基于身份标识的加密技术_张庆胜

基于身份标识的加密技术_张庆胜
基于身份标识的加密技术_张庆胜

s e a r c h

学术研究

张庆胜,程登峰,丁瑶,王磊(航天信息股份有限公司,北京100097)

【摘 要】随着互联网的快速发展,信息安全问题显得日益重要。公钥密码技术能够保证互联网上信息传输的安全,目前PKI技术已获得一些应用,由于其复杂的使用步骤以及繁琐的后台证书管理问题,在某些领域和某些方面其使用受到很大的局限性。IBE技术不采用数字证书的概念,用户使用和后台管理都很方便,特别适合企业和外部用户进行安全信息传输的情况。

【关键词】密码技术;公钥基础设施;基于身份标识的加密

【中图分类号】TP393 【文献标识码】A 【文章编号】1009-8054(2008) 06-0086-03

Identity Based Encryption Technology

ZHANG Qing-sheng, CHEN Deng-feng, DING Yao, WANG Lei

(Aisino Corporation, No. Jia 18, Xing-Shi-Kou Road, Hai Dian Disttrict, Beijing 100097, China)

【Abstract 】With the fast development of Internet, the problem of information security becomes increasingly important.Public Key Cryptography can ensure the security of information transmission on Internet. Now PKI(Public Key Infrastructure) technology acquires some application, however this application is severely restricted in some fields and aspects because of its complicated steps and tedious background some certificate management issues. IBE(Identity Based Encryption) technology adopts no concept of digital certificate, and it is particularly suited to the case of secure informa-tion transmission between enterprises and their external users, and quite convenient for use and management.【Keywords 】cryptography; PKI; IBE

基于身份标识的加密技术

0 引言

随着Internet的迅猛发展,信息安全也越来越受到人们的重视,要真正实现互联网上交易与信息传输的安全,就必须满足机密性、真实性、完整性、不可抵赖性4大要求[1]。公钥密码技术是能够满足以上四大要求的统一技术框架。PKI(Public Key Infrastructure)的中文名称为公钥基础设施,它是一种公钥密码技术,经过了数十年的研究和发展,已在诸多领域获得广泛应用。

目前的网上银行、网上证券以及电子商务等都依赖于

PKI技术。在PKI技术中,由于每个用户需要事先申请数

字证书,用户使用复杂,后台管理也异常繁琐,这样PKI技术在某些领域的应用受到了很大的局限性。

IBE(Identity-Based Encryption)的中文名称为基于身份的加密,也是一种公钥密码技术,它直接利用用户的唯一身份标识作为公钥,不采用数字证书的概念,用户使用和后台管理都很简单,有广泛的应用前景。

1 IBE技术简介

早在1984年,RSA公钥密码技术的发明者之一—Adi Shamir教授就提出了基于身份加密(IBE)的思想[2],但在那时还没有具体方法在实际中实现这一思想,IBE技术成

为密码学界未解决的主要问题之一。直到2001年,基于椭圆曲线密码技术和Weil配对数学理论,斯坦福大学计算机科学技术系的教授Dan Boneh和加州大学戴维斯分院的教授Matt Franklin分别发明了具体可实施的IBE方案[3]。

信息安全与通信保密?2008.6

学术研究

A c a d e 87

IBE技术基于椭圆曲线密码技术和Weil配对的一种二元线性映射性质,这种性质如式(1)所示:

Pair (a ?X ,b ?Y )=Pair (a ?Y ,b ?X ) (1)

对于IBE技术,“?”运算符是椭圆曲线上的点积运算。IBE技术的安全性基于椭圆曲线离散对数问题(ECDLP)的困难性,ECDLP是这样定义的:设E (F q )是定义在有限域F q 上的椭圆曲线,给定曲线上阶为n 的点P ,以及曲线上的点Q ,要找到一个整数l,0≤l≤n -1,使P =lP 。具有二元线性映射性质的有Weil或Tate配对,二元线性映射的思想运用到IBE算法中(见图1),密钥服务器使用随机数发

生器产生一个主密钥s 和椭圆曲线上的点P ,这样,IBE系统的公钥即为P 和s ?P ,将系统公钥分发给所有用户,密钥服务器为每个用户分发一个私钥,该私钥是s 和用户的身份标识进行点积运算得到的,对于用户Bob,分发给他的私钥即为s ?IDBob 。

2 IBE技术和PKI技术比较分析

IBE技术和PKI技术都属于公钥密码技术,在功能上是一样的,都可以进行加解密运算以及签名验证运算。

PKI技术是一种成熟的公钥密码技术,目前已广泛应用于保证开放的互联网环境中数据传输的安全性,诸如网上银行、网上证券、电子商务等;IBE技术是一门较新的公钥密码技术,目前在政府、医疗、银行等领域也有一些成功的案例。

IBE技术和PKI技术最大的不同点在于公钥不同。IBE技术的公钥实例形如:Name=a@b.com,PKI技术的用户公钥实例形如:公钥指数:0x10001;模数:135066410865995227349603216279805969938921475605667027524485143851526510604859543833940287150571909451798207282164471531373680497039641917430464965892742562393410208643832021103729587257623585096431105640735015091875106235946292055636855294752135159528791637732853390610975054433421981115005697723689092756。IBE技术采用标志用户身份的唯一标识,如用户的Email地址、QQ号、手机号等等作为用户的公钥,用户私钥根据其身份标识计算产生;

PKI技术先行产生用户私钥,而后计算产生用户公钥,公钥是一串没有意义的数字,要将其和用户的身份信息进行绑定,因而需要数字证书。对于用户数量较多的情况,繁琐的数字证书管理问题使得PKI技术的使用受到极大的限制,而且用户使用前需要预注册,使用起来比较麻烦。

将IBE技术嵌入到邮件系统中,就是安全电子邮件系统;将IBE技术嵌入到即时通信工具如QQ中,就是安全即时通信工具,这里以安全电子邮件系统为例进一步比较PKI技术和IBE技术的区别。

图2显示了基于PKI技术的安全电子邮件系统,Alice要发送一份安全电子邮件给Bob需要进行6个步骤:

Step1:Alice通知Bob到CA服务器进行注册,自己要发安全电子邮件给对方。

Step2:Bob向CA中心申请数字证书。

Step3:CA中心对Bob进行身份认证,然后签发证书。Step4:Alice从CA服务器查询获得Bob的数字证书,如果未查询到,转到步骤Step1。

Step5:利用Bob数字证书的公钥信息,加密发送给Bob的电子邮件。

Step6:Bob利用自己的私钥进行解密,得到邮件明文。图3显示了基于IBE技术的安全电子邮件系统,Alice要发送一份安全电子邮件给Bob只需要进行4个步骤:

Step1:在Bob完全不知的情况下,Alice即可利用Bob的邮件地址发送一份加密的邮件给Bob。

Step2:Bob首次在自己的电脑上接收安全信息时,他只要点击消息头部的链接以下载IBE系统的客户端软件,安装客户端软件后,自动完成与IBE密钥服务器的连接和注册,申请私钥过程。

Step3:IBE密钥服务器通过安全通道将Bob的私钥发

图1 利用IBE技术进行安全的数

图2 基于PKI技术的安全电子邮件系统

s e a r c h

学术研究

放到Bob本地。

Step4:Bob利用自己的私钥解密,得到邮件的明文信息。IBE技术的优势显而易见,基于IBE技术的安全电子邮件系统具有如下特点:

—不需要安全邮件接收方预注册,因而极大地方便了用户的使用。

—不采用数字证书的概念,避免了繁琐的数字证书管理问题,因而极大地方便了密钥服务器的管理。

—邮件下载到本地,即使脱线的情况也能查看安全电子邮件的内容,这是针对基于Web的安全电子邮件而言。

—可以定制系统安全通信的规则,以实现灵活的密

钥更新机制。

—低廉的系统维护费用。

3 结语

随着Internet的迅猛发展,网络安全问题显得越来越重要,公钥密钥技术能保证开放互联网环境中数据传输的安全性。由于其使用复杂以及繁琐的数字证书管理问题,PKI技术在某些领域的实际应用中受到很大的局限性;由于不采用数字证书的概念,IBE技术就像不需要加密那样简便易用,后台管理简单,使得它非常适合企业和大量外部用户进行安全数据通信的情况。

参考文献

[1] 张雪琳,马跃. PKI支撑网络安全[DB/OL]. 中国计

算机报,http://media.ccidnet.com/media/ciw/1116/d1301.htm,2002-05-13.

[2] Shamir A. Identity-based cryptosystems and

signature schemes[C]. Advances in Cryptology-Crypto`84,LNS 196,Springer-Verlag,1984:47~53.

[3] Boneh D,Franklin M. Identity-Based Encryption

from the Weil Pairing[C]. Advances in Cryptology-Crypto′2001,LNS 2139,Springer-Verlae,2001:

360~363. 

隐秘性的虚拟蜜网的一种方法。通过采用硬件虚拟机技术,新的虚拟机与Hypervisor或其他宿主机有了更好的隔离和隐藏,规避了Xen超虚拟化在防探查上的一些弱点。这种方法显著地提高了构建虚拟蜜网的隐秘性,同时,由于可以采用更广泛的操作系统,也提高了Xen在虚拟蜜网应用中的适应性。当然,由于X86体系结构自身的复杂性,我们无法构造完全无法识别的虚拟机,文中提出的方法不可能完全解决这一问题。而且,与其他虚拟蜜网一样,由Xen的未知漏洞带来的可能隐患依然存在。

参考文献

[1] The Honeynet Project:Know Your Enemy:

Honeynets[DB/OL]. http://www.honeynet.org/pa-pers/honeynet/,2005.

[2] The Honeynet Project:Know Your Enemy:

Defining Virtual Honeynet[DB/OL]. http://www.honeynet.org/papers/virtual/,2003.

[3] Quynh N A,Takefuji Y. Towards an Invisible

Honeypot Monitoring System[C]. ACISP,2006.[4] Barham P,Dragovic B,Fraser K,et al. Xen and

the Art of Virtualization[C]. Proceedings of the ACMSymposium on Opearating Systems Principles,2003.[5] Dong Y,Li S,et al. Extending Xen with Intel

Virtualization Technology[DB/OL]. http://developer.

intel.com/technology/itj/2006/v10i3/3-xen/1-abstract.htm,2006. 

(上接第85页)

图3 基于IBE技术的安全电子邮件系统

基于Web网络安全和统一身份认证中的数据加密技术

龙源期刊网 https://www.360docs.net/doc/738313015.html, 基于Web网络安全和统一身份认证中的数据加密技术 作者:符浩陈灵科郭鑫 来源:《软件导刊》2011年第03期 摘要:随着计算机技术的飞速发展和网络的快速崛起和广泛应用,致使用户在网络应用 中不得不重复地进行身份认证,过程较为繁琐,耗时很大,而且同时存在着用户安全信息泄露的危险。显然,这时用户的数据信息安全就受到威胁。基于Web的网络安全和统一的身份认证系统就是致力解决类似的问题。主要探讨的是当今流行的几种加密算法以及它们在实现网络安全中的具体应用,同时也介绍了在基于Web的网络安全与统一身份认证系统中的数据加密技术。 关键词:信息安全;数据加密;传输安全;加密技术;身份认证 中图分类号:TP393.08 文献标识码:A 文章编号:1672-7800(2011)03-0157- 基金项目:湖南省大学生研究性学习和创新性实验计划项目(JSU-CX-2010-29) 作者简介:符浩(1989-),男,四川达州人,吉首大学信息管理与工程学院本科生,研究方向为信息管理与信息系统、网络安全与统一身份认证系统;陈灵科(1989-),男,湖南衡阳人,吉首大学信息管理与工程学院本科生,研究方向为信息管理与信息系统;郭鑫(1984-),男,湖南张家界人,硕士,吉首大学信息管理与工程学院助教,研究方向为数据挖掘和并行计算。 0 引言 数据加密技术(Data Encryption Technology)在网络应用中是为了提高数据的存储安全、传 输安全,防止数据外泄,保障网络安全的一种十分重要也是十分有效的技术手段。数据安全,不仅要保障数据的传输安全,同时也要保障数据的存储安全。 数据加密技术将信息或称明文经过加密钥匙(Encryption key)及加密函数转换,变成加密后的不明显的信息即密文,而接收方则将此密文经过解密函数、解密钥匙(Decryption key)

网络身份认证技术的应用及其发展

网络身份认证技术的应用及其发展 随着全球化经济模式的出现以及科学技术的高速发展,网络技术应用越来越广泛。随着网民数量越来越多,网络越来越普及,出现网络安全问题也随之增多,怎样保证网民个人信息安全和保证网络数据的机密性、完整性等,是我们必须要重点解决的问题。而网络技术的不断发展进步,也让网络安全受到更多的关注,在安全系统中重点技术就是使用身份认证技术。本文主要分析了几种身份认证的技术和方式,目的在于让广大读者了解网络安全系统中的身份认证技术应用及其发展。 如今全球信息化的速度越来越快,全球的信息产业越来越重视信息安全,特别是现在信息网络化正是发达的时期,信息产业的发展离不开网络安全,如何在网络环境中建立起一个完善的安全系统,身份认证技术就成为了在网络安全中首先要解决的问题。 身份认证技术就是通过计算机网络来确定使用者的身份,重点是为了解决网络双方的身份信息是否真实的问题,使通讯双方在进行各种信息交流可以在一个安全的环境中。在信息安全里,身份认证技术在整个安全系统中是重点,也是信息安全系统首要“看门人”。因此,基本的安全服务就是身份认证,另外的安全服务也都需要建立在身份认证的基础上,使身份认证系统具有了十分重要的地位,但也最容易受到攻击。

一、身份认证的含义 身份认证技术简单意义上来讲就是对通讯双方进行真实身份鉴别,也是对网络信息资源安全进行保护的第一个防火墙,目的就是验证辨识网络信息使用用户的身份是否具有真实性和合法性,然后给予授权才能访问系统资源,不能通过识别用户就会阻止其访问。由此可知,身份认证在安全管理中是个重点,同时也是最基础的安全服务。 (一)身份认证技术的应用 信息安全中身份认证是最重要的一门技术,也是在网络安全里的第一道防线,可以很好的识别出访问的用户是否具有访问的权限,允许通过识别的用户进行访问操作,并进行一定的监督,防止出现不正当的操作情况,同时也是保护计算机不受病毒和黑客入侵的一个重要方法。使用者在进入网络安全系统的时候,先需要让身份认证系统识别出自己的身份,通过了身份认证系统识别以后,再依据使用者的权限、身份级别来决定可以访问哪些系统资源和可以进行哪些系统操作权限。与此同时,进入安全系统时,检测系统需要进行登记,包括记录、报警等,对用户的行为和请求进行记录,并识别出是否入侵了安全系统。 (二)基于网络的身份认证 身份认证系统在安全系统中非常重要,虽然它是最基础的安全服务,但是另外的安全服务都需要它才能完成,只要身份认证系统受到攻击入侵,就会导致系统里的安全措施都无法产生作用,而黑客入侵的首要目标一般都是先攻破身份认证系统。但是因为网络连接具有复

基于身份的抗密钥泄露加密系统的设计与实现

收稿日期:2011-06-20;修回日期:2011-09-25基金项目:国家自然科学基金项目(61070170) 作者简介:王婷婷(1990-),女,研究方向为网络安全;朱艳琴,教授,研究方向为计算机网络、信息安全技术、应用密码学等。 基于身份的抗密钥泄露加密系统的设计与实现 王婷婷,朱艳琴 (苏州大学计算机科学与技术学院,江苏苏州215006) 摘 要:1984年Shamir 提出的基于身份的加密方案简化了公钥生成和分发的工作,解放了公钥证书,但该方案存在密钥托 管、公钥撤销、执行效率等问题。针对这些问题,在VC++6.0的环境下,有效利用PBC 工程中定义的大数结构,在不依赖随机神谕模型的基础上,设计并实现了抗密钥泄露IBE 加密系统。与其他加密系统相比,该系统计算效率更为高效,且支持接收者匿名。由于该加密系统拥有较好的防御入侵能力,在网络安全通信、web 应用服务、电子商务、电子政务等方面存在着良好的应用前景。 关键词:基于身份的加密;PBC 工程;抗密钥泄露IBE 中图分类号:TP309 文献标识码:A 文章编号:1673-629X (2012)02-0185-04 Design and Realization of Leakage -Resilient Identity -Based Public Key Encryption System WANG Ting-ting ,ZHU Yan-qin (School of Computer Science and Technology ,Soochow University ,Suzhou 215006,China ) Abstract :1984,Shamir proposed an identity-based encryption scheme ,which simplifies the work of generating and distributing public key.So don ’t need public key certificate any more.However ,there are some problems like key escrow program ,the public key revoca-tion ,the efficiency and other issues.To solve these problems ,in the environment of VC++6.0,without relying on the random oracle model ,design and realize the leakage-resilient system based on the structure of large numbers defined in PBC project.Compared to the other encryption systems ,it calculates more efficiently and allows anonymous receiver.Since the encryption system has a superior ability to resist invasion ,there is a good prospect of application in the field of safe network communications ,web application service ,electronic commerce ,electronic government affair and so on. Key words :identity-based encryption ;pairing-based cryptography ;leakage-resilient identity-based encryption 引 言 1984年Shamir 提出了基于身份的密码系统的思想 [1] 。在这种密码系统中,用户的公钥是用户的身份信息, 如e-mail 地址、IP 地址和电话号码等。用户的私钥是由私钥生成中心(private key generators ,PKG )产生的。因为基于身份的密码系统不需要数字证书,所以它避免了传统公钥密码系统建立和管理公钥基础设施(public key infrastructure , PKI )的困难。文中基于IBE 基本思想设计了一个“基于身份的抗密钥泄露加密系统”,该系统并不需要随机神谕模型,其核心算法是基于素数阶群和高效双线性映射函数实现的,操作的基本单位是大数点对,同时双线性映射函数在进行大数映射操作时提供较低的时间复杂度 和较大的数据吞吐量。因此,该加密系统具有较高的计算效率。另外,整个加解密过程仅需要常数次的群运算,较已有的同类算法 [2] ,用户方私钥以及用于加解 密的密钥生成器(PKG )端所需的公共参数的个数更少,长度更短。同B.Waters 在2005年欧密会上所设计方案 [3] 相比,本系统只需要5个群元素和1个hash 函数构成PKG 的公共参数,而B.Waters 方案需N +4个群元素,其中N 表示用户ID 所需比特数。同时,系统是接收方匿名的,即窃听者很难分辨哪个标识是用来生成一段特定的密文。这一设计也大大提高了系统的安全性。 1 预备知识 1.1 双线性映射 假设G 和是两个阶为p 的循环乘法群, g 是G 的一个生成元,假设G 和的离散对数问题是困难的。如果映射e :G ?G 具有如下性质,则该映射是双线性映射。 第22卷第2期2012年2月 计算机技术与发展 COMPUTER TECHNOLOGY AND DEVELOPMENT Vol.22No.2Feb.2012

探析电子商务中的信息加密和身份认证的过程

探析电子商务中的信息加密和身份认证的过程 一、引言 电子商务指的是利用简单、决捷、低成本的电子通讯方式,买卖双方不见面地进行各种商贸活动。目前电子商务工程正在全国迅速发展,实现电子商务的关键是要保证商务活动过程中系统的安全性。电子商务的安全是通过使用加密手段来达到的,非对称密钥加密技术(公开密钥加密技术)是电子商务系统中主要的加密技术。CA体系为用户的公钥签发证书,以实现公钥的分发并证明其有效性。本文深入研究了CA安全技术,分析了CA安全技术实现的主要过程和原理。 二、CA 基本安全技术 CA就是认证中心(Certificate Authority),它是提供身份验证的第三方机构, 认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定 (CPS:CertificationPracticeStatement)来实施服务操作。例如,持卡人要与商家通信,持卡人从公开媒体上获得了商家的公开密钥,但持卡人无法确定商家不是冒充的(有信誉),于是持卡人请求CA对商家认证,CA对商家进行调查、验证和鉴别后,将包含商家PublicKey(公钥)的证书传给持卡人。同样,商家也可对持卡人进行。证书一般包含拥有者的标识名称和公钥,并且由CA进行过数字签名。 1.数字信封 数字信封技术结合了秘密密钥加密技术和公开密钥加密技术的优点,可克服秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的问题,使用两个层次的加密来获得公开密钥技术的灵活性和秘密密钥技术的高效性,保证信息的安全性。数字信封的具体实现步骤如下: (1)当发信方需要发送信息时,首先生成一个对称密钥,用该对称密钥加密要发送的报文。 (2)发信方用收信方的公钥加密上述对称密钥,生成数字信封。 (3)发信方将第一步和第二步的结果传给收信方。 (4)收信方使用自己的私钥解密数字信封,得到被加密的对称密钥。 (5)收信方用得到的对称密钥解密被发信方加密的报文,得到真正的报文。 数字信封技术在外层使用公开密钥加密技术,享受到公开密钥技术的灵活性;由于内层的对称密钥长度通常较短,从而使得公开密钥加密的相对低效率被限制在最低限度;而且由于可以在每次传送中使用不同的对称密钥,系统有了额外的安全保证。 2.数字签名 数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。使用公开密钥算法是实现数字签名的主要技术。使用公开密钥算法实现数字签名技术,类似于公开密钥加密技术。它有两个密钥:一个是

信息安全-身份认证技术与应用

信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切

信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。

身份认证技术的发展与展望

身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。

将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问

基于身份标识的加密技术_张庆胜

s e a r c h 学术研究 张庆胜,程登峰,丁瑶,王磊(航天信息股份有限公司,北京100097) 【摘 要】随着互联网的快速发展,信息安全问题显得日益重要。公钥密码技术能够保证互联网上信息传输的安全,目前PKI技术已获得一些应用,由于其复杂的使用步骤以及繁琐的后台证书管理问题,在某些领域和某些方面其使用受到很大的局限性。IBE技术不采用数字证书的概念,用户使用和后台管理都很方便,特别适合企业和外部用户进行安全信息传输的情况。 【关键词】密码技术;公钥基础设施;基于身份标识的加密 【中图分类号】TP393 【文献标识码】A 【文章编号】1009-8054(2008) 06-0086-03 Identity Based Encryption Technology ZHANG Qing-sheng, CHEN Deng-feng, DING Yao, WANG Lei (Aisino Corporation, No. Jia 18, Xing-Shi-Kou Road, Hai Dian Disttrict, Beijing 100097, China) 【Abstract 】With the fast development of Internet, the problem of information security becomes increasingly important.Public Key Cryptography can ensure the security of information transmission on Internet. Now PKI(Public Key Infrastructure) technology acquires some application, however this application is severely restricted in some fields and aspects because of its complicated steps and tedious background some certificate management issues. IBE(Identity Based Encryption) technology adopts no concept of digital certificate, and it is particularly suited to the case of secure informa-tion transmission between enterprises and their external users, and quite convenient for use and management.【Keywords 】cryptography; PKI; IBE 基于身份标识的加密技术 0 引言 随着Internet的迅猛发展,信息安全也越来越受到人们的重视,要真正实现互联网上交易与信息传输的安全,就必须满足机密性、真实性、完整性、不可抵赖性4大要求[1]。公钥密码技术是能够满足以上四大要求的统一技术框架。PKI(Public Key Infrastructure)的中文名称为公钥基础设施,它是一种公钥密码技术,经过了数十年的研究和发展,已在诸多领域获得广泛应用。 目前的网上银行、网上证券以及电子商务等都依赖于 PKI技术。在PKI技术中,由于每个用户需要事先申请数 字证书,用户使用复杂,后台管理也异常繁琐,这样PKI技术在某些领域的应用受到了很大的局限性。 IBE(Identity-Based Encryption)的中文名称为基于身份的加密,也是一种公钥密码技术,它直接利用用户的唯一身份标识作为公钥,不采用数字证书的概念,用户使用和后台管理都很简单,有广泛的应用前景。 1 IBE技术简介 早在1984年,RSA公钥密码技术的发明者之一—Adi Shamir教授就提出了基于身份加密(IBE)的思想[2],但在那时还没有具体方法在实际中实现这一思想,IBE技术成 为密码学界未解决的主要问题之一。直到2001年,基于椭圆曲线密码技术和Weil配对数学理论,斯坦福大学计算机科学技术系的教授Dan Boneh和加州大学戴维斯分院的教授Matt Franklin分别发明了具体可实施的IBE方案[3]。

改进的格上基于身份的全同态加密方法与制作流程

本技术公开了一种改进的格上基于身份的全同态加密方法。该方法按照以下步骤实施:首先利用一种新型陷门函数与对偶LWE算法相结合,构造一个改进的标准模型下格上基于身份的加密方案,然后利用特征向量的思想将该方案转化为一个改进的标准模型下格上基于身份的全同态加密方案。本技术所公开的方法消除了基于身份全同态加密运算密钥的问题,且所生成的格的维数更低,具有更高的实际应用可行性。 权利要求书 1.一种改进的格上基于身份的全同态加密方法,其特征在于采用两层结构设计:首先将新型陷门函数与对偶LWE算法相结合,构造一个改进的标准模型下格上基于身份的加密方案iIBE,然后利用特征向量方法将iIBE转化为标准模型下格上基于身份的全同态加密方案IBFHE;IBFHE方案包括私钥生成中心,云服务方,消息发送方和消息接收方,它们之间采用双向通信; 所述改进的格上基于身份的全同态加密方法具体实施步骤是: 首先构造标准模型下的格上基于身份的加密方案iIBE: iIBE方案需要以下基本参数:均匀随机矩阵和其陷门其中n是安全参数,m=O(n log q),w =nk,模数q=q(n);构造一个公开矩阵其中In是n×n单位矩阵,FRD编码函数H1: 系统建立算法iIBE-Setup(1n):选取均匀随机矩阵选取n维均匀随机向量运行陷门生成算法TrapGen(1n,1m,q,H),其中为随机的可逆矩阵;输出矩阵和格Λ⊥(A)的陷门矩阵输出MPK=(A,u),MSK=R; 用户密钥提取算法iIBE-Extract(MPK,MSK,id):利用FRD编码函数H1:将用户身份id映射为一个可逆矩阵运行原像采样算法SampleL(A,Hid·G,R,u,σ),输出用户密钥e,满足Aide=u,其中

WLAN 身份验证和数据加密白皮书

WLAN身份验证和数据加密白皮书 一、概述 近年来随着WIFI终端的不断普及,WLAN应用逐渐融入人们的生活,并成为人们即时获取信息的重要途径之一。由于WLAN采用具有空中开放特性的无线电波作为数据通信媒介,在没有采取必要措施的情况下,任何用户均可接入无线网络、使用网络资源或者窥探未经保护的数据。因此,在WLAN应用中必须对传输链路采取适当的加密保护手段,以确保通信安全。由此业界各厂商和相关组织相继开发出各种认证和加密方法,本文仅介绍下列在WLAN中普遍采用的认证加密方式。 z OPEN+WEP z SHARED+WEP z IEEE802.1x+WEP z WPA-PSK(TKIP or CCMP) z WPA2-PSK(TKIP or CCMP) z WPA(TKIP or CCMP) z WPA2(TKIP or CCMP) 二、OPEN+WEP OPEN+WEP采用空认证和WEP加密,无线终端无需经过验证,即可与相应的AP进行关联。具体过程如下:申请者首先发送一个认证请求到AP,如果AP设置了MAC地址过滤功能,则AP对申请者MAC地址进行核实,否则AP直接通过认证请求,认证成功后申请者会向AP发送关联请求,AP回应关联应答,双方建立关联,然后就可以传递数据了。

OPEN模式关联过程 该模式只对传输数据进行WEP加密,由于目前使用的无线网卡在硬件上均支持WEP 加密,因此该模式兼容性较强。 WEP 是IEEE 802.11 标准最初指定的加密算法,既可部署用于认证,也可用于加密。WEP密钥(为专用加密密钥,简称口令)按长度可分为40位和104位两种,其中在40位口令长度的情况下,需要配置5个ASCII字符(或者10个十六进制字符);在104位口令长度的情况下,需要配置13个ASCII字符(或者26个十六进制字符)。 在WEP中用来保护数据的RC4加密算法(cipher)属于一种对称性(密钥)流加密算法(stream cipher)。其加密过程需要将初始向量(IV)和口令串接在一起组成用于加密数据包的密钥,其中每个数据包需要选择一个新的IV,但是口令保持不变。 WEP存在严重的安全隐患,因为WEP口令在进行数据传输时是保持不变的,改变的是24位长的IV值,虽然IV有24 位,但IV周期数不会超过16777216(224),如恶意攻击者在WEP密钥不更新的情况下,连续监听不超过16777216个包就可以侦测到重复的IV值了,这样就可以通过暴力破解获得WEP 密钥,从而对无线网络产生安全威胁。另外口令(40位或104位)也存在同样的问题,容易被黑客使用数据捕获与分析软件攻破。 三、SHARED+WEP SHARED+WEP采用共享密钥认证和WEP加密,与OPEN+WEP方式相比,只是用户关联过程不同,加密过程完全一致。 在SHARED+WEP方式中,无线终端与相应的AP进行关联时,需提供双方事先约定好的WEP口令,只有在双方的WEP相匹配的情况下,才能关联成功。 具体过程如下:在AP收到认证请求后,AP会随机产生一串字符(challenge值)发送给申请者,申请者采用自己的WEP口令加密该字符串后发回给AP,AP收到后会进行解密,并对解密后的字符串和最初给申请者的字符串进行比较,如果内容准确无误则允许其做后面的关联操作,如果内容不相符,那么将不会允许其接入。

《网络安全与管理(第二版)》 网络安全试题4

网络安全试题 一.单项选择题(每题1分,共50分) 1.在以下人为的恶意攻击行为中,属于主动攻击的是() A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是() A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是() A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是() A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是() A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较() A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高,对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作 为密码的长度?" () A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有:() A.IP欺骗 B.解密 C.窃取口令 D.发送病毒

9.防止用户被冒名所欺骗的方法是:() A.对信息源发方进行身份验证 B.进行数据加密 C.对访问网络的流量进行过滤和保护 D.采用防火墙 10.屏蔽路由器型防火墙采用的技术是基于:() A.数据包过滤技术 B.应用网关技术 C.代理服务技术 D.三种技术的结合 11.以下关于防火墙的设计原则说法正确的是:() A.保持设计的简单性 B.不单单要提供防火墙的功能,还要尽量使用较大的组件 C.保留尽可能多的服务和守护进程,从而能提供更多的网络服务 D.一套防火墙就可以保护全部的网络 12.SSL指的是:() A.加密认证协议 B.安全套接层协议 C.授权认证协议 D.安全通道协议 13.CA指的是:() A.证书授权 B.加密认证 C.虚拟专用网 D.安全套接层 14.在安全审计的风险评估阶段,通常是按什么顺序来进行的:() A.侦查阶段、渗透阶段、控制阶段 B.渗透阶段、侦查阶段、控制阶段 C.控制阶段、侦查阶段、渗透阶段 D.侦查阶段、控制阶段、渗透阶段 15.以下哪一项不属于入侵检测系统的功能:() A.监视网络上的通信数据流 B.捕捉可疑的网络活动 C.提供安全审计报告 D.过滤非法的数据包 16.入侵检测系统的第一步是:() A.信号分析 B.信息收集 C.数据包过滤 D.数据包检查 17.以下哪一项不是入侵检测系统利用的信息:() A.系统和网络日志文件 B.目录和文件中的不期望的改变 C.数据包头信息 D.程序执行中的不期望行为 18.入侵检测系统在进行信号分析时,一般通过三种常用的技术手段,以下哪一种不属于通常的三种技术手段:()

XX身份认证系统技术方案

身份认证系统技术方案

目录

1. 概述 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 身份认证系统用户认证需求描述 在*****业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对***系统发展的促进作用,将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。 整个系统的逻辑结构如图1所示: 图1:系统逻辑结构示意图 如图1示,整个系统涉及了应用服务器、证书服务器以及相应的客户端。

系统运作流程简述如下: 客户端访问应用服务器,应用服务器向认证服务器发出认证请求; 认证服务器完成对用户身份的认证并将与该用户相对应的认证信息 返回相应的应用服务器; 用户在通过认证之后获得在应用服务器获得相应的授权,从而可以 对应用系统进行相应的访问。 所提交的认证系统在满足上述流程之外需要提供应用开发接口,满足与应用服务器之间的交互。这是将认证系统集成到整个身份认证系统的基础条件,使得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性,应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意: 认证服务器的用户信息需要依据数据库服务器中的用户信息为基 础; 对于客户端的身份认证最好采用硬件方式; 客户端通过广域网连接到认证服务器,要求认证服务器是能够面向 广域网用户的; 客户端数量可以按250用户计算; 提供认证系统的安全模式说明,详细介绍如何确保系统的安全; 系统对认证系统的操作系统平台无特殊要求。 身份认证系统认证解决之道 根据身份认证系统的设计原则,系统安全需要解决如下几个方面的问题:数据的保密性。包括数据静态存储的保密性和数据传输过程中的保 密性; 有效的身份认证和权限控制。系统中的各个授权人员具有其特定级 别的权限,可以进行该权限的操作,无法越权操作;操作者事后无 法否认其进行的操作;未授权人员无法进入系统。 我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身

数据加密与认证技术

数据加密与认证技术 摘要:数据加密又称密码学,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文,它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用,可分为对称加密技术和非对称加密技术。而认证技术则主要可从消息认证和身份认证两方面进行概述。 数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。可分为对称加密技术和非对称加密技术。而认证技术分为很多方面,主要可从消息认证和身份认证两方面进行概述。 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是

控制加密及解密过程的指令。算法是一组规则,规定如何进行加密和解密。 因此[1] 加密的安全性不仅取决于加密算法本身,密钥管理的安全性更是重要。因为加密和解密都使用同一个密钥,如何把密钥安全地传递到解密者手上就成了必须要解决的问题。 在对称加密中,数据发送方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。接收方收到密文后,若想解读原文,则需要使用加密密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密。 在对称加密算法中常用的算法有:DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK、AES等。 对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。 对称加密算法的缺点是在数据传送前,发送方和接收方必须商定好秘钥,然后使双方都能保存好秘钥。其次如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。

强身份认证相关技术及应用

强身份认证相关技术及应用 一、应用系统现存问题 问题1:身份认证问题 弱口令问题:存在各种弱口令、口令生命周期等各种安全问题,安全性低 不可追究性:无法也不可能真实实现将用户与其本人真实身份一一对应起来 易被监听窃取:采用明文传输,容易被截获破解并冒用,降低了系统的安全性 问题2:权限管理问题 权限:如何根据职能与工作需要为信息网上的每个用户合理的划分使用范围与访问权限 角色:多个系统,多种应用多个角色群体如何合理的分配、设定、并与应用系统有机的结合 问题3:访问控制问题 ①不同的信息应用采用了不同的授权模式,各系统的授权信息只在本系统内有 效,不能共享 ②无法在非安全的、分布式环境中使用 ③难以满足各部门对跨地区、跨部门的信息共享和综合利用的需求 二

三、技术方案 双因子认证和单点登录(SSO,Single Sign-On) 现有系统和新建系统单点登录方案 四、强身份认证技术 强身份认证技术包括:静态口令识别、智能卡识别、生物识别 优点: 1、双因子(2-factor)或者多因子认证,有效防止冒充,增强可靠性; 2、避免每种认证的缺陷,综合多种认证的优点; 五、强身份认证产品 1、强身份认证产品能解决哪些问题 ? 应用于企业应用系统的安全身份认证(防止口令密码被猜测或复制) ? 用于增强公网访问应用系统的安全性(从互联网访问的应用系统) ? 用于增强应用系统数据传输安全(用户可使用安全链接访问应用系统) ? 用于提升关键操作的安全性(用户关键操作要求额外认证) 2、强身份认证功能 ? CA认证(数字证书/USB智能卡) ? 动态令牌认证 ? 指纹认证 ? 手机短信动态密码认证 3、单点登录功能 ? 插件方式 ? 代理方式 ? 反向代理方式 ? 多种主流产品的单点登录适配器 UAP统一身份认证及访问控制产品 目标客户群 ? 需要整合多个应用系统方便用户访问的单位与公司

身份认证技术

身份认证技术 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

身份认证技术 摘??要:当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的 人访问,所有未被授权的人无法访问到这些数据。身份认证技术是 在计算机网络中确认操作者身份的过程而产生的解决方法。计算机 网络世界中一切信息包括用户的身份信息都是用一组特定的数据来 表示的,计算机只能识别用户的数字身份,所有对用户的授权也是 针对用户数字身份的授权。如何保证以数字身份进行操作的操作者 就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与 数字身份相对应,身份认证技术就是为了解决这个问题,作为防护 网络资产的第一道关口,身份认证有着举足轻重的作用。通过认 识,掌握身份认证技术,使自己的网络信息资源得到更好的保障。 本文主要介绍了身份认证技术的概念、常见的几种身份认证方式及 身份认证技术的应用。 关键词:身份认证技术身份认证方法身份认证方式认证应用身份识别 正文: 一、身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。

身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。 二、身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种: 1) 根据你所知道的信息来证明你的身份 (你知道什么); 2) 根据你所拥有的东西来证明你的身份 (你有什么);

相关文档
最新文档