安全传输范文
时间:2023-11-24 21:55:56
安全传输篇1
关键词:铁路;通信传输;特点;安全措施
中图分类号: U21 文献标识码: A 文章编号: 1673-1069(2016)22-18-2
0 引言
随着科学技术的不断发展,我国的铁路技术以及通信技术都有了很大的进步,致使我国的铁路通信传输系统也得到了进一步的发展和进步。目前我国铁路通信体系已经实现了车站、列车等管控一体化,同时也实现了铁路行车指挥的自动化等,打破了原有的传统局限性,逐步实现了我国铁路通信传输体系的自动化、数字化、一体化等。但是随着铁路通信传输体系的不断发展,其运行安全问题也受到越来越多人的关注,并且也对铁路运输的安全性带来严重的影响。因此针对铁路通信传输安全问题的研究,对铁路运输行业的持续发展具有重要的现实意义。
1 铁路通信传输安全的重要性
运输行业一直是国家经济大力发展的基础,近些年来,我国逐渐加大了交通运输行业的投入力度,尤其是铁路事业更是取得了重大发展,并且已经建立了相应完善的通信传输体系,铁路运输管理日益完善。铁路通信传输体系一直是铁路运输行业的重要组成部分,为铁路运输任务提供基本的信息服务,因此,铁路通信传输体系还具备服务性和安全性的特性。它日常的主要工作任务就是科学合理的指挥列车运行、合理配置运输生产,保证列成的安全行进,并且传输各种信息。
在铁路通信传输工作中坚持“安全第一”的思想理念,及时地消除安全隐患、合理配置运输任务,提高工作效率,保证列车行进的安全性、可靠性。并且由于铁路线路的特点,导致铁路通信管理难度加大,因此一定要保证铁路通信传输技术的先进性,应用合理的管理理念,为铁路通信传输体系的安全性奠定坚持的基础。目前,随着科学技术的不断发展,我国的铁路行业也在朝着现代化的方向行进,而通信传输的安全性、高效性更是铁路运输安全的重要保证。铁路通信传输体系的根本职能就是具有高效的通信能力,保证铁路传输的安全性要求,实现铁路运输的高速发展。
2 铁路通信传输的特点
2.1 铁路通信传输以运输为重点
铁路通信传输的主要工作目标就是协调列车、机车的合理运行,保证列车行进的安全性要求,提升列成的运行效率。并且对铁路通信传输体系而言,其首要的工作内容就是保证铁路线信息传输的高效性,方便列车在行进的过程中遇到突发事故及时进行信息传递,保证人们的生命财产安全。
2.2 铁路通信传输设备具有分散性,且组网难度较大
铁路通信传输本质上还是属于传统通信技术,需要将架空明线、电缆等均匀的分布在铁路线路两旁。并且铁路通信传输设备分布的较为松散,在各个机务段、车务段、车辆段中都涉及到。并且为了进一步保证铁路通信传输的安全性,在铁路两侧间隔一段距离的时候也都安装了区间电话,方便应对铁路线路的突发事故。
2.3 铁路通信传输内容多,且设备齐全
铁路运输涉及的内容比较多,而且种类繁杂,导致铁路通信传输工作也比较繁杂,且通信设备种类较多,这也对铁路通信传输工作的安全性提出了更高的要求。并且随着科学技术的不断发展,目前我国的铁路通信传输体系大都建立了综合性的铁路通信网,不仅提高了通信传输的效率,也保证了通信传输工作的可靠性,实现了分秒不断的传输要求。
2.4 铁路通信传输实现了无线电与有线电的结合
随着通信技术的不断发展,为了更好地完成铁路通信运输要求,铁路通信运输体系基本上采取无线电与有线电相结合的技术,并且逐渐形成了有线通信为主,无线通信为辅的通信传输体系,全面保障铁路系统的安全运行。
2.5 铁路通信传输对安全性、可靠性要求更高
铁路通信传输工作本身就具有安全系统,尤其是现代的铁路通信传输机构安全体系的优势更加的明显。并且现代铁路通信传输体系的组网方式更加的多样化,并且强化了通信传输硬件设备,提高了铁路通信传输的安全性和可靠性。
3 铁路通信传输安全性影响因素分析
3.1 铁路通信传输体系硬件设备的质量因素
硬件设备是铁路通信传输体系的重要载体,如果通信设备的质量无法保证,通信传输体系的工作效能将无法发挥,铁路运输安性将无法得到保证。因此,如果选用不同厂家的通行设备时,一定要做应用前的试用实验,防止出现设备不匹配引起的通信安全问题。同时,还要注意引进设备的稳定性,如果应用设备还不成熟,在应有的过程中可能其稳定性无法保证,影响通信数据的准确性,严重时可能损坏设备,引发设备故障。电缆、光缆也是通信传输的重要组成设备,它们的质量问题也会影响通信传输体系。
3.2 铁路通信传输体系的人为因素
铁路通信传输体系的工作人员在通信设备安装、管理的过程中,缺乏责任感,在工作的过程中没有遵守安全规章制度,为铁路通信传输的安全性埋下隐患。例如,通信线路安装不到位,使线路容易受到外部自然环境的影响,损害通信设备,危及通信传输的安全性、可靠性。并且一些铁路工作者,在工作的过程中还缺乏应有的安全意识,无法及时发现铁路通信传输中的安全隐患,引发更为严重的故障问题,最终影响铁路运输的安全性。这些人为原因不仅仅局限于基层的工作人员,在管理层中也同样的存在。一旦管理层放松了对铁路通信传输的安全管理,其下属机构也会不注重此项工作,严重阻碍安全防护工作的开展。同时,社会中还存在一些违法分子,为了经济利益恶意盗取光缆、电缆,严重影响了铁路通信传输工作的开展。
4 加强铁路通信传输安全的有效措施
4.1 合理选择铁路通信传输方式
首先,结合铁路发展需求,积极创新铁路通信传输方式。铁路通信传输的影响因素有很多,在创新传输方式的时候要结合具体问题具体分析,强化铁路通信传输的可靠性。如充分借助已经开发使用的光纤自动切换成保护系统,为铁路通信传输的稳定、安全提供有效保障。其次,结合铁路通信传输需要选择有效的传输方式。就当前来看,可以选择两种传输方式,一是无线传输,二是有线传输,此种传输方式具有可靠性高、稳定性高、保密性高、传输量大的优点,但建设费用较高,需时较长。在应用的过程中,要结合工作实际,合理地选用。
4.2 增加硬件设备投入,提升硬件设备质量
铁路通信传输的硬件设备也会影响传输的安全性,所以,必须要注重硬件设备的投入,购买高质量的硬件设备,同时做好硬件设备的日常保养与维护,确保在使用过程中不会出现故障。在改进铁路通信传输设备的时候要多采用科学的知识与技术,有效保障铁路通信传输系统发展的安全性与快速性。同时,铁道部要全面落实硬件设备来源的监管,严格审查,确保引进的硬件设备均质量合格;在使用硬件设备之前,管理人员必须要再次检查,查看设备出厂商的成长与诚信资质,确保投人使用的设备是安全、可靠、合格的。
4.3 注重工作人员安全意识的培养
铁路管理机构要加强铁路通信传输体系的管理力度,建立符合铁路运行实际的安全管理机制,完善铁路通信传输管理制度;其次加强铁路员工培训工作的开展力度,不仅注重工作人员工作技能的培训,还要提高员工的安全意识、责任意识,并且开展岗前培训工作、安全培训工作等,切实提高员工的安全意识和安全工作技能,促使铁路员工工作开展得更加规范化。同时,还要帮助员工树立终身学习的理念,将员工的综合素质与员工的绩效相结合,提高员工学习的积极性。
5 结语
总之,铁路通信传输体系一直是铁路系统的重要组成部分,它的安全性对铁路运输整体状况具有重要的影响。但是由于铁路通信传输体系在具体的运行中,受到多种因素的干扰,易引发多种安全问题。基于此当前的铁路通信传输体系积极应用新技术,其硬件设备的可靠性、稳定性,提高铁路工作人员的积极性,及时消除铁路通信传输体系的安全性。
参 考 文 献
[1] 李智.加强铁路通信传输安全的有效措施分析[J].信息通信,2014(8):220-220.
[2] 赵风海.加强铁路通信传输安全的有效措施分析[J].建筑工程技术与设计,2015(13):1073-1073.
[3] 赵凤海.加强铁路通信传输安全的有效措施分析[J].建筑工程技术与设计,2015(9):1408-1408.
安全传输篇2
现在,计算机技术已经在人们的生活中广泛使用,逐渐深入到各个领域中,但是,网络安全问题层出不穷,直接影响着人们使用网络的效率,在信息传递的过程中信息容易被盗取,存在很大的安全漏洞,所以,要对网络通信的安全性进行分析,提高网络传输的安全性。安全协议的提出主要解决了网络安全业务使用中,确保信息保密性,数据完整性以及被访问业务的严密性。为了进一步加强网络通信技术的高效性,通常采用的是网络控制技术,主要包含:防火墙技术能够有效地识别访问是否是合法的,结合网络安全技术,从而能够提高数据传输的安全性;在审计方面的技术,能够按照信息中的相关数据,从而能够分析网络安全隐患的具体内容,通过自动化的报警系统,能够及时地解决网络传输中的安全问题;访问的安全控制,这样技术能够将文件删除,而且能够将重要的文件储存下来,防止病毒侵害文件;安全协议能够通过设置密码的方式,从而能够对用户的身份进行确定,提高了数据传输的安全性。SSL安全协议的服务功能主要包括:(1)秘密性。安全协议能够在客户端处建立一个安全的通道,此通道只有通过身份认证后才可以进入,进行数据的传输,而且能够设置密码,有效地防止病毒的侵入。(2)完整性,安全协议在进行数据传输的过程中是通过了精密的算法的,而且可以采用函数的形式,从而确保信息在传输的过程保持完整性,而且不会丢失。在传输的过程途中具备跟踪的效果,有效的防止了服务器和客户端之间在连接过程中遭受任何破坏。(3)认证性,在信息传递的过程中,可以与第三方加强联系,通过认证的方式,从而能够运用身份认证的方式,提高数据传输的安全性。而报警协议则是,信息在传输过程中遭受破坏时,为了防止失败会话继续建立而建立的一种新的连接方式。本文重点研究了SSL安全协议,该协议在通信网络使用中应用于应用层中,其的安全性、可扩展性以及互用性等特征。
二、SSL安全协议在网络通信中的具体应用
SSL安全协议在数据传递的过程中被经常性的使用,能够运用监控系统分析网络中的隐患,从而确保数据能够安全的传递,从而能够对信号进行及时地收集,通过转码的方式,将数据压缩,在选用通信设备的时候,也能够对设备进行识别,从而能够运用SSL安全协议,提高数据传输的有效性。服务器:它属于整个系统中最关键的部分,对所有的视频服务,在视频采集、播放以及转发等部分建立信息,并且将其通过通道写入数据库。客户端实现了将密码输送到用户处,在密码输入无误的情况下,能够访问页面。通过SSL安全协议,有效的连接客户端和服务器之间,提高信息传输的安全性,另外该协议基于实时性的要求,将收集到的信息通过网络实现连接,从而能够完善数据传输的通道,通过无线视频的方式,将传输的信号以不同的方式进行分类,然后形成不同的模块,然后与函数组合起来,通过特定的方式实现数据的加密处理。
三、结语
通过分析SSL安全协议在网络通信中的应用过程,为实现现代信息传输的安全性和可靠性提供了进一步技术保障。能够将服务器与客户端连接在一起,在数据的监控中,能够减少数据传输的流程,提高数据传输的效率。当命令信息经过加密处理之后,基于SSL协议进一步传输,提高了机密信息传输的安全性,高效的满足了无线视频系统的安全需求,为服务器和客户端之间建立了一种可靠的数据传输通道,在数据传输的过程中,为了能够防止病毒的侵入,这时就要运用无线系统,为数据的传输提供安全的途径,从而能够促进数据的安全传递。
安全传输篇3
同时,由于城市轨道交通乘客服务质量要求的提高,系统之前存在的大量数据交换的需求,例如列车控制系统(ATC)需要向乘客信息系统(PIS)和机电设备监控系统(EMCS) 及时发送时刻表信息,那么,如何既保证工业控制网络与其他网络的互相独立,又能实现网络间部分特殊信息的传输交换?
安全传输系统概述
这里,我们需要一个类似于防火墙性能的连接件来过滤通信文件,这个连接件称之为安全传输系统。
假定工业控制网络有许多部件要与一个或多个公共通信网络连接,为了保护这些与安全控制相关的部件,避免非法入侵,并尽可能使通信基础清晰,因此只计划一个连接点。负责安全控制的工业网络形成“封闭式”局域网,这里称之为WAN#1。与公共网络连接的部件,由于它们自身没有防火墙,成为开放式通信网络,这里称之为WAN#2。两个WAN网络之间我们就用安全传输系统连接。
两个WAN网络之间的通信连接均受安全传输系统监控。此系统只让规定的通信文件通过,对每一个连接,规定了通信双方的参数(IP地址,使用的通信端口,通信报文头,通信报文结构)。安全传输系统的过滤功能验证所有想WAN#1传输的通信,所以影响运行控制安全的指令不会从WAN#2流入WAN#1,反方向,对离开WAN#1的通信报文,只验证通信关系。
在WAN#2上,数据源可能已被非法侵入,对这种情况,仅仅通过确认发送者的身份不能保证闭路数据的安全,辅加的过滤功能分析通信类型,只有预先规定的通信类型才能通过。传至工业控制网络的与安全相关的指令,通常被堵绝,并把被堵绝的通信记录成出错信息,以备进一步分析。
安全传输系统的连接
安全传输系统包括两个串联连接的独立设备传输单元,它们之间相互监控。两个安全传输单元独立地检查WAN#1与WAN#2之间的通信。出故障时,即一个传输单元探出其自身或另外一装置出错,则立刻关闭应用及运行系统。利用双通道性能,如果一个传输单元过滤失败,两个独立的WAN可保持分开,这样传输单元就不会传输未经过滤的文件。
安全传输系统与WAN#1、WAN#2的连接只采用TCP/IP协议。由于安全传输系统是串联连接的,二个传输单元之间内部连接会发生协议交换,即不用TCP/IP作为传输协议。因此,即使核心部分出错,也不可能在两个系统间交换报文,因为TCP/IP协议在传输单元内部连接中不起作用。
另外,向WAN#1传输的已过滤的报文在传输之间会被编码,这样接受方的传输单元利用编码就可确定该文件是否是通过WAN#2方的传输装置发送过来的(参见图1,采用了RC4作为编码程序)。
关键技术研究
地址映射
安全传输系统的地址映射功能使得只有WAN#2中已授权的计算机才能进入WAN#1区域中的指定的计算机。地址是由计算机地址和端口地址构成的,端口地址表示该计算机的需要通过安全传输系统的应用程序的地址。
地址: 计算机地址+端口地址
地址映射是根据一张地址表执行的。如WAN#2需要WAN#1中某个机器的应用程序,则需要通过适当的地址映射过程(即IP转换、多以态网地址),将WAN#1中这个指定计算机的应用到映射WAN#2的安全传输系统接口上,这样,看起来它们好像在同一个网络区域。WAN#1中其他无关的计算机没有映射关系,就不能访问它们。所有计算机的应用都是通过被映射计算机地址(例如,通过IP端口)被映射的。
地址映射也把WAN#2上相应的应用程序端口上的报文送到WAN#1中的计算机地址及应用端口。
过滤
过滤程序接收报文后,为所有支持的应用程序进行内容的过滤。过滤功能只对向受保护的WAN#1网络发送的报文进行过滤,反向传输的报文(即从WAN#2到WAN#1)不过滤。
报文是由报头及报文数据组成。报头包括指定应用程序的基本身份证明以及描述报文结构的报文类型。安全传输系统不支持没有报头的通信文件,因为没有文头,就不可能进行识别及对协议的验证。
过滤是采用正/负列表来执行。正项列表包含所有的基本过程身份证明以及为过滤程序接受的报文类型,这保证了只有可以识别的报文才能通过过滤器。所以也叫“wildcards”。即:因为大部分报文仅用几个字节便可识别,而且列表也可能会出现条目太多,所以需要给出一块地方来存放所有报文的内容特征。
若用正项列表很难描述报文的类型,例如:一个应用程序包含许多允许通过过滤器的类型,只有几个类型被拒绝,就可以用负项列表来描述报文类型。在负项列表中,只过滤那些“wildcards”上有的报文或报文类型。
错误记录
安全传输系统对所有显示出错的报文在将它们记录进一个文件之前,都加一个报头。这个报头包括出错时间及错误类型。
错误记录文件最大为2M B,如果超过2MB,则系统生成一个新的记录文件。记录文件最多为100个,如果满100个,系统删除或覆盖旧的记录文件。
安全传输系统记录下列错误:
过滤掉的报文
所有被安全传输系统的过滤器拒绝的报文,这里报头用来修改报文。例如:发送可能含有“Trojan Horse”程序代码的报文,这种类型的错误中,报头也含有发送方地址和目标地址以及需要的应用程序端口。
过滤掉的报文被删减掉后最大为1KB,并以用户可以读取的格式存储。
建立连接及取消连接时的错误
例如:报文上的地址不能连接到。
量控制的启动
如果从非安全的WAN#2网络向WAN#1发送过多的通信文件,也会有一条信息记录在错误记录文件中。
过滤器功能性故障
所有与故障探测相关的错误,故障探测的功能详见下一节。
另外,也记录WAN#1和WAN#2之间连接的建立及取消。
故障探测
过滤功能是安全传输系统的关键部分。因此必须通过周期性比较过程来监控过滤器功能是否正常。错误必须在一定的故障探测时间(FDT)内查出。
这个比较过程包括下列系统元素的验证:
所有安全传输系统过程程序代码
启始参数
所有过滤列表
地址映射参数化
系统过程列表
由于安全传输系统故障能影响比较器及过滤器,所以必须由独立于此系统的部件来评估比较值,即:使用预期理论值来验证它们。这是由独立于传输单元1的传输单元2来完成的,传输单元2执行所有过滤器的功能,证明传输单元1并验证比较值。
两个传输单元以串联连接,这样通信文件被两个过滤器一个接一个的分析。要开始验证过程,一台传输单元发送给另一单元验证指令及激活交易码(TAN),这个TAN是从RC4中由发送传输单元产生的一个随机数,RC4是在启动后通过释放键激活的。TAN只对当前验证有效,所以它是一个逻辑时间戳。
第二台传输单元确定从其自身RC4产生的TAN(也由释放键激活),并将之与收到的TAN比较,所以可以保证TAN肯定是不可预计的,只能通过两台同步计算计程序确定。如果第二台传输单元验证TAN有效,而FDT时间还未结束,系统执行分析。产生一4字节的CRC值作为分析结果:
所有程序项值
所有列表项值
过程列表值
地址映射参数化值
这些值以及其当前的验证指令TAN值一起录入验证结果通信文件中,验证结果返回验证发令者。
同时,验证发令者执行其自身值的验证,并计算出相应的检查总数,检查总数及另一传输单元的验证结果与以前储存的参考值比较。因为两个传输单元与不同的通信系统连接,有不同的参数值及启始列表项,所以必须与参考值进行比较,同时也验证了返回的TAN值。
要复位自身的FDT定时器,下列条件必须满足:
程序码验证结果必须为正
启动列表验证结果必须为正;
过程列表验证结果必须为正;
地址映射参数化验证结果为正;
在上一验证周期时,至少从另一个传输单元收到一个验证信号
如果有一个条件不满足,相应计算机中的FDT定时器便不会复位。为了能重复验证,在FDT时间结束前一段时间便启动复位程序。在FDT时间里,如果不能取得正确的结果,那么就说明传输单元本身出错或另一个传输单元出错。定时器时间到后,不能释放,系统(应用及运行系统)就关闭,因此,另一传输单元也不能在当前执行的验证过程中得到正值,也不能释放,同样系统也关闭。
由于传输单元之间是串联连接的,因此其它报文不能进入受保护区域WAN#1。在关闭系统之前,探出故障的传输单元在它所在区域(WAN#1或WAN#2)产生一个故障信息。维修人员可根据这个故障信息进行维修工作。
报文量的控制
可以想象,大量的报文从WAN#2发送至WAN#1,这样WAN#1中的应用程序便“人满为患”了,它的功能就受到限制。这些报文可能是由WAN#2中带病毒的程序或计算机生成的,也可能入侵者为了阻碍运行或准备进一步入侵做的破坏。
因此,安全传输系统让每个传输单元都具有量控制的功能,在一定时间内,只让有限的报文通过,如果超出允许数,系统就会丢弃超过的报文,并把相应的信息存入错误记录文件中。
通过上面的这些功能措施,基本就能实现WAN#1(工业以太网)和WAN#2(公共网络)两个网络间指定计算机间的数据安全交换,这个实现数据交换的方法也可以在其它“独立“网络需要传输一定的数据时使用。
应用实例
在上海磁浮示范运营线中,有一个用于运行控制的工业网络,还有用于办公、楼宇控制系统、消防系统、维护管理系统等公共通信的网络。由于实际情况的需要,譬如维护管理系统要从运行控制网络中获得诊断信息,乘客信息系统要从运行控制网络中获得运行班次信息等,因此这两个网络要进行信息的传输。
在这里,把工业控制网络看作WAN#1,其他用于公共通信的网络及办公网络看作WAN#2,从工业控制网络的角度来讲,这些公共通信系统都属于外部系统,可能受未经授权人员的侵扰。为了保护WAN#1网络的安全,避免非法侵入,并尽可能使WAN#1内的控制信息的通信清晰,因此就使用上文介绍的安全传输系统,用来连接WAN#1和WAN#2网络(见图2)。
应用安全传输系统后,外部公共通信网络即使存在不安全因素,也不能影响控制运行的工业控制网络,从而保证了磁浮运行的安全性。
随着计算机网络的发展,其开放性、共享性、互连程度扩大,网络的安全性和对社会的影响也越来越大。尤其是工业以太网,由于其应用对象比较特殊,比传统的商业以太网有更高的确定性、实时性、安全性等要求。两种网络如何同步发展,实现信息的安全无缝的交换,必将是提高企业的整体技术水平的关键。
安全传输篇4
网站传输的安全隐患
假设公文传输系统部署在Windows 2003服务器系统中,为了达到共享信息的目的,本文采用Web页面的方式,来管理、维护公文传输系统的。因此,在部署公文传输系统之前,先要进行IIS服务器组件的安装操作,之后对IIS服务器进行正确配置,确保公文传输系统网站可以正常信息。接着,登录局域网中的另外一台客户端系统,打开IE浏览器窗口,输入刚才配置的公文传输系统网站地址,看看网站内容能否正常显示,如果显示正常的话,那就说明公文传输系统网站可以正式工作了。
这时,从相同的客户端系统中,使用Snifferfk具对公文传输系统网站内容进行抓包,我们会清楚地看到目标网站使用的是http传输协议,同时网站的具体内容、Web服务器的版本信息、类型信息,也都能看得清清楚楚。很显然,一旦公文传输系统中了非常重要的隐私内容,这些内容在Internet网络中传输时,是非常容易被恶意用户截获的;如果不对这些隐私数据的传输提供安全保护,那么后果将无法设想。那么,究竟该如何有效保护网站重要数据的传输安全呢?
安装服务器证书
Windows 2003服务器系统默认状态下并没有启用运行证书服务,那么部署在该系统中的公文传输网站自然就不能申请网站证书;为了能够享受到证书验证服务,我们先要安装服务器证书,来启用证书服务,具体方法为:
首先在Windows 2003服务器系统中逐一点选“开始”|“设置”|“控制面板”选项,用鼠标双击控制面板窗口中的“添加或删除程序”图标,进入添加或删除程序管理窗口,点击“添加/删除Windows组件”选项卡,展开如图1所示的选项设置页面,选中“证书服务”选项,按“下一步”按钮后,安装向导会自动提示用户一旦启用了证书服务,就不能随意调整域成员身份和主机名称,同时要求用户确认是否真的要继续安装证书服务;
其次单击提示对话框中的“是”按钮,按“下一步”按钮,选中“独立根CA”选项,当安装向导弹出如图2所示的CA识别设置框时,在其中的“公用名称”位置处正确输入CA的名称内容,之后设置好证书的有效期限,缺省状态下证书的有效期限为5年。再按“下一步”按钮后,Windows 2003服务器系统将会自动生成密钥内容,同时打开证书数据库设置窗口,在这里选择一个文件夹来保存证书数据库以及证书数据库日志,当然这两各文件也可以放置在不同的文件夹中。在确认各项设置正确后,继续单击“下一步”按钮,Windows2003服务器系统就会依照既定的设置要求自动安装配置证书服务,同时还会提醒用户及时插入Windows2003服务器系统的安装光盘,只要插入安装光盘,证书服务的其他配置操作就会自动完成。
安装好了证书服务后,日后需要对它进行管理时,我们可以依次单击“开始”|“设置”|“控制面板”命令,逐一双击控制面板中的“管理工具”|“证书颁发机构”图标,在这里就能对服务器证书或用户证书进行管理了。此外,需要提醒各位注意的是,要是证书服务安装成功后,IIS服务器组件还没有安装的话,那么日后在安装配置好Web站点后,需要运行“certutn-vroot”命令,Windows 2003服务器系统才会配置好证书申请的站点;如果IIS服务器组件在证书服务之前安装成功,同时系统存在默认Web站点的话,那么Windows 2003服务器系统会自动配置好证书颁发站点。当证书颁发站点配置好后,我们可以在IIS控制台窗口中,看到目标站点下面已经自动生成了CertSrv虚拟目录了。
申请颁发服务端证书
由于公文传输网站系统是以明文形式传输数据的,这种方式传输的数据十分容易被他人偷看,为了保护数据传输安全,我们可以为公文传输系统网站安装服务器证书,来为网站数据建立加密传输机制。在为公文传输系统网站创建服务器证书时,只要利用Windows 2003服务器系统自带的“Web服务器证书向导”工具就能轻松完成,具体方法为:
首先打开Windows 2003服务器系统的“开始”莱单,逐一点选“设置”|“控制面板”选项,用鼠标双击系统控制面板窗口中的“管理工具”图标,通过其中的“Internet信息服务(IIS)管理器”图标,切换到对应系统的IIS控制台窗口;将鼠标定位到左侧列表区域中的“本地计算机”|“网站”节点上,右击该节点下面的公文传输系统站点名称,点选右键菜单中的“属性”命令,弹出目标站点的属性对话框;
其次选择“目录安全性”选项卡,单击“安全通信”位置处的“服务器证书”按钮,打开如图3所示的Web服务器证书安装向导对话框;按“下一步”按钮,服务器证书安装向导会提示用户为公文传输系统网站选择合适的证书分配方法,假设在这里我们要新创建一个服务器证书,此时可以选中“新建证书”选项,同时按
“下一步”按钮;
接着选中“现在准备证书请求,但稍后发送”选项,同时为新创建的服务器证书取一个适当的名称,并且要在“位长”下拉列表中为新服务器证书选择一个自己想要的密钥位长;之后安装向导会提示用户要输入好使用服务器证书的单位或个人信息,按照要求填写好这些信息,再为公文传输系统网站取一个公用名称,通常情况下目标站点直接连接到Internet网络时,我们必须将该站点完整的域名信息填写在这里。
当正确设置好上面的各项参数后,服务器证书安装向导会切换到如图4所示的对话框,在这里我们要选择一个文本文件来存储证书请求信息,Windows 2003服务器系统在缺省状态下会自动在系统安装根目录下生成一个“certreq.txt”文件,来存储各类证书请求信息,当然,我们也能重新指定其他的文本文件来存储证书请求信息,最后按“完成”按钮结束服务器证书安装创建操作。
在获得服务器证书请求文件后,我们需要将该文件发送给证书颁发站点,在这里就是将服务器证书请求文件发送给公文传输系统站点。在进行发送操作时,先运行IE浏览器程序,在地址栏中输入“http://公文传输系统站点IP地址或域名/certsrv/default.asp”,按回车键弹出如图5所示的浏览页面,单击“申请一个证书”按钮,点选“高级证书申请”链接;之后,通过base64编码的PKCS#7文件续订证书申请,或通过base64编码的CMC或PKCS#10文件提交证书申请,之后打开之前自动生成的服务器证书请求文件“certreq.txt”,将其中内容拷贝到“保存的申请”文本框中,再按“提交”按钮就能将服务器证书请求信息发送给公文传输系统站点了。
最后还要对服务器证书执行颁发操作,只有颁发过的证书才会正式生效。在进行证书颁发操作时,可以逐一点选“开始”|“设置”|“控制面板”选项,双击控制面板窗口中的“证书颁发机构”图标,选中图6界面中的“挂起的申请”节点,在目标站点下面右击之前申请好的证书,依次点选右键菜单中的“所有任务”|“颁发”命令;再将“颁发的证书”选项选中,同时双击之前申请好的证书,点选其后界面中的“详细信息”选项卡,在对应选项设置页面中单击“复制到文件”按钮,弹出证书导出对话框,依照向导提示设置好合适的证书文件名称,完成服务器证书的颁发操作。
为了让公文传输系统站点下的信息都支持加密传输功能,我们还要将前面申请好的网站证书导人到目标网站所对应的目录中;在导入网站证书时,可以先打开系统控制面板窗口,逐一双击其中的“管理工具”|“Internet信息服务(IIS)管理器”图标,弹出IIS控制台窗口;从该窗口左侧展开“本地计算机”|“网站”节点,同时右击该节点下的公文传输系统站点名称,点选右键菜单中的“属性”命令,弹出公文传输系统的属性对话框;切换到“目录安全性”选项设置页面,单击“安全通信”位置处的“服务器证书”按钮,弹出IIS证书向导对话框,将“分配现有证书”选项选中,再将之前颁发好的证书选中导入进来,当系统屏幕出现如图7所示的界面时,指定好公文传输系统使用的SSL端口号码,默认端口为“443”,之后点击“完成”按钮。
申请颁发客户端证书
从客户端系统打开IE浏览器窗口,输入“http://公文传输系统站点IP地址或域名/certsrv/default.asp”地址,按回车键后弹出证书申请站点页面,依次单击其中的“申请一个证书”|“web浏览器证书”链接,根据页面提示输入相关信息后,再单击“提交”按钮,这样浏览器证书请求信息就会自动发送给公文传输系统站点了。
当成功提交完证书申请后,网络管理员必须在Windows 2003服务器系统中,对收到的证书申请执行颁发操作。在进行颁发操作时,逐一点选“开始”|“设置”|“控制面板”选项,双击控制面板窗口中的“证书颁发机构”图标,选中“挂起的申请”节点,在目标站点下面右击之前申请的证书,再执行“所有任务”下的“颁发”命令即可。
在颁发过证书后,普通用户在自己的客户端系统,再次打开证书申请页面,依次点选其中的“查看挂起的证书申请的状态”|“Web浏览器证书”|“安装此证书”链接,随后用户就能看到自己先前申请的证书了。
强制站点安全传输
到了这里,公文传输系统站点还不能对数据传输操作进行加密,我们还需要强制该站点启用加密传输。在进行这种设置时,先打开WindOWS2003服务器系统的“开始”菜单,逐一点选“设置”|“控制面板”命令,用鼠标双击系统控制面板窗口中的“管理工具”图标,通过其中的“Internet信息服务(IIS)管理器”图标,切换到对应系统的IIS控制台窗口;将鼠标定位到左侧列表区域中的“本地计算机”|“网站”节点上,右击该节点下面的公文传输系统站点名称,点选右键菜单中的“属性”命令,弹出目标站点的属性对话框;选择“目录安全性”选项卡,在对应选项设置页面的“安全通信”位置处,单击“编辑”按钮,弹出如图8所示的编辑对话框,将这里的“要求安全通道”|“要求128位加密”选项分别选中,再将“客户端证书”位置处的“要求客户端证书”选项选中,最后单击“确定”按钮保存设置操作。
安全传输篇5
[关键词] 电子商务安全vpn数据传输
一、概述
随着电子商务的发展,internet已经为众多的用户所认可和使用,越来越多的公司、企业和政府部门、科研单位选择通过internet来传输数据和信息。由于internet是一个基于tcp/ip协议的开放式互连网络,在享受其便利的同时,用户的数据资源便有被暴露的可能。而对于涉及到的国家政府、军事、文教等诸多领域,因为其中存贮、传输和处理的数据有许多是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息,甚至是国家机密,如果被侵犯,则会在政治、经济等方面带来不可估量的损失。所以,在internet上实现数据的安全传输就显得尤其重要。
二、传统的数据安全传输方法
数据安全传输主要解决的问题包括传输数据的真实性,完整性,机密性。真实性是保证数据接收者能够验证消息发送者的真实身份,以防假冒;完整性是指消息接收者能够判断接收到数据在传输过程中是否被非法篡改,确信收到的是完整的数据;机密性是保证敏感数据通过网络传输不会泄密。要实现数据在网络上的安全传输,有以下几种方案可供选择:
1.建立专用通道
在传统的企业或重点保护单位的组网方案中,要进行本地局域网络到异地局域网络互连互通,通常采用建立、租用ddn专线,建立起物理专用通道的,确保数据点到点的直接、准确传输。ddn网是同步网,整个网络传输是全透明的,既保证了用户数据传输的安全性,又使得传输延时较短,可实现点对点的通信。典型案例如银行系统,军事系统,国家重点科研项目实验室等。这种方法进行数据传输时采用的是数据点到点的直接传输,如果不是该网络内部计算机的非法介入,一般不会有网络黑客非法入侵。这一传输过程最安全,可以很好的保持传输数据的真实性,完整性,机密性。但是要在需要连接的不同局域网间敷设或租用ddn专线,购买相应交换和路由设备,因此,建立专用通道所花的费用也最高。
2.使用加密技术
使用加密技术的目的是对传输中的数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。在发送端,通过数学方法,将待发送数据进行转换(加密技术),使那些没有获得密钥的人很难读懂;在接收端,拥有密钥的人将接收到的加密数据转换为原来的数据(解密技术)。利用加密技术,可以认证通信的参与者,确认数据传输的完整性,而且可以保证通信的私有性。
如果以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现,即链路加密,节点加密,端到端加密。一般常用的是链路加密和端到端加密这两种方式。链路加密侧重在通信链路上而不考虑信源和信宿,是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密,并进入tcp/ip数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将自动重组、解密,成为可读数据。端到端加密是面向网络高层主体的,它不对下层协议进行信息加密,协议信息以明文形式传输,用户数据在中央节点不需解密。
现在较成熟的加密技术采用netscape开发的安全套接字层协议ssl(secure sockets layer)。
采用加密技术对物理线路没有特殊要求,数据在传输过程中由于要经过internet路由选择,每一个加密数据包在传输过程中可能会经过不同的路径到达目的地,其传输速率受网络上每一个包所通过的最慢节点的限制,使得真个传输速度受到影响,达不到高速传输的要求。
三、利用vpn技术构筑安全的数据传输通道
vpn(virtual private network虚拟专用网络)是一种集以上两种技术为一体的综合技术,它通过利用internet现有的物理链路,虚拟构建起一条逻辑专用通道(也称为隧道),并且在数据发送服务器端对数据加密,然后通过这条通道将数据快速高效的传输到数据接收端,然后通过数据解密,将数据还原提交给客户。它为用户提供了一种通过internet网络安全地对企业内部专用网络进行远程访问的连接方式。
如图1是一个典型的建立在硬件防火墙之间的vpn。图中虚线部分即为一个vpn隧道。
1.虚拟专用网络vpn主要采用的技术
目前vpn主要采用隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术等安全技术来保证数据的安全传输。
隧道技术是vpn的基本技术,类似于点对点连接技术,它在公用网internet上建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第三层隧道协议是网络层协议。是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输;加解密技术是数据通信中一项较成熟的技术,vpn可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。后三种技术可由ssl协议一起实现。其握手过程可由图2表示。
2.虚拟专用网络vpn主要采用的协议
ipsec协议集是虚拟专用网络vpn主要采用的协议,它由三个主要部分构成:
(1)internet密钥交换协议,这个协议在初始协商阶段使用,用以确定加密方法、密钥和其它用于建立安全会话的数据。
(2)认证头部,在每个ip包插入安全头部,这个安全头部用来检验数据包在传输过程中是否被改动,并且认证数据的发送者。认证头部不加密ip包的内容,只是确保其内容是有效的。
(3)封装安全载荷,为了确保私有通信,封装安全载荷加密ip包的内容以及其他头部信息。
3.vpn的解决方案
要实际应用先进的vpn技术,主要有四种类型的解决方案:
(1)基于硬件的vpn。具有专门实现诸如认证、封装、加密和滤通功能的处理器的产品,可提供最高的性能。这类产品通常包括虚拟接人服务器和具备vpn能力的路由器。
(2)基于软件的vpn。服务器平台提供与现存远程接入或路由器选择模块配套的vpn软件模块,在提供vpn功能时,其性能很受影响。
(3)基于防火墙的vpn。将软件模块增加到防火墙包中。
(4)isp的vpn服务。isp利用操作自己拥有的基于硬件或防火墙的vpn产品提供可管理的vpn服务。
四、结论
经过vpn的一系列安全技术处理,用户可以在不建立物理链路的基础上,通过现有的internet网络构建一条能满足实际需求的专用通道,在保证数据安全传输的同时,提高传输效率。随着网络技术的不断发展,以及用户对数据传输安全的强烈要求,vpn将会成为网络的主要组成部分,vpn技术也将更趋完善,在电子商务应用中起着决定性的作用。
参考文献:
[2]刘铁民等:vpn网络隧道技术的研究 电信工程技术与标准化 2003年12期
安全传输篇6
由于互联网的开放性和通用性,网上的所有信息对所有人都是公开的,所以网络上的信息安全问题也日益突出。近年来,因特网上的安全事故屡有发生。连入因特网的用户面临诸多的安全风险:拒绝服务、信息泄密、信息篡改、资源盗用、声誉损害等等。这些安全风险的存在阻碍了计算机网络的应用与发展。在网络化、信息化的进程不可逆转的形势下,建立安全可靠的网络信息系统是一种必然选择。
数据加密技术是对信息进行重新编码,从而达到隐藏信息内容,非法用户无法获得信息真实内容的一种技术手段。网络中的数据加密则是通过对网络中传输的信息进行数据加密,满足网络安全中数据加密、数据完整性等要求,而基于数据加密技术的数字签名技术则可满足审计追踪等安全要求。可见,数据加密技术是实现网络安全的关键技术。
二、数据加密相关信息
2.1数据加密的方法
加密技术通常分为两大类:对称式和非对称式
对称式加密,被广泛采用,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难。对称加密的优点是具有很高的保密强度,可以达到经受较高级破译力量的分析和攻击,但它的密钥必须通过安全可靠的途径传递,密钥管理成为影响系统安全的关键性因素,使它难以满足系统的开放性要求。对称密码加密算法中最著名的是DES(Data Encryption Standard)加密算法,它是由IBM公司开发的数据加密算法,它的核心是乘积变换。如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫非对称加密算法。非对称密码的主要优点是可以适应开放性的使用环境,密钥管理问题相对简单,可以方便、安全地实现数字签名和验证, 但加密和解密花费时间长、速度慢。非对称加密算法中最著名的是由美国MIT的Rivset、Shemir、Adleman于1977年实现的RSA算法。
2.2 数据加密的标准
最早、最著名的保密密钥或对称密钥加密算法DES(Data Encryption Standard)是由IBM公司在70年展起来的,并经政府的加密标准筛选后,于1976年11月被美国政府采用,DES随后被美国国家标准局和美国国家标准协会(American National Standard Institute,ANSI)承认。 DES使用56位密钥对64位的数据块进行加密,并对64位的数据块进行16轮编码。与每轮编码时,一个48位的”每轮”密钥值由56位的完整密钥得出来。DES用软件进行解码需用很长时间,而用硬件解码速度非常快。幸运的是,当时大多数黑客并没有足够的设备制造出这种硬件设备。在1977年,人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密,而且需要12个小时的破解才能得到结果。当时DES被认为是一种十分强大的加密方法。另一种非常著名的加密算法就是RSA了,RSA算法是基于大数不可能被质因数分解假设的公钥体系。简单地说就是找两个很大的质数。一个对外公开的为“公钥”(Prblic key) ,另一个不告诉任何人,称为“私钥”(Private key)。这两个密钥是互补的,也就是说用公钥加密的密文可以用私钥解密,反过来也一样。
三、数据加密传输系统
3.1 系统的整体结构
系统的整体结构分为以下几个模块,首先是发送端的明文经过数据加密系统加密后,文件传输系统将加密后的密文传送给接收端,接收端接收到密文以后,用已知的密钥进行解密,得到明文。
3.2 模块设计
3.2.1 加解密模块
(1)DES加解密模块。DES加解密模块的设计,分为两个部分:DES加密文件部分和DES加密演示部分。DES加密文件部分可以实现对文件的浏览,选中文件后对文件进行加密,加密后的文件存放在新的文档;DES加密演示部分输入数据后可以直接加密。(2)RSA加解密模块。RSA加解密系统,主界面有三个模块,分别为加密、解密和退出;加密模块对明文和密钥的输入又设置了直接输入和从文件读取;解密模块可以直接实现对文件的解密。
3.2.2 文件传输模块
(1)文件浏览:用户手动点击浏览按钮,根据用户的需要,按照目录选择要传输的文件,选中文件。(2)文件传输:当用户点击发送文件时,文件就可通过软件传给客户端。点击客户端按钮,软件会弹出客户端的窗体,它包含输入框(输入对方IP地址)和按钮(接收和退出),通过输入IP地址,就可实现一台电脑上的文件传输。
四、数据加密在商务中的应用
在电子商务发展过程中,采用数字签名技术能保证发送方对所发信息的不可抵赖性。在法律上,数字签名与传统签名同样具有有效性。数字签名技术在电子商务中所起的作用相当于亲笔签名或印章在传统商务中所起的作用。
数据签名技术的工作原理: 1.把要传输的信息用杂凑函数(Hash Function)转换成一个固定长度的输出,这个输出称为信息摘要(Message Digest,简称MD)。杂凑函数是一个单向的不可逆的函数,它的作用是能对一个输入产生一个固定长度的输出。 2.发送者用自己的私钥(SK)对信息摘要进行加密运算,从而形成数字签名。 3.把数字签名和原始信息(明文)一同通过Internet发送给接收方。 4.接收方用发送方的公钥(PK)对数字签名进行解密,从而得到信息摘要。 5.接收方用相同的杂凑函数对接收到的原始信息进行变换,得到信息摘要,与⑷中得到的信息摘要进行比较,若相同,则表明在传输过程中传输信息没有被篡改。同时也能保证信息的不可抵赖性。若发送方否认发送过此信息,则接收方可将其收到的数字签名和原始信息传送至第三方,而第三方用发送方的公钥很容易证实发送方是否向接收方发送过此信息。
然而,仅采用上述技术在Internet上传输敏感信息是不安全的,主要有两方面的原因。 1.没有考虑原始信息即明文本身的安全; 2.任何知道发送方公钥的人都可以获取敏感信息,而发送方的公钥是公开的。 解决1可以采用对称密钥加密技术或非对称密钥加密技术,同时考虑到整个加密过程的速度,一般采用对称密钥加密技术。而解决2需要介绍数字加密算法的又一应用即数字信封。
五、 结论
上述内容主要介绍了数据传输过程中的加密处理,数据加密是一个主动的防御策略,从根本上保证数据的安全性。和其他电子商务安全技术相结合,可以一同构筑安全可靠的电子商务环境,使得网上通讯,数据传输更加安全、可信。
参 考 文 献
[1]黄河明.数据加密技术及其在网络安全传输中的应用.硕士论文,2008年
[2]孟扬.网络信息加密技术分析[J].信息网络安全,2009年4期
[3]戴华秀,郑强.浅谈数据加密技术在网络安全中的应用[J].华章,2011年7期
[4] 林琳,罗安.基于网络安全的数据加密技术的研究[J].现代电子技术,2004年11期
安全传输篇7
【关键词】测试数据;数据安全;传输;共享
0 引言
随着技术的不断进步和科学技术的不断进步和日新月异的发挥在那,在测试技术中得到了非常广泛的应用。特别的测试数据的数据量大,而且测试技术很多都涉及到国家军事机密或者企业的商业机密。所以怎样提高测试数据的传输共享效率和传输的安全性是非常重要的。特别的,进入二十一世纪,各种技术进步日新月异,社会也在不断地进步。VPN技术得到了很好的发展和进步。VPN技术,也就是时候虚拟专用网络技术。就是在公共网络之上再建立专用的网络,并且在此基础上进行加密的安全的通讯,这项技术已经在很多企业得到了非常好的应用。特别的使用VPN网关可以给数据包加密并且可以把这些数据包进行赋给地址,从而实现对数据包的远程访问。目前国内VPN技术发展和应用相对落后不成熟也缺乏相应的法律对该技术的应用进行规范,有很多需要优化和改进的地方。测绘技术是一种重要的关系到日常生活的质量提升的重要技术,测绘数据的传输以及传输的安全需要有一个很好的保障,因此对测绘数据的传输安全的要求也是越来越高。鉴于此本文对测绘技术中大安全传输问题进行了详细的阐述。
1 VIP原理和在国内的应用情况
VPN技术是一项先进的基于公共网络上的网络技术,可以使移动的员工和在外出差或者分部的员工或者其他的人员利用公司的资源,当然是要基于高速的公共网络连接。另外,高速的宽带网络能够使得员工连接到办公室更加的高效便捷。高速宽带网络连接更加高效率、更加安全。并且优良设计的VPN技术是可以模块化的并且是可以有接口和升级的。VPN技术会使得应用的人员通过很简单的网络设置和简易的网络基础设施设置,并且让新来的用户并且非常容易的着手使用这样的工具。具有这样方便的网络工具也就是说企业可以在没有增加其他基础设施投入的情况下使得公司的容量和应用得到拓展。与此同时VPN技术也可以给公司保障有更高水平保密服务,使得公司的机密更加的安全。利用比较高级别的身份识别保护协议可以很好的避免公司的机密被他人偷窥,这样来阻止一些不被授权的用户来接触和使用这些数据。虚拟专用网络同时会使用户利用本来的ISP设备和技术服务,并且可以控制本单位的对网络的控制力。
国内外一致在努力的发展基于互联网的空间地理信息系统以及其服务系统。国内有很多的单位进行了测试工作,也积累了海量的数字测绘的数据。很多单位也有自己的信息管理系统,但是单位之间是没有互相的沟通和共享的,为了促进各个部门之间甚至各个行业之间的信息的共享以及交流,必须要使用互联网技术。但是在实际的操作过程中存在广域网的安全系数低的问题,所以测绘数据一般只在单位内局域网传输和交流。随着测绘系统更加深入的应用,这样也很大程度上提高了对数据和信息的安全性的要求。尽管人工传递数据的方法和介质安全性非常高,但是费用安规而且非常低效,不适合现代企业测绘数据的共享和交流。因此在测绘这个大行业内建立虚拟专用网络的工程非常必要,不但可以很好的控制建设成本,还具有非常高效的产出,控制了建设和运营的成本。非常有效的提升了测绘数据的交换、测绘数据的共享、测绘数据的分发以及异地备份等等的效率,同时也丰富了手段。目前VPN技术在国内测绘单位的数据传输和交流的应用非常少,很多单位还在使用人工数据传输交流和专线传输的方式。
2 VPN技术在测绘企业的应用
首先,就成本而言使用专线和人工数据传输和交流的方式,通讯部门的收费是非常高的。这么昂贵的成本而且又这样的低效性价比实在是非常的低。并且随着技术的不断发展与进步以及那么各个单位的测绘信息的交流也会变得非常的频繁,而且参与交流的单位和网点也会越来越多,信息的共享交互会变得日益频繁,那么如果继续使用这样的方法进行测量测绘单位在信息交换上就会承受很大的经济压力。而利用VPN技术可以直接访问路由器,在远程就可以非常方便的访问这样成本就很大程度上被削减,使得成本很大程度得到削减。而谈及安全性能,使用专用线路传输数据和测绘数据安全系数非常低,因为很多的中间的转换器件而这些器件又没有被加密,这样就很难确保测绘数据的安全性。这样很多测绘的数据再传输过程中就很难发现数据是不是被篡改、别人恶意窃取更有甚者被破坏,这样数据的安全性就很难保证其安全性。所以在传输过程中需要中间的身份认证这样才能确保数据不会被员工越权修改或者错误操作而发生泄密或者毁坏数据的后果,这样对数据来说就会有非常大的损害。
使用VPN技术可以实现对数据进行加密,从而确保数据的安全性。如果没有秘钥或者密码就不能对数据进行访问或者修改,这样对于数据的管理,和数据的统一非常有好处。而且对于测绘数据来说,一项非常重要的工作就是测绘结果的汇总和表达,这样使用VPN技术可以很好的利用这一优点更好的管理各个子单位汇总上来的测绘数据。而其他数据传输的方式是很难做到这一点的。还有就是使用VPN技术相对于ADSL等技术优点在于克服了不能有大的平台管理方式的问题。同时专线传输方式也不灵好,因为测试的时候工作人员是流动的,他们需要及时的将数据上传到上级单位,而VPN就具有这样的灵活性。
3 总结
VPN技术有着自己独特的技术特点,可以很好地利用在测试数据的安全传输与交流上。各个测试单位可以再目前的宽带接口技术的基础上利用现有的网络资源,利用VPN技术组件安全的测绘数据加密系统。VPN技术有着成本低,传输快,高安全性能和可拓展性能好等优点。所以说,VPN技术会使得测绘数据的传输与交流更加安全可靠,甚至可以实现测绘数据及时甚至实时的共享、交流和异地交换等工作的需要。在本文中,我们研究了在测绘数据的传输过程中VPN是怎样应用的。并且针对性的深入的分析了国内VPN技术的应用现状,统的分析了测绘技术行业中VPN技术具有的优势并且分析了VPN技术中的网络结构技术以及技术的应用研究。我们只有更加充分的深入的理解VPN技术的原理与技术,企业和各个应用单位才能更好的使用网络技术的资源,更好的使用VPN技术建设VPN网络,并且对于测绘数据而言需要加强加密和信息的安全,这样才能使得各个部门对网络的使用的效率得到提高,这样一来建立更好的共同建设和共享测试数据。
【参考文献】
[1]孙庆辉,骆剑承,赵军喜.网格GIS数据传输机制与策略[J].地球信息科学,2005,7(1):65-70.
[2]范永清.IPSec VPN数据安全传输[J].信息网络安全,2009(4):52-54.
[3]李军,汪海航.高机密性数据安全存储与访问系统设计[J].计算机工程与设计,2010(2):252-255.
[4]满延俊.VPN:安全可靠又省钱的网络新技术[J].高科技与产业化,2004(8):46-48.
[5]陈卓.我国中小企业需要关注网络数据安全[J].机械管理开发,2008,23(1):100-101.
[6]李军,汪海航.高机密性数据安全存储与访问系统设计[J].计算机工程与设计,2010(2):252-255.
安全传输篇8
摘 要: 随着计算机网络技术的快速发展以及相关知识的普及,在市场经济的影响下,用户的数据安全问题已经成为当前网络数据传输以及存储的重要问题之一。“云计算”是近年来应用比较广泛的技术之一,其在应用过程的用户数据安全问题也成为了人们关注的热点。因此,对该问题的研究工作既具有理论价值,又具有重要的实际应用价值。首先对云计算的相关概念进行介绍,然后,对影响云计算用户数据传输和存储的安全问题进行分析,最后,介绍目前一些先进的解决措施。
关键词: 云计算; 用户数据; 传输与存储; 数据安全; 存储安全
中图分类号: TN964?34 文献标识码: A 文章编号: 1004?373X(2013)20?0024?03
近年来,作为一种新的计算模式,“云计算”已经成为计算机网络领域广泛关注的热点。其将计算机作为一种效能工具、将软件作为服务模式,利用用户端的性能提升整体计算能力的同时,还加快了系统的计算速度以及灵活度,并实现了低成本、高效率的发展目标[1]。这无疑是为计算机领域带来了一次新的革命。然而,在充分利用其强大的计算功能时,人们也发现了一些系统漏洞和安全问题,例如:用户数据传输与存储的安全问题等。本文对这些问题的影响因素进行分析,并介绍一些先进的应对措施。
1 “云计算”相关概念
云计算(Cloud Computing)是一种基于因特网的计算技术[2]。在云计算的过程中,主要是依靠与本地计算机相连接的其他网内计算机进行运算和存储,既是利用全体网络用户的计算功能解决用户的运算与存储需求。这种软硬件资源共享的计算模式,能够为广大的使用用户提供超出个人能力千万倍的运算服务,而需求用户的使用成本却是相对微弱的多。该技术是网络时代对实现低成本、高效率、资源共享等目标的又一有效途径[3]。
2 云计算用户数据安全问题
目前,云计算发展过程中,需要解决很多关键性问题,其中安全问题就是其中之一。并且,随着云计算系统的不断发展,这种问题的严重性呈现出了上升趋势。如果不能有效地加以解决,很可能为云计算的发展带来严重的不良影响,甚至导致系统的“崩溃”。Gartner 2009年云计算调查显示[4],超过三分之二的被采访企业都认为云计算的主要问题在于用户数据传输和存储等过程中存在安全隐患。具体表现为:
(1)用户只要在对云计算充分信任的情况下,才能将自身拥有的各类数据上传到网络中。因此,对于云计算系统的可靠性、稳定性非常重视。
(2)进入系统的用户数据必须保存在完整、高可靠性的存储设备中,并具有高水平的突发事件应多措施,以确保数据完好,所以,对系统的容错性、纠错性等能力要求很高。
(3)确保用户数据完整性的同时,还应该注重数据的安全性。
(4)当数据传输到云端时,必须确保有完善的管理机制进行管理,否则,一旦失去控制,将会造成重大损失。
(5)用户在云计算中所有操作都属于个人隐私,因此,系统在对用户数据进行文件检索、资料处理等程序中,应该提高数据的隐私性,保护用户的权利不被侵犯。
从上面几条安全问题可以发现,主要包括了两方面内容:用户数据信息避免泄露,造成不必要的损失;在用户需求某方面信息时,能够准确、高效的获取。从这两点上来看,系统在安全方面的主要工作就是确保用户数据传输以及存储安全。一般情况下,用户端都会存有一定量的私密数据,例如:银行账户、密码或者私人信件、照片等。在云计算模式中,用户端数据需要传送到系统的服务商中进行数据处理,这就涉及到了下面这几个问题:如何保证用户数据在传输的过程中不被其他人盗取;如何确保服务商得知用户数据时不“监守自盗”;如何在进行数据存储时,确认用户是合法的数据访问者,并保证用户对自己的数据资源拥有随时访问权。
3 云计算环境下数据传输存储安全策略
为了更好的确保用户数据在传输与存储过程中的信息安全,目前很多研究者采取了为数据加密的方式确保数据安全。在设计过程中,储存在云中的任何用户数据对于用户来讲都是安全的,对于需要保密的其他用户,这些数据表现出来的是无序化信息状态,其具体内容根本无法获知。下面本文从数据加密的安全性以及处理性能方面对如何实现高性能、高可靠性的数据存储方式,以实现在这种存储方式下,用户数据的传输与存储安全。
目前,国内比较常见的数据加密算法主要是对称加密以及非对称加密两种类型[5?6]。相对于非对称加密,对称加密的研究工作比较成熟,并具有加密和解密速度快等优势,在大数据量的传输过程中被广泛应用。但是,在这种加密方法中,数据传输双方的加密和解密密码相同,导致其存在一定的安全隐患。而非对称加密则是将原来相同的密钥分成加密钥和解密钥,这种方式能够有效的确保数据的安全性,并且,建立的密钥体系灵活多样。但是,相对来讲,计算量以及复杂度增加巨大,导致系统的负担较重。加密机制的可靠性主要取决于解密的难度,包括对称密钥加密体制和非对称密钥加密体制,非对称密钥的安全性较高,但加密解密的速度较慢。由于对称加密算法存在采用同一密钥而带来密钥管理困难的固有问题,而且使用成本较高,在分布式网络系统上使用较为困难;非称加密算法因运算量大,而不适用于大数据量的加密和解密。因而本文提出了采用对称加密与非对称加密结合的思路来解决云计算中数据安全存储的问题。
3.1 加密处理
当对用户数据开始加密时,用户端需要从密钥库中将接收到的用户数据相对应加密算法公钥提出出来。在加密过程中,生成的对称密钥是在一定的加密算法密钥生成器中随机产生的,其中包括了校检信息的密钥,然后,将这一密钥进行非对称加密。最后,将加密用户信息与包含密钥的密文一同存储在系统的云端。将上述过程重复操作,直到最后一个加密处理过的数据包发送到云端,这一加密过程方算完成。
在实现用户数据加密过程当中,对于那些拥有巨大数据量的用户数据在进行对称加密的同时,还应该对其中的对称加密算法的密钥再进行一次非对称加密,并将密文数据与密钥储存在云存储中心,这样做用户就可以只对非对称加密算法和解密密钥进行保存,而不需要对用户数据进行存储,大量减少了用户数据存储所占用的存储空间,降低了存储成本以及传输成本[7?9]。同时,用户也不会再出现密钥管理困难等问题。
3.2 解密处理