信息資源網站安全設計與加密技術初探

◆阿曼古麗·帕孜拉

（喀什大學計算機科學與技術學院 新疆 844006）

信息資源網站安全設計與加密技術初探

◆阿曼古麗·帕孜拉

（喀什大學計算機科學與技術學院 新疆 844006）

隨著我國科學技術的快速發(fā)展，計算機網絡的應用已經深入到人們的日常生活以及工作等各個方面，電子商務以及其它事業(yè)單位的網絡管理等領域對計算機網絡的安全性要求很高，安全不僅是技術方面的問題，意識與制度的問題也需要加強重視，但是存在很多破壞者會利用各種手段對網絡安全造成威脅，因此就需要對網絡加密技術加大重視，本文就對信息資源網站安全設計以及加密技術進行具體的分析與研究，希望能為以后該方面的工作提供一些幫助。

信息資源網站；安全設計；加密技術；分析與研究

0 引言

隨著我國信息化建設步伐的加快，信息資源網站作為眾多資源的收集地已經得到了很快的發(fā)展，現階段，我國有很多類型的信息資源網站，但是真正有用的信息資源并不多，而且很多的信息資源的覆蓋面都比較窄，因此可以利用的資源其實很少，并且信息資源網站的系統(tǒng)性都比較強，加強信息資源網站的整合與管理實現信息資源的安全性與共享性有很大的意義。目前，通信鏈路的脆弱性已經成為網絡系統(tǒng)最根本的威脅，并且計算機系統(tǒng)本身就容易受到自然災害以及人為方面的破壞，網絡通信信息面臨的最主要威脅包括：一非法攻擊者通過通信線路獲取信息的危害。二計算機進行信息處理時產生的電磁輻射形成的傳導泄漏，以及非法攻擊者借助輻射電磁信號竊取信息的危害。三非法攻擊者可能會假冒合法的用戶來獲得網絡系統(tǒng)的操作權利，即使為信息做了加密操作也可能由于密鑰的失密造成信息的丟失，這樣使得威脅更大。針對以上出現的這些網絡系統(tǒng)中的威脅，還需要相關技術人員進一步的研究，本文就對信息資源網站安全設計以及加密技術進行詳細的闡述。

1 信息資源網站安全設計分析

1.1 防范SQL注入的設計

防范SQL注入的設計中包括以下兩點：（1）SQL注入攻擊問題。SQL注入攻擊是讓攻擊者將非法的SQL語句插入到查詢字符串中從而構成動態(tài)的SQL命令，或者作為存儲過程的輸入參數在服務器上進行執(zhí)行，然后產生攻擊者想要得到的效果。在對信息資源網站進行編寫的時候通常不會對用戶輸入的合法性進行判斷，系統(tǒng)存在的安全問題攻擊者會通過查詢數據庫而得到，通過這些信息可以控制整個的服務器也就能夠對數據庫進行操作了。（2）防范SQL注入。通過限制賬戶的原則來賦予賬戶不同的權限，利用不同賬戶來執(zhí)行數據庫操作，賬戶可以執(zhí)行插入、刪除甚至更加高級的命令，對用戶輸入的信息也需要進一步的檢查來有效的杜絕攻擊者修改SQL命令的含義，如果使用強類型對用戶輸入的信息長度進行限制，那么用戶在登錄的時候就不可以隨意的輸入，這樣就有效防止攻擊者將有害的代碼插入到其中，當然這種方式也有需要注意的部分，第一點就是要放在server中運行，客戶機提交的信息都是不可信的。第二點就是存儲的過程要使用SQL語句的話，要用標準的方式對SQL語句進行組建，不能出現拼接的現象而當SQL語句在運行中出現問題時，就讓數據庫返回錯誤的代碼，通過修改數據庫的權限就能有效防范注入式攻擊。

1.2 防范腳本攻擊的設計

在信息資源網絡設計中對于特殊字符的過濾不夠嚴密，這讓侵入者發(fā)布了帶有HTML語句的代碼從而擾亂了網站的秩序，也會對網站產生不良的影響。除了比較常見的腳本字符，還有一種比較常見的是跨站腳本攻擊，它指的是惡意的攻擊者會在網頁頁面里插入一些惡意的代碼，當用戶對網頁進行瀏覽的時候在網頁中的html代碼就會被執(zhí)行，最后達到惡意用戶的目的。在對信息資源網站進行設計的時候，為了防止惡意程序注冊大量的賬戶就需要使用驗證碼技術，通過驗證碼的方式將隨機數顯示在圖片上，可以在圖片上產生一定的干擾因素，然后反復的登錄最后將密碼破解。具體的實現步驟包括：服務器會產生一個長度為N的驗證碼字符串，這個字符串中可以有數字還可以有字母等。創(chuàng)建一張圖片來顯示驗證碼字符串，當用戶刷新頁面的時候就可以在瀏覽器端輸入圖片上的字符串，再將信息提交到服務端，如果一致的話就繼續(xù)不一致就要返回提示信息。

1.3 加密登錄信息

通過加密登錄信息的方式就可以將重要的資源與信息保護起來，增加了信息的安全性有效防止了信息的泄露，如果沒有解密算法的情況下就不能夠查看信息，目前各種加密方法多種多樣，例如客戶端的網上銀行登錄輸入密碼與用戶名都是單獨的控件還有能夠驗證身份的密鑰等等，在傳輸的過程中有效的防止被他人盜取，在對信息資源網站進行設計的時候都是利用MD5與SHA1的加密技術，這種加密方式就是無論輸入的字符串多長加密之后都變成定長的加密串，這種加密方式可以公開但是不能進行逆推操作，要進行破解的話也只能是進行窮舉,得到加密后的字符串再用起來就變得更加的方便,這樣也使得網站更加的安全。

2 網絡安全中的加密技術分析

2.1 對稱與非對稱數據加密技術

對稱數據加密技術在進行加密與解密的時候使用的是相同的算法，這是比較常規(guī)的密碼密鑰系統(tǒng)，因為這種加密技術通信使用的是相同的密鑰，如果其他人得到了密鑰就會出現失密的情況，通信的雙方能夠保證密鑰的完整性與機密性，對稱加密技術也存在著雙方密鑰安全交換的問題，如果一個用戶可以進行加密通信，那么每個用戶都對應一把密鑰，這樣就需要對很多密鑰進行管理，常規(guī)密碼體制主要包括替代密碼與置換密碼兩種，對于著名的分組密碼即美國IBM公司的數據加密標準DES，DES是對二元數據進行加密然后將信息分成64為一組的形式，密鑰通常會使用56位長度而其他的8位就用于奇偶校驗，DES的安全性會受到人們的質疑，并且對DES算法對密鑰依賴性很強，如果密鑰發(fā)生了泄露就會將密文內容暴露出去，隨著計算機運算速度的不斷加快存儲的容量也慢慢加大，安全性也得到了很大的提升。非對稱數據加密算法加密的密鑰與解密的密鑰是不相同的，在通信的過程中，加密算法本身可以進行公開但是解密密鑰需要接收方保管，這樣就加大了保密性。這種體制之下加密與解密需要成對的出現，人們通常會利用RSA體制對解密加密進行計算，該算法的最大優(yōu)點就是密鑰的空間比較大，缺點是速度很慢，當RSA與DES結合進行使用的時候兩者是互補的，DES加密的速度比較快通常更加適合于較長的報文，有了這些算法的應用就對計算機的加密工作提供了更好的保障。

2.2 密鑰的使用與管理

如果用戶可以使用相同的密鑰來與別人進行交換信息，那么密鑰也可以與其他密碼一樣有安全性，雖然用戶的密鑰是不可以對外來公開的，但是也不能明確的保證保密性，信息還是有可能出現泄漏現象，當其他人知道了用戶的密鑰那么信息就不再是保密的了，如果密鑰加密的信息越來越多，那么提供給破壞者的機會也就更多了也就更加不安全了，對于多密鑰的管理也是十分重要的部分，如果某個機構中有100個人，并且他們兩個人之間可以進行對話，那么任何的2個人都要不同的密鑰，可以得出每個人都應該記住99個密鑰，這種方法雖然很笨，但是也是最準確的。人們逐漸提出了更好解決此類問題的方案，這會讓密鑰的管理變得更加容易，但是也存在一定的缺點，如果想要建立比較安全、可靠的密鑰分發(fā)中心不同的用戶只需要進行一個會話密鑰就可以了。假如甲乙用戶想要進行通信，那么甲可以先與KDC進行通信，然后再對密鑰進行加密形成了會話密鑰，并且形成了標簽。這個標簽的作用是讓甲與用戶乙來交談，從而確定與用戶甲對話的就是乙。甲乙用戶的會話是為了保證安全，通常此類的會話是一次性的這樣黑客很難去破解，用戶也不用記住那么多的密鑰方便了人們的通信。

2.3 消息摘要與完整性鑒別技術

消息摘要是一個唯一的值通過Hash加密函數來對消息產生作用，通常如果發(fā)送者有密鑰的話要附在原文的后面，這種方式也被稱為消息的數字簽名，數字簽名的接受者可以判斷消息的來源，如果消息在中途的時候就發(fā)生了改變那么接收者就可以通過對比摘要發(fā)現是否發(fā)生改變，從而確保了消息的完整性。完整性鑒別技術的主要目的在于能夠對信息進行傳送、存儲以及處理還可以對相關數據內容進行驗證，真正做到保密的效果。鑒別的時候通常也包括口令、身份以及密鑰的鑒別，通過查看輸入的值是否滿足預定參數來實現對數據的保護。在電子商務中會使用對稱密鑰的方式對數據進行加密，這樣的加密方式成為消息的數字信封，它會與數據一起傳送給接收者，接收者利用私鑰將數字信封解開，然后再用對稱密鑰解開數據。在數字簽名中還增加了一種新的應用就是雙重簽名，即讓兩個摘要連接起來生成新的摘要，接收者在驗證雙重簽名的時候需要將另一條信息也發(fā)送過去，真正做到讓每一個接收者都能驗證消息的可靠性與真實性。例如，甲用戶想要購買乙的房產，那么甲方就需要給乙一個報價以及銀行的授權書，當乙同意了按照這種價格出賣的時候甲就應該將錢款打到乙方的銀行賬戶中，如果甲不想讓房產的報價被銀行看到，同時也不想讓乙方看到他的銀行賬號，此時的報價與付款就是聯(lián)系在一起的，只有當乙方同意了甲方的報價這筆錢款才會進行轉移，這就是雙重簽名的實現。

3 結束語

綜上所述，本文對信息資源網站安全設計與加密技術進行分析，信息資源網站安全設計與數據加密技術作為網絡安全技術的中心，重要性是不可小覷的，隨著安全設計的提升以及加密算法的公開化，相關研究人員正在致力于該方面的開發(fā)與設計中，我們應該不斷的培養(yǎng)出具有高能力、高素質的綜合型人才，才能更好的適應逐漸發(fā)展的網絡安全環(huán)境，相信在眾多專業(yè)人員的共同努力之下，未來我國的信息資源網站安全設計與加密技術會得到更大的發(fā)展與進步，邁上新的歷史階段。

[1]李丹.商業(yè)網站信息資源評價體系分析.無線互聯(lián)科技，2015.

[2]黃晉.構建終身學習網的信息資源運維模式--以武漢終身學習網為例.武漢冶金管理干部學院學報，2013.

[3]張俊松.物聯(lián)網環(huán)境下的安全與隱私保護關鍵問題研究.計算機科學與技術.北京郵電大學，2014.

[4]葉海燕.物聯(lián)網環(huán)境下的網絡安全問題研究.吉林廣播電視大學學報，2014.

[5]徐陽.物聯(lián)網密鑰管理和認證技術研究.計算機應用技術.南京理工大學，2015.

[6]劉靖.物聯(lián)網環(huán)境下面向服務計算的訪問控制研究.計算機科學與技術.中國石油大學（華東），2012.