密码与信息安全

密码与信息安全（共9篇）

密码与信息安全 篇1

在畅谈安全的今天, 大多数主题都是关于生产、操作、施工、消防等领域的物理安全防护和安全意识的培养, 而信息安全则很容易被大家忽略。在信息安全领域, 用户名和密码是使用最普遍、最简单的信息系统身份验证方式, 也是大家最熟悉的信息安全概念。用户密码的保护是信息系统安全中的重要一环。如果个人密码遭到破解, 轻则个人信息被泄漏或被盗用, 重则导致个人财产损失甚至企业的安全事故。

在企业信息化覆盖面越来越宽、电子商务越来越普及的今天, 黑客、病毒、木马等恶意侵害事件频发, 信息安全显得尤为重要。为了帮助大家更好地保护自己的隐私和财产, 本文介绍一下常用的密码破解方法和防护对策。

一、暴力破解

暴力破解是密码破解技术中最基本的一种方法, 也叫暴力穷举, 就是把所有的字母、数字等字符罗列组合成密码, 然后逐个试探。暴力破解方法所消耗的时间跟密码复杂度成正比, 再加上一些信息系统的连接限制和验证码技术, 所以破解难度比较大, 成功率也比较低。

防护方法:尽量设置复杂的、长度较长的密码。比如:同时使用大写字母、小写字母、数字、特殊字符 ( “-”“_”“~”“@”“#”“$”“^” ) 等的组合式密码, 且密码长度至少在6位以上。

二、木马窃取

黑客把木马程序安装在用户的计算机上, 将用户所有的鼠标操作、按键操作、窗口内容等都记录下来, 并把记录的内容发送到远程网站或邮箱中。黑客通过对这些记录内容的分析, 就可以破解用户的密码。

防护方法:不要下载、安装或运行来历不明的软件;如果要下载软件, 尽量到软件厂商的网站上下载免费版本;在接收和运行网友发送的程序之前, 先弄清楚发送此程序的目的。当接收到特殊扩展名 (如:.exe, .bat, .vbs) 的文件时, 尤其要当心。如果怀疑自己的计算机中了QQ盗号木马, 可使用QQ的虚拟键盘输入密码, 减少密码被窃取的风险。

三、钓鱼网站

黑客模仿正规的网站建立了一个相似度极高的伪站点, 并采用了与其相似的网址。比如:兰州银行的网站“www.lzbank.com”, 钓鱼网站的网址设为“www.lzbank.com”, 即把网址中的字母“l”换成了数字“1”, 没有“江湖经验”的用户从不在意网站的地址, 以为这是正规的网站, 就输入自己的银行账号和密码, 结果这些信息就被黑客骗取了。

防护方法:不要在非正规的网站上完成银行交易, 也不要使用非正规网站所链接的网上银行进行交易 (因为这个链接有可能是假的) 。在浏览重要网站时, 注意观察浏览器地址栏中的网址, 仔细辨认其网址与正规网站的地址是否相同。

四、密码嗅探

由于很多网站都是以非加密的方式传输, 黑客就利用安装在局域网中的嗅探器来监听明码传输的密码。任何通过HTTP, FTP, POP, SMTP, TELNET协议传输的数据包都可被Sniffer程序监听。很多人习惯使用的微软MSN就是明码传输信息的, 所以聊天内容很容易被监听, 而QQ是加密传输, 不容易被监听。

防护方法:采用加密协议进行数据传输, 比如:采用HTTPS、SSH等协议 (网银交易的网站一般都是采用Https开头的网址, 这就说明采用了HTTPS加密协议) 。MSN可以借助“MSN Shell”之类的加密工具, 来实现信息的加密传输 (对方也必须安装相同的加密工具) 。

五、密码记忆

大多数浏览器为了方便用户使用, 都有记忆密码的功能, 但其实这种被记录为星号 (“*”) 的密码是很容易被破解的。网上有很多密码恢复软件就能破译密码。

防护方法:不要使用浏览器的记忆密码功能, 同时在其他信息系统中也尽量减少“记住密码”功能, 因为这样容易导致用户忘记密码, 或者有人不用输入密码就登录你的系统进行恶意操作。

六、密码猜测

很多用户习惯采用“111111”“123456”或者英语单词等简单的密码, 这些密码很容易被黑客猜到。还有人喜欢用自己的姓名拼音、生日、车牌号、工号等信息作为密码, 这些密码也很容易被有心的“内鬼”猜到。很多著名的黑客破解密码并非用的什么尖端技术, 而只是用到了密码心理学, 从用户的心理入手, 从细微之处分析用户的信息, 分析用户的心理, 从而更快地破解密码。

防护方法:不要使用这些简单的密码, 尽量设置复杂、不容易被人猜中的密码。不过自己要把密码牢记。

七、密码泄漏

由于缺乏安全意识, 有人常常采用系统的初始密码, 而不去设置自己定义的密码;为了出差或休假时的工作委托, 有些用户常常会把自己的账号和密码告诉其他人;也有人将密码写在笔记簿上, 而笔记簿又没有安全保存, 从而导致密码的直接泄漏。

防护方法:及时修改系统的初始密码;密码泄漏或告诉他人后, 要及时修改密码;如果密码记录在笔记簿上, 应将它保存在安全的地方;提高修改密码的频次, 养成定期修改密码的习惯;尽量使用系统中的授权委托功能。

八、密码雷同

大多数用户习惯使用同一个密码来登录各个信息系统, 只要其中一个信息系统的密码泄漏, 那其他系统的密码也就失去保密功能了。比如:CSDN网站采用了明码保存密码方法 (也就是说, 网站程序将密码未经加密就保存在后台数据库中) , 当该网站被黑客攻破之后, 网站所有会员的资料 (包括密码) 都被公之于众了。由于大多数用户在注册各类论坛、邮箱、博客、社交网站、网银时, 使用了相同的用户名和密码, 黑客就可以利用这些被泄漏的会员资料进入其他系统的邮箱, 盗取私人信息。

防护方法:各类信息系统中不要设置相同的密码, 尤其是非正规的网站、临时注册的网站, 不要使用与邮箱或网银相同的密码。现在很多网站使用邮箱地址作为用户名, 那就更加需要保护好自己的密码。

九、系统漏洞

如果操作系统或应用系统存在一定的系统漏洞, 黑客不用在终端计算机上安装任何程序, 通过远程攻击, 即可获得密码。

防护方法:及时升级操作系统或应用系统, 启用操作系统的密码强化策略, 比如:强制使用复杂密码, 限制错误密码登录次数、设置登录失败锁定时间等。

最后还要提醒大家的是, 用户名和密码是保证信息安全的一对钥匙, 两者缺一不可, 两者的地位同样重要。大家在保护密码的同时, 也要注意保护好自己的用户名, 提高信息安全意识。

参考文献

[1]李晖.网络信息安全技术[J].中兴通讯技术, 2004 (3) :50-53.

[2]缪道期.加强计算机安全[J].现代电信科技, 2000 (9) :1-2.

密码与信息安全 篇2

在河南理工大学成功召开

2012年8月2日至4日，由中国密码学会教育工作委员会主办、河南理工大学计算机学院承办的“2012年第四届全国密码学与信息安全教学研讨会”在河南理工大学隆重召开。来自北京电子科技学院、贵州大学、哈尔滨工程大学、北京航空航天大学、成都信息工程学院、桂林电子科技大学、北方工业大学、北京邮电大学等众多国内科研院校的专家学者60余人参加了本次会议，围绕当前密码学和信息安全教育方面的最新成果展开了广泛而深入的探讨。

研讨会开幕式由中国密码学会教育工作委员会副主任委员、北京电子科技学院信息安全系系主任李子臣教授主持，河南理工大学副校长景国勋教授向参会的专家、学者致欢迎辞。开幕式后，会议主题报告阶段由中国密码学会教育工作委员会副主任委员、哈尔滨工程大学国家保密学院副院长马春光教授主持。北京邮电大学杨义先教授做了题目为“信息安全专业

本科教育的国家卓越工程师计划”的报告、北京红亚华宇科技有限公司郑

洪宾经理做了题目为“提升网络安全实践课程学生学习兴趣探讨”的报告、杭州电子科技大学赵泽茂教授做了题目为“物联网安全风险分析”的报告、西安电子科技大学通信工程学院张卫东副院长做了题目为“信息安全实验创新”的报告。这些报告分别从密码学信息安全教学的各方面对当前遇到的问题进行探讨和交流。

下午进行的研讨会交流中，各参会代表踊跃发言，碰撞出很多新思路。之后举行了中国密码学会教育教学改革项目评奖活动，各项目负责人进行了精彩的演讲和答辩，专家委员对各项目现场评奖，最终评选出一等奖三名、二等奖四名和三等奖六名。中国密码学会强志军秘书长和北京电子科技学院副院长毛明教授、教育工作委员会委员等为获奖代表颁发获奖证书。

本次会议气氛活跃，参会代表们在交流讨论中加深了他们之间的了解与沟通，并希望在今后的教育教学中开展深入研究和探索。

信息安全的密码学与密匙管理 篇3

关键词：密码学 安全网络 密匙管理

1 密码学基本概念

密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律，应用于编制密码以保守通信秘密的，称为编码学；应用于破译密码以获取通信情报的，称为破译学，总称密码学。

1.1 密码学基本概念

①密码学是研究秘密通信的学问。

②明文是待加密的信息称为明文。

③密文是加密后的信息称为密文。

④解密是从密文恢复明文的过程称为解密。

⑤密码是用于加密和解密的数学函数。

⑥加密是将明文变成密文的过程称为加密。

⑦密钥是由使用密码的用户选取的随机数。

⑧密码编码学是使消息保密的科学和技术。

⑨密码分析学是研究如何破译密码的科学和技术。

⑩密码体制是完成加密和解密的算法。

2 古典加密算法

古典加密算法主要采用替换加密和置换加密。其中替换加密是将明文中每个字符被替换成密文中的另外一个字符。例如：明文：ABCDEFGHIJKLMNOPQRSTUVWXYZ

密文：EFGHIJKLMNOPQRSTUVWXYZABCD

那么，密文：XMNW NW E KNP

明文：THIS IS A FILE

密码学是在编码与破译的斗争实践中逐步发展起来的，已成为一门综合性的尖端技术科学，与数学、声学、计算机科学等各学科都有着广泛而密切的联系。它的现实研究成果具有高度的机密性。古典加密算法如下：

①常规密码系统模型。②密码分析的4种攻击类型。唯密文攻击（只有一些密文）、已知明文攻击（知道一些过去的（明文及其密文）作参考和启发）、选择明文攻击（缴获有一台加密机（能使用加密密钥））、选择密文攻击（有一台解密机（能使用解密密钥））。③单表替代密码算法（Substitution）及其分析方法。算法：其替代过程就是在明文和密码字符之间进行一对一的映射。分析方法：先得有足够多的密文，统计密文中各个字母的出现概率，结合明文的统计，猜测出现得最多的密文字母对应明文字母，观察所谓的明文，并重试。④置换密码算法（Transposition）：保持明文的所有字母不变，只是利用置换打乱了明文字母的位置和次序。⑤对称密码：密钥长度等于明文的长度，加密和解密使用相同的密钥。非对称密码：数据的加密和解密使用不同的密钥，从而构成了不对称的体制。⑥PKI。

3 密码学要实现的基本功能

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。网络安全使用密码学来辅助完成在传递敏感信息的相关问题，主要包括：

3.1 机密性（confidentiality）

仅有发送方和指定的接收方能够理解传输的报文内容。窃听者可以截取到加密了的报文，但不能还原出原来的信息，及不能达到报文内容。

3.2 鉴别（authentication）

第三者不能冒充跟你通信的对方，能对对方的身份进行鉴别。

3.3 报文完整性（message intergrity）

即使发送方和接收方可以互相鉴别对方，但他们还需要确保其通信的内容在传输过程中未被改变。

3.4 不可否认性（non-repudiation）

如果我们收到通信对方的报文后，还要证实报文确实来自所宣称的发送方，发送方也不能在发送报文以后否认自己发送过报文。

4 公钥密码体制密钥管理的研究

对于信息安全领域来说，公钥体系密钥管理的研究和探讨一直是一个永恒的话题。虽然公钥密码体制为了方便密钥的分发允许其在不安全的网络空间里公开传播，但是解决密钥管理问题是无益的。密钥管理应该涵盖密钥的产生、分配、销毁等全过程，高度安全化和规范化各个环节。参考密钥管理和认证问题，可以发现有三种技术体系，即PKI、IBE和CPK。

最早出现技术体系也比较完整的是PKI，但是不利于广泛的应用，而CPK则有效的解决了这一问题。但是由于CPK的认证思想和PKI的完全不同，再加上发展时间很短，必须对其进行全面的研究和探讨。本文的目的就是借鉴现有密钥管理方法和规范，研究和实现一种安全可靠的CPK密钥管理体系架构，对CPK密钥管理的规范化作出努力。

我们知道，数据库加密系统的密钥有用户密钥和数据密钥两类。其中用户密钥主要是用户对数据库进行查询、修改等操作时需要的。用户只有把自己的密钥等信息提供给数据库管理系统，经过相关的验证才能进行有关操作。由于权限的不同，数据库用户被分成以下两类：一是数据库管理员，他有着较高的权限，不仅可以对明文数据进行处理，也可以处理密文数据；二是普通用户，只能够对明文数据进行处理。

数据密钥分主密钥和工作密钥两种。主密钥是用来对数据密钥加/脱密使用的密钥，对其它密钥实施加密保护，其自身可定期更换。主要是在表、记录、数据项三个层次上对数据库进行加密的，其中最常见的是在数据项这个级别上进行加密。相应的，工作密钥有表密钥（对应于每张表）和数据项密钥（对应于表里的每条数据）两种。

5 密钥管理系统的设计前提

随着计算机和通信技术的发展，用户对信息的安全存储、安全处理和安全传输的需求越来越迫切。特别地，随着Internet的广泛应用，以及个人通信、多媒体通信、办公自动化、电子邮件、电子自动转账支付系统和自动零售业务网的建立与实现，信息的安全保护问题就显得更加重要。而解决这一问题的有效手段之一是使用现代密码技术。

在传统密码体制（又称“对称密钥密码体制”）中，用于加密的密钥和用于解密的密钥完全相同。这种体制所使用的加密算法比较简单，而且高效快速、密钥简短、破译困难，但是存在着密钥传送和保管的问题。

密钥管理是密码技术的重要环节。在现代密码学中，在密码编码学和密码分析学之外，又独立出一支密钥管理学。密钥管理包括密钥的生成、分配、注入、保管、销毁等环节，而其中最重要的就是密钥的分配。IC卡的密钥管理机制直接关系到整个系统的安全性、灵活性、通用性。密钥的生成、发行、更新是系统的一个核心问题。为保证一个大型的CPU卡应用系统的安全使用、保证信息不被侵犯，应在系统实施前建立起一套完整的密钥管理系统。密钥管理系统的设计目标是在安全、灵活的前提下，可以安全地产生各级主密钥和各类子密钥，并将子密钥安全地下发给子系统的发卡中心，用来产生SAM卡、用户卡和操作员卡的各种密钥，确保以上所有环节中密钥的安全性和一致性，实现集中式的密钥管理。在全省内保证各个城市能够发行自己的用户卡和密钥卡，并由省级管理中心进行监控。

6 结束语

信息安全本身包括的范围很大，信息安全主要包括系统安全及数据安全两方面的内容。系统安全一般采用防火墙、病毒查杀、防范等被动措施；而数据安全则主要是指采用现代密码技术对数据进行主动保护，如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。所以说，密码技术是保障信息安全的核心技术。密码学是信息安全的基石。

参考文献：

[1]信息技术研究中心.网络信息安全新技术与标准规范实用手册第1版[M].北京：电子信息出版社，2004.

[2]周学广，刘艺.信息安全学第1版[M].北京：机械工业出版社，2003.

[3]陈月波.网络信息安全第1版[M].武汉：武汉工业大学出版社，2005.

[4]宁蒙.网络信息安全与防范技术第1版[M].南京：东南大学出版社，2005.

[5]公开密钥加密http：//zh.wikipedia.org/zh-cn/%E5%85%AC%

E9%92%A5%E5%AF%86%E7%A0%81.

[6]密码算法的现状和发展研究[J].计算机应用，2004（2）.

[7]密码学http：//zh.wikipedia.org/zh-cn/%E5%AF%86%E7%A0%81%E5%AD%A6.

[8][美]Bruce Schneier.应用密码学第1版[M].吴世忠，祝世雄，张文政，等译.北京：机械工业出版社，2000年1月.

密码与信息安全 篇4

从信息安全中密码学的课程教学现状出发, 结合教学工作中的实际情况、授课体会和经验, 围绕如何提高教学质量, 从理论和实践等多个方面进行了系统的阐述, 研究和探讨了该课程教学模式改革的思路, 为这门课程的建设和进一步发展奠定了良好的基础。

2密码学的主要研究内容和特点

2.1重要地位

密码学是实现网络安全通信的基本工具和主要技术手段, 信息安全的四大目标:机密性、完整性、抗否认性和可用性都依赖于算法。

2.2知识面广

由于密码学最初是由军事发展而来。故而涉及到的知识非常广, 如数论、抽象代数、概率论、组合数学等。

2.3横向联系

密码学是由应用数学、通信、计算机应用等多个自然学科汇集而成的综合性学科。

2.4实践性强

密码学的最终目的是提供各种安全的应用算法, 如加密保护信息的机密性, 消息摘要检测信息的完整性, 数字签名对抗信息的否认性。

3教学现状分析、存在的主要问题及对策

3.1涉及到数学概念时预备知识不足

密码学章节中的三个部分:经典密码体制、对称密码体制和公钥密码体制, 均涉及到大量数论和代数的基本知识。包括向量、矩阵、模运算, 大整数分解, 离散对数、椭圆曲线等等。非数学专业的学生学起来较吃力;而教师授课也比较困难, 特别是在课时分配不充裕的情况下, 往往忽视了对数学知识的讲解, 导致学生产生一些畏难情绪, 丧失信心, 失去学习兴趣。

因此授课时, 需要补上相应的数学知识, 完善密码学的知识面。例如RSA算法, 涉及到数学难题大整数分解, 可以通过简单的数学演算, 让学生明白两个素数做乘运算很简单, 但给出整数如3599, 求其分解而成的两个素数却不容易。从而使得学生更好的理解算法安全性这个概念。

3.2教学过程中难易知识点的掌控

密码学是一门综合性学科。总体来讲有一定的难度, 学生在前期的学习可能相对轻松, 但随着教学的深入, 内容的加深, 会逐步感到老师讲授的知识越来越不容易理解。由于有限的教学课时以及学生的接受能力, 必须对教学内容进行合理编排。在保证基础的同时, 突出重难点。

采取的方法是基础知识讲故事, 重难点举例子。对于独立学院的学生而言, 故事最能引起他们的注意力, 而例子则更好的帮助他们理解相关知识点, 如在讲授加密算法这一章时, 引入奴隶主在奴隶的光头上写字来传递消息和两个部落的军官利用指挥棒制造成密码机的故事来介绍古典密码;二战中爱格码机被数理天才图灵破译, 最终扭转二战战局的故事来介绍转轮密码。而对于凯撒密码, 维吉尼亚密码, 棋盘密码则通过具体例题来讲解。让学生逐步放下心里包袱, 原来这就是密码, 我也会加密这些心里暗示可以激发学生的学习动机和兴趣。在讲授消息摘要时, 介绍一些著名算法被成功破译的案例, 如山东大学的王小云教授经过10年的努力, 最终成功破译MD5及SHA-1等著名算法。另外还可以列举网上购物, 网上银行, 数字证书等生活中的例子, 让学生感觉课程的重要性。

3.3实验室的约束

在课程教学过程中, 要注重对学生能力的培养, 使得学生既有扎实的理论基础, 又有较强的应用能力。通常, 大学应该建立信息安全专业实验室用于相关课程的实践。考虑到一些独立学院因自身条件尚无法建立专门的网络安全实验室, 那么可以利用现有的基础实验设备, 采用虚拟机软件和自主编程结合的方式来完成课程实践。

由于实验内容大多与网络攻防有关, 为避免影响实验室的正常运转, 利用虚拟机软件建立虚拟实验环境是一种有效且实用的方法。另外教师应指导学生利用C++、Java、C#等高级程序设计语言来实现一些典型的密码算法, 培养学习兴趣, 增强动手能力。如古典密码中的凯撒密码、维吉尼亚密码;对称加密算法中的DES、AES;公钥加密算法中的RAS、ECC。考虑到某些算法实现的困难性和学生的能力, 可以在对相关算法和源程序理解透彻的基础上, 改进或者部分实现算法。如加密、解密, 子密钥的生成、置换等。编程训练可以促进学生对算法的理解, 有助于知识的掌握和运用。

摘要：针对信息安全课程中的重要章节密码学的特点和教学现状进行分析, 结合课程教学工作的实际情况, 围绕如何提高教学质量, 从理论和实践两方面进行了系统的阐述, 提出了该课程教学模式改革思路, 并将其应用到实际教学中, 取得了较好的教学效果。

关键词：密码学,教学方法,信息安全

参考文献

[1]段云所, 魏仕民等.信息安全概论[M].北京:高等教育出版社, 2006, (1) .

密码与信息安全 篇5

本课的教学内容是浙教版必修第七章第三节《信息的安全和保护》，本节内容理论性、概念性较强，而且内容较多。在新课程实施第一轮施教中，按照教材一二三四的讲了一大堆，教师讲得津津有道，学生却是听得似懂非懂，有点云里雾里；在第二轮施教中不得不改进教学设计，在教学中以病毒为重点，通过演示几个典型病毒的传播过程及感染症状，了解病毒的工作原理及其破坏性，并让学生体验网上在线杀毒，学生学习兴趣已有较大提高，并对培养学生的信息安全意识和病毒查杀方法起到了很大的作用。然而，细细一想，没有病毒就安全了吗？病毒是信息安全的全部吗？考虑到高中学生网上购物、QQ使用等存在的一些实际安全问题，于是在第三轮教学中，我把密码安全作为信息安全教学的一个突破口。

●教学分析

教学目标分析。本课内容《信息的安全和保护》是高中信息技术必修模块的“信息技术与社会”中所涉及的主要内容，标准中提出要“树立信息安全意识，学会病毒防范、信息保护的基本方法，养成安全的信息活动习惯”，新课程标准对信息安全给予了相当的关注，本课对提高学生安全使用信息技术、提升信息素养具有重要意义。

教学内容分析。教材主要知识点为病毒的特征和种类、感染病毒的症状和病毒的防治、信息的保护方法。确实这部分内容是信息安全的重要领域，但是病毒不是信息安全的全部，而且教材内容概念性专业性较强，学生理解掌握起来较难，教材内容又略显陈旧。试想，即使学生了解了相关知识后，对现实的信息安全又有多大帮助。

学生情况分析。高中学生已有相当的信息技术基础，在电脑使用和网上冲浪时都遭遇过中毒、帐号被盗等，对信息安全或多或少有个了解，但一般是比较浅层次的，对于真正碰到的安全问题只能束手无策。另外一方面，学生对诸如密码破解、病毒和黑客木马有强烈的好奇感和神秘感，但苦于技术局限，不能真正体验信息安全的相关操作。

据以上对教学目标、教材和学生的分析，势必要求换个思路，改良我们的教学。在教材处理上，利用学生已有的知识和经验，要大胆调整，对教材进行增、删、换和合，即该补充的增、陈旧难懂的进行删和换、并进行总体教学整合；在教法设计上，改变对以教师为主，简单采用讲授法进行教学的模式，在活动中让学生充分参与体验、探究、讨论和展示；在策略运用上，教师要找到一个好的切入点，选择一个学生感兴趣、又能贴近学生实际生活的主题，因势利导，逐步推进教学。而这个切入点和突破口就是密码安全。

●教学流程

1. 问题引入，激发思考

【教师】今天，我们要学习的课题是密码。说起密码，其实大家都熟悉不过，谁能说说你在哪里用过密码。

【学生】你一言我一语，QQ密码，系统开机密码，保险箱密码。

【教师小结】信息时代我们经常在使用密码。开启保险箱要密码，银行里取款要密码，网上冲浪密码更多了，开机要CMOS密码，进入Windows系统要登录密码，上宽带网要拔号密码，进入QQ要密码，收发邮件要密码，网上购物要密码。然而，我们的密码安全吗？怎样的密码才算安全，今天我们将一起探讨密码的安全问题。

2. 问题探讨，逐步深入

问题1：什么样的密码是安全的

【教师布置任务】这是我们班级的通讯录，我准备把它放在FTP中，但不希望给其他班级的学生看，大家给“班级通讯录.xls”文件加把锁吧。

【学生活动】给“班级通讯录.xls”文件添加密码后，上传到班级FTP。一位学生演示给Excel文件加密的操作步骤。

【教师】利用“Advanced Office 2000Password Recovery”软件暴力破解其中一位学生的文档，结果显示如下图。

像这样的密码太容易破解，只花了一秒多的时间，尝试438540次就破解了，其实原因很简单，是因为密码太短。那么怎样的密码才算安全的呢？请同学们在QQ安全中心在线检测一下你的QQ密码的安全性。

【学生活动】在QQ安全中心（http://safe.qq.com/strategy/pswsafe.shtml）在线检测密码是否安全，并探索怎样的密码是安全的。

【教师拓展】（结合PPT课件展示）其实任何密码在理论上都是可以破解的，当需要很长时间才能破解时，就可以认为这密码是安全的。下面给大家一些关于密码安全的建议（演示过程中结合密码破解软件验证密码的长度、复杂度与暴力破解的次数和时间）。

尽量设置长密码，至少应该包括6个字符，理想情况是14个字符或更长。

组合大小写字母、数字和符号增加密码的复杂程度，避免顺序或重复的字符。举例，一位10位长的组合大小写和数字的密码破解的可能性将近有8.4*1017种，以每秒32万计，电脑需要不间断的破解8万年，这在现实中是没有任何意义的。（见上图）

不要在密码中出现如生日、身份证号码、电话号码、姓名等个人信息。

另外，很多系统为了防止别人进行暴力破解，也采取了一些安全措施，如ATM取款时如果三次输入错误，帐户就锁定了，而在网络中，经常会在输入密码时要求输入验证码。

问题2：怎样安全的输入密码，如何防止密码被盗

【教师】通过前面的讨论，我们已经知道怎样的密码是安全，但有了安全的密码就安全了吗？我们经常听说甚至亲身经历过QQ密码被盗，现在就以QQ软件为例，讨论如何正确的使用密码。先请同学们探究QQ的登录界面。

【学生任务】在QQ中查杀木马，输入密码时用数字键盘，并把自己的QQ密码设置得更为安全。

【教师补充】QQ医生是一款有效的QQ木马查杀软件；QQ数字键盘是为了防止木马记录键盘输入的密码，用数字模拟键盘代替键盘；QQ登录界面中那把金色的安全锁也是一种键盘加密保护技术。

【教师演示】通过采取以上的措施，QQ密码输入的安全性已经很高了，但实际上安全性依然很脆弱，用“QQ密码记录器”软件就可以轻松记录QQ密码。

问题3：还有哪些更为安全和先进的密码技术

【教师】即使有了一个安全的密码，定期查杀和更新杀毒软件，及时下载补丁程序，不随便打开来路不明的程序、游戏、邮件，但我们的系统还是不能保证安全。如果仅用于QQ聊天娱乐，那安全问题倒也罢了，但在网上支付等安全要求更高的应用时，那就不太让人放心了。难道我们就无能为力了吗，请同学们说说网上购物时采取的一些安全措施或者密码工具。

【多名学生】网上购物时用手机接收密码，用网上银行密码卡，用一个像U盘一样的小东西。

【教师补充】（在讲解中配合课件并出示口令卡、U盾、动态令牌等实物）

刚才同学们说的密码卡就是网上银行口令卡，在口令卡上印有一些密码，在支付时，电子银行系统会随机给出一组口令卡坐标，客户根据坐标从卡片中找到口令组合并输入，只有输入正确才能完成相关交易。

U盾，即USBkey，是网上银行的高级别安全工具，它外形酷似U盘，像一面盾牌，交易时须插入U盾，有了它就不用再担心黑客、假网站、木马病毒等各种风险。

此外还有动态口令、身份认证令牌、手机动态密码等密码安全工具。显然这些密码技术比单纯的密码更先进也更安全。

【教师引导】在现实中还有一些智能化的密码技术，童话故事里阿里巴巴的“芝麻开门”已经成为了现实，这种技术采用的就是生物识别技术，它包括指纹识别、掌形识别、虹膜识别、视网膜识别、声音识别等，大家自主在网上搜索其中的一项技术，然后向全班同学汇报你的学习结果。

【学生汇报】请四位同学分别汇报指纹识别、面部识别、视网膜识别、声音识别这四种生物识别技术。（如下图）

【教师补充】人有许多的生物特征，如指纹、声音、面容虹膜等都具有惟一性，生物识别技术就是对这些基本特征进行采集和分析，随着技术的不断成熟，它逐渐成为一种公认的身份认证技术，当然每种生物识别技术都有它的优点也有它的缺点。

3. 课堂小结，升华主题

【教师】今天我们探讨了怎样的密码是安全的，怎样安全的输入密码以及其他更为安全和先进的密码技术这三个问题。在一些间谍电影中经常可以看见一些密码破解高手，我们中国也有一位世界级的破解密码高手王小云，她破解了美国几个安全性较高的密码算法，如MD5密码算法，破解运算量达到2的80次方，即使采用现在最先进的巨型计算机，也要运算几万年以上才能破解，而她用普通的个人电脑，几分钟内就可以找到有效结果。但是这位高手，她可不是一名黑客，她的作用是促进科学家不断改进加密方法，让系统更安全。很多同学对破解有一种好奇，希望大家在网络社会中要学会保护自己，但不要利用技术去做不好的事，记住一句话，防人之心不可无，害人之心不可有。

●教学反思

本案例通过对教材进行加工与拓展，选择学生较为熟悉的密码作为突破口，通过对三个问题的逐层深入，学生在尝试探究、信息搜索、问题讨论、汇报交流、总结提升等多种活动形式中，亲身感受了信息安全的重要性及掌握了一些信息安全的技巧。学生学习兴趣浓厚，课堂上积极参与，对密码安全有了更深的切身体验，对先进的密码工具和生物识别技术也有了了解，取得了不错的教学效果。

密码与信息安全 篇6

关键词：密码,信息安全,保密建设,作用

随着计算机网络和信息技术的迅猛发展, 互联网已成为人们社会生活中必不可少的一部分, 网络数据传输也成为最基本的网络应用。但在如此频繁的传输背景下, 随之而来的很多问题也慢慢浮出水面。信息安全的保密建设已经变得迫不容缓。当前信息安全的保密建设主要包括数据安全建设和系统安全建设。所谓系统安全建设一般是指采用病毒查杀、防火墙、系统截杀等措施, 而数据安全则是指采用更为精确、安全的现代密码技术对数据进行主动保护, 这对于提高信息安全保密建设具有重要作用。

1 密码技术在信息网络安全中的应用

1.1 信息的加密保护

1.1.1 存储信息加密

所为存储信息的加密是指对所存储的数据、文件等进行加密保护, 有数据库的加密和文件库的加密。存储的信息加密难度相对而言较大, 尤其是其中对数据进行加密的数据库加密, 难度系数更大, 因为数据库加密存在着存储信息加密和存储信息查询之间的矛盾, 是目前尚未完全解决而急需突破的关键技术。

1.1.2 传输信息加密

所谓传输信息加密就是指对图像、数据、语音、传真等信道上传输的各种信息进行分别加密或者是综合的加密。而对这些信道上传输的信息的加密根据它们在网络上的不同层次可以分为应用层加密、传输层加密、网络层加密、链路层加密, 所有这些传输信息加密都各具特点, 它们具体的适用形式根据不同的保密要求进行规定[1]。

1.2 身份识别

我们知道, 银行的自动取款机可以将现款发放给银行自动识别的有正确账号的持卡人, 这是以身份识别为基础的。此外, 出入境证明、安全地区的放行和出入, 以及计算机的访问和使用, 都需要身份的识别。这就说明, 通信和数据系统的安全性, 在通常情况下, 是取决于能够正常识别终端或者是通信用户的个人身份。

随着现代化技术的发展和电子信息化技术的进步, 很多学者都试图与时俱进地使用电子化生物作为唯一的识别信息方式。但是, 以电子化生物作为识别, 不仅准确率低、代价高, 而且传输速率低、存储空间大, 不利于计算机的读取和判断, 只能作为辅助应用技术。既然电子化生物不适合作为主要的信息识别, 那么, 人们便转而投向另一种方式, 即密码技术, 特别是公钥密码技术, 因为其安全性高, 越来越受到人们的青睐。

采用密码技术进行信息的识别, 只有掌握正确密码的合法用户才能够通过识别信息技术的一次次查询和盘问, 才能最终获得自己想要的信息。现在, 密码技术已经逐步为人们所认识, 并广泛地运用到各行各业的信息认证之中, 一次性口令的识别、数字证书的识别以及身份认证的IC卡等各个方面都已经使用了密码技术。

1.3 信息完整性

我们经常会遇到这样的情况, 当你进入别人的空间或者主页, 或是想要查询一个信息时, 总会出现一个信息验证码, 这是为了防止在传输过程中或者是存储过程中, 信息被无意或者有意的篡改, 而使用密码技术对信息进行保护。当你输入验证码之后, 接收方会将你输入的验证码与正确的验证码进行比对, 只有两者相符时才能正确地看到信息, 如果输入的验证码与正确的验证码存在不同之处, 则无法通过审核。没有掌握密码的人是无法正确输入验证码的, 这就完整地保护了信息的安全, 以防止被修改或伪造。这种保存信息完整性的方法已经广泛地应用于第二代居民身份证、支票防伪以及增值税发票防伪之中[2]。

1.4 数字签名

我们通常所见到的或认知到的, 小到银行取款、签订商业合同, 大到政治、军事、外交等重大活动, 签署文件的方式统统采用的摁印章或者是手写签字的方式, 这种方式是最传统, 也是最普遍存在的。但是, 随着现代化信息技术的应用和发展, 人们希望改进传统的签名形式, 而采用通过数字信息网络的方式进行远距离的贸易合同或者是其他各种类型合同的签署, 以节省人们的时间, 也能更便捷更安全地保障人们的所有权。在这种情况下, 数字签字应运而生, 比如办公室自动化、电子转账、电子邮件等, 越来越频繁地应用于商业通信系统。

2 密码在信息安全保密建设中的地位

当前信息安全的保密建设主要包括数据安全建设和系统安全建设, 而最重要的就是以现代密码技术为基础制成的数据安全的建设。因此, 密码技术在信息安全保密建设中占据着核心领导地位。

其实, 密码技术并不是现代才开始兴起的, 它早在古代就已经得到应用, 只是应用的范围非常狭小, 仅限于军事和外交等重要领域, 当时的密码技术还处于最原始最简单的状态。而随着现代化信息技术的不断发展, 密码技术也得到了广泛的应用, 并且越来越渗透到更多的领域。密码技术在广泛应用的过程中得到了迅速的发展, 现在, 密码技术已经成为与微电子技术、计算机网络技术、通讯技术等紧密结合的一门新型的综合性学科, 并且集概率论、信息论、数论、代数等理论为一体。现在, 越来越多的密码技术被发明应用, 比如说基因密码、量子密码、混沌密码、神经网络密码等等, 这些无不表明密码因其所具有的强有力的生命力和更为广阔的应用前景, 已受到越来越多的重视[3]。

3 密码在信息安全保密建设中的作用

3.1 密码是信息安全保密建设中的核心技术, 具有不可取代的价值

密码技术很早就开始应用, 最早的时候, 主要用于集团内部、阶级内部作为特定的标志、暗号和特定符号, 彼此联络, 作为特定的联系方式。在近代, 密码技术主要运用于外交、军事等相关的重大领域, 以保证信息的安全。然后到了现代, 作为信息安全保障体系的基础, 密码技术以其独特的功效, 随着社会发展起到越来越重要的作用, 它显然已经具备了不可替代性, 有着无可取代的价值。

在当今社会, 计算机网络技术发展日新月异、如火如荼, 计算机网络系统已经几乎渗透到了世界的各个国家和各个领域, 这也就是后来所谓信息化战争出现的原因。不仅如此, 除了信息化战争, 数字化部队、知识经济、电子政府无不是建立于计算机网络建设之上, 它们都是融合了计算机技术才建立发展起来的。世界各国都非常注重对计算机技术的投入, 但是, 随之而来的计算机网络信息安全成为一大难以攻克的难关, 各国政府纷纷投入巨大的人力、物力、财力, 以期解决这一问题。

要想解决计算机网络安全保密问题, 就需要建立一个集合恢复、反应、检测、保护等模块的信息安全保障体系, 就是通常所称的PDRR模型。信息安全保障体系的核心和基础就是信息安全保护, 而如何做到信息安全保护就是要建立安全机制、制定安全技术规范, 能够在保障信息安全的同时满足用户的合理需求。信息安全保护依靠于建立信息安全机制来完成, 而信息安全机制的建立主要依赖于密码技术。简而言之, 密码技术在信息安全专家的共识里就是计算机网络安全信息系统的基础和支撑[4]。

3.2 密码担负着信息安全保密建设中的重要角色, 肩负着神圣使命

3.2.1 安全协议

所谓协议, 在法律上是合同的同义词, 就是指两个或者两个以上的参与者, 为共同完成一项特定的任务而对其具体的权利和义务作出相关的具体规定。而在协议的各个种类中, 具有公正性、完整性、有效性等安全属性的协议就是所谓的安全协议。安全协议, 顾名思义就是将安全性体现在协议中的各个环节和步骤之中, 比如说协议的设计环节需要采用严格的密码认证技术, 以保证协议的安全性, 而协议中的交互信息也需要通过密码技术来给予保证。

3.2.2 访问控制

如果想要访问一些并没有被授权访问的信息, 就需要输入一些相应的密码, 从而对想要保护的资源进行控制和管理。对某些资源进行访问控制可以保护关键资源, 防止没有经过授权的用户的恶意侵扰, 它是进行网络安全保护和防范的主要策略。

访问控制主要通过安全标志、权力、鉴别信息、访问信息库控制等具有控制属性的规则来实现, 它的主要目的就是防止使用资源的任意盗取和使用, 是为了确保信息的合理使用和流动。必须掌握相应的密码才能进入访问渠道, 才能安全合理地使用资源[5]。

3.2.3 安全管理

所谓安全管理, 是指对安全规则、安全机制、安全服务等进行管理, 以安全策略为依托, 将所要进行分配的管理信息分配到各个相关的安全设备中去, 在分配以及实施过程中收集和操作相关的信息。在进行安全管理的过程中, 要与安全服务和安全机制进行合理的搭配与配置。而进行安全管理离不开密码技术对其进行确认, 只有通过密码技术的确认, 才能确保安全管理的完整性、真实性和有效性, 而其他的, 比如安全策略、密码算法、密钥等的安全管理, 同样需要密码技术对其进行密码的加密保护[6]。

3.3 密码作为信息安全保密建设中的安全防线, 影响着未来的发展

密码技术因其特殊性, 在各个国家受到普遍重视, 因为密码技术不仅仅是保证信息安全建设的基础和支撑技术, 还攸关一个国家的根本利益, 甚至是直接影响着一个国家未来的生存与发展, 这些都是不容忽视的。各国都开始抢占信息安全领域的控制权, 尤其是作为世界超级强国的美国, 为了获得这一控制权, 甚至从1997年开始, 就开始在世界范围内公开征集21世纪的高级加密算法, 也就是AES, 以期代替已经过时的DES, 在世界信息安全系统占据控制权的地位。还有欧洲, 花费33个亿的欧元, 以期在三年之内建立属于自己的公钥密码、序列密码、分组密码等单独的密码算法标准, 使其能够自成体系。面对这些发达国家虎视眈眈的对信息安全保密建设的控制欲, 我国也必须加大重视力度, 高度重视密码技术在信息安全保密建设中的发展和应用, 将更多的必要的资金投入到信息安全保密建设之中, 加快相关密码关键技术的研究和应用, 以及相关产品的开发和利用。因为现在信息战已经开展得如火如荼, 我们国家必须要掌握军事斗争中的信息控制权, 构筑属于我们自己的军事信息系统的安全保密防线, 构筑属于自己的军事安全, 在高科技信息技术背景下, 提高我们的信息安全, 打好信息战[7]。

4 结语

密码技术是解决信息安全的关键技术, 对信息安全保密具有不可替代性。随着现代计算机网络的扩展, 它已渗透到各个不同的领域, 而作为安全保障的密码技术的应用也随之扩大, 有着不可取代的重要地位。

参考文献

[1]王正飞, 汪卫, 施伯乐.外包数据库中数据加密的设计和实现[J].计算机工程与应用, 2010, 12 (28) :32-33.

[2]路秀华, 周霞.密码学选修课课堂教学思考[J].廊坊师范学院学报 (自然科学版) , 2010, 15 (03) :15-16.

[3]杨海云.浅谈密码学与网络安全的实现[J].科教新报 (教育科研) , 2011, 20 (15) :32-33.

[4]何敏.新形势下军队院校信息安全保密管理问题及对策研究[D].国防科学技术大学, 2011, 12 (05) :36-37.

[5]杨志鹏.加强大理州党政机关计算机网络信息安全保密管理对策研究[D].云南大学, 2010, 23 (06) :42-43.

[6]王学慧, 张磊, 彭立宏, 刘芳, 陆洪毅, 肖侬.“信息安全保密”课程教学的五种思维及应用[J].计算机教育, 2010, 32 (04) :32-33.

密码与信息安全 篇7

信息网络国际化、社会化、开放化和个人化的特点,决定了它在给人们提供高效率、高效益、高质量的"信息共享"的同时,也投下了不安全的阴影。随着政府和人民对网络环境和网络资源依赖程度的不断加深,信息泄露、黑客入侵、计算机病毒传播甚至于威胁国家安全的问题会出现得越来越多。

密码技术作为保障信息安全的核心技术,在古代就已经得到应用但仅限于外交和军事等重要领域。目前随着现代计算机技术的飞速发展,密码技术正在不断向更多其他领域渗透。密码技术不仅能够保证机密性信息的加密,而且完成数字签名、身份验证、系统安全等功能。所以使用密码技术不仅可以保证信息的机密性而且可以保证信息的完整性,还可以防止信息被篡改、伪造和假冒。

1 加密技术

加密的目的是为了保护信息的保密性、完整性和安全性,简单地说就是信息的防伪造与防窃取。信息加密原理是将信息格式转化为密文,然后传输或存储密文,当需要时再重新转化为明文。加密技术分为两类,即专用密钥加密/对称加密和公共密钥加密/非对称加密。

1.1 专用密钥加密/对称加密

对称加密的特点:专用密钥加密具有对称性,即加密密钥也可以用于解密。使用对称加密方法将简化加密的处理,通讯双方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。

对称加密的限制:对称加密技术存在着在通信双方之间确保密钥安全交换的问题。此外,当某一通讯方有‘n’个通讯关系,那么他就要维护‘n’个专用密钥(即每把密钥对应一通讯方)。对称加密方式存在的另一个问题是无法鉴别通信发起方或通信最终方。

因为通信双方共享同一把专用密钥,通信双方的任何信息都是通过这把密钥加密后传送给对方的。

加密标准:数据加密标准(DES)是目前广泛采用的对称加密方式之一,该标准是由美国国家标准局提出的。该标准主要应用于银行业中的电子资金转帐(EFT)领域。DES的密钥长度为56位,三重DES是D ES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位。

RCZ和RC4方法是RSA数据安全公司的对称加密专利算法。RCZ和RC4不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RCZ和RC4能够提高或降低安全的程度,一些电子邮件产品(如Lotus Notes和Apple的open Colla boration Environment)已采用了这些算法。

1.2 公共密钥加密/非对称加密

非对称加密的特点:公共密钥加密使用两个不同的密钥,因此是一种不对称的加密系统。用在非对称算法中的密钥在数学上是相关的,一个密钥不能从另一个计算出来。在非对称加密体系中,密钥被分解为一对(一把公开密钥即加密密钥和一把专用密钥即解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密信息的加密,专用密钥则用于对加密信息的解密。

专用密钥只能由生成密钥对的一方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的一方。RSA算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。

因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,使用对称加密方法进行加密,而公开密钥加密算法通常用于对称加密方法密钥的加密。

2 网络信息安全问题

网络与信息安全是一个综合、交叉的学科领域,要涉及到安全体系结构、安全协议、密码理论、信息分析、安全监控、应急处理等各个方面,还要利用数学、电子、信息、通信、计算机等诸多学科的长期知识积累和最新发展成果。信息安全要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。

网络信息安全面临的威胁是多方面的,具有无边界性、突发性、蔓延性和隐蔽性等新的特点。网络模糊了地理、空间上的边疆概念,使得网上的冲突和对抗更具隐蔽性。对计算机网络的攻击往往是在没有任何先兆的情况下突然发生的,而且会沿着网络迅速蔓延。对网络信息安全防御的困难还在于,一个攻击者仅需要发起一个成功的攻击,而防御者则需要考虑所有可能的攻击,而且这种攻击是在动态变化的。因此,仅从技术上解决网络信息安全是有一定风险的。

国际标准化组织(ISO)将"信息安全"定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。简单说,信息安全的基本属性有可靠性、保密性、完整性、可用性和可控性。

信息保密性是指信息不被泄漏给非授权的个人和实体,或供其使用的特性。信息的保密性包括文件的保密性、传输过程中的保密性等两个方面。

信息的完整性是指信息在存储或传输时不被修改、不被破坏,不被插入、不延迟、不乱序和不丢失的特性。

信息可用性是指信息可被合法用户访问并能按要求顺序使用的特性。

信息可控性是指授权机关可以随时控制信息的机密性。每一个用户只能访问自己被授权可以访问的信息。同时对系统中可利用的信息及资源也要进行相应的分级,确保信息的可控性。

信息的可靠性是指以用户认可的质量连续服务于用户的特性。这不仅是要保护信息的安全可用,还和信息系统本身的可靠性有关。

实际上不论是局域网还是广域网,都是一种系统,所以系统安全问题的解决,必然是一项系统工程,必须采用系统工程学的方法、运用系统工程学的原理来设计网络信息安全体系。解决网络信息安全的基本策略是技术、管理和法制并举。技术是核心,要通过关键技术的突破,构筑起国家信息安全技术防范体系。管理是关键,根据"木桶原理",信息安全链条中任何一个环节的脆弱都有可能导致安全防护体系的失效,必须要加强各管理部门和有关人员间的密切合作。法制是保障,通过建立信息安全法规体系,规范信息化社会中各类主体的行为,以维持信息化社会的正常运作秩序。

3 密码是解决网络信息安全的关键技术

网络环境下信息的保密性、完整性、可用性和抗抵赖性,都需要采用密码技术来解决。密码技术是信息安全技术的核心,它主要由密码编码技术和密码分析技术两个分支组成。密码编码技术的主要任务是寻求产生安全性高的有效密码算法和协议,以满足对消息进行加密或认证的要求;密码分析技术的主要任务是破译密码或伪造认证信息,实现窃取机密信息或进行诈骗破坏活动。这两个分支既相互对立又相互依存,正是由于这种对立统一关系,才推动了密码学自身的发展。目前人们将密码理论与技术分成两大类,一类是基于数学的密码理论与技术,包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术、VPN技术等;另一类是非数学的密码理论与技术,包括信息隐藏、量子密码、基于生物特征的识别理论与技术等。

网络信息安全体系的构建要求我们必须合理的使用多种密码技术,这样才能保证信息的可靠性、保密性、完整性、可用性和可控性。

3.1 使用信息隐藏和公钥密码、分组密码等密码技术保证信息的保密性

信息隐藏对于在网络中保护信息不受破坏起到重要作用,信息隐藏是把机密信息隐藏在大量信息中不让对手发觉的一种方法。主要侧重于隐写术、数字水印、潜信道、隐匿协议、可视密码等方面的理论与技术的研究。

3.2 使用Hash函数保证信息的完整性

Hash函数(也称杂凑函数或杂凑算法)就是把任意长的输入消息串变化成固定长的输出串的一种函数。Hash函数主要用于完整性校验和提高数字签名的有效性,目前己有很多方案。这些算法都是伪随机函数,任何杂凑值都是等可能的,输出并不以可辨别的方式依赖于输入。

3.3 使用数字签名和各种身份验证技术保证信息的可控性

数字签名是对电子形式的消息签名的一种方法。基于公钥密码体制和私钥密码体制都可以获得数字签名,特别是公钥密码体制的诞生为数字签名的研究和应用开辟了一条广阔的道路。关于数字签名技术的研究,目前主要集中在基于公钥密码体制的数字签名技术的研究。数字签名的研究内容非常丰富,主要有RSA数字签名算法、E1Gama1数字签名算法、椭圆曲线数字签名算法和有限自动机数字签名算法等。数字签名的应用已经涉及到法律问题,美国联邦政府的部分州己制定了数字签名法,一些国家如法国和德国也己经制定了数字签名法,我国的电子签名法也在2004年颁布。

3.4 使用PKI和VPN保证信息的可靠性及可用性

简单的说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。PKI是解决信任和加密问题的基本解决方案,本质就是实现了大规模网络中的公钥分发问题,建立了大规模网络中的信任基础。PKI是创建、管理、存储、分发和撤消基于公钥加密的公钥证书所需要的一套硬件、软件、策略和过程的集合。PKI为开放的Internet环境提供了四个基本的安全服务:

(1)认证,确认发送者和接收者的真实身份;

(2)数据完整性,确保数据在传输过程中不能被有意或无意地修改;

(3)不可抵赖性,通过验证,确保发送方不能否认其发送消息;

(4)机密性,确保数据不能被非授权的第三方访问。

另外,PKI还提供了其他的安全服务,主要包括以下两个:

(1)授权,确保发送者和接收者被授予访问数据、系统或应用程序的权力;

(2)可用性,确保合法用户能正确访问信息和资源。

VPN是利用接入服务器(Access Server)、广域网上的路由器或VPN专用设备在公用的WAN上实现虚拟专网的技术。也就是说,用户觉察不到他在利用公用WAN获得专用网的服务。如果强调其安全性,可以认为VPN是综合利用了认证和加密技术,在公共网络(比如Internet)上搭建一个只属于自己的虚拟专用安全传输网络,为关键应用的通信提供认证和数据加密等安全服务。如果将VPN的概念推广一步,我们可以认为凡是在公共网络中实现了安全通信(主要包括通信实体的身份识别和通信数据的机密性处理)的协议都可以称之为VPN协议。到目前为止,VPN己经在网络协议的多个层次上实现,从数据链路层、网络层、传输层一直到应用层。特别是IPSec标准的制定,对实施VPN奠定了坚实的基础。

4 结束语

我们必须正确理解密码学在网络和信息安全中的地位。密码技术仅仅是解决信息和信息系统安全的关键技术之一,单靠密码技术不能彻底解决信息和信息系统的安全问题,安全问题涉及到人、技术、管理和操作等多方面的因素。安全系统的防御等级遵循"木桶"原理,取决于其最薄弱的环节。总而言之,在解决信息和信息系统安全这个问题上,密码技术不是万能的,但离开密码技术是万万不能的。

参考文献

[1]杨明,谢希仁,等.密码编码学与网络安全:原理与实践(第二版)[M].北京:电子工业出版社,2001.

[2]JessGarms,DanielSummerfield.Professional-JavaSecurity[M].北京:电子工业出版社,2002.

[3]STEVE B,STEPHEN B.Cryptography[M].New York:McGraw-Hill,2001.

[4]冯登国.密码分析学[M].北京:清华大学出版社,2000.

[5]王育民,刘建伟.通信网的安全-理论与技术[M].西安:西安电子科技大学出版社,1999.

密码与信息安全 篇8

1 网络信息安全的重要性

网络信息安全这个词早就出现过, 但是一直没有被重视。直到网络迅速发展并普及, 通讯保密进入到大众的视野里。而在当今的社会, 网络信息安全得到了极大的重视。它影响着社会安全、财产安全以及个人生活等, 因此, 人们需要防范的地方有很多, 比如黑客行为、电子谍报、计算机犯罪、信息丢失、网络协议、信息战等。网络信息安全问题不仅影响社会生产和人们的生活, 同时也会对国家安全、国防军事、国家政治外交以及机关单位的正常运转产生极大影响。现如今, 网络信息系统作为一个国家经济、政治、文化、社会活动的神经中枢和基础平台, 一旦遭到破坏, 无法运转, 将会对国家造成极大影响, 比如国防能力降低、通讯系统中断、国家金融体系瘫痪等, 严重的话甚至会导致国家经济崩溃、政治动荡、社会秩序混乱等, 后果不堪设想。

总之, 人们日常生活中所涉及的密码面临非常严重的威胁, 尤其是一种“群体威胁”, 这种威胁就像垃圾邮件一样, 不针对个人。职业窃贼并不是专门破解个人的账号, 他对个人情况一无所知, 他的目的是汇集一套破解过的账号密码清单, 通常是拿去卖钱。密码窃贼则使用破解工具, 会先从安全防护措施较低的网站下手, 等软件猜对了之后, 它再用同样的密码及其变体去猜你的更加安全的账号, 比如银行账号。所以说对于密码学的研究具有非常重要的价值和意义。

2 加密技术及其分类

密码学就是研究怎样通过一定的手段去较为隐秘地传递某些重要信息, 它与计算机科学、数学等息息相关。而密码学技术包括了破译密码和编制密码两种技术科学, 主要以编制密码为主, 其中加密是确保信息的安全性和完整性的重要手段。它主要是将重要信息通过密文的形式进行存储或者传输, 在接收后运用某些手段解析出来。加密主要分为了对称加密和非对称加密。

(1) 对称加密, 又称专用密钥加密, 具有对称性, 因为它既可以用于加密, 也可以用于解密。运用这种加密技术可以简化加密方式, 双方只需要共享专用密钥即可, 而不再需要彼此交换和研究专用加密算法。

(2) 非对称加密, 又称公共密钥加密, 具有不对称性, 是使用两个不相同的密钥。它们虽然从数学上来看是相关的, 但是却不能通过其中一个算出另一个。其中一把可以当作加密密钥向他人公开, 另一把则是当作解密密钥进行保存。加密密钥对信息进行加密, 而解密密钥则是对信息进行解密。

3 密码学的研究现状

密码学贯穿于网络信息安全整个过程, 在保障信息的机密性、可鉴别性、完整性、保护盒信息抗抵赖等方面发挥着极其重要的作用, 可以毫不夸张地说, 对密码学或密码技术一无所知的人是不可能从技术层面完全理解信息安全的。

在当前世界中, 密码学被公认为属于一个很神秘的“存在状态”。近些年以来, 密码学领域已取得了丰硕的研究成果, 尤其是2016年以来, 我国的一些高校, 例如西安电子科技大学在密码学领域获得了突破性的进步——GGH综合业务网理论及关键技术, 对GGH映射本身以及基于GGH映射的各类高级密码应用进行了颠覆性的否定。这个被攻破的GGH, 原本是一个有望成为国际密码学研究新技术的密码映射方案。这一突破的重大意义, 可以这样打个比方:GGH方案的提出者, 就像是建筑行业里的地基团队, 他们设计并挖掘了看起来非常安全保险、足够深的地基, 人们翘首期盼施工团队在他们挖下的地基上盖出摩天大厦来, 但西安电子科技大学开展的密码分析学就类似于监理团队, 发现了地基设计图纸的大问题, 并指出了挖好的地基存在隐患和问题, 无法在上面建造大楼, 如果强行建造, 必然是楼毁人亡。

另外, 密码学领域中的数字证书伪造方面也取得了明显的进步, 频繁发生的SSL中间人证书攻击就属于是一种真正的数字证书伪造过程, 例如当年的“Flema (火焰) ”病毒事件, 火焰病毒正是利用碰撞攻击对自身进行数字签名, 伪造了证书, 杀毒软件鉴定其证书时以为是来自微软。而这种碰撞攻击在计算上是不可行的, 但是又是不可避免的, 这主要是由于采用了散列函数, 散列函数又称Hash函数或杂凑函数, 它是一种单向加密函数算法, 从明文到密文不可逆的映射, 也就是说只有加密过程, 是不能破解的。

4 密码学技术在网络信息安全中的应用

网络信息安全中的核心技术是密码学技术, 很多网络问题都需要它来解决, 比如确保网络信息的完整性、保密性、抗依赖性以及可用性。要想构建网络信息安全体系, 就需要使用多种密码技术, 只有这样, 才能确保信息的可用性、可控性、完整性、保密性以及可靠性。

4.1 信息隐藏技术

运用信息隐藏技术保护网络信息具有极其重要的作用, 这会让很多机密信息不能被轻易发现和破坏。这种技术主要侧重于潜信道、数字水印、可视密码、隐匿协议、隐写术等。

4.2 Hash函数技术

所谓Hash函数技术, 指的是能够将任何长度的消息串转换为固定长度的消息串输出出去的技术。这种技术主要用于提高身份验证的有效性以及校验网络信息的完整性, 它在网络信息安全中的应用主要表现为文件校验、数字签名以及鉴权协议等。

4.3 身份验证技术

身份验证技术是确保网络信息安全的一种较为可靠的方法, 其中最重要的要属数字签名了。数字签名的获取可以通过公钥密码体制或者是私钥密码体制, 这种方法简单、便捷、安全、可靠, 深受大众的喜爱。而且很多国家都将数字签名列入到法律里, 受到了国家的保护。

5 结语

综上所述, 密码学技术在网络信息安全中起到了至关重要的作用, 具有不可撼动的地位。但是, 仅仅依靠密码学技术并不能完全杜绝网络信息安全问题, 因为这个问题涉及多个方面, 包括人、操作、管理、技术等。因此, 人们在平时上网时自己也要加以注意, 时刻保护自己的网络信息, 再配合密码学技术, 这样才能保障信息的安全。

参考文献

[1]李文峰, 杜彦辉.密码学在网络安全中的应用[J].信息网络安全, 2009 (4) :40-42.

[2]吕彩霞.密码学技术在网络信息安全中的应用[J].科技广场, 2011 (9) :104-107.

[3]刘亚卓, 王钰博, 翟晓宁, 等.浅论密码学在网络信息安全中的应用[J].电脑知识与技术, 2015, 2 (2) :41-42.

[4]杨柳.密码学在网络信息安全中的应用[J].通讯世界, 2016, 3 (5) :216.

密码与信息安全 篇9

随着网络的不断普及, 网站的安全越来越受到网站用户的关注, 而保证安全的一个最基本的途径就是登录网站时使用指定的密码。即使Web应用程序非常安全, 如果密码环节比较薄弱, 非法用户可以通过破解密码而潜入Web应用程序的内部, 不仅仅Web站点的管理员或者服务器的管理员帐号密码被破解, 普通用户的帐号密码也会遭遇同样的情况。

2 设置安全密码的解决方案

安全密码就是很难被破解的密码, 人们在注册网站时通常会选择非常常见的单词和数字。作为密码, 例如, 宠物的名字, 孩子们的名字, 有序号码、有序的字母串 (ASDFG) 等等, 这种密码很容易被破解, 目前最好的解决方法是在用户注册时, 网站确保用户具有高度安全性的“强度密码”, 是指建立一种策略, 确保密码足够复杂, 防止非法用户很容易猜到或者破解。关于强度密码策略有如下建议:

(1) 密码长度最小应该不小于七位字符。

(2) 不限制密码的最大长度。

(3) 支持多种字符集, 包括大小写字母数字和标点等。

(4) 允许使用任何键盘字符作为密码。

(5) 不允许使用字典单词作为密码或密码的一部分。

(6) 不允许密码中包含用户名称。

在ASP.NET中, 提供了一些验证控件用于验证密码的最小长度, 例如Regular Expression Validator验证控件就可以实现此功能。主要利用了该控件的Validation Expression属性, 使用正则表达式来验证密码的长度。主要代码如下:

<asp:Regular Expression Validator ID="Regular ExpressionValidator1"runat="server"Control To Validate="Text Box2"Error Message=”密码长度必须大于8位”></asp:Regular Expression Validator>, 运行界面如图1所示:

Regular Expression Validator验证控件的作用有限, 很多情况下不能满足用户的验证需要, 为此, ASP.NET提供了一种由用户自定义验证条件的验证控件——Custom Validator控件, 例如在用户注册时, 要求密码必须大于7位, 密码内容必须为大小写字母的组合, 如果输入密码不符合验证的要求, Custom Validator控件就会弹出错误提示信息, 主要利用了Custom Validator控件的自定义验证函数功能, 实现此功能的代码如下:

尽管密码中含有许多字符可以使密码具有更高的安全性, 并不易被推测, 但这样做也可能把密码曝露在其它类型的攻击之下, 所以对密码所支持的字符数目加以限制也是很有必要的。通常, A-Z, a-z, 0-9之间的字符和一些特殊的字符 (!、@、#、$、%、^、&、*、?、/、) 是可以安全使用的。可以通过验证控件来完成此项功能。在上面代码的基础上, 添加两个方法, 用来验证数字和符号。代码如下:

当网站提示用户输入复杂的强度密码时, 用户也许会常常忘记密码。下面给出一下如何创建易于记忆的强密码的具体建议:

(1) 使用多个人名字拼音

不要仅用熟人的姓名, 例如“zhangyu”, 而改用有关此人的不为他人所知的信息。例如“zhangfeng”或“fengzhang”。

(2) 使用符号而不是字符

很多人往往会在自己的名字拼音后面补充必要的符号和数字, 例如“zhang1234”, 但此类密码相对易于破解。姓“zhang”收录在大量包含常用姓名的字典中;一旦此姓被发现, 攻击者即仅需猜测另外四个相对简单的字符。因此, 请改用自己可以轻松回想起来的符号替代该密码的一个或更多字母。很多人拥有自己的富有创造性的译码方法, 即使用一些相似符号和数字替换字母。例如使用“@”替换“A”, “!”替换“1”, 零 (0) 替换“O”, 以及“3”替换“E”。使用这些替换, 可以认出“@11iw0nbe@r”, “@!!ison B3ar”和“A//i$on Bear”, 但要猜测和破解这些密码则难乎其难, 请观察键盘上的符号, 并思考进入脑海的第一个字符, 其他人可能不会想到这个字符, 而用户则会记住这个字符, 现在就开始使用一些此类符号作为密码的替代符号。

(3) 选择记忆中的事件和人物

要记住一个月之后将进行更改的强密码, 请尝试选择即将出现的人物或公共事件, 借此提醒自己生活中正在发生的美好事物或自己所敬仰或喜爱的某个人。如果密码非常有趣或可爱, 这个密码则不太可能被忘记, 将密码设置成自己独有的密码, 请务必使用包含两个或多个单词的词组, 然后插入自己的符号, 例如, “Zhang$hong@yu@jing”。

(4) 使用单词谐音

一般来说, 攻击者使用的密码字典会搜索密码中的单词。如前文所述, 不要害怕使用单词, 但务必在这些单词中间插入大量符号。另外一个打击攻击者的方法是避免正确拼写单词, 或使用自己可以记住的有趣谐音。例如, “Run for the hills”, 可以变成“R0n4d Hi LLs!”或“R0n 4 d Hills!”。

(5) 不要害怕创建长密码

如果记忆完整短语的效率更高, 那就创建完整的密码短语。密码越长, 其破解难度越大, 尽管密码很长, 如果自己可以轻松记住, 那在进入系统时就会少了许多麻烦。

(6) 使用语句的首字母

要创建易于记忆的强密码, 请首先写下一个易于自己记忆的大小写形式和标点符号正确的句子。例如“我爱宝宝的妈妈”。然后, 提取句子中每个字的首字母, 并保留其大小写形式。对于上例, 即得“WABBDMM”。最后使用一些非字母数字字符替换密码中的部分字母, 可以使用“@”替换“a”, 或使用“!”替换“B”。, 经过此番替换, 上述示例密码将变成“W@!!DMM”, 这将是一个破解难度极高而自己却可以轻松记住的密码, 只要能记住创建密码所依据的句子。

3 密码加密方案

在网站注册时尽管网站提供了密码安全性验证, 使用户能够创建安全性的密码。使黑客很难破解用户密码, 然而更严重的问题是如果有人能够盗走网站的整个数据库, 这样的话, 用户密码信息就会被盗取。

解决这个问题最好的办法是, 不将用户实际的密码存储在数据库中, 而是存储它们的加密后的字符串, 当需要对用户进行验证时, 只是对用户输入的密码再进行加密, 然后将它与系统中数据库中的加密的密码进行比较即可。

在ASP.NET中System.WEB.Secutity命名空间下FormsAuthentication类下的Hash Password For Storing In Config File方法提供了加密方法。此方法根据指定的密码和哈希算法生成一个适合于存储在配置文件中的哈希密码。

语法如下:

public static string Hash Password For Storing In Config File (string password, string password Format) ;

参数如下:

password:要进行哈希运算的密码。

password Format:要使用的哈希算法。password Format是一个String, 表示System.Web.Configuration.Forms AuthPassword Format枚举值之一。Forms Auth Password Format枚举值及说明如表1所示:

在本实例中, 使用Hash Password For Storing In Config File方法, 此方法使用起来非常简单, 它支持用于加密字符串的“SHA1”和“MD5”散列算法。在本实例中将密码字符串加密成“SHA1”和“MD5”格式, 运行实例, 在“会员注册”界面中填写用户名和密码, 单击“注册”按钮, 弹出对话框, 显示使用“SHA1”和“MD5”散列算法加密后的密码, 运行结果如图2所示。

在“注册”按钮的单击事件中编写加密码, 主要代码如下:

可将此实例做成一个通用的方法, 在向数据库中增加一个用户记录时, 使用这个方法来加密密码, 并将加密过的字符串存入数据库中, 当用户登录时, 调用这个方法, 将用户输入的密码进行加密, 然后将他和数据库中加密的密码进行比较。最好使用“MD5”散列算法加密, 因为这个密码是不可逆的不会被破解。

摘要：密码安全是Web应用安全中的一个重要环节。本文结合ASP.NET技术, 就如何设置安全密码和存储密码进行了详细的论述, 并提出了相应的解决方案。

关键词：密码,安全,方案,MD5

参考文献

[1]黄毅, 杨朔, 陈进原, 等.C#Windows Form编程中MD5加密的设计与实现[J].计算机时代, 2013, (06) .

[2]衣李娜.探讨ASP.NET网站开发中常用的加密技术[J].信息安全与技术, 2015, (04) .

[3]胡配祥, 李新.ASP.NET安全性解决方案及其实现[J].淮北煤炭师范学院学报 (自然科学版) , 2007, (01) .

[4]罗勇, 蒋仕伟, 张峻华.浅析基于asp.net的网站安全漏洞及防范[J].网络安全技术与应用, 2006, (10) .