryption”，再选择“Don't Sign my messages by default”，再选择“是”，并在下一步“选择密钥”对话框中选择在“加密文件”段落步骤2中我们创建的密钥。

3、发送加密邮件

如果我们准备发送加密邮件，那么我们需要将收件人的公钥导入Kleopatra（“加密文件”段落步骤3）。要加密邮件，首先在Thunderbird中照常编写邮件，然后在“编写”工具栏上的“Enigmail”菜单或者“安全”菜单中，根据自己的需要选择是否需要加密邮件以及对邮件进行签名，以便收件人可以验证邮件是否确实是我们所发出的。如果通过“Enigmail”菜单选择“附送我的公钥”，则可以将自己的公钥发送给朋友，这样对方就可以使用我们的公钥加密发送给我们的邮件。接下来，照常发送邮件，软件将要求我们输入Gpg4win的加密密码（“加密文件”段落步骤2），输入正确后邮件将被加密，并将邮件以密文的方式发送出去。

4、接收加密邮件

接收加密邮件的人也必须安装Enigmail（或者其他OpenPGP兼容的解决方案，例如Claws邮件），在配置正确的情况下，Enigmail将自动解密收到的加密邮件以及验证邮件的签名、确定邮件的发送者身份。在解密的过程中，将可能需要输入Gpg4win的加密密码（“加密文件”段落步骤2）。

保护驱动器

闪存盘和移动硬盘是很容易丢失的，因而，我们有必要将其加密，使其中的数据只有在键入正确的密码后才可以读取。

1、加密闪存盘

开源工具DiskCryptor（diskcryptor.net）可以加密整个驱动器。要加密闪存盘只需在DiskCryptor右击闪存盘，选择“Encrypt”并指定一个强密码即可，密码最好包含空格、数字和特殊符号。

2、使用加密盘

将加密的驱动器连接电脑，不要理会windows格式化磁盘的建议，打开DiskCryptor，单击驱动器，选择“Mount”，驱动器即可照常使用。使用完之后，断开驱动器前不要忘了在DiskCryptor中单击一下“Unmount”按钮卸下驱动器。

3、创建加密容器

按[Windows]+[R]组合键打开运行对话框，输入“diskmgmLmsc”回车，打开“磁盘管理”对话框，单击“操作|创建VHD虚拟硬盘”，在打开的对话框中选择存储位置和大小。在“磁盘管理”中右击创建的VHD虚拟硬盘将其初始化，接下来，在虚拟硬盘上创建—个新卷，使用DiskCryptor加密后，我们就拥有了—个可以随时加载到系统中作为虚拟驱动器的加密容器。

保护云数据

由于存储在云端的数据没有加密，所以Dropbox和Google之类的云服务提供商可以读取所有数据。如果不希望自己的文件被读取，则可以使用BoxCryptor（www.boxcryptor.com）在上传之前将数据加密。

1、设置BoxCryptor

安装BoxCryptor的过程中系统将要求我们确认安装驱动程序，安装完成后软件将创建一个虚拟驱动器，并要求注册BoxCryptor账户，以便识别用户的身份，软件的免费版本只允许个人用户在两台设备上使用。

2、用BoxCryptor加密

加密控制篇7

目前国内在商用密码领域中使用的加解密算法普遍使用对称密钥算法,主要是由于其运算速度快,算法公开,技术成熟。对称密钥算法又以DES算法或3DES算法运用更为普遍。

在对称密钥算法中为了保证密钥的安全,均采用三层密钥体系来进行保护。三层密钥体系由主密钥(MK)、区域/成员主密钥(MMK)和通信/数据密钥(PIK/MAK)构成。

● 主密钥(MK)用于加密保护区域/成员主密钥(MMK);

● 区域/成员主密钥(MMK)用于加密保护通信/数据密钥(PIK/MAK);

● 通信/数据密钥(PIK/MAK)用于在交易的数据传输过程中加解密PIN(Personal Identity Number,即持卡人的私人密码)或MAC(Message Authentication Code,即消息验证码,用于检验消息来源的正确性)。

主密钥(MK)和区域/成员主密钥(MMK)一般都是由多人掌握密钥分量,通过分别注入到硬件加密机后由加密机自行异或后合成。通信/数据密钥(PIK/MAK)一般由应用系统之间自行约定产生,并由区域/成员主密钥(MMK)加密后保存在系统中,一般均保存在数据库中。

由于对称密钥体系基于算法公开、密钥保密的原理,加密机作为加密存储密钥的容器,其在日常管理中的安全控制就显得非常重要了。本文提出了在加密机日常使用过程中可能引入的安全风险,并提出了相应的控制方法和手段。

1 安全风险

1.1 密钥泄漏

1) 通过区域/成员主密钥明文获取PIN

加密机可使用某个区域/成员主密钥加密其他的区域/成员主密钥并将加密后的密文输出到加密机之外。如果存在一个已知晓明文的区域/成员主密钥,就可通过该方法导出由该密钥加密的所有的区域/成员主密钥的密文,再通过标准3DES算法进行解密就可以获得所有的区域/成员主密钥的明文,利用区域/成员主密钥的明文可再解密出数据库中保存的通信/数据密钥的明文,最后通过通信/数据密钥的明文可将原始通信报文中的PIN明文解密出来,既获取了持卡人的密码。

2)通过主密钥(MK)明文获取PIN

加密机可使用主密钥加密区域/成员主密钥后以密文方式输出到加密机之外。由于主密钥是由多人掌握密钥分量并在加密机内部异或合成的,因此一般情况下利用串谋的方式获取主密钥明文的可能性不大。但是加密机管理员一般都掌握管理加密机的口令,其具有向加密机中重新灌入主密钥的权限。因此加密机管理员可通过替换主密钥为一个已知的明文,将所有导出的区域/成员主密钥解密成明文,再利用区域/成员主密钥的明文解密出数据库中保存的通信/数据密钥的明文,最后通过通信/数据密钥的明文可将原始通信报文中的PIN明文解密出来,既获取了持卡人的密码。

1.2 PIN泄漏

根据《银行卡联网联合技术规范第4部分:数据安全传输控制》[1]中的描述,典型的PIN加密解密过程如图1表示。这一过程保证了PIN的明码只在人工不可访问的终端和硬件加密机内出现。

图1中终端机具、受理方、银联处理中心(CUPS)、发卡方、发卡行以及之间的加密解密信息为:

① 终端机具输出PIN的密文;

② 受理方用与终端机具约定的密钥解密;

③ 受理方用与CUPS约定的密钥加密;

④ 受理方输出PIN的密文;

⑤ CUPS用与受理方约定的密钥解密;

⑥ CUPS用与发卡方约定的密钥加密;

⑦ CUPS输出PIN的密文;

⑧ 发卡方用CUPS约定的密钥解密;

⑨ 发卡方用与发卡行约定的密钥加密;

⑩ 发卡方输出PIN的密文。

上述环节中的第2、3步,第5、6步和第8、9步中通过加密机利用不同的密钥对持卡人私人密码PIN进行多次转换的操作即为“转PIN”。那么根据对称密钥的工作原理,为了保证持卡人所输入的私人密码PIN最终能被发卡行正确的接受并通过认证,持卡人的私人密码PIN在经过多个传输环节后必须能被还原成其在发卡行初始输入时的值。

如在图1的第3、6、9步骤中,所使用到的加密机中存在一个知晓明文的区域/成员主密钥,那么只要利用PIN转换指令集就可以获得由该密钥加密的通信/数据密钥所加密的PIN密文,然后通过2次解密后就可以直接获取到PIN的明文了。

故从理论上讲,只要能获得加密机中的一个区域/成员主密钥的明文,以及由该区域/成员主密钥加密的通信/数据密钥,那么就可以通过转PIN方式来获取到所有受理的交易中持卡人私人密码PIN的明文。因此其影响性和危害性对整个金融系统领域的信息安全以及广大的持卡人来说是极其严重的。

1.3 业务失败

最后再来看一下如何由于修改加密机中保存的区域/成员主密钥而导致业务失败。对称密钥体系的核心就是位于加密和解密的两端基于的密钥必须是一致的,当一端的密钥进行了改动,那么另一端也必须修改成同样的,否则就无法还原成正确的数据。因此只要能更换掉一端的密钥,则整个体系就被打破,业务也将无法正常继续。

(1) 方法一

加密机的标准指令集中可以通过指令要求加密机产生随机分量并存储到指定的位置,那么如果有一个程序对加密机中所有的存储位置均执行上述指令,那么原先保存的区域/成员主密钥将全部被替换,而对应的通信/数据密钥由于是用原来的区域/成员主密钥加的密,因此通过被替换掉的密钥将无法还原出正确的通信/数据密钥,从而导致PIN或MAC的验证出现不一致,所有的交易将全部失败。

(2) 方法二

加密机的标准指令集中还可以使用主密钥加密区域/成员主密钥后导出密钥密文,并可以将该密文再导入到使用同样的主密钥的加密机中进行还原,该功能在多台加密机需要实现大量的区域/成员主密钥的同步时是非常有用且高效的。但是,如果通过编造一个虚假的区域/成员主密钥的密文集,再通过相关指令导入到加密机中覆盖掉原先正确的密钥,那么也将会导致PIN或MAC的验证出现不一致,所有的交易将全部失败。

2 安全控制手段

上述的几个安全风险均需要基于可物理或逻辑接触到加密机后才有可能实现,因此只能由内部人员利用管理上的疏漏或人员操作失误而导致。因此,从理论上讲对称密钥算法加密机的三层密钥体系还是安全可靠的,但在加密机的日常使用和运维过程中必须要有一套严格的规范制度来确保不出现管理漏洞或操作失误。收单行、交换中心和发卡行在加密机的使用、运维过程中如何加强内部管理和控制,确保主密钥(MK)、区域/成员主密钥(MMK)以及通信/数据密钥(PIK/MAK)不被泄露或替换是至关重要的。结合多年的运维经验,提出如下几条以供参考:

1) 严格禁止将生产用的加密机既用于生产又用于测试;

2) 严格禁止在生产用的加密机中注入测试密钥;

3) 严格执行密钥分量分段保管的原则,防止密钥泄露;

4) 严格执行废弃或泄漏的密钥必须删除或覆盖;

5) 加密机管理员口令需分段保管,防止泄露;

6) 对加密机的操作行为必须要有授权,并且做到一人操作一人复核;

7) 主密钥分量口令建议修改,不建议使用初始化的默认口令;

8) 区域/成员主密钥应及时备份及妥善保管,在应急处理时可以使用备份导入的方式来进行快速恢复;

9) 建议使用管理网卡同交易网卡分开的加密机,可设定网络层面的ACL,对连接加密机的IP进行严格的限定;

10) 建议加密机的管理指令集同交易指令集分开,且可指定管理或交易指令集的应用可发布或监听在指定的管理网卡或交易网卡上;

11) 建议交易系统中不保留原始的通信报文,确实由于业务需要必须保留的,也建议将报文中的PIN密文进行替换或删除;

12) 建议对系统日志,应用日志,加密机的操作访问,以及原始通信报文的使用或访问进行监控或定期审计。

上述建议中,有些是需要加密机厂商对其产品进行优化和改造的,还有些是要对交易系统或应用进行优化和改造的。一些小型的金融机构或第三方机构往往很难严格遵守或执行,因此一旦控制不严发生内部泄密或出现人员操作失误事件,将会带来比较严重的后果。企业或机构不仅自身要有严格的检查机制和安全控制措施,同时上级主管部门也应制订相应的法律法规以及定期的安全标准检查和认证授权机制,从而确保交易的安全可靠。

3 结语

目前看来,由于磁条卡的技术约束,在加密机的日常使用运维过程中上述安全风险和隐患是其固有的特质,管理以及技术手段上的加强只能降低该类风险而无法彻底消除。随着IC卡(PBOC2.0)标准的普及和推广,将可从根本上解决该问题。

参考文献

[1]谢幼如,柯清超.网终课程的开发与应用[M].北京:电子工业出版社,2005.

[2]Chuck M,Bill K.HTML&XHTML权威指南[M].北京:清华大学出版社,2007:510-523.

[3]陈婧.基于PHP语言远程在线教学系统的研究与开发[D].吉林大学,2006.

加密控制篇8

G PS R TK动态定位技术效率高, 可以在作业现场提供经过检验的测量成果, 能够在满足精度的前提下, 摆脱后处理的负担和外业返工的困扰。基本形式是:1台基准站接收机和1台或多台流动站接收机以及用于数据传输的电台, 在RTK作业模式下将一些必要的数据输入GPS控制手簿, 如基准站的坐标、高程、坐标系转换参数、水准面拟合参数等;流动站接收机在若干个待测点上设置基准站与流动站保持同时跟踪至少4颗以上的卫星, 基准站不断地对可见卫星进行观测, 将接收到的卫星信号通过电台发送给流动站接收机, 流动站接收机将采集到的GPS观测数据和基准站发送来的信号传输到控制手簿, 组成差分观测值, 进行实时差分及平差处理, 实时得出本站的坐标和高程。

2 RTK定位精度分析和测量误差源

GPS RTK测量点位精度高, 达到厘米级, 能够满足常规测量的精度要求。RTK测量误差主要有GPS系统误差、RTK设备、测量环境、用户专业水平、测量方法等5个因素。

3 RTK在加密控制测量中的应用

应用实例:

xx县城区加密测量控制网, 由广西壮族自治区国土测绘院完成。为满足城市各项建设工程和测绘地形图、地籍图的需要, 在城区四等GPS控制网下, 在城区周边布设一个由35个点组成的一级GPS静态平面控制网以及采用RTK的方法测设41个一级GPS控制点和8个二级G PS控制点, 控制面积约12 km2。一级GPS静态网及用RTK测量的一级、二级GPS点均使用同一套Trimble5700双频GPS接收机四台套进行观测, 仪器标称精度, 水平:± (10mm+1×10-6D) ;垂直:± (20mm+1×10-6D) 。

一级静态GPS网的观测及数据处理均按照中华人民共和国住房和城乡建设部发布的规范《全球定位系统城市测量技术规程》 (CJJ/T73-2010) 要求进行。RTK控制测量也按照国家测绘局发布的规范《全球定位系统实时动态测量 (RTK) 技术规范》 (CH/T2009-2010) 要求进行观测。

RTK控制测量的基本技术要求。

(1) RTK测量可采用单基站RTK和网络RTK两种方法进行。

(2) RTK卫星的状态应符合表1规定。

(3) 经纬度记录精确至0.00001″, 平面坐标和高程记录精确至0.001 m, 天线高量取精确至0.001 m。

(4) R TK平面控制点测量应符合表2规定。

RTK高程控制测量。

RTK高程控制点测量的基本技术要求应符合表3规定。

本次控制测量分别采用静态观测和RTK进行加密, 其中35个一级GPS点采用静态观测进行加密, 41个一级GPS点和8个二级GPS采用RTK的方法进行加密。在使用同样的仪器型号及台数和用同样的观测员的前提下, 采用静态观测及计算用时1天, 而41个一级GPS RTK控制点和8个二级GPS RTK控制点观测和整理成果用时仅为半天, 速度提高一倍左右。

为保证观测精度, 基准站到流动站的距离为4~6 km。选择4个 (含4个) 以上具有水准高程且均匀分布在测区周围的四等控制点作为点校正。观测时, 流动站架设采用三脚架进行, 以提高对中精度。观测数据由观测手簿利用传输软件直接传到计算机内, 再经分类整理成需要的成果表。

对用RTK观测的一级GPS点采用以下方法进行了检测。

(1) 以四等及一级G PS控制点 (静态观测) 的平面坐标为可靠值进行检测。

用RTK复测了19个 (抽检比例为46%) 四等及一级GPS控制点, 以其平面坐标为可靠值检验RTK成果, 比较后由平面点位差值△算得RTK相对四等GPS点的平面点位中误差为:

四等及一级GPS网的最大平面点位中误差MG为±35 mm, 则RTK相对四等及一级GPS点的平面点位中误差为:

以上说明RTK点相对四等及一级GPS点的平面点位中误差很小 (仅±6.3 mm) , 而相对四等及一级GPSGPS点的平面点位中误差也仅为±35.6 mm。

(2) 用全站仪进行检测。

使用GTS-6全站仪 (标称精度为2″, ± (3mm+2×10-6D) ) , 在有控制点的区域, 采用导线测量方法, 按一级导线要求, 检测了15个 (抽检比例为36.6%) RTK点的平面坐标, 其平面点位中误差为:

全站仪精度较高, 其检验的结果可视为可靠值, 以上数值即可认为是RTK平面点位精度。

从以上例子可以看出采用RTK加密控制测量具有布点灵活、全天候、速度快、精度高等优点, 采用RTK加密控制测量而又能与常规的导线测量和静态观测达到同样的作业精度要求, 又能满足规范的精度要求, 使精度、作业效率、实时性达到了最佳的融合, 所以在有高等级控制点的前提下, 而首级控制密度又达不到要求时, 采用RTK加密控制测量是未来加密控制网的发展趋势。

参考文献

[1]贾峻峰.RTK测量基本方法研究[J].科技资讯, 2012 (2) .

加密控制篇9

1程序设计

1.1算法思想

常用的数据加密方法主要有移位和置换法,目前,实现移位和置换的算法很多。从特点看,异或运算最适合用于简易加解密运算,因为当一个数A和另一个数B进行异或运算会生成另一个数C,如果再将C和B进行异或运算则C又会还原为A。使用这种算法能够比较容易地对明文和密文进行转换。

使用XOR对数据加密是很容易破解的。因为利用XOR对明文字符进行置换,相同的明文字符会置换为相同的密文字符。如果有足够多的密文,就可以根据字符使用的频率,在密文中猜测出使用最多的几个字符,进而猜测出英文单词或中文字词,这就比较容易的破译密文。例如字符e,假设密钥为11,其XOR结果为chr(asc(“e”)XOR 11)=n。字符串eeeeee的密文为nnnnnn。根据统计结果在英文中字符e用的最多,在足够多的明文中统计出现最多的字符,得出的结果为n,即可推断n的明文应为字符e,据此可推算出密钥11,破译也就十分容易了。

要增加其难度,就要在对文件加密时加入一随机因子,使相同的明文以不同的字符呈现在密文中。仍以字符串eeeeee为例,将字符的位值k与密钥11相加,与其XOR的结果为:

字符串eeeeee的密文为ihkjut。相同的明文字符变成了不同的密文字符。

1.2在VB中实现的可行性

VB中的所有和字符串相关的函数使用的字符集都是Unicode。Unicode是用两个字节表示一个字符的字符编码方案。此方案与其它传统单一字节的字符集不同的是,其使用两个字节来表示一个字符,这使得可用字符的数量大大增加。Unicode的字符都是双字节的,VB在进行内部处理时,英文字符和中文字符被同等对待。并且支持世界上的所有的常用文字。

VB提供了XOR函数,可以对数字、布尔变量,字符进行异或运算,两次异或的结果即为原值。因此,是基本加/解密函数。例如:对于中文字符“息”,asc(“息”)XOR28=24943,24943 XOR 28=24687,chrw(24687)=“息”。

由此可以认为:以位值作为随机因子,用XOR运算对数据进行加/解密在VB中是可以编程实现的。

1.3程序界面

程序使用单一窗口,窗口中的主要控件如下。

1.4参考代码

2结束语

加/解密程序虽然使用代码较少,但由于密钥与字符位值的结合,使得相同字符在密文中的呈现各不相同,增大了破译难度。

参考文献

[1][美]Scott Warner著.Visual Basic6.0程序设计.第一版.汉明工作室,译.北京:人民邮电出版社,1999-08.

加密控制篇10

计算机上位机获取用户的信息码 (账号) 后, 自动和加密盾中的密码信息进行核对, 如果核对正确, 便可启动上位机对用户信息进行访问。在绑定手机业务的情况下, 下位机控制对象在收到加密盾中的核对信息后, 自动向绑定的手机用户发送随机确认码, 用户收到确认码后把确认码输入计算机中, 自动与加密盾中的确认码核对 (加密盾中的确认码为控制终端产生的随机数, 通过无线通信设备传送) , 并且用户数据和信息码通过随机的6字节时间偏移量设定的函数进行加密, 采用32或64字节数据包处理并打包传输, 通过稳定的数据编码格式 (格雷码) 进行编码, 并且提供可选择的用户确认机制。这样保证了在不同时刻的信息数据具有较高的随机性, 保证了数据信息的安全性和稳定性。

系统结构

本系统主要由计算机上位机, 加密盾连接设备, 被控制对象和用户GSM通信设备组成, 如图1所示。

系统上位机采用了C#编写, C#是为NET Framework量身订做的程序语言, 作为第一个组件导向 (Component-oriented) 的程序语言, 采用面向对象的编程语言, 具有良好的便利性和易用性。通过基于UART的底层通信模式, 自定义上层的通信数据包, 对数据包进行自定义的编码和解码操作, 通过RS232接口进行通信。从而达到获取传感器数据和控制家庭设备的功能[3]。

加密盾设备作为数据传输的中间设备, 主要目的是对智能家居系统中的各种传感器数据密码的解码以及与计算机上位机通信的编码和解码操作, 类似于网络通信中的链接设备, 如:无线网卡, 其目的是把通信和连入网络中的数据进行编码和加密。实现数据的安全传输和加密。系统采用的是FT232的USB转UART模块来保证数据通信的稳定性, 编码解码部分采用的是宏晶科技的STC12LE5A60S2单片机, 通信部分采用了TI公司的CC2500无线RF射频收发模块[8]。

控制终端主要负责智能家居系统整个传感网络的数据采集以及对控制设备的智能化操作, 并且控制显示设备和输入设备与用户进行简单的实际控制的人机交互, 同时采用GSM网络与用户手机进行远程人机交互。其功能包括对室内温度、湿度、光线强度的采样以及对节能LED等的自动调节等。控制终端作为智能家居系统的传感网络部分, 需要处理更多数据, 系统采用了Atmel公司的高端AVR单片机Atmega128作为控制中心, 用于传感器的采样和系统控制, 并负责GSM的远程人机交互和CC2500的射频通信, 而本地的人机交互系统采用STC12C5A60S2来控制OCM240128液晶显示, 并通过XPT2046触摸屏控制器控制触摸屏来实现人机交互的输入[4~6];ATmega128和STC12C5A60S2之间通过RS485通信协议, 以保证数据通信的稳定性和安全性。

用户GSM通信设备在设定了用户验证的模式下, 用于对获取数据进行确认验证, 使得数据的安全性得到可靠保证, 同时可以实现远程的数据监测和控制功能从而实现远程人机交互。具体的系统工作过程如下:首先在系统上电初始化后, 上位机将要求用户插入加密盾设备, 并输入对应的账户和密码, 控制终端将通过账号和密码访问加密盾设备, 以获取是否设置了用户验证模式, 如果没有验证模式, 将直接对账号和密码进行匹配, 如果设定了用户验证模式, 加密盾将通知控制终端向用户GSM通信设备发送验证码进行验证, 同时对账号和密码进行匹配。匹配成功后进入控制模式对智能家居设备进行控制。在控制中心通信的数据中通过编码和时间加密算法进行加密。其中也包括了随机的验证信息, 一旦验证信息错误, 通信将会立即中断, 以保障用户隐私。

硬件设计

本系统硬件部分以Atmega128单片机作为控制终端的核心, 通过4线电阻式触摸屏和OCM240128作为近距离人机交互, 同时通过GSM通信和电脑上位机进行远程人机交互。通过CC2500射频通信模块与加密盾设备实现数据加密和个人隐私安全保护, 采用AM2303等传感器采样家居中的环境, 以实现全自动化的智能家居系统, 并可随时人为操控。因此系统硬件部分电路主要由以下四个部分构成。

(1) 加密盾电路

加密盾电路部分的主要功能是完成上位机到控制台之间的数据通信沟通桥梁和通信数据转换与加密功能, 其电路图如图2所示。系统通过UART协议与上位机进行通信, 考虑到目前最常用的为USB接口, 采用了FT232的USB转UART模块实现加密盾部分与上位机的计算机进行通信。同时加密盾部分与控制终端的通信采用了CC2500无线射频通信模块, 并通过SPI总线与STC12LE5A60S2单片机相连。

(2) 液晶及触摸屏电路

液晶电路部分的主要功能是实现智能家居系统的近距离人机交互, 液晶及触摸屏电路如图3所示。显示部分采用了OCM240128, 由于电路相对耗能较大, 采用了PNP三极管对液晶的背光进行控制, 在没有用户使用的情况下可以自动关闭显示达到节能的目的。触摸屏控制器XPT2046通过SPI与单片机相连实现触摸功能。

(3) SIM900A GSM模块电路

SIM900A GSM模块的主要功能是用于用户验证和实现远程人机交互, 电路如图4所示。系统采用了电源管理芯片MIC29302作为SIM900A的供电模块、PESD5V0L4UW作为GSM模块的ESD保护电路确保GSM模块可靠工作。

(4) 控制台电路

如图5控制台电路所示。控制台电路主要负责传感器数据的采集, 家电设备的控制操作, 以及实现与加密盾设备、液晶与触摸屏部分和用户GSM设备部分的通信功能。

软件设计

系统软件设计主要包括数据编码与加密、无线通信和AT指令短信通信三大部分。

(1) 数据的编码与加密

整个系统的编码和加密部分程序流程如图6所示。

由于格雷码具有循环、单步特性消除了随机取数时出现重大误差的可能, 反射、自补特性使得求反非常方便, 属于可靠性编码, 是一种错误最小化的编码方式;此外, 系统采用了便宜和相对简单的微控制器, 因此, 运算相对简单但是错误率小的格雷码编码成为本系统编码的首选[5]。

加密部分系统通过设定了一个基于6字节随机时间偏移量的逻辑函数来实现, 通过底层的UART协议自定义上层的数据包, 数据包为单字节, 32字节或64字节几种形式, 基本的传输模式有1字节、32字节、2*32字节、1+32字节、1+2*32字节、1+32+2*32字节等几种。单字节的数据包主要用于简单的握手协议, 在多字节的数据包中, 我们对其进行编码和加密, 分为起始码, 数据包长度, 应答信号, 数据位置定义, 随机时间偏移值, 对应的数据 (包括账号, 密码以及监控系统中的温度、湿度, 光线强度等各种传感数值以及家电的控制状况) , 接收数据判断码和截止码等部分构成, 且对应数据所在的数据包中的位置通过数据位置定义变量进行定义, 数据包的空字节可以填入随机数, 且整体数据全部加上随机时间的偏移值 (通过加减乘除等数学运算进行数据的偏移) , 并最后进行数据打包, 加上对应数据校验码之后进行传输, 最后通过监控软件来判断数据的加密效果。

(2) CC2500无线射频通信

CC2500无线通信程序流程图如图7所示。

(3) GSM的AT指令短信通信

SIM900A的GSM模块的AT指令基本与标准AT指令相同, 设计采用PDU的数据格式进行发送和接收数据[9], AT指令短信通信发送部分程序流程图如图8所示。

总结

本文介绍了一种基于时间序列加密的智能家居系统。对系统的硬件、软件及加密算法进行了详细介绍, 系统的创新点在于采用了基于随机时间偏移量的逻辑加密算法来实现对数据的加密, 并采用了稳定的编码方式对数据进行编码传输, 保证了数据具有一定的不可预测性, 具有较强的加密性。且其实现方式简单, 不需要复杂的控制系统, 通过简单的微处理器即可实现。并设定了可以选择的用户验证模式, 保障用户隐私, 还具有实现远程人机交互的功能。整个系统不仅可以适用于智能家居系统中, 还可以适用于各种物联网相关系统中, 具有较高的使用价值和参考价值。

参考文献

[1]宋永国.浅析物联网安全[J].电脑知识与技术, 2011, (7)

[2]戴铁君.物联网安全问题与其解决措施[J].应用科技, 2010, (11)

[3]赵怡.在VC#中小型管理信息系统设计与实现[J].数据库与信息管理, 2011, (12)

[4]马潮.AVR单片机嵌入式系统原理与应用实践[M].北京:北京航空航天大学出版社, 2007

[5]李永献.冯平等.典型格雷码的译码程序设计[J].自动化应用, 2011, (2)

[6]马潮.GSM短信息接口的软硬件设计[J].单片机及嵌入式系统应用, 2003, (9)

[7]詹克旭, 胡文俊.基于嵌入式GPRS的手持通信设备的设计[J].计算机应用与软件, 2011, (3)

[8]邱金, 刘沁.基于USB的数字压力传感器的补偿方法[J].仪器技术与传感器, 2009

破解数据加密难题篇11

根据Forrester调研公司2008年初发布的数据，45％的美国公司正在评估或是计划购买磁盘加密软件以防止数据被窃。原因很简单：加密技术可以使得利用偷盗行为获取保密信息的行为变得更困难，比如偷盗笔记本以获取信息。

磁盘全面加密有两种方式：通过计算机硬盘公司提供的硬件形式，尤其是希捷公司；或是也可以作为笔记本制造商提供的选装件，例如联想公司会额外赠送价值25美元～30美元的希捷磁盘全面加密技术作为选装件。所以，现在有～系列的单机加密软件涌现出来。在这个领域的可选项有“Check Point Full Disk Encryption”，GuardianEdge公司的“Encryption Plus Hard Disk”，McAfee公司的“Endpoint Encryption”，PGP公司的“Whole Disk Encryption”和Utimaco Safeware公司提供的“SafeGuard Easy”。Symantec公司的战略则是与GuardianEdge公司达成OEM交易。微软Vista系统的企业版中也包含了一个叫做“BitLocker”的全面加密功能软件。

对于克里斯·肖来说，促使他两年前为笔记本电脑投资购买加密技术的原因非常简单。他创立的技术人员猎头公司S4 Partners Inc.位于加州的El Granada，年销售领200万美元，处理的都是高度敏感的个人信息。所以他选择了Voltage Securiry公司的文件层保护技术，而不是保护他的全部磁盘。