网络安全缺陷产生的原因主要有:
第一,TCP/IP的脆弱性。 因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
第四,缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
㈡ 网络加密的算法是什么
就是网络在传输数字信号得时候0101代码之间的运算得出某个关键值就成为了网络的安全码。
㈢ 计算机网络安全的一个问题 关于加密解密的
NTFS是WinNT以上版本支持的一种提供安全性、可靠性的高级文件系统。在Windows2000和WindowsXP中,NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能。
一、加密文件或文件夹
步骤一:打开Windows资源管理器。
步骤二:右键单击要加密的文件或文件夹,然后单击“属性”。
步骤三:在“常规”选项卡上,单击“高级”。选中“加密内容以便保护数据”复选框
在加密过程中还要注意以下五点:
1.要打开“Windows 资源管理器”,请单击“开始→程序→附件”,然后单击“Windows 资源管理器”。
2.只可以加密NTFS分区卷上的文件和文件夹,FAT分区卷上的文件和文件夹无效。
3.被压缩的文件或文件夹也可以加密。如果要加密一个压缩文件或文件夹,则该文件或文件夹将会被解压。
4.无法加密标记为“系统”属性的文件,并且位于systemroot目录结构中的文件也无法加密。
5.在加密文件夹时,系统将询问是否要同时加密它的子文件夹。如果选择是,那它的子文件夹也会被加密,以后所有添加进文件夹中的文件和子文件夹都将在添加时自动加密。
二、解密文件或文件夹
步骤一:打开Windows资源管理器。
步骤二:右键单击加密文件或文件夹,然后单击“属性”。
步骤三:在“常规”选项卡上,单击“高级”。
步骤四:清除“加密内容以便保护数据”复选框。
同样,我们在使用解密过程中要注意以下问题:
1.要打开“Windows资源管理器”,请单击“开始→程序→附件”,然后单击“Windows资源管理器”。
2.在对文件夹解密时,系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹,则在要解密文件夹中的加密文件和子文件夹仍保持加密。但是,在已解密文件夹内创立的新文件和文件夹将不会被自动加密。
以上就是使用文件加、解密的方法!而在使用过程中我们也许会遇到以下一些问题,在此作以下说明:
1.高级按钮不能用
原因:加密文件系统(EFS)只能处理NTFS文件系统卷上的文件和文件夹。如果试图加密的文件或文件夹在FAT或FAT32卷上,则高级按钮不会出现在该文件或文件夹的属性中。
解决方案:
将卷转换成带转换实用程序的NTFS卷。
打开命令提示符。键入:
Convert [drive]/fs:ntfs
(drive 是目标驱动器的驱动器号)
2.当打开加密文件时,显示“拒绝访问”消息
原因:加密文件系统(EFS)使用公钥证书对文件加密,与该证书相关的私钥在本计算机上不可用。
解决方案:
查找合适的证书的私钥,并使用证书管理单元将私钥导入计算机并在本机上使用。
3.用户基于NTFS对文件加密,重装系统后加密文件无法被访问的问题的解决方案(注意:重装Win2000/XP前一定要备份加密用户的证书):
步骤一:以加密用户登录计算机。
步骤二:单击“开始→运行”,键入“mmc”,然后单击“确定”。
步骤三:在“控制台”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
步骤四:在“单独管理单元”下,单击“证书”,然后单击“添加”。
步骤五:单击“我的用户账户”,然后单击“完成”(如图2,如果你加密用户不是管理员就不会出现这个窗口,直接到下一步) 。
步骤六:单击“关闭”,然后单击“确定”。
步骤七:双击“证书——当前用户”,双击“个人”,然后双击“证书”。
步骤八:单击“预期目的”栏中显示“加密文件”字样的证书。
步骤九:右键单击该证书,指向“所有任务”,然后单击“导出”。
步骤十:按照证书导出向导的指示将证书及相关的私钥以PFX文件格式导出(注意:推荐使用“导出私钥”方式导出,这样可以保证证书受密码保护,以防别人盗用。另外,证书只能保存到你有读写权限的目录下)。
4.保存好证书
注意将PFX文件保存好。以后重装系统之后无论在哪个用户下只要双击这个证书文件,导入这个私人证书就可以访问NTFS系统下由该证书的原用户加密的文件夹(注意:使用备份恢复功能备份的NTFS分区上的加密文件夹是不能恢复到非NTFS分区的)。
最后要提一下,这个证书还可以实现下述用途:
(1)给予不同用户访问加密文件夹的权限
将我的证书按“导出私钥”方式导出,将该证书发给需要访问这个文件夹的本机其他用户。然后由他登录,导入该证书,实现对这个文件夹的访问。
(2)在其也WinXP机器上对用“备份恢复”程序备份的以前的加密文件夹的恢复访问权限
将加密文件夹用“备份恢复”程序备份,然后把生成的Backup.bkf连同这个证书拷贝到另外一台WinXP机器上,用“备份恢复”程序将它恢复出来(注意:只能恢复到NTFS分区)。然后导入证书,即可访问恢复出来的文件了。
WindowsXP中的文件加密功能及其使用
作者:lvvl 来源:赛迪网安全社区
Windows XP文件加密功能强大并且简单易用,因而许多用户都使用它来保护自己的重要文件。但由于大部分用户对该功能了解不足,在使用过程中经常出现问题,在本刊“电脑医院”中我们也频繁地收到读者的求助信,为此,CHIP在这里将特意为您详细介绍有关该功能的使用技巧。
微软在Windows2000中内建了文件加密功能,该功能后来被移植到WinXP中。使用该功能,我们只需简单地单击几下鼠标就可以将指定的文件或者文件夹进行加密,而且在加密后我们依然可以和没加密前一样方便地访问和使用它们,非常方便。而且加密后即使黑客侵入系统,完全掌握了文件的存取权,依然无法读取这些文件与文件夹。
但简单强大的文件加密功能也给许多用户带来了困扰。由于使用简单,许多用户都乐于使用它来保护自己的重要文件,但大部分用户由于缺乏对该功能的真正了解,在使用时泄密、无法解密等问题频繁发生,恰恰被加密的文件往往是重要的文件,影响非常大。为此,笔者特意整理了有关该功能的一些相关知识和使用技巧与您分享。
加密和解密文件与文件夹
Windows2000系列和WinXP专业版及Windows2003的用户都可使用内建的文件加密功能,但前提是准备加密的文件与文件夹所在的磁盘必须采用NTFS文件系统。同时要注意,由于加密解密功能在启动时还不能够起作用,因此系统文件或在系统目录中的文件是不能被加密的,如果操作系统安装目录中的文件被加密了,系统就无法启动。另外,NTFS文件系统还提供一种压缩后用户可以和没压缩前一样方便访问文件与文件夹的文件压缩功能,但该功能不能与文件加密功能同时使用,使用ZIP、RAR等其他压缩软件压缩的文件不在此限。
加密时,只需使用鼠标右键单击要加密的文件或者文件夹,然后选择“属性”,在“属性”对话框的“常规”选项卡上单击“高级”按钮,在“高级属性”对话框上选中“加密内容以保护数据”复选框并确认即可对文件进行加密,如果加密的是文件夹,系统将进一步弹出“确认属性更改”对话框要求您确认是加密选中的文件夹,还是加密选中的文件夹、子文件夹以及其中的文件。而解密的步骤与加密相反,您只需在“高级属性”对话框中清除“加密内容以保护数据”复选框上的选中标记即可(如图1),而在解密文件夹时将同样弹出“确认属性更改”对话框要求您确认解密操作应用的范围。
图1
加密后,用户可以像使用普通文件一样直接打开和编辑,又或者执行复制、粘贴等操作,而且用户在加密文件夹内创建的新文件或从其他文件夹拷贝过来的文件都将自动被加密。被加密的文件和文件夹的名称将默认显示为淡绿色,如您的电脑上被加密的文件和文件夹的名称不是彩色显示,您可以单击“我的电脑|工具|文件夹选项”,然后在“文件夹选项”对话框中单击“查看”选项卡,选中“以彩色显示加密或压缩的NTFS文件”复选框即可。
赋予或撤销其他用户的权限
如果需要,您可赋予其他用户对加密文件的完全访问权限,但要明白,Windows所采用的是基于密钥的加密方案,并且是在用户第一次使用该功能时才为用户创建用于加密的密钥,因此您准备赋予权限的用户也必须曾经使用过系统的加密功能,否则将无法成功赋予对方权限。Windows内建的文件加密功能只允许赋予其他用户访问加密文件的完全权限,而不允许将加密文件夹的权限赋予给其他用户。
要赋予或撤销其他用户对加密文件的访问权限,可用鼠标右键单击已加密的文件,选择“属性”,在“属性”对话框的“常规”选项卡上单击“高级”按钮,在“高级属性”对话框中单击“详细信息”按钮,即可通过“添加”和“删除”按钮添加或删除其他可以访问该文件的用户。
备份密钥
有许多读者在系统发生故障或重新安装系统以后,无法再访问之前他们加密过的文件与文件夹而向本刊“电脑医院”求助。但此时为时已晚,Windows内建的加密功能与用户的账户关系非常密切,同时用于解密的用户密钥也存储在系统内,任何导致用户账户改变的操作和故障都有可能带来灾难,要避免这种情况的发生,您必须未雨绸缪,在使用加密功能后马上备份加密密钥。
备份密钥的操作并不复杂,您只需单击“开始|运行”,键入“certmgr.msc”打开证书管理器,在左边窗口中依次单击控制台,打开“证书-当前用户”下的“个人”中的“证书”,然后在右边窗口中用鼠标右键单击“预期目的”是“加密文件系统”的证书,指向“所有任务|导出”,系统将打开“证书导出向导”指引您进行操作,向导将询问您是否需要导出私钥,您应该选择“导出私钥”,并按照向导的要求输入密码保护导出的私钥,然后选择存储导出后文件的位置即可完成。
建议您将导出的证书存储在系统盘以外的其他磁盘上,以避免在使用磁盘镜像之类的软件恢复系统时将备份的证书覆盖掉。备份后,当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时,您只需要使用鼠标右键单击备份的证书,选择“安装PFX”,系统将弹出“证书导入向导”指引您的操作,您只需要键入当初导出证书时输入用于保护备份证书的密码,然后选择让向导“根据证书类型,自动选择证书存储区”即可完成,完成后就可以访问以前的加密文件了。
指定恢复代理
如果您同时使用多个账户或者与其他用户共用一台电脑,担心更换账户或者其他账户加密的文件出问题,那么您可以考虑指定一个文件故障恢复代理,恢复代理可以解密系统内所有通过内建加密功能加密的文件,一般用于网络管理员在网络上处理文件故障,并能使管理员在职员离职后解密职员加密的工作资料。在Win2000中,默认Administrator为恢复代理,而在WinXP上,如果需要恢复代理则必须自行指定。但需要注意,恢复代理只能够解密指定恢复代理后被加密的文件,所以您应该在所有人开始使用加密功能前先指定恢复代理。
如果您所使用的电脑是企业网络中的,那么您需要联系管理员查询是否已经制定了故障恢复策略,而如果您只是在使用一台单独的电脑,那么您可以按照下面的步骤指定恢复代理。首先,您需要使用准备指定为恢复代理的用户账户登录,申请一份故障恢复证书,该用户必须是管理员或者拥有管理员权限的管理组成员。对于企业网络上的电脑,登录后可以通过上面介绍过的“证书管理器”,在“使用任务”中的“申请新证书”中向服务器申请。而在个人电脑上,您必须单击“开始|附件|命令提示符”,在命令行窗口中键入“cipher /r:c:\efs.txt”(efs.txt可以是任一文件),命令行窗口将提示您输入保护证书的密码并生成我们需要的证书。生成的证书一个是PFX文件,一个是CER文件,先使用鼠标右键单击PFX文件,选择“安装PFX”,通过弹出的“证书导入向导”选择“根据证书类型,自动选择证书存储区” 导入证书。
接下来再单击“开始|运行”,键入“gpedit.msc”打开组策略编辑器,在左边控制台上依次单击“本地计算机策略|计算机配置|Windows 设置|安全设置|公钥策略|加密文件系统”,然后在右边窗口中用鼠标右键单击选择“添加数据恢复代理”(如图2),然后在弹出的“添加数据恢复代理向导”中浏览并选择刚才生成的证书中的CER文件,在键入保护证书的密码后,向导将导入证书,完成指定恢复代理的工作。完成后,在以后需要的时候,只需使用被指定为恢复代理的账户登录,就可以解密系统内所有在指定恢复代理后被加密的文件。
图2
禁止加密功能
在多用户共用电脑的环境下,我们往往通过将其他用户指定为普通用户权限,限制他们使用某些功能,但由于普通用户账户默认允许使用加密功能,因此在一些多用户共用的电脑上经常会带来一些困扰。如果担心电脑上其他用户乱加密磁盘上的文件,您可以设置特定的文件夹禁止被加密,也可以完全禁止文件加密功能。
如果您希望将某个文件夹设置为禁止加密,可以编辑一个文本文件,内容包括“[Encryption]”和“Disable=1”两行,然后命名为“Desktop.ini”,将其放到不希望被加密的文件夹中即可。当其他用户试图加密该文件夹时,系统将提示用户该文件夹加密功能被禁止。但需要注意,您只能使用这种方法禁止其他用户加密该文件夹,文件夹中的子文件夹将不受保护。
如果需要,您也可以完全禁止文件加密功能,在Win2000中,只需使用Administrator登录并运行“secpol.msc”打开策略编辑器,用鼠标右键单击左边控制台上的“安全设置|公钥策略|加密文件系统”,选择“属性”,在属性对话框上清除“允许用户使用文件加密系统(EFS)来加密文件”复选框上的选中标记,然后重新启动电脑即可。而在WinXP上虽然也有相应的选项,但实际上并不能够起作用,您需要通过编辑注册表来禁止文件加密功能。首先单击“开始|运行”,键入“regedit.exe”打开注册表编辑器,依次单击 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\EFS”,再用鼠标右键单击建立一个“DWORD”值,双击新建的值并赋值为“1”,关闭注册表后重新启动电脑。这样,当其他用户试图使用文件加密功能时,系统将提示加密功能已被禁止(如图3)。
图3
防止泄密
由于对文件加密功能缺乏了解,许多读者对该功能是否能够真正发挥作用抱有怀疑态度,而另外一些用户却又因为过分地放心而导致泄密事件频繁发生。首先,对于该功能的加密效果您大可放心,不必因为在您使用加密文件时不需要输入密码而怀疑加密效果,在加密后能够透明地使用恰恰正是该功能的优点。虽然有一些第三方软件曾经成功地破解使用该功能加密的文件,但这种软件暂时对于Windows XP是无效的,而且即使在其他版本的Windows 操作系统上,也是可以避免的。
但您需要小心由于自己的失误引起加密失效,也需要了解该功能的特点。Windows XP内建的文件加密功能与用户的账户是联系在一起的,换言之,如果您的Windows账户没有保护好,密码被其他人获得,那么对方也就可以像您一样登录系统访问加密的文件。另外,当已加密的文件被拷贝或者移动到非NTFS文件系统磁盘上时,文件将被解密。在文件通过网络传输时,也是以明文方式进行传输的。这些您都需要清楚,避免错误操作引起泄密。而最主要的是加密后的文件并不是绝对安全的,虽然可以确保不被读取,但却无法避免被删除。
此外,在加密文件的过程中,系统将把原来的文件存储到缓冲区,然后在加密后将原文件删除。这些被删除掉的文件在系统上并不是不可能恢复的,通过磁盘文件恢复工具很有可能被恢复过来而造成泄密,此时您需要考虑通过其他磁盘安全工具,或者使用系统内建的“cipher”命令对磁盘上的已删除文件进行清除,具体的步骤是,单击“开始|附件|命令提示符”,在命令行窗口中键入“cipher /w C:\foldername”即可清除C盘foldername文件夹中已删除文件残留的碎片,如果不输入文件夹名称则将对整个磁盘进行清理。
疑难排解
当您的Windows登录账户变更而无法访问已加密的文件时,由于用户的账户名称或者密码变更时将无法与原来的加密证书联系上,因而您需要考虑是否在使用其他账户时更改了当前账户的名称或者密码?又或者是管理员进行了这样的操作?如果的确如此,您可以尝试将自己的账户名称和密码更改成原来的,问题应该能够解决。但需要注意,根据微软的说法,改回账户名称与密码的方法在管理员账户上可能无效,而且如果您的账户并不是改变而是被删除后重建,也就是说是一个全新的账户,那么您只能够求助于恢复代理或者导入备份的证书。
如果您已经重新格式化了硬盘、重新安装了系统又或者使用尚未加密文件时的系统盘镜像恢复了系统而导致无法访问加密文件,那么您只能够通过导入自己的证书或者恢复代理的方法来解决问题,这时基本上已经没有其他方法可以帮助您取回文件。另外,Windows XP SP1版后使用了新的加密算法,如果您加密时使用的是Windows XP SP1版本,那么当您尝试挽救数据时也应该使用该版本,或者未来的更新版本,否则在其他版本上乱试,加密文件可能会损毁。
系统安全 深入理解加密文件系统EFS
微软在NTFS4.0及后续版本的文件系统中,捆绑了两个功能强大的工具:压缩文件系统和加密文件系统。这个选项在文件夹的属性-高级里面。是一个单选框。压缩文件系统在这里就不多提了,不过有一点,可能有心的朋友注意得到,就是这两个选项不可以同时选。这个原因很简单,因为不论是加密文件还是压缩文件,我们都是在改变文件,我们通过改变他们的读码框架来加密或者压缩文件。这里可能有人要问,WinRAR为什么可以及加密文件又压缩文件。其实WinRAR加密的方法是在基于WinRAR这个文件压缩系统,而不是基于文件本身。我们还是言归正传。
这里面要提到的一点叫做加密方式。相信有些朋友对Alice和Bob这两个名字非常熟悉,这两个名字最早用于IBM出版的一本图书中,用来解释对称加密和非对称加密。对称加密,简单一点说就是加密所使用的密码和解密所使用的密码是同一个密码。非对称呢,加密使用的和解密是不同的密码。这个不同的密码,一个被称为私钥,另一个就是公钥。从名字上面可以看出来,私钥,是无论如何不会公开的,公钥,则是发布出去的。
详细解释一下,熟悉非对称加密的朋友可以跳过这一段。e.g.Alice要发送一份敏感数据给BOB,显然需要加密。非对称加密,使用两个不同的密码加密和解密。就是说,如果alice的公钥和私钥为一组密码,分别是alice的公钥和alice的私钥。那么,用alice公钥加密的东西只有使用alice的私钥可以解密,对应的,如果使用alice公钥加密的东西,只有alice的私钥可以解开。那么对于bob也是一样。如果我们采用对称加密的方法,也就是加密和解密的过程使用的是一个密码,那么这个密码是无论如何不能被第三方截获的。互联网络,可以截获;电话,可以监听;甚至当面交换,都可以被窃听。所以这是对称加密的一个重大缺陷。如果采用非对称加密,alice和bob都不公开自己的私钥,然后他们在交换信息前,互相交换公钥。这样,alice使用bob的公钥加密alice要给bob的文件,这个使用bob公钥加密过的文件,仅有bob的私钥可以解开。而bob从来没有公开过他的私钥,所以,我们看到,这样的加密,是安全的。这个信息加密解密,交换公钥的过程,就是非对称加密。
解释过非对称加密,我们也可以简单的比较出两者在安全性上的优越性。不过非对称加密一个重要的缺陷,就是运算时间很长,对称加密在工作效率上可能是非对称加密的100-1000倍。所以微软也是在看到这一点后,在EFS中集成了两者的优点。EFS使用了对称加密和非对称加密结合的工作方式,即先生成一个字符串作为密钥采用对称加密方法加密文件,然后,再使用非对称加密加密这个密钥。这个密钥具体位数我记不得了,大约在70位。这里出现一个问题,实际在操作系统中,公钥和私钥是怎么获得的?为什么管理员可以解开所有用户的加密文件?
依照微软的白皮书中解释,加密文件系统中的用户证书的获得,有两种途径,一个是从CA(CertificationAuthority)获得,另一种是在企业级CA失效的时候由本机为自己颁发一个数字证书。这里需要解释的是证书和密钥的关系,证书是密钥的载体,在证书中包含了密钥。这里可能又有人要问,用户的私钥是存放在什么地方?用户的私钥是通过另外一种验证机制实现的,这个在系统层面,日后我会写文章加以阐释。除了这两个密钥,还有一个用于直接加密文件的密钥,这个根据用户自己的SID计算出来的,微软没有公开这方面的信息,还请有心人共同尝试理解其中的工作原理。管理员之所以可以管理所有用户的加密文件,是为了保证系统的稳定,如果每一个用户的文件都只有创建者可以修改,那么计算机可能因此陷入混乱的状态。
近日听闻有些软件可以破解微软的EFS,我本为之兴奋,结果下载后研究了一下,这种软件的工作原理是备份出管理员的帐户信息,通过ERA(紧急恢复代理)实现加密文件的恢复。事实上,如果用户不慎在重新安装系统的时候忘记备份出相应的密钥,那么这个加密过的文件可能永远打不开。这一点不难理解,因为每一次安装操作系统,操作系统会随即生成一个SID号,当然,如果用户的人品足够好,还是可能生成一样的SID号的(开个玩笑)。关于备份管理员账号和密码,可以通过Windows2000及后续版本中内建的忘记密码向导来帮助备份密码。希望可以给大家一些帮助
㈣ 加密算法对计算机网络安全的意义和应用
可以网络啊
1,SSL协议一般用于网上支付,认证协议
2,安全会话密钥可以从密钥保管与管理,加密入手
3,加密算法对计算机网络的意义,保障网络安全通信,防止被窃听
4,应用嘛,就多了,加密算法也多,DES,RSA,3DES,MD5等,其中DES最常见
㈤ 数据加密技术有哪些优缺点
企业对数据安全的重视程度越来越高,目前对于一些较为敏感的数据进行邮件传输时,要求进行必要的加密。如果是个别文件的加密,手工操作量还不大。当一次需要进行加密的文件较多时,手工逐个操作起来就十分不便。
数据加密技术有哪些优缺点
1.文档操作,实施多重保护,为不同的人分配不同的文档权限,每个人只能打开相应权限的文档。比如核心资料只能有权限才能查看,同时防止用户通过剪贴板、截屏,打印等方式窃取加密文档。
2.文档解密,支持多重审批,三种审批方式满足了多级别办公审批流程需要,同时也兼顾到工作便利性。
3.员工出差,也能加密管控,对于需要出差外出的同时,授予有限的离线授权。允许外出继续使用加密文档,文档扔保持加密状态,只能在被授权的计算机上使用。
文档加密系统批量加密数据,多份文档同步加密,保证核心数据的安全,同时也提高工作的效率。
㈥ 对称加密和非对称加密的 优缺点
密码学中两种常见的密码算法为对称密码算法(单钥密码算法)和非对称密码算法(公钥密码算法)。
对称密码算法有时又叫传统密码算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加密解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加密解密。只要通信需要保密,密钥就必须保密。对称算法的加密和解密表示为:
Ek(M)=C
Dk(C)=M
对称算法可分为两类。一次只对明文中的单个位(有时对字节)运算的算法称为序列算法或序列密码。另一类算法是对明文的一组位进行运算,这些位组称为分组,相应的算法称为分组算法或分组密码。现代计算机密码算法的典型分组长度为64位――这个长度大到足以防止分析破译,但又小到足以方便作用。
这种算法具有如下的特性:
Dk(Ek(M))=M
常用的采用对称密码术的加密方案有5个组成部分(如图所示)
l)明文:原始信息。
2)加密算法:以密钥为参数,对明文进行多种置换和转换的规则和步骤,变换结果为密文。
3)密钥:加密与解密算法的参数,直接影响对明文进行变换的结果。
4)密文:对明文进行变换的结果。
5)解密算法:加密算法的逆变换,以密文为输入、密钥为参数,变换结果为明文。
对称密码术的优点在于效率高(加/解密速度能达到数十兆/秒或更多),算法简单,系统开销小,适合加密大量数据。
尽管对称密码术有一些很好的特性,但它也存在着明显的缺陷,包括:
l)进行安全通信前需要以安全方式进行密钥交换。这一步骤,在某种情况下是可行的,但在某些情况下会非常困难,甚至无法实现。
2)规模复杂。举例来说,A与B两人之间的密钥必须不同于A和C两人之间的密钥,否则给B的消息的安全性就会受到威胁。在有1000个用户的团体中,A需要保持至少999个密钥(更确切的说是1000个,如果她需要留一个密钥给他自己加密数据)。对于该团体中的其它用户,此种倩况同样存在。这样,这个团体一共需要将近50万个不同的密钥!推而广之,n个用户的团体需要N2/2个不同的密钥。
通过应用基于对称密码的中心服务结构,上述问题有所缓解。在这个体系中,团体中的任何一个用户与中心服务器(通常称作密钥分配中心)共享一个密钥。因而,需要存储的密钥数量基本上和团体的人数差不多,而且中心服务器也可以为以前互相不认识的用户充当“介绍人”。但是,这个与安全密切相关的中心服务器必须随时都是在线的,因为只要服务器一掉线,用户间的通信将不可能进行。这就意味着中心服务器是整个通信成败的关键和受攻击的焦点,也意味着它还是一个庞大组织通信服务的“瓶颈”
非对称密钥算法是指一个加密算法的加密密钥和解密密钥是不一样的,或者说不能由其中一个密钥推导出另一个密钥。1、加解密时采用的密钥的差异:从上述对对称密钥算法和非对称密钥算法的描述中可看出,对称密钥加解密使用的同一个密钥,或者能从加密密钥很容易推出解密密钥;②对称密钥算法具有加密处理简单,加解密速度快,密钥较短,发展历史悠久等特点,非对称密钥算法具有加解密速度慢的特点,密钥尺寸大,发展历史较短等特点。
㈦ 计算机网络安全有哪些方面的影响
威胁企业网络安全的主要因素
由于企业网络由内部网络、外部网络和企业广域网组成,网络结构复杂,威胁主要来自:病毒的侵袭、黑客的非法闯入、数据"窃听"和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗和基础设施破坏等。
下面来分析几个典型的网络攻击方式:
1.病毒的侵袭
几乎有计算机的地方,就有出现计算机病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快、影响面大,所以它的危害最能引起人们的关注。
病毒的"毒性"不同,轻者只会玩笑性地在受害机器上显示几个警告信息,重则有可能破坏或危及个人计算机乃至整个企业网络的安全。
有些黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。员工在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,这导致了病毒的传播。这些病毒会从一台个人计算机传播到另一台,因而很难从某一中心点对其进行检测。
任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件,并定期对软件中的病毒定义进行更新。值得用户信赖的防病毒软件包括Symantec、Norton和McAfee等。然而,如果没有"忧患意识",很容易陷入"盲从杀毒软件"的误区。
因此,光有工具不行,还必须在意识上加强防范,并且注重操作的正确性;重要的是在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
2.黑客的非法闯入
随着越来越多黑客案件的报道,企业不得不意识到黑客的存在。黑客的非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。一般来说,黑客常用的入侵动机和形式可以分为两种。
黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。黑客非法闯入将具备企业杀手的潜力,企业不得不加以谨慎预防。
防火墙是防御黑客攻击的最好手段。位于企业内部网与外部之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。硬件防火墙产品应该具备以下先进功能:
●包状态检查:在数据包通过防火墙时对数据进行检查,以确定是否允许进入局域网络。
●流量控制:根据数据的重要性管理流入的数据。
●虚拟专用网(VPN)技术:使远程用户能够安全地连接局域网。
●Java、ActiveX以及Cookie屏蔽:只允许来自可靠Web站点上的应用程序运行。
●代理服务器屏蔽(Proxyblocking):防止局域网用户绕过互联网过滤系统。
●电子邮件发信监控(Outgoinge-mailscreening):能够阻塞带有特定词句电子邮件的发送,以避免企业员工故意或无意的泄露某些特定信息。
3.数据"窃听"和拦截
这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能还原并阅读的编码。
进行加密的最好办法是采用虚拟专用网(VPN)技术。一条VPN链路是一条采用加密隧道(tunnel)构成的远程安全链路,它能够将数据从企业网络中安全地输送出去。两家企业可以通过Internet建立起VPN隧道。一个远程用户也可以通过建立一条连接企业局域网的VPN链路来安全地访问企业内部数据。
4、拒绝服务
这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。例如,通过破坏两台计算机之间的连接而阻止用户访问服务;通过向企业的网络发送大量信息而堵塞合法的网络通信,最后不仅摧毁网络架构本身,也破坏整个企业运作。
5.内部网络安全
为特定文件或应用设定密码保护能够将访问限制在授权用户范围内。例如,销售人员不能够浏览企业人事信息等。但是,大多数小型企业无法按照这一安全要求操作,企业规模越小,越要求每一个人承担更多的工作。如果一家企业在近期内会迅速成长,内部网络的安全性将是需要认真考虑的问题。
6.电子商务攻击
从技术层次分析,试图非法入侵的黑客,或者通过猜测程序对截获的用户账号和口令进行破译,以便进入系统后做更进一步的操作;或者利用服务器对外提供的某些服务进程的漏洞,获取有用信息从而进入系统;或者利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱,以获取进一步的有用信息;或者通过系统应用程序的漏洞获得用户口令,侵入系统。
除上述威胁企业网络安全的主要因素外,还有如下网络安全隐患:
恶意扫描:这种方式是利用扫描工具(软件)对特定机器进行扫描,发现漏洞进而发起相应攻击。
密码破解:这种方式是先设法获取对方机器上的密码文件,然后再设法运用密码破解工具获得密码。除了密码破解攻击,攻击者也有可能通过猜测或网络窃听等方式获取密码。
数据篡改:这种方式是截获并修改网络上特定的数据包来破坏目标数据的完整性。
地址欺骗:这种方式是攻击者将自身IP伪装成目标机器信任机器的IP 地址,以此来获得对方的信任。
垃圾邮件 主要表现为黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件,或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上。
基础设施破坏:这种方式是破坏DNS或路由器等基础设施,使得目标机器无法正常使用网络。
由上述诸多入侵方式可见,企业可以做的是如何尽可能降低危害程度。除了采用防火墙、数据加密以及借助公钥密码体制等手段以外,对安全系数要求高的企业还可以充分利用网络上专门机构公布的常见入侵行为特征数据-通过分析这些数据,企业可以形成适合自身的安全性策略,努力使风险降低到企业可以接受且可以管理的程度。
企业网络安全的防范
技术与管理相结合:技术与管理不是孤立的,对于一个信息化的企业来说,网络信息安全不仅仅是一个技术问题,也是一个管理问题。在很多病毒或安全漏洞出现不久,网上通常就会有相应的杀毒程序或者软件补丁出现,但为什么还会让病毒肆虐全球呢?为什么微软主页上面及时发布的补丁以及各种各样查杀的工具都无法阻止这些病毒蔓延呢?归根结底还是因为很多用户(包括企业级用户)没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。
要保证系统安全的关键,首先要做到重视安全管理,不要"坐以待毙",可以说,企业的信息安全,是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高企业信息系统安全性的目的。
风险评估:要求企业清楚自身有哪些系统已经联网、企业网络有哪些弱点、这些弱点对企业运作都有哪些具体风险,以及这些风险对于公司整体会有怎样的影响。
安全计划:包括建立企业的安全政策,掌握保障安全性所需的基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。企业网络安全的防范策略目的就是决定一个组织机构怎样来保护自己。
一般来说,安全策略包括两个部分:一个总体的安全策略和具体的规则。总体安全策略制定一个组织机构的战略性安全指导方针,并为实现这个方针分配必要的人力物力。
计划实施:所有的安全政策,必须由一套完善的管理控制架构所支持,其中最重要的要素是要建立完整的安全性解决方案。
物理隔离:即在网络建设的时候单独建立两套相互独立的网络,一套用于部门内部办公自动化,另一套用于连接到Internet,在同一时候,始终只有一块硬盘处于工作状态,这样就达到了真正意义上的物理安全隔离。
远程访问控制:主要是针对于企业远程拨号用户,在内部网络中配置用户身份认证服务器。在技术上通过对接入的用户进行身份和密码验证,并对所有的用户机器的MAC地址进行注册,采用IP地址与MAC地址的动态绑定,以保证非授权用户不能进入。
病毒的防护:培养企业的集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
防火墙:目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙的安全性能很高,是最不容易被破坏和入侵的。
网络安全问题简单化
大多数企业家缺乏对IT技术的深入了解,他们通常会被网络的安全需求所困扰、吓倒或征服。许多企业领导,不了解一部网关与一台路由器之间的区别,却不愿去学习,或因为太忙而没时间去学。
他们只希望能够确保财务纪录没被窃取,服务器不会受到一次"拒绝服务攻击"。他们希望实现这些目标,但不希望为超出他们需求范围的技术或服务付出更高的成本,就像销售计算机设备的零售店不愿意提供额外服务一样。
企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。
网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增。要永远保持在知识曲线的最高点,把握住企业网络安全的大门,从而确保证企业的顺利成长
㈧ 比较计算机网络加密技术的三种方式的优缺点 分析各自适应范围 大概说下
DES算法的入口参数有三个:Key、Data、Mode。其中Key为7个字节共56位,是DES算法的工作密钥;Data为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。
DES 作为贸易术语是意思是指卖方将货物运至指定的目的港,并在船上交易.按此术语成交,买卖双方责任、费用和风险的划分,以目的港船上办理交接手续为界。卖方承担在目的港船上将货交由买方处置以前的一切费用和风险,并按合同规定支付货款。
IDEA(International Data Encryption Algorithm)在密码学中属于数据块加密算法(Block Cipher)类。IDEA使用长度为128bit的密钥,数据块大小为64bit。从理论上讲,IDEA属于“强”加密算法,至今还没有出现对该算法的有效攻击算法。
SA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
缺点
1)产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密。
2)安全性,RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价,而且密码学界多数人士倾向于因子分解不是NP问题。
㈨ 计算机网络加密技术题,请高手解答
不对称的加密算法是公开的 解密算法是不公开的 加密解密相同的是对称 在不对称加密中叫公匙和密匙 公匙就是加密算法 密匙就是解密算法
㈩ 对称加密和不对称加密有什么不同它们各有什么优缺点hash算法有什么功能
对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。