⑴ 如何保障信息安全
我們已經意識到了防火牆、殺毒軟體、病毒檢測、VPN及加密鎖在保護信息安全上的重要性,但是可信計算作為基礎應用,運用在電腦上、伺服器甚至手機等通訊設備上,發揮巨大的價值,卻從根本上解決目前計算機系統存在的基礎性安全缺陷。
簡單地說,可信計算的主要思想其實就是在硬體平台上引入安全晶元, 即可信平台模塊TPM架構,提高終端系統的安全性,從而將部分或整個計算平台變為「可信」的計算平台。可信計算平台的安全性根植於具有一定安全防護能力的 安全硬體,基於安全硬體實現隔離計算、計算環境完整性保證和遠程安全性質證明等服務,以保證平台上計算實體行為的可信性,從而解決人機相互信任問題。
瑞達全國營銷中心市場負責人朱凌雲口中的四句話「進不去」、「看不見」、「拿不走」和「賴不掉」就形象地描繪出了可信計算在信息安全保障上的巨大作用:進不去——電腦現有的用戶密碼容易被破解,而插卡開機的電腦需要IC卡和用戶帳戶雙重認證;看不見——安全計算機所有的「文件保密櫃」通過加密算 法,使其他用戶無法看見自己「保密櫃」里的文件;拿不走——禁用USB等埠,堵住竊取資料的主要途徑;賴不掉——審計日記精確而又不可篡改,發生事情時 可以迅速找出責任人。
而在這種情況下,用戶不必太擔心硬碟丟失,因為即使丟失,在別的電腦上讀出來的也都是亂碼,尤其是保密櫃里的文件。
「針對那些對保密性要求較高的行業和企業而 言,這種根本上的安全性提高無疑是必要的,而在普通用戶中,對信息安全的需求也是越來越強烈。」朱凌雲如是說,「隨著網上銀行的發展,網路和計算機終端的 安全問題就無法忽視。電腦應用可信計算技術後,只要通過電腦IC卡傳送的數據,銀行方面就能判斷該用戶是不是合法的。」
朱凌雲同時也表示,由於應用了可信計算技術的電腦成本相對要高於普通電腦,而且很多家庭並不認可,可信計算這種技術要在普通用戶中普及開來仍需一段時間。
遙望爆發期
可信計算近年來的發展其實並不太如人意,一方面,熟悉和了解可信計算的企業和普通用戶並不多,另一方面,在對其了解的人群中,也存在頗大的爭議:擁護者認為它會使計算機更安全、不易被病毒和惡意軟體侵害,反對者卻因為可信計算會給計算機使用者過多控制而產生諸多不滿。
出現這種情況,主要是由於市場對可信計算的認知度不夠,以及企業和個人的普遍憂患意識不足。「很多人要等到資料信息泄露等事情發生以後,才意識到安全的重要性,卻已為時已晚。」朱凌雲頗感無奈,「瑞達的銷售人員在跟客戶打交道時,先得『苦口婆心』詳細講解什麼是可信計算,這種技術的原理是什麼, 會帶來什麼樣的好處。即使講解完了,客戶對它仍朦朦朧朧的,不是很明白。」
而且,在實際推廣中,可信計算解決的是信息安全的問題,更可以用「錦上添花」來形容,而非「雪中送炭」,已經有了防火牆、殺毒軟體,和加密鎖,是否需要可信計算來更好得保障信息安全?大多數人暫時持觀望態度。
但是,從另一方面來講,企業和個人都持觀望態度,也說明這個市場的潛力、前景廣闊。有業內人士分析,未來5年內,全球70%的計算機都將採用TPM可信計算技術。沈昌祥院士也曾指出,可信計算技術在中國的發展勢在必行。
分析人士的聲音和來自市場的潛在需求,讓越來越多的廠商發現了這一需求中所隱藏的巨大機遇,加入了向可信計算產品邁進的行列,紛紛推出了搭載相關TPM安全晶元的安全PC和筆記本電腦。這個行列中包括瑞達、聯想、同方、方正、長城、衛士通等國內民族IT企業和重要科研院所,他們在國家有關部門支持下,加入到可信計算專項組中,利用集體的力量共同推廣可信計算。正如朱凌雲所說,「眾人拾柴火焰高」,在市場培育階段後,可信計算或將迎來真正的市場「爆發期」。
⑵ 信息加密技術有哪幾種
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。下面介紹兩種在電子商務中獲得廣泛應用的加密技術
⑶ 加密技術是指什麼
加密其實就是通過一些特殊的手段或方式,使原本可以直觀看到的東西增加了高級防護的措施。
例如一般的文件加密,通常是加了層密碼保護。
密碼加密,就是給原有密碼增加一種轉換模式,就有點像電報一樣,經過固定的演算法把原來的密碼轉化成其他的代碼,即便給你看了你也不知道他原來是什麼。
⑷ 數據加密技術有哪些
加密技術通常分為兩大類:「對稱式」和「非對稱式」。
對稱式加密就是加密和解密使用同一個密鑰,通常稱之為「Session Key 」這種加密技術目前被廣泛採用,如美國政府所採用的DES加密標准就是一種典型的「對稱式」加密法,它的Session Key長度為56Bits。
非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為「公鑰」和「私鑰」,它們兩個必需配對使用,否則不能打開加密文件。這里的「公鑰」是指可以對外公布的,「私鑰」則不能,只能由持有人一個人知道。它的優越性就在這里,因為對稱式的加密方法如果是在網路上傳輸加密文件就很難把密鑰告訴對方,不管用什麼方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰,且其中的「公鑰」是可以公開的,也就不怕別人知道,收件人解密時只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。
一般的數據加密可以在通信的三個層次來實現:鏈路加密、節點加密和端到端加密。(3)
鏈路加密
對於在兩個網路節點間的某一次通信鏈路,鏈路加密能為網上傳輸的數據提供安全證。對於鏈路加密(又稱在線加密),所有消息在被傳輸之前進行加密,在每一個節點對接收到消息進行解密,然後先使用下一個鏈路的密鑰對消息進行加密,再進行傳輸。在到達目的地之前,一條消息可能要經過許多通信鏈路的傳輸。
由於在每一個中間傳輸節點消息均被解密後重新進行加密,因此,包括路由信息在內的鏈路上的所有數據均以密文形式出現。這樣,鏈路加密就掩蓋了被傳輸消息的源點與終點。由於填充技術的使用以及填充字元在不需要傳輸數據的情況下就可以進行加密,這使得消息的頻率和長度特性得以掩蓋,從而可以防止對通信業務進行分析。
盡管鏈路加密在計算機網路環境中使用得相當普遍,但它並非沒有問題。鏈路加密通常用在點對點的同步或非同步線路上,它要求先對在鏈路兩端的加密設備進行同步,然後使用一種鏈模式對鏈路上傳輸的數據進行加密。這就給網路的性能和可管理性帶來了副作用。
在線路/信號經常不通的海外或衛星網路中,鏈路上的加密設備需要頻繁地進行同步,帶來的後果是數據丟失或重傳。另一方面,即使僅一小部分數據需要進行加密,也會使得所有傳輸數據被加密。
在一個網路節點,鏈路加密僅在通信鏈路上提供安全性,消息以明文形式存在,因此所有節點在物理上必須是安全的,否則就會泄漏明文內容。然而保證每一個節點的安全性需要較高的費用,為每一個節點提供加密硬體設備和一個安全的物理環境所需要的費用由以下幾部分組成:保護節點物理安全的雇員開銷,為確保安全策略和程序的正確執行而進行審計時的費用,以及為防止安全性被破壞時帶來損失而參加保險的費用。
在傳統的加密演算法中,用於解密消息的密鑰與用於加密的密鑰是相同的,該密鑰必須被秘密保存,並按一定規則進行變化。這樣,密鑰分配在鏈路加密系統中就成了一個問題,因為每一個節點必須存儲與其相連接的所有鏈路的加密密鑰,這就需要對密鑰進行物理傳送或者建立專用網路設施。而網路節點地理分布的廣闊性使得這一過程變得復雜,同時增加了密鑰連續分配時的費用。
節點加密
盡管節點加密能給網路數據提供較高的安全性,但它在操作方式上與鏈路加密是類似的:兩者均在通信鏈路上為傳輸的消息提供安全性;都在中間節點先對消息進行解密,然後進行加密。因為要對所有傳輸的數據進行加密,所以加密過程對用戶是透明的。
然而,與鏈路加密不同,節點加密不允許消息在網路節點以明文形式存在,它先把收到的消息進行解密,然後採用另一個不同的密鑰進行加密,這一過程是在節點上的一個安全模塊中進行。
節點加密要求報頭和路由信息以明文形式傳輸,以便中間節點能得到如何處理消息的信息。因此這種方法對於防止攻擊者分析通信業務是脆弱的。
端到端加密
端到端加密允許數據在從源點到終點的傳輸過程中始終以密文形式存在。採用端到端加密,消息在被傳輸時到達終點之前不進行解密,因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。
端到端加密系統的價格便宜些,並且與鏈路加密和節點加密相比更可靠,更容易設計、實現和維護。端到端加密還避免了其它加密系統所固有的同步問題,因為每個報文包均是獨立被加密的,所以一個報文包所發生的傳輸錯誤不會影響後續的報文包。此外,從用戶對安全需求的直覺上講,端到端加密更自然些。單個用戶可能會選用這種加密方法,以便不影響網路上的其他用戶,此方法只需要源和目的節點是保密的即可。
端到端加密系統通常不允許對消息的目的地址進行加密,這是因為每一個消息所經過的節點都要用此地址來確定如何傳輸消息。由於這種加密方法不能掩蓋被傳輸消息的源點與終點,因此它對於防止攻擊者分析通信業務是脆弱的。
⑸ 什麼叫加密技術
以某種特殊的演算法改變原有的信息數據,使得未授權的用戶即使獲得了已加密的信號,但因不知解密的方法,仍然無法了解信息的內容。
加密建立在對信息進行數學編碼和解碼的基礎上。加密類型分為兩種,對稱加密與非對稱加密,對稱加密雙方採用共同密鑰,(當然這個密鑰是需要對外保密的),這里講一下非對稱加密,這種加密方式存在兩個密鑰,密鑰 -- 一種是公共密鑰(正如其名,這是一個可以公開的密鑰值),一種是私人密鑰(對外保密)。 您發送信息給我們時,使用公共密鑰加密信息。 一旦我們收到您的加密信息,我們則使用私人密鑰破譯信息密碼(被我們的公鑰加密的信息,只有我們的唯一的私鑰可以解密,這樣,就在技術上保證了這封信只有我們才能解讀——因為別人沒有我們的私鑰)。 使用私人密鑰加密的信息只能使用公共密鑰解密(這一功能應用與數字簽名領域,我的私鑰加密的數據,只有我的公鑰可以解讀,具體內容參考數字簽名的信息)反之亦然,以確保您的信息安全。
舉例如下:
代碼如下:
/* Secure.c
Copyright (c) 2002, 2006 by ctu_85
All Rights Reserved.
*/
#include "stdio.h"
#include "string.h"
#define right 5
void Create();
void Load();
char secure(char);
char desecure(char);
void main()
{
int choice;
printf("Please enter your choice:\n");
printf("0:To quit;\n");
printf("1:To create a security file;\n");
printf("2:To load a security file .\n");
cir:
printf("Your choice:");
scanf("%d",&choice);
if(choice==0)
return;
if(choice==1)
{
Create();
printf("\n");
goto cir;
}
else
if(choice==2)
{
Load();
printf("\n");
goto cir;
}
else
{
printf("Invalid input!\n");
goto cir;
}
}
void Create()
{
FILE *fp;
char *p,ch,*s;
recre:
printf("Please enter the path where you wanna the file to be:");
scanf("%s",p);
if(*p<'C'||*p>'F'||*(p+1)!=':'||*(p+2)!=92||strlen(p)>30||strlen(p)<4)
{
printf("Invalid input!\n");
goto recre;
}
if((fp=fopen(p,"wb"))==NULL)
{
printf("Error!");
return;
}
an:
printf("Please set the password:");
scanf("%s",s);
if(strlen(s)>16||strlen(s)<6)
{
printf("The password is too long or too short,please reinput!\n");
goto an;
}
while(*s!='')
{
ch=*s;
ch=secure(ch);
s++;
fputc(ch,fp);
}
ch='\n';
ch=secure(ch);
fputc(ch,fp);
printf("Please enter the information,end with char '#':");
ch=getchar();
ch=getchar();
while(ch!='#')
{
ch=secure(ch);
fputc(ch,fp);
ch=getchar();
}
ch=secure(ch);
fputc(ch,fp);
fclose(fp);
}
void Load()
{
FILE *fp;
char *p,ch,*s,temp[18],pass[18],sign=secure('\n');
int i=0,t=0,lenth=0;
rece:
printf("Please enter the path where you wanna to load:");
scanf("%s",p);
if(*p<'C'||*p>'F'||*(p+1)!=':'||*(p+2)!=92||strlen(p)>30||strlen(p)<4)
{
printf("Invalid input!\n");
goto rece;
}
if((fp=fopen(p,"rb"))==NULL)
{
printf("Error!");
return;
}
ant:
printf("Please input the password:");
scanf("%s",s);
lenth=strlen(s);
if(lenth>16||lenth<6)
{
printf("The password is obviously incorrect!\n");
goto ant;
}
while(*s!='')
{
temp=secure(*s);
s++;
i++;
}
temp='';
ch=fgetc(fp);
while(ch!=sign)
{
pass[t]=ch;
t++;
ch=fgetc(fp);
}
pass[t]='';
ch=desecure(ch);
if(!strcmp(temp,pass))
{
while(ch!='#')
{
ch=fgetc(fp);
ch=desecure(ch);
if(ch!='#')
putchar(ch);
}
}
else
printf("The password is incorrect!\n");
fclose(fp);
}
char secure(char c)
{
if(c+right>254)
return c-255+right;
else
return c+right;
}
char desecure(char c)
{
if(c<right)
return 255-right;
else
return c-right;
}
⑹ 目前的數字認證和加密演算法的主要技術及其應用
1. 什麼是數字證書?
數字證書就是網路通訊中標志通訊各方身份信息的一系列數據,其作用類似於現實生活中的身份證。它是由一個權威機構發行的,人們可以在交往中用它來識別對方的身份。
最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間,發證機關(證書授權中心)的名稱,該證書的序列號等信息,證書的格式遵循ITUT X.509國際標准。
一個標準的X.509數字證書包含以下一些內容:
證書的版本信息;
證書的序列號,每個證書都有一個唯一的證書序列號;
證書所使用的簽名演算法;
證書的發行機構名稱,命名規則一般採用X.500格式;
證書的有效期,現在通用的證書一般採用UTC時間格式,它的計時范圍為1950-2049;
證書所有人的名稱,命名規則一般採用X.500格式;
證書所有人的公開密鑰;
證書發行者對證書的簽名。
使用數字證書,通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統,從而保證:信息除發送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對於自己的信息不能抵賴。
2. 為什麼要使用數字證書?
由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須保證在網際網路上進行的一切金融交易運作都是真實可靠的,並且要使顧客、商家和企業等交易各方都具有絕對的信心,因而網際網路電子商務系統必須保證具有十分可靠的安全保密技術,也就是說,必須保證網路安全的四大要素,即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。
信息的保密性
交易中的商務信息均有保密的要求,如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功首先要能確認對方的身份,商家要考慮客戶端是不是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店,為了做到安全、保密、可靠地開展服務活動,都要進行身份認證的工作。對有關的銷售商店來說,他們對顧客所用的信用卡的號碼是不知道的,商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法,確認顧客的身份是否合法,同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。
不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能否認受到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
由於商情的千變萬化,交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能否認收到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制,其它還包括對稱密鑰加密、數字簽名、數字信封等技術。
我們可以使用數字證書,通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統,從而保證:信息除發送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對於自己的信息不能抵賴。
3. 數字認證原理
數字證書採用公鑰體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,為一組用戶所共享,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。
在公開密鑰密碼體制中,常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私有密鑰),在計算上是不可能的。按現在的計算機技術水平,要破解目前採用的1024位RSA密鑰,需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題,商戶可以公開其公開密鑰,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密,安全地傳送以商戶,然後由商戶用自己的私有密鑰進行解密。
如果用戶需要發送加密數據,發送方需要使用接收方的數字證書(公開密鑰)對數據進行加密,而接收方則使用自己的私有密鑰進行解密,從而保證數據的安全保密性。
另外,用戶可以通過數字簽名實現數據的完整性和有效性,只需採用私有密鑰對數據進行加密處理,由於私有密鑰僅為用戶個人擁有,從而能夠簽名文件的唯一性,即保證:數據由簽名者自己簽名發送,簽名者不能否認或難以否認;數據自簽發到接收這段過程中未曾作過任何修改,簽發的文件是真實的。
4. 數字證書是如何頒發的?
數字證書是由認證中心頒發的。根證書是認證中心與用戶建立信任關系的基礎。在用戶使用數字證書之前必須首先下載和安裝。
認證中心是一家能向用戶簽發數字證書以確認用戶身份的管理機構。為了防止數字憑證的偽造,認證中心的公共密鑰必須是可靠的,認證中心必須公布其公共密鑰或由更高級別的認證中心提供一個電子憑證來證明其公共密鑰的有效性,後一種方法導致了多級別認證中心的出現。
數字證書頒發過程如下:用戶產生了自己的密鑰對,並將公共密鑰及部分個人身份信息傳送給一家認證中心。認證中心在核實身份後,將執行一些必要的步驟,以確信請求確實由用戶發送而來,然後,認證中心將發給用戶一個數字證書,該證書內附了用戶和他的密鑰等信息,同時還附有對認證中心公共密鑰加以確認的數字證書。當用戶想證明其公開密鑰的合法性時,就可以提供這一數字證書。
5. 加密技術
由於數據在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息,加密技術是電子商務採取的主要保密安全措施,是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。
加密包括兩個元素:演算法和密鑰。一個加密演算法是將普通的文本(或者可以理解的信息)與一竄數字(密鑰)的結合,產生不可理解的密文的步驟。密鑰和演算法對加密同等重要。
密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中,可通過適當的密鑰加密技術和管理機制,來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。
相應地,對數據加密的技術分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標准(DES,Data Encryption Standard)演算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Ad1eman)演算法為代表。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。
⑺ 現有的加密技術主要有哪些
對稱加密(加密和解密的密鑰相同)和非對稱加密(加密和解密的密鑰不相同。公鑰加密,私鑰解密,或者私鑰加密,公鑰解密)
計算機網路中使用的通信加密方式有鏈路加密和端到端加密 ,實際上也都是用的是上述兩種加密方式.
⑻ 請問《可信計算平台密碼技術方案》在哪裡下載或購買
呃,誰說《可信計算平台密碼技術方案》是我國可信計算研究的基礎性文檔了?
基礎性文檔應該是TCG發布的關於可信計算規范的白皮書,國內的TCM和國外的TPM最主要差別在於使用的公鑰密碼體質,一個是ECC一個是RSA。
⑼ 有哪些信息加密技術,這些技術的特點分別是什麼
我只說一種也是被採用最多的一種
MD5:MD5是一種散列演算法(Hash function),又稱為哈希演算法、消息摘要演算法,它的作用是獲取數字信息的特徵(我們有時稱之為「信息指紋)。一個任意長度的任意數字信息,通過散列演算法運算後,會產生一串固定長度(比如160bit)的數字信息,稱為散列值(或哈希值、消息摘要)。安全的散列演算法有這樣的特點:
⑴ 兩個不同數字信息產生同樣的 散列值的概率是非常小的(小到現實中幾乎無法發生);
⑵ 僅從散列值無法演推出原信息;
⑶ 原信息的微小改變,哪怕只改變一位(bit),將導致散列值的很大變化。
數字簽名要使用散列值。MD5是一種常用散列演算法,另外目前常用的散列演算法還有SHA-1。兩個不同的數字信息產生相同的散列值就是人們所說的「散列值碰撞「。散列演算法是一個將無窮維空間的信息映射到有限維空間的變換,學過數學的人都知道這不是一個一一對應的變換。實際上一個散列值可能對應有無窮多個數字信息,換言之,會有無窮多個數字信息產生同樣一個散列值。這