◆阿曼古丽·帕孜拉
(喀什大学计算机科学与技术学院 新疆 844006)
信息资源网站安全设计与加密技术初探
◆阿曼古丽·帕孜拉
(喀什大学计算机科学与技术学院 新疆 844006)
随着我国科学技术的快速发展,计算机网络的应用已经深入到人们的日常生活以及工作等各个方面,电子商务以及其它事业单位的网络管理等领域对计算机网络的安全性要求很高,安全不仅是技术方面的问题,意识与制度的问题也需要加强重视,但是存在很多破坏者会利用各种手段对网络安全造成威胁,因此就需要对网络加密技术加大重视,本文就对信息资源网站安全设计以及加密技术进行具体的分析与研究,希望能为以后该方面的工作提供一些帮助。
信息资源网站;安全设计;加密技术;分析与研究
随着我国信息化建设步伐的加快,信息资源网站作为众多资源的收集地已经得到了很快的发展,现阶段,我国有很多类型的信息资源网站,但是真正有用的信息资源并不多,而且很多的信息资源的覆盖面都比较窄,因此可以利用的资源其实很少,并且信息资源网站的系统性都比较强,加强信息资源网站的整合与管理实现信息资源的安全性与共享性有很大的意义。目前,通信链路的脆弱性已经成为网络系统最根本的威胁,并且计算机系统本身就容易受到自然灾害以及人为方面的破坏,网络通信信息面临的最主要威胁包括:一非法攻击者通过通信线路获取信息的危害。二计算机进行信息处理时产生的电磁辐射形成的传导泄漏,以及非法攻击者借助辐射电磁信号窃取信息的危害。三非法攻击者可能会假冒合法的用户来获得网络系统的操作权利,即使为信息做了加密操作也可能由于密钥的失密造成信息的丢失,这样使得威胁更大。针对以上出现的这些网络系统中的威胁,还需要相关技术人员进一步的研究,本文就对信息资源网站安全设计以及加密技术进行详细的阐述。
1.1 防范SQL注入的设计
防范SQL注入的设计中包括以下两点:(1)SQL注入攻击问题。SQL注入攻击是让攻击者将非法的SQL语句插入到查询字符串中从而构成动态的SQL命令,或者作为存储过程的输入参数在服务器上进行执行,然后产生攻击者想要得到的效果。在对信息资源网站进行编写的时候通常不会对用户输入的合法性进行判断,系统存在的安全问题攻击者会通过查询数据库而得到,通过这些信息可以控制整个的服务器也就能够对数据库进行操作了。(2)防范SQL注入。通过限制账户的原则来赋予账户不同的权限,利用不同账户来执行数据库操作,账户可以执行插入、删除甚至更加高级的命令,对用户输入的信息也需要进一步的检查来有效的杜绝攻击者修改SQL命令的含义,如果使用强类型对用户输入的信息长度进行限制,那么用户在登录的时候就不可以随意的输入,这样就有效防止攻击者将有害的代码插入到其中,当然这种方式也有需要注意的部分,第一点就是要放在server中运行,客户机提交的信息都是不可信的。第二点就是存储的过程要使用SQL语句的话,要用标准的方式对SQL语句进行组建,不能出现拼接的现象而当SQL语句在运行中出现问题时,就让数据库返回错误的代码,通过修改数据库的权限就能有效防范注入式攻击。
1.2 防范脚本攻击的设计
在信息资源网络设计中对于特殊字符的过滤不够严密,这让侵入者发布了带有HTML语句的代码从而扰乱了网站的秩序,也会对网站产生不良的影响。除了比较常见的脚本字符,还有一种比较常见的是跨站脚本攻击,它指的是恶意的攻击者会在网页页面里插入一些恶意的代码,当用户对网页进行浏览的时候在网页中的html代码就会被执行,最后达到恶意用户的目的。在对信息资源网站进行设计的时候,为了防止恶意程序注册大量的账户就需要使用验证码技术,通过验证码的方式将随机数显示在图片上,可以在图片上产生一定的干扰因素,然后反复的登录最后将密码破解。具体的实现步骤包括:服务器会产生一个长度为N的验证码字符串,这个字符串中可以有数字还可以有字母等。创建一张图片来显示验证码字符串,当用户刷新页面的时候就可以在浏览器端输入图片上的字符串,再将信息提交到服务端,如果一致的话就继续不一致就要返回提示信息。
1.3 加密登录信息
通过加密登录信息的方式就可以将重要的资源与信息保护起来,增加了信息的安全性有效防止了信息的泄露,如果没有解密算法的情况下就不能够查看信息,目前各种加密方法多种多样,例如客户端的网上银行登录输入密码与用户名都是单独的控件还有能够验证身份的密钥等等,在传输的过程中有效的防止被他人盗取,在对信息资源网站进行设计的时候都是利用MD5与SHA1的加密技术,这种加密方式就是无论输入的字符串多长加密之后都变成定长的加密串,这种加密方式可以公开但是不能进行逆推操作,要进行破解的话也只能是进行穷举,得到加密后的字符串再用起来就变得更加的方便,这样也使得网站更加的安全。
2.1 对称与非对称数据加密技术
对称数据加密技术在进行加密与解密的时候使用的是相同的算法,这是比较常规的密码密钥系统,因为这种加密技术通信使用的是相同的密钥,如果其他人得到了密钥就会出现失密的情况,通信的双方能够保证密钥的完整性与机密性,对称加密技术也存在着双方密钥安全交换的问题,如果一个用户可以进行加密通信,那么每个用户都对应一把密钥,这样就需要对很多密钥进行管理,常规密码体制主要包括替代密码与置换密码两种,对于著名的分组密码即美国IBM公司的数据加密标准DES,DES是对二元数据进行加密然后将信息分成64为一组的形式,密钥通常会使用56位长度而其他的8位就用于奇偶校验,DES的安全性会受到人们的质疑,并且对DES算法对密钥依赖性很强,如果密钥发生了泄露就会将密文内容暴露出去,随着计算机运算速度的不断加快存储的容量也慢慢加大,安全性也得到了很大的提升。非对称数据加密算法加密的密钥与解密的密钥是不相同的,在通信的过程中,加密算法本身可以进行公开但是解密密钥需要接收方保管,这样就加大了保密性。这种体制之下加密与解密需要成对的出现,人们通常会利用RSA体制对解密加密进行计算,该算法的最大优点就是密钥的空间比较大,缺点是速度很慢,当RSA与DES结合进行使用的时候两者是互补的,DES加密的速度比较快通常更加适合于较长的报文,有了这些算法的应用就对计算机的加密工作提供了更好的保障。
2.2 密钥的使用与管理
如果用户可以使用相同的密钥来与别人进行交换信息,那么密钥也可以与其他密码一样有安全性,虽然用户的密钥是不可以对外来公开的,但是也不能明确的保证保密性,信息还是有可能出现泄漏现象,当其他人知道了用户的密钥那么信息就不再是保密的了,如果密钥加密的信息越来越多,那么提供给破坏者的机会也就更多了也就更加不安全了,对于多密钥的管理也是十分重要的部分,如果某个机构中有100个人,并且他们两个人之间可以进行对话,那么任何的2个人都要不同的密钥,可以得出每个人都应该记住99个密钥,这种方法虽然很笨,但是也是最准确的。人们逐渐提出了更好解决此类问题的方案,这会让密钥的管理变得更加容易,但是也存在一定的缺点,如果想要建立比较安全、可靠的密钥分发中心不同的用户只需要进行一个会话密钥就可以了。假如甲乙用户想要进行通信,那么甲可以先与KDC进行通信,然后再对密钥进行加密形成了会话密钥,并且形成了标签。这个标签的作用是让甲与用户乙来交谈,从而确定与用户甲对话的就是乙。甲乙用户的会话是为了保证安全,通常此类的会话是一次性的这样黑客很难去破解,用户也不用记住那么多的密钥方便了人们的通信。
2.3 消息摘要与完整性鉴别技术
消息摘要是一个唯一的值通过Hash加密函数来对消息产生作用,通常如果发送者有密钥的话要附在原文的后面,这种方式也被称为消息的数字签名,数字签名的接受者可以判断消息的来源,如果消息在中途的时候就发生了改变那么接收者就可以通过对比摘要发现是否发生改变,从而确保了消息的完整性。完整性鉴别技术的主要目的在于能够对信息进行传送、存储以及处理还可以对相关数据内容进行验证,真正做到保密的效果。鉴别的时候通常也包括口令、身份以及密钥的鉴别,通过查看输入的值是否满足预定参数来实现对数据的保护。在电子商务中会使用对称密钥的方式对数据进行加密,这样的加密方式成为消息的数字信封,它会与数据一起传送给接收者,接收者利用私钥将数字信封解开,然后再用对称密钥解开数据。在数字签名中还增加了一种新的应用就是双重签名,即让两个摘要连接起来生成新的摘要,接收者在验证双重签名的时候需要将另一条信息也发送过去,真正做到让每一个接收者都能验证消息的可靠性与真实性。例如,甲用户想要购买乙的房产,那么甲方就需要给乙一个报价以及银行的授权书,当乙同意了按照这种价格出卖的时候甲就应该将钱款打到乙方的银行账户中,如果甲不想让房产的报价被银行看到,同时也不想让乙方看到他的银行账号,此时的报价与付款就是联系在一起的,只有当乙方同意了甲方的报价这笔钱款才会进行转移,这就是双重签名的实现。
综上所述,本文对信息资源网站安全设计与加密技术进行分析,信息资源网站安全设计与数据加密技术作为网络安全技术的中心,重要性是不可小觑的,随着安全设计的提升以及加密算法的公开化,相关研究人员正在致力于该方面的开发与设计中,我们应该不断的培养出具有高能力、高素质的综合型人才,才能更好的适应逐渐发展的网络安全环境,相信在众多专业人员的共同努力之下,未来我国的信息资源网站安全设计与加密技术会得到更大的发展与进步,迈上新的历史阶段。
[1]李丹.商业网站信息资源评价体系分析.无线互联科技,2015.
[2]黄晋.构建终身学习网的信息资源运维模式--以武汉终身学习网为例.武汉冶金管理干部学院学报,2013.
[3]张俊松.物联网环境下的安全与隐私保护关键问题研究.计算机科学与技术.北京邮电大学,2014.
[4]叶海燕.物联网环境下的网络安全问题研究.吉林广播电视大学学报,2014.
[5]徐阳.物联网密钥管理和认证技术研究.计算机应用技术.南京理工大学,2015.
[6]刘靖.物联网环境下面向服务计算的访问控制研究.计算机科学与技术.中国石油大学(华东),2012.