安全关键技术(精选十篇)
安全关键技术 篇1
关键词:信息技术,信息安全
当前时代已经步入信息时代, 各种信息进行传输时都需要利用公共信道, 信息的存储也逐渐由纸质媒介向数字媒介发生转变, 随着经济社会的发展, 信息已经被赋予了大量的附加价值, 若出现信息被盗或被恶意修改则非常容易为信息所有者带来严重的损失, 如何保护信息的安全已经成为当前信息存储和传输所需要关注的重点问题之一。
保护信息安全应该从信息存储设备安全、信息内容安全、信息行为安全等多个方面进行综合讨论。其中, 信息所使用的传播和存储硬件媒介以及信息内容的访问载体操作系统的安全是保障信息安全的基础, 而加密技术、保护通信技术等是信息安全的关键技术。
1 加密技术
鉴于数字信息已经成为信息存储和传播的主要方式, 因而有必要对数字信息进行加密处理, 经过加密的数据即便被非法获得也很难还原出真实的数据。常用的加密技术有对称加密技术、公钥加密技术、混沌加密技术等。
1.1 对称加密技术
对称加密技术采用单钥密码体制, 也就是其用于对数据进行加密和解密的密钥相同。其优点在于加密速度快, 易于实现, 适合短距离用户间少量数据传输, 一旦用户过多且用户分布过于扩散, 则很容易在数据传输过程中被破解不利于保护数据的安全。典型对称加密算法有DES算法及其改进算法等。
1.2 公钥加密技术
该技术的加密密钥和解密密钥不同, 公钥是开放的、可获取的, 但是获取了公钥不代表获取了加密数据的真实报文, 还需要用户端持有的私钥才能够实现数据的解密。该算法适应网络数据传输的开放性要求, 但是可以获得相较于对称加密技术更安全的信息保护效果。实际应用中, 人们常常将对称加密技术和公钥加密技术进行结合使用来提高信息的安全性能。对称加密算法主要用来对大数据进行加密, 公钥加密算法则主要用来对传递密钥等进行加密, 这种加密方式可以有效提高加密效率, 简化用户对密钥的管理。经典的公钥加密算法有SRA算法、Diffie-Hellman密钥交换算法等。
1.3 混沌加密技术
该技术是一种基于混沌理论发展起来的新型加密算法。该算法将混沌系统具有的伪随机特性应用到加密算法中, 使得加密数据和密钥难以被重构、分析和预测。混沌加密算法控制初始条件和加密参数对信息进行加密, 由于其具有数据敏感性和遍历性故由该算法产生的密钥在密钥空间中类似于随机分布, 即便被他人获取混沌系统方程也很难被破解。
2 身份认证与数字签名技术
对信息进行数字签名、对访问信息的用户进行身份认证可以对用户或者信息进行身份验证, 确认该信息是否完整, 用户是否有访问权限。对用户进行身份验证如用户凭用户名和密码进行数据访问可以有效对抗冒充、非法访问、重演等威胁。对消息进行数字签名可以保证信息的完整性, 防止非法用户伪造、篡改原始信息等。
3 数字水印技术
数字水印技术是将密钥或者其他数据在不影响数字信息存储和访问方式的前提下写入到数字信息内部, 当用户访问或者使用该信息时首先对数字水印进行校对, 只有与数字水印中信息相符的用户才能够获得访问或者操作授权。在信息完整性保护方面, 数字水印是否完整决定了数字信息的完整性与否。由于数字水印具有对信息进行隐藏性标识, 同时不增加信息带宽等优点, 故得到了广泛的应用。
4 反病毒技术
网络环境中, 计算机病毒具有非常大的威胁性和破坏力, 严重影响了信息的安全, 因此在信息存储所使用的操作系统中安装反病毒软件, 防止病毒对信息造成破坏也是信息安全防护的一项重要措施。反病毒技术主要包括预防病毒技术、检测病毒技术、消除病毒技术等。其中, 预防病毒技术是防病毒软件自身常驻在系统运行内存空间中, 且其权限非常高, 可以监视和判断与正常操作不相符的异常行为, 并对该行为进行阻止;检测病毒技术则是根据病毒的特征进行文件扫描或者文件检测, 将符合病毒特征的文件检测出来;消除病毒技术则是对已检测出的病毒文件进行删除, 并尽可能回复原始信息, 减少病毒所带来的损失。
5 防火墙技术
防火墙技术是对应于信息通信而言的。应用防火墙技术可以将通信网络划分为多个相对独立的子网络, 不同网络之间进行数据通信时防火墙按照相应的通信规则对通信内容进行监控。应用防火墙技术可以指定特定用户或者特定信息通过防火墙进行数据通信, 也可以限定特定用户或者特定信息不能够通过防火墙进行数据通信。
6 构建安全的体系结构
保护信息的安全, 避免威胁信息安全的事件发生最重要的是建立和完善有效的安全管理体制来规范信息使用和用户访问行为, 确保多种信息安全技术的有效运行, 对当前信息环境进行评估并作出合理的决策。
7 结语
随着数字信息技术的发展, 信息存储和传播方式的转变, 用户和信息必然会面临越来越严峻的信息安全挑战, 如何应用最新最有效的信息安全防护技术保障信息安全是今后很长一段时期内都要重点关注和研究的问题。
参考文献
[1]诸鸿文.网络及信息安全的关键技术[J].信息网络安全, 2001 (1) .
[2]韩双霜, 赵晨羽.浅析信息安全关键技术[J].科学咨询, 2012 (1) .
[3]郭伟.省级电网互联网信息安全关键技术研究与应用[J].电力信息化, 2012, 10 (6) .
通信网络安全关键技术 篇2
故此,这就需要加强对通信网络安全技术的理论研究,从而更好的指导实践操作。
本文主要就通信网络安全问题以及关键技术进行详细分析探究,希望此次研究对我国实际通信网络的发展有所裨益。
【关键词】通信网络 安全技术 安全问题
进入到新的发展时期,信息技术的应用就比较重要,这对人们的生产生活都有着促进作用,所以保障通信网路的安全也就比较重要。
在当前通信网络的功能愈来愈大,而在相应设备方面也愈来愈复杂化,而其自身的安全也依赖着网络管理以及设备自身的安全等,这样在对通信网络安全的防护上就受到很大限制。
通过将安全技术在通信网络中加以应用就有着其必要性。
1 通信网络安全的主要问题分析
1.1 通信网络安全问题分析
通信网络是信息传递的重要载体,并且对诸多用户也是公开透明的,所以在具体的使用过程中就比较难以让人们在安全性上放心。
信息的传递过程中也会比较容易被窃取以及破坏,从通信网络安全问题方面的具体内容来看,主要就是信息遭到泄露,对信息的传递以及威胁过程中,一些没有授权的用户采用了非法手段对信息进行窃取。
还有是抵赖问题,这主要是在信息的发送中双方实体对各自的行为进行抵赖否认,从而造成了网络通信协议以及实际应用的规则遭到了破坏等。
除此之外,还有就是一些信息数据造成完整的破坏,从而就造成了通信双方在信息收发上不能够一致化。
然后在非授权对信息的使用过程中,主要就是通信网络和其中信息遭到了非法破坏,从而造成了网络产生非预期的结果,比较常见的就是管理层面的失控以及信息的拥堵等问题。
1.2 通信网络安全服务方法分析
从通信网络安全服务的方法层面来看,主要有完整性鉴别以及认证和保密等几个重要层面。
其中的认证主要是用于确信参与者实体在通信当中的.身份真实性;而保密的方法则是基于信息的可逆变换对信息的泄漏问题以及非授权使用问题得到有效预防。
还有就是完整性鉴别的方法,能够对蓄意的信息进行完整删除以及重放等问题得到解决。
除此之外,还有对通信网络的访问控制的方法,也就是对资源安全级别进行划分,从而确定禁入及禁出的原则,加强对资源流动范围进行有效控制。
食品安全检测的关键技术分析 篇3
关键词:食品安全 检测 技术分析
中图分类号:TS207 文献标识码:A 文章编号:1672-5336(2014)24-0000-00
近几年,尤其是在“十一五”(国家技术支撑重大项目)研究的基础上,遵循“国家目标指导,科学技术发展,创造和谐社会”的主要思想,逐步建立起我国食品中存在风险的评估技术体系,逐渐学会自主创新摆脱盲目追崇他国食品研发技术,拥有支撑食品安全工作的能力,提高我国(在食品方面)的国际地位。因此下文就对食品关键技术做了一些分析:
1 食品的性状
食品的性状、标签和信息影响消费者认知活动,人们潜意识里对多种食品的主张与反对是影响购买力度的先决条件,所以我们要让消费者意识到什么样的食品是安全健康的。是否是转基因食品,是否添加食品添加剂等都对人体产生不同性状,进而使消费者产生恐惧心理。
2 食品安全存在的问题
对我国食品进行综合评述,主要包括食品中添加化学物质,添加剂,仿冒产品等。蔬菜喷洒农药,苏丹红鸭蛋,三聚氰胺奶粉,地沟油,染色花椒…为了提高销量和产量,许多商家违心销售损害健康的食品,以赢取牟利。
2.1 化学污染物质
毋庸置疑,化学物质污染早已成为食品安全中潜在的不可忽视的问题。奶粉导致的肾结石事件,橘虫事件,大头娃娃事件…在人们心中敲了警钟,让人们对食品安全性有了重视。这些化学物质进入人体后能够扰乱人体内环境分泌系统,若经过数年积累,将导致人体组织发生病变而使健康受到严重威胁。
2.2 农药污染
近几年来,美国扣留中国多批进口食品的原因是:不卫生,食品残留农药超标。大量实验调查显示,我国食品有机氯农药剩余量远超过许多发达国家,有机氯农药对人体的危害主要是它高脂溶性,不易降解。所以农药问题至今仍亟待解决。
3 食品安全检测的关键技术分析
由于我国食品中存在的安全隐患较多,急需有关部门对上市食品进行安全检测,食品安全技术分析至关重要,加速开发迅速、敏感度高,性状稳定的食品安全检测技术及产品势在必行。
3.1 食品农药残留检测现状
国家质检总局在农药检测方面发布了相应的检测方法,包括一系列在进出口食品方面,例如有机氯,多氯联苯,有机磷,氨基甲酸酯,拟除虫菊酯等。由于我国食品农药检测起步较晚,还停留在初级阶段,还缺乏许多灵敏快捷的检测方法,只好依赖于外国进口的检测试剂。据调查可知,国外检测已由单个化合物发展为同时检测几百个化合物的残留状态,是值得我国借鉴和学习的地方。
3.2 食品农药残留检测相关技术
对农药检测的试剂主要来自于国外进口的乙酰胆碱酯酶,价格之所以昂贵,是因为它是从家蝇头部分离出的高敏度分子型作酶源,以此来开发对多种农药快速准确的检测,准确率高达90%,可以在短时间内检测出食品中农药是否超标,减少了在人们不知情情况下食农药的危害,目前市场上以ELISA为主要农药检测试剂。在我国,蔬菜中残留农药最严重的是有机磷类和氨基甲酸酯类。为此,我国农业部特开发出适合我国农药检测的“蔬菜中农药残毒快速检测仪”,它拥有迅速,准确,简便,低成本等优点。天津市某公司开发出了一次性农药残留检测器,它可以对多种磷脂酸类农药进行定向检测。
3.3 兽药残留的检测技术分析
随着我国畜牧业的发展,使用兽药的范围不断增大,许多农场为了减少牲畜的发病率,提高饲料的利用率,更符合大众食物的喜好,在饲料里添加抗生素,目前我国兽药残留检测体系尚不完善,仍有些进出口商品因为兽药超标被扣留。为此提出了一些检测方法:克伦特罗(瘦肉精)检测方法即IPLC-紫外与电化学检测方法和CC-MS方法,其中,河南生物研究所应用单克隆抗体,研制出盐酸克伦特罗检测试剂盒和试纸条:氯霉素的检测方法,主要采用CC和IIPLC及色质联用的方法。
3.4 天然毒素的检测分析
一般用黄曲霉毒素检测,但用传统方法成本高,不易获得,准确率低,为此改用先进的AFB1检测,主要运用抗原转化,是当前国内外转化率最好的抗体,效果与美国sigma公司不相上下。
3.5 转基因食品的检测分析
目前,转基因食品是我国国内一项重要食品安全问题,许多人不信赖转基因食品的安全性,我国也就此研发了转基因食品检测器。检测方法主要有三种:酶聚链式反应(PCR),指纹图谱法,连接酶式反应。深圳某公司实时研发的PCR检测技术通过国家鉴定,标志着我国第一次自主完成转基因食品检测。
4 结语
食品安全是值得每个市民关注的问题,它关系着个人的身体健康,社会的进步,国家的发展。我国只有加强对食品基础性的研究,方能有助于我国在国际上的地位,适于当前国际新形势。希望对国家质检局在使用食品安全检测时有所帮助。
参考文献
[1] 王林.王晶 等.蔬菜中有机磷和氨基甲酸酯类农药残留量的快速检测方法研究[J].中国食品卫生杂志,2003(1):39-41.
[2] 徐恩斌.张忠兵.谢渭芬.乙酰胆碱酯酶的研究进展[J].国外医学、生理、病理科学与临床分册,2003(1):73-75.
[3] 王静.杜达安.高燕红.浅折克伦特罗的药理作用、检测和对食品安全的危害[J].华南预防医学,2002(1)57-58.
[4] 朱小红.现场快速检测在食品安全监督中的应用及展望[J].食品工业科技,2010(8)107-108.
收稿日期:2014-12-06
作者简介:刘欢(1995—)男,湖北咸宁人,武昌工学院,食品工程学院本科在读。
海事信息安全关键技术研究 篇4
在我国的海事管理体系中, 中央海事管理机构由交通部设置, 垂直管理20个直属海事机构;地方海事管理机构由省级人民政府设置并加以管理, 其中交通部直属的20个海事局分布在我国内河流域的主要干线和沿海重要港口, 覆盖大部分经济发达地区, 形成了一张水上交通“网络”, 履行着国家水上安全监督、防止船舶污染、船舶及海上设施检验、航海保障管理和行政执法的重要职能。
如果因为安全问题导致海事信息系统无法正常运行, 则海事人员将完全无法进行正常的工作, 将直接给海事工作带来巨大的负面影响。因此, 对海事信息系统安全问题进行研讨是十分及时和必要的。
1 海事信息系统中存在的安全问题
通过实地的调查研究, 尤其是在海事信息系统应用中发现的问题进行总结, 发现当前主要存在五方面的问题:
1.1海事网络安全域的划分和控制
很显然, 安全与开放是矛盾的, 这在海事信息系统的应用中也同样存在且显得尤为重要。海事信息系统中的信息涉及到国家秘密、国家安全, 因此它需要绝对的安全。但是同时海事信息系统现在很重要的发展方向, 一是要为社会提供行政监管的渠道, 二是要为社会提供公共服务, 如船公司、船员的咨询、投诉等等, 它同时又需要一定程度的开放。因此如何合理地划分安全域, 在这两者之间寻求一个平衡点就显得非常重要。如一些单位采用VPN的形式进行某些业务操作, 但是操作中的部分数据又想通过Web方式给公众浏览, 这时就存在在网络拓扑中Web应该摆在什么位置、业务数据中心库应该摆在什么位置、如何利用防火墙等网络安全设备合理划分这些域等等问题。
而同时前一阶段正是由于公开的信息中过分强调了“安全”这个问题, 弱化了“开放”, 导致了很多单位在海事信息系统的实际应用中发挥不了多大的正面作用, 甚至有负面作用的存在, 如制作了一个网页以后无人定期进行维护导致与实际内容有所偏差, 甚至有的是明显的错误等。
1.2内部监控、审核
海事信息系统与电子商务的不同点在很大程度上是体现在对公网的利用率上。就像前面提到的海事信息系统模型中的单位内部利用先进的网络信息技术实现办公自动化、管理信息化、监管科学化这一块, 就基本是利用VPN、光纤等技术实现的专网。抛开公网的庞大用户群体不谈, 内部人员是否对网络进行恶意的操作和是否具有一定程度的网络安全意识, 在很大程度上决定该单位网络本身的安全等级系数和防护能力。目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录, 更不用谈对一些非法操作进行屏蔽和阻断了。
1.3海事信息系统的信任体系
海事信息系统要做到比较完善的安全保障体系, 第三方认证是必不可少的。只有通过一定级别的第三方认证, 才能说建立了一套完善的信任体系。
1.4数字签名 (签发)
在海事信息系统中, 要真正实行无纸化办公, 很重要的一点是实现电子公文的流转, 而在这之中, 数字签名 (签发) 问题又是重中之重。原因在于这是使公文有效的必要条件。一旦在这个环节上出了问题, 可能就会出现很多假文件、错文件, 严重的将直接影响单位的正常运作。但是, 从目前的情况看, 数字签名系统不但在实际操作中存在能不能接受的问题, 而且系统本身也都不是很完善。
1.5海事信息系统的灾难响应和应急处理
在2000年来临前夕时, 各个单位都对“千年虫”问题进行了全面准备, 当中很重要的一项就是灾难响应和应急处理措施。几年过去了, 这类的措施已经部分或全部失去了作用, 原因之一是部门在制定这些灾难响应和应急处理措施时, 目标都比较局限于“千年虫”问题。在计算机技术飞速发展的现在, 已经无法应付层出不穷的各类问题了。况且由于资金、设备、地域等因素的存在, 系统内的响应中心、支援网络和数据灾难备份的基础设施等方面都存在着很大的隐患, 一旦出现问题, 后果不可想象。很多单位在进行网络规划的时候, 根本就没有考虑到作为系统核心部分——数据库本身的安全问题, 完全依赖于整个网络的防护能力, 一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏, “数据”可以说无任何招架之力。
2 对策与建议
在现在这个开放的时代, 问题的出现本身就带有多样性的特点, 有效解决海事信息系统的安全问题刻不容缓, 但也绝不可能一蹴而就。
2.1网络防火墙技术
2.1.1 网络防火墙技术在海事系统网络安全体系中的应用
网络防火墙作为海事内部网络与外部公共网络之间的第一道屏障, 虽然从理论上看, 处于网络安全的最底层, 负责网络间的安全认证与传输, 但随着网络安全技术的整体发展和网络应用的不断变化, 现代防火墙技术已经逐步走向网络层之外的其他安全层次, 不仅要完成传统防火墙的过滤任务, 同时还能为各种网络应用提供相应的安全服务。
首先, 应该安装防火墙的位置是海事内部网络与外部Internet的接口处, 以阻挡来自外部网络的入侵;其次, 如果海事内部网络规模较大, 并且设置有虚拟局域网 (VLAN) , 则应该在各个VLAN之间设置防火墙;再次, 通过公网连接的海事局与各分支局之间也应该设置防火墙, 如果有条件, 还应该同时将海事局与各分支局组成海事虚拟专用网 (MSA-VPN) 。
2.1.2 网络防火墙的不足和改进措施
虽然防火墙是目前保护网络免遭袭击的有效手段, 但也有明显不足:无法防范通过防火墙以外的其他途径的攻击, 不能防止来自内部个人和不经心的用户们带来的威胁, 也不能完全防止传送已感染病毒的软件或文件, 以及无法防范数据驱动型的攻击。
因此, 首先应该在部门内部建立一整套行之有效的措施并落实各项安全保障制度, 如所有信息的定密制度 (为信息的公开提供可行性依据) 、网络区域的有限划分制度 (划分不同的网络区域, 针对不同的安全级别制定不同的安全策略, 采用不同的网络安全设备) 、完善的内部监控与审核制度、公钥 (私钥) 的管理体系、灾难响应及应急处理制度等等。 其次, 各级信息化管理部门则应根据各自的实际情况, 充分利用本地资源, 建立本单位的各类应急响应服务中心、支援网络和数据灾难备份系统。如果以上各项能够得到妥善的解决, 我们就可以建立起一套完善的立体海事信息系统安全保障体系。
2.2信息系统开发利用
信息系统开发利用是海事信息化建设的核心, 是深化信息化应用取得实效的关键。要达到“数字海事”这一目标, 就要进一步提高对信息化建设与应用紧迫性和战略性的认识, 从海事的全局和整体利益出发, 针对本部门、本单位的信息系统建设实际, 以科学性、实用性、可操作性为基础, 立足于服务社会、服务于大众, 杜绝“形象工程”。在推进信息化建设与应用的进程中, 要处理好建设、应用和互联互通的关系。加大投入, 解决软件开发、人员培训和与之配套的行政管理体制改革, 以适应行政管理信息化带来的新型管理模式要求。
3 结束语
21世纪人类步入信息社会后, 信息化这一发展的重要战略资源需要网络安全技术的有力保障, 才能形成发展的推动力。海事网络信息安全技术仍处于起步阶段, 仍有大量的工作需要我们去研究和探索, 随着海事系统各项业务工作的全面信息化, 势必对计算机网络的依赖性越来越强。我们海事系统网络的安全性、可靠性亟待提高, 以适应海事信息化的需求, 实现“数字海事”。
参考文献
[1]朱德龙.海事管理必须走信息化之路[C]∥2004年度海事管理学术交流会优秀论文集.武汉:中国航海学会内河海事监督专业委员会, 2004.
[2]刘功臣.用信息化促进海事管理的现代化[J].中国科技奖励, 2006 (2) :13-15.
[3]邓潘立.信息化建设托起海事发展之路[C]∥2006年度海事管理学术交流会优秀论文集.武汉:中国航海学会内河海事监督专业委员会, 2006.
无线网络安全的关键技术分析论文 篇5
1、无线网络概述
1.1无线网络概念及特点
无线网络主要是指采用无线通信技术实现的一种网络形式,无线网络不仅包括远程无线连接网络,还包括近距离无线连接射频技术,涉及内容较广,相比较传统有线网络,最大的不同在于传输媒介的差别,有线网络需要线缆的支持。无线网络特点主要表现在以下几个方面:首先,灵活性,不受线缆的约束,能够随意增加和配置工作站;其次,低成本,无线网络不需要进行大量工程布线,方便施工,还能够有效节省线路维护成本;最后,移动性,能够有效突破传统有线网络时间与空间的限制,且具有易安装等特点。随着社会经济不断发展,未来,无线网络将会不断突破自身,拥有更为广阔的市场。
1.2无线网络安全隐患分析
现阶段,通过对无线网络运行实际情况调查发现,无线网络存在很多安全隐患,诚然,无线网络各类安全问题各有不同,但是,就本质上来看,各类安全问题本质具有相似之处,具体表现如下:
1.2.1非授权接入问题
非授权接入问题常见于部分用户针对无线网络设置的安全防护等级较低,或者根本没有设置防护屏障,给其他人留下了可乘之机,导致其他用户可以未经授权,利用攻击工具进入到具有开放性特征的无线网络当中。非授权终端的入侵会占用原有网络流量,导致上网速度变慢,在很大程度上影响网络利用效率,严重情况下,还会出现未经授权终端密码被篡改,给原用户造成不必要的损失。
1.2.2链路泄密问题
链路泄密主要是嘿客或者某些非法组织通过对无线网络的非法接入或者通过钓鱼软件等途径,盗取客户重要信息(如银行卡、网站账号及密码等),而其中涉及到用户切身利益的信息,被盗取之后,将会对用户造成不同程度的损失,另外,网络嘿客还会通过非法操作对用户其他方面造成损害,由此可见,链路泄密问题对无线网络安全造成的影响较大。
1.2.3数据安全问题
目前,多数用户选择无线网络,主要是无线网络操作方便,且信号具有开放性,能够有效突破传统有线网络时间及空间的限制,但是,事物两面性,也给用户带来了一定麻烦,正因无线网络具备良好的开放性,给一些攻击者创造了大量恶意侵入的机会。非法用户能够通过一些辅助工具对网络设置的密码进行破解,最终达到冒用用户合法身份的目的,并进行非法操作,除此之外,用户在运用无线网络进行信息传输过程中,也会遭受非法用户的窃取和盗用,常常造成用户之间的信息被破坏或者盗取,对用户日常工作、生活造成不良影响。综上所述,无线网络在使用过程中,影响无线网络安全性,存在一些安全问题,不利于自身价值的发挥,为此,加强对无线网络安全的防范显得尤为必要。
2、无线网络安全的关键技术分析
众所周知,无线网络具备开放性和接入方便等特征,导致其存在一定安全隐患。随着科学技术快速发展,无线网络安全防范技术层出不穷,可以通过以下几种关键技术加以防范:
2.1采取加密技术,有效控制接入
接入控制主要是指针对接入某无线网络的所有物理终端进行有效监督和控制,是避免非法接入的有效措施,在具体操作时,用户可以采取加密技术,设置一个严格的密码安全验证机制,只有通过密码验证,才能够使用网络,从源头上避免非法接入等问题的出现,另外,还需要对部分授权接入对象设置授权范围及可访问资源类型等,将未经授权的用户直接拒之门外,实现对接入用户身份的`验证,提高无线网络使用安全性,严禁非法用户的恶意侵入。通过这种方式,不仅能够提高无线网络安全、可靠性,还能够保障用户个人信息安全,提高网络资源利用率。
2.2利用物理地址过滤技术,实现链路保护
链路问题作为影响无线网络安全性的主要原因之一,在链路保护过程中,可以通过提高无线网络安全的设置级别来实现这一目标。例如:现阶段,可以鼓励和引导用户使用无线加密协议、物理地址过滤技术等对信息进行加密处理。协议作为对无线网络信息加密的重要标准,通过该协议,不仅能够有效组织非法用户的入侵,还能够保护整条链路。另外,相比较有线网络,无线网络具备移动性特点,能够随时进行接入和断开,而此环节也是保护无线网络的最佳时机,可以通过对链路进行针对性调整和优化,加大对未经授权接入点的监控力度,及时发现问题,并采取有效措施,最大限度避免安全问题的出现。不仅如此,针对链路的保护,需要注意的是无线网络服务的地域设置,要综合考虑多方面因素,不仅要覆盖到区域内所有用户、满足网络资源需求,还需要保障区域内用户个人信息的安全,只有这样,才能够提高无线网络使用安全性,为人们工作、学习提供更多便利。
2.3通过服务区标识符匹配技术,保障数据信息安全
信息时代背景下,数据信息安全与否对企业、个人等均具有较大影响,为了能够保障无线网络数据信息安全性,可以通过对网络动态主机配置协议禁用实现这一目标,与此同时,还需要对无线设备设置如网关、IP地址等屏障,实现对无线网络的双重保障。在无线网络运行过程中,需要对访问列表进行监控,一律拒绝未经授权的用户,并定期清楚一些非法用户,避免给非法分子留下可乘之机。在无线网络数据传输过程中,可以通过服务区标识符匹配技术,促使无线网络当中的授权用户与设备之间具有独立性,通过这种方式和方法,不仅能够提高无线网络安全度,还能够避免个人信息的泄漏,促使无线网络发挥积极作用。
3、结论
安全关键技术 篇6
关键词 蔬菜安全;优质高效;绿色健康;技术发展
中图分类号:S626 文献标志码:B DOI:10.19415/j.cnki.1673-890x.2016.36.017
1 设施蔬菜安全优质高效生产技术的作用和意义
设施蔬菜栽培技术是一种利用现代科技手段和设施进行蔬菜栽培的农业生产技术,其应用性和操作性较强,属于设施农业的重要组成部分。设施农业根据自然规律以及农作物生长特性,利用现代科技手段解决农业生产过程中的问题,一般是用设施装置解决自然气候对农作物种植的影响,如温度、土壤土质、水源等,为农作物种植营造合适的生长环境,促进农业发展的同时增加农民的经济效益。而设施蔬菜栽培技术就是根据人们对蔬菜的需求,利用现代科技设施进行有计划、有产量、有质量的蔬菜栽培[1]。设施蔬菜的栽培可以有效利用自然资源,将资源配置实现最大化的利用,是一种可持续发展的生态农业种植。此外,设施蔬菜栽培可以进行反季蔬菜种植,增加蔬菜种植的经济收益,确保蔬菜的高产优质,突破季节对蔬菜种植的限制,扩大农业生产的规模和发挥在那范围。所以,在我国推广设施蔬菜种植技术以及范围是一项极其重要的农业现代化发展步骤。
2 设施蔬菜安全高效优质生产技术的应用
设施蔬菜安全优质生产必须依靠一定的现代化科技手段,才能实现设施蔬菜资源利用的最大化,使我国农民获取较高的经济收益,保证设施蔬菜的安全健康和绿色无污染,保证居民的食品安全。因此,设施蔬菜的技术应用要有相关的理论指导。
2.1 蔬菜品种的选择
传统农作物种植中,种子的选择尤为重要,优质种子可以保证农作物产量,增加农民的经济效益。设施蔬菜种植最重要的基础也是对种子品种的选择,不能因为使用现代化科学手段种植就忽略蔬菜种子的选择,巧妇难为无米之炊,种子的质量是保证高产优质安全蔬菜的基础。一般选择蔬菜种子时,要通过正规渠道购买选择。目前种子市场上比较混乱,很多不良商人以次品种子冒充优质种子牟取高额的经济利益,所以,为了保证种子的质量,最好去正规渠道购买能够开具发票的种子。另外,在购买种子时一定要注意种子的表面是否产生霉变和其他变化,对不能确定变化原因的种子,最好不要购买。还可以根据当地土壤、气候、湿度等的实际情况选择一些杂交品种的蔬菜种子,如抗病、耐热、耐旱等新品种种子,保证蔬菜的产量,提高农民的经济收益[2]。
2.2 土壤和棚膜的选择
设施蔬菜最好不要在遭受污染的土地上种植,因为污染土壤中含有的有害物质会影响蔬菜的质量和产量,对蔬菜安全健康造成威胁。一般进行设施蔬菜种植时最好选择有机质含有量较多的土壤栽培蔬菜,以确保蔬菜高产优质和安全。同时,蔬菜栽培的棚膜选择必须按照严格的要求和标准规范,一定要确保选择的是无毒、透光性能好、拉力强、使用寿命较长以及保温效果较好的棚膜。目前,国内棚膜市场上较好的农用膜是含有乙烯醋酸、乙烯共聚物和红外线阻隔剂的三层保温防老化膜,这种棚膜无毒、无滴性能和透光性能好,并且具有良好的保温效果,使用寿命比较长,可以保证蔬菜的产量增长,提高经济收益。
2.3 科学施肥
保证设施蔬菜的高产优质不仅仅是要确定种子和土壤以及棚膜,还要在蔬菜生长期间进行合理科学的施肥工作。蔬菜的生长时间短,产量比较高,并且一般是复种,对土地土壤的吸收量大,因此必须保证合理科学的施肥,才能保证蔬菜生长过程中所需要的营养物质充分,保证蔬菜的产量和和质量。
具体的施肥时间要结合蔬菜的生长过程和生长情况确定,尤其要注意蔬菜作物生长过程和氮、磷、钾等营养元素的关系,确保充分地了解蔬菜不同的生长时期所需要的营养元素后,根据蔬菜生长需求进行施肥,保证蔬菜产量的同时,不会因为过多施肥使土地土壤的有机平衡遭到破坏[3]。此外,不同的蔬菜种类对肥料的需求时间以及需求量不同,要根据蔬菜自身的生长特性选择合适的有机肥料,确保蔬菜所需的营养成分充足。例如:同为辣椒品种的湘研一号和湘研十号在早期种植期间的所需施肥量就不同,湘研一号的施肥量要更大一些;包菜、花菜和豆类的需肥情况也不同。因此,在施肥时,一定要根据种植的蔬菜种类以及品种特性确定施肥种类和施肥量。
还要注意施肥方法的科学合理,一般的施肥要遵循以土肥为主、化肥为辅,基肥为主、追肥为辅、以肥养土、以土肥菜,土肥打底、精肥施面,基肥足、面肥速等规律,促进蔬菜叶、茎对营养物质的吸收,增加产量。
2.4 温度控制
温度是影响蔬菜采收时间和生长情况的重要因素,设施蔬菜种植时最好在大棚温室内安装两三个温度计和一两个干湿测量计,实时监控温室大棚内的温度以及湿度,确保蔬菜种植温度和湿度的最佳状态,促进蔬菜的生长,保证蔬菜的采收时间以及产量。还要对不同蔬菜进行单独的温度和湿度监控,进行适当的通风透气,确保蔬菜种植环境适宜温度的同时,防止因为潮湿和闷热而产生的病虫害,影响蔬菜产量和质量。
2.5 合理的水源管理方式
水是生命之源,这不仅指出了水对人类生命的重要性,还包括对其他动物和植物等。蔬菜是多汁柔嫩的植物,一般含水量在75%~95%,但蔬菜的绿叶面积比较大,蒸腾作用较强,所以蔬菜会极易缺水,一旦蔬菜缺水不仅会降低产量,严重时甚至会干枯死亡。但并不是說蔬菜种植期间的水越多越好,一些耐旱的蔬菜可能会因为水量过度而根茎腐烂死亡,影响蔬菜产量。因此,必须根据不同蔬菜的特性进行合理科学的灌溉,既保证蔬菜的充足水分需求,又能够确保蔬菜不会因为水量过多窒息死亡[4]。除了合理地灌溉蔬菜保证水量合适外,还要注意对一些低洼土地蔬菜的排水工作,防止自然降水过多造成蔬菜死亡,影响蔬菜的产量和品质。
2.6 病虫害防治措施
蔬菜新鲜肥嫩、丰硕多汁的叶、根、茎、果实及花球是蔬菜的收获部分,但也是这些部分比较易招致病虫害,如果不及时防治会严重降低产量品质。但如果大量使用农药会使蔬菜表面甚至内部残留化学农药危害人体健康,所以一般的蔬菜病虫害防治采取以防为主、防治并举的措施,要“治早、治小、治了。”必须要采用药物防治时,一定要认识和掌握病虫害的发生规律,采取最有效的防治措施。
3 结语
设施蔬菜种植在很大程度上保证我国居民可食用的蔬菜种类丰富多样,改变我国传统的农作物种植和生产方式,加快我国农业机械化、农业科技化以及农业现代化的进程,是一项重要的亟待推广的蔬菜种植技术。并且,随着人们对食品安全的日益重视,设施蔬菜的高产优质符合当前人们对食品的绿色健康无公害的追求,因此,发展设施蔬菜除了可以保证居民的蔬菜食品安全,还可以提高农民种植蔬菜的经济收益。
但设施蔬菜种植技术在我国推广的进程还比较缓慢,其中设施蔬菜的高投入、专业化以及科技化种植特点是农民望而却步的主要原因,为了解决这些问题,我国政府相关部门开展了一系列的设施蔬菜种植技术推广活动,但要起到更好的作用,有关部门就要适当改变蔬菜种植技术的推广策略,加大对农民进行设施蔬菜栽培的经济扶持、技术扶持等鼓励扶持力度,才能更加有效地扩大设施蔬菜的种植范围,推进农作物种植的现代化进程。
参考文献
[1]乜兰春,胡淑明,历春萌,等.设施蔬菜安全优质高效生产关键技术与应用[J].北方园艺,2013(15):51-53.
[2]孔亚丽,苗保朝.设施蔬菜瓜果安全优质高效栽培技术[M].北京:中国农业科学技术出版社,2014.
[3]张宗平,王静,刘文娟,等.设施蔬菜安全生产关键技术应用研究[C].山东园艺学会第七次会员代表大会暨学术研讨会,2011.
[4]吕慎宝,王明德,徐兰云.设施蔬菜安全优质生产关键技术[M].北京:中国农业出版社,2010.
云计算数据安全关键技术研究 篇7
美国国家标准和技术研究院(NIST)为云计算给出如下定义:云计算就是以快捷、按需的形式,利用网络从可配置的资源共享池中获取服务的一种计算模式[1]。自“云计算”(Cloud computing)概念首次提出后,云计算就以其便捷、经济、高可扩展性等优点得到国内外产业界、学术界、政府的广泛关注。但与此同时,作为一种新型技术,其应用服务的推广使用情况并没有人们想象中的那么乐观,最主要的原因就是由于大规模资源共享所带来的数据安全问题。与传统信息系统安全问题相比,大规模数据的集中存储使得云计算平台必将成为黑客攻击的主要目标[2]。2009年Gartner调研报告显示,70%以上企业因对云计算数据安全和隐私性保护存在顾虑而对云计算应用持观望态度;欧洲网络和信息安全研究机构ENISA也表示,云计算数据安全性、隐私性以及应用的稳定性将成为用户是否使用云服务以及选择何种云计算服务商的主要衡量准则。近几年,云计算倡导者Google,以及Microsoft、Amazon等云计算服务提供的霸主屡屡被爆出各类隐私数据泄露事件,进一步加剧了人们对云计算数据安全的担忧。因此,要想让更多的机构和企业大规模使用云计算应用平台,放心将海量数据交付于云计算提供商集中管理,首先应着手解决的就是云计算数据安全问题。
1 云计算数据安全挑战
在云计算环境中,用户数据主要以两种形态存在:静态存储和动态传输。当处于静态存储时,用户数据可进行备份处理;当处于动态传输时,用户数据可储存在磁盘缓冲区或网络中[3]。所谓数据的生命周期,即用户数据从创建、传送至云平台数据中心直至彻底销毁的全过程,其可细分为7个阶段,如图1所示。
当信息安全向云计算过渡时,云计算平台特有的模式结构将给传统的数据安全方法带来挑战,在整个云计算数据生命周期中,主要的安全挑战如下:
(1)数据丢失与泄露风险。云计算采用大规模数据集中管理方式,但其对数据的安全控制力度并不够,安全机制的缺失以及安全管理的不足都可能引发数据丢失和泄露,无论是国家重要数据或者个人隐私数据,一旦丢失或被窃取都将造成非常严重的后果。
(2)数据访问控制风险。云中存储着海量数据、应用和资源,如果云平台没有完善的身份验证机制,入侵者将会非常轻松地获取到个人信息,甚至利用所获得的信息进行非法操作。
(3)数据隔离风险。用户对云计算有不可控性,因此不同用户之间的数据应采用有效的隔离或加密措施,以保障用户数据在使用、传输和存储过程中不与其他用户数据混合,同时防止其他不发份子非法获取他人数据。
(4)数据传输和存储风险。由于病毒和恶意攻击的威胁,仅采用加密技术是不能完全保证数据安全性的,同时用户数据也面临着传输和存储信息完整性受到破坏所带来的风险。
(5)剩余数据风险。数据必须彻底有效地去除才被视为销毁,不彻底的数据清除、硬件设备的维修与保费都可能导致敏感数据被泄露所带来的风险。因此,必须具备一种有效的技术,实现云计算数据的准确定位,并保证数据的彻底清除和销毁且无法恢复。
(6)数据可用性及恢复风险。由于自然或人为因素造成数据损坏在所难免,因此,必须保障备份数据的可用性,云计算数据备份和恢复计划必须到位、有效,以防止因数据丢失、意外覆盖或破坏所带来的风险。
2 云计算数据安全关键技术
云用户数据传输、存储、处理等操作均与云计算系统有直接关系,在云计算虚拟化的应用环境下,云用户面临的数据安全威胁更加突出。为了给云用户提供全面的信息安全与隐私保护,访问控制、数据隔离、加密传输、安全存储等关键技术必不可少,只有保证此类安全技术的有效实施,才能确保云计算数据安全。
2.1 数据访问控制
在云计算用户重要信息数据的访问控制方面,可采用基于身份认证的授权控制技术,对用户身份进行实时监控和权限认证,以防止云用户之间的非法越权访问。针对云计算虚拟应用环境,可以对虚拟环境下网络边界的安全访问控制策略进行设置,例如通过虚拟防火墙等方法来实现虚拟机组内部重要数据的访问控制。
2.2 数据安全隔离
数据的集中存储不可避免会出现相互干扰的安全风险,为实现不同用户信息数据的安全隔离,可根据实际需求,采用物理隔离、虚拟化隔离等技术手段将各类服务器和域名完全隔离,在减少单点故障的同时,采用不同数据库存储不同应用系统数据的方式,保障每个云计算用户信息数据的安全与隐私。
2.3 数据加密传输
在云计算环境下,数据传输不可避免,因此数据传输过程中的安全性保障非常重要。数据加密技术可在网络链路层、传输层以及网络层实现,通过加密技术可保障云计算用户信息数据的完整性、机密性、可用性。在前段,可采用SSL、SSH等加密协议为数据传输提供加密通道,保障并维护数据安全;在后端,可采用VPN、SSL等方式防止非法攻击者对数据的窃取和篡改,为云计算用户提供网络传输数据的安全性。
2.4 数据安全存储
服务DaaS,即云计算平台的存储服务,是服务IaaS(云计算基础设施)的重要形式之一。云平台存储中的数据均为静态数据,探讨此类数据的安全性问题,直观的方法即是对数据进行加密。假若加密后的数据被恶意窃取,对于不发份子来说,他们获取的只是一段乱码,并且无法获悉其具体信息。因此,在加密算法的选择上,应选用如3DES、AES等国际通用的、加密性能较高的算法,亦可选择我国国有商密算法SCB2等。在密钥管理方面,为实现用户信息数据的高效安全管理,可以采用集中式密钥管理和分发机制。对于服务DaaS,云计算系统应支持数据加密存储服务,以防止不法份子的恶意窥探,而对于虚拟机等服务,建议云计算用户对个人敏感信息的上传、存储采用必要的加密技术。
3 云计算数据安全防护方案
3.1 云计算数据安全体系架构
云计算最主要的安全问题莫过于数据安全和隐私保护,因此,国内外已有研究者提出了以数据安全为核心的云计算安全体系架构。DSLC(Data Security Life Cycle)就是一种数据安全防护体系,该体系由管理策略、安全技术以及监管机制组成,按三个步骤为云平台中的数据提供安全可靠保障。首先,由于数据在云中的存储形式有所不同,因此需先对云中数据进行获取、存储、传输和处理;随后,建立包括创建、使用、传输、交换、存储、归档和销毁等6个阶段在内的数据安全生命周期;最后,明确数据安全生命周期内每个阶段的数据安全保护机制,将云平台使用者所有可能的行为限制在一定安全范围内。文献[4]提出了一种参考性的云计算数据安全框架,其主要包括数据安全服务体系和安全标准及测评体积两大部分。其中,数据安全服务体系又分为云安全基础服务、可信云基础设施服务以及云安全应用服务,该体系结合云环境的不同层次为保障数据安全提供技术支撑;而数据安全标准及测评体系则为数据安全服务体系提供必要的技术和理论支撑。文献[5]则从运营管理、技术防护、政策保障等方面提出了一种可信云计算环境来保障云中数据安全。
3.2 身份认证
在云环境下,用户选择不同的云服务提供商,因为拥有不同的身份标识,容易被混淆或遗忘,为了保障用户身份的可控性,目前主流的身份认证方法有单点登录、联合身份认证等。
(1)单点登录(Single Sign-on,SSO),即用户身份信息及相关属性能够安全传送至云服务的能力。单点登录允许本次信息管理系统可以向其他云计算系统认证该用户身份,因此用户只需在使用某项云服务时注册并登陆一次,从而减轻不必要负担。目前典型的单点登录协议是OpenID协议,Google服务商支持OpenID协议的单点登录技术;另外SAML也是一种XML单点登录开放标准,Salesforce服务商支持该技术。
(2)联合身份认证,即在不同服务商的身份信息库间建立关联。当用户在使用某个云平台服务并实现登录时,该用户就可以访问与之相关的其他已被信任的云平台,无需重复注册多个账号并登录。联合身份认证基于单点登录技术,如SAML联合身份认证,该方法权威通过数字签名发布一个令牌给一个用户,该用户可使用令牌跨域访问其他已被信任平台,无需重复登录认证。此外,PKI联合身份认证技术也是目前较为广泛使用的一种联合身份认证方案。
3.3 数据隔离防护
密文处理技术是保护数据机密性的一种最直接的方法。文献[6]提出全同态加密技术,该技术利用理想格的数学对象建立了隐私同态算法,能够实现数据在加密状态下的操作。文献[7]将可信计算与同态加密技术相结合,能够有效地为用户提供云计算服务。随着加密技术的发展,一些基于策略模型的安全机制也被应用到了云计算动态数据的隔离保护中。文献[8]提出了一个虚拟化安全保护框架,利用沙箱机制对云计算数据进行隔离。该框架采用Linux系统的chroot命令创建了一个独立的虚拟系统,并利用chroot命令可更改路径的功能创建新的指定目录,在新的指定目录中,用户无法访问旧系统中的数据及文件,由此将云数据进行安全隔离。文献[9]构建了一种可信SaaS平台TSP,并为SaaS提供了一个封闭的环境,能够保障用户隐私数据只能在Terra平台专用虚拟机中执行和处理。
3.4 数据安全存储
云平台中存储的数据多为静态数据,因此数据存储的安全性、完整性、可用性成为用户关注的主要问题。目前最为直观的解决方法就是对数据进行加密处理,文献[10]提出了一种基于用户端的隐私数据管理工具,可为云服务用户提供一个信息模型,帮助用户控制隐私数据在云平台中的存储和使用。文献[11]提出了一种基于数字签名的完整性校验技术,验证者可以通过验证自己存储在校验模块中的数字签名,从而确定存储数据是否是完整的。在数据的可用性上,Google GFS提出了3个副本的容错技术,可实现存储数据效率和可靠性的平衡,此外,秘密共享和纠删编码等技术也常用于保证数据的可用性。
3.5 可信云计算
将可信计算与云计算相结合,可使云计算服务商以一种可信赖的方式为用户提供服务,因此可信云计算技术也成为云安全领域中的一个重要研究方向。可信计算的核心思想就是可信传递,从可信根出发,通过扩展信任边界从而确保整个系统的可信。在云计算平台中,文献[12]提出了一种可信云环境的安全框架,引入信任传递和可信根的概念,实现了Guest OS kernel、虚拟机监控以及云计算应用服务的安全性度量与验证功能。文献[13]提出基于虚拟机架构的可信云计算平台Terra,该平台通过一个具有防篡改功能的可信硬件平台,利用可信虚拟机监控器建立了多个互相隔离的具有高可用性的虚拟机,并利用远程证明机制向远程用户端证明自身数据的完整性。
4 结束语
目前,如Amazon、Microsoft、IBM等云服务提供商纷纷提出并部署了云计算数据安全解决方案,电信运营商Verizon也推出了云安全特色服务。随着云计算技术的发展,如何确保用户隐私数据不被窃取或丢失,如何保障云服务提供商的访问控制机制和安全管理机制符合云服务用户的安全需求,如何避免云环境下多用户共存所带来的潜在危险都将成为云计算所面临的安全挑战。本文围绕云计算数据安全周期和主要威胁等问题进行了阐述,并综合访问控制、数据隔离、加密传输、安全存储等关键技术,对云计算数据安全解决方案进行了系统研究,今后研究的重点将着重于具体数据安全防护措施的技术研究上以及云计算数据安全应急机制的研究。
摘要:针对云计算国内外发展现状及趋势,阐述了云计算数据安全与隐私保护问题,分析并探讨了云计算数据安全所面临的挑战及关键技术,针对云模式下的数据安全提出了相应的解决方案。
物联网安全体系关键技术研究 篇8
为满足物联网体系中设备间以及人与设备的实时连接和智能化管理与控制,需要融合无线网络及运用大量传感器、智能处理终端等相关设备。但大部分传感器和相关终端设备在物联网系统中处于无人看管状态,同时物联网体系中终端设备传输节点庞大、感知节点组群化、低移动性[1],这就使得物联网面临着复杂的安全威胁。通常情况下,物联网的信息采集、传输、感知节点结构简单,无法支持复杂的安全功能,种类繁多的感知网络和节点、多样的通信技术以及不完善的标准规范,都给物联网的信息传输、融合、决策等带来挑战。因此,为确保物联网安全,需为物联网体系提供全方位和整体化的安全防御策略,为物联网安全提供更加坚实和高效的技术保障[2]。
目前,物联网受到的安全威胁和攻击主要有物理俘获、传输威胁、阻塞干扰、碰撞攻击、信息篡改等[3]。针对物联网安全威胁和攻击的特点,文献[4]、[5]提出了物联网安全体系架构。Weber[6]针对物联网感知节点易遭受攻击而无法利用加解密算法保证自身安全问题展开了研究,提出以物联网容忍攻击为切入点来应对物联网数据认证、访问控制以及隐私保护等问题。Leusse[7]提出了一种面向服务思想的安全架构及有自组织能力的物联网安全模型,该模型包含Service-Oriented Architecture(SOA)Se- curity Analysis、SOA Security Autonomics、 Identity Brokerage等模块。Ken Traub等[8]以RFID和物联网技术为基础,基于信息服务系统、物联网安全管理及安全构架等构建了物联网信息服务系统方案,为物联网安全架构服务系统的设计、构建、实施提供了参考依据。武传坤[9]通过对物联网各层进行安全需求分析,搭建了物联网安全架构体系。物联网中多样化的感知信息、复杂多变的网络环境以及种类繁多的应用需求等都对物联网安全体系带来挑战。
针对物联网所面临的安全威胁,本文着重分析物联网架构的层次结构,研究物联网感知层、传输层和应用层安全技术,建立层与层之间的安全机制,实现物联网中各层的安全认证、加密和切换。
1物联网安全威胁
根据物联网体系结构特点,物联网安全问题主要表现为[10]:1传感器安全,主要包括传感器信号干扰、屏蔽、拦截等;2数据安全,主要防止传感器间通信、信息传输以及信息处理系统中的信息被窃取、篡改和伪造等;3运行安全,主要包括传感器、传输系统及处理系统的正常运行。 同时,由于物联网中采用海量的传感器、智能处理终端等, 终端设备大多缺少人为监控,使物联网不仅面临传统通信网络安全威胁,还面临着其它安全威胁,如图1所示。
2物联网安全技术体系
2.1物联网安全构架
按照物联网通用构架,整个物联网体系由感知层、传输层、应用层3部分组成,不同层中存在的安全问题不同。 传感网通信安全、终端传感器设备安全以及传感器网络与传统网络结合带来的安全问题是感知层所面临的。传输层的安全问题主要来自物联网感知节点的海量数据传输可能导致网络堵塞和拒绝终端设备认证等。业务需求安全主要包括隐私保护、安全身份认证、加密密钥管理以及业务系统安全机制等。因此物联网安全构架可进一步分为感知层安全构架、传输层安全构架和应用层安全构架。 在构架物联网安全体系时应综合考虑感知层、传输层和应用层的安全,在层与层之间建立相应的安全机制和接口。 物联网安全体系具体框架如图2所示。
2.2物联网感知层安全关键技术
物联网感知层主要包括传感器节点、传感网路由节点、感知层网关节点以及连接节点的无线网络等。由于传感器节点和RFID在功能和加密方法上受到限制,无法对传感器节点进行复杂加密,导致其安全机制等级较低,且无标准化的传感器网络和统一标准的数据传输协议[11], 因此迫切需要利用相关技术确保其安全。物联网感知层安全关键技术主要有以下几种:
(1)密钥管理机制。在感知层中,采用密钥管理技术保护感知信息来保证物联网系统安全,密钥管理包括密钥生产过程、分配过程、更新过程等。通常情况下,主要有两种方式生成密钥管理系统:集中式和以感知层局部网络为中心的分布式。利用密钥管理技术,可保证密钥生成、更新算法的安全性、源端认证性以及信息的前向私密性、后向私密性和可扩展性等。
(2)安全路由机制。安全路由机制主要保障物联网遭受网络威胁和攻击时,仍然能够对物联网中的相关通信进行正确的路由发现、构建和维护。主要包括数据鉴别和保密机制、设备身份鉴别机制、通信数据完整性校验机制等。 另外,采用安全路由机制还可以在遭受网络攻击时针对其攻击采取不同解决方案,如针对黑洞攻击采用基于地理位置的路由协议。
(3)访问控制机制。为防止未授权用户访问物联网感知层的节点和数据,在感知层中采用访问控制机制控制用户对物联网感知层的访问,主要包括自主访问机制和强制访问控制。
(4)安全数据融合机制。在感知层中,安全数据融合机制主要在数据加密、安全路由、交互节点证明、采集节点抽样信息、采集签名信息等机制上结合数据融合算法实现,从而确保信息保密、信息传输安全及信息聚合准确性等。
2.3物联网传输层安全关键技术
(1)IP Security。为保护传输层中不同形式的IP网络数据,通常采用IPSec技术。IPSec主要通过鉴别报头协议、封装安全载荷协议、密钥管理与交换协议等3个基本协议实现IP网络数据的原发方鉴别、数据完整性、机密性保护。
(2)防火墙。防火墙主要是对物联网中的通信、数据流进行访问控制、内容过滤、地址转换。当数据在物联网内部进行传递时,防火墙依据所制定的安全策略对所有传输数据流的安全策略以及授权性进行检测,只有当数据符合所指定的安全策略且取得授权时才能进行访问,以保护物联网数据传输安全。
(3)数字证书。可选择第三方证书授权中心签发的加密数字证书对需要传输的信息进行加解密或签名认证,防止信息在传输过程中被篡改或伪造,保证信息在物联网中的传输安全。
(4)身份识别。通过身份识别技术,如指纹、面容、虹膜等进行身份识别,采用访问控制机制确定访问权限,实现安全保护。
2.4物联网应用层安全关键技术
由于物联网应用多样化,其对应的安全需求也存在很大差异,从而导致物联网应用层安全技术表现形式各不相同。总体来说,物联网应用层安全的关键技术主要包括:
(1)隐私保护技术。物联网应用层的隐私保护问题日益严峻,由于采用大量电子标签、无线通信技术、智能终端等,相关设备安全机制较低且长期处于无人值守的环境中,攻击者可轻易获取和拦截存储在设备中的隐私信息, 造成用户隐私泄露的同时也带来相关安全隐患,应用层隐私威胁主要包括隐私泄漏和恶意跟踪。
(2)身份冒充。攻击者对物联网中无人值守设备进行劫持和攻击,进而利用身份伪装向相关应用终端设备或者应用服务器发送伪造或虚假数据信息。
(3)信令拥塞。在物联网中,终端设备数量巨大,当终端与应用服务器之间业务交流产生身份认证请求时,终端和应用服务器的认证方式主要采用一对一认证,如果需要进行大量身份认证时将导致应用服务器过载而使得网络中的信令通道拥塞,从而导致应用服务器瘫痪。
3结语
建立网络安全系统的关键技术 篇9
一、防火墙
防火墙是指设置在不同网络 (如内部网和公共网) 或网络安全域之间的一系列硬件或软件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 可根据网络的安全策略控制 (允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力。它还可监测、限制和更改通过的数据流, 尽可能地对外部网络屏蔽内部网络的信息、结构和运行状况, 以此来实现网络的安全保护。但由于防火墙是一种访问控制设备, 而且提供的是安全域的周边防护, 因此, 防火墙存在其局限性。一方面, 不能防范不经过它的攻击, 例如来自于网络内部的攻击;另一方面, 不能抵御隐藏在合法链接内的攻击等。
二、入侵检测系统
入侵检测也是一种动态的安全防护技术, 通过在网络和主机系统中主动寻找入侵信号来发现入侵行为并告警。它帮助网络系统对付各种攻击, 扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应) , 提高了信息安全基础结构的完整性。入侵检测, 被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测, 从而提供对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前抵御入侵。随着网络速度的加快、网络规模的扩大和网络攻击手段的复杂化, 入侵检测必须不断提高其综合能力, 才能保障安全作用的真正发挥。
三、网络安全漏洞扫描分析系统
网络安全漏洞扫描是网络安全防御中的一项重要技术, 其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查, 目标可以是工作站、服务器、交换机、数据库应用等各种对象, 然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告, 不断为提高网络安全整体水平产生重要依据。
四、安全路由器
安全路由器是集常规路由器功能与安全功能为一体的网络安全设备, 一般具有加密、鉴别、审计、路由器管理安全、路由信息安全、服务访问安全、包过滤和V PN功能。目前, 国外一般以大中型的通信网络公司为主, 通过在高性能的路由器中集成安全模块, 利用硬件优势, 生产了较多的高性能的安全路由器。随着网络速度的加快和攻击风险的广泛存在, 安全路由器作为链接网络的骨干设备, 在系统上实施安全控制后如何使其不成为网络的瓶颈, 并有效抵御各种攻击, 是安全路由器今后需考虑的主要问题。
五、虚拟专网 (V P N) 技术
虚拟专网 (V PN) 技术是指在公共网络中建立专用网络, 数据通过安全的“加密管道”在公共网络中传播。使用V PN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处, 是目前和今后相关网络发展的趋势。
Web服务安全关键技术研究综述 篇10
Web Services技术是最近几年迅速兴起的一种应用集成技术, 它是一个崭新的分布式计算模型, 是Web上数据和信息集成的有效机制。传统分布式信息技术不能在组织和企业中准确无误的联连被防火墙分隔的异构系统, 这将企业驻留在毫不相关的局域网中, 无法合成化为一个整体系统。Web服务以它的松耦合性、跨平台性和交互性, 一经推出就被众多企业的支持。而Web服务的这些特性也引出了一些安全问题, 这些安全问题在传统的分布式信息技术是不存在的。随着Web服务实现跨组织的业务集成和动态电子商务活动的不断成熟, Web服务的安全问题, 越来越制约其发展和应用推广, 如何提供安全的Web服务已经成为企业界和学术界迫切要解决的问题之一。
1 Web服务概述
1.1 Web服务架构
Web服务是一系列标准和正在发展中的标准, 它们是由Worldwide Web Consortium (W3C) 设计和指定的, 用来促进跨平台的程序和程序之间的通信。文献[1]描述了Web服务的基本架构。该构架由3个参与者和3个基本操作构成。3个参与者分布是服务提供者、服务请求者和服务代理, 而3个基本操作分布为发布 (publish) 、查找 (find) 和绑定 (bind) 。Web服务基本架构如图1所示。服务提供者将服务发布到服务代理的一个目录上;当服务请求者需要调用该服务时, 他首先利用服务代理提供的目录去搜索该服务, 得到如何调用该服务的信息;然后根据这些信息去调用服务提供者发布的服务。当服务请求者从服务代理得到调用所需服务的信息之后, 通信是在服务请求者和提供者之间直接进行, 而无须经过服务代理。
1.2 Web服务的协议体系概述
Web服务体系使用一系列标准和协议实现相关的功能。Web服务的协议层次如图2所示。
XML (Extensible Markup Language, 可扩展标记语言) :XML是由W3C创建的一种基于文本的规范标记语言, 是Web服务平台中表示数据的基本格式。其特点是:易于理解、跨平台性、松散耦合的结构、互操作性强。
SOAP (Simple Object AccessProtocol, 简单对象访问协议) :SOAP为在一个松散的、分布的环境中使用XML对等地交换结构化信息提供了一个简单的轻量级机制。SOAP的目的是为了使分布于网上的各系统之间能够进行数据传输。
WSDL (Web Services Description Language, Web服务描述语言) :WSDL提供了一个基于XML的简单语汇表, 将Web服务描述为能够进行消息交换的服务访问点集合, 用来描述通过网络提供的基于X M L的W e b服务。
UDDI (Universal Description, Discovery and Integration统一描述、发现和集成协议) :UDDI是一套基于Web的、分布式的、面向Web服务的信息注册中心的实现标准规范, 它定义了Web服务的发布和发现的方法。
2 Web服务安全
Web服务具有松耦合性、跨平台可扩展等多种特性, 而这些特性也引出了一些Web服务安全问题。例如, 在松散耦合的情况下, 数据及软件等各种资料具有动态性, 难以管理和控制, 从而增加了保证服务安全性的难度。目前, 安全问题被认为是Web服务发展急需解决的紧要问题。
2.1 传统Web安全技术
传统的Web安全技术主要集中于对网络连接和传输层的保护。通常有安全套接字层 (SSL) 、IP安全协议 (IPSec) 、防火墙规则以及虚拟专用网 (VPN) 等。其中IPSec过滤策略和防火墙规则限制已知IP对服务的访问, 可有效地保证数据完整性。但是根据策略和规则的设置, 它只能放行或者滤掉所有的SOAP消息, 却无法检测SOAP消息的安全性。SSL是广泛作业于HTTP的安全技术。SSL保护客户与服务器之间的通信通道, 它支持客户与服务器的认证, 提供了数据完整性、数据机密性和点到点的安全会话。但采用SSL却存在一些问题。首先, SSL只能保证两点之间的一个连接, 无法保证端对端的数据完整性、机密性。在多跳通信情况下, SSL要求消息在每个跳之间加密解密, 这不仅影响了性能, 还可能损害消息的安全。其次, SSL没有为安全应用提供足够的粒度。SSL只能对整个文档进行加密, 因此会严重影响性能。另外, SSL还局限于传输协议, 这意味着如果Web服务使用一个不同传输协议时SSL就不起作用了。
由此可见, 传统安全技术无法完全满足Web服务的端到端安全、选择性保护等新的安全需求。Web服务通信安全需要在应用层有效的保证SOAP协议在交换过程中消息的完整性与机密性, 实现细粒度的消息保护。
2.2 目前Web服务安全的关键技术
目前Web服务中采用的安全技术主要有以下几种:①在客户端建立用户信任机制, 执行服务时将相应的认证信息导入服务器;②在SOAP消息头中加入针对特定应用的安全表示 (token) , 则可从中提取认证、信任信息;③在某个特定的应用领域内, 对服务提供者的内部敏感数据进行加密, 当其收到服务请求后直接在加密了的数据上进行相应的计算和处理, 计算结果解密后返回给服务请求者;④服务请求者需要提交必要的输入数据, 并且每次仅提交一个输入数据块, 返回的结果对应于该请求, 经过多次服务请求后, 由服务请求者进行各次服务执行结果的集成, 从一定程度上保证了客户信息的安全。下面就对目前Web服务安全采用的关键安全策略一一阐述。
2.2.1 XML签名规范
XML签名 (XML Signature) 是IETF和W3C工作组联合提出的规范。XML签名的功能在于它既可以提供数据的完整性 (Integrity) , 又具有鉴别性 (Authentication) 和不可抵赖性 (Nonrepadiatability) , 对于保障使用计算机及网络完全有着其他办法不可替代的作用。在XML签名中, 签名通过间接方式应用到数字内容上, 要签署的内容首先将进行摘要并被放置在一个XML元素中, 随后对元素进行摘要并秘密将其签署, 签名应用于这个摘要。由于摘要通常会比原始数据小, 所以使用它可以缩减加密和签署数据时所需的时间, 而这个缩减可以使数据的传输和存储更为有效。XML签名的结构如下:
其中,
与传统数字签名相比, XML签名在处理XML文档签名时, 表现出强大的功能和技术优势:首先, XML签名结果保持XML文档的结构性, 便于数字签名的存储和管理。其次, XML数字签名借鉴了Internet资源的URI建模思想, 对待签名数据也用URI建模。URI可以引用任意数据类型的文档, 也无论是远程文档还是本地文档, 甚至还可以引用XML文档的任意元素。因此利用URI不仅可以对整个XML文档签名, 而且可以对XML文档的任意元素签名, 实现传统数字签名无法做到的细粒度签名。另外, 签名密钥表示形式的语义清晰、易读、友好, 提高了签名的可移植性和自动验证能力。XML签名的缺点是XML签名未能提供一个标准的编程API或者用于处理签名的Web服务模型, 这使得应用程序的代码依赖于专用的供应商API, 从而消减了应用程序的可移植性。并且, 在安全考虑因素中, 通过转化可能会引入安全漏洞, 从而使签名的有效性受损。
2.2.2 XML加密规范
XML加密 (XML-Encryption) 是一个W3C的推荐标准, 该规范是为数据保密性而定的, 它定义了在XML文档中加密和解密所选元素的语义和处理规则。XML加密并不是一种新的加密算法, 以前的任何一种加密算法都可以用在XML加密中。XML加密的结果就是
其中,
XML加密提供了SSL未涉及到的两个重要领域:加密部分文档、实现端对端的安全。直接对文档加密, 最大问题就是加密的粒度太大, 这种方法在一些特殊情况下, 不能满足要求并且影响效率。XML加密规范对加密的粒度进行了分类, 可以加密整个文档或者文档的一个元素, 实现了对文档的部分进行加密、以及实现传输层以为的安全。XML加密的另一优势在于加密后的数据以XML格式表示, 并且可以作为独立的XML文档而存在, 因此便于存储和管理。XML加密缺点是:加密的语法和处理模型非常复杂, 将加密后的XML片段插入到另一个上下文中时也会出现ID冲突等问题。并且XML加密对解决某些安全问题的能力还有一定限制, 而与XML签名结合也可能会引发新的安全问题, 例如常见的明文推测攻击、拒绝服务攻击等。
2.2.3 SAML
SAML (Security Assertion Markup Language, 安全断言标记语言) 是一个OASIS标准, 它定义了以XML格式交换安全信息的框架, 如图3所示。安全信息包括验证设备、授权决策和主题属性, 都以称为“断言”的XML结构进行描述, 断言有SAML权威部门发放。SAML规范也定义交换断言的协议、传输绑定和使用方案, 它无缝地映射到SOAP传输。
2.2.4 WS-Security规范
WS-Security规范是IBM Microsoft和Versign公司共同提出的一个协议规范。XML签名和加密、以及SAML等不是直接解决Web服务安全性的方法, WS-Security解释了如何将这些技术应用到Web服务安全中。WS-Security定义了在SOAP消息中如何包括安全令牌, 以及如何使用XML安全规范来加密和签名这些令牌, 同时也定义了如何使用它们来对SOAP消息的其他部分进行签名和加密。即定义了将令牌封装到SOAP消息中的XML元素和属性, 以及将XML签名和XML加密封装到SOAP中的方法。
除以上这些安全规范外, 还有一些安全技术被用来保证Web服务的安全。例如, XACML (XML Access Control Markup Language) 是一个OASIS标准, 定义了一个通用的授权框架和以XML格式表示、交换访问控制策略信息的结构。PKI (Public Key Infrastructure, 公钥基础设施) 为Web服务安全的最底层, 它通过XKMS (XML Key Management Specification) 协议为Web服务提供了基础的XML公钥系统PKI, 即XKMS是给PKI提供接口的Web服务, 为Web服务安全体系中的所有对象提供了可信的安全基础环境。
3 总结与展望
Web服务安全的实质就是运用Ws-Security和其它规范结合XML安全技术保障SOAP通信的安全。与传统的安全技术相比, 目前Web服务安全采用的XML数字签名、XML加密等技术具有细粒度签名、加密部分文档、实现端对端的安全等优点。这些技术与Ws-Security结合可提供SOAP消息级的完整性、机密性、用户验证、授权、不可否认性等方面的安全特性。但是这些安全技术也存在很多不足, 例如, XML签名消减了应用程序的可移植性、XML加密的语法和处理模型非常复杂, 将加密后的XML片段插入到另一个上下文中时也会出现ID冲突等。而最关键的是这些安全技术都是静态的措施, 并且其本身和Web服务之间就存在技术上的鸿沟, 因此, Web服务的安全问题要得到根本上的解决, 还需要我们继续不懈的研究。
参考文献
[1]Shmueli O.Architectures for internal Web services deployment.In:Apers P, ed.Proc.of the27th Int’l Conf.on Very Large Data Bases.Roma:Morgan Kaufmann Publishers.2001.
[2]W3C Standard.Simple Object Access Protocol (SOAP) Version1.I.World Wide Web Consortium (W3C) .May2000.http://www.w3.org/TR/.
