工程造价廉政保密措施(共8篇)
1.工程造价廉政保密措施 篇一
精选 工程 方案
文件编号:0 2020 年 年 6 6月
工程建设廉政风险点及防范措施
版本号:
A A
修改号:1
页
次:
1.0
编
制:
会
签:
审
核:
批
准 :
发布日期:
实施日期:
方案大全
方案整理
工程建设分包管理廉政风险点防范措施
一、分包管理工作存在的廉洁风险点及目前主要问题:
1、默许、纵容施工单位偷工减料、使用不合格的材料、设备;默许、纵容施工单位在施工中不执行工艺要求,粗制滥造。
2、在工程量计量方面有意偏袒施工单位,多计量,随意增加现场签证,改变设计,从而使施工单位可以重新报价,获取利益。
3、对施工方吃拿卡要,索取回扣,介绍劳务队伍,施工及安装材料等以权谋私行为。
二、分包管理工作“不能腐”体质机制做法及成效:
1、建立规范化的合同(施工)管理体系,严格执行三级验收制度,规范验收程序,特别是隐蔽工程验收程序,杜绝不合格产品及工艺,不断提高工程质量。
2、规范计量及签证程序,严格执行管理程序、审批程序,加强工程审计,规范开展计量及签证工作。
3、加强政治思想教育、法制教育,提高员工素质,规范执行工程安全、质量考核制度,规范、及时处理违约纠纷,同时加强对管理人员的监督杜绝吃拿卡要行为,严禁以
权谋私。
三、下一步工作建议:
加大宣传力度,充分利用微信群平台、廉政简报和宣传栏等传播渠道,宣传廉洁教育和廉政文化有关知识,发挥宣传工作在传播廉政教育中的积极作用,形成良好的廉政教育氛围。积极开展廉政文化活动,强化工程部、监理单位、总包单位、分包单位廉政办公。同时抓好过程监督,工地设置举报信箱,对于群众举报,进场调查核实,并按公司规定进行处理。同时加强业务能力的培养和考核,形成有效预防机制。
2.保密措施 篇二
一、加强组织领导,成立安全保密管理领导小组,制定信息安全和保密管理相关制度,对保密工作的审查范围、原则、程序、责任追究等各个环节作明确规定。各部门负责人为本部门的保密综合管理工作负责人和保密工作第一责任人。加强对涉密信息的保存、使用和管理。
二、按照“谁主管、谁使用、谁负责”的原则,各相关涉密人员均需签署《保密协议》,明确各部门和人员的保密责任、义务以及责任追究等事项。同时做好各涉密人员的保密教育和管理工作,加强保密工作的重要性,提高涉密人员的保密工作素质,三、明确保密工作重点。近期对我院涉密人员及涉密设备逐一进行检查,进行登记编号,张贴保密管理责任卡。根据工作需要,限定每个室(队)保留一台上外网的计算机,其余计算机只能连接内网。严格落实“上网电脑不涉密、涉密电脑不上网”、专人专用等要求,确保我院保密工作不出问题。
四、涉密设备使用的具体保密管理措施如下:
1、对所有涉密设备实行物理隔离、专属内网并进行登记备案、实名编号且固定IP网络地址,“一人一机、一号一址”,不定期核查。
2、封闭涉密计算机USB数据存储端口,禁止使用存储载体进行数据拷贝交换,禁止使用具有(有线/无线)联网功能的硬件模块,不定期核查。
3、因汇报工作或图文打印需要进行拷贝的数据文件,或因业务往来需对外产生交换数据的必要情况,需预先进行将其数据处理为不可编辑的图形文件。如文本文档、CAD等数据均需转为PDF、JPG等不可再编辑的数据格式才可进行拷贝。且需由室负责人同意并登记后方可进行发送。
4、设计及相关人员不得擅自将设计成果、中间产品、原始地形等相关数据擅自拷给外来及相关人员,由于工作的正常需要必须外拷的,应报分管院领导同意,由部门负责人使用专用的CAD加密软件进行加密处理后方可执行,并进行登记。
5、对向外发送文件的电脑进行部署管理软件,对来往的文件资料进行监控记录,不定期进行检测、核实与登记发送的资料是否相符。如有不符,则按相关保密规章制度进行处理。
6、设计人员完成所承担的设计项目后,应及时将电子文件形式的设计上传到服务器进行存档,确认无误后,删除所有计算机上的设计成果文件,以防设计成果被盗。除上述电子文件形式的设计成果外,设计人员还应将设计过程中的中间成果以及与业主等往来的有关中间临时文件收集汇总后统一存放到服务器存档。
7、不得安装、运行、使用与工作无关的软件;严格保护好自己的登陆密码并定期更换,防止口令被盗。不得擅自修改、删除计算机系统的保密防护措施和系统设定,严禁降低计算机密级或更改工作用途。
8、涉密计算机应在指定办公场所使用,未经批准,不得变更办公场所,甚至带出办公场所;涉密计算机及相关设备的维修如需向外维修时,应提前拆除涉密信息存储部件,严禁修理人员擅自复制或读取涉密信息;涉密计算机及相关设备不再使用或处理涉密信息时及时将涉密信息存储部件拆除并销毁。
9、禁止非本院人员、实习生及试用期员工擅自进入我院内网。
3.保密管理措施 篇三
(一)未经原确定密级的单位确认或者上级机关批准,不得复制、摘转;
(二)收发、传递和外出携带,必须按照国家规定程序办理手续后由保密员或集团公司有关领导指定的人员负责,并采取必要的安全措施;
(三)必须在保密措施完善的设备或场地中保存。
集团公司及所属企业在对外经济往来与合作中需提供的文件、资料,内容如涉及国家秘密的,应按有关法律和法规规定程序办理。
第十三条 属于集团公司企业秘密范围的文件、资料和其它物品的制作、收发、传递、使用、复制、保存和销毁,应按国家保密工作有关规定和本办法要求处理:
(一)未经集团公司有关领导批准,不得复制、摘转;
(二)收发、传递和外出携带,由保密员或集团公司领导指定人员负责,并采取必要的安全措施;
(三)必须在保密措施完善的设备或场地中保存。
集团公司及所属企业在对外经济往来与合作中需提供的文件、资料,内容如涉及集团公司企业秘密的,应按本办法规定程序报请集团公司有关领导或所属企业领导批准。
第十四条 举行涉及国家秘密或集团公司企业秘密的会议和进行其它具有保密要求的活动,应采取保密措施,并对参加人员进行保密教育,提出具体要求,其正式会议记录由集团公司保密室保存。
第十五条 集团公司根据需要设专职保密员(机要秘书),负责保密的具体工作。所属企业也必须按规定配置专职或兼职保密员。
4.安全管理及保密措施 篇四
这些信息安全保密问题的主要有:一是信息失窃、泄漏、损坏或丢失等,这是最主要的信息安全保密问题;二是网络被攻击,导致网络瘫痪、阻塞,用户无法正常上网;三是微机被攻击,导致微机中病毒、被控制、瘫痪,或者是微机上的信息丢失、损坏等;四是存储介质感染病毒或信息损害、丢失等。
按照上面的总结,在日常工作中要做好计算机系统信息安全保密工作,必须从三个方面下功夫。
第一个是技术方面,主要包括网络安全系统的建设和应用、微机安全保密技术的实现与应用两个方面。就网络安全系统来讲,对于一个组织单位,局域网的安全系统无疑是安全保密工作的第一道屏障。但是,恰恰是这个直接关系网络信息安全的系统,却常常是最薄弱的环节。许多单位在建设局域网时,主要考虑的都是以能够上网为目的的网络基础平台建设,经费主要投入到了这个方面,而安全系统的建设往往被忽视,有些甚至是空白,最多也就是配备一台防火墙。这样脆弱的网络环境受到攻击或者出现信息安全保密的问题就难以避免了。就微机安全保密技术方面来讲,首当其冲的就是微机是否接入网络以及是否采取隔离技术的问题。这两个方面从技术角度来讲很容易实现,但是由于没有发现信息安全方面出现过问题,或者是使用不方便,或者是不能方便上网等原因,往往被忽视。因此,完善局域网安全系统和应用微机安全技术,应当是从技术方面加强信息安全保密工作的首要措施。
第二个是管理方面,主要是各种信息安全保密的制度建设和贯彻实施问题。即使网络安全系统到位了,办公用的微机也采取了相应的技术措施,但是如果没有相应的管理制度,如果制度不能得到很好的执行,信息安全保密问题依然会大量出现。这些年出现的大量信息安全保密问题中,一半以上都与信息安全保密管理工作不到位有关。因此,在接入互联网、系统隔离、使用移动存储介质、下载网上信息、下载或安装软件、使用无线设备或无线上网,甚至微机和移动存储设备的维修、淘汰、报废或销毁等方面,都必须建立起科学合理、切实可行的各项制度,并由专门部门监督检查,才能更好的减少信息安全保密问题的发生。
第三个方面是使用,也就是具体的使用者应当掌握必需的安全使用方法、树立正确地安全保密意识、遵守有关的安全保密制度。从所发生的计算机网络信息安全保密问题来看,使用者操作技术水平低、安全保密意识差和违犯安全保密制度也是导致出现许多严重问题的主要原因。因此通过经常性的培训提高微机、上网和使用移动存储设备的操作水平,通过正反两个方面的安全保密案例增强安全保密意识,通过完善有关制度和严格的监督检查确保使用者遵纪守法,这既是信息安全保密工作的最后一个方面,也是最有效的一个环节。
5.工程造价廉政保密措施 篇五
近年来,网络窃密事件此起彼伏,引起人们的特别关注。一些国家和军队纷纷行动起来,建立和完善网络管理法规制度。欧盟理事会决定,在现有的惩罚黑客行为的立法基础上,增加对黑客工具生产者的惩罚条例。按照新的监管法规,凡是生产和传播诸如恶意软件、电脑 病毒一类的网络攻击工具,或者非正当获取电脑口令和密码的行为,一律被视为网络犯罪,相关个人或组织将面临最高两年的监禁,情节严重者可获三年监禁。美国也加大了网络安全立法的力度,奥巴马政府正考虑将攻击重要基础设施的黑客行为列入刑法惩治范围。
2010年,曾揭露驻伊美军机密的网站“维基解密”公开后,被认为是美军历来最严重的情 报泄密事件之一,美军军事网络安全再一次引起官方高度关注。随着博客之风在美军中越刮 越盛,美军发现士兵除了在博客上与战友和家人交流思想、互谈感受外,还详细记录在战地 的所见所闻所感,有时甚至“胡言乱语”。其中就有相当一部分是美军方不愿公开的内容。美军规定军人不得随意带手机出入部队的作战指挥室、办公自动化机房、传真室及其他信 息防护部门。为确保军事网络安全,美军的网络危险评估小组,专门在网上监视美军大兵们 发布的文章和图片等。一旦发现涉及“敏感内容”的博客网页,监视小组就根据内容的敏感 程度进行相应的处理。对于涉及一般性敏感内容的博客,小组会通过电子邮件方式通知发帖 人,除要求其删除所公布的内容外,还必须在指定时间内以电子邮件的方式回复认错。对于 涉及官方使用的文件、军人身份认证信息等敏感程度较高的内容,小组将立即电话通知发帖 人或相应机构,要求其立即删除,并将其行为通知其上级部门,由上级部门决定相应处罚。
6.办公室保密工作措施方式 篇六
保密工作,是指从国家的安全和利益出发,将国家秘密控制在一定范围和时间内,防止泄露以及被非法窃取利用所采取的一切必要的防范措施与手段。
保密工作是办公室的一项重要的工作。办公室位于整个工作系统的枢纽位置,其工作人员与领导有非常密切的接触,知密早、知密多。为了维护国家和本单位的利益,办公室人员必须有很强的保密意识和保密观念,确保国家和本单位的秘密不外漏。
二.保密工作的范围和密级划分
(一)保密范围
办公室工作人员既要对社会集团的秘密进行保密,更要对国家秘密进行保密,同时也要对个人秘密进行保密。
1.国家秘密范围。《保密法》对国家秘密的范围作了具体规定:
(1) 国家事务的重大决策中的秘密事项;
(2) 国防建设和武装力量活动中的秘密事项以及对外承担保密义务的事项;
(3) 外交和外事活动中的秘密事项以及对外承担保密义务的事项;
(4) 国民经济和社会发展中的秘密事项;
(5) 科学技术中的秘密事项;
(6) 维护国家安全活动和追查刑事犯罪中的秘密事项;
(7) 其他经国家保密工作部门确定应当保守的国家秘密事项。
用国家法律形式确定国家秘密的基本范围具有重要意义,它使我国公民对国家秘密有了一个基本了解,有助于其履行《宪法》和《保密法》规定的每个公民应尽义务;它向国内外表明,任何人以任何非法手段窃取、刺探、收买或者提供、泄露属于国家机密范围内的事项,都是违反我国法律的行为,必须负法律责任;他也给国家机关各业务部门及社会集团指出了应从哪些方面规定本系统业务工作中的秘密的具体范围。
2.社会集团秘密范围。
(1)商业秘密,指社会集团进行的重大商业活动等中的秘密事项;
(2)科技秘密,指社会集团自己研究开发的科研项目等中的秘密事项;
(3)公文秘密,指社会集团具有秘密内容的文件、电报、信件、简报等
(4)会议秘密,指社会集团内部会议的日期、议题、议程、讲话、发言、记录、录音、录像等中的秘密事项;
(5)信访秘密,指信访者的检举、控告、揭发、领导者的批示,信访案件查处的材料等;
(6)通信秘密,指社会集团的密码、网址、密码机、涉及密码和密码业务的文件等;
(7)领导秘密,指社会领导集团人得重大活动、办公场所和私人活动等。
(二)密级划分
密级的划分,是依据国家秘密事项一旦泄露后,对国家的安全和利益损害的程度来区分的。国家秘密的密级分为“绝密”、“机密”、“秘密”三个等级。
“绝密”是最重要的国家秘密,若泄露会使国家的安全和利益遭受特别严重的损害;“机密”是指一般的国家秘密,若泄露会使国家的安全和利益遭受严重的损害;“秘密”是指一般的国家秘密,若泄露会使国家的安全和利益遭受损害。与此相适应,1990年9月19日国家保密局发布的《国家秘密保密期限的规定》指明:“国家秘密的保密期限,除有特殊规定外,绝密事项不超过三十年,机密事项不超过二十年,秘密事项则不超过十年。”“国家秘密的保密期限,自标明的制法日起算;不能标明制发日的国家秘密,自通知密级和保密期限之日算起。”
三.保密工作得特点及意义
(一)保密工作的特点
1.政治性。政治性是保密工作最突出的特点。因为,保密工作是随着国家的发展而发展起来的,而国家是阶级斗争不可调和的产物。作为国家的保密工作,是在外御强敌、内保社会安定方面,起着十分重要的作用。在我国,保密工作是为社会主义制度服务的,具有明显的政治性和阶级性。特别是党的十一届三中全会以来,随着党和国家工作重心的转移,为改革开放和社会主义现代化建设提高安全的环境,成为我国保密工作得中心任务,其政治色彩更加鲜明。
2.封闭性。保密的封闭性是由秘密的本质属性决定的。秘密是在一定的时间内只能让极少数人晓知的事务,如果不加以保守或保护,一旦被外人(不该知密的外部势力)知晓,就不再是秘密。保密就是对秘密加以封锁,防止泄密。实践告诉人们,在保密的期限和范围内,封闭得越严密,产生泄密的几率就越小。
3.相对性。相对性是指保密工作得时间性与一定的区域性(即保密范围)而言。任何秘密总是局限在一定的时间和范围之内。再核心的秘密,仍有一定的涉密范围。世界上没有绝对的,永恒的秘密。时过境迁,情况变化,原来的秘密事项就可能降密或解密。
4.利益性。从根本上说,保密就是保护某种利益,使之不受或少受损害。国家实行保密是保护国家利益,企业实行保密是保护企业利益。因此,保密具有很强的利益性——保护自身的各种利益。如果保密无利益可保,泄密也无利益可损害,那么保密也就失去了意义。因此,维护某利益就是保密工作得根本目的。
(二)保密工作的意义
1.保密工作关系到国家命运。以军事秘密为例,国防力量关系着国家的存亡兴衰,有关国防计划与建设,武装部队的编制、武备、驻防、部署等军事秘密,是各国窃密着和间谍活动的主要目标。军事秘密一旦泄露出去,轻者国家会被动挨打,重者会导致国家覆灭。
2.保密工作关系到国家声誉。国家声誉关系着这个国家在国际交往中的地位。许多秘密的泄露会直接影响到国家的声誉。
3.保密工作关系到社会的安定。安定团结是改革和建设成功的重要保证。实践证明,一项重要秘密的泄露,往往会造成一个企业、一个部门、一个地区、乃至一个国家的混乱与动荡。
4.保密工作关系到经济发展。经济发展、科技进步是一个国家、一个地区、一个企业兴盛的重要保障。情报机构和间谍机构,都把窃取经济情报和科技情报作为主要目标。
5.保密工作关系到领导者得安全。我国高级领导人以及外国来访要人、社会集团高层人员以及集团外来访要员的人身安全,也是保密工作得重要内容。对于他们出访、视察、参观等活动的日期、地点、路线等的具体安排,他们的住处、电话、车辆甚至家庭生活等,都应该保密。
四.保密工作的要求
(一)收文保密
签收“密件”要严格履行签收手续,做到事事有手续,件件有着落。按“密件”的不同密级和缓急程度在“密件”上标明“发授范围”和“阅读极限”。
(二)阅文保密
阅文保密工作要做到如下方面:
1. 秘密文件应由机要人员或指定的人员统一掌握。他们要随时掌握“密件”的流向,并规定阅文时间,以防止“密件”的丢失和泄密。
2. 确定秘密文件的阅知范围。要根据文件的情况确定“密级”文件的阅知范围。未经领导同意,不得自行扩大阅读范围,不得向规定范围以外的人员扩散,不准私自摘录,不得公开引用。
3. 规定秘密文件的借阅地点。阅读秘密文件要在办公室或阅文室进行,不得擅自带回家中阅读。特别对标有“密级”文件的外借,应请示领导,借出前要当面交代注意事项。
(三)制文保密
制文保密工作要做到如下方面:
1.一切文件在印制前应准确定性,标明密级和保密期限,规定发放范围,注明是否可以翻印和复制。
2.涉密文件在制文中形成的草稿、修改稿、签发稿、校队清样等,反需要保存的,应按正式文件的密级和保密期限管理,不需要保存的,应及时销毁。
3.打印、印刷过程中形成的蜡纸、衬纸、废页、废件应及时销毁,不能乱堆乱放。
4.印制时,要严格按照领导批准的份数执行,不得擅自多印多留。
5.复印文件必须经过请示,履行审批、登记手续,对复印件要等同原件一样管理。
(四)传递保密
传递保密工作要做到如下方面:
1.文件的传递应履行登记手续。
2.传递秘密文件,应由秘书科机要部门人员递送。若通过邮局递送,不得通过普通邮政邮寄。机要人员传递绝密文件应实行两人护送制。
3.机要通信人员外出递送秘密文件时,要密不离人;不得办理与递送文件无关的事,坚持专程递送。
4.要自觉服从机要交换站的管理,严格公文交换制度。
5.以电子邮件形式上网传递的文件,要有严格的审批手续。凡涉及国家秘密的文件,一般不得上网传递,以防泄密。
(五)携带保密
不准携带秘密文件和秘密资料参加社交活动或出入公共场所。确因工作需要必须携带的秘密文件的,应采取必要的保密措施,要经领导审批,采取安全措施,并遵照有关部门的规定执行。
(六)保管保密
秘密文件必须放在保密有保障的库房或文件柜内,绝密文件应单独存放,并经常检查保密情况。对平时工作使用的秘密文件,应在用后随手入柜加锁。个人不得保存秘密文件。
(七)交接保密
文书工作人员在工作调动或离退休时,必须严格履行交接手续。在移交文件时,要造册、核对,并办理签字手续,决不能搞“信任交接”。
(八)归档保密
办理完毕的秘密文件,有查考、保存价值的要及时立卷归档;无查考、保存价值的要立即销毁。
(九)清查保密
定期清查秘密文件。分发和借出去的应按时清退;若发现有丢失的,要及时追查处理。
(十)销毁保密
销毁秘密文件时,必须先经领导审批,然后登记造册。秘密、机密级文件应派专人护送到指定的造纸厂监督销毁;绝密文件和密码电报应指定专人在本单位焚烧干净。
四.秘书保密工作
7.工程施工保密协议 篇七
甲方:
乙方:
一、文件确认为机密项目。其建设相关的秘密事项系国家秘密的组成部分。参建单位在实施过程中必须遵照《中华人民共和国保守国家秘密法》履行以下保密责任。
二、本协议的责任主体为保密工程依托单位。依托单位系指工程依托的具有法人资格的上级主管单位。隶属于依托单位的工程施工项目部具有相同的责任。依托单位不仅承担自身的保密责任,还承担对工程保密工作的管理与监督职能。
三、本协议适用于保密工程实施工的全过程。包括但不限于:工程概况﹑工程规模﹑工期计划﹑施工方案﹑工艺流程﹑技术设计﹑图纸资料﹑相关函电等等。
四、具体保密内容:
1、甲乙双方均有责任对上述《工程施工合同》内容保守秘密,对因合同内容的公开而造成经济和名誉损失,有责任的一方承担法律责任。
2、乙方应将合同的所有细节包括施工过程由甲方提供的所有技术资料作为保密资料对待,合同的任何部分不应在任何商业或技术文献上刊登或披露。也 不得企图将其中的由甲方所提供的技术资料用作与本工程无关的事宜。
3、由甲方提供给乙方的所有图纸和文件细则均被认为是机密,并由乙方要求其相关人员妥善保管,未经甲方的书面许可乙方不得对外或第三方公开披露;不得以任何形式,向媒体透露所承揽工程的相关情况。
4、所有工程照片的版权归甲方所有,没有甲方批准,乙方不得做任何应用。已批准的文章﹑照片和类似材料的出版应通知甲方。
5、乙方不应在工地或其施工设备上展出或允许展出任何贸易或商业广告,在工地上张贴的所有通知应事先征得业主的批准。
6、由甲方提供的所有图纸﹑文件和软件的著作权归甲方或虽属于第三方但甲方承诺保证权利不受侵犯。乙方只有使用与本合同工程有关的安装﹑调试操作或维护﹑备品备件采购所必需的图纸﹑文件和软件的权利,并且只适用于
本合同工程。未经甲方的书面许可不得提供或采用其他方式将本合同工程以及本合同工程的任何一部分所涉及到的专利技术和技术诀窍透露给第三方。因此发生任何第三方指控侵权时,乙方与第三方交涉并承担由此所发生的一切法律和经济责任。
7、乙方在甲方施工期间,未经甲方允许,不得介绍第三方相关人员或冒充乙方施工人员进入工程现场,以窃取工程的机密。
8、工程竣工后乙方仍对其在甲方施工期间接触﹑知悉的属于甲方或者虽属于第三方但甲方承诺有保密义务的技术秘密和其他商业秘密信息有保密义务。
9、乙方如违反本协议任一条款,应当一次性向甲方支付违约金工程合同额的万分之五
10、乙方的违约行为给甲方造成损失的,乙方应当赔偿甲方的损失。违约金不能代替赔偿损失,赔偿金可从工程合同款中扣除。
11、因本协议而引起的纠纷,如果协商解决不成,任何一方均有权提起诉讼。双方同意,选择甲方所住地的﹑符合级别管辖规定的人民法院作为双方合同纠纷的第一审管辖法院。
12、本协议自双方签字且盖章后生效。
发包人(公章):承包人(公章):
法定代表人或其授权代表:
(签字)
法定代表人或其授权代表:(签字)
合同订立时间:年月日
8.工程造价廉政保密措施 篇八
加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。编辑本段对称加密技术简介
对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难,除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DES的加密性好,而且对计算机功能要求也没有那么高。IDEA加密标准由PGP(Pretty Good Privacy)系统使用。编辑本段非对称加密技术简介
1976年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
PKI:
编辑本段功能作用
PKI(Public Key Infrastructure 的缩写)是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
原有的单密钥加密技术采用特定加密密钥加密数据,而解密时用于解密的密钥与加密密钥相同,这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密,则不可避免地出现安全漏洞。因为在发送加密数据的同时,也需要将密钥通过网络传输通知接收者,第三方在截获加密数据的同时,只需再截取相应密钥即可将数据解密使用或进行非法篡改。
区别于原有的单密钥加密技术,PKI采用非对称的加密算法,即由原文加密成密文的密钥不同于由密文解密为原文的密钥,以避免第三方获取密钥后将密文解密。编辑本段证书签发机构CA
CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。编辑本段证书
证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。
加密:
我们将文字转换成不能直接阅读的形式(即密文)的过程称为加密。
解密:
我们将密文转换成能够直接阅读的文字(即明文)的过程称为解密。
如何在电子文档上实现签名的目的呢?我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名,方法如下:
信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验证。
在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数)生成的。对这些HASH函数的特殊要求是:
1.接受的输入报文数据没有长度限制;
2.对任何输入报文数据生成固定长度的摘要(数字指纹)输出;
3.从报文能方便地算出摘要;
4.难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要;
5.难以生成两个不同的报文具有相同的摘要。
验证:
收方在收到信息后用如下的步骤验证您的签名:
1.使用自己的私钥将信息转为明文;
2.使用发信方的公钥从数字签名部分得到原摘要;
3.收方对您所发送的源信息进行hash运算,也产生一个摘要;
4.收方比较两个摘要,如果两者相同,则可以证明信息签名者的身份。
如果两摘要内容不符,会说明什么原因呢?
可能对摘要进行签名所用的私钥不是签名者的私钥,这就表明信息的签名者不可信;也可能收到的信息根本就不是签名者发送的信息,信息在传输过程中已经遭到破坏或篡改。编辑本段数字证书简介
数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。
使用数字证书能做什么?
数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分,另一部分是私钥。公钥公之于众,谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件,发送者要用收件人的公钥加密信件;收件人便可用自己的私钥解密信件。同样,为证实发件人的身份,发送者要用自己的私钥对信件进行签名;收件人可使用发送者的公钥对签名进行验证,以确认发送者的身份。
在线交易中您可使用数字证书验证对方身份。用数字证书加密信息,可以确保只有接收者才能解密、阅读原文,信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现,电子邮件、在线交易和信用卡购物的安全才能得到保证。
认证、数字证书和PKI解决的几个问题?
保密性确认信息发送者的身份。
完整性发送者不能否认已发送的信息。编辑本段加密技术的应用
加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用,下面就分别简叙。
1、在电子商务方面的应用
电子商务(E-business)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用用户的信用卡进行付款。现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安全性,从而使电子商务走向实用成为可能。
许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者,该公司提供了一种基于RSA和保密密钥的应用于因特网的技术,被称为安全插座层(Secure Sockets Layer,SSL)。
也许很多人知道Socket,它是一个编程界面,并不提供任何安全措施,而SSL不但提供编程界面,而且向上提供一种安全的服务,SSL3.0现在已经应用到了服务器和浏览器上,SSL2.0则只能应用于服务器端。
SSL3.0用一种电子证书(electric certificate)来实行身份进行验证后,双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法,在客户与电子商务的服务器进行沟通的过程中,客户会产生一个Session Key,然后客户用服务器端的公钥将Session Key进行加密,再传给服务器端,在双方都知道Session Key后,传输的数据都是以Session Key进行加密与解密的,但服务器端发给用户的公钥必需先向有关发证机关申请,以得到公证。
基于SSL3.0提供的安全保障,用户就可以自由订购商品并且给出信用卡号了,也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来,这样可以节省大量的纸张,为公司节省大量的电话、传真费用。在过去,电子信息交换(Electric Data Interchange,EDI)、信息交易(information transaction)和金融交易(financial transaction)都是在专用网络上完成的,使用专用网的费用大大高于互联网。正是这样巨大的诱惑,才使人们开始发展因特网上的电子商务,但不要忘记数据加密。
2、加密技术在VPN中的应用
现在,越多越多的公司走向国际化,一个公司可能在多个国家都有办事机构或销售中心,每一个机构都有自己的局域网LAN(Local Area Network),但在当今的网络社会人们的要求不仅如此,用户希望将这些LAN连结在一起组成一个公司的广域网,这个在现在已不是什么难事了。
事实上,很多公司都已经这样做了,但他们一般使用租用专用线路来连结这些局域网,他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是,这就使人们通过互联网连接这些局域网成为可能,这就是我们通常所说的虚拟专用网(Virtual Private Network,VPN)。当数据离开发送者所在的局域网时,该数据首先被用户湍连接到互联网上的路由器进行硬件加密,数据在互联网上是以加密的形式传送的,当达到目的LAN的路由器时,该路由器就会对数据进行解密,这样目的LAN中的用户就可以看到真正的信息了。编辑本段安全套接字层(SSL)
SSL是一种广泛实施的公钥加密。SSL最初由网景公司(Netscape)开发,是互联网浏览器和Web服务器用于传输机密信息的互联网安全协议。SSL现在已经成为总体安全协议传输层安全(TLS)的一部分。
在您的浏览器中,您可以通过多种不同方式知道自己什么时候在使用安全协议(例如TLS)。您将注意到,地址行中的“http”中被替换为“https”,在浏览器窗口底部的状态栏中还会看到一个小的挂锁符号。
公钥加密占用大量计算资源,所以大多数系统结合使用公钥和对称密钥。当两台计算机发起安全会话时,一台计算机创建一个对称密钥,并将其发送给使用公钥加密的另一台计算机。然后这两台计算机使用对称密钥加密进行通信。一旦完成会话,每台计算机都会丢弃该会话使用的对称密钥。进行新的会话要求创建新的对称密钥,然后重复上述过程。编辑本段网络加密的四种类型
1、无客户端SSL:SSL的原始应用。在这种应用中,一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。
2、配置VPN设备的无客户端SSL:这种使用SSL的方法对于主机来说与第一种类似。但是,加密通讯的工作是由VPN设备完成的,而不是由在线资源完成的(如Web或者邮件服务器)。
3、主机至网络:在上述两个方案中,主机在一个加密的频道直接连接到一个资源。在这种方式中,主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主机目标资源的那个网络的一部分。
SSL:由于设置简单,SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。
IPsec:在SSL成为创建主机至网络的流行方式之前,要使用IPsec客户端软件。IPsec仍在使用,但是,它向用户提供了许多设置选择,容易造成混淆。
4、网络至网络:有许多方法能够创建这种类型加密的隧道VPN.但是,要使用的技术几乎总是IPsec.信息加密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护,以防止泄漏的技术。简介
保密通信,计算机密钥,防复制软盘 等都属于信息加密技术。通信过程
信息加密技术
中的加密主要是采用密码,在数字通信中可利用计算机采用加密法,改变负载信息的数码结构。计算机信息保护则以软件加密为主。目前世界上最流行的几种加密体制和加密算法有:RSA算法和CCEP算法等。为防止破密,加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡,这就是硬件加密措施。在软盘上用激光穿 孔,使软件的存储区有不为人所知的局部存坏,就可以防止非法复制。这样的加密软盘可以为不掌握加密技术的人员使用,以保护软件。由于计算机软件的非法复制,解密及盗版问题日益严重,甚至引发国际争端,因此对信息加密技术和加密手段的研究与开发,受到各国计算机界的重视,发展日新月异。
编辑本段加密技术应用
在常规的邮政系统中,寄信人用信封隐藏其内容,这就是最基本的保密技术,而在电子商务中,有形的信封就不再成为其代表性的选择。为了实现电子信息的保密性,就必须实现该信息对除特定收信人以外的任何人都是不可读取的。而为了保证共享设计规范的贸易伙伴的信息安全性就必须采取一定的手段来隐藏信息,而隐藏信息的最有效手段便是加密。
保密通信,计算机密钥,防复制软盘等都属于信息加密技术。通信过程中的加密主要是采用密码,在数字通信中可利用计算机采用加密法,改变负载信息的数码结构。计算机信息保护则以软件加密为主。编辑本段加密技术分析
加密就是通过密码算术对数据进行转化,使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。为了读懂报文,密文必须重新转变为它的最初形式--明文。而含有用来以数学方式转换报文的双重密码就是密钥。在这种情况下即使一则信息被截获并阅读,这则信息也是毫无利用价值的。而实现这种转化的算法标准,据不完全统计,到现在为止已经有近200多种。在这里,主要介绍几种重要的标准。按照国际上通行的惯例,将
信息加密技术
这近200种方法按照双方收发的密钥是否相同的标准划分为两大类:一种是常规算法(也叫私钥加密算法或对称加密算法),其特征是收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如3DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL N、LOKI?91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码,而最近美国NIST(国家标准与技术研究所)推出的AES将有取代DES的趋势,后文将作出详细的分析。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。另外一种是公钥加密算法(也叫非对称加密算法)。其特征是收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe Hellman、Rabin、Ong Fiat Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等⑷。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击,而最近势头正劲的ECC算法正有取代RSA的趋势。公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂,加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。这两种算法各有其短处和长处,在下面将作出详细的分析。1.1 私钥加密算法
在私钥加密算法中,信息的接受者和发送者都使用相同的密钥,所以双方的密钥都处于保密的状态,因为私钥的保密性必须基于密钥的保密性,而非算法上。这在硬件上增加了私钥加密算法的安全性。但同时我们也看到这也增加了一个挑战:收发双方都必须为自己的密钥负责,这种情况在两者在地理上分离显得尤为重要。私钥算法还面临这一个更大的困难,那就是对私钥的管理和分发十分的困难和复杂,而且所需的费用十分的庞大。比如说,一个n个用户的网络就需要派发n(n-1)/2个私钥,特别是对于一些大型的并且广域的网络来说,其管理是一个十分困难的过程,正因为这些因素从而决定了私钥算法的使用范围。而且,私钥加密算法不支持数字签名,这对远距离的传输来说也是一个障碍。另一个影响私钥的保密性的因素是算法的复杂性。现今为止,国际上比较通行的是DES、3DES以及最近推广的AES。
数据加密标准(Data Encryption Standard)是IBM公司1977年为美国政府研制的一种算法。DES是以56 位密钥为基础的密码块加密技术。它的加密过程一般如下:
① 一次性把64位明文块打乱置换。
② 把64位明文块拆成两个32位块;
③ 用机密DES密钥把每个32位块打乱位置16次;
④ 使用初始置换的逆置换。
但在实际应用中,DES的保密性受到了很大的挑战,1999年1月,EFF和分散网络用不到一天的时间,破译了56位的DES加密信息。DES的统治地位受到了严重的影响,为此,美国推出DES的改进版本--三重加密(triple Data Encryption Standard)即在使用过程中,收发双方都用三把密钥进行加解密,无疑这种3*56式的加密方法大大提升了密码的安全性,按现在的计算机的运算速度,这种破解几乎是不可能的。但是我们在为数据提供强有力的安全保护的同时,也要化更多的时间来对信息进行三次加密和对每个密层进行解密。同时在这种前提下,使用这种密钥的双发都必须拥有3个密钥,如果丢失了其中任何一把,其余两把都成了无用的密钥。这样私钥的数量一下又提升了3倍,这显然不是我们想看到的。于是美国国家标准与技术研究所推出了一个新的保密措施来保护金融交易。高级加密标准(Advanced Encryption Standard)美国国家技术标准委员会(NIST)在2000年10月选定了比利时的研究成果“Rijndael”作为AES的基础。“Rijndael”是经过三年漫长的过程,最终从进入候选的五种方案中挑选出来的。
AES内部有更简洁精确的数学算法,而加密数据只需一次通过。AES被设计成高速,坚固的安全性能,而且能够支持各种小型设备。AES与3DES相比,不仅是安全性能有重大差别,使用性能和资源有效利用上也有很大差别。虽然到现在为止,我还不了解AES的具体算法但是从下表可以看出其与3DES的巨大优越性。
还有一些其他的一些算法,如美国国家安全局使用的飞鱼(Skipjack)算法,不过它的算法细节始终都是保密的,所以外人都无从得知其细节类容;一些私人组织开发的取代DES的方案:RC2、RC4、RC5等。1.2 公钥加密算法
面对在执行过程中如何使用和分享密钥及保持其机密性等问题,1975年Whitefield Diffe和Marti Hellman提出了公开的密钥密码技术的概念,被称为Diffie-Hellman技术。从此公钥加密算法便产生了。
由于采取了公共密钥,密钥的管理和分发就变得简单多了,对于一个n个用户的网络来说,只需要2n个密钥便可达到密度。同时使得公钥加密法的保密性全部集中在及其复杂的数学问题上,它的安全性因而也得到了保证。但是在实际运用中,公共密钥加密算法并没有完全的取代私钥加密算法。其重要的原因是它的实现速度远远赶不上私钥加密算法。又因为它的安全性,所以常常用来加密一些重要的文件。自公钥加密问世以来,学者们提出了许多种公钥加密方法,它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类,有以下三类系统目前被认为是安全和有效的:大整数因子分解系统(代表性的有RSA)、椭圆曲线离散对数系统(ECC)和离散对数系统(代表性的有DSA),下面就作出较为详细的叙述。
RAS算法是由罗纳多·瑞维斯特(Rivet)、艾迪·夏弥尔(Shamir)和里奥纳多·艾德拉曼(Adelman)联合推出的,RAS算法由此而得名。它的安全性是基于大整数素因子分解的困难性,而大整数因子分解问题是数学上的著名难题,至今没有有效的方法予以解决,因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法,大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。它得具体算法如下: ① 找两个非常大的质数,越大越安全。把这两个质数叫做P和Q。
② 找一个能满足下列条件得数字E:
A. 是一个奇数。
B. 小于P×Q。
C. 与(P-1)×(Q-1)互质,只是指E和该方程的计算结果没有相同的质数因子。
③ 计算出数值D,满足下面性质:((D×E)-1)能被(P-1)×(Q-1)整除。
公开密钥对是(P×Q,E)。
私人密钥是D。
公开密钥是E。
解密函数是:
假设T是明文,C是密文。
加密函数用公开密钥E和模P×Q;
加密信息=(TE)模P×Q。
解密函数用私人密钥D和模P×Q;
解密信息=(CD)模P×Q。
椭圆曲线加密技术(ECC)是建立在单向函数(椭圆曲线离散对数)得基础上,由于它比RAS使用得离散对数要复杂得多。而且该单向函数比RSA得要难,所以与RSA相比,它有如下几个优点:
安全性能更高 加密算法的安全性能一般通过该算法的抗攻击强度来反映。ECC和其他几种公钥系统相比,其抗攻击性具有绝对的优势。如160位 ECC与1024位 RSA有相同的安全强度。而210位 ECC则与2048bit RSA具有相同的安全强度。
计算量小,处理速度快 虽然在RSA中可以通过选取较小的公钥(可以小到3)的方法提高公钥处理速度,即提高加密和签名验证的速度,使其在加密和签名验证速度上与ECC有可比性,但在私钥的处理速度上(解密和签名),ECC远比RSA、DSA快得多。因此ECC总的速度比RSA、DSA要快得多。
存储空间占用小 ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多,意味着它所占的存贮空间要小得多。这对于加密算法在IC卡上的应用具有特别重要的意义。
带宽要求低 当对长消息进行加解密时,三类密码系统有相同的带宽要求,但应用于短消息时ECC带宽要求却低得多。而公钥加密系统多用于短消息,例如用于数字签名和用于对对称系统的会话密钥传递。带宽要求低使ECC在无线网络领域具有广泛的应用前景。
ECC的这些特点使它必将取代RSA,成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。
编辑本段优劣比较
以上综述了两种加密方法的各自的特点,并对他们优劣处作了一个简要的比较,总体来说主要有下面几个方面: 管理方面
第一、在管理方面,公钥密码算法只需要较少的资源就可以实现目的,在密钥的分配上,两者之间相差一个指数级别(一个是n一个是n2)。所以私钥密码算法不适应广域网的使用,而且更重要的一点是它不支持数字签名。安全方面
第二、在安全方面,由于公钥密码算法基于未解决的数学难题,在破解上几乎不可能。对于私钥密码算法,到了AES虽说从理论来说是不可能破解的,但从计算机的发展角度来看。公钥更具有优越性。速度方面
第三、从速度上来看,AES的软件实现速度已经达到了每秒数兆或数十兆比特。是公钥的100倍,如果用硬件来实现的话这个比值将扩大到1000倍。算法方面
第四、对于这两中算法,因为算法不需要保密,所以制造商可以开发出低成本的芯片以实现数据加密。这些芯片有着广泛的应用,适合于大规模生产。总结
纵观这两种算法一个从DES到3DES再到ADES,一个从RSA到ECC。其发展角度无不是从密钥的简单性,成本的低廉性,管理的简易性,算法的复杂性,保密的安全性以及计算的快速性这几个方面去考虑。因此,未来算法的发展也必定是从这几个角度出发的,而且在实际操作中往往把这两种算法结合起来,也需将来一种集两种算法有点于一身的新型算法将会出现,到那个时候,电子商务的实现必将更加的快捷和安全。编辑本段流行算法
目前世界上最流行的几种加密体制和加密算法有:RSA算法和CCEP算法等。为防止破密,加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡,这就是硬件加密措施。在软盘上用激光穿 孔,使软件的存储区有不为人所知的局部存坏,就可以防止非法复制。这样的加密软盘可以为不掌握加密技术的人员使用,以保护软件。由于计算机软件的非法复制,解密及盗版问题日益严重,甚至引发国际争端,因此对信息加密技术和加密手段的研究与开发,受到各国计算机界的重视,发展日新月异。编辑本段软件保护技术
1、序列号保护
数学算法一项都是密码加密的核心,但在一般的软件加密中,它似乎并不太为人们关心,因为大多数时候软件加密本身实现的都是一种编程的技巧。但近几年来随着序列号加密程序的普及,数学算法在软件加密中的比重似乎是越来越大了。
看看在网络上大行其道的序列号加密的工作原理。当用户从网络上下载某个shareware——共享软件后,一般都有使用时间上的限制,当过了共享软件的试用期后,你必须到这个软件的公司去注册后方能继续使用。注册过程一般是用户把自己的私人信息(一般主要指名字)连同信用卡号码告诉给软件公司,软件公司会根据用户的信息计算出一个序列码,在用户得到这个序列码后,按照注册需要的步骤在软件中输入注册信息和注册码,其注册信息的合法性由软件验证通过后,软件就会取消掉本身的各种限制,这种加密实现起来比较简单,不需要额外的成本,用户购买也非常方便,在互联网上的软件80%都是以这种方式来保护的。
软件验证序列号的合法性过程,其实就是验证用户名和序列号之间的换算关系是否正确的过程。其验证最基本的有两种,一种是按用户输入的姓名来生成注册码,再同用户输入的注册码比较,公式表示如下:
序列号 = F(用户名)
但这种方法等于在用户软件中再现了软件公司生成注册码的过程,实际上是非常不安全的,不论其换算过程多么复杂,解密者只需把你的换算过程从程序中提取出来就可以编制一个通用的注册程序。
另外一种是通过注册码来验证用户名的正确性,公式表示如下:
用户名称 = F逆(序列号)(如ACDSEE)
这其实是软件公司注册码计算过程的反算法,如果正向算法与反向算法不是对称算法的话,对于解密者来说,的确有些困难,但这种算法相当不好设计。
于是有人考虑到以下的算法:
F1(用户名称)= F2(序列号)
F1、F2是两种完全不同的的算法,但用户名通过F1算法计算出的特征字等于序列号通过F2算法计算出的特征字,这种算法在设计上比较简单,保密性相对以上两种算法也要好的多。如果能够把F1、F2算法设计成不可逆算法的话,保密性相当的好;可一旦解密者找到其中之一的反算法的话,这种算法就不安全了。一元算法的设计看来再如何努力也很难有太大的突破,那么二元呢?
特定值 = F(用户名,序列号)
这个算法看上去相当不错,用户名称与序列号之间的关系不再那么清晰了,但同时也失去了用户名于序列号的一一对应关系,软件开发者必须自己维护用户名称与序列号之间的唯一性,但这似乎不是难以办到的事,建个数据库就可以了。当然也可以把用户名称和序列号分为几个部分来构造多元的算法。
特定值 = F(用户名1,用户名2,...序列号1,序列号2...)
现有的序列号加密算法大多是软件开发者自行设计的,大部分相当简单。而且有些算法作者虽然下了很大的功夫,效果却往往得不到它所希望的结果。
2、时间限制
有些程序的试用版每次运行都有时间限制,例如运行10分钟或20分钟就停止工作,必须重新运行该程序才能正常工作。这些程序里面自然有个定时器来统计程序运行的时间。这种方法使用的较少。
3、Key File 保护
Key File(注册文件)是一种利用文件来注册软件的保护方式。Key File一般是一个小文件,可以是纯文本文件,也可以是包含不可显示字符的二进制文件,其内容是一些加密过或未加密的数据,其中可能有用户名、注册码等信息。文件格式则由软件作者自己定义。试用版软件没有注册文件,当用户向作者付费注册之后,会收到作者寄来的注册文件,其中可能包含用户的个人信息。用户只要将该文件放入指定的目录,就可以让软件成为正式版。该文件一般是放在软件的安装目录中或系统目录下。软件每次启动时,从该文件中读取数据,然后利用某种算法进行处理,根据处理的结果判断是否为正确的注册文件,如果正确则以注册版模式来运行。这种保护方法使用也不多。
4、CD-check
即光盘保护技术。程序在启动时判断光驱中的光盘上是否存在特定的文件,如果不存在则认为用户没有正版光盘,拒绝运行。在程序运行的过程当中一般不再检查光盘的存在与否。Windows下的具体实现一般是这样的:先用GetLogicalDriveStrings()或GetLogicalDrives()得到系统中安装的所有驱动器的列表,然后再用GetDriveType()检查每一个驱动器,如果是光驱则用CreateFileA()或FindFirstFileA()等函数检查特定的文件存在与否,并可能进一步地检查文件的属性、大小、内容等。
5、软件狗
软件狗是一种智能型加密工具。它是一个安装在并口、串口等接口上的硬件电路,同时有一套使用于各种语言的接口软件和工具软件。当被狗保护的软件运行时,程序向插在计算机上的软件狗发出查询命令,软件狗迅速计算查询并给出响应,正确的响应保证软件继续运行。如果没有软件狗
软件狗,程序将不能运行,复杂的软硬件技术结合在一起防止软件盗版。真正有商业价值得软件一般都用软件狗来保护。
平时常见的狗主要有“洋狗”(国外狗)和“土狗”(国产狗)。这里“洋狗”主要指美国的彩虹和以色列的HASP,“土狗”主要有金天地(现在与美国彩虹合资,叫“彩虹天地”)、深思、尖石。总的说来,“洋狗”在软件接口、加壳、反跟踪等“软”方面没有“土狗”好,但在硬件上破解难度非常大;而“土狗”在软的方面做的很好,但在硬件上不如“洋狗”,稍有单片机功力的人,都可以复制。
6、软盘加密
通过在软盘上格式化一些非标准磁道,在这些磁道上写入一些数据,如软件的解密密钥等等。这种软盘成为“钥匙盘”。软件运行时用户将软盘插入,软件读取这些磁道中的数据,判断是否合法的“钥匙盘”。
软盘加密还有其它一些技术,如弱位加密等等。随着近年来软盘的没落,这种方法基本上退出了历史舞台。
7、将软件与机器硬件信息结合
用户得到(买到或从网上下载)软件后,安装时软件从用户的机器上取得该机器的一些硬件信息(如硬盘序列号、BOIS序列号等等),然后把这些信息和用户的序列号、用户名等进行计算,从而在一定程度上将软件和硬件部分绑定。用户需要把这一序列号用Email、电话或邮寄等方法寄给软件提供商或开发商,软件开发商利用注册机(软件)产生该软件的注册号寄给用户即可。软件加密虽然加密强度比硬件方法较弱,但它具有非常廉价的成本、方便的使用方法等优点。非常适合做为采用光盘(CDROM)等方式发授软件的加密方案。
此种加密算法的优点:
· 不同机器注册码不同。用户获得一个密码只能在一台机器上注册使用软件。不同于目前大多软件采用的注册方法,即只要知道注册码,可在任何机器上安装注册。
· 不需要任何硬件或软盘
· 可以选择控制软件运行在什么机器、运行多长时间或次数等
· 可让软件在不注册前的功能为演示软件,只能运行一段时间或部分功能。注册后就立即变为正式软件 · 采用特别技术,解密者很难找到产生注册号码的规律
· 在使用注册号产生软件(注册机)时可采用使用密码、密钥盘、总次数限制等方法
· 方便易用,价格低廉。
这种加密还有以下特点:
1、注册加密的软件,只能在一台机器上安装使用。把软件拷贝到其它机器上不能运行。
2、若用户想在另一机器上安装运行,必须把软件在这一机器上运行时的序列号,寄给软件出版商换取注册密码。当然应再交一份软件费用。
3、此加密方法特别适应在因特网上发布的软件及用光盘发布的软件。
所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。
数据加密技术 要求
数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。编辑本段分类 专用密钥
专用密钥,又称为对称密钥或单密钥,加密和解密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。当一个文本要加密传送时,该文本用密钥加密构成密文,密文在信道上传送,收到密文后用同一个密钥将密文解出来,形成普通文体供阅读。在对称密钥中,密钥的管理极为重要,一旦密钥丢失,密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。对称密钥
对称密钥是最古老的,一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高,因而目前仍广泛被采用。
DES是一种数据分组的加密算法,它将数据分成长度为64位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到64位的杂乱无章的数据组;第二步将其分成均等两段;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。公开密钥
公开密钥,又称非对称密钥,加密和解密时使用不同的密钥,即不同的算法,虽然两者之间存在一定的关系,但不可能轻易地从一个推导出另一个。有一把公用的加密密钥,有多把解密密钥,如RSA算法。
非对称密钥由于两个密钥(加密密钥和解密密钥)各不相同,因而可以将一个密钥公开,而将另一个密钥保密,同样可以起到加密的作用。
在这种编码过程中,一个密码用来加密消息,而另一个密码用来解密消息。在两个密钥中有一种关系,通常是数学关系。公钥和私钥都是一组十分长的、数字上相关的素数(是另一个大数字的因数)。有一个密钥不足以翻译出消息,因为用一个密钥加密的消息只能用另一个密钥才能解密。每个用户可以得到唯一的一对密钥,一个是公开的,另一个是保密的。公共密钥保存在公共区域,可在用户中传递,甚至可印在报纸上面。而私钥必须存放在安全保密的地方。任何人都可以有你的公钥,但是只有你一个人能有你的私钥。它的工作过程是:“你要我听你的吗?除非你用我的公钥加密该消息,我就可以听你的,因为我知道没有别人在偷听。只有我的私钥(其他人没有)才能解密该消息,所以我知道没有人能读到这个消息。我不必担心大家都有我的公钥,因为它不能用来解密该消息。”
公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者,即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。非对称加密技术
数字签名一般采用非对称加密技术(如RSA),通过对整个明文进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。当然,签名也可以采用多种方式,例如,将签名附在明文之后。数字签名普遍用于银行、电子贸易等。
数字签名不同于手写签字:数字签名随文本的变化而变化,手写签字反映某个人个性特征,是不变的;数字签名与文本信息是不可分割的,而手写签字是附加在文本之后的,与文本信息是分离的。
值得注意的是,能否切实有效地发挥加密机制的作用,关键的问题在于密钥的管理,包括密钥的生存、分发、安装、保管、使用以及作废全过程。编辑本段网络数据加密的三种技术 概述
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer;欧洲的IDEA;日本的FEAL?N、LOKI?91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。
常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe?Hellman、Rabin、Ong?Fiat?Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。
公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂,加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。链路加密
对于在两个网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保证。对于链路加密(又称在线加密),所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过许多通信链路的传输。
由于在每一个中间传输节点消息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现。这样,链路加密就掩盖了被传输消息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密,这使得消息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。
尽管链路加密在计算机网络环境中使用得相当普遍,但它并非没有问题。链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。
在线路/信号经常不通的海外或卫星网络中,链路上的加密设备需要频繁地进行同步,带来的后果是数据丢失或重传。另一方面,即使仅一小部分数据需要进行加密,也会使得所有传输数据被加密。
在一个网络节点,链路加密仅在通信链路上提供安全性,消息以明文形式存在,因此所有节点在物理上必须是安全的,否则就会泄漏明文内容。然而保证每一个节点的安全性需要较高的费用,为每一个节点提供加密硬件设备和一个安全的物理环境所需要的费用由以下几部分组成:保护节点物理安全的雇员开销,为确保安全策略和程序的正确执行而进行审计时的费用,以及为防止安全性被破坏时带来损失而参加保险的费用。
在传统的加密算法中,用于解密消息的密钥与用于加密的密钥是相同的,该密钥必须被秘密保存,并按一定规则进行变化。这样,密钥分配在链路加密系统中就成了一个问题,因为每一个节点必须存储与其相连接的所有链路的加密密钥,这就需要对密钥进行物理传送或者建立专用网络设施。而网络节点地理分布的广阔性使得这一过程变得复杂,同时增加了密钥连续分配时的费用。节点加密
尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性;都在中间节点先对消息进行解密,然后进行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。
然而,与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。
节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。端到端加密
端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
端到端加密系统的价格便宜些,并且与链路加密和节点加密相比更可靠,更容易设计、实现和维护。端到端加密还避免了其它加密系统所固有的同步问题,因为每个报文包均是独立被加密的,所以一个报文包所发生的传输错误不会影响后续的报文包。此外,从用户对安全需求的直觉上讲,端到端加密更自然些。单个用户可能会选用这种加密方法,以便不影响网络上的其他用户,此方法只需要源和目的节点是保密的即可。
端到端加密系统通常不允许对消息的目的地址进行加密,这是因为每一个消息所经过的节点都要用此地址来确定如何传输消息。由于这种加密方法不能掩盖被传输消息的源点与终点,因此它对于防止攻击者分析通信业务是脆弱的。
PTT加密技术
科发源研究出针对加密手术的专利技术PTT,主要特点是可见缝插针,不损伤自身其他头发,可以加到很密的效果。国内一般移植器械针对头发加密不能尽善尽美,一次种植数量不会很多,而且器械粗糙导致其他毛囊受损,科发源的PTT加密技术克服也这一缺陷。密钥加密技术
密钥技术提供的加密服务可以保证在开放式环境中网络传输的安全。通常大量使用的两种密钥加密技术是:私用密钥(对称加密)和公共密钥(非对称加密)。
在私用密钥机制中,信息采用发送方和接收方保存的私有的密钥进行加密。这种系统假定双方已经通过一些人工方法交换了密钥,并且采用的密钥交换方式并不危及安全性。
公共密钥机制为每个用户产生两个相关的密钥。一个由用户私下保存(私钥),另一个放于公共区(公钥)。如果某人想给你发送消息,他(她)用你的公开密钥对信息加密。当收到信息后,你可以用私存的密钥对信息解密。SSL加密技术
为了保护敏感数据在传送过程中的安全,全球许多知名企业采用SSL(Security Socket Layer)加密机制。SSL是Netscape公司所提出的安全保密协议,在浏览器(如Internet Explorer、Netscape Navigator)和Web服务器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。同时,Netscape公司相应开发了HTTPS协议并内置于其浏览器中,HTTPS实际上就是HTTP over SSL,它使用默认端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。
然而,加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一。假如为了安全保密,将一个网站所有的Web应用都启用SSL技术来加密,并使用HTTPS协议进行传输,那么该网站的性能和效率将会大大降低,而且没有这个必要,因为一般来说并不是所有数据都要求那么高的安全保密级别
编辑本段SSL协议的工作方式。
客户端要收发几个握手信号:
发送一个ClientHello消息,说明它支持的密码算法列表、压缩方法及最高协议版本,也发送稍后将被使用的随机数。然后收到一个ServerHello消息,包含服务器选择的连接参数,源自客户端初期所提供的ClientHello。当双方知道了连接参数,客户端与服务器交换证书(依靠被选择的公钥系统)。这些证书通常基于X.509,不过已有草案支持以OpenPGP为基础的证书。服务器请求客户端公钥。客户端有证书即双向身份认证,没证书时随机生成公钥。客户端与服务器通过公钥保密协商共同的主私钥(双方随机协商),这通过精心谨慎设计的伪随机数功能实现。结果可能使用Diffie-Hellman交换,或简化的公钥加密,双方各自用私钥解密。所有其他关键数据的加密均使用这个“主密钥”。数据传输中记录层(Record layer)用于封装更高层的HTTP等协议。记录层数据可以被随意压缩、加密,与消息验证码压缩在一起。每个记录层包都有一个Content-Type段用以记录更上层用的协议。
文件加密技术
文件加密是一种常见的密码学应用。文件加密技术是下面三种技术的结合(1)密码技术.包括对称密码和非对称密码,可能是分组密码,也可能采用序列密码文件加密的底层技术是数据加密。
(2)操作系统。文件系统是操作系统的重要组成部分。对文件的输入输出操作或文件的组织和存储形式进行加密也是文件加密的常用于段。对动态文件进行加密尤其需要熟悉文件系统的细节。文件系统与操作系统其他部分的关联,如设备管理、进程管理和内存管理等,都可被用于文件加密。
(3)文件分析技术。不同的文件类型的语义操作体现在对该文件类型进行操作的应用程序中,通过分析文件的语法结构和关联的应用程序代码而进行一些置换和替换,在实际应用中经常可以达到一定的文件加密效果。
利用以上技术文件加密主要包括以下内容。
(1)文件的内容加密通常采用二进制加密的方法
(2)文件的属性加密
(3)文件的输入输出和操作过程的加密,即动态文件加密
通常一个完整的文件加密系统包括操作系统的核心驱动、设备接口、密码服务组件和应用层几个部分。
水印加密技术
原始图片在压缩前通过摄像机的自身特性及前端软件叠字加的违法信息,同时要用用一种技术(暂称为防伪水印加密技术),对违法图象和违法数据进行加密,防止图像被非法修改,确保证据的真实性和有效性。
不对称加密技术
公共密钥加密技术不对称加密技术:允许任何人对信息进行加密处理后,将它发送给另一个人,而不需要预先交换密钥。但该过程对于互相了解的或属于同一组织的两个人之间是不可行的。在公共密钥加密过程中,实现Internet上的敏感数据报文的交换,需要提供两种密钥支持:公共密钥和私人密钥。公共密钥是由其主人加以公开的,而私人密钥必须保密存放。为发送一份保密报文,发送者必须使用接收者的公共密钥对数据进行加密,一旦加密,只有接收方用其私人密钥才能加以解密。换句话说,如果A要向 B 发送经过加密的数据,那么 A 使用 B 的公共密钥对将要发送的数据进行加密处理,而 B 使用对应的私人密钥才可以对由 A 发送的那些加密数据解密。公开密钥加密技术
(public key crypto-system)
l976年,Diffie和Hellman首次提非对称加密出公开密钥加密体制,即每个人都有一对密钥,其中一个为公开的,一个为私有的。发送信息时用对方的公开密钥加密,收信者用自己的私用密钥进行解密。公开密钥加密算法的核心是运用一种特殊的数学函数一单向陷门函数,即从一个方向求值是容易的。但其逆向计算却很困难,从而在实际上成为不可行的。公开密钥加密技术它不仅保证了安全性又易于管理。其不足是加密和解密的时间长。
公开密钥密码编码学的发展是整个密码编码学历史上最大的而且也许是唯一真正的革命。公开密钥密码编码学与传统的方法不同:一方面它是基于数学函数;更为重要的是,它是非对称的。公钥系统对于保密通信、密钥分配和鉴别等领域有着深远的影响。
公开密钥密码体制的产生主要是因为两个方面的原因,一是由于常规密钥密码体制分配(distribution)问题,另一是由于对数字签名的需求。公钥方法是一种与过去所有密码编码学截然不同的方法。公钥用于:密钥分配、机密性和认证。