經過驗證安全公開的加密演算法

『壹』 非公開的加密演算法比公開的加密演算法安全么

Kerckhoffs原則:秘密寓於密鑰。換句話說,一個密碼系統的安全性,應該僅僅依靠「密鑰沒有泄漏」這個前提。即使整個系統落到了敵人的手上,敵人了解了整個系統的所有細節,但如果敵人不知道密鑰,你的傳輸還是安全的。滿足這樣嚴苛的條件的密碼系統才是安全的。無論是在戰爭還是和平時期,你不能把保密的希望寄於你的系統/演算法的秘密性。機械的可以拆解,軟體的可以直接看匯編。你的密碼系統的所有細節總會被有心人所一一拆解。這個時候,如果你的系統符合Kerckhoffs原則,那麼即使敵人拆解了你的系統但不知道密鑰,他也沒有辦法破譯加密的信息。而在這點上,非公開和公開演算法的區別就體現出來了:因為系統總會被別人知道,所以安全性就寓於演算法是否符合Kerckhoffs原則。公開演算法受全世界的密碼學者研究,經受了很大的考驗,有很多弱的演算法就舍棄掉了,應用的時候對於演算法的局限性了解得比較多,用起來可以更留心(用更長的密鑰之類);非公開演算法的話,因為除了作者之外別人都不知道,所以基本上沒有人看過,加密的強度誰都不知道,可能有很好的攻擊但是作者沒發現所以以為很安全,但實際上一攻就破。這種非公開演算法被破解的例子是很多的,不過我知道的都是中古的……比如說一個報紙有個公告欄,有些情侶會用自己的密碼在上面調情,有一次一對情侶用自創密碼討論私奔的事情,然後好事的密碼分析師花了點時間破解了,然後用這個密碼體系發了一段加密信息,勸他們不要私奔……二戰的話,Enigma密碼機本來也想秘密化的,不過怎奈何間諜們啊……但現在的密碼學不僅僅是加密信息,還有身份認證啊數字簽名啊之類的。這些可以通過基本的密碼學primitive再加上semantic security來做,具體可以查維基。這些東西的話,用自己的一套方法基本上就是死路一條……因為從系統的角度出發,自己設計的系統很難堵住每一個漏洞,而設計出來了的話也大概跟sematic security的系統差不多……你同學的想法有個學名,叫security through obscurity。實際上這個也不是不能用,但是不能將整個系統的關鍵憑托在非公開的系統上面。不過要是將AES啊RSA啊之類的演算法很好地obfuscate,然後裝成很無辜的數學計算模塊,同時偽裝另一套實際上不會用到的加密系統,假裝整個系統都依賴於它,這種也構成很好的obscurity式防禦。不過,這種防禦也只能是一層外殼,整個系統實質上也應該依賴於AES或者RSA之類好演算法的安全性。這樣的話,即使偽裝被去除,敵人也對AES或者RSA束手無策。因為沒有秘密是可以永遠保存的。
採納哦

『貳』 常用的加密演算法有哪些

對稱密鑰加密

對稱密鑰加密 Symmetric Key Algorithm 又稱為對稱加密、私鑰加密、共享密鑰加密：這類演算法在加密和解密時使用相同的密鑰，或是使用兩個可以簡單的相互推算的密鑰，對稱加密的速度一般都很快。

• 分組密碼

分組密碼 Block Cipher 又稱為「分塊加密」或「塊加密」，將明文分成多個等長的模塊，使用確定的演算法和對稱密鑰對每組分別加密解密。這也就意味著分組密碼的一個優點在於可以實現同步加密，因為各分組間可以相對獨立。

與此相對應的是流密碼：利用密鑰由密鑰流發生器產生密鑰流，對明文串進行加密。與分組密碼的不同之處在於加密輸出的結果不僅與單獨明文相關，而是與一組明文相關。

• DES、3DES

數據加密標准 DES Data Encryption Standard 是由IBM在美國國家安全局NSA授權下研製的一種使用56位密鑰的分組密碼演算法，並於1977年被美國國家標准局NBS公布成為美國商用加密標准。但是因為DES固定的密鑰長度，漸漸不再符合在開放式網路中的安全要求，已經於1998年被移出商用加密標准，被更安全的AES標准替代。

DES使用的Feistel Network網路屬於對稱的密碼結構，對信息的加密和解密的過程極為相似或趨同，使得相應的編碼量和線路傳輸的要求也減半。

DES是塊加密演算法，將消息分成64位，即16個十六進制數為一組進行加密，加密後返回相同大小的密碼塊，這樣，從數學上來說，64位0或1組合，就有2^64種可能排列。DES密鑰的長度同樣為64位，但在加密演算法中，每逢第8位，相應位會被用於奇偶校驗而被演算法丟棄，所以DES的密鑰強度實為56位。

3DES Triple DES，使用不同Key重復三次DES加密，加密強度更高，當然速度也就相應的降低。

• AES

高級加密標准 AES Advanced Encryption Standard 為新一代數據加密標准，速度快，安全級別高。由美國國家標准技術研究所NIST選取Rijndael於2000年成為新一代的數據加密標准。

AES的區塊長度固定為128位，密鑰長度可以是128位、192位或256位。AES演算法基於Substitution Permutation Network代換置列網路，將明文塊和密鑰塊作為輸入，並通過交錯的若干輪代換"Substitution"和置換"Permutation"操作產生密文塊。

AES加密過程是在一個4*4的位元組矩陣（或稱為體State）上運作，初始值為一個明文區塊，其中一個元素大小就是明文區塊中的一個Byte，加密時，基本上各輪加密循環均包含這四個步驟：



• ECC

ECC即 Elliptic Curve Cryptography 橢圓曲線密碼學，是基於橢圓曲線數學建立公開密鑰加密的演算法。ECC的主要優勢是在提供相當的安全等級情況下，密鑰長度更小。

ECC的原理是根據有限域上的橢圓曲線上的點群中的離散對數問題ECDLP，而ECDLP是比因式分解問題更難的問題，是指數級的難度。而ECDLP定義為：給定素數p和橢圓曲線E，對Q＝kP，在已知P，Q 的情況下求出小於p的正整數k。可以證明由k和P計算Q比較容易，而由Q和P計算k則比較困難。

• 數字簽名

數字簽名 Digital Signature 又稱公鑰數字簽名是一種用來確保數字消息或文檔真實性的數學方案。一個有效的數字簽名需要給接收者充足的理由來信任消息的可靠來源，而發送者也無法否認這個簽名，並且這個消息在傳輸過程中確保沒有發生變動。

數字簽名的原理在於利用公鑰加密技術，簽名者將消息用私鑰加密，然後公布公鑰，驗證者就使用這個公鑰將加密信息解密並對比消息。一般而言，會使用消息的散列值來作為簽名對象。

『叄』 使用加密認證技術要注意什麼

信息加密是網路安全的有效策略之一。一個加密的網路，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟體的有效方法之一。
信息加密的目的是保護計算機網路內的數據、文件，以及用戶自身的敏感信息。網路加密常用的方法有鏈路加密、端到端加密和節點加密三種。鏈路加密的目的是保護鏈路兩端網路設備間的通信安全；節點加密的目的是對源節點計算機到目的節點計算機之間的信息傳輸提供保護；端到端加密的目的是對源端用戶到目的端用戶的應用系統通信提供保護。用戶可以根據需求酌情選擇上述加密方式。
信息加密過程是通過各種加密演算法實現的，目的是以盡量小的代價提供盡量高的安全保護。在大多數情況下，信息加密是保證信息在傳輸中的機密性的惟一方法。據不完全統計，已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密演算法分為常規密鑰演算法和公開密鑰演算法。採用常規密鑰方案加密時，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的，其優點是保密強度高，能夠經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，密鑰管理成為系統安全的重要因素。採用公開密鑰方案加密時，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。公開密鑰加密方案的優點是可以適應網路的開放性要求，密鑰管理較為簡單，尤其可方便地實現數字簽名和驗證。
加密策略雖然能夠保證信息在網路傳輸的過程中不被非法讀取，但是不能夠解決在網路上通信的雙方相互確認彼此身份的真實性問題。這需要採用認證策略解決。所謂認證，是指對用戶的身份「驗明正身」。目前的網路安全解決方案中，多採用兩種認證形式，一種是第三方認證，另一種是直接認證。基於公開密鑰框架結構的交換認證和認證的管理，是將網路用於電子政務、電子業務和電子商務的基本安全保障。它通過對受信用戶頒發數字證書並且聯網相互驗證的方式，實現了對用戶身份真實性的確認。
除了用戶數字證書方案外，網路上的用戶身份認證，還有針對用戶賬戶名+靜態密碼在使用過程中的脆弱性推出的動態密碼認證系統，以及近年來正在迅速發展的各種利用人體生理特徵研製的生物電子認證方法。另外，為了解決網路通信中信息的完整性和不可否認性，人們還使用了數字簽名技術。

『肆』 身份驗證的基於公開密鑰加密演算法

基於公開密鑰加密演算法的身份驗證是指通信中的雙方分別持有公開密鑰和私有密鑰，由其中的一方採用私有密鑰對特定數據進行加密，而對方採用公開密鑰對數據進行解密，如果解密成功，就認為用戶是合法用戶，否則就認為是身份驗證失敗。
使用基於公開密鑰加密演算法的身份驗證的服務有：SSL、數字簽名等等。

『伍』 公開密鑰技術,如何進行加密和驗證

你說的也叫非對稱加密技術，下面是簡介：

1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是「公開密鑰系統」。相對於「對稱加密演算法」這種方法也叫做「非對稱加密演算法」。與對稱加密演算法不同，非對稱加密演算法需要兩個密鑰：公開密鑰（publickey）和私有密（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種演算法叫作非對稱加密演算法。

其中非對稱加密技術以RSA為代表，具體的你可以在網路查詢，我就不貼出來了

加密和驗證過程文字書寫不方便理解，你可以參照下圖理解：

『陸』 目前讓密碼最安全的演算法是什麼

加密演算法

加密技術是對信息進行編碼和解碼的技術，編碼是把原來可讀信息（又稱明文）譯成代碼形式（又稱密文），其逆過程就是解碼（解密）。加密技術的要點是加密演算法，加密演算法可以分為對稱加密、不對稱加密和不可逆加密三類演算法。

對稱加密演算法 對稱加密演算法是應用較早的加密演算法，技術成熟。在對稱加密演算法中，數據發信方將明文（原始數據）和加密密鑰一起經過特殊加密演算法處理後，使其變成復雜的加密密文發送出去。收信方收到密文後，若想解讀原文，則需要使用加密用過的密鑰及相同演算法的逆演算法對密文進行解密，才能使其恢復成可讀明文。在對稱加密演算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密，這就要求解密方事先必須知道加密密鑰。對稱加密演算法的特點是演算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密演算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發收信雙方所擁有的鑰匙數量成幾何級數增長，密鑰管理成為用戶的負擔。對稱加密演算法在分布式網路系統上使用較為困難，主要是因為密鑰管理困難，使用成本較高。在計算機專網系統中廣泛使用的對稱加密演算法有DES和IDEA等。美國國家標准局倡導的AES即將作為新標准取代DES。

不對稱加密演算法 不對稱加密演算法使用兩把完全不同但又是完全匹配的一對鑰匙—公鑰和私鑰。在使用不對稱加密演算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。加密明文時採用公鑰加密，解密密文時使用私鑰才能完成，而且發信方（加密者）知道收信方的公鑰，只有收信方（解密者）才是唯一知道自己私鑰的人。不對稱加密演算法的基本原理是，如果發信方想發送只有收信方才能解讀的加密信息，發信方必須首先知道收信方的公鑰，然後利用收信方的公鑰來加密原文；收信方收到加密密文後，使用自己的私鑰才能解密密文。顯然，採用不對稱加密演算法，收發信雙方在通信之前，收信方必須將自己早已隨機生成的公鑰送給發信方，而自己保留私鑰。由於不對稱演算法擁有兩個密鑰，因而特別適用於分布式系統中的數據加密。廣泛應用的不對稱加密演算法有RSA演算法和美國國家標准局提出的DSA。以不對稱加密演算法為基礎的加密技術應用非常廣泛。

不可逆加密演算法 不可逆加密演算法的特徵是加密過程中不需要使用密鑰，輸入明文後由系統直接經過加密演算法處理成密文，這種加密後的數據是無法被解密的，只有重新輸入明文，並再次經過同樣不可逆的加密演算法處理，得到相同的加密密文並被系統重新識別後，才能真正解密。顯然，在這類加密過程中，加密是自己，解密還得是自己，而所謂解密，實際上就是重新加一次密，所應用的「密碼」也就是輸入的明文。不可逆加密演算法不存在密鑰保管和分發問題，非常適合在分布式網路系統上使用，但因加密計算復雜，工作量相當繁重，通常只在數據量有限的情形下使用，如廣泛應用在計算機系統中的口令加密，利用的就是不可逆加密演算法。近年來，隨著計算機系統性能的不斷提高，不可逆加密的應用領域正在逐漸增大。在計算機網路中應用較多不可逆加密演算法的有RSA公司發明的MD5演算法和由美國國家標准局建議的不可逆加密標准SHS(Secure Hash Standard:安全雜亂信息標准)等。

加密技術

加密演算法是加密技術的基礎，任何一種成熟的加密技術都是建立多種加密演算法組合，或者加密演算法和其他應用軟體有機結合的基礎之上的。下面我們介紹幾種在計算機網路應用領域廣泛應用的加密技術。

非否認（Non-repudiation）技術 該技術的核心是不對稱加密演算法的公鑰技術，通過產生一個與用戶認證數據有關的數字簽名來完成。當用戶執行某一交易時，這種簽名能夠保證用戶今後無法否認該交易發生的事實。由於非否認技術的操作過程簡單，而且直接包含在用戶的某類正常的電子交易中，因而成為當前用戶進行電子商務、取得商務信任的重要保證。

PGP（Pretty Good Privacy）技術 PGP技術是一個基於不對稱加密演算法RSA公鑰體系的郵件加密技術，也是一種操作簡單、使用方便、普及程度較高的加密軟體。PGP技術不但可以對電子郵件加密，防止非授權者閱讀信件；還能對電子郵件附加數字簽名，使收信人能明確了解發信人的真實身份；也可以在不需要通過任何保密渠道傳遞密鑰的情況下，使人們安全地進行保密通信。PGP技術創造性地把RSA不對稱加密演算法的方便性和傳統加密體系結合起來，在數字簽名和密鑰認證管理機制方面採用了無縫結合的巧妙設計，使其幾乎成為最為流行的公鑰加密軟體包。

數字簽名（Digital Signature）技術 數字簽名技術是不對稱加密演算法的典型應用。數字簽名的應用過程是，數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變數進行加密處理，完成對數據的合法「簽名」，數據接收方則利用對方的公鑰來解讀收到的「數字簽名」，並將解讀結果用於對數據完整性的檢驗，以確認簽名的合法性。數字簽名技術是在網路系統虛擬環境中確認身份的重要技術，完全可以代替現實過程中的「親筆簽字」，在技術和法律上有保證。在公鑰與私鑰管理方面，數字簽名應用與加密郵件PGP技術正好相反。在數字簽名應用中，發送者的公鑰可以很方便地得到，但他的私鑰則需要嚴格保密。

PKI（Public Key Infrastructure）技術 PKI技術是一種以不對稱加密技術為核心、可以為網路提供安全服務的公鑰基礎設施。PKI技術最初主要應用在Internet環境中，為復雜的互聯網系統提供統一的身份認證、數據加密和完整性保障機制。由於PKI技術在網路安全領域所表現出的巨大優勢，因而受到銀行、證券、政府等核心應用系統的青睞。PKI技術既是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由於通過網路進行的電子商務、電子政務等活動缺少物理接觸，因而使得利用電子方式驗證信任關系變得至關重要，PKI技術恰好能夠有效解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系還必須充分考慮互操作性和可擴展性。PKI體系所包含的認證中心（CA）、注冊中心（RA）、策略管理、密鑰與證書管理、密鑰備份與恢復、撤銷系統等功能模塊應該有機地結合在一起。

加密的未來趨勢

盡管雙鑰密碼體制比單鑰密碼體制更為可靠，但由於計算過於復雜，雙鑰密碼體制在進行大信息量通信時，加密速率僅為單鑰體制的1/100，甚至是1/1000。正是由於不同體制的加密演算法各有所長，所以在今後相當長的一段時期內，各類加密體制將會共同發展。而在由IBM等公司於1996年聯合推出的用於電子商務的協議標准SET（Secure Electronic Transaction）中和1992年由多國聯合開發的PGP技術中，均採用了包含單鑰密碼、雙鑰密碼、單向雜湊演算法和隨機數生成演算法在內的混合密碼系統的動向來看，這似乎從一個側面展示了今後密碼技術應用的未來。

在單鑰密碼領域，一次一密被認為是最為可靠的機制，但是由於流密碼體制中的密鑰流生成器在演算法上未能突破有限循環，故一直未被廣泛應用。如果找到一個在演算法上接近無限循環的密鑰流生成器，該體制將會有一個質的飛躍。近年來，混沌學理論的研究給在這一方向產生突破帶來了曙光。此外，充滿生氣的量子密碼被認為是一個潛在的發展方向，因為它是基於光學和量子力學理論的。該理論對於在光纖通信中加強信息安全、對付擁有量子計算能力的破譯無疑是一種理想的解決方法。

由於電子商務等民用系統的應用需求，認證加密演算法也將有較大發展。此外，在傳統密碼體制中，還將會產生類似於IDEA這樣的新成員，新成員的一個主要特徵就是在演算法上有創新和突破，而不僅僅是對傳統演算法進行修正或改進。密碼學是一個正在不斷發展的年輕學科，任何未被認識的加/解密機制都有可能在其中佔有一席之地。

目前，對信息系統或電子郵件的安全問題，還沒有一個非常有效的解決方案，其主要原因是由於互聯網固有的異構性，沒有一個單一的信任機構可以滿足互聯網全程異構性的所有需要，也沒有一個單一的協議能夠適用於互聯網全程異構性的所有情況。解決的辦法只有依靠軟體代理了，即採用軟體代理來自動管理用戶所持有的證書（即用戶所屬的信任結構）以及用戶所有的行為。每當用戶要發送一則消息或一封電子郵件時，代理就會自動與對方的代理協商，找出一個共同信任的機構或一個通用協議來進行通信。在互聯網環境中，下一代的安全信息系統會自動為用戶發送加密郵件，同樣當用戶要向某人發送電子郵件時，用戶的本地代理首先將與對方的代理交互，協商一個適合雙方的認證機構。當然，電子郵件也需要不同的技術支持，因為電子郵件不是端到端的通信，而是通過多個中間機構把電子郵件分程傳遞到各自的通信機器上，最後到達目的地。

『柒』 如何應對被公開的Oracle口令加密演算法

由於Oracle資料庫被廣泛應用，其口令加密演算法也是備受關注。最早在1993年comp．databases．oracle．server新聞組中有人披露了加密演算法的大部分細節。十年後，一本名為《Special Ops Host and Network Security for Microsoft， Unix and Oracle》的書中補全了演算法最重要的一個環節——DES演算法的KEY。至此，口令加密演算法已無秘密可言。接踵而來的是互聯網上出現多個了Oracle口令破解工具。Oracle在2007年推出的最新版本11g中，使用了新的更安全的加密演算法，但是新演算法的細節很快又在互聯網上被公開。為提供兼容，11g版本保留了11g以前版本使用的加密口令，利用這一漏洞仍然可以對11g版本的加密口令進行破解。

到底怎樣才能保證資料庫口令的安全呢？本文首先介紹Oracle資料庫各版本口令加密演算法的內容，然後針對演算法重點介紹加強資料庫安全性的應對措施。

口令加密演算法
從Oracle7到Oracle 10gR2，使用DES演算法對口令進行加密。對演算法進行分析，可以得出如下結論：口令不區分大小寫，任意大小寫組合均可登錄；由於只使用固定KEY，只要用戶名和口令相同，在任一DB中存放的加密口令都相同；由於採用了用戶名和口令串接的方式，所以用戶aaa、口令bbbccc的加密值與用戶aaabbb、口令ccc完全相同。

Oracle 11g版本的加密口令存放在SYS．USER$表中的SPARE4列中，而PASSWORD列中仍保留以前版本加密口令。由於客戶端計算加密口令需要用到SALT，在建立連接時，伺服器端將SALT明文傳送給客戶端程序。Oracle 11g中新的口令加密演算法中區分大小寫；由於加入了隨機數SALT，兩個不同用戶的口令即便完全相同，計算得到的SHA1的散列值也不同；不同DB中相同用戶相同口令，SHA1散列值也可能不同。

目前，大多數破解工具的工作方式是得到加密口令後，對每一個可能的口令進行加密計算，比較計算結果而確定是否正確。由此，抵禦口令破解可以從三個方面著手：防止加密口令外泄；在加密口令落入黑客手中後，口令也是不可破解的，或盡量增加破解的時間；即便是口令被破解，也是無用的，不能存取資料庫。

防止加密口令泄露
1．應用「最少許可權」原則，盡量限制可存取加密口令用戶的人數

在資料庫中檢查具有存取SYS.USER$或DBA_USERS許可權的用戶，並從不需要的用戶中收回許可權。但是操作並不簡單，這也是資料庫管理工作的特點。每一廠商的軟體中都實現了SQL標准之外的擴充，並且每一版本都有差異。限於篇幅，不可能對所有本文中建議的措施進行詳細的解釋說明，僅以此處檢查許可權為例展示DBA工作的復雜性。本文中如未說明，則默認版本為11g。應用於11g以前版本時，請讀者確認是否需要修改。

檢查許可權主要的工具是數據字典視圖（也可以直接存取SYS用戶的基表，但基表的定義沒有公布，官方不提供技術支持）。視圖DBA_TAB_PRIVS存放了資料庫中數據對象上的授權信息。假定用戶A1和A2可以存取SYS．USER$表，檢查在SYS用戶USER$上有存取許可權的用戶，可執行如下語句：

SELECT GRANTEE FROM DBA_TAB_PRIVS WHERE TABLE_NAME=『USER$』；

我們已經知道用戶A1和A2，都可以存取SYS.USER$表，但為什麼在上面查詢結果中沒有出現呢？這是因為在Oracle的許可權管理中，對一個表的存取許可權還可以通過系統許可權或角色賦予，而DBA_TAB_PRIVS中僅列出了直接的對象許可權的授予信息。對於SYS．USER$表而言，系統許可權SELECT ANY DICTIONARY和角色DBA都包含了這一表的存取許可權。所以完整列出所有可存取這一表的用戶應增加下面兩條查詢語句的結果：

SELECT GRANTEE FROM DBA_SYS_PRIVS WHERE PRIVILEGE＝『SELECT ANY DICTIONARY』；
SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED_ROLE＝『DBA』；

通過上面的查詢語句，還是會遺漏某些用戶。如果把DBA角色授權給另一角色Admin，然後又將Admin角色授權給另一用戶NEWU，則此用戶可存取SYS.USER$表，但在上述三個查詢中並沒有直接列出NEWU的名字（角色Admin會出現在第三個查詢語句的結果中）。

顯然，Oracle的授權構成了一棵樹，完整的信息需要一段PL/SQL程序來完成。（對於11g以前版本，還需要檢查對DBA_USERS視圖有存取許可權的用戶和角色。SELECT_CATALOG_ROLE角色如被授權，則可以存取所有數據字典視圖，但不能存取SYS的基表。）

2．設定對加密口令存取的審計

如果當前系統中只有SYSDBA可以存取USER$，則一個變通辦法是審計SYSDBA的所有操作，其中也包括對USER$的存取。設置初始化參數audit_sys_operations ＝TRUE，重新啟動資料庫後激活對SYSDBA操作的審計。

審計文件的存放位置為：
11g版本中為：$ORACLE_BASE/admin/SID/ amp／ *．aud
11g以前版本為： $ORACLE_HOME/rdbms/audit/ *．aud。
嚴格限制和監視SYSDBA用戶活動的最好辦法是使用Oracle Database Vault組件。

3．在操作系統級限制對資料庫數據文件的存取
SYSDBA用戶的加密口令存放在$ORACLE_HOME/dbs下的口令文件orapw〈SID〉中。SYS．USER$表同樣需要在數據文件中存放，多數為SYSTEM表空間的第一個數據文件中。此外，EXPORT文件、REDOLOG文件以及TRACE文件中都可能出現加密口令。需要嚴格限制上述文件的存取許可權。

4．防止網路竊聽

在建立連接時，客戶端需要向伺服器端傳送用戶名和口令，並且伺服器端與客戶端需要相互發送這次會話使用的SESSION KEY。Oracle採用Diffie-Hellman KEY交換演算法和自己開發的O3LOGON協議完成上述任務。演算法的細節同樣已在互聯網上被公開。建立連接時上述信息如果被截獲，同樣可以被用來破解口令。更為嚴重的是，如果黑客事先已經獲得加密口令，結合SESSION KEY的信息，則不需要任何破解，執行簡單還原運算就可算出口令明文。

另外，設計SID時不要使用如ORCL、TEST、PROD等常用名字，設定PORT號為遠遠大於1521的數，都可以增加黑客SID掃描的難度和時間。

5． 刪除舊版的加密口令

存放在Oracle 11g資料庫中的以前版本的加密口令是口令破解工具的一個突破口。在沒有兼容性限制的系統中，可以考慮從系統中刪除舊版口令，從而增加破解難度。

具體操作如下：

在SQLNET.ORA中增加一行：SQLNET.ALLOWED_LOGON_VERSION=11（Oracle手冊中格式介紹有錯誤，不能加括弧：…＝（11）），指定最低版本。
以SYSDBA登錄後，執行以下語句，刪除舊版口令。
update sys.user$ set password＝NULL；
delete from user_history$；
commit；

設置修改後，基於OCI的工具如SQLPLUS、10gR1和10gR2版本都可以正常登錄，而JDBC type-4 則只有11g版本才允許登錄。

提高口令強度
1．禁止使用預設口令，禁止與用戶名同名的口令，禁止字典詞彙的口令

Oracle 11g中提供一個視圖DBA_USERS_WITH_DEFPWD，可以方便地查出系統中使用預設口令的所有用戶，不足的是還有不少遺漏。讀者可以在互聯網找到預設口令的列表，雖然是非官方的，但是比DBA_USERS_WITH_DEFPWD使用的官方的列表更全。破解工具附帶的詞彙表有的包括了大型英文詞典中全部詞彙，並支持詞彙與「123」之類的常用後綴進行組合。需要注意的是，有的詞彙表中已經出現了「zhongguo」這樣的字元串，所以漢語拼音組成的口令也是不安全的。檢查系統中是否存在弱口令的最常用方法就是使用前述口令破解工具進行攻擊。

2．規定口令最小字元集和口令最短長度

口令字元集最小應包括字母、數字和特殊符號，口令長度最短應不少於8位，對於安全性要求高的系統，最短長度應為12位以上。同樣，問題的關鍵在於DBA指定初始口令以及用戶修改口令時保證不違反上述這些規定。每一用戶都對應一個Profile，如在Profile中指定口令驗證函數，則每當創建或修改口令時，會自動檢查是否滿足驗證程序中所設定的條件，如果不滿足，則口令修改失敗。對口令明文進行檢查，顯然要比對加密口令破解效率高。此外，口令創建之時進行檢查可以及時封殺弱口令，不給黑客留下破解的窗口。

指定口令驗證函數的語句為：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION 口令驗證函數名；

上例中，為「DEFAULT」 Profile指定了驗證函數。對用戶進行分類後，應當為每一類用戶分別創建自己的Profile，而不是全部使用DEFAULT。關閉口令驗證函數的語句為：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION NULL；

在$ORACLE_HOME/rdbms/admin/下，腳本文件UTLPWDMG.SQL提供了示例的口令驗證函數，執行這一腳本，將創建一名為VERIFY_FUNCTION的函數( Oracle 11g中，增加新函數verify_function_11G )。這一函數可以對口令長度是否同時出現了字母數字元號進行檢查，檢查是否與用戶名同名，也檢查口令是否是幾個最常用的詞彙，如welcome、database1、account1等。最後，口令修改時檢查新舊口令是否過於相似。讀者實際使用時應該根據系統需要對這一函數進行必要的修改和擴充。

3．使用易記憶的隨機口令限定口令長度後，如果口令沒有規律很難記憶，則用戶會採用他們自己的方式記住口令，大大增加了遭受社會工程攻擊的可能性。DBA需要幫助用戶設計一個容易記憶而又不易破解的口令。一個簡單易行的方法是找用戶非常熟悉的一個句子，如One world One dream，然後將每一個空格替換為數字或符號：One3world2One1dream#。

定期更換口令

抵禦口令破解要從多方面著手


資料庫中存在多種許可權用戶，各種授權用戶構成一棵樹

應對口令泄露或被破解的措施是強制定期更換口令，設定口令重復使用限制，規定封鎖口令的錯誤次數上限及封鎖時間。即便是加密口令落入黑客手中，在被破解之前或入侵之前，修改了口令，則口令破解變得毫無意義。為了方便記憶，一般用戶有重新使用之前過期口令的傾向，如果對重用不加控制，則定期更換口令將失去意義。上述對口令的管理仍然是通過Profile完成：

ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 30
PASSWORD_GRACE_TIME 7
PASSWORD_REUSE_TIME 365
PASSWORD_REUSE_MAX 0
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LOCK_TIME UNLIMITED
PASSWORD_VERIFY_FUNCTION my_verify_function;

上面語句制定的口令管理政策為：口令的有效期為30天，隨後有7天的寬限期，寬限期後口令「過期」，必須更改口令後才能登錄。只有經過365天後才能重新使用以前的口令。在連續10次輸入口令錯誤後，賬號被封鎖，設定不自動解鎖，必須由DBA手動解除封鎖。口令驗證函數為my_verify_function。

Oracle 11g以前版本，預設設置中沒有設定口令的有效期，而在Oracle 11g中預設設置有效期為180天。程序中直接寫入口令的應用在升級到11g時一定要注意有效期問題，避免半年後應用突然無法自動運行。另外，口令的有效期對SYS用戶不起作用，DBA一定要主動定期更換口令。

另外一個措施是對登錄資料庫伺服器的主機進行限定，如指定網段或指定IP地址。進一步限定客戶端允許執行的程序，如對非本地登錄禁止使用SQLPLUS，只允許執行某特定應用。

認真實施本文中給出的措施後，可以很有效地防止口令被破解。然而我們的目的是提高資料庫系統的安全性，而不僅僅是保證口令不被破解。資料庫系統安全的任何一個環節出現問題，都會導致前功盡棄。黑客的目的是入侵系統盜竊數據，是不會按常理出牌的，會嘗試各種手段方式，如社會工程、安全漏洞、物理入侵等等，而不會執著地在口令破解上與我們較勁。這一點需要我們經常提醒自己，從而切實保證資料庫系統安全。

TechTarget中國原創內容

『捌』 什麼叫網路加密演算法其分為哪幾類分別舉例。

很負責告訴你，拷貝過來的，關鍵看你能不能看明白了

由於網路所帶來的諸多不安全因素使得網路使用者不得不採取相應的網路安全對策。為了堵塞安全漏洞和提供安全的通信服務，必須運用一定的技術來對網路進行安全建設，這已為廣大網路開發商和網路用戶所共識。

現今主要的網路安全技術有以下幾種：

一、加密路由器(Encrypting Router)技術

加密路由器把通過路由器的內容進行加密和壓縮,然後讓它們通過不安全的網路進行傳輸,並在目的端進行解壓和解密。

二、安全內核(Secured Kernel)技術

人們開始在操作系統的層次上考慮安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。如S olaris操作系統把靜態的口令放在一個隱含文件中, 使系統的安全性增強。

三、網路地址轉換器(Network Address Translater)

網路地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,初衷是為了解決IP 地址不足,現多用於網路安全。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網路看不到內部網路, 從而隱藏內部網路，達到保密作用。

數據加密(Data Encryption)技術

所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數、解密鑰匙(Decryti on key)還原成明文。加密技術是網路安全技術的基石。

數據加密技術要求只有在指定的用戶或網路下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用於加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。

專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據後,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。

DES是一種數據分組的加密演算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,並在給定的密鑰參數條件下,進行多次迭代而得到加密密文。

公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的演算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA演算法。

在計算機網路中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)。通信加密又有節點加密、鏈路加密和端--端加密3種。

①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。

②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。

③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體泄漏也很有效。

在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。

值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。

(1)數字簽名

公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。

數字簽名一般採用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。

數字簽名不同於手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之後的,與文本信息是分離的。

(2)Kerberos系統

Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法。

它的安全機制在於首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。

Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:

①安全性高,Kerberos系統對用戶的口令進行加密後作為用戶的私鑰,從而避免了用戶的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令信息;

②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對於合法用戶來說是透明的;

③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全。

Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,並且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配伺服器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示。

Kerberos有其優點，同時也有其缺點，主要如下：

①、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。

②、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。

③、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴於AS和TGS的性能和安全。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。

④、隨用戶數增加,密鑰管理較復雜。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰

（ 3 ）、PGP演算法

PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的。公開密鑰和分組密鑰在同一個系統中,公開密鑰採用RSA加密演算法,實施對密鑰的管理;分組密鑰採用了IDEA演算法,實施對信息的加密。

PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平台上運行。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等。

(4)、PEM演算法

保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基於RSA和DES演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:

對所有報文都提供諸如:驗證、完整性、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等。

PEM對報文的處理經過如下過程:

第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;

第二步,MIC(Message Integrity Code)計算;

第三步,把處理過的報文轉化為適於SMTP系統傳輸的格式。

身份驗證技術

身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節。

Web網上採用的安全技術

在Web網上實現網路安全一般有SHTTP/HTTP和SSL兩種方式。

（一）、SHTTP/HTTP

SHTTP/HTTP可以採用多種方式對信息進行封裝。封裝的內容包括加密、簽名和基於MAC 的認證。並且一個消息可以被反復封裝加密。此外,SHTTP還定義了包頭信息來進行密鑰傳輸、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境。

SHTTP並不依賴於特定的密鑰證明系統,它目前支持RSA、帶內和帶外以及Kerberos密鑰交換。

（二）、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標准。SSL廣泛應用於Intranet和Internet 網,其產品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器,以及諸如Apa che-SSL等產品。

SSL提供三種基本的安全服務,它們都使用公開密鑰技術。

①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL伺服器之間的所有業務使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯。 ②信息完整性,確保SSL業務全部達到目的。如果Internet成為可行的電子商業平台,應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,並在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一台支持SSL的典型網路主機接受SSL連接的默認埠是443而不是80。

當客戶機連接該埠時,首先初始化握手協議,以建立一個SSL對話時段。握手結束後,將對通信加密,並檢查信息完整性,直到這個對話時段結束為止。每個SSL對話時段只發生一次握手。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低。一次SSL握手將發生以下事件:

1.客戶機和伺服器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。

2.客戶機隨機地產生一組密鑰,它們用於信息加密和MAC計算。這些密鑰要先通過伺服器的公開密鑰加密再送往伺服器。總共有四個密鑰分別用於伺服器到客戶機以及客戶機到伺服器的通信。

3.信息加密演算法(用於加密)和hash函數(用於確保信息完整性)是綜合在一起使用的。Netscape的SSL實現方案是:客戶機提供自己支持的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。

代理服務

在 Internet 中廣泛採用代理服務工作方式, 如域名系統(DNS), 同時也有許多人把代理服務看成是一種安全性能。

從技術上來講代理服務(Proxy Service)是一種網關功能,但它的邏輯位置是在OSI 7層協議的應用層之上。

代理(Proxy)使用一個客戶程序,與特定的中間結點鏈接,然後中間結點與期望的伺服器進行實際鏈接。與應用網關型防火牆所不同的是,使用這類防火牆時外部網路與內部網路之間不存在直接連接,因此 ,即使防火牆產生了問題,外部網路也無法與被保護的網路連接。

防火牆技術

(1)防火牆的概念

在計算機領域,把一種能使一個網路及其資源不受網路"牆"外"火災"影響的設備稱為"防火牆"。用更專業一點的話來講,防火牆(FireW all)就是一個或一組網路設備(計算機系統或路由器等),用來在兩個或多個網路間加強訪問控制,其目的是保護一個網路不受來自另一個網路的攻擊。可以這樣理解,相當於在網路周圍挖了一條護城河,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查。

防火牆的組成可以這樣表示:防火牆=過濾器+安全策略(+網關)。

(2)防火牆的實現方式

①在邊界路由器上實現;
②在一台雙埠主機(al-homed host)上實現;
③在公共子網(該子網的作用相當於一台雙埠主機)上實現,在此子網上可建立含有停火區結構的防火牆。

(3)防火牆的網路結構

網路的拓撲結構和防火牆的合理配置與防火牆系統的性能密切相關,防火牆一般採用如下幾種結構。
①最簡單的防火牆結構
這種網路結構能夠達到使受保護的網路只能看到"橋頭堡主機"( 進出通信必經之主機), 同時,橋頭堡主機不轉發任何TCP/IP通信包, 網路中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持。但它把整個網路的安全性能全部託付於其中的單個安全單元,而單個網路安全單元又是攻擊者首選的攻擊對象,防火牆一旦破壞,橋頭堡主機就變成了一台沒有尋徑功能的路由器,系統的安全性不可靠。

②單網端防火牆結構

其中屏蔽路由器的作用在於保護堡壘主機(應用網關或代理服務) 的安全而建立起一道屏障。在這種結構中可將堡壘主機看作是信息伺服器,它是內部網路對外發布信息的數據中心,但這種網路拓撲結構仍把網路的安全性大部分託付給屏蔽路由器。系統的安全性仍不十分可靠。

③增強型單網段防火牆的結構

為增強網段防火牆安全性,在內部網與子網之間增設一台屏蔽路由器,這樣整個子網與內外部網路的聯系就各受控於一個工作在網路級的路由器,內部網路與外部網路仍不能直接聯系,只能通過相應的路由器與堡壘主機通信。

④含"停火區"的防火牆結構

針對某些安全性特殊需要, 可建立如下的防火牆網路結構。 網路的整個安全特性分擔到多個安全單元, 在外停火區的子網上可聯接公共信息伺服器,作為內外網路進行信息交換的場所。

網路反病毒技術

由於在網路環境下,計算機病毒具有不可估量的威脅性和破壞力, 因此計算機病毒的防範也是網路安全性建設中重要的一環。網路反病毒技術也得到了相應的發展。

網路反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。(1) 預防病毒技術,它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術是:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒卡)等。(2)檢測病毒技術,它是通過對計算機病毒的特徵來進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。(3)消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟體。

網路反病毒技術的實施對象包括文件型病毒、引導型病毒和網路病毒。

網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和監測;在工作站上採用防病毒晶元和對網路目錄及文件設置訪問許可權等。

隨著網上應用不斷發展,網路技術不斷應用,網路不安全因素將會不斷產生，但互為依存的，網路安全技術也會迅速的發展,新的安全技術將會層出不窮，最終Internet網上的安全問題將不會阻擋我們前進的步伐

『玖』 防泄密軟體的加密演算法

防泄密軟體常用的加密演算法有三種，IDEA 演算法、RSA演算法、AES演算法，加密強度來講，AES最好。
IDEA演算法
IDEA演算法屬於對稱加密演算法， 對稱加密演算法中，數據加密和解密採用的都是同一個密鑰，因而其安全性依賴於所持有密鑰的安全性。
對稱加密演算法的主要優點是加密和解密速度快，加密強度高，且演算法公開.
缺點是實現密鑰的秘密分發困難，在大量用戶的情況下密鑰管理復雜，而且無法完成身份認證等功能，不便於應用在網路開放的環境中。
對稱加密演算法的特點是演算法公開、計算量小、加密速度快、加密效率高。
目前最著名的對稱加密演算法有數據加密標准DES,但傳統的DES由於只有56位的密鑰，因此已經不適應當今分布式開放網路對數據加密安全性的要求。歐洲數據加密標准IDEA等，目前加密強度最高的對稱加密演算法是高級加密標准AES，AES提供128位密鑰，128位AES的加密強度是56位DES加密強度的1021倍還多。
對稱加密演算法過程是將數據發
IDEA是International Data Encryption Algorithm的縮寫，是1990年由瑞士聯邦技術學院來學嘉(X.J.Lai)和Massey提出的建議標准演算法，稱作PES(Proposed Encryption Standard)。Lai和Massey在1992年進行了改進,強化了抗差分分析的能力，改稱為IDEA.它也是對64bit大小的數據塊加密的分組加密演算法.密鑰長度為128位。它基於「相異代數群上的混合運算」設計思想,演算法用硬體和軟體實現都很容易，它比DES在實現上快得多 。
RSA演算法
RSA演算法是非對稱加密演算法，非對稱加密演算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合於對文件加密而只適用於對少量數據進行加密。
對稱加密演算法、非對稱加密演算法和不可逆加密演算法可以分別應用於數據加密、身份認證和數據安全傳輸。
RSA演算法是建立在大數分解和素數檢測的理論基礎上。
RAS密鑰的產生過程：
獨立地選取兩個互異的大素數p和q（保密）。
計算n=p×q（公開），則ф(n)=（p－1）*（q－1）(保密)
隨機選取整數e，使得1<e<ф(n)並且gcd(ф(n),e)=1（公開）
計算d，d=e-1mod(ф(n))保密。
RAS私有密鑰由{d，n}，公開密鑰由{e，n}組成
RAS的加密/解密過程：
首先把要求加密的明文信息M數字化，分塊；
然後，加密過程：C=Me(mod n)
解密過程：M=Cd(mod n)
非對稱密鑰加密體制的優點與缺點：
解決了密鑰管理問題，通過特有的密鑰發放體制，使得當用戶數大幅度增加時，密鑰也不會向外擴散；由於密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高；具有很高的加密強度。
與對稱加密體制相比，非對稱加密體制的加密、解密的速度較慢。
AES加密演算法
AES加密演算法屬於不可逆加密演算法，不可逆加密演算法的特徵是加密過程中不需要使用密鑰，輸入明文後由系統直接經過加密演算法處理成密文，這種加密後的數據是無法被解密的，只有重新輸入明文，並再次經過同樣不可逆的加密演算法處理，得到相同的加密密文並被系統重新識別後，才能真正解密。
1997年4月15日,美國國家標准和技術研究所NIST發起了徵集AES演算法的活動，並成立了專門的AES工作組，目的是為了確定一個非保密的、公開披露的、全球免費使用的分組密碼演算法，用於保護下一世紀政府的敏感信息,並希望成為秘密和公開部門的數據加密標准。
1997年9月12日，在聯邦登記處公布了徵集AES候選演算法的通告.AES的基本要求是比三重DES快而且至少和三重DES一樣安全，分組長度128比特，密鑰長度為128/192/256比特。1998年8月20日，NIST召開了第一次候選大會，並公布了15個候選演算法。1999年3月22日舉行了第二次AES候選會議，從中選出5個.AES將成為新的公開的聯邦信息處理標准(FIPS--Federal Information Processing Standard)，用於美國政府組織保護敏感信息的一種特殊的加密演算法。美國國家標准技術研究所(NIST)預測AES會被廣泛地應用於組織,學院及個人。入選AES的五種演算法是MARS、RC6、Serpent、Twofish、Rijndael。
2000年10月2日，美國商務部部長Norman Y. Mineta宣布,經過三年來世界著名密碼專家之間的競爭,Rijndael數據加密演算法最終獲勝。
為此而在全球范圍內角逐了數年的激烈競爭宣告結束，這一新加密標準的問世將取代DES數據加密標准,成為21世紀保護國家敏感信息的高級演算法。