网络签名范文
时间:2023-04-06 05:48:40
导语:如何才能写好一篇网络签名,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
接过那只水桶
小柯刚任职的公司,为了方便工作,都统一用“飞秋”聊天工具。小柯把自己的“飞秋”签名设为了一句话:“接过那只水桶。”这句话是小柯一直很喜欢的一句话,出处是二战时美国杜鲁门总统,据说贴在杜鲁门总统办公室墙上。这句话的意思是,所有的麻烦传到自己这儿就不会再传给别人了,自己就会解决这个麻烦。而小柯确实也是按这句话的意思去做,所有同事交给小柯去干的活,小柯都是很认真的去干,就连不是自己的份内之事,小柯只要有空都会去帮同事完成。
三个月的试用期过去以后,人力资源部找到小柯通知他转正时,特地告诉他,他的工资比当初商定的高三百块钱,而原因则是老板对他这三个月的试用期非常满意,因此决定给他加薪三百块钱,而人事也偷偷地告诉了小柯,这在公司创办以来还是很少出现的情况。
小柯却不明白为什么老板会这么欣赏自己,在三个月时间里,小柯和老板只是见过三次面,连话都没说,老板怎么会欣赏自己呢?在公司的时间长了小柯才明白了其中的原因,原来是“飞秋”上签名的那句话起了很大的作用,据说老板也很欣赏这句话,也明白这句话的出处,同时老板侧面了解到同事们对小柯评价很不错,因此决定给小柯加薪三百。
二百字的签名
李华是一家广告公司的高级策划,由于工作的需要,李华需要经常和项目经理在MSN上谈一些关于工作的进度及客户要求的事。
可是让李华郁闷的是,最近经理和李华在MSN上聊天时,总是慢一拍甚至不回信,而这也直接影响了李华的工作,影响了李华对客户要求的回应。毕竟客户的要求对李华的策划也是很重要的一部分,只有详细了解了客户的要求才能设计出真正好的方案。
可是经理的态度却让李华很是不解,为什么经理会不回复,而且似乎对自己很有意见。可是李华又不好意思去问,有好几次由于经理没有把客户的要求完整的说给李华,导致了李华的设计出现了偏差。
过了一个月李华实在忍不住了,到了经理办公室说明了问题,经理一句话也没有说,只是打开了MSN,李华这才明白了原因:原来自己一个月前设的MSN签名有二百字,而聊天的时候,这些签名内容基本把聊天内容遮挡了,要费好大劲才能看到内容,更要命的是签名内容是李华一个网站上抄来的,大意是说广告公司的设计师做的活多却拿的钱少。
李华这才明白这一切都是自己的错,可是已经晚了,这一条签名所有的人都看到了,而以前很看重李华的老板也对李华开始冷淡起来。半年后,李华辞职去另找工作。
一日N变的签名
阿雅在一家公司里做会计,公司里好多同事都是通过QQ来沟通工作。
由于阿雅的工作都是在月底的时候比较忙,其它时间都是比较清闲,但由于不能上外网,阿雅只能和朋友聊聊QQ,阿雅很喜欢看一些笑话,而每当阿雅看到搞笑的段子都会发到QQ签名上,因此阿雅的QQ签名一天会换十几次。
本来这样的工作也算轻松自在,可是有一天阿雅却接到老板通知:以后办公室的卫生也由阿雅来打扫,阿雅很不服气,为什么不请清洁工而是由自己来打扫?老板说道,你的工作比较轻松,为了节约公司开支,因此决定由阿雅来打扫。
阿雅更生气了,凭什么说自己工作就轻松,自己忙碌的时候老板怎么不说呢?阿雅据理力争,可是老板却说道,如果工作忙,QQ签名怎么会一天换几十次呢?尽管老板的判断可能有些片面,但阿雅却无可辩驳,只有接受打扫办公室的工作,毕竟要想再找这样一份轻松的工作是没有那么容易的。
篇2
关键词:身份认证;RSA签名;Windows;CryptoAPI
1引言
在以WEB形式提供服务的系统中,用户的身份鉴别至关重要,它是维护系统安全不可或缺的重要环节,决定了系统的后续动作。任何安全系统的实现都需要针对威胁等级和所要保护的信息的重要性,结合自身能力选择恰当的方案。当前流行的是采用用户名和密码(口令)登录的传统方式,其优点是用户易于接受、易于使用、成本低廉、不必再对基础设施进行投入即可得到基本的安全保障,只需简单的软件就可达到目的,因此得到了广泛的应用。
这种方式所面临的威胁主要是网络窃听、中间人攻击。用户密码若以明文在网络上传输极易被恶意攻击者窃取。例如:在共享式非交换网络中,各种网络监控软件可轻易截获网络传输的数据;交换式网络本来被窃听的可能性很小,但随着Dsniff的出现、ARP欺骗威胁的日益现实,也面临着同样的问题。用户密码历来是安全系统被攻击的首选目标,一旦泄漏会直接威胁到系统的正常运转。因此,大多数对安全性要求较高的应用,一般均在传输密码前先对其进行加密(利用DES、Rijndael等算法)。不过,这种方法仍然无法完全避免被窃听的危害,暴力攻击仍然是可能的,对弱口令更是如此。
如果采用了妥善的密码策略,则窃听造成的危害等级就会有明显下降。但是安全系统的安全性与易用性之间的平衡点很难掌握。试想如果被要求每半个月更换一次密码且不能与以前20个密码重复,用户会有怎样的反应呢?而且,更现实、更严重的威胁是中间人攻击。当前已有大量实例显示通过冒险的服务站点骗取用户信息并不难,大多数用户在享受网络的方便、快捷时很少考虑安全问题。屡见不鲜的个人信用卡资料被盗就是最有力的证据。
2公开密钥算法验证方案
公开密钥算法发展至今,已经成为密码学的一个重要组成部分。而最著名、应用最广泛的当属RSA算法,以至于一提公开密钥算法一般都是指RSA算法。RSA算法提供两种密钥――公开密钥和私有密钥。在RSA算法中,用公开密钥加密数据,用私有密钥进行解密实现普通的加密。但是,同样可以使用私有密钥加密而用公开密钥解密。这个特性使得RSA可以用作签名算法。发送方传送文件时,同时传送对文件摘要的RSA签名;接受方用同样的算法计算文件摘要,使用发送方的公开密钥解密签名,比较其是否一致即可鉴别文件是否是伪造的。
可考虑采用公开密钥算法进行数字签名来实现WEB站点的身份验证。用户申请服务时,主机产生一随机字符串发送给用户,用户用自己的私钥对该字符串签名并传回主机,随后主机使用该用户的公钥验证用户身份。
验证服务器给出随机字符串,客户对字符串进行数字签名,验证服务器验证签名的有效性,验证通过,客户得到要求的服务。
由于整个签名过程避免了用户私钥在网络上传输,从而杜绝了窃听的可能。对于中间人攻击,发起攻击的人只能得到用户名、随机字符串及其密文,破译出用户私钥的难度极大,以至于不值得或无法实现。即使有人发起选择密文攻击,由于此方案的特点――验证服务器自己保管用户的公钥,事实上用户的公钥也是保密的,他也无法获得用户私钥。若再加上适当的用户响应时间限制则安全性更好。从而,此方案实现了比传统方式更好的安全性,虽仍不及其他更严格的身份鉴别协议完善,但可以方便地使用ASP、JSP实现,不需投入硬件设施,而且可以直接与所要保护的服务系统整合在一起,更适于要求综合考虑安全性、易用性、成本等因素的中小型网络系统应用。
3利用公开密钥算法RSA建立公/私钥系统
在诸多公开密钥算法中RSA算法被研究得最多,已非常成熟,在世界上许多地方已成为事实上的标准。而且其专利已到期,我们可以毫无障碍地使用。虽然随着技术的发展,它要求模数的位数越来越多(当前要求1024位,推荐1280位),导致加/解密速度缓慢,但对于局域网这样的应用,显然用不着如此之多的位数。因此,采用RSA算法是值得一试的。由于现在许多密码学教材都有关于RSA算法的详细内容,网上对RSA算法的原理及实现也有许多材料,例如:FLINT/C、GNU MP、Miracle等等,这里对RSA算法产生公/私钥的详细步骤不再赘述。
有一个很简便快捷的实现方法,就是利用Windows CryptoAPI函数建立用户公/私钥库。使用Windows CryptoAPI时,先调用CryptAcquireContext()函数连接加密服务程序,再配合CRYPT-EXPORTABLE参数调用CryptGenKey()创建密钥,最后调用CryptExportKey()函数输出密钥。如此可方便地产生自己的密钥库。
4结束语
上面给出的是利用RSA实现WEB站点的身份认证的一个初步构想。为把注意力集中于验证服务的原理上,程序设计中一些实际问题没有包括在内。实际上,在ASP脚本的编写过程中要十分注意安全性,对所有用户输入均应进行有效性验证。密钥在数据库的存储应该先用哈希摘要,再用对称加密算法加密。全部服务页面均应验证页面的上一页属性,以避免非法用户绕过身份检查。
参考文献
[1]王继林,等译.现代密码学理论与实践(英),Wenbo Mao.电子工业出版社,2004.
篇3
关键词:Ping 检测 网络
在网络的维护过程中,Ping是一款使用最频繁的工具命令,它内置于Windows系统的TCP/IP协议中,无需单独安装Ping命令功能强大,通过它可以检测网络之间的连通性,或检测网络传输的不稳定性。了解并掌握Ping命令工具的特点及应用技巧,可有效提高排除网络故障的工作效率。
1.利用ping命令测试网卡及其配置
通过使用ping计算机的本地IP地址或ping127.0.0.1可直接检测计算机是否正确安装了网卡设备,网卡设备是否安装了TGP/IP协议,以及网卡是否正确配置了IP地址和子网掩码。具体使用形式是:ping本地IP地址或ping127.0.0.1。如果ping计算机本地IP地址成功,则说明网卡设备TCP/IP协议已正确安装,反之,说明网卡的驱动程序正确,可能没有安装TCP/IP协议。如果ping127.0.0.1成功,说明网卡设备没有故障,若不成功,则说明网卡设备驱动程序或TCP/IP协议没有正常安装。这里的127.0.0.1是网卡的自带默认的IP地址,不论网卡中是否分配了IP地址,该地址都会存在,且在本地计算机中有效,在网络中无效。
2.利用ping测试局域网连接
在局域网内,计算机之间的相互连接联通情况可通过ping局域网内其它计算机或服务器计算机名或IP地址便可测试同一网络(或VLAN)的连接是否正常。具体有如下情形:
2.1检测IP地址和子网掩码设置是否正确
通过ping局域网内的计算机名或IP地址,如果没有pmg通,应着手检查本机的IP地址和子网掩码的设置是否正确,检查IP地址是否设置为同一网段内的IP地址,子网掩码设置合理、相一致。
2.2检测网络连接是否正确
如果局域网内计算机的IP地址和子网掩码设置正确,利用ping命令ping局域内的计算机名或IP地址仍不能成功,应着手对局域内的网络设备如交换机或Hub和通信传输介质—网线、接头等逐段检查、测试和排除。
3.测试与远程主机的连接
利用ping可测试与远程主机的连接是否正常,尤其是测试与Internet的连接是否正常。具体通过ping远程主机的IP地址或域名,达到判断网络中的故障的目的。
3.1测试判断计算机是否与Internet连接
在使用过程中,如果计算机不能正常浏览网页,可以通过ping网站域名进行检查,如果能ping通,说明计算机与Internet网络连接正常,产生故障的原因可能是本地计算机的DNS服务有错或操作系统不正常有错误。如果不能ping通,可能是对方网站没有运行或本地计算机根本不能连接Internet网络,产生故障的原因可能是本地机网关设置正确或服务器出现故障。
3.2测试判断DNS服务器设置
若使用ping命令可以ping通Internet上的IP地址,但不能打开网页,则可能是DNS服务器设置存在问题,这时ping本地的DNS报务器,看是否能正常连接,如果不能正常连接,在网络连接属性中检查DNS服务器设置飞。
3.3测试判断本地Internet网络连接
如果本地计算机与任何一个主机的连接都超时,或丢包率都非常高,则应当与ISP服务商共同检查Internet网络连接,具体包括网络线路、Moden和路由器等方面的设置。
4.ping命令常见的出错提示信息
在利用ping诊断故障的过程中,常会得到一些错误指示信息,利用好这些信息正是排除网络故障的重要的突破口。Ping命令的指示信息通常分为以下四种情况:
(1)Unknow host
Unknow host的意思是该远程主机的名字不能被命名服务器转换成能被识别的IP地址。故障产生的原因可能是命名服务器有故障,或者主机的名字不正确,或者网络管理员的系统与远程主机之间的通信线路存在故障。
(2)Network Unreachable
Network Unreachable的含意是网络不能到达,这是由于本地计算机系统没有到达远程系统的路由,可用netstat一m检查路由来确定路由配置情况。
(3)No Answer
No Answerr的含意是无响应,或远程系统没有响应。这种故障说明本地系统有一条到达远程主机的路由,但却接受不到它发给该远程主机有任何分组报文。产生故漳的原因可能是远程主机没有工作,或都本地或远程主机的,网络配置不正确,或者是本地或远程的路由器没有工作、通信线路存在故障、远程主机存在路由选择的问题。
篇4
2、《高地》,作者是刘家成。
3、《狼烟北平》,作者是 陈国星。
4、《抗战狙击手》,作者是独孤手。
5、《雪亮军刀》,作者是 张磊。
6、《铁血》,作者是陈祖继。
7、《特战先驱》,作者是业余狙击手。
8、《祖上光荣》,作者是杨景标 。
9、《零炮楼》,作者是何群。
篇5
【关键词】域名;法律地位;保护模式;商标权
中图分类号:TP39 文献标识码:A 文章编号:1006-0278(2013)08-186-01
一、计算机网络域名保护的技术考量
域名是在因特网中定位某台主机的两种主要的方式之一,它具有识别性、标识性、对应性和全球唯一性。其中的对应性是指某个域名有且只有一个IP地址与其对应,而一个IP地址则往往可能会与若干个域名相对应。全球唯一性是指(我们这里仅就真地址而言)每个域名在因特网中都是唯一存在的,网络中不可能存在两个完全相同的域名。
由于计算机网络本身的架构原因,建立在ISO/OSI七层模型(实际只使用了其中的四层)上的诸多网络协议决定了在网络中侵犯他人的域名权(这里是指冒用、盗用他人域名)是很难或者干脆不可能做到的,即因特网本身的架构和域名本身的性质就给予了域名一种强有力的保护,而且这种保护的力度之强是一般人难以逾越的。
因此单从技术的角度讲,就域名本身给予特别的立法保护是没有必要。
正如LawrenceLessig教授所言:知识产权制度只是当权利人无法凭借其自身力量来维护其应有权利时所引入的一种法律救济制度。
既然因特网的架构给予了权利人这种强有力的保护,而且这种保护远非一国政府所能左右,更别谈个人了,那么我们又何必多此一举呢?我们的政府只需就域名的登记、注册、管理、撤销等事项行事一些行政性的职务即可,至于当它与现实世界中的其他权利发生冲突时,我们将在后文加以论述。
因特网上IP地址的分配和域名的注册主要由一些非赢利性的非政府组织负责。在我国,这项任务由中国互联网信息管理中心(CNNIC)负责。国务院专门颁布了相关的管理条例来指导其工作。
二、计算机网络域名的保护模式
域名本身只是网络世界这样一个虚拟世界中的一个地址,就像在现实世界中我们每个人都有家庭地址、办公地址一样。但是现实世界和网络世界之间的巨大差异和人们在网络世界中的对于自身生活的拓展,导致了这一虚拟世界中的权利与人们在现实世界中的有关权利的冲突,域名的所有者越来越希望他的域名能够像现实世界中的某些权利那样为法律所认可和保护。对于这个问题的回答,学界也众说纷纭,但似乎每一种模式都不能给予域名完美的保护:
(一)商标法保护模式
域名与商标具有相似性而且实践中相互之间最容易发生冲突,因此商标法保护模式的选择呼声很高,理由是:域名具有标识性的作用,而且二者均有财产价值,均有质量标识和表彰功能,有的域名甚至与商标商号是一体不可分的,因此可以将域名视为“网上商标”。但同时商标和域名二者之间的又差异明显,域名与商标不同之处又从另一个角度决定了商标法保护的不能。域名具有全球性和唯一性,用商标法保护域名无法解决地域性和全球性之间的矛盾。更重要的是,谈论域名的商标保护,并没有把域名置以与商标同等的地位。这种“旧瓶装新酒”的方法,完全是围绕商标来思考的,仅仅是拓宽了商标法的保护范围,从而漠视了域名的独立品格。此外,域名的可相似性与商标的显著性要求之间的矛盾使得用商标法来保护域名过分强调显著性不利于对网络资源的充分利用。
(二)反不正当竞争法保护模式
对于域名所带来的法律纠纷一开始就是由反不正当竞争法来调整的。运用反不正当竞争法来保护域名可以规范网络环境下的竞争,确保竞争的有序和交易的安全。但是反不正当竞争法的调整对象限于“工商活动”,而并非所有的互联网域名的所有人都是工商业者;反不正当法是关于“工商活动”与“竞争关系”的限定调整下作用的,所以域名不可能通过扩大解释的途径而被全部纳入反不正当竞争法调整范围。
(三)独立的知识产权保护模式
篇6
冒充警察绑架人质索钱300万,11名绑匪在56个小时内相继落网。近日,汕头警方在省公安厅的配合下,多警种协作,转战汕头、普宁和广州等地,破获一宗冒充警察绑架勒索300万巨款的大案,潮阳籍人姚某等11名绑匪悉数落网,某服装店老板何某被安全解救。
9月22日16时48分,汕头市110报警服务台接到报警:中山路某服装店老板何某被几名自称“警察”的男子绑走,并勒索300万巨款。案件发生后,汕头市公安部门立即成立了专案组。
9月24日下午5时30分,专案组在峡山一饭店内成功捕获绑匪胡某,接着在某酒店附近将刘某、李某等4名绑匪抓获。鉴于看守人质的绑匪携带有枪支的情况,专案组把握作战时机,于25日凌晨成功在与贵屿镇相隔的普宁市南径镇间寮村一山顶石场中捕获绑匪吴某,安全解救人质何某,何某安然无恙。次日零时45分,陈某、赵某、马某等3名绑匪在潮南区另一酒店落网。凌晨3时许,绑架案组织者姚某在广州市棠景街被抓获。7时许,最后一名绑匪在广州市太和镇被擒。至此,专案组连续作战56小时,与绑匪斗智斗勇,共缉获绑匪11名,缴获作案工具“航空曲尺”手枪1支、子弹6发、手铐1副、“蓝鸟”汽车1辆,全案成功告破。
现初步查明:姚某曾因绑架勒索被判刑,刑满后与何某在广州相识,姚某知道何某比较有钱,遂策划了此次绑架勒索。为此姚某带人从广州来汕踩点,指明何某在汕的门市位置及作案后的逃跑路线,准备好作案工具,而后指挥胡某等人在汕实施绑架勒索。
篇7
4月20日凌晨5点左右,广州某大学学生潘某在其单人宿舍被人杀害。案发当日,广州警方通过侦查,发现在校学生牛某有重大嫌疑。经审讯,牛某交代了他伙同他的初中同班同学林某、陈某绑架杀人的犯罪事实,并进一步交待出林某、陈某已逃往惠州老家的情况。
4月21日,广州市警方将嫌疑人资料转往惠州市公安机关。经惠州刑警多方侦查,逐渐掌握了两名嫌疑人的基本情况,其中林某在2000年的时候曾经改名,其父为惠州市某医院干部。4月22日,办案民警决定正面接触林父,希望以此为突破口,找到林某的下落。
林父对儿子的罪行痛心疾首,在林父的带领与配合下,警方在林某的家中将林某抓获。随后,根据林某提供的信息,于当日下午5时左右在另一犯罪嫌疑人陈某的女友家中将陈某抓获。
篇8
关键词:密钥管理;智能家居;本地认证;ZigBee;FPGA
中图分类号:TP393 文献标识码:A 文章编号:2095-1302(2013)09-0053-04
0 引 言
随着中国社会经济的持续迅猛发展,人们的生活水平不断提高,人们在住宅方面的观念也潜移默化,由原来的居住温饱逐渐地倾向于舒适和方便。在此背景下,智能家居产业如雨后春笋般蓬勃发展,蒸蒸日上,从概念到实际应用,正一步一步地走进我们的生活。智能家居的远程控制系统,让我们能够随时随地而轻松快捷地了解家庭状况,并且进行远程遥控,极大方便了我们的生活,吸引了大量消费者的眼球。然而,这种远程控制是否可靠,是否会被不法分子非法控制,这一系列的不安因素让许多用户望而止步。智能家居远程控制的安全性,直接或间接地关系到我们的生命财产安全,所以对智能家居的信息安全研究刻不容缓。
1 密钥管理技术发展
现代信息安全技术是基于密钥完成的,因此密钥的安全管理和分配是现代信息安全的重要基础。有效的密钥管理机制也是其他安全机制,如安全路由、安全定位、安全数据融合及针对特定攻击的解决方案等的基础。
密钥技术的发展,经历了一段曲折漫长的道路。1976年,Diffie、Hellman提出了著名的D-H密钥分发体制[1],第一次解决了不依赖秘密信道的密钥分发问题,但这种体制只能用于会话密钥的交换,而且不能抵抗中间人攻击(attack in the middle)。1978年,Kohnfelder提出了CA认证机构概念[2],采用密钥动态分发的管理体制,公钥以CA证书形式公布,用于解决密钥的规模化问题。1991年,相继出现了PGP、PEM,首次提出密钥由个人生成的分散式体系。各依赖方各自建立密钥环,将常用对方公钥储存在自己设备中。1996年,提出了SPKI解决方案[3]。PKI设立了证书授权中心机构(Certificate Authority,CA),证明公钥和标识的一体化,防止他人冒名;创立了多层CA架构,以解决密钥的规模化问题。PKI的另一进展是利用提供数字签名的功能,构建在线认证系统,从而大大推动了认证理论的发展。由于需要数据库的在线支持,应用效率不高,维护代价过高。
2001年,Boneh和Franklin利用Weil对理论[4],将标识作为公钥,私钥由密钥中心产生配发的新体制,实现了Shamir的基于标识密码(Identity Based Encryption,IBE)设想[5]。此方案将个体的唯一标识符或网络地址作为它的公钥,从而两通信方不需要交换私钥或公钥来解密和验证签名,也无需保存密钥目录,取消了依靠第三方证明的层次化CA机构链。但是,该方案仍然需要数据库的在线支持,同样效率不高。
2 矩阵密钥管理方案
智能家居的网路大部分都是无线传感网络(Wireless Sensor Networks,WSN),相对于传统有线网络,WSN的开放性使得网络更加地容易受到窃听、干扰等各种攻击[6]。有线网络的网络连接是相对固定的,具有确定的边界,攻击者必须物理地接入网络或经过物理边界,如防火墙和网关,才能进入到有线网络。通过对接入端口的管理可以有效地控制非法用户的接入。而无线网络则没有一个明确的防御边界。首先,无线网络的开放性带来了信息截取、未授权使用服务、恶意注入信息等一系列信息安全问题。其次,WSN节点大部分都是低端的处理器,它们的资源(包括存储容量、计算能力、通信带宽和距离等)极其有限。再者,WSN的网络容量非常庞大。鉴于以上特点,传统密钥管理方案并不适用于WSN。
本文在南相浩教授的组合公钥算法[7]的研究基础上,对算法进行改进,提出了一种矩阵密钥的认证方案。跟IBE一样,矩阵密钥算法也是基于身份标识的公钥算法,不需要第三方证明的CA机构链,但是,它不需要保留与用户相关的参数,只要保留少量的公共参数即可处理大量的公钥,无需数据库的支持。该算法以芯片级的储存能力处理大规模(比如1048)的公钥,非常适合应用于智能家居控制网络。
矩阵密钥管理体制的安全基础是椭圆曲线上的离散对数难题(Elliptic Curve Discrete Logarithm Problem, ECDLP),即对椭圆曲线上的点P,求Q=kP很容易,相反已知P和Q求k却非常的困难。
矩阵密钥管理体制在公开参数基础上建立公钥矩阵和私钥矩阵,采用散列映射函数将实体的标识映射为矩阵的行列坐标,将矩阵元素进行组合生成庞大的公钥与私钥。
2.1 椭圆曲线及其公开参数
由于本系统的有限域计算是在FPGA上实施的,考虑二进制有限域在硬件上比素数域实现更加地方便,本系统选取了F2m上的Koblitz椭圆曲线y2+xy=x3+ax2+b mod F。其中,F为约减多项式(在南相浩教授的组合公钥方案里,采用的是素数域[8])。确定椭圆曲线后,适当地选取曲线上的点G作为生成元,成为基点。基点G=(Gx,Gy)的所有倍点构成子群S={G, 2G, 3G, … ,(N-1)G, NG}。其中NG即O,N称为子群S的阶[9]。表明N是个殆素数(almost-prime),可以表示为N=h×n,其中n是个大素数,h是个小整数。椭圆曲线密码的公开参数组为T={a,b,G,N,m}。
按照NIST推荐,本系统参数选取见表1所列。椭圆曲线的计算可参见文献[9]。
2.2 私钥矩阵、公钥矩阵的构建
公钥矩阵为16×32的矩阵。矩阵中的16×32 个元素记为Xi,j(0≤i≤15,0≤j≤31)。它们都是子群S中的元素,即Xi,j= (xi,j, yi,j)∈S。公钥矩阵记为PSK,则:
私钥矩阵也是16×32矩阵,矩阵中的16×32 个元素记为ri,j(0≤i≤15,0≤j≤31)。私钥矩阵记为SSK,则:
公钥与私钥的对应关系为
2.3 基于标识的密钥的产生
密钥是根据实体标识产生的。每个实体都有一个唯一可以区分其他实体的标识,比如居民的身份证号。在网络中,每个节点都有一个网络地址,这地址在整个网络中是唯一的。我们首先对这个网络地址进行散列映射处理,使得标识更具有随机性。运算表达式如下:
(4)
identity为实体的标识,ID为标识的散列映射值。本系统中,HASH为SHA1算法,影射值为160位。从160位的ID中取出后128位,分割成32组,每组4位,每组依次为W0,W1, …,W31。计算公钥为:
2.4 密钥管理
本系统中,有一个设备来负责密钥的产生和发放,该设备叫密钥管理中心(Key Manage Center,KMC)。KMC首先选择系统的加密曲线参数以及基点,参数T={a,b,G,N,m}向网络公布。然后随机产生16×32的私钥矩阵。为了使每个不同的标识产生不同的私钥,文献[10]给出了优化方案。根据私钥矩阵和基点,计算出公钥矩阵。私钥矩阵由KMC秘密保留,公钥矩阵则公布。
当网络节点申请入网时,KMC根据节点的标识计算出节点的私钥,并通过安全信道告知节点私钥。公开参数和公钥矩阵则在公开信道告知。图1所示是其密钥管理方案示意图。
图1 密钥管理方案
两节点之间通信时,发送方用自己的私钥对消息进行签名,将消息和签名在公开信道上发送给目标节点。接收方接收到消息和签名时,先根据发送者的标识,从公钥矩阵中计算出接收者的公钥,从而进行消息的验证。此过程无需第三方的参与,减少了网络信息流量,提高了效率。
本方案支持海量节点的网络,以16×32密钥矩阵为例,几百Kb的容量就能支持1632=2128≈1039个节点。
3 数字签名协议
本系统签名协议采用椭圆曲线签名算法(Elliptic Curve Digital Signature Algorithm,ECDSA)。签名算法如算法1。其中,H为散列映射函数,m为待签名的消息,dA为发送者的私钥,QA为发送者的公钥。
算法1 ECDSA如下:
(1)签名过程:
1)选择整数k∈(0,n);
2)计算kG=(x1,y1),并将转换为整数x;
3)计算r=x mod n,如果r=0,则返回步骤1);
4)计算e=H(m);
5)计算s=k-1(e+dAr) mod n。若s=0,则跳至步骤1);
6)返回(r,s)。
(2)验证过程:
1)检查r,s是否是区间(0,n)内的整数,若任一个不成立则否认签名;
2)计算e=H(m);
3)计算w=s-1mod n;
4)计算u1=ew mod n,u2=rw mod n;
5)计算X=u1G+u2QA=(x0,y0);
6)若X=∞,则否认签名;
7)将x0转换为整数x,计算v= x mod n;
8)若v=r,则认可签名,否则否认签名。
签名验证的工作证明以及安全性证明详见文献[9]。
4 系统设计
本系统完成对智能家居控制网络通信的地址认证。本系统的家居控制网络由ZigBee网络构成。ZigBee网络是一种短距离、低功耗的无线通信技术,其近距离、低复杂度、自组织、低功耗、低数据速率、低成本等特点非常适合智能家居控制网络[11]。ZigBee节点的通信地址有64位的IEEE地址(也叫扩展地址,由设备商固化在设备中)和32位的网络地址(也叫短地址,加入网络后由协调器分配,每次加入网络可能都不同)。在试验中,我们采用扩展地址通信方式。本系统中网络通信认证主要是对地址真实性的认证,能够正确地识别数据的来源,避免消息的伪造。消息的签名和认证算法则由FPGA完成。ZigBee模块与FPGA之间通过SPI总线通信。其硬件设计框图见图2所示。
图2 硬件设计框图
ZigBee模块在发送消息m前,将消息发送给FPGA,FPGA完成对消息的签名,并将签名返回给ZigBee模块。之后,ZigBee模块在接收到后,将签名内容附属在消息后面,形成,并将这发送。当ZigBee模块接收到附带签名的消息后,将消息发送给FPGA进行处理。FPGA对消息进行验证,将验证结果返回给ZigBee模块。若消息验证成功,则交给用户进行下一步的处理,否则认为消息来源不可信,抛弃消息不予处理。
图3 软件流程图
FPGA签名和认证流程图如图3所示。FPGA模块有签名和验证两种模式,由ZigBee模块通知选择。在两种模式下分别进行ECDSA签名和ECDSA验证处理,将处理结果传送回ZigBee模块进行下一步处理。
5 实验结果分析
本次试验中,采用CC2530作为ZigbBee模块,签名认证算法由EP2C5T144CB完成,时钟频率为40 MHz。
发送方发送消息为“Hello!”,消息HASH值为表2中的HASH(m)。
发送方用自己的私钥dA对消息进行签名,得到消息签名r和s。
接收方收到带有签名的消息后,根据发送方的IEEE地址,通过公钥矩阵查询到发送方的公钥为坐标(QA_x,QA_y),经过ECDSA认证算法后得到v。
表2记录了实验数据。
分析实验数据表2可得v=r,根据认证算法接收该签名。本方案实现了对消息的签名和认证,提高了网络通信的可靠安全性。
6 结 语
本系统将基于标志认证的矩阵密钥算法应用到智能家居远程控制网络的真实性认证当中,实现了无需第三方的在线参与的本地认证,大大提高了认证效率。网络中的KMC只需要在设备加入网络时分配密钥,平时并不参与认证活动;网络中的各个终端节点,也只是增加一些算法的实现,以很小的代价实现了对家庭网络的地址认证,为建立安全可信任的网络打下了良好的基础,确保了网络通信间的安全可靠。
参 考 文 献
[1] DIFFIE W, HELLMAN M E. New directions in cryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6): 644–654.
[2] KOHNFELDER L M. Towards a practical public-key cryptosystem [D]. Cambridge, Massachusetts: Massachusetts Institute of Tech-nology, 1978.
[3] 肖凌, 李之棠. 公开密钥基础设施(PKI)结构[J].计算机工程与应用,2002(10): 163-251.
[4] BONEH D, FRANKLIN M K. Identity-based encryption from the Weil pairing [C]// Proceedings of the 21st Annual International Cryptology. Santa Barbara, CA, USA: CRYPTO, 2001: 213-229.
[5] SHAMIR A. Identity-based cryptosystems and signature
[6] 代航阳, 徐红兵.无线传感器网络(WSN)安全综述[J].
计算机应用研, 2002(7):12-22.
[7] 南相浩.CPK标识认证[M].北京:国防工业出版社,
2006.
[8] NAN Xiang-hao. CPK cryptosystem and identity authentication [M]. Beijing: Publishing House of Electronics Industry, 2012.
[9] HANKERSON D, MENEZES A J, VANSTON S. Guide to Elliptic Curve Cryptography [M]. New York: Springer-Verlag, 2003.
篇9
[关键词]网络安全;防火墙技术;生物识别技术;数字签名技术。
近年来,随着互联网技术的进步,电子商务迅猛发展,银行转账、网上购物等电子商务应用也越来越多地出现在人们的日常生活当中。由于电子商务的不断发展和普及,全球电子交易一体化将很可能实现。“数字化经济”(Digital Economy)已初具规模。
但开放的信息系统存在诸多潜在的安全隐患,破坏与反破坏、黑客与反黑客的斗争仍将继续。在这样的斗争中,安全技术应受到全球网络建设者的更多关注。
网络安全产品具有以下几大特点:首先,在网络安全策略与技术方面,多元化相对于统一化而言更加安全;其次,网络的安全机制与技术要不断地变化;再次,随着网络在社会各个方面的延伸,进入网络的手段也越来越多。网络安全技术是一个十分复杂的系统工程,建立有中国特色的网络安全体系,需要政府的政策和法律支持以及各相关产业的集团联合研发。
一、防火墙技术
网络防火墙是一种有效控制网络之间访问、阻止外部网络用户通过非法手段从外部网络进入内部网络并访问内部网络资源、保护内部网络操作环境的特殊网络互联技术。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定是否允许该网络之间的通信,并对该网络运行状态进行监视。
目前的防火墙产品根据技术不同可以分为四种基本类型:包括过滤型防火墙、型防火墙、状态检测型防火墙和综合型防火墙。尽管防火墙是目前保护网络比较有效的手段,但仍有不足之处:例如,目前的防火墙无法防范通过防火墙以外的其它途径的攻击.不能防止来自于内部用户们的疏忽所带来的威胁,也不能完全防止传送已感染病毒的文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,并首次提出了防火墙概念后,防火墙技术便得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列,如瑞星、卡巴斯基等。防火墙是5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:是否所有的IP都能访问到企业的内部网络系统,如果答案为“是”,则证明企业内部网络还没有在网络层采取相应的防范措施。
随着网络安全技术的发展和网络应用的不断变化,现代防火墙技术已经涉及到网络层之外的其他安全层次。不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。
防火墙技术和数据加密传输技术将继续沿用并发展.多方位的扫描监控、对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全,五者综合应用。在产品功能上.将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议。建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
所谓防火墙其实是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。随着硬件技术的进步,基于高速Internet上的新一代防火墙,还将更加注重发挥全网的效能。安全策略会更加明晰化、合理化、规范化。由140家高技术公司、大学和美国政府开发的高速网络Internet2是21世纪互联网的雏形,其主干网之一――AbiIene横跨10,000英里,网络速度高达2-4GB/秒。技术的进步将进一步减少时延、提高网络效能。目前全球连入Internet的计算机中约有1/3拥有防火墙的保护,而未来这个比率会有更大幅度的提升。
二、生物识别技术
人类在追寻文档、交易及物品的安全保护的有效性与方便性经历了三个阶段的发展。第一阶段是采用大家早已熟悉的各种机械钥匙。第二阶段是由机械钥匙发展到数字密钥,如登录上网的个人密码(Password)以及使用银行自动提款机所需的身份识别码(PIN-Personal Identification Number)、身份证(ID Cards)或条形码等,它是当今数字化生活中较为流行的安全密钥系统。第三阶段是一种更加便捷、先进的信息安全技术将全球带进了电子商务时代,它就是集光学、传感技术、超声波扫描和计算机技术于一身的生物识别技术。
生物识别技术(Biometric Identification Technology)是利用人体生物特征进行身份认证的一种技术,由于人体特征具有不可复制性,这一技术的安全系数较传统意义上的身份验证机制有很大的提高。
现代生物识别技术始于70年代中期,由于早期的识别设备比较昂贵,因而仅限于安全级别要求较高的原子能实验、生产基地等。由于微处理器及各种电子元器件的成本不断下降,精度逐渐提高,生物识别系统逐渐应用于商业上的授权控制如门禁、企业考勤管理系统安全认证等领域。用于生物识别的生物特征有手形、指纹、脸形、虹膜、视网膜、脉搏、耳廓等,行为特征有签字、声音、按键力度等。基于这些特征。人们已经发展了手形识别、指纹识别、面部识别、发音识别、虹膜识别、签名识别等多种生物识别技术。
20世纪60年代,计算机可以有效地处理图形,人们开始着手研究使用计算机来处理指纹,自动指纹识别系统AFIS由此发展起来。AFIS是当今数字生活中一套成功的身份鉴别系统,也是未来生物识别技术的主流之一。它通过外设来获取指纹的数字图像并存贮在计算机系统中,再运用先进的滤波、图像二值化、细化手段对数字图像提取特征,最后使用复杂的匹配算法对指纹特征进行匹配。随着指纹识别产品的不断开发和生产,未来该项技术的应用将进入民用市场。比如,在ATM取款机加装指纹识别功能,持卡人可以取消密码(避免老人和孩子记忆困难),通过指纹直接操作。
除了指纹识别技术外,近年来视网膜识别技术和签名识别技术的研究也取得了骄人的成绩。视网膜识别技术分为两个不同的领域:虹膜识别技术和角膜识别技术。 虹膜识别系统使用一台摄像机来捕捉样本,而角膜扫描的进行则是用低密度的红外线去捕捉角膜的独特特征。该项技术具有高度的准确性。签名识别,也被称为签名力学识别(Danamic Siqnature Verification――DSV),它是建立在签名时的力度上,分析笔的移动,例如加速度、压力、方向以及笔划的长度,而非签名的图像本身。签名力学的关键在于区分出不同的签名细节,有些是习惯性的,而另一些在每次签名时都不同,DSV系统能被控制在某种方式上去接受变量,此项技术预计在今后十年中将会得到进一步的发展和应用。
三、加密及数字签名技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此,完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即“公开密钥密码体制”,其中加密密钥不同于解密密钥。加密密钥公之于众,谁都可以使用,解密密钥只有解密人自己知道,分别称为“公开密钥”和“秘密密钥”。
目前,广为采用的一种对称加密方式是数据加密标准(DES),DES对64位二进制数据加密,产生64位密文数据,实际密钥长度为56位(有8位用于奇偶校验.解密时的过程和加密时相似,但密钥的顺序正好相反),这个标准由美国国家安全局和国家标准与技术局来管理。DES的成功应用是在银行业中的电子资金转账(EFT)领域中。现在DES也可由硬件实现,AT&T首先用LSl芯片实现了DES的全部工作模式,该产品称为数据加密处理机DEP。另一个系统是国际数据加密算法(JDEA),它比DES的加密性好,而且对计算机功能的要求相对低一些。在未来,它的应用将被推广到各个领域。IDEA加密标准由PGP(Pretty Good Privacy)系统使用,PGP是一种可以为普通电子邮件用户提供加密、解密方案的安全系统。在PGP系统中,使用IDEA(分组长度128bit)、RSA(用于数字签名、密钥管理)、MD5(用于数据压缩)算法,它不但可以对个人的邮件保密以防止非授权者阅读,还能对你的邮件加以数字签名从而使收信人确信邮件是由你发出。
篇10
【 关键词 】 网络安全;传输模型;AES; ECC;混合密码算法
1 引言
在信息网络应用中,我们经常利用虚拟专用网络VPN进行数据信息传输。在VPN上保密传输数据信息,对其来源的真实性进行鉴别,从而保证信息的私密性、不可抵赖性和完整性,其关键技术是进行加密传输和数字签名。ECC算法(Elliptic Curves Cryptography,椭圆曲线密码编码学)利用椭圆曲线作为数字签名,其基本原理大致和RSA与DSA的功能相同,且数字签名的产生与认证的速度要比RSA和DSA快;而AES算法加密数据简单快速可靠。本文通过AES和ECC构建的混合密码,设计了一种安全实用的网络安全传输模型。
2 混合密码算法原理
对称加密算法的数字签名和密钥由公开密钥算法来进行加密,明文采用对称密码算法来加密,这是混合密码算法的核心思想。发送方应用AES算法的密钥kAES对明文P进行加密。并且加密数据只用一次密钥kAES,这样可以实现简单化管理密匙并且密码算法的安全性也能够得到保证。这种算法的流程如下:
(1)应用接收方的ECC 公钥Kpubb,发送方加密AES 密钥kAES形成Ck;
(2)应用自己的ECC 私钥kpria,发送方加密签名信息M形成CM;
(3)应用AES 密钥kAES,发送方加密密文CM和明文P,在加上CK的基础上形成密文C;
(4)应用自己的ECC 私钥kpria,接收方解密CK,得到AES 算法的密钥kAES;
(5)应用密钥kAES,接收方解密密文C,得到加密后的签名CM和明文P;
(6)应用发送方的ECC 公钥kpuba,接收方解密CM得到签名M。
3 设计网路安全传输模型系统
3.1 模型的体系结构
包括客户端、服务器端、数据传输接口和网络安全连接三个部分。其中客户端的作用是解密文件、更改用户密码、传输公钥;服务器端的作用是密钥管理、混合密码算法管理、文件管理、用户管理。
3.2 安全功能所在的模型网络层次
Internet 的实际标准是TCP/IP 协议,从上到下采用四层结构,由应用层、传输层、网络层、网络接口层分别组成,在应用层中建立安全功能,全面连接的传输是基于TCP 进行的,提供一个安全的接口给其他的应用程序,和其他任何协议是独立的关系,把混合密码层增加到应用层上,对TCP/IP 协议部分不足的安全性问题进行了弥补。模型所在的网络层次如图3所示。
4 混合密码层在模型中的工作流程
通过分析ECC和AES算法,ECC算法能够很好的实现数字签名、便于密钥管理;AES算法在较长明文加密中较为适用并且加密速度快。辅以MD5算法,综合ECC算法和AES算法,构成本模型中采用的混合加密方案。
4.1 密钥的产生
选一点G(x,y) 在椭圆曲线上Ep (a,b) 上,G公开并且阶数为n(n 为一个大素数)。一个整数KS的确定在在[1,n-1] 之间,计算Kp=KSG,且EP(a,b) 为的一点在Kp 椭圆曲线上。通过以上密钥对(Ks,Kp)被确定,Kp为公钥,Ks为私钥。
4.2 加密和解密
加密AES 密钥:设为AES 算法密钥,发送方取随机数r,r ∈ {1,2,…,n-1},计算u=r KBP (KBP为B的公钥),R1=rG=( x1,y1),V= x1 KA,由此产生二元组(u,v) 传送给接受方B。
解密AES 密钥:用KBP (KBP为B的私钥) 计算(x1,y1)=KBS-1u,从而得KA= x1-1v。
4.3 签名和认证
计算消息明文的摘要H(m)需要选取一个公开消息摘要函数( 本系统选用MD5 算法)。
签名生成:发送方A 取随机数S,S ∈{1,2,…,n-1)。计算R2=sG=( x2,y2),e=x2H(m),k=s+eKAS,w=kG,由此产生二元组(w,e) 作为发送方A 对消息的签名。
身份认证:计算R=w-eKAP=(x1,yr),如e=xrH(m) 成立则签名有效,否则无效。
5 结束语
上文提出的结合AES与ECC的混合加密算法,具有易于理解、易于计算实现、易于进行密钥分配的优点,原理简单,符合加密算法的准则且具有很高的安全性。在虚拟专用网络VPN上通过应用AES与ECC的混合加密算法,构建安全传输模型,既能保证数据信息的保密性,又确保了数据信息的真实性和完整性,对确保网络信息安全具有一定的实际意义。
参考文献
[1] Man Young Rhee. 网络安全加密原理、算法与协议[ M] . 金名, 张长富, 等译. 北京: 清华大学出版社, 2007.
[2] 吴志军, 阚洪涛. 基于ECC 的TES 网络链路层安全协议的研究[J]. 通信学报,2009.11.
[3] 王凤英. 基于高维混沌离散系统的动态密钥3DES 算法[J] . 微电子学与计算机, 2005, 7: 25- 28.
[4] 王常林, 吴斌. 基于AES 算法和改进ECC 算法的混合加密方案. 科学技术与工程,2009.09.
[5] 黄河明. 数据加密技术及其在网络安全传输中的应用. 厦门大学,2008.05.
[6] Falk A.The IETF, the IRTF and the networking research community[C] .Computer Communication Review, v35, n5, Oct. 2005: 6970.
[7] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全,2012,(03):17-18.
[8] 刘德祥.数码代密模块的软件设计与实现[J].信息网络安全,2012,(05):15-16.
[9] 王勇.多重不确定的密码体制研究[J].信息网络安全,2012,(06):82-84.
