網路隨機加密
1. 無線路由器3種加密方式有什麼不同
第一種是:WPA-PSK/WPA2-PSK
這種加密方式說白了就是WPA/WPA2的精簡版,比較適合普通用戶使用,安全性很高,配置也比較簡單。
認證類型:可以選擇自動、WPA-PSK、WPA2-PSK,選擇自動的好處在於設備之間會協商使用哪種。
加密演算法:可以選擇TKIP、AES或者自動,因為11n模式不支持TKIP演算法,所以推薦使用自動,設備之間會協商選擇到底使用哪種演算法。
PSK密碼:也就是我們常說的無線密碼了,最少8個字元。
組密鑰更新周期:這個密鑰跟上邊的PSK密碼不同,它是用於加密PSK密碼用的,經常會變,如果這里設置為0則表示不更新組密鑰。
第二種:WPA/WPA2
這種加密方式雖然安全,但配置繁瑣,還需要有認證伺服器(RADIUS伺服器)的支持,所以一般人都不怎麼用。
認證類型:可以在WPA和WPA2或者自動之間選擇,自動的意思即為設備之間協商決定。
加密演算法:和WPA-PSK中的加密演算法介紹同,這里不再贅述。
Radius伺服器IP:顧名思義,填寫認證伺服器的IP地址。
Radius埠:填寫認證伺服器的認證埠(默認是1812,一般情況下無需更改)
Radius密碼:填寫訪問認證伺服器的密碼。
組密鑰更新周期:介紹同WPA-PSK中的相同配置
第三種:WEP(Wired Equivalent Privacy)
這種加密方式現在已經不怎麼用了,主要是安全性比較差,在破解工具面前可以說是不堪一擊,而且更要命的是802.11n模式不支持這種加密方式
認證類型:可以在自動、開放系統、共享密鑰中選擇,自動的意思就是設備之間協商;
開放系統指無線主機即使沒有密碼也能連接到無線路由器,但沒有密碼不能傳輸數據;
共享密鑰則需要無線主機必須提供密碼才能連接到無線路由器。
WEP密鑰格式:可以選擇十六進制或者ASCII碼,採用十六進制所能使用的字元有0-9和a-f;
ASCII則可以使用任意字元。
密碼長度:64位密碼需要輸入十六進制字元10個或者ASCII字元5個;
128位十六進制字元26個或者ASCII字元13個;
152位需要十六進制字元32個或者ASCII字元16個。
2. 我用的是電信無線wifi,求加密方法和怎麼查看網路是否被盜用
給無線網路加密 其實很簡單
給無線網路加密是無線路由的最基礎設置,無論你用的是何種品牌的無線路由器,你只需在IE地址欄中輸入無線路由的默認IP地址(一般是標注在無線路由底部的銘牌上),例如:192.168.1.1,然後登錄無線路由的Web配置界面,在「無線安全」菜單中就能找到無線加密的設置了。
在Web配置界面中進行設置
除了通過Web配置界面設置無線加密外,很多新款無線路由還可以通過隨機附帶的安裝光碟進行無線加密設置,對於初級用戶來說,這樣的向導光碟非常實用,操作起來簡單高效。
智能安裝向導
通過上面的介紹,相信你已經了解如何給無線網路加密了。但面對WEP、WPA、WPA2三種加密方式,我們又該如何選擇呢?它們之間的區別又是什麼呢?是不是隨便選一個就行呢?請接著往下看。
WEP:最先被攻破的無線加密技術
WEP(Wired Equivalent Privacy,有線等效保密)。單從名字上看,WEP似乎是一個針對有線網路的安全加密協議,其實並非如此。WEP標准在無線網路出現的早期就已創建,它是無線區域網WLAN的必要的安全防護層。目前常見的是64位WEP加密和128位WEP加密。
WEP安全技術源自於名為RC4的RSA數據加密技術,在無線網路中傳輸的數據是使用一個隨機產生的密鑰來加密的。但WEP用來產生這些密鑰的演算法很快就被發現具有可預測性,對於入侵者來說,他們可以很容易的截取和破解這些密鑰,讓用戶的無線安全防護形同虛設。
IEEE(美國電氣和電子工程師協會)802.11的WEP(有線等效保密)模式是在上世紀九十年代後期設計的,當時的無線安全防護效果非常出色。然而,僅僅兩年以後,在2001年8月,Fluhrer et al.就發表了針對WEP的密碼分析,利用RC4加解密和IV的使用方式的特性,在無線網路上偷聽幾個小時之後,就可以把RC4的鑰匙破解出來。這個攻擊方式迅速被傳播,而且自動化破解工具也相繼推出,WEP加密變得岌岌可危。
也許有些用戶在實際應用中會發現,雖然無線路由支持WEP、WPA、WPA2三種加密方式,但只有選擇WEP加密方式才能實現無線連接,選擇WPA/WPA2均無法連接。造成這種現象的主要是因為用戶的無線網卡(或操作系統版本)較老,只能支持WEP加密方式。所以,盡管WEP無線加密的安全性存在問題,但為了滿足早期無線用戶的需求,目前市場中主流的AP/無線路由依然支持WEP加密方式。
如果你所使用的無線網卡較老,那麼在選擇無線安全連接方式時,WEP加密可能就是你的唯一選擇,那麼請盡量選擇128位WEP加密,相比64位加密,安全性更可靠一些。雖然WEP加密的安全性不高,但依然可以阻擋一部分初級非法用戶的入侵,至少也可以避免讓你的無線網路成為「免費的公共WiFi熱點」,因此筆者強烈建議無線用戶們至少為你們的無線網路進行WEP加密。
3. 什麼網路加密的演算法
由於網路所帶來的諸多不安全因素使得網路使用者不得不採取相應的網路安全對策。為了堵塞安全漏洞和提供安全的通信服務,必須運用一定的技術來對網路進行安全建設,這已為廣大網路開發商和網路用戶所共識。
現今主要的網路安全技術有以下幾種:
一、加密路由器(Encrypting Router)技術
加密路由器把通過路由器的內容進行加密和壓縮,然後讓它們通過不安全的網路進行傳輸,並在目的端進行解壓和解密。
二、安全內核(Secured Kernel)技術
人們開始在操作系統的層次上考慮安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。如S olaris操作系統把靜態的口令放在一個隱含文件中, 使系統的安全性增強。
三、網路地址轉換器(Network Address Translater)
網路地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,初衷是為了解決IP 地址不足,現多用於網路安全。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網路看不到內部網路, 從而隱藏內部網路,達到保密作用。
數據加密(Data Encryption)技術
所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數、解密鑰匙(Decryti on key)還原成明文。加密技術是網路安全技術的基石。
數據加密技術要求只有在指定的用戶或網路下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用於加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。
專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據後,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。
DES是一種數據分組的加密演算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,並在給定的密鑰參數條件下,進行多次迭代而得到加密密文。
公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的演算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA演算法。
在計算機網路中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)。通信加密又有節點加密、鏈路加密和端--端加密3種。
①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。
②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。
③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體泄漏也很有效。
在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。
值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。
(1)數字簽名
公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。
數字簽名一般採用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。
數字簽名不同於手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之後的,與文本信息是分離的。
(2)Kerberos系統
Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法。
它的安全機制在於首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。
Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:
①安全性高,Kerberos系統對用戶的口令進行加密後作為用戶的私鑰,從而避免了用戶的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令信息;
②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對於合法用戶來說是透明的;
③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全。
Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,並且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配伺服器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示。
Kerberos有其優點,同時也有其缺點,主要如下:
①、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
②、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
③、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴於AS和TGS的性能和安全。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。
④、隨用戶數增加,密鑰管理較復雜。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰
( 3 )、PGP演算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的。公開密鑰和分組密鑰在同一個系統中,公開密鑰採用RSA加密演算法,實施對密鑰的管理;分組密鑰採用了IDEA演算法,實施對信息的加密。
PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平台上運行。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等。
(4)、PEM演算法
保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基於RSA和DES演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:
對所有報文都提供諸如:驗證、完整性、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等。
PEM對報文的處理經過如下過程:
第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;
第二步,MIC(Message Integrity Code)計算;
第三步,把處理過的報文轉化為適於SMTP系統傳輸的格式。
身份驗證技術
身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節。
Web網上採用的安全技術
在Web網上實現網路安全一般有SHTTP/HTTP和SSL兩種方式。
(一)、SHTTP/HTTP
SHTTP/HTTP可以採用多種方式對信息進行封裝。封裝的內容包括加密、簽名和基於MAC 的認證。並且一個消息可以被反復封裝加密。此外,SHTTP還定義了包頭信息來進行密鑰傳輸、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境。
SHTTP並不依賴於特定的密鑰證明系統,它目前支持RSA、帶內和帶外以及Kerberos密鑰交換。
(二)、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標准。SSL廣泛應用於Intranet和Internet 網,其產品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器,以及諸如Apa che-SSL等產品。
SSL提供三種基本的安全服務,它們都使用公開密鑰技術。
①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL伺服器之間的所有業務使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯。 ②信息完整性,確保SSL業務全部達到目的。如果Internet成為可行的電子商業平台,應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,並在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一台支持SSL的典型網路主機接受SSL連接的默認埠是443而不是80。
當客戶機連接該埠時,首先初始化握手協議,以建立一個SSL對話時段。握手結束後,將對通信加密,並檢查信息完整性,直到這個對話時段結束為止。每個SSL對話時段只發生一次握手。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低。一次SSL握手將發生以下事件:
1.客戶機和伺服器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。
2.客戶機隨機地產生一組密鑰,它們用於信息加密和MAC計算。這些密鑰要先通過伺服器的公開密鑰加密再送往伺服器。總共有四個密鑰分別用於伺服器到客戶機以及客戶機到伺服器的通信。
3.信息加密演算法(用於加密)和hash函數(用於確保信息完整性)是綜合在一起使用的。Netscape的SSL實現方案是:客戶機提供自己支持的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。
代理服務
在 Internet 中廣泛採用代理服務工作方式, 如域名系統(DNS), 同時也有許多人把代理服務看成是一種安全性能。
從技術上來講代理服務(Proxy Service)是一種網關功能,但它的邏輯位置是在OSI 7層協議的應用層之上。
代理(Proxy)使用一個客戶程序,與特定的中間結點鏈接,然後中間結點與期望的伺服器進行實際鏈接。與應用網關型防火牆所不同的是,使用這類防火牆時外部網路與內部網路之間不存在直接連接,因此 ,即使防火牆產生了問題,外部網路也無法與被保護的網路連接。
防火牆技術
(1)防火牆的概念
在計算機領域,把一種能使一個網路及其資源不受網路"牆"外"火災"影響的設備稱為"防火牆"。用更專業一點的話來講,防火牆(FireW all)就是一個或一組網路設備(計算機系統或路由器等),用來在兩個或多個網路間加強訪問控制,其目的是保護一個網路不受來自另一個網路的攻擊。可以這樣理解,相當於在網路周圍挖了一條護城河,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查。
防火牆的組成可以這樣表示:防火牆=過濾器+安全策略(+網關)。
(2)防火牆的實現方式
①在邊界路由器上實現;
②在一台雙埠主機(al-homed host)上實現;
③在公共子網(該子網的作用相當於一台雙埠主機)上實現,在此子網上可建立含有停火區結構的防火牆。
(3)防火牆的網路結構
網路的拓撲結構和防火牆的合理配置與防火牆系統的性能密切相關,防火牆一般採用如下幾種結構。
①最簡單的防火牆結構
這種網路結構能夠達到使受保護的網路只能看到"橋頭堡主機"( 進出通信必經之主機), 同時,橋頭堡主機不轉發任何TCP/IP通信包, 網路中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持。但它把整個網路的安全性能全部託付於其中的單個安全單元,而單個網路安全單元又是攻擊者首選的攻擊對象,防火牆一旦破壞,橋頭堡主機就變成了一台沒有尋徑功能的路由器,系統的安全性不可靠。
②單網端防火牆結構
其中屏蔽路由器的作用在於保護堡壘主機(應用網關或代理服務) 的安全而建立起一道屏障。在這種結構中可將堡壘主機看作是信息伺服器,它是內部網路對外發布信息的數據中心,但這種網路拓撲結構仍把網路的安全性大部分託付給屏蔽路由器。系統的安全性仍不十分可靠。
③增強型單網段防火牆的結構
為增強網段防火牆安全性,在內部網與子網之間增設一台屏蔽路由器,這樣整個子網與內外部網路的聯系就各受控於一個工作在網路級的路由器,內部網路與外部網路仍不能直接聯系,只能通過相應的路由器與堡壘主機通信。
④含"停火區"的防火牆結構
針對某些安全性特殊需要, 可建立如下的防火牆網路結構。 網路的整個安全特性分擔到多個安全單元, 在外停火區的子網上可聯接公共信息伺服器,作為內外網路進行信息交換的場所。
網路反病毒技術
由於在網路環境下,計算機病毒具有不可估量的威脅性和破壞力, 因此計算機病毒的防範也是網路安全性建設中重要的一環。網路反病毒技術也得到了相應的發展。
網路反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。(1) 預防病毒技術,它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術是:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒卡)等。(2)檢測病毒技術,它是通過對計算機病毒的特徵來進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。(3)消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟體。
網路反病毒技術的實施對象包括文件型病毒、引導型病毒和網路病毒。
網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和監測;在工作站上採用防病毒晶元和對網路目錄及文件設置訪問許可權等。
隨著網上應用不斷發展,網路技術不斷應用,網路不安全因素將會不斷產生,但互為依存的,網路安全技術也會迅速的發展,新的安全技術將會層出不窮,最終Internet網上的安全問題將不會阻擋我們前進的步伐
4. 互聯網信息安全傳輸加密模式原理分解
網路安全主要是通過信息加密來實現的。今天,我們就一起來了解一下,這些信息加密的方法是如何運行的。它背後的原理都有哪些。希望通過對本文的閱讀。能夠提高大家對互聯網信息安全的信任度。
有了「原信息」和它對應的「md5簽名字元串」,我們就可以做基本的信息驗證:通過md5簽名字元串的一致性,來保障我們收到的信息沒有受到更改。
P.S.:由於簽名signature在後續文章中會另有所指,為區分md5簽名字元串,我們將md5簽名字元串的叫法,更改為md5指紋字元串。意思同簽名是一樣的,就是A之所以是A的證據、特徵,可以用簽名來表示,也可以用指紋來表示。這里,我們開始將md5字元串對應的這個特徵,稱作md5指紋。
但一個容易發現的漏洞是,如果「原信息」和「md5指紋字元串」同時被修改了該怎麼辦?原信息被代提成了偽信息,而md5指紋字元串也被替換成了偽信息所生成的md5碼,這時候,原有的驗證過程都可以走通,根本無法發現信息被修改了或者替換了。
為了解決這個問題,在工業實踐中便會將驗證和加密進行組合使用。除了單純的組合,還會引入一些基本的小技巧。
例如,因為md5的驗證演算法是公開的,所以很容易生成一份信息的md5指紋字元串,從而對原信息進行偽造。那麼,可以不可以讓人無法或者說難於偽造這份信息的md5指紋字元串呢?
一個小技巧是:並不提供原信息的md5驗證碼,而是提供「原信息+akey」的md5指紋字元串:
這個key,就是一串如「」這樣的隨機字元串,它由「發信人」和「收信人」分別單獨保存。
這時候,我們的驗證流程就變成了:
發件人將「原信息」和「key」一起打包,生成一個md5指紋字元串。再將原信息和md5指紋字元串發送出去。
收件人收到信息後,將「接受信息」和「key」一起打包,生成一個md5字元串,再與接收到的md5字元串比較,看它們是否一致。
在這樣的情況下,即便是原信息和md5字元串同時被修改了,但因為偽造者並不知道這個md5字元串是在原有信息的基礎上,增加了什麼樣的一個key字元串來生成的,他就幾乎不可能提供一個「原信息+key」的md5字元串。因為他無法逆向推導出那個key長成什麼樣。而這個「幾乎不可能」,是由md5加密演算法所保證的。
另一種保障「原信息」和「md5指紋字元串」的方式,是直接考慮把md5驗證碼做加密。昆明電腦培訓http://www.kmbdqn.cn/認為這種方式並不同上面的小技巧相沖突,事實上它完全可以和上面的技巧結合,構造出更安全的方式。但為了降低理解的困難程度,讓我們先暫時拋開上面的小技巧,只是單純地考慮「原信息」「md5指紋字元串」和「md5字元串加密」這三樣東西。
5. VBS隨機加密代碼
呵呵,這個不難,給你提供一個思路,自己琢磨一下,呵呵
首先主體部分,讀入1.vbs,
寫個循環
密鑰由
rnd()產生
調用
加密函數
生成
2.vbs
暫停(sleep)
5分鍾
然後是你的加密函數,循環內部調用你的加密函數這個太多了,上網收一下成片的都是。
下面是部分代碼,自己補全吧,呵呵
Dim
str
read
Randomize
For
i
=
1
To
10
a=Int(Rnd()*10000)
'四位加密密鑰,你可以取更長
code
str,a
write
WScript.Sleep
5*60*1000
Next
sub
read()
'讀取1.vbs到str
End
sub
Sub
write()
'把str寫入2.vbs
End
Sub
Sub
code(str,a)
'加密演算法,
End
Sub
6. 隨機確定密文的加密方式,密碼有辦法被破解嗎
只要有程序,無須破解密碼,只要在判斷程序的地方,把相等判斷改為不等判斷即可. 原始程序要麼是: if 密碼 等於 '原始密碼' then 繼續使用; 要麼是: if 密碼 不等於 '原始密碼' then 出錯退出; 只要找到這樣的地方,把等於改為不等於,或者把不等
7. 網路加密
MD5的全稱是Message-Digest Algorithm 5(信息-摘要演算法),在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest開發出來,經MD2、MD3和MD4發展而來。它的作用是讓大容量信息在用數字簽名軟體簽署私人密匙前被"壓縮"成一種保密的格式(就是把一個任意長度的位元組串變換成一定長的大整數)。不管是MD2、MD4還是MD5,它們都需要獲得一個隨機長度的信息並產生一個128位的信息摘要。雖然這些演算法的結構或多或少有些相似,但MD2的設計與MD4和MD5完全不同,那是因為MD2是為8位機器做過設計優化的,而MD4和MD5卻是面向32位的電腦。這三個演算法的描述和C語言源代碼在Internet RFCs 1321中有詳細的描述http://www.ietf.org/rfc/rfc1321.txt),這是一份最權威的文檔,由Ronald L. Rivest在1992年8月向IEFT提交。
Rivest在1989年開發出MD2演算法。在這個演算法中,首先對信息進行數據補位,使信息的位元組長度是16的倍數。然後,以一個16位的檢驗和追加到信息末尾。並且根據這個新產生的信息計算出散列值。後來,Rogier和Chauvaud發現如果忽略了檢驗和將產生MD2沖突。MD2演算法的加密後結果是唯一的--既沒有重復。
為了加強演算法的安全性,Rivest在1990年又開發出MD4演算法。MD4演算法同樣需要填補信息以確保信息的位元組長度加上448後能被512整除(信息位元組長度mod 512 = 448)。然後,一個以64位二進製表示的信息的最初長度被添加進來。信息被處理成512位Damg?rd/Merkle迭代結構的區塊,而且每個區塊要通過三個不同步驟的處理。Den Boer和Bosselaers以及其他人很快的發現了攻擊MD4版本中第一步和第三步的漏洞。Dobbertin向大家演示了如何利用一部普通的個人電腦在幾分鍾內找到MD4完整版本中的沖突(這個沖突實際上是一種漏洞,它將導致對不同的內容進行加密卻可能得到相同的加密後結果)。毫無疑問,MD4就此被淘汰掉了。
盡管MD4演算法在安全上有個這么大的漏洞,但它對在其後才被開發出來的好幾種信息安全加密演算法的出現卻有著不可忽視的引導作用。除了MD5以外,其中比較有名的還有SHA-1、RIPE-MD以及HAVAL等。
一年以後,即1991年,Rivest開發出技術上更為趨近成熟的MD5演算法。它在MD4的基礎上增加了"安全-帶子"(Safety-Belts)的概念。雖然MD5比MD4稍微慢一些,但卻更為安全。這個演算法很明顯的由四個和MD4設計有少許不同的步驟組成。在MD5演算法中,信息-摘要的大小和填充的必要條件與MD4完全相同。Den Boer和Bosselaers曾發現MD5演算法中的假沖突(Pseudo-Collisions),但除此之外就沒有其他被發現的加密後結果了。
Van Oorschot和Wiener曾經考慮過一個在散列中暴力搜尋沖突的函數(Brute-Force Hash Function),而且他們猜測一個被設計專門用來搜索MD5沖突的機器(這台機器在1994年的製造成本大約是一百萬美元)可以平均每24天就找到一個沖突。但單從1991年到2001年這10年間,竟沒有出現替代MD5演算法的MD6或被叫做其他什麼名字的新演算法這一點,我們就可以看出這個瑕疵並沒有太多的影響MD5的安全性。上面所有這些都不足以成為MD5的在實際應用中的問題。並且,由於MD5演算法的使用不需要支付任何版權費用的,所以在一般的情況下(非絕密應用領域。但即便是應用在絕密領域內,MD5也不失為一種非常優秀的中間技術),MD5怎麼都應該算得上是非常安全的了。
8. 網路現代加密技術分幾種
1 數據加密原理
1.1數據加密
在計算機上實現的數據加密,其加密或解密變換是由密鑰控制實現的。密鑰(Keyword)是用戶按照一種密碼體制隨機選取,它通常是一隨機字元串,是控制明文和密文變換的唯一參數。
例:明文為字元串:
AS KINGFISHERS CATCH FIRE
(為簡便起見,假定所處理的數據字元僅為大寫字母和空格符)。
假定密鑰為字元串: ELIOT
加密演算法為:
(1)將明文劃分成多個密鑰字元串長度大小的塊(空格符以″+″表示)
AS+KI NGFIS HERS+ CATCH +FIRE
(2)用00~26范圍的整數取代明文的每個字元,空格符=00,A=01,...,Z=26:
0119001109 1407060919 0805181900 0301200308 0006091805
(3) 與步驟2一樣對密鑰的每個字元進行取代:
0512091520
(4) 對明文的每個塊,將其每個字元用對應的整數編碼與密鑰中相應位置的字元的整數編碼的和模27後的值取代:
(5) 將步驟4的結果中的整數編碼再用其等價字元替換:
FDIZB SSOXL MQ+GT HMBRA ERRFY
理想的情況是採用的加密模式使得攻擊者為了破解所付出的代價應遠遠超過其所獲得的利益。實際上,該目的適用於所有的安全性措施。這種加密模式的可接受的最終目標是:即使是該模式的發明者也無法通過相匹配的明文和密文獲得密鑰,從而也無法破解密文。
1.2數字簽名
密碼技術除了提供信息的加密解密外,還提供對信息來源的鑒別、保證信息的完整和不可否認等功能,而這三種功能都是通過數字簽名實現。
數字簽名是涉及簽名信息和簽名人私匙的計算結果。首先,簽名人的軟體對發送信息進行散列函數運算後,生成信息摘要(message digest)--這段信息所特有的長度固定的信息表示,然後,軟體使用簽名人的私匙對摘要進行解密,將結果連同信息和簽名人的數字證書一同傳送給預定的接收者。而接收者的軟體會對收到的信息生成信息摘要(使用同樣的散列函數),並使用簽名人的公匙對簽名人生成的摘要進行解密。接收者的軟體也可以加以配置,驗證簽名人證書的真偽,確保證書是由可信賴的CA頒發,而且沒有被CA吊銷。如兩個摘要一樣,就表明接收者成功核實了數字簽名。
2 加密體制及比較
根據密鑰類型不同將現代密碼技術分為兩類:一類是對稱加密(秘密鑰匙加密)系統,另一類是公開密鑰加密(非對稱加密)系統。
2.1對稱密碼加密系統
對稱鑰匙加密系統是加密和解密均採用同一把秘密鑰匙,而且通信雙方都必須獲得這把鑰匙,保持鑰匙的秘密。
對稱密碼系統的安全性依賴於以下兩個因素。第一,加密演算法必須是足夠強的,僅僅基於密文本身去解密信息在實踐上是不可能的;第二,加密方法的安全性依賴於密鑰的秘密性,而不是演算法的秘密性。因為演算法不需要保密,所以製造商可以開發出低成本的晶元以實現數據加密。這些晶元有著廣泛的應用,適合於大規模生產。
對稱加密系統最大的問題是密鑰的分發和管理非常復雜、代價高昂。比如對於具有n個用戶的網路,需要n(n-1)/2個密鑰,在用戶群不是很大的情況下,對稱加密系統是有效的。但是對於大型網路,當用戶群很大,分布很廣時,密鑰的分配和保存就成了大問題。對稱加密演算法另一個缺點是不能實現數字簽名。
對稱加密系統最著名的是美國數據加密標准DES、AES(高級加密標准)和歐洲數據加密標准IDEA。1977年美國國家標准局正式公布實施了美國的數據加密標准DES,公開它的加密演算法,並批准用於非機密單位和商業上的保密通信。DES成為全世界使用最廣泛的加密標准。
但是,經過20多年的使用,已經發現DES很多不足之處,對DES的破解方法也日趨有效。AES將會替代DES成為新一代加密標准。DES具有這樣的特性,其解密演算法與加密演算法相同,除了密鑰Key的施加順序相反以外。
2.2 公鑰密碼加密系統
公開密鑰加密系統採用的加密鑰匙(公鑰)和解密鑰匙(私鑰)是不同的。由於加密鑰匙是公開的,密鑰的分配和管理就很簡單,比如對於具有n個用戶的網路,僅需要2n個密鑰。公開密鑰加密系統還能夠很容易地實現數字簽名。因此,最適合於電子商務應用需要。在實際應用中,公開密鑰加密系統並沒有完全取代對稱密鑰加密系統,這是因為公開密鑰加密系統是基於尖端的數學難題,計算非常復雜,它的安全性更高,但它實現速度卻遠趕不上對稱密鑰加密系統。在實際應用中可利用二者的各自優點,採用對稱加密系統加密文件,採用公開密鑰加密系統加密″加密文件″的密鑰(會話密鑰),這就是混合加密系統,它較好地解決了運算速度問題和密鑰分配管理問題。
根據所基於的數學難題來分類,有以下三類系統目前被認為是安全和有效的:大整數因子分解系統(代表性的有RSA)、橢圓曲線離散對數系統(ECC)和離散對數系統(代表性的有DSA)。
當前最著名、應用最廣泛的公鑰系統RSA是由Rivet、Shamir、Adelman提出的(簡稱為RSA系統),它加密演算法使用了兩個非常大的素數來產生公鑰和私鑰。現實中加密演算法都基於RSA加密演算法。pgp演算法(以及大多數基於RSA演算法的加密方法)使用公鑰來加密一個對稱加密演算法的密鑰,然後再利用一個快速的對稱加密演算法來加密數據。這個對稱演算法的密鑰是隨機產生的,是保密的,因此,得到這個密鑰的唯一方法就是使用私鑰來解密。
RSA方法的優點主要在於原理簡單,易於使用。隨著分解大整數方法的進步及完善、計算機速度的提高以及計算機網路的發展(可以使用成千上萬台機器同時進行大整數分解),作為RSA加解密安全保障的大整數要求越來越大。為了保證RSA使用的安全性,其密鑰的位數一直在增加,比如,目前一般認為RSA需要1024位以上的字長才有安全保障。但是,密鑰長度的增加導致了其加解密的速度大為降低,硬體實現也變得越來越難以忍受,這對使用RSA的應用帶來了很重的負擔,對進行大量安全交易的電子商務更是如此,從而使得其應用范圍越來越受到制約。
DSA(DataSignatureAlgorithm)是基於離散對數問題的數字簽名標准,它僅提供數字簽名,不提供數據加密功能。它也是一個″非確定性的″數字簽名演算法,對於一個報文M,它的簽名依賴於隨機數r ?熏 這樣,相同的報文就可能會具有不同的簽名。另外,在使用相同的模數時,DSA比RSA更慢(兩者產生簽名的速度相同,但驗證簽名時DSA比RSA慢10到40倍)。
2.3 橢圓曲線加密演算法ECC技術優勢
安全性更高、演算法實現性能更好的公鑰系統橢圓曲線加密演算法ECC(EllipticCurveCryptography)基於離散對數的計算困難性。