加密技术论文

导语：在加密技术论文的撰写旅程中，学习并吸收他人佳作的精髓是一条宝贵的路径，好期刊汇集了九篇优秀范文，愿这些内容能够启发您的创作灵感，引领您探索更多的创作可能。

第1篇

1.1计算机系统存在漏洞

当前，大部分计算机的系统为Windows系统，只有少数计算机的系统为Linux系统。Windows系统受众面广，受网络攻击的可能性更大，再加上系统本身存在很多漏洞，严重影响了计算机数据信息的安全性。如果黑客攻击系统所存在的漏洞，就会导致病毒通过漏洞感染计算机。计算机操作系统建设所用的代码会涉及到汇编、反汇编等底层代码，并且所有代码的编写需要整个团队来完成，这样往往在代码编写过程中就会出现漏洞，需要用专门的补丁来修复。系统漏洞的存在给计算机的安全使用带来了极大的威胁，导致银行账号、密码，游戏账号、密码等泄露，从而对计算机使用者造成一定的损失。

1.2计算机病毒

计算机病毒具有感染性强、蔓延范围广、传播速度快等特点，是威胁计算机数据安全的重要因素。在病毒进入到计算机程序后，如果将带有病毒的数据文件应用于计算机网络传输或共享，那么其他计算机在浏览或打开此数据文件时也会被感染，出现连锁式病毒传播。另外，如果计算机病毒过多，会对计算机操作系统造成十分严重的影响，出现死机或者数据丢失等事故。

1.3非正常入侵

计算机网络具有开放性特点，在互联网背景下，很多不法分子利用系统本身存在的漏洞非法入侵用户计算机。非法入侵者一般采取窃听、监视等手段，获取计算机网络用户的口令、IP包和用户信息等，然后利用各种信息进入计算机局域网内，并采用冒充系统客户或者用合法用户的IP地址代替自己的IP地址等方式，篡改或窃取计算机网络内的数据信息。

2数据加密技术的应用

2.1密钥保护

密钥保护是数据加密中一种常用的加密技术。改变密钥的表达方式，可提高密文书写的多变性，体现多层次的加密方式。密钥保护可分为公钥保护和私钥保护两种方式。通常这两种方式相互配合，对提高计算机数据信息的安全性具有重要意义。私钥保护具有一定的局限性，在使用时必须借助公钥保护来完成整个保护动作。密钥保护的原理是：当计算机进行数据传输时，选用公钥对需要传输的信息进行加密，在用户接收数据后，需要通过私钥来完成解密动作，以此来确保传输数据的安全性，避免攻击者非法窃取传输过程中的数据。当前，秘钥保护方式一般用于管理系统和金融系统中，可以完成对私人信息、用户登录和访问过程等方面的保护。

2.2USBkey保护

USBkey是数据加密技术的典型代表，一般用于银行交易系统中，保证网络交易环境的安全性。USBkey服务于客户端到银行系统，对每项数据信息的传输都需要加密处理，避免数据在传输过程中受到恶意攻击。就现状来看，银行系统通过计算机网络来完成工作的概率逐渐上升。USBkey可以保护银行系统能够在相对安全的环境中完成交易。在用户利用计算机网络进行银行交易时，USBkey中的加密技术会自动匹配用户信息，即便用户行为被跟踪，攻击者也无法破译USBkey中的加密技术，通过加强用户登录身份的验证，保证用户财务安全。

2.3数字签名保护

数字签名保护是比较常用的一种数据加密技术，具有很好的保护效果。数字签名保护的原理是利用加密、解密过程，识别用户身份，从而保证数据信息的安全性。数字签名保护也分为公钥保护和私钥保护两种，如果只使用其中的一种保护方式，会在本质上降低安全保护的效果。因此，通常情况下，常在私钥签名处外加一层公钥保护，提高数字签名保护的效果。

3结束语

第2篇

计算机的操作系统是固定不变的,在当前网络信息化高速发展的现代,计算机操作系统中的各种迅速发展的网络程序搭载在计算机操作系统中,不同的技术水平互相融合容易出现各种漏洞,这些漏洞如若被病毒和黑客发现,就容易给计算机病毒和黑客入侵计算机系统或程序盗取、破坏信息数据的途径。入侵的病毒或黑客可能对计算机进行针对性得进行某些操作影响整个网络系统的运行,对数据相关的个人和机构的数据安全带来威胁,有时还会破坏计算机的软硬件设置。网络的开放性,给实际网络应用中带来了许多便利,但是也给不法分子更方便地进行不法行为的途径。如各种文件的传递可能附有病毒,而感染了病毒的计算机不一定能够及时发现,感染病毒的计算机可能在使用中就泄漏需要保密的信息,或者使计算机系统破坏,甚至使计算机软硬件损坏以致不能修复,容易造成个人或者企业财产甚至安全问题。我们需要强化计算机的安全防护系统,数据的加密技术可以一定程度上阻碍保密信息的泄漏。

2数据加密技术在计算机网络安全中的应用

2.1数据加密技术在软件加密中的应用

软件是计算机运用不可或缺的组成部分,在计算机的日常运用时,病毒和网络黑客最常侵入计算机软件,软件由于设计上的漏洞也最容易遭受病毒和黑客的入侵。在软件中应用数据加密技术进行软件加密,可以对计算机病毒及网络黑客的入侵进行有效的阻挡。加密程序的执行过程中,加密操作员必须对加密数据进行检测,避免文件中隐藏有病毒,若是检测出病毒,必须进行相应处理及检测软件、数据和系统的完整性和保密性,遏制病毒的蔓延。因此,数据加密技术在软件加密中的应用,对计算机网络安全和信息数据的保护,起到了至关重要的作用。

2.2数据加密技术应用于网络数据库加密

现有使用的网络数据库管理系统平台大部分是WindowsNT或者Unix,它们的平台操作系统的安全评价级别通常为C1级或者C2级,故而计算机拥有相对来说仍然比较脆弱的存储系统和数据传输公共信道,一些保密数据以及各种密码容易被PC机之类的设备以各种方式窃取、篡改或破坏。

2.3数据加密技术在电子商务中的应用

随着电子商务的快速兴起,现代社会更加信息化,人们的日学习工作生活方式发生了巨大变化。电子商务需以网络运行为载体,在网络平台上才能进行交易,因此电子商务无法摆脱网络因素存在的各种风险,若是不运用有效的加密技术,交易中的各种隐私信息将会轻易被不法分子窃取,造成交易双方的重大损失,影响双方信誉及继续合作可能性。网络平台和交易信息的安全性也影响电子商务的交易安全,应用数字证书、SET安全协议以及数字签名等数据加密技术,可以提高计算机网络环境安全,保障双方交易的相关信息的安全。

2.4数据加密技术应用于虚拟专用网络

现有许多企业单位大多建立了局域网供内部信息交流,由于各个分支机构的距离位置远近不同,需要应用一个专业路线联通各个局域网,达到机构间的网络信息交流。数据加密技术应用于虚拟专业网络中时,主要是当数据进行传输,虚拟专用网络能够被自动保存在路由器中,路由器中的硬件会对其进行加密,加密后的密文再在互联网中传播,到达接收数据的路由后,再自动进行解密,使接受者则能够安全看到数据信息。

3结语

第3篇

论文摘要：走进新世纪，科学技术发展日新月异，人们迎来一个知识爆炸的信息时代，信息数据的传输速度更快更便捷，信息数据传输量也随之增加，传输过程更易出现安全隐患。因此，信息数据安全与加密愈加重要，也越来越多的得到人们的重视。首先介绍信息数据安全与加密的必要外部条件，即计算机安全和通信安全，在此基础上，系统阐述信息数据的安全与加密技术，主要包括：存储加密技术和传输加密技术；密钥管理加密技术和确认加密技术；消息摘要和完整性鉴别技术。

当前形势下，人们进行信息数据的传递与交流主要面临着两个方面的信息安全影响：人为因素和非人为因素。其中人为因素是指：黑客、病毒、木马、电子欺骗等；非人为因素是指：不可抗力的自然灾害如火灾、电磁波干扰、或者是计算机硬件故障、部件损坏等。在诸多因素的制约下，如果不对信息数据进行必要的加密处理，我们传递的信息数据就可能泄露，被不法分子获得，损害我们自身以及他人的根本利益，甚至造成国家安全危害。因此，信息数据的安全和加密在当前形势下对人们的生活来说是必不可少的，通过信息数据加密，信息数据有了安全保障，人们不必再顾忌信息数据的泄露，能够放心地在网络上完成便捷的信息数据传递与交流。

1信息数据安全与加密的必要外部条件

1.1计算机安全。每一个计算机网络用户都首先把自己的信息数据存储在计算机之中，然后，才进行相互之间的信息数据传递与交流，有效地保障其信息数据的安全必须以保证计算机的安全为前提，计算机安全主要有两个方面包括：计算机的硬件安全与计算机软件安全。1）计算机硬件安全技术。保持计算机正常的运转，定期检查是否出现硬件故障，并及时维修处理，在易损器件出现安全问题之前提前更换，保证计算机通电线路安全，提供备用供电系统，实时保持线路畅通。2）计算机软件安全技术。首先，必须有安全可靠的操作系统。作为计算机工作的平台，操作系统必须具有访问控制、安全内核等安全功能，能够随时为计算机新加入软件进行检测，如提供windows安全警报等等。其次，计算机杀毒软件，每一台计算机要正常的上网与其他用户交流信息，都必须实时防护计算机病毒的危害，一款好的杀毒软件可以有效地保护计算机不受病毒的侵害。

1.2通信安全。通信安全是信息数据的传输的基本条件，当传输信息数据的通信线路存在安全隐患时，信息数据就不可能安全的传递到指定地点。尽管随着科学技术的逐步改进，计算机通信网络得到了进一步完善和改进，但是，信息数据仍旧要求有一个安全的通信环境。主要通过以下技术实现。1）信息加密技术。这是保障信息安全的最基本、最重要、最核心的技术措施。我们一般通过各种各样的加密算法来进行具体的信息数据加密，保护信息数据的安全通信。2）信息确认技术。为有效防止信息被非法伪造、篡改和假冒，我们限定信息的共享范围，就是信息确认技术。通过该技术，发信者无法抵赖自己发出的消息；合法的接收者可以验证他收到的消息是否真实；除合法发信者外，别人无法伪造消息。3）访问控制技术。该技术只允许用户对基本信息库的访问，禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。与此同时，系统管理员能够利用这一技术实时观察用户在网络中的活动，有效的防止黑客的入侵。

2信息数据的安全与加密技术

随着计算机网络化程度逐步提高，人们对信息数据传递与交流提出了更高的安全要求，信息数据的安全与加密技术应运而生。然而，传统的安全理念认为网络内部是完全可信任，只有网外不可信任，导致了在信息数据安全主要以防火墙、入侵检测为主，忽视了信息数据加密在网络内部的重要性。以下介绍信息数据的安全与加密技术。

2.1存储加密技术和传输加密技术。存储加密技术分为密文存储和存取控制两种，其主要目的是防止在信息数据存储过程中信息数据泄露。密文存储主要通过加密算法转换、加密模块、附加密码加密等方法实现；存取控制则通过审查和限制用户资格、权限，辨别用户的合法性，预防合法用户越权存取信息数据以及非法用户存取信息数据。

传输加密技术分为线路加密和端-端加密两种，其主要目的是对传输中的信息数据流进行加密。线路加密主要通过对各线路采用不同的加密密钥进行线路加密，不考虑信源与信宿的信息安全保护。端-端加密是信息由发送者端自动加密，并进入TCP/IP信息数据包，然后作为不可阅读和不可识别的信息数据穿过互联网，这些信息一旦到达目的地，将被自动重组、解密，成为可读信息数据。

2.2密钥管理加密技术和确认加密技术。密钥管理加密技术是为了信息数据使用的方便，信息数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有：磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配、保存、更换与销毁等各环节上的保密措施。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使：合法的接收者能够验证他收到的消息是否真实；发信者无法抵赖自己发出的消息；除合法发信者外，别人无法伪造消息；发生争执时可由第三人仲裁。按照其具体目的，信息确认系统可分为消息确认、身份确认和数字签名。数字签名是由于公开密钥和私有密钥之间存在的数学关系，使用其中一个密钥加密的信息数据只能用另一个密钥解开。发送者用自己的私有密钥加密信息数据传给接收者，接收者用发送者的公钥解开信息数据后，就可确定消息来自谁。这就保证了发送者对所发信息不能抵赖。

2.3消息摘要和完整性鉴别技术。消息摘要是一个惟一对应一个消息或文本的值，由一个单向Hash加密函数对消息作用而产生。信息发送者使用自己的私有密钥加密摘要，也叫做消息的数字签名。消息摘要的接受者能够通过密钥解密确定消息发送者，当消息在途中被改变时，接收者通过对比分析消息新产生的摘要与原摘要的不同，就能够发现消息是否中途被改变。所以说，消息摘要保证了消息的完整性。

完整性鉴别技术一般包括口令、密钥、身份（介入信息传输、存取、处理的人员的身份）、信息数据等项的鉴别。通常情况下，为达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对信息数据的安全保护。

第4篇

论文摘要:本文针对电子商务安全的要求，分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。

所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前，因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此，电子商务的发展必须重视安全问题。

一、电子商务安全的要求

1、信息的保密性：指信息在存储、传输和处理过程中，不被他人窃取。

2、信息的完整性：指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，保持与原发送信息的一致性。

3、 信息的不可否认性：指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。

4、 交易者身份的真实性：指交易双方的身份是真实的，不是假冒的。

5、 系统的可靠性：指计算机及网络系统的硬件和软件工作的可靠性。

在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。

二、数据加密技术

将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。

（一）对称密钥加密与DES算法

对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。

最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。

（二）非对称密钥加密与RSA算法

为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系(PublicKeyCrypt-system)，用的最多是RSA算法，它是以三位发明者（Rivest、Shamir、Adleman）姓名的第一个字母组合而成的。

在实践中，为了保证电子商务系统的安全、可靠以及使用效率，一般可以采用由RSA和DES相结合实现的综合保密系统。

三、认证技术

认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性

（一）身份认证

用户身份认证三种常用基本方式

1、口令方式

这种身份认证方法操作十分简单，但最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，不能抵御口令猜测攻击，整个系统的安全容易受到威胁。

2、标记方式

访问系统资源时，用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别，访问系统资源。

3、人体生物学特征方式

某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案等等，这种方案一般造价较高，适用于保密程度很高的场合。

加密技术解决信息的保密性问题，对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下，信息认证显得比信息保密更为重要。

（二）数字摘要

数字摘要，也称为安全Hash编码法，简称SHA或MD5 ，是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法，其加密结果是不能解密的。类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹，可以通过数字指纹鉴别其明文的真伪。

（三）数字签名

数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。

它的作用:确认当事人的身份，起到了签名或盖章的作用；能够鉴别信息自签发后到收到为止是否被篡改。

（四）数字时间戳

在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用，是由DTS服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间。包括三个部分：需加时间戳的文件的数字摘要；DTS机构收到文件摘要的日期和时间； DTS机构的数字签名。

（五）认证中心

认证中心：（Certificate Authority，简称CA），也称之为电子商务认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设（PKI）。

我国现有的安全认证体系(CA)在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面，最初主要由中国电信负责建设。

（六）数字证书

数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。

以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

四、电子商务的安全交易标准

（一）安全套接层协议

SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的，其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。

目前Microsoft和Netscape的浏览器都支持SSL，很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准，已经广泛用于Internet。

（二）安全电子交易协议

SET (Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起，会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息，并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性，目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。

五、总结

网络应用以安全为本，只有充分掌握有关电子商务的技术，才能使电子商务更好的为我们服务。然而，如何利用这些技术仍是今后一段时间内需要深入研究的课题。

参考文献:

第5篇

【关键词】计算机网络安全；隐患管理维护

【前言】随着现代科技的不断发展，信息技术影响力遍及各个行业，计算机网络应用涉及生活的方方面面，全面推进了社会的进步。但是，网络也具有两面性，尤其是其突出的开放性与共享性使得其在使用过程中存在较大的潜在危险，制约计算机网络优势的发挥。因此，要加强计算机网络安全隐患管理与维护工作，制定针对性的发展策略，为扩大计算机网络安全使用创造优质的条件。

1结合社会发展对计算机网络安全隐患类型的介绍

1.1黑客攻击威胁计算机网络安全，信息可靠性无法保障

随着科技的进步以及社会的发展，计算机技术深入社会生活。依托计算机技术，实现信息实时传递。借助互联网，完成商品交易。同时，计算机最为基础的功能是进行信息数据的存储与管理。由此可见，计算机渗透到社会生活的诸多方面。与此同时，网络自身突出的开放性也埋下安全隐患。一旦计算机网络遭受黑客攻击，势必诱发程序混乱，威胁计算机系统运行，计算机内部存储的信息无法实现绝对可靠性。从类型上分析，黑客攻击涉及两个方面，即网络攻击与网络侦查。前者通过多种途径进行网络数据的损坏，包含欺骗攻击、协同攻击以及拒绝服务攻击等。后者不破坏网络有效性，但是，借助多种不正当手段获取价值信

1.2不法者以伪造虚假信息为手段，非法窃取用户信息

立足计算机网络，在使用过程中，通常利用自己身份进行信息注册、登陆等行为，但是，忽视网站安全性，也使得不法分子有机可乘。具体讲，他们会对网站信息进行伪造，依靠虚假信息进行用户登陆，达到窃取用户身份信息的目的。另外，虚假网站一般是在用户下载软件的同时进行捆绑操作，植入木马，维修用户信息安全，造成不可预估的损失。

1.3计算机操作系统自身存在漏洞，扩大计算机遭受侵袭的几率

对于计算机系统运行，一般借助操作平台实现。在计算机网络技术不断升级更新的过程中，非法访问的风险也逐渐增高。鉴于操作系统自身漏洞的存在，给不法分子创造机会，以漏洞为跳板，入侵用户计算机，窃取计算机存储的数据，数据信息的安全性受到挑战，网络安全隐患重重。

1.4使用者安全意识薄弱，操作失误诱发安全隐患

对于计算机而言，虽然普及率较高，但是，在日常操作中，使用者应用水平不高，技术不熟练，操作不当与失误现象十分常见，诱发文件损坏或者丢失。另外，使用者安全防范观念不强，对安全防范措施缺乏全面了解，导致信息泄露，影响网络应用的安全性与可靠性。

2如何加强计算机网络安全隐患管理与维护工作

2.1以访问控制技术为依托，避免遭受恶意访问

在计算机网络安全隐患维护工作中，网络访问权限的控制是重要方式，目的是维护网络数据资源的安全性，避免遭受恶意程序的强制访问。一般情况下，常用技术包含系统资源的集中，系控制、黑名单过滤、数据帧阻止以及数字证书等，达到对访问权限的目的性控制。其中，网络访问控制技术涉及虚拟局域网隔断、网卡筛选等。

2.2防火墙技术强化对软硬件的全面防护，增强防御能力

立足当前网络安全，防火墙技术的应用极具普遍性，主要是对网络区域进行多区块隔离，授予差异化访问控制权限，实现对不同权限等级区块之间数据包的有序交换。依托一定安全规则进行信息过滤，从而确定区块之间信息交互的响应情况，强化对整个网络联通情况的监督与管理。防火墙技术的应用能够在很大程度上维护网络数据的安全性。依托防火墙，计算机硬件与软件设备得到保护，强化对外部攻击的有效抵御，稳固计算机操作系统的安全运行，实现对病毒与木马的拦截。面对病毒等级的不断提升，防火墙技术也要及时升级与更新，以便更好应对新型病毒的侵害。

2.3采用多种密码技术，维护信息的安全性

在密码技术中，比较常见的是加密技术与解密技术。对于加密技术，主要对将外在信息进行隐匿，一旦缺少特定数据，识别与判断无法形成。解密技术是依托加密原则进行还原对称加密与非对称加密也是互联网数据加密技术不可或缺的组成部分。前者是在加密与解密过程中使用相同秘钥，目的是为专属信息的联系创造条件。非对称加密是设置不同的秘钥，分别由私人与公共掌握，二者存在一定程度的相关性。

2.4积极安装杀毒软件，实现病毒针对性拦截

立足当前计算机网络环境，最大的安全隐患主要来自病毒与木马，一旦遭受入侵，计算机系统很难实现稳定运行。另外，鉴于较强的传染性，加之较强的爆发性，因此其破坏行为能够在短时间内进行扩张，威胁计算机使用者的利益。为此，为了防止病毒入侵，要安装杀毒软件，增强针对性。一旦用户进行不安全浏览与下载，杀毒软件会进行全面扫描。在发现病毒之后，杀毒软件会在第一时间发出警示，并进行快速拦截。

3结束语

第6篇

论文摘要：同络是计算机技术和通信技术的产物，在国防电信，银行，广播等方面都有广泛的应用。其安全性是不可忽视的，网络安全主要是由于tcp／ip协议的脆弱。网络结构的不安全．易被窃听和缺乏安全意识等原因造成的，网络入侵者主要通过破译口令，ip欺骗和dns欺骗等途径攻击网络。防范措施主要通过防火墙技术和数据加密技术来完成。

1近年来网络威胁发展趋势

由于黑客发动攻击的目的和组织化的转变，近年发生大规模的网络安全事件的可能性比较小，以僵尸网络、间谍软件、身份窃取为代表的恶意代码，以及网络仿冒网址嫁接／劫持类安全事件将会继续增加，对新流行的网络应用的安全事件将会发生，这些问题将导致事件数量整体仍呈上升趋势，同时也提醒网络安全管理员尽可能的保护好企业的内部数据。

常见的危害安全有：外部攻击；内部威胁；网络儒虫；垃圾邮件；w eb服务器；僵死网络l网络钓鱼；arp欺骗。薄弱的信息安全意识可能造成重大的经济损失或严重的法律后果。网络飞速的发展，网络安全往往很容易忽视。但是带来网络安全的原因有很多。

2网络安全概述

2．1网络安全的定义

网络安全的具体含义会随着“角度”的变化而变化。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。总之，几是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。

2．2行系统安全

行系统安全：即保证信息处理和传输系统的安全。

它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏，产生信息泄露，干扰他人，受他人干扰。网络上系统信息的安全：包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。

2．3网络中的安全缺陷及产生的原因

(1)tcp／ip的脆弱性。因特网的基石是tcp／ip协议。该协议对于网络的安全性考虑得并不多，并且由于tcp／ip协议是公布于众的，如果人们对tcp／ip~e熟悉，就可以利用它的安全缺陷来实施网络攻击。

(2)络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。

(3)易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

(4)缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙服务器的额外认证，进行直接的ppp连接从而避开了防火墙的保护。

3网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、ip欺骗和dns欺骗。口令是计算机系统抵御人侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。

4网络安全的防范措施

4．1防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。

防火墙系统是由两个基本部件包过滤路由器(packetfilteringr0uter)、应用层网关(application gateway)构成的，防火墙处于5层网络安全体系中的最底层，作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

4．2数据加密技术

数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。加密技术通常分为两大类：“对称式”和“非对称式”。对称式加密就是加密和解密使用同一个密钥，通常称之为“sessionkey”这种加密技术目前被广泛采用，如美国政府所采用的des]jij密标准就是-一种典型的“对称式”加密法，它的session key长度为56bits。而非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。

4．3身份的验证

身份的验证指使用网络资源时需要提交一一定的信息，表示申请者具备的身份。验证有很多种方式，人们最熟悉的就是用户名加密码的方式了，虽然在实践中，密码方式并不是一种非常安全的身份验证方式。

4．4授权

授权和身份验证不同，身份验证控制能否访问网络。而授权则是控制能够访问那些资源和可以如何访问这些资源。授权包括两种，一种是行为的授权。另外一种是范围的授权。

4．5审核

通过审核，网络管理员可以了解攻击着的主攻方向，了解所不知道的网络薄弱环节，攻击者通常是从网络的薄弱环节攻入的。

4．6公共密匙加密和数字签名

在数据加密中，密匙非常重要，但加密解密的双方又需要同样的密匙，密匙就需要采用某种传送方式，这样密匙就变成了网络安全的主要攻击目标。

4．7数据包过滤

比身份验证和授权更进一步，数据包过滤能够接受或拒绝特定特点的数据包，能够防止非授权的使用、破坏网络资源、禁止、拒绝服务攻击。

第7篇

内容摘要：电子公文是通过网络传送的。用于政府机关相互之间联系事务的专用电子文件,其传送和接收是在高度自由的网络环境中进行的,自然会涉及到信息遗漏、电脑病毒以及黑客等安全问题。为此,有必要建立包括密钥使用规范、数字签名制度、政府证书管理制度等相关法律制度,以确保电子公文系统安全有效地运作。

关键词：电子公文电子政务互联网

一、子公文及其特点

电子公文是指以电子形式表现的并通过网络传送的,用于政府机关相互之间联系事务的专用文件。电子公文的特点是基于电脑和互联网联网的特性而产生的,因为电子公文的制作、发送及接收都需要通过电脑和互联网这两种媒介来进行。首先是电脑,它的最大作用是将政府公文中所有具体的信息都进行了数字化的改变,这里所说的数字化是指电脑将输入的具体信息以“1”和“0”来进行存储和运作,这不像传统的政府公文是以具体的书面形式来表示的。其次是互联网,互联网将电脑里的数字化信息在各个政府机关之间迅速地传送。互联网本身有其特殊性,即公开性和全球性。所谓公开性是指任何人都可以自由地进出互联网,而全球性是指信息在互联网上的传递是没有边界障碍的。根据上述分析,较之传统的政府公文,电子公文有以下几个方面的特点：

(1)电子公文是一种数字化的、虚拟化的文件形式;(2)电子公文的传送是在公开环境下,通过互联网进行的;(3)电子公文的传送可以在各个地区、国家乃至全球范围内的政府之间进行;(4)电子公文的广泛应用能够极大地提高政府的办事效率。

显然,信息技术的发展给政府机构带来了一场深刻的变革。传统的公文传送方式使政府机构背负着沉重的时间负担和经济负担。传统公文在这一场变革中受到了电子公文这一新生事物的强有力的冲击。电子公文的制作、发送和接收可以突破时间和空间的限制,给人们以快速和便捷。可是电子公文毕竟是近年来才开始出现的新生事物,很多技术上的问题还有待解决。特别是,由于电子公文刚刚开始启用,有关电子公文的法律纷争还颇为鲜见。就世界范围来说,还没有专门的法律规范,也无强制性的原则可以遵循。可以说,其中还有很多值得研究的问题摆在我们的面前。

二、电子公文应用中存在的安全问题

目前,电子公文应用中出现的安全问题主要有：

1.黑客问题。黑客入侵网站的消息在近年被频频报道。以前黑客们往往挑选美国国防部和雅虎这些安全防范体系堪称一流的硬骨头啃。而随着各种应用工具的传播,黑客已经大众化了,不像过去那样非电脑高手不能成为黑客。如果安全体系不过硬的话,黑客便可以肆意截留、毁灭、修改或伪造电子公文,给政府部门带来混乱。

2.电脑病毒问题。自电脑病毒问世几十年来,各种新型病毒及其变种迅速增加,而互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径。试想一个完整的电子政府体系中某个环节受到病毒感染而又没有被及时发现,电子公文系统全面瘫痪,那将会产生怎样的后果?病毒的感染会使一些电子公文毁灭或送达延误,整个电子政府将会指挥失灵、机构运作不畅。

3.信息泄漏问题。目前,各大软件公司生成的网管软件使网络管理员拥有至高无上的权利,可以方便地对网上每个政府用户的各种使用情况进行详细的监测。此外,网络中存在不少木马程序,如果使用不慎,就会把公文中的重要信息泄漏给他人。而某些大公司生产的软件或硬件产品所带的后门程序更可以使这些公司对政府用户在网上的所作所为了如指掌。对政府而言,信息泄漏将会给其工作带来麻烦,甚至会危及到国家的政治、经济及国防利益,有关的政府工作人员会因此被追究法律责任,这是绝对不能接受的。而对这些大公司的法律管制,对于在信息产业中处于弱势地位的国家来说是根本无法解决的难题,但光靠处于优势地位的国家也是不行的,必须在国际范围内形成管制的合力。

三、电子公文安全体系法律制度建构

1.科学的密钥使用制度规范。密钥是一种信息安全技术,又称加密技术,该技术被广泛应用于电子商务和电子政务中。它包括两种技术类型,即秘密密钥加密技术和公开密钥加密技术。其中秘密密钥加密技术又称对称加密技术。倘利用此技术,电子公文的加密和解密将使用一个相同的秘密密钥,也叫会话密钥,并且其算法是公开的。接收方在得到发送的加密公文后需要用发送方秘密密钥解密公文。如果进行公文往来的两个政府能够确保秘密密钥交换阶段未曾泄漏,那幺,公文的机密性和完整性是可以保证的。这种加密算法的计算速度快,已被广泛地应用于电子商务活动过程中。公开密钥加密技术又称为非对称加密技术。这一技术需要两个密钥,即公开密钥和私有密钥。私有密钥只能由生成密钥对的一方政府掌握,而公开密钥却可以公开。用公开密钥对公文进行加密,只有用对应的私有密钥才能解密。用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。此二种技术相比,显然第二种技术的安全系数更大一些,但这种技术算法速度较慢。我们可以根据各种公文的秘密等级,采用不同的加密技术。对于一般的公文往来数量大且频繁,不宜采用非对称加密技术,还有秘密等级较低的公文亦可采用对称加密技术。而对那些重大的通知及秘密等级较高的公文则必须采用非对称加密技术。凡违反上述技术性规范的要求造成公文泄密或是公文的完整性受到损害的,需追究其法律责任。

2.完善的政府证书管理制度。公文传送过程中数据的保密性通过加密和数字签名得到了保证,但每个用户都有一个甚至两个密钥对,不同的用户之间要用公开密钥体系来传送公文,必须先知道对方的公开密钥。公文传送中有可能发生以下情况:用户从公钥簿中查到的不是对方的公钥,而是某个攻击者冒充对方的假冒公钥;或者公文互换的双方在通讯前互换公钥时,被夹在中间的第三者暗中改变。这样的加密或签名就失去了安全性。为了防范上述风险,我们可以仿效电子商务中的做法,引入数据化证书和证书管理机构,建立完善的政府证书管理制度。这里所说的证书是指一份特殊文档,它记录了各政府机关的公开密钥和相关的信息以及证书管理机构的数字签名。证书的管理机构是个深受大家信任的第三方机构。考虑到电子政务的特殊性,电子政务系统中的根目录证书管理机构最好由一国的最高政策机关设立的专门机构出任,其它各级目录分别由地方各级政府设立的专门机构去管理。在我国,根目录的管理工作可由国务院信息办来承担,其它各级目录分别由地方各级人民政府设立的专门机构进行管理。各政府机关须向相应的证书管理机构提交自己的公开密钥和其它代表自己法律地位的信息,证书管理机构在验证之后,向其颁发一个经过证书管理机构私有密钥签名的证书。政府出面作为证书的管理机构,其颁发的证书信用度极高。这样一来将使电子公文的发送方和接收方都相信可以互相交换证书来得到对方的公钥,自己所得到的公钥是真实的。显然,电子公文系统的安全有效运转离不开完善的政府证书管理制度的确立。

3.有效的数字签名制度。在电子公文的传送过程中可能出现下列问题:(1)假冒,第三方丙有可能假冒甲机关给乙机关发送虚假公文;(2)否认,甲机关可能否认向乙机关发送过公文;(3)伪造,乙机关工作人员可能伪造或修改从甲机关发来的消息,以对自己有利。这些问题要靠数字签名来解决。数字签名在电子公文传送中的应用过程是这样的:公文的发送方将公文文本带入到哈希函数生成一个消息摘要。消息摘要代表着文件的特征,其值将随着文件的变化而变化。也就是说,不同的公文将得到不同的消息摘要。哈希函数对于发送数据的双方都是公开的。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为公文附件和公文一起发送到该公文的接收方。公文的接收方首先从接收到的原始公文中计算出消息摘要,接着再用发送方的公开密钥来对公文的附加的数字签名进行解密。如果两个消息摘要相同,那幺接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始公文的鉴别和不可抵赖性。目前数字签名在电子商务中已得到了广泛的应用,日本等国政府已通过专门的立法对数字签名的法律效力予以确认。在电子公文传送中引入数字签名也是必然的选择,只是我们要从法律上确认数字签名的效力,建立相应的制度规范,努力设法从技术和制度规范入手不断提高安全系数。以数字签名只有相对的安全性来作为反对其应具有法律效力的理由是站不住脚的,因为任何所谓安全保障都是相对的,橡皮图章就经常被不法之徒伪造。

第8篇

 

一、引言

 

从古人挥舞着大刀长枪的战争开始，信息就是军队统帅战胜敌人的要决。但是，保密的需要不仅是战争的专利。互联网的出现，正在不可阻挡的改变着世界上的一切，如果没有制衡力量，在未来的几十年中，可能我们的一言一行都会被监视、被记录、并被分析——这些终于让人们认识到必须把“保密”作为一个独立的学科，再调用一批卓越的科学家和深奥的理论去研究。

 

现代密码术的划时代突破，是威特菲尔德·迪菲(WhitfieldDiffie)和马丁·海尔曼(MartinHellman)有关公开密钥加密系统的构想，这是在1976年发表的。但威特菲尔德·迪菲和马丁·海尔曼提供的MH背包算法于1984年被破译，因而失去了实际意义。真正有生命力的公开密钥加密系统算法是由隆·里维斯特(RonaldL.Rivest)、阿迪·沙米尔(AdiShamir)和雷奥纳德·阿德尔曼(LeonardM.Adlemen)在威特菲尔德·迪菲和马丁·海尔曼的论文的启发下，在1977年发明的，这就是沿用至今的RSA算法。它是第一个既能用于数据加密也能用于数字签名的算法。

 

二、公钥加密算法RSA

 

传统的加密技术都是秘密密钥加密技术，也称单密钥加密技术。在公开密钥加密技术中，加密密钥与解密密钥是不一样的。加密者可以将加密密钥公开，成为公开密钥，而仍将解密密钥保密，作为秘密密钥。下面就要描述RSA加密算法的流程：

 

首先，找出三个数：p、q、r，其中p和q是两个相异的质数，r是与(p-1)(q-1)互质的数。

 

接着，找出e，使得re1mod(p-1)(q-1)。这个e一定存在，因为r与(p-1)(q-1)互质，用辗转相除法就可以得到了。

 

再来，计算n=pq。(n，e)便是publickey。(n，r)就是privatekey。

 

p和q应该被销毁掉(PGP为了用中国的同余理论加快加密运算保留了p和q，不过它们是用IDEA加密过再存放的)

 

加密的过程是，若待加密信息为a，将其看成是一个大整数，假设a=n的话，就将a表成s进位(s<=n，通常取s=2^t)，则每一位数均小于n，然後分段编码。

 

接下来，计算Caemodn，(0<=C

解码的过程是，计算MbrmodC(0<=c

如果第三者进行窃听时，他会得到几个数：m，n(=pq)，b。他如果要解码的话，必须想办法得到r。所以，他必须先对n作质因数分解。如果他能够成功的分解n，得到这两个质数p和q，那么就表明此算法被攻破。一般说来，许多数学中的函数都有“单向性”，这就是说，有许多运算本身并不难，但如果你想把它倒回去，作逆运算，对于RSA来说，用公开密钥加密后，如果想再通过公开密钥解密是很困难的。这个困难性就表现在对n的因式分解上。若n=pq被因式分解，(p-1)(q-1)就可以算出，继而算出解密密钥m。所以RSA算法的基础就是一个假设：对n的因式分解是很困难的。

 

RSA算法在理论上的重大缺陷就是并不能证明分解因数绝对是如此之困难，也许我们日后可以找到一种能够快速分解大数的因数的算法，从而使RSA算法失效。如果有人偶然发现了快速将大数分解因数的方法，并将其保密，则他有可能在一段时间内获得极为巨大的力量。

 

目前RSA被广泛应用于各种安全或认证领域，如web服务器和浏览器信息安全、Email的安全和认证、对远程登录的安全保证和各种电子信用卡系统的核心。

 

与单钥加密方法比较，RSA的缺点就是运算较慢。用RSA方法加密、解密、签名和认证都是一系列求模幂运算组成的。在实际应用中，经常选择一个较小的公钥或者一个组织使用同一个公钥，而组织中不同的人使用不同的n。这些措施使得加密快于解密而认证快于签名。一些快速的算法比如基于快速傅立叶变换的方法可以有效减少计算步骤，但是在实际中这些算法由于太复杂而不能广泛的使用，而且对于一些典型的密钥长度它们可能会更慢。

 

三、RSA算法的安全性

 

若n被因式分解成功，则RSA便被攻破。还不能证明对RSA攻击的难度和分解n的难度相当，但也没有比因式分解n更好的攻击方法。已知n，求得Φ(n)(n的欧拉函数)，则p和q可以求得。因为根据欧拉定理，Φ(n)=(p-1)(q-1)=pq–(p+q)+1。和(p–q)2= (p+q)2-4pq;据此列出方程，求得p和q。

 

另一个攻击RSA的方法是根据Caemodn来计算C1/emodn。这种攻击方式没有一种普遍的实现方法，也不知道是否其难度与对n因式分解相当。但是在一些特殊的情况下，当多个相关的信息用同样的密钥加密时，可能很容易被攻破。

 

为安全起见，对p和q要求：p和q的相差不大;(p-1)和(q-1)有大素数因子;gcd(p-1，q-1)很小，满足这样条件的素数称做安全素数。RSA的出现使得大整数分解因式这一古老的问题再次被重视，近些年来出现的不少比较高级的因数分解方法使“安全素数”的概念也在不停的演化。所以，选择传统上认为是“安全素数”并不一定有效的增加安全性，比较保险的方法就是选择足够大的素数。因为数越大，对其分解因式的难度也就越大!对n和密钥长度的选择取决于用户保密的需要。密钥长度越大，安全性也就越高，但是相应的计算速度也就越慢。由于高速计算机的出现，以前认为已经很具安全性的512位密钥长度已经不再满足人们的需要。

 

RSA的安全性并不能仅靠密钥的长度来保证。在RSA算法中，还有一种值得注意的现象，那就是存在一些n=pq，使得待加密消息经过若干次RSA变换后就会恢复成原文。这不能不说是RSA本身具有的一个缺点，选择密钥时必须注意避免这种数。

 

四、结语

第9篇

    【论文摘要】:虚拟专用网(VPN)技术主要包括数据封装化,隧道协议,防火墙技术,加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对VPN隧道技术的分类提出了一些新的探索。

    引言

    虚拟专用网即VPN(Virtual Private Network)是利用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。

    利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。

    1. 隧道技术

    Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后,立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后,全局IP地址即被删除,恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。

    基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。

    2. 隧道协议

    在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用VPN技术还需要有隧道协议。

    2.1 当前主要的隧道协议以及隧道机制的分类:

    ⑴ L2F(Layer 2 Forwarding)

    L2F是cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器).

    ⑵ PTP(Point to point Tunnelimg protocol)

    PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互连网络传送。

    ⑶ 2TP(Layer 2 Tunneling Protocol)

    该协议是远程访问型VPN今后的标准协议。

    L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外,还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理,称其为第三层隧道,以区分于第二层隧道。

    ⑷ TMP/BAYDVS

    ATMP和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN想适配的软件。

    ⑸ PSEC

    IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:Authmentication Header)和封装化安全净荷(ESP:Encapsnlating Security Paylamd)。

    IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络如INTERNET发送。

    从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类,将出现"四层VPN"、"五层VPN",分类教为冗余。因此,目前出现了其他的隧道机制的分类。

    2.2 改进后的几种隧道机制的分类

    ⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。

    例如同样是以太网的技术,根据实际情况的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对VPN技术选型造成误导。

    ⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。

    隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。

    采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。

    3. 诸种安全与加密技术

    IPVPN技术,由于利用了Internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Internet接入点的安全。为此,IPVPN采用了以下诸种安全与加密技术。[2]

    ⑴ 防火墙技术

    防火墙技术,主要用于抵御来自黑客的攻击。

    ⑵ 加密及防止数据被篡改技术

    加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。

    非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。

    参考文献

    [1] E Rescorla, A Schiffman. The secure hypertext trausfer protocol. Draft-wes-shttp-06[R]. text 1998,6.