网络密码认证安全研究

网络密码认证安全研究（精选3篇）

网络密码认证安全研究 篇1

摘要：针对网络密码认证中存在的风险, 提出一种基于浏览器的密码安全认证方法。该方法利用Windows消息传递机制和浏览器插件的特点并引入钩子技术、散列函数, 从而保护用户密码认证安全, 并为每一个站点生成惟一的认证密码。

关键词：浏览器插件,密码认证,钩子技术,散列函数,网络钓鱼

随着网络的快速发展, 各种各样的黑客攻击层出不穷, 对用户和网络造成巨大的安全风险。由于绝大多数网站采用表单提交密码的方式认证用户身份, 进而为之提供个性化服务, 一旦黑客通过某些技术窃取用户密码等重要信息, 那么黑客便可以用户合法的身份登录窃取用户信息等资料。密码认证安全的研究有2个方向, 一是基于客户端, 二是有服务器端参与。目前, 国内基于客户端的研究较少, 研究领域集中在交互协议方面来保护认证密码安全, 如一次性密码认证协议[1];国外在密码认证安全领域的研究有PwdHash[2]、Spoofgard[3]和Spyblock[4]等。在服务器的参与下, 引进交互认证协议可以较好地保护用户认证密码的安全, 但实际中各服务站点不可能全部支持该协议。为此, 本文分析国外几种基于客户端研究的优、缺点, 提出一种浏览器插件形式的客户端密码认证安全方法。

1 网络攻击

1.1 弱密码攻击

面对众多的Web服务网站, 用户为了便于记忆, 通常对不同网站设置易记且相同的密码, 由于网站安全等级参差不齐, 所以当用户在某网站的认证密码被窃取后, 在其他网站的信息安全也可能遭到威胁。认证密码的复杂度在一定程度上影响用户在该网站的信息安全, 甚至是其他网站的信息安全, 虽然一些网站在用户登录认证时, 用MD5对用户的密码进行散列处理, 但通过离线的字典攻击, 用户的明文密码仍能被破解。

1.2 键盘记录攻击

为了窃取用户的密码等信息, 运行在用户主机上的恶意程序利用挂钩监控原理都具备键盘记录功能, 其能够记录用户按键信息或浏览器页面密码栏中的数据, 直接或间接发送给黑客, 从而使得黑客窃取用户的密码等重要信息。以木马攻击为例, 它是目前最常见的键盘记录的载体, 能够控制对方的鼠标、键盘等, 能够监视屏幕显示信息、文件传递信息, 控制对方信息的发送和接收等。

1.3 Java Script脚本攻击

在文档对象模型 (DOM) 和其他浏览器的帮助下, Java Script能够完善客户端功能和网页的外观, 使网页更具有吸引力、互动性和较快响应速度。但是Java Script超强的能力也会给用户带来许多不便及安全威胁。一方面, 它能降低用户上网体验, 如弹出广告窗口和篡改浏览器配置;另一方面, 它又能被黑客利用窃取用户的敏感信息, 例如钓鱼攻击[5]。特别是在钓鱼攻击中, 它常被用来伪装钓鱼网站迷惑用户, 从而使黑客能够成功诱骗用户密码等敏感信息。用此种攻击的方式有键盘监视、窃取表单域、“域重写”等。

1.4 网络钓鱼

网络钓鱼通常利用含有虚假链接的电子邮件引诱用户访问一些和真实站点外观几乎一样的Web站点来进行网络诈骗, 意图引诱受骗者泄露自己的私人资料, 如信用卡号、银行卡密码、身份证号等内容[5]。钓鱼网站为了增强自身的可信度通常采用一些脚本技术隐藏容易暴露的线索, 例如, 修改URL、制作虚假的SSL、修改状态栏等。另一种形式的钓鱼攻击 (Spear Phishing) 能够向特定的组织或其内部员工发送电子邮件, 这种攻击效率更高, 且不易被反钓鱼工具捕获。当黑客“控制”了用户访问网站的习惯后, 使得用户增强了对网站的信任, 那么钓鱼攻击的成功率就会大大提升。

网络中还有其他攻击, 如嗅探攻击、会话劫持、“域中毒”、ARP欺骗攻击等, 这些攻击需要服务器的参与。

2 理论基础及相关技术

越来越多的服务商选择B/S架构, 通过用户密码识别用户身份, 为用户提供个性化服务。由于用户密码是用户身份识别的惟一标识, 拥有该密码就意味着拥有该账户的合法身份, 因此用户密码成为黑客攻击的首要目标。

2.1 浏览器插件

浏览器插件BHO是微软公司推出的作为浏览器对第三方程序员开放交互接口的业界标准, 是实现特定接口的COM组件。借助于BHO, 可以编写一个进程内COM对象, 注册于注册表中Browser Helper Object键下, 这个对象在每次启动时都会加载该对象, 这样该对象就会在与之相同的上下文中运行, 并对可用的窗口和模块进行任何行动, 其通常以工具栏的形式出现在浏览器中。在Browser Helper Object键下列出的每一个CLSID, IE都会在相同的进程空间, 比如在浏览器中, 调用Co Create Instance来启动一个新的BHO实例。如果这个BHO已经注册了自己的CLSID并且实现了IObjectwithSite接口, 那么这个被IE启动的BHO就传递了一个指针给IE浏览器的I-WebBrowser2接口。

通过这个接口, BHO可以控制并收到来自IE浏览器的事件及行为, 比如“后退”“前进”“刷新”等。利用BeforeNavigate2事件获取IE当前加载的URL, 提交的Data, 并且可以控制是否继续刷新页面。程序员也可以用代码控制浏览器行为及当前页面DOM的数据, 比如用户在表单栏中的数据。此外, BHO还能够安装钩子以监控一些消息和动作。本文就是利用BHO这个特性安装钩子程序, 进而抵御键盘记录等恶意软件对用户密码的攻击。

2.2 钩子技术

钩子 (Hook) 是Windows平台上的一种Windows消息处理机制, 它可以设置子程监视指定窗口的某种消息。当特定的消息发出, 在没有到达目的窗口前, 钩子程序就先捕获该消息, 即钩子函数先得到控制权。这时钩子函数既可以加工处理 (改变) 该消息, 也可以不作处理而继续传递该消息, 还可以强制结束消息的传递或发送一个其他消息到目的地。根据钩子对消息监视范围的不同, 分为系统钩子和线程钩子2类, 且线程钩子的优先级别高于系统钩子, 线程钩子只能监视本进程中某个指定线程的事件或消息, 系统钩子监视系统中所有线程的事件或消息。钩子子程是一个应用程序定义的回调函数, 编写好相应的功能函数后, 利用Set Windows Hook Ex () 函数便可以指定钩子、监控事件及钩子类型等。为了不影响用户获取键盘消息, 本文采用线程钩子, 也就是线程钩子只监视浏览器页面内的击键消息。

2.3 散列算法

散列算法就是把任意长度的输入通过一个不可逆的散列算法, 变换成固定长度的输出。由于Hash算法是单向的, 一旦数据被转换, 就无法再以确定的方法获得其原始值, 因此, 除了应用于数字签名外, 也广泛应用于加密和解密技术, 典型的算法如MD5和SHA-1。理论上无法从散列值恢复出原文信息, 但黑客通常使用“跑字典”的方式来破解散列值, 其成功率较高。为此, 本文采用带密钥的散列函数hmac_md5 (pwd, key) 对用户密码进行散列, 从而提高抵抗“跑字典”攻击的能力。密钥key选择了当前站点域名作为哈希密钥。在钓鱼页面中, 输入的密码将会和钓鱼页面的域名进行哈希运算, 而在合法页面中的密码和合法页面的域名哈希, 由于二者域名不同, 因此哈希值也不同, 结合密码指示灯便可更直观地警示用户输入密码时是否安全。

3 设计体系及流程

其由一个继承IObjectWithSite的COM组件、一个作为IE工具栏加载的接口以及其他几个响应工具栏组件的模块组成, 2个窗口类实现CWindowImpl的接口来定义工具栏的外观和用户交互的界面, 见图1。

Warn Bar, 当用户提交表单时检查表单action的值是否改变, 如果改变则向用户提示;Reflection Wnd, CWindowImpl类实现了一个透明窗口, 用来将用户消息传递到弹出的警示窗口;Pwd Tool Bar, CWindowImpl类定义了密码助手在工具栏中出现的形式, 用户的预置信息便保存在其中, 最后存储在注册表中。Warn Bar需要Pwd Tool Bar的信息来决定密码指示灯的颜色。

当IE浏览器启动后, 它调用IObjectWithSite接口中的SetSite方法初始化密码助手, 密码助手收到一个指向网页浏览器对象的指针, 并通过ReflectionWnd和Pwd Tool Bar使密码助手不断检查内容浏览器事件。IE的DWebBrowserEvents2类导出BeforeNavigate2和Document Complete事件处理程序。因为BeforeNavigate2事件发生在navigate事件之前, 这就使得Warn Bar在浏览器跳转之前获取表单的URL并有机会取消跳转页面。当键盘钩子侦测到密码键或密码前缀时, 密码助手判定当前活动元件是否是密码型控件, 若不是, 则警告用户;若是, 则密码助手截取所有键盘输入的可打印字符, 直到焦点离开该密码型元件域。键入的字符将会存放在密码助手指定的内存中, 当侦测到焦点离开密码型元件域后, 然后结合预置信息对用户键入的密码进行散列加密运算, 并放在该地址的内存中。这样也允许用户在密码栏中回退、删除密码, 而不会导致数据出错, 也不会影响用户上网体验。

在用户提交表单之前, 密码栏中一直存放的是键盘钩子返回的伪字符串 (并不是用户在该网站的真实认证密码) 。当用户提交表单时, 密码助手便可利用BeforeNavigate2处理程序拦截提交事件。由于IE浏览器不允许密码助手在BeforeNavigate2处理程序中直接编辑表单数据, 因此就需要撤销原始BeforeNavigate2事件, 并创建一个含有用户真实密码数据的新BeforeNavigate2事件。密码助手包含这么一个数据结构, 即用于识别BeforeNavigate2事件是被密码助手撤销, 还是被用户撤销, 避免密码助手重复转换表单中的数据, 使之进入死循环。

4 功能测试与分析

在IE浏览器6.0上安装密码助手后, 经测试, 键盘记录软件、脚本捕获的是伪字符串。在钓鱼攻击中, 假定http://localhost/Tlogin.aspx为真实网站, http://localhost/Flogin.aspx为钓鱼网站, 输入相同的认证密码登陆后, 发现数据库中存放了2个不同的散列值, 结果符合开发初的构想。将国外2个同类软件与密码助手对比分析可以得出, 密码助手优于其他2个软件 (见表1) 。

总之, 本文旨在研究一种基于客户端的密码认证安全的方法, 利用底层钩子优先捕获击键事件, 而浏览器插件最后捕获页面事件的特性, 设计了一种能够有效保护用户认证密码, 使其不受本地键盘记录、网页脚本、网络钓鱼等攻击的插件。鉴于Web服务的不确定性, 本文的设计未与服务器进行信息交互, 所以其还不能抵御网络嗅探、会话劫持、“域中毒”等攻击, 这也是本课题以后要研究的内容。

参考文献

[1]Bin Li, Shaohai Hu.A practical one-time password authentication im-plement on Internet[C].Hangzhou, 2006.

[2]Blake Ross Collin, Jackson Nick, Miyake.Stronger Password Authenti-cation Using Browser Extensions[EB/OL].http://crypto.stanford.edu/Pwd-Hash, 2008-12-20.

[3]Neil Chou, Robert Ledesma.Client-side defense against web-based i-dentity theft webspoof[EB/OL].http://crypto.stanford.edu/webspoof, 2008-03-25.

[4]Collin Jackson, Dan Boneh, John Mitchell.Spyware Resistant Web Au-thentication Using Virtual Machines spyblock[EB/OL].http://crypto.stan-ford.edu/spyblock/spyblock-2.pdf, 2008-12-30.

[5]Legon, Jeordan.“Phishing”scams reel in your identity[EB/OL].http://www3.cnn.com/2003/TECH/internet/07/21/phishing.scam, 2009-01-10.

网络密码认证安全研究 篇2

一、椭圆曲线密码体制

椭圆曲线加密法ECC(Elliptic Curve Cryptography)是一种公钥加密技术,以椭圆曲线理论为基础,利用有限域上椭圆曲线的点构成的Abel群离散对数难解性,实现加密、解密和数字签名,将椭圆曲线中的加法运算与离散对数中的模乘运算相对应,就可以建立基于椭圆曲线的对应密码体制。椭圆曲线是由下列韦尔斯特拉斯Weierstrass方程所确定的平面曲线:

椭圆曲线加密算法以其密钥长度小、安全性能高、整个数字签名耗时小,使其在智能终端应用中有很大的发展潜力,比如掌上电脑、移动手机等都能有更好的表现。而在网络中,ECC算法也保证了其协同工作的实时性,使用ECC算法加密敏感性级别较高的数据(如密钥),速度上能够满足大数据量要求,而且安全性高,能很好地保障系统的安全。

由于椭圆曲线密码体制的安全性只与椭圆曲线的安全性有关,而椭圆曲线安全性是由ECDLP求解的困难性决定的,因此,为了保证ECDLP是难解的,在选取椭圆曲线的时候除了选择合适的参数(a,b),使得相应的Weierstrass方程满足非超奇异椭圆曲线的要求外,还要选取合适的有限域GF(q),使得q满足#E能被一大素数(≥30位的整数)整除,或q本身就是一个大素数。安全的椭圆曲线也就是能抵抗各种已有攻击算法攻击的椭圆曲线。

1. 选取安全椭圆曲线时应该遵循的一些原则

(1)E选用非超奇异椭圆曲线,而不选取奇异椭圆曲线、超椭圆曲线以及反常椭圆曲线;

(2)#E不能整除qk-1,1≤k≤20;

(3)当q=P为素数时,#E应为素数,随机选取椭圆曲线上的一点作为基点;当q=2m时,#E应包含大的素因子,如#E=2n,4n,其中的n是大素数,且m不取合数。随机选取E上一阶为n的点作为基点;

(4)选择以基点生成循环子域H∈GF(q)上实现ECC,|H|是#E的最大素因子。

2. 描述一个利用椭圆曲线进行加密通信的过程

(1)用户A选定一条椭圆曲线Ep(a,b),并取椭圆曲线上一点作为基点G,选择一个私有密钥k,并生成公开密钥K=k G;

(2)用户A将Ep(a,b)和点K,G传给用户B;

(3)用户B接到信息后,将待传输的明文编码到Ep(a,b)上一点M,并产生一个随机整数r(r

(4)用户B将C1、C2传给用户A;

(5)用户A接到信息后,计算C1-k C2,结果就是点M。

因为C1-k C2=M+r K-k(r G)=M+r K-r(k G)=M,再对点M进行解码就可以得到明文。

在这个加密通信中,如果有一个入侵H,他只能看到Ep(a,b)、K、G、C1、C2而通过K、G求k或通过C1、C2求r都是相对困难的。因此H无法得到A、B间传送的明文信息。基于椭圆曲线的密码体制如图1所示。

二、基于椭圆曲线密码体制的网络身份认证系统

由于网络具有信息量大的特点,其主要威胁来自于非授权用户的非法访问,因此它对数据完整性的要求很高,需要最快的速度提供最高的安全性,保证信息的机密性、完整性和有效性。网络身份认证是依靠用户账号、口令或者生物特征等信息来实现的,这些认证方法在某种程度上存在着安全隐患,如账号、口令或指纹特征信息在存储、传输过程中可能被截取、被篡改等。在身份认证系统中,起关键作用的是其中的加密体系。本文设计的身份认证系统中,用户首先要通过认证模块进行注册,注册成功后,获得经过系统认证中心C A签名的公钥和私钥。用户公钥和CA的公钥都是公开信息,用户的私钥只有用户本人知道,由用户自己保存。

1. 系统的总体结构

假设通信的是A与B双方,A与B处在同一个网络中,文本加解密采用对称算法AES,而密钥的传输与签名验签都采用非对称算法ECC。系统由服务器和客户端两部分组成,如图2所示,服务器端包括代理服务器、认证服务器、应用服务器;客户端包括代理客户端、认证客户端。代理客户端和代理服务器共同完成代理功能,认证客户端和认证服务器共同完成身份认证功能。

系统模型主要工作流程如下:

(1)将用户信息存放在系统数据库中;

(2)客户端应用程序通过客户端代理向认证模块请求申请登录认证;

(3)认证模块检查用户身份并完成认证过程,向客户端发放应用服务器的Ticket;

(4)客户端向安全代理服务器请求获取访问策略数据;

(5)安全代理服务器读取访问控制表中对应的策略控制记录,确定用户是否有权限访问相应的应用服务器资源;

(6)确定用户有权访问后,连接到相应的应用服务器;

(7)客户端与应用服务器间建立起了一条加密通道,双方通过此通道来交换数据。

2. 系统功能模块及实现

(1)认证模块。认证模块主要实现身份认证、密钥分发等功能,采用基于公钥密码体制的改进Kerberos认证协议来对用户进行身份认证,是模型的核心部分。

认证模块由认证客户端模块、认证服务器端模块组成。当客户端代理接到来自客户端的任意请求时,先判断是否为客户端代理启动后接收到的第一个请求,如果是,则客户端代理必须先去认证服务器进行身份认证。

(1)认证客户端。认证客户端主要包括六个模块,分别为:A S请求模块、TGS请求模块、GSSAPI接口模块、Kerberos GSSAPI模块、票据列出模块、票据销毁模块。

AS请求模块主要功能是用户获取TGS的票据TGT。当用户进行身份认证时,AS请求模块被调用,从AS服务器中获取TGT。AS请求模块包括获取Ticket模块和报错子模块。通过调用ECC加密模块,对每条信息进行必要的安全处理;TGS请求模块主要用于获得应用服务器的票据。在调用TGS请求之前,客户端必须己经得到TGT,以便用TGT向TG服务器证明自己的身份。GSSAPI接口模块用于实现与客户端代理的接口,客户端代理调用GSSAPI接口模块来进行身份认证;Kerberos GSSAPI模块被GSSAPI接口模块调用,真正实现建立安全上下文,报文保护级别协商以及对每条报文的保护。通过调用Kerberos GSSAPI模块,用户获得与代理服务器进行加密通信的会话密钥。票据列出模块用于列出保留在缓存中的主要实体名和当前所有活动票据的内容。票据销毁模块用于销毁所有的票据,以防止他人窃取票据,当用户断开与服务器的连接时,系统会调用该模块来销毁用户的票据。

(2)认证服务器。认证服务器模块主要包括KDC模块、GSSAPI接口模块Kerberos GSSAPI模块以及其他辅助模块。

KDC模块主要完成用户身份认证和票据分发等功能,包括AS请求处理子模块和TGS请求处理子模块。它与认证客户端的AS请求模块和TGS请求模块一起工作,来完成身份认证和票据分发功能;GSSAPI接口模块用于实现与代理服务器的接口,代理服务器调用GSSAPI接口模块来进行身份认证,而GSSAPI接口模块则调用Kerberos GSSAPI,用于真正实现建立安全上下文,报文保护级别协商以及对每条报文的保护。

(2)代理模块。代理模块在模型中主要实现客户端应用程序通过代理客户端、代理服务器访问应用服务器的功能,通过采用Socks5协议实现。

代理模块分别在客户端和应用服务器端加载一个代理软件。客户端代理接受客户端的所有请求,经处理后转发给服务器端代理。客户端代理首先与代理服务器建立一个TCP连接,通常SOCKS端口为1080,通过安全隧道,代理服务器认证并接受所有来自客户端软件的通信。若身份得以认证,则安全服务器将请求递交应用服务器,处理请求后并将结果返回安全服务器,安全服务器将此结果返回给客户端。

安全代理服务器在确认客户端连接请求有效后接管连接,代为向应用服务器发出连接请求,安全代理服务器应根据应用服务器的应答,决定如何响应客户端请求,代理服务进程应当连接两个连接,客户端与代理服务进程间的连接、代理服务进程与应用服务器端的连接。为确认连接的唯一性与时效性,代理进程应当维护代理连接表或相关数据库。安全代理服务器为所有网络通信提供了一个安全隧道,在建立通道的过程中,存在用户认证的过程。用户经过认证和原始协议请求,通过GSSAPI建立的安全隧道传送。

(3)加密模块。加密模块在系统中主要完成对数据的加解密处理,通过调用椭圆曲线加密算法具体实现。模型中采用ECIES加解密方案,具体实现过程采用bor Zoi算法库。bor Zoi是个免费的C++椭圆曲线加密库,含有完整的源代码,提供了定义在特征值为2的有限域上的算法,提供了加密模块。

三、系统安全性分析

系统提供了应用层的安全解决方案,可作为网络的授权访问控制中心,提供用户到应用服务器的访问控制服务。基于椭圆曲线加密法的网络身份认证,用户可以采用较短的密钥长度来实现较高的安全性,这样既有便于用户的记忆也提高了服务器的计算速度,从而将大大缩短登录时间。在椭圆曲线密码体制中,椭圆曲线Ep(a,b)中p、a、b的任何一个数字改变就产生新椭圆曲线方程,这样既可为用户提供丰富的选择性也可以为服务器节约更广阔的存储空间,同时确保网络信息的保密性、完整性和可用性。

本文通过分析椭圆曲线密码体制,建立了网络身份认证系统模型,该模型采用软硬件协同的方式,基于混合加密体制,使用速度快而安全性高的ECC算法进行加解密、签名与验证签名,对网络的信息建立起良好的保护的屏障,能够很好地抵抗重放攻击、猜测攻击、网络窃听攻击,整个网络身份认证方案简单有效。

参考文献

网络密码认证安全研究 篇3

随着信息技术的不断发展,信息已成为重要的战略资源,在现代社会的进程中发挥着举足轻重的作用。但在信息快速发展的同时,信息安全问题也日益彰显,特别是在国计民生的社会领域,网络所存在的安全问题已日益突出,如病毒感染、黑客攻击等,对社会经济发展、人们生产生活造成较大影响。对于信息安全技术,其主要涉及计算机、密码知识、网络架构和安全技术等。旨在通过采取有效的安全策略,实现网络信息的安全可靠的保护。

当前,网络安全领域的相关技术。

(1)防火墙技术。防火墙作为安全网关,构建在Internet与内部网络之间,实现对内网的有效控制。其实,防火墙系统主要的防护机制是决定外界可以访问哪些内部资源,反过来,内部人员可以访问哪些外界资源。也就是说,防火墙通过对相关信息的过滤、授权,实现对网络的安全保护。

(2)入侵检测技术。该技术作为一种主动防御技术,主要针对用户系统行为的监视、系统漏洞的设计,及系统数据完整性评估等功能,也就是说,入侵检测系统可以有效地实现对系统监视、审计、评估等工作,实现了对网络系统的主动保护。

(3)漏洞扫描技术。该技术主要针对主机的安全脆弱点的技术。通过查询相关的TCP/Ip端口,并收集某些特定的有用信息。该项技术的具体实现是依托于安全扫描程序。安全扫描程序可以对检测的数据进行分析,进而快速获取系统的脆弱点。

(4)加密技术。加密技术是最传统也是最有效的保护措施之一,主要针对信息加密。加密技术的特征非常突出,主要利用现代数据加密技术,实现对网络系统的安全保护。并且,加密数据的翻译,只有指定的用户、网络设备方可执行。

对于数据加密技术而言,其是网络安全的核心,承担着高安全性密码算法的寻找,以实现信息资源的加密。本文就针对网络安全中,两种典型加密算法进行研究。

2 相关理论

信息保密通信系统具体如图1所示。

基于通信行为不同,该网络系统可氛围发送方和接收方,就图1中所对应的相关内容定义如见表1。

3 典型的密码体制

3.1 对称密码体制

早在上世纪70年代,公钥密码还未出现。所以在那时,加密的方法就比较唯一,多采用对称加密。直至现在,对称加密的使用仍旧非常广泛。如图2所以,对称加密机制主要包括:密钥、加密算法、明文和密文等基本内容。

就对称密码体制而言,其最大的特点在于加密和解密使用一样的密钥。所以,这种密码机制比较单一,其保密性主要依托于密钥的保密性。并且,对称密码的保密性与加密算法的保密性无关,也就说,即使知道了解密算法和密文,也是无法获得明文。

在对称加密算法中,DES和AES算法使用广泛,具有典型的代表性,以下就这两种对称算法进行论述。

3.1.1 DES算法

DES算法采用了56位的密钥长度,并具有64位分组长度。对于该法,其主要将64位输入明文,并在一系列的运算处理下,得到64位的密文进行输出。在对密码解密时,采用同一密钥。其实,左右两边是在相互交换的机制下进行预输出。并且最后预输出的IP与相互作用,进而产生出密文(64位),在实际中,我们可以清楚地知道56位密钥的使用情况。密钥在相关置换作用之后,在循环和置换等操作下,获得一系列的子密钥。同时,在每次迭代置换的过程中,使用相同函数,且密钥的循环作用,使得子密钥之间是不相同的。

3.1.2 AES算法

对于AES算法,其具有高效加密和解密的突出优点。因为密钥的长度是128或192位,这样就可以在计算机的作用下,实现高速的处理。同时,该密码算法具有良好的安全性,在短时间内很难对其进行破译。

在AES算法中,以128位加密算法输入和输出。在输入分组中,是以字节为单位的矩阵来表示,且矩阵中的字节需要按照相关的规定进行排列,如从上之下,从左到右的方式排列。该分组复制到State数组后,在对进行加密或解密的过程中,都会对数组进行改变,直到State复制至输出矩阵。在对128位的密钥描述时,采用以字节为单位的矩阵。

3.2 非对称密码机制

3.2.1 非对称密码机制

在1976年,Hellman和Diffie首先引入非对称密码机制。在使用非对称密码机制时,用户需要选定以对密钥:一个密钥是可以公布的;另一个密钥则需要用户保密。所以,该密码体制又称之为公钥体制。其实,对于密码史而言,公钥体制的出现就是重要的里程碑。在公钥体制中,最著名的有AIGamal算法、Mc Eliece密码和RSA系统等内容。

与先前的密码学相比,公钥密码学存在一定的本质区别。(1)公钥算法是基于数学函数,而非先前的置换和替换。(2)公钥算法的使用,是针对非对称且独立的密钥,而传统的对称密码则只需要一个密钥。同时,公钥密码体制主要包括加密算法、公钥、明文、密文等。

3.2.2 RSA算法

在非对称加密算法中,RSA比较具有代表性。就当前的公钥密码算法来看,RSA是最成功的公钥密码算法之一。该算法的安全机制主要依托于计算机复杂性理论和数论中的相关素数求算。在至今的数学领域,仍未多项式时间内破解RSA的最佳方案。

3.3 其他典型密码机制

目前,传统密码机制以逐渐完善,并广泛适用于网络安全构建中。对于传统密码,均只有计算安全性和一次一密的特性。也就是说,网络攻击者的计算功能无限强大,理论是可以对该些密码系统进行破译。随着信息技术的不断发展,新兴智能计算的涌现,对传统密码的破译提供了更加有效的新途径。同时,诸多的职能生物算法已用于传统密码的破译,并取得了实际效果,这就对加密技术提出了更高的要求。

在面对传统密码技术日益暴露出缺陷时,DNA加密计算法出现在人们视线。目前,DNA加密技术已成为密码学的前言领域,是新时期的密码。对于DNA密码而言,其具有突出的特点,特别是以DNA为信息的载体,依托于现代生物技术为工具,很大程度上利用了DNA的相关有点。这样一来,可以有效的实现加密、认证等一系列密码学功能。其中,其主要包括DNA隐写、DNA加密和认证等三个方面。从DNA密码的本质来看,其实是数学密码的有益补充,对于夯固网络信息安全保护具有重要的现实意义。

3.4 算法分析

对于对称密码体制而言,其可以用于加解的密钥是相同的或是从加密密钥中推解而出。其中,典型的AES和DES算法的密钥长度均较短,密钥的可靠性较弱,以至于安全性能较低。但是,算法简单、加密速度快,计算开销小。要想构建更安全的网络安全体系,需要以安全方式进行密钥交换。

对于非对称密码体制而言,其可以用于加密的公钥,但与私钥是不相同的。此外,相比较于传统密钥,公钥和私钥的长度较长,在安全性能上交优越。对保密信息进行多人形式下的传输,所需的密钥组和数量相对较小。但是,加密算法相对比较复杂,计算的工作量较大。所以,私有密钥加密比公开密钥加密在解密时的速度要快。

4 结束语

在网络信息时代,网络技术的不断发展,也突显出日益严重的网络安全问题。在网络安全技术中,主要通过相关的加密技术,对信息资源进行安全保护。

其实,网络安全是相对的,也就是说,安全性越高其实现就越复杂。面对快速发展的计算机网络技术,新的网络安全问题也不断闯入人们的视野。同时,一些新的密码体制也不断的研发,构建起网络安全的防护墙。所以,审视计算机网络技术的发展,网络安全形势依旧非常严峻,促使我们不断地创新技术,迎接新的网络安全问题。

参考文献

[1]丁素英.密码算法在网络安全中的应用[J].潍坊学院学报,2008(03).

[2]Zhao G.Advances in modern information security and chaotic secure communication application research[J].Progress in Physics,2012(06).

[3]Malo K o.Application of cryptography technology in network information security[J].Technology Square,2011(09).

[4]薛冰.密码学在网络信息安全中的应用[J].福建电脑,2009(09).

[5]周溢辉.RSA算法在信息安全中的应用分析[J].科技信息(科技教研),2008(08).

[6]滕萍.云计算技术发展分析及其应用研究[J].信息网络安全,2012,(11):89-91.