网络安全保密措施

关键词： 无线网

网络安全保密措施（精选6篇）

篇1：网络安全保密措施

保密措施

1、对外呼工作人员进行入职保密培训，签订保密协议书，强化保密意识。

2、严守通信机密，在任何情况下不泄露客户的任何资料。

3、对所有信息资料应注意保密，严格按照公司规定的流程和范围来进行信息传递和信息归档。

4、严禁在工作机上使用u盘(或各种存储介质)，如需拷贝文件，需向组长或值班班长申请，在指定机器上安装。

5、严禁在工作机上擅自安装或卸载软件，电脑IP地址、DNS服务器不可随便更改。

6、严禁将非公司人员带入呼叫中心，严禁将易燃易爆，带有安全隐患的物品带入呼叫中心。

7、严禁打印移动公司提供的手机号码。

8、市场推广结束后，公司应将上述手机号码资料立即删除。

9、员工有责任严格遵守公司保密条例，全体员工都应保护公司机密信息、文件及软件，并有义务不向任何第三方或未经授权的个人传递、透露、转交、使用、出售、转手、租借、或以任何形式使用相关保密资料，并确保所有能接触到属于公司的机密信息、文件和软件的相关人员同样遵守此条例。

篇2：网络安全保密措施

保障信息安全，切实推行安全管理，积极预防风险，完善控制措施。本办法适用于公司所有在职员工。

二、定义 信息化设备：通指公司配发给每一位员工的，用于从事信息化工作的硬件设备，以及支撑公司正常运作的网络和服务器设备等，主要包括：台式计算机、笔记本电脑、服务器、网络交换机、防火墙、路由器以及各类软件应用平台和软件开发环境等。信息化主管部门：由公司委托对公司所有信息化系统、安全、人力实施管理的部门。

三、信息化设备管理

3.1严禁将公司配发给员工用于办公的计算机转借给非公司员工使用，严禁将公司配发的笔记本电脑带回家使用，严禁利用公司信息化设备资源为第三方从事兼职工作。3.2公司所有硬件服务器统一放臵在机房内，由公司指定的信息主管部门承担管理职责，由专人负责服务器杀毒、升级、备份。

3.3非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，必须经过部门负责人批准，并登记备案。3.4严格遵守计算机设备使用及安全操作规程和正确的使用方法。任何人不允许私自处理或找非本单位技术人员对信息化设备进行维修及操作，不得擅自拆卸、更换或破坏信息化设备及其部件。

3.5计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放臵易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。3.6原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码，对于交换机、防火墙、路由器等网络设备也必须设臵管理密码。

3.7公司所有终端电脑、服务器都必须安装正版杀病毒软件，系统管理员必须对服务器进行定期杀毒、病毒库升级、补丁修复。

四、系统管理员安全管理

4.1公司所有服务器，由公司指定的信息化主管部门实施统一、集中管理。

4.2系统管理员管理权限必须经过公司管理层授权取得。4.3各部门拥有各类服务器的使用权，核心业务部门还拥有相应服务器的管理权，核心业务部门拥有服务器的管理权由公司批准后授予。

4.4系统管理员负责各服务器的操作系统环境生成、维护，负责常规用户的运维和管理。

4.5系统管理员对业务系统进行数据整理、备份、故障恢复等操作，必须有其上级授权，在完成备份后交由公司指定的备份管理部门保存,并做好备份管理登记。

4.6系统管理员调离岗位，上级管理者或负责人应及时注销其管

理密码并生成新的管理密码。

五、密码与权限管理

5.1密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码设置不应是名字、生日、重复、顺序、规律数字等容易猜测的数字和字符串； 5.2密码应每月定期修改，如发现或怀疑密码遗失或泄漏应立即修改，并在设置在机房的密码管理登记薄上记录用户名、修改时间、修改人等内容。5.3服务器、防火墙、路由器、交换机等重要设备的管理密码由信息主管部门指定专人（不参与系统开发和维护的人员）设臵和管理，并由密码设臵人员将密码装入密码信封，在启封出加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码，必须经过相关部门负责人同意，由密码使用人员向密码管理人员索取，使用完毕后，须立即更改并封存，同时在：“密码管理登记薄”中登记。有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除同时在“密码管理登记薄”中登记。

六、信息安全管理

6.1公司每一位员工都有保守公司信息安全防止泄密的责任，任何人不得向工地以外的任何单位或个人泄露公司技术和商业机密，如因学术交流或论文发表涉及公司技术或商业机密，应提前向公司汇报，并在获得批准同意后，方能以认可的形式对外发布。

6.2定期对公司重要信息包括软件代码进行备份，管理人员实施备份操作必须有两人在场，备份完成后，立即交由备份管理部门封存保管。6.3存放备份数据的介质包括U盘、移动硬盘、光盘和纸质，所有备份介质必须明确标识备份内容和时间，并实行异地存放。

6.4计算机重要信息资料和数据存储介质的存放、运输安全和保密由公司指定的备份管理部门专人负责，保证存储介质的物理安全。

6.5任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。

6.6数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。

6.7数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或则永久保存，并确保口语随时使用。数据清理的实施应避开业务高峰期避免对联机业 务运行造成影响。6.8需要长期保存的数据，数据管理部门须与相关部门指定转存方案，根据转存方案的查询使用方法要在介质有效期内进行转存，防

止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。6.9非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内的应用软件和数据等涉经营管理的闲心备份后删除，并进行登记。对修复的设备，设备维修人员对应设备进行验收、病毒检测和登记。

6.10管理部门应对报废设备中存有的程序、数据资料进行备份后清楚，并妥善处理废弃无用的资料和介质，防止泄密。

6.11信息主管部门须指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。

7、机房安全管理 7.1 进入信息机房的授权只能限制在公司指定的信息主管部门的系统管理人员和直属上级领导，以及由公司批准进入实施系统施工及运维的技术人员，其他任何人，未经允许，不得进入。

7.2机房实行门禁管理，进入机房时，应当有两人在场，并登记“机房出入管理登记薄”，记录出入机房时间、人员和操作等内容。

7.3系统施工及运维人员进入机房必须经信息管理部门负责人许可，其他人员进入机房必须经公司领导许可，并由有关人员陪同。机房人员出入登记表必须如实记录来访人员名单、进入机房时间、来访内容等。非信息部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时，经主管部门负责人批准同意后在相关人员陪同情况下进行。对操作内容进行记录，由操作人和监督人签字后备案。中心机房实行严格门禁管理制，及时发现和排除主机故障，根据业务应用要求及运行操作规范，确保业务系统的正常工作。实行机房定期例行检查制度，并就机房设备运行及其他情况做好值日记录。

7.4保持机房整齐清洁，各种中心设备按维护计划定期进行保养。计算机机房中保持恒温、恒湿、电压稳定，做好静电防御和防尘等项工作，保证主机系统的平稳运行，定期对机房空调运行的湿度/温度进行测试。并做好记录，通过实际测量各项参数发现问题及时解决，保证机房空调的正常运行。

7.5机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房，严禁携带易燃、易爆、有腐蚀等危险品 进入机房。

7.6机房管理人员严禁违章操作，严禁私自将外来软件带入机房使用。

7.7严禁在通电的情况下拆卸，移动机房内等相关设备的部件及网络。

7.8定期检查机房消防设备器材，做好检查登记，在机房值日记录上并做书面登记。

7.9机房内不准随意放臵储蓄介质和有关业务保密数据资料，对废弃储蓄介质和业务保密资料要及时销毁（碎纸），不得做普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。

九、网络安全管理 9.1.用户入网管理办法

1.信息主管部门依据本单位组织结构建立用户入网登记表，采用分组管理，并详细登记：用户姓名、部门名称、计算机IP地址MAC地址、交换机接入网口号等信息，并对IP、MAC和端口进行绑定。

2.新入网的个人专用计算机，在完成基本办公环境安装调试后，必须安装终端安全管客户端软件，并注册激活。3.未登记、未激活的用户没有入网权限，私改IP、MAC的用户将不能上网，如需改动，须向管理部门提交IP变更申请表。

4.对于因工作需要临时申请入网的计算机，需提交临时入网申请并注明有效期，到期系统将自动回收相关权限。9.2.计算机终端安全管理办法

1.所有公司员工的终端计算机将安装由集团公司统一部署的北信源终端安全管理客户端软件，用户不得擅自删除卸载该软件。

2.若私自卸载桌面管理软件，终端将不能入网。3.信息管理部门将根据公司要求，对每个终端实施相应的安全管理策略，包括对U盘/光盘读写操作的控制、非法外联的监督等实施在线管理。

4.任何人不得制造、传播任何计算机病毒，不得故意引入病毒，不要打开不明链接、随意安装插件，运行未知的脚本；对于从互联网上下载的邮件附件、软件安装包等需经过杀毒软件查杀后再打开；不要接受来自不明网友的远程控制请求。网管员将对病毒、恶意控件/脚本进行查杀，用户应协助配合。9.3.联网与带宽管理办法

1.办公用计算机必须通过单位统一的互联网出口上网，信息化主管部门已封堵非法外联线路，私拉物理路由，并禁用私装代理上网。如确有需要，请向管理部门申请。2.为保障业务系统访问速度，防止非业务相关的应用占用带宽，合理利用已有网络资源，管理员依据各部门具体情况分配带宽，上班时间对P2P、BT、在线视频等占用大量带宽资源的应用进行流控。

3.管理部门定期使用管理设备出具带宽统计分析报表，并将对滥用带宽的用户和部门做出提醒警告，请用户注意遵守相关规定，共同维护网络顺畅。9.4.各部门上网权 限管理办法

1.为保证单位网络、办公用计算机切实用于办公需要，提高人员办公效率，管理员依据各部门具体职能开放上网权限。各部门如需调整，请向管理员提出申请。以上权限不包含临时用户和临时项目组，如需开通相关权限，请在入网登记时向管理员申请。

2.公司全网禁用代理，包括外网代理和内网代理软件，用户如使用代理将不能上网。研发部门如因项目需要需使用代理工具，请向管理部门申请。9.5.邮件收发管理办法

1.为配合《信息安全保密协议》需要，公司领导、总经理工作部、软件研发部、系统集成部、财务资产部、市场营销部、综合管理部必须使用公司OA系统邮箱发送邮件。其他邮箱（webmail）已被禁用“发

送”，仅允许“接收”邮件，请用户自觉遵守。2.根据《信息安全保密协议》要求，任职期间，任何人不得以任何方式向任何个人、合伙单位或其他单位泄露涉及单位机密、内部信息的文档、数据、图片、报表等（包括但不限于技术类、财务类、销售类、营销类资料）。管理员已按规定对相关外发邮件进行监控。

篇3：网络安全保密措施

1 内容建设

任何信息工程的成功与否, 最根本的评价标志就是其信息内容提供的质量与手段。信息技术应用的前提是“内容”。今天, 信息技术的竞争也在逐步从软硬件性能的竟争向搭载内容的竟争转化, 发展“内容是发展信息技术的”生命线。由于缺乏对用户需求的调查, 很多档案网站根本不知道什么内容更适合人们的需要。提供什么样的信息, 需要我们下大力气去研究。在提供信息的方式方法上, 我们还可以开动脑筋, 采用多种手段。将来的社会是协同的社会, 单靠档案部门一家难以产生大的效应, 但是如果进行档案信息的合纵连横, 就会呈现不一样的局面, 在拥有我们独特信息的同时, 可以利用或链接其他网站的信息, 实现规模信息的优势。现在社会上提供信息的渠道多种多样, 但是要想找到自己需要的信息, 往往又需要花费大量的时间精力。作为重要的信息基地, 我们拥有门类丰富的海量信息, 这是好的一方面, 但是如果我们不能提供便利快捷的手段, 不能提供独具特色的信息检索工具, 再多的信息也难以为社会服务。“数据资料不加以整理, 就不能成为信息。信息不加以分析就不能成为知识, 而知识不用智慧加以应用, 就不能成为力量。”从信息服务的要求来看, 高效快速而又具备智能的搜索软件是非常重要的。档案信息搜索工具同样需要档案人员投人大量的脑力劳动, 依靠其丰富的专业知识和检索经验对档案信息进行深加工, 根据不同的专题不同的分类做好信息导航, 在此基础上才能辅助技术人员设计出实用好用的具备词义分析功能的智能检索系统。

2 法律法规、标准体系建设

档案信息化建设是一个系统工程, 既离不开信息管理方面的法律规定, 也离不了有关标准与规范。信息化建设首先必须依据信息领域的整体规则、法律、法规和政策。从机构设置信息传递、信息媒介及载体, 直至相关人员所应承担的法律义务和权利, 无一例外, 档案信息化建设中都要遵循遵守。互联技术的发展, 对现有知识产权的保护规则提出了全新的课题, 对于原始档案、二次文献、编研作品等的权属划分, 所有权与使用权的保护等等问题, 都是档案信息化建设过程中必须面对, 及早研究解决的。档案信息化工作不仅仅是档案部门的工作, 也是一个涉及立档单位的工作, 必须把档案馆的信息提供与各单位的业务工作协调起来, 按照有关的法律和规定或协议实施信息化建设。为了保证档案信息平台的质量, 要按照计算机系统建设中的标准规范来设计开发, 更要参照档案领域有关的标准规范。

软件工程有各种标准规范。档案行业也有自己的行业规范, 这些标准对档案信息工程在实施中如何选择方案有很好的指导作用和参考价值, 因此都耍充分参考、利用, 保证项目实施的科学性。对于档案信息化建设。除了执行现行规范标准之外, 更需要针对档案信息化的大趋势, 统筹考虑, 把握全局, 制定全国范围乃至全球范围的交换标准, 如数据编目标准、文件存储格式标准等等。信息化的一个根本目标是寻求信息合理共享, 如果缺乏统一的标准, 各自为政地推进信息化建设, 势必会阻碍档案信息领域更快更好地发展。

3 档案信息的安全保密

信息时代既带给我们方便, 也充斥着隐患与危险。网络绝不仅仅是一个由计算机连接起来的简单组合体。在Internet上, 每一台主机都在为贯彻人类的意志而工作, 可以说Internet是人类社会在数字空间的投影。黑客攻击已经渗人到政府机关、军事部门、商业、企业等各个角落, 不仅干扰着人们的日常生话, 而且造成了巨大的经济损失, 甚至威胁到国家的安全。我们看到了信息领域在网络安全策略、安全管理机制、安全防范意识等方面存在的缺陷或不足.使我们认识到网络是十分脆弱的, 我们在安全体制、安全管理等各个方面存在的问题十分严重而突出, 且不容乐观。

档案往往伴随机关、事业或企业单位的现行活动产生, 所涉及的信息大至影响国家安全, 小至影响部门利益, 在推进信息化的过程中, 如果在网络与信息的管理上缺少安全保密方面的考虑.将会给档案事业的发展造成沉重的打击。在传统方式下, 档案及其索引工具的实体是集中保管且在人为监控之下, 其泄密窃密的可能性相对较小, 而网络环境下, 信息在产生、处理及传输的过程中, 时刻面临着安全问题, 这种安全上的威胁不仅来自软件系统的缺陷或是人为攻击, 而且在网络线路、视频辐射乃至电源信号上都可能出现安全漏洞, 给不法分子以可乘之机。从保密的角度来看, 需要把精力集中干涉密信息, 而且针对不同密级要采取不同的保密手段, 既保证核心机密安全, 又尽可能保证信息的共享与利用。如果把什么信息都当作最高机密来保, 繁重的管理任务可能导致无密可保。我国对于涉密计算机信息系统的安全保密要求极其严格, 档案信息在网络传输过程中, 其保密措施必须要按照传输信息最高密级标准配备。如果不同密级的档案信息混杂在一起, 要让不同密级的信息共同在网络上进行处理和提供利用, 同时又符合各自的保密标准, 这在人力与技术上都对档案部门提出了相当高的要求。

区分挑选不同密级的档案信息、涉密档案的解密降密等工作本身就是一项庞大的工程, 何况还有大量的档案索引及二次文献在保密管理上可能是个灰色地带, 对于各种各类各级别的档案目录按什么密级管理, 可能尚未认真考虑或明确规定。其次, 在信息化过程中, 不可避免地要面对电子文件与电子档案或纸质档案数字化复制品的安全保密问题, 抛开要保证其真实准确完整不被篡改等要求不讲, 单就利用中的安全管理而言, 如何控制档案信息的使用人员、使用范围及使用目的, 防范档案信息的非法传播与复制等就需要相关的管理实施与办法出台。与之相随的网络安全问题, 时至今日, 仍然困扰着信息服务领域。事实上, 在许多部门, 信息化建设的最大的拦路虎就是谈“密”色变。有人认为:信息技术发展迅速, 窃密手段越来越高明, 各种安全技术越来越复杂, 信息系统安全建设的难度不断加大, 信息安全防不胜防。但是, 面对信息化的要求, 如何在推进档案信息化建设的时候确保信息安全, 是一个不容回避忽视的重大课题。当前信息安全领域正在大力推行信息安全工程建设, 这在观念上给我们提供了很好的借鉴。信息安全工程既不是纯粹的技术工作, 也不是简单的安全产品的堆砌, 而是一项复杂的系统工程。同样, 给档案信息的安全保密带来威胁的决不仅仅是网络这一个事物, 在整个档案信息化的过程中, 信息技术、信息产品、信息管理机制乃至档案信息管理人员, 各个环节和相关因素都有着潜在的威胁, 档案管理部门应当及早动手, 研究档案信息安全体系, 实施信息安全工程。

有利于加快信息产业发展的法规、政策, 将付诸实施。一些新的法规的陆续出台、有关信息化的体制改革与法制建设, 将不断得到健全和完善, 并有所突破。在档案信息化的大背景下, 对相关法律法规的研究以及相关标准体系的建设要求也将愈来愈迫切。

责任编辑:杨帆

摘要：面对日益增强的推进档案信息化建设的要求, 档案信息化建设, 需要有一个整体性的思考, 然而从目前情况来看, 不少问题尚未得到应有的重视, 尤其需要对档案信息化建设的相关理论进行总体考虑, 借用系统论信息论的观点方法来思考研究处理问题。

篇4：网络安全保密措施

关键词：孙子兵法 保密 意义

两千多年前的军事理论家孙武在其《孙子兵法·谋攻篇》中讲“知彼知己，百战不殆”。并明确指出“知彼”的重要手段是“用间”，他在《孙子兵法·用间篇》中集中论述了采用间谍获取情报信息的方法、手段及对于取得战争胜利的重要性。这是孙武从他生活的战乱频繁的春秋时期出发，提出的取得战争胜利的一条重要的途径。而当今世界处于相对和平的时期，各国更加注重在相对安全、和平的基础上，发展本国的经济。因此，为了国家的安全，为了本国经济能持续稳步地发展，保密比之于用间窃密更重要。那么，孙武又给我们提出了哪些保密措施呢？他的这些保密措施，对于今天的我们，又应该怎样理解并加以运用呢？

一.堵塞通道

孙武在《孙子兵法·九地篇》中说“政举之日，夷关折符，无通其使。”意思是当决定战争行动的时候，就要封锁关口，销毁通行凭证，不允许敌国使者往来。用我们今天的话来讲就是要运用多种手段堵塞泄密通道。而如今的通讯发达之神速，真可谓“一机在手可知天下事”，随着电脑的普及，网络世界向人们打开了互通有无，共享彼此信息的便利条件，这就意味着联网计算机中的信息对所有用户都是公开的，一些窃密分子便可以运用“黑客”程序等各种技术手段，窃取网络内计算机系统的秘密信息。为保守本单位的秘密，我们应如何“堵塞通道”呢？

一是构筑安全“防火墙”

对涉密计算机运用物理隔绝、设置多重密码等方法，有效地封锁各类失泄密的通道。比如对涉密电脑安装水印系统、集中管控系统等，就是阻断涉密电脑与其它电脑互通互联的通道，从而有效地保守秘密。所以，作为有密必保的单位要加大投入，购买或开发可靠的保密软件，打牢信息安全防范的技术基础，构筑安全保密的“防火墙”

此为物理堵塞通道，亦可称为“硬”通道。

二是增强保密意识

尽管有各种方法物理堵塞泄密的通道，但仍有许多无意泄密而造成重大损失的事件发生。这主要源于两种：一是保密意识淡薄。平时不注意学习保密的相关法规制度，如电脑使用 “十条禁令”；不了解当前较前沿的窃密技术；二是抱有侥幸心理。如很多保密单位都禁止存储介质在涉密电脑与其它电脑上互通互联，但总有人存有侥幸，认为我只插了一下、一次，并且马上就删除了，不会出问题的。殊不知，有很多的泄密事件就是源于此。所以，保密工作不能侥幸，要像对待打仗一样对待保密工作，做到“先为不可胜，以待敌之可胜。”（《形篇》）

此为堵塞思想通道，亦可称为“软”通道。

二.隐真示假

孙武在《孙子兵法·计篇》中说：“兵者，诡道也。故能而示之不能，用而示之不用，近而示之远，远而示之近。”意思是，用兵打仗是一种诡诈的行为。所以，能攻而装作不能攻，要打而装作不要打，要在近处行动而装作要在远处行动，要在远处行动而装作要在近处行动。接着，他又在《孙子兵法·虚实篇》中说：“形兵之极，至于无形。无形则深间不能窥，智者不能谋。”意思是，通过假象欺骗敌人达到绝妙的程度，就可以不留痕迹。使敌方的间谍无法探清我军虚实，就连敌方高明的指挥员也没有办法。

孙武这是在告诉我们，应采用多种欺骗手段使我方的真实信息得以有效保护，将虚假信息传于敌方，进而让敌人作出错误的判断、采取错误的行动。这便是隐真示假。当今时代，应如何做到“隐真示假”呢？

一是增强防范能力

当前，随着信息化发展步伐的加快，在无形中对保密工作也提出了更高、更严的要求。如果从事信息管理工作的人员不能加快知识更新，不仅是会被工作所淘汰，更重要的是在面对犯罪分子利用网络入侵时，便会显得束手无策。所以，涉密单位的保密人员或信息管理人员要不断以信息化发展趋势为指引，加快对新知识、新技术的吸收，主动了解安全保密工作形势。

二是提高反窃密技术

作为涉密单位的保密人员或信息管理人员应学习了解掌握最新、最前沿的窃密手段、窃密技术。首先运用堵塞通道之法保守秘密；更重要的是能找寻或研制出各种窃密手段的防范方法。如，利用“木马”技术窃密的，其防范的对策是：严禁将涉密计算机接入互联网；不随意打开不明电子邮件，尤其是不轻易打开邮件附件；计算机必须安装杀毒软件并及时更新升级。

总之，对于保密工作，首先应该从涉密人员的思想教育上抓起，使之从思想上认识到保密工作之重要；其次要从设备上跟近，使之堵塞通道；再次要从技术上跟上，使之具备与对手相抗衡的能力。最终达到“致人而不致于人”的效果。

篇5：网络安全保密措施

太白县保密局采取五项措施狠抓高考安全保密工作

一是健全机构，加强组织领导。我们及时成立了以县委分管领导为组长，县委办主任、文教局局长为副组长、保密局、监察局、公安局等单位为成员的2009年高考安全保密工作领导小组，并抽调武警战士和文教局干部，组成了保密值班组和外围巡逻组两个工作小组。保密值班组负责24小时对考卷保密室进行监控保卫，外围巡逻组负责外围安全，每4小时对周边情况进行一次巡逻检查，同时，保密值班期间领导小组将不定时对工作情况进行检查，确保“三条保障线”正常运转。县委副书记、保密委主任李武发还就进一步做好高考期间保密工作做出重要批示，要求各职能部门全力以赴共同做好高考安全保密工作，确保万无一失，不出纰漏。二是完善制度，规范操作程序。为了把高考保密工作做细、做实，我们从制度建设入手，结合工作实际，先后制定完善了《试题（卷）押运制度》、《试题（卷）保密保管制度》、《试题（卷）交接制度》、《保密人员守则》、《保密员值班制度》等一系列高考保密规章制度，对工作程序、工作内容、责任、注意事项等都做出了明确规定。同时，对高考工作人员进行上岗前培训，并层层签订保密责任书和保密承诺书，要求对试题（卷）的运输、保管、发放、封存全过程进一步严格管理和规范操作，确保高考工作万无一失。三是制定方案，周密组织实施。根据市上要求和县委领导批示精神，制定了

《太白县2009年普通高等教育全国统一考试保密工作实施方案》，细化工作任务，明确工作责任，强化工作措施，全力确保我县2009年高考保密工作顺利开展。四是严格检查，确保试卷安全。对县考试管理中心的试题（卷）保密室进行了认真检查，根据检查的情况，责令县考试管理中心加固了防盗门和外窗防护网；更换了保险柜密码，要求将密码和钥匙分别交由专人保管；检查更换了消防器材；认真检查了交直流两用电子报警设备的交流电源线路，更换了新的备用电池；对全程视频监控录像进行了维护和测试，确保高考期间保密技防设施正常运转。五是加强培训，提高保密意识。及时开展了考前培训会，对县考试管理中心工作人员、试卷运输管理人员和其他涉密人员进行了保密教育和考务知识培训。认真学习了《保密法》、《保密法实施细则》、《国家教育考试考务安全保密工作规定》和《关于加强高考保密工作的通知》，使全体工作人员进一步明确了高考保密相关规定和要求，进一步增强了做好高考保密工作的责任感和使命感，努力为广大考生营造公平、公正、放心、满意的考试环境。

篇6：网络安全保密措施

加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。编辑本段对称加密技术简介

对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DES的加密性好，而且对计算机功能要求也没有那么高。IDEA加密标准由PGP（Pretty Good Privacy）系统使用。编辑本段非对称加密技术简介

1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

PKI：

编辑本段功能作用

PKI（Public Key Infrastructure 的缩写）是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

原有的单密钥加密技术采用特定加密密钥加密数据，而解密时用于解密的密钥与加密密钥相同，这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密，则不可避免地出现安全漏洞。因为在发送加密数据的同时，也需要将密钥通过网络传输通知接收者，第三方在截获加密数据的同时，只需再截取相应密钥即可将数据解密使用或进行非法篡改。

区别于原有的单密钥加密技术，PKI采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。编辑本段证书签发机构CA

CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。编辑本段证书

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509 国际标准。

加密：

我们将文字转换成不能直接阅读的形式（即密文）的过程称为加密。

解密：

我们将密文转换成能够直接阅读的文字（即明文）的过程称为解密。

如何在电子文档上实现签名的目的呢？我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：

信息发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。

在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数)生成的。对这些HASH函数的特殊要求是：

1．接受的输入报文数据没有长度限制；

2．对任何输入报文数据生成固定长度的摘要(数字指纹)输出；

3．从报文能方便地算出摘要；

4．难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；

5．难以生成两个不同的报文具有相同的摘要。

验证：

收方在收到信息后用如下的步骤验证您的签名：

1．使用自己的私钥将信息转为明文；

2．使用发信方的公钥从数字签名部分得到原摘要；

3．收方对您所发送的源信息进行hash运算，也产生一个摘要；

4．收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份。

如果两摘要内容不符，会说明什么原因呢？

可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信；也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中已经遭到破坏或篡改。编辑本段数字证书简介

数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

使用数字证书能做什么?

数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。

在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。

认证、数字证书和PKI解决的几个问题?

保密性确认信息发送者的身份。

完整性发送者不能否认已发送的信息。编辑本段加密技术的应用

加密技术的应用是多方面的，但最为广泛的还是在电子商务和VPN上的应用，下面就分别简叙。

1、在电子商务方面的应用

电子商务（E-business）要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用RSA（一种公开/私有密钥）的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。

许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者，该公司提供了一种基于RSA和保密密钥的应用于因特网的技术，被称为安全插座层（Secure Sockets Layer，SSL）。

也许很多人知道Socket，它是一个编程界面，并不提供任何安全措施，而SSL不但提供编程界面，而且向上提供一种安全的服务，SSL3.0现在已经应用到了服务器和浏览器上，SSL2.0则只能应用于服务器端。

SSL3.0用一种电子证书（electric certificate）来实行身份进行验证后，双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个Session Key，然后客户用服务器端的公钥将Session Key进行加密，再传给服务器端，在双方都知道Session Key后，传输的数据都是以Session Key进行加密与解密的，但服务器端发给用户的公钥必需先向有关发证机关申请，以得到公证。

基于SSL3.0提供的安全保障，用户就可以自由订购商品并且给出信用卡号了，也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来，这样可以节省大量的纸张，为公司节省大量的电话、传真费用。在过去，电子信息交换（Electric Data Interchange，EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在专用网络上完成的，使用专用网的费用大大高于互联网。正是这样巨大的诱惑，才使人们开始发展因特网上的电子商务，但不要忘记数据加密。

2、加密技术在VPN中的应用

现在，越多越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有自己的局域网LAN（Local Area Network），但在当今的网络社会人们的要求不仅如此，用户希望将这些LAN连结在一起组成一个公司的广域网，这个在现在已不是什么难事了。

事实上，很多公司都已经这样做了，但他们一般使用租用专用线路来连结这些局域网，他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网（Virtual Private Network，VPN）。当数据离开发送者所在的局域网时，该数据首先被用户湍连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的，当达到目的LAN的路由器时，该路由器就会对数据进行解密，这样目的LAN中的用户就可以看到真正的信息了。编辑本段安全套接字层（SSL）

SSL是一种广泛实施的公钥加密。SSL最初由网景公司（Netscape）开发，是互联网浏览器和Web服务器用于传输机密信息的互联网安全协议。SSL现在已经成为总体安全协议传输层安全（TLS）的一部分。

在您的浏览器中，您可以通过多种不同方式知道自己什么时候在使用安全协议（例如TLS）。您将注意到，地址行中的“http”中被替换为“https”，在浏览器窗口底部的状态栏中还会看到一个小的挂锁符号。

公钥加密占用大量计算资源，所以大多数系统结合使用公钥和对称密钥。当两台计算机发起安全会话时，一台计算机创建一个对称密钥，并将其发送给使用公钥加密的另一台计算机。然后这两台计算机使用对称密钥加密进行通信。一旦完成会话，每台计算机都会丢弃该会话使用的对称密钥。进行新的会话要求创建新的对称密钥，然后重复上述过程。编辑本段网络加密的四种类型

1、无客户端SSL：SSL的原始应用。在这种应用中，一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。

2、配置VPN设备的无客户端SSL：这种使用SSL的方法对于主机来说与第一种类似。但是，加密通讯的工作是由VPN设备完成的，而不是由在线资源完成的(如Web或者邮件服务器)。

3、主机至网络：在上述两个方案中，主机在一个加密的频道直接连接到一个资源。在这种方式中，主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主机目标资源的那个网络的一部分。

SSL：由于设置简单，SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。

IPsec：在SSL成为创建主机至网络的流行方式之前，要使用IPsec客户端软件。IPsec仍在使用，但是，它向用户提供了许多设置选择，容易造成混淆。

4、网络至网络：有许多方法能够创建这种类型加密的隧道VPN.但是，要使用的技术几乎总是IPsec.信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。简介

保密通信，计算机密钥，防复制软盘 等都属于信息加密技术。通信过程

信息加密技术

中的加密主要是采用密码，在数字通信中可利用计算机采用加密法，改变负载信息的数码结构。计算机信息保护则以软件加密为主。目前世界上最流行的几种加密体制和加密算法有：RSA算法和CCEP算法等。为防止破密，加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡，这就是硬件加密措施。在软盘上用激光穿 孔，使软件的存储区有不为人所知的局部存坏，就可以防止非法复制。这样的加密软盘可以为不掌握加密技术的人员使用，以保护软件。由于计算机软件的非法复制，解密及盗版问题日益严重，甚至引发国际争端，因此对信息加密技术和加密手段的研究与开发，受到各国计算机界的重视，发展日新月异。

编辑本段加密技术应用

在常规的邮政系统中，寄信人用信封隐藏其内容，这就是最基本的保密技术，而在电子商务中，有形的信封就不再成为其代表性的选择。为了实现电子信息的保密性，就必须实现该信息对除特定收信人以外的任何人都是不可读取的。而为了保证共享设计规范的贸易伙伴的信息安全性就必须采取一定的手段来隐藏信息，而隐藏信息的最有效手段便是加密。

保密通信，计算机密钥，防复制软盘等都属于信息加密技术。通信过程中的加密主要是采用密码，在数字通信中可利用计算机采用加密法，改变负载信息的数码结构。计算机信息保护则以软件加密为主。编辑本段加密技术分析

加密就是通过密码算术对数据进行转化，使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。为了读懂报文，密文必须重新转变为它的最初形式--明文。而含有用来以数学方式转换报文的双重密码就是密钥。在这种情况下即使一则信息被截获并阅读，这则信息也是毫无利用价值的。而实现这种转化的算法标准，据不完全统计，到现在为止已经有近200多种。在这里，主要介绍几种重要的标准。按照国际上通行的惯例，将

信息加密技术

这近200种方法按照双方收发的密钥是否相同的标准划分为两大类：一种是常规算法（也叫私钥加密算法或对称加密算法），其特征是收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如3DES、GDES、New DES和DES的前身Lucifer； 欧洲的IDEA；日本的FEAL N、LOKI?91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码，而最近美国NIST（国家标准与技术研究所）推出的AES将有取代DES的趋势，后文将作出详细的分析。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。另外一种是公钥加密算法（也叫非对称加密算法）。其特征是收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe Hellman、Rabin、Ong Fiat Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等⑷。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击，而最近势头正劲的ECC算法正有取代RSA的趋势。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。这两种算法各有其短处和长处，在下面将作出详细的分析。1.1 私钥加密算法

在私钥加密算法中，信息的接受者和发送者都使用相同的密钥，所以双方的密钥都处于保密的状态，因为私钥的保密性必须基于密钥的保密性，而非算法上。这在硬件上增加了私钥加密算法的安全性。但同时我们也看到这也增加了一个挑战：收发双方都必须为自己的密钥负责，这种情况在两者在地理上分离显得尤为重要。私钥算法还面临这一个更大的困难，那就是对私钥的管理和分发十分的困难和复杂，而且所需的费用十分的庞大。比如说，一个n个用户的网络就需要派发n(n-1)/2个私钥，特别是对于一些大型的并且广域的网络来说，其管理是一个十分困难的过程，正因为这些因素从而决定了私钥算法的使用范围。而且，私钥加密算法不支持数字签名，这对远距离的传输来说也是一个障碍。另一个影响私钥的保密性的因素是算法的复杂性。现今为止，国际上比较通行的是DES、3DES以及最近推广的AES。

数据加密标准（Data Encryption Standard）是IBM公司1977年为美国政府研制的一种算法。DES是以56 位密钥为基础的密码块加密技术。它的加密过程一般如下：

① 一次性把64位明文块打乱置换。

② 把64位明文块拆成两个32位块；

③ 用机密DES密钥把每个32位块打乱位置16次；

④ 使用初始置换的逆置换。

但在实际应用中，DES的保密性受到了很大的挑战，1999年1月，EFF和分散网络用不到一天的时间，破译了56位的DES加密信息。DES的统治地位受到了严重的影响，为此，美国推出DES的改进版本--三重加密（triple Data Encryption Standard）即在使用过程中，收发双方都用三把密钥进行加解密，无疑这种3*56式的加密方法大大提升了密码的安全性，按现在的计算机的运算速度，这种破解几乎是不可能的。但是我们在为数据提供强有力的安全保护的同时，也要化更多的时间来对信息进行三次加密和对每个密层进行解密。同时在这种前提下，使用这种密钥的双发都必须拥有3个密钥，如果丢失了其中任何一把，其余两把都成了无用的密钥。这样私钥的数量一下又提升了3倍，这显然不是我们想看到的。于是美国国家标准与技术研究所推出了一个新的保密措施来保护金融交易。高级加密标准（Advanced Encryption Standard）美国国家技术标准委员会(NIST)在2000年10月选定了比利时的研究成果“Rijndael”作为AES的基础。“Rijndael”是经过三年漫长的过程，最终从进入候选的五种方案中挑选出来的。

AES内部有更简洁精确的数学算法,而加密数据只需一次通过。AES被设计成高速，坚固的安全性能，而且能够支持各种小型设备。AES与3DES相比，不仅是安全性能有重大差别，使用性能和资源有效利用上也有很大差别。虽然到现在为止，我还不了解AES的具体算法但是从下表可以看出其与3DES的巨大优越性。

还有一些其他的一些算法，如美国国家安全局使用的飞鱼（Skipjack）算法，不过它的算法细节始终都是保密的，所以外人都无从得知其细节类容；一些私人组织开发的取代DES的方案：RC2、RC4、RC5等。1.2 公钥加密算法

面对在执行过程中如何使用和分享密钥及保持其机密性等问题，1975年Whitefield Diffe和Marti Hellman提出了公开的密钥密码技术的概念，被称为Diffie-Hellman技术。从此公钥加密算法便产生了。

由于采取了公共密钥，密钥的管理和分发就变得简单多了，对于一个n个用户的网络来说，只需要2n个密钥便可达到密度。同时使得公钥加密法的保密性全部集中在及其复杂的数学问题上，它的安全性因而也得到了保证。但是在实际运用中，公共密钥加密算法并没有完全的取代私钥加密算法。其重要的原因是它的实现速度远远赶不上私钥加密算法。又因为它的安全性，所以常常用来加密一些重要的文件。自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：大整数因子分解系统(代表性的有RSA)、椭圆曲线离散对数系统(ECC)和离散对数系统(代表性的有DSA)，下面就作出较为详细的叙述。

RAS算法是由罗纳多·瑞维斯特（Rivet）、艾迪·夏弥尔（Shamir）和里奥纳多·艾德拉曼（Adelman）联合推出的，RAS算法由此而得名。它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的著名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。它得具体算法如下： ① 找两个非常大的质数，越大越安全。把这两个质数叫做P和Q。

② 找一个能满足下列条件得数字E：

A． 是一个奇数。

B． 小于P×Q。

C． 与（P－1）×（Q－1）互质，只是指E和该方程的计算结果没有相同的质数因子。

③ 计算出数值D，满足下面性质：（（D×E）－1）能被（P－1）×（Q－1）整除。

公开密钥对是（P×Q，E）。

私人密钥是D。

公开密钥是E。

解密函数是：

假设T是明文，C是密文。

加密函数用公开密钥E和模P×Q；

加密信息＝（TE）模P×Q。

解密函数用私人密钥D和模P×Q；

解密信息＝（CD）模P×Q。

椭圆曲线加密技术（ECC）是建立在单向函数（椭圆曲线离散对数）得基础上，由于它比RAS使用得离散对数要复杂得多。而且该单向函数比RSA得要难，所以与RSA相比，它有如下几个优点：

安全性能更高 加密算法的安全性能一般通过该算法的抗攻击强度来反映。ECC和其他几种公钥系统相比，其抗攻击性具有绝对的优势。如160位 ECC与1024位 RSA有相同的安全强度。而210位 ECC则与2048bit RSA具有相同的安全强度。

计算量小，处理速度快 虽然在RSA中可以通过选取较小的公钥（可以小到3）的方法提高公钥处理速度，即提高加密和签名验证的速度，使其在加密和签名验证速度上与ECC有可比性，但在私钥的处理速度上（解密和签名），ECC远比RSA、DSA快得多。因此ECC总的速度比RSA、DSA要快得多。

存储空间占用小 ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多，意味着它所占的存贮空间要小得多。这对于加密算法在IC卡上的应用具有特别重要的意义。

带宽要求低 当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消息时ECC带宽要求却低得多。而公钥加密系统多用于短消息，例如用于数字签名和用于对对称系统的会话密钥传递。带宽要求低使ECC在无线网络领域具有广泛的应用前景。

ECC的这些特点使它必将取代RSA，成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。

编辑本段优劣比较

以上综述了两种加密方法的各自的特点，并对他们优劣处作了一个简要的比较，总体来说主要有下面几个方面： 管理方面

第一、在管理方面，公钥密码算法只需要较少的资源就可以实现目的，在密钥的分配上，两者之间相差一个指数级别（一个是n一个是n2）。所以私钥密码算法不适应广域网的使用，而且更重要的一点是它不支持数字签名。安全方面

第二、在安全方面，由于公钥密码算法基于未解决的数学难题，在破解上几乎不可能。对于私钥密码算法，到了AES虽说从理论来说是不可能破解的，但从计算机的发展角度来看。公钥更具有优越性。速度方面

第三、从速度上来看，AES的软件实现速度已经达到了每秒数兆或数十兆比特。是公钥的100倍，如果用硬件来实现的话这个比值将扩大到1000倍。算法方面

第四、对于这两中算法，因为算法不需要保密，所以制造商可以开发出低成本的芯片以实现数据加密。这些芯片有着广泛的应用，适合于大规模生产。总结

纵观这两种算法一个从DES到3DES再到ADES，一个从RSA到ECC。其发展角度无不是从密钥的简单性，成本的低廉性，管理的简易性，算法的复杂性，保密的安全性以及计算的快速性这几个方面去考虑。因此，未来算法的发展也必定是从这几个角度出发的，而且在实际操作中往往把这两种算法结合起来，也需将来一种集两种算法有点于一身的新型算法将会出现，到那个时候，电子商务的实现必将更加的快捷和安全。编辑本段流行算法

目前世界上最流行的几种加密体制和加密算法有：RSA算法和CCEP算法等。为防止破密，加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡，这就是硬件加密措施。在软盘上用激光穿 孔，使软件的存储区有不为人所知的局部存坏，就可以防止非法复制。这样的加密软盘可以为不掌握加密技术的人员使用，以保护软件。由于计算机软件的非法复制，解密及盗版问题日益严重，甚至引发国际争端，因此对信息加密技术和加密手段的研究与开发，受到各国计算机界的重视，发展日新月异。编辑本段软件保护技术

1、序列号保护

数学算法一项都是密码加密的核心，但在一般的软件加密中，它似乎并不太为人们关心，因为大多数时候软件加密本身实现的都是一种编程的技巧。但近几年来随着序列号加密程序的普及，数学算法在软件加密中的比重似乎是越来越大了。

看看在网络上大行其道的序列号加密的工作原理。当用户从网络上下载某个shareware——共享软件后，一般都有使用时间上的限制，当过了共享软件的试用期后，你必须到这个软件的公司去注册后方能继续使用。注册过程一般是用户把自己的私人信息（一般主要指名字）连同信用卡号码告诉给软件公司，软件公司会根据用户的信息计算出一个序列码，在用户得到这个序列码后，按照注册需要的步骤在软件中输入注册信息和注册码，其注册信息的合法性由软件验证通过后，软件就会取消掉本身的各种限制，这种加密实现起来比较简单，不需要额外的成本，用户购买也非常方便，在互联网上的软件80%都是以这种方式来保护的。

软件验证序列号的合法性过程，其实就是验证用户名和序列号之间的换算关系是否正确的过程。其验证最基本的有两种，一种是按用户输入的姓名来生成注册码，再同用户输入的注册码比较，公式表示如下：

序列号 = F（用户名）

但这种方法等于在用户软件中再现了软件公司生成注册码的过程，实际上是非常不安全的，不论其换算过程多么复杂，解密者只需把你的换算过程从程序中提取出来就可以编制一个通用的注册程序。

另外一种是通过注册码来验证用户名的正确性，公式表示如下：

用户名称 = F逆（序列号）（如ACDSEE）

这其实是软件公司注册码计算过程的反算法，如果正向算法与反向算法不是对称算法的话，对于解密者来说，的确有些困难，但这种算法相当不好设计。

于是有人考虑到以下的算法：

F1（用户名称）= F2（序列号）

F1、F2是两种完全不同的的算法，但用户名通过F1算法计算出的特征字等于序列号通过F2算法计算出的特征字，这种算法在设计上比较简单，保密性相对以上两种算法也要好的多。如果能够把F1、F2算法设计成不可逆算法的话，保密性相当的好；可一旦解密者找到其中之一的反算法的话，这种算法就不安全了。一元算法的设计看来再如何努力也很难有太大的突破，那么二元呢？

特定值 = F（用户名，序列号）

这个算法看上去相当不错，用户名称与序列号之间的关系不再那么清晰了，但同时也失去了用户名于序列号的一一对应关系，软件开发者必须自己维护用户名称与序列号之间的唯一性，但这似乎不是难以办到的事，建个数据库就可以了。当然也可以把用户名称和序列号分为几个部分来构造多元的算法。

特定值 = F（用户名1，用户名2，...序列号1，序列号2...）

现有的序列号加密算法大多是软件开发者自行设计的，大部分相当简单。而且有些算法作者虽然下了很大的功夫，效果却往往得不到它所希望的结果。

2、时间限制

有些程序的试用版每次运行都有时间限制，例如运行10分钟或20分钟就停止工作，必须重新运行该程序才能正常工作。这些程序里面自然有个定时器来统计程序运行的时间。这种方法使用的较少。

3、Key File 保护

Key File（注册文件）是一种利用文件来注册软件的保护方式。Key File一般是一个小文件，可以是纯文本文件，也可以是包含不可显示字符的二进制文件，其内容是一些加密过或未加密的数据，其中可能有用户名、注册码等信息。文件格式则由软件作者自己定义。试用版软件没有注册文件，当用户向作者付费注册之后，会收到作者寄来的注册文件，其中可能包含用户的个人信息。用户只要将该文件放入指定的目录，就可以让软件成为正式版。该文件一般是放在软件的安装目录中或系统目录下。软件每次启动时，从该文件中读取数据，然后利用某种算法进行处理，根据处理的结果判断是否为正确的注册文件，如果正确则以注册版模式来运行。这种保护方法使用也不多。

4、CD-check

即光盘保护技术。程序在启动时判断光驱中的光盘上是否存在特定的文件，如果不存在则认为用户没有正版光盘，拒绝运行。在程序运行的过程当中一般不再检查光盘的存在与否。Windows下的具体实现一般是这样的：先用GetLogicalDriveStrings（）或GetLogicalDrives（）得到系统中安装的所有驱动器的列表，然后再用GetDriveType（）检查每一个驱动器，如果是光驱则用CreateFileA（）或FindFirstFileA（）等函数检查特定的文件存在与否，并可能进一步地检查文件的属性、大小、内容等。

5、软件狗

软件狗是一种智能型加密工具。它是一个安装在并口、串口等接口上的硬件电路，同时有一套使用于各种语言的接口软件和工具软件。当被狗保护的软件运行时，程序向插在计算机上的软件狗发出查询命令，软件狗迅速计算查询并给出响应，正确的响应保证软件继续运行。如果没有软件狗

软件狗，程序将不能运行，复杂的软硬件技术结合在一起防止软件盗版。真正有商业价值得软件一般都用软件狗来保护。

平时常见的狗主要有“洋狗”（国外狗）和“土狗”（国产狗）。这里“洋狗”主要指美国的彩虹和以色列的HASP，“土狗”主要有金天地（现在与美国彩虹合资，叫“彩虹天地”）、深思、尖石。总的说来，“洋狗”在软件接口、加壳、反跟踪等“软”方面没有“土狗”好，但在硬件上破解难度非常大；而“土狗”在软的方面做的很好，但在硬件上不如“洋狗”，稍有单片机功力的人，都可以复制。

6、软盘加密

通过在软盘上格式化一些非标准磁道，在这些磁道上写入一些数据，如软件的解密密钥等等。这种软盘成为“钥匙盘”。软件运行时用户将软盘插入，软件读取这些磁道中的数据，判断是否合法的“钥匙盘”。

软盘加密还有其它一些技术，如弱位加密等等。随着近年来软盘的没落，这种方法基本上退出了历史舞台。

7、将软件与机器硬件信息结合

用户得到（买到或从网上下载）软件后，安装时软件从用户的机器上取得该机器的一些硬件信息（如硬盘序列号、BOIS序列号等等），然后把这些信息和用户的序列号、用户名等进行计算，从而在一定程度上将软件和硬件部分绑定。用户需要把这一序列号用Email、电话或邮寄等方法寄给软件提供商或开发商，软件开发商利用注册机（软件）产生该软件的注册号寄给用户即可。软件加密虽然加密强度比硬件方法较弱，但它具有非常廉价的成本、方便的使用方法等优点。非常适合做为采用光盘（CDROM）等方式发授软件的加密方案。

此种加密算法的优点：

· 不同机器注册码不同。用户获得一个密码只能在一台机器上注册使用软件。不同于目前大多软件采用的注册方法，即只要知道注册码，可在任何机器上安装注册。

· 不需要任何硬件或软盘

· 可以选择控制软件运行在什么机器、运行多长时间或次数等

· 可让软件在不注册前的功能为演示软件，只能运行一段时间或部分功能。注册后就立即变为正式软件 · 采用特别技术，解密者很难找到产生注册号码的规律

· 在使用注册号产生软件（注册机）时可采用使用密码、密钥盘、总次数限制等方法

· 方便易用，价格低廉。

这种加密还有以下特点：

1、注册加密的软件，只能在一台机器上安装使用。把软件拷贝到其它机器上不能运行。

2、若用户想在另一机器上安装运行，必须把软件在这一机器上运行时的序列号，寄给软件出版商换取注册密码。当然应再交一份软件费用。

3、此加密方法特别适应在因特网上发布的软件及用光盘发布的软件。

所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。加密技术是网络安全技术的基石。

数据加密技术 要求

数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。编辑本段分类 专用密钥

专用密钥，又称为对称密钥或单密钥，加密和解密时使用同一个密钥，即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式，通信双方必须交换彼此密钥，当需给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。当一个文本要加密传送时，该文本用密钥加密构成密文，密文在信道上传送，收到密文后用同一个密钥将密文解出来，形成普通文体供阅读。在对称密钥中，密钥的管理极为重要，一旦密钥丢失，密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂，而且密钥本身的安全就是一个问题。对称密钥

对称密钥是最古老的，一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高，因而目前仍广泛被采用。

DES是一种数据分组的加密算法，它将数据分成长度为64位的数据块，其中8位用作奇偶校验，剩余的56位作为密码的长度。第一步将原文进行置换，得到64位的杂乱无章的数据组；第二步将其分成均等两段；第三步用加密函数进行变换，并在给定的密钥参数条件下，进行多次迭代而得到加密密文。公开密钥

公开密钥，又称非对称密钥，加密和解密时使用不同的密钥，即不同的算法，虽然两者之间存在一定的关系，但不可能轻易地从一个推导出另一个。有一把公用的加密密钥，有多把解密密钥，如RSA算法。

非对称密钥由于两个密钥（加密密钥和解密密钥）各不相同，因而可以将一个密钥公开，而将另一个密钥保密，同样可以起到加密的作用。

在这种编码过程中，一个密码用来加密消息，而另一个密码用来解密消息。在两个密钥中有一种关系，通常是数学关系。公钥和私钥都是一组十分长的、数字上相关的素数（是另一个大数字的因数）。有一个密钥不足以翻译出消息，因为用一个密钥加密的消息只能用另一个密钥才能解密。每个用户可以得到唯一的一对密钥，一个是公开的，另一个是保密的。公共密钥保存在公共区域，可在用户中传递，甚至可印在报纸上面。而私钥必须存放在安全保密的地方。任何人都可以有你的公钥，但是只有你一个人能有你的私钥。它的工作过程是：“你要我听你的吗？除非你用我的公钥加密该消息，我就可以听你的，因为我知道没有别人在偷听。只有我的私钥（其他人没有）才能解密该消息，所以我知道没有人能读到这个消息。我不必担心大家都有我的公钥，因为它不能用来解密该消息。”

公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。非对称加密技术

数字签名一般采用非对称加密技术（如RSA），通过对整个明文进行某种变换，得到一个值，作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方的身份是真实的。当然，签名也可以采用多种方式，例如，将签名附在明文之后。数字签名普遍用于银行、电子贸易等。

数字签名不同于手写签字：数字签名随文本的变化而变化，手写签字反映某个人个性特征，是不变的；数字签名与文本信息是不可分割的，而手写签字是附加在文本之后的，与文本信息是分离的。

值得注意的是，能否切实有效地发挥加密机制的作用，关键的问题在于密钥的管理，包括密钥的生存、分发、安装、保管、使用以及作废全过程。编辑本段网络数据加密的三种技术 概述

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer；欧洲的IDEA；日本的FEAL?N、LOKI?91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。

常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe?Hellman、Rabin、Ong?Fiat?Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。链路加密

对于在两个网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保证。对于链路加密(又称在线加密),所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过许多通信链路的传输。

由于在每一个中间传输节点消息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现。这样,链路加密就掩盖了被传输消息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密,这使得消息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。

尽管链路加密在计算机网络环境中使用得相当普遍,但它并非没有问题。链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。

在线路/信号经常不通的海外或卫星网络中,链路上的加密设备需要频繁地进行同步,带来的后果是数据丢失或重传。另一方面,即使仅一小部分数据需要进行加密,也会使得所有传输数据被加密。

在一个网络节点,链路加密仅在通信链路上提供安全性,消息以明文形式存在,因此所有节点在物理上必须是安全的,否则就会泄漏明文内容。然而保证每一个节点的安全性需要较高的费用,为每一个节点提供加密硬件设备和一个安全的物理环境所需要的费用由以下几部分组成:保护节点物理安全的雇员开销,为确保安全策略和程序的正确执行而进行审计时的费用,以及为防止安全性被破坏时带来损失而参加保险的费用。

在传统的加密算法中,用于解密消息的密钥与用于加密的密钥是相同的,该密钥必须被秘密保存,并按一定规则进行变化。这样,密钥分配在链路加密系统中就成了一个问题,因为每一个节点必须存储与其相连接的所有链路的加密密钥,这就需要对密钥进行物理传送或者建立专用网络设施。而网络节点地理分布的广阔性使得这一过程变得复杂,同时增加了密钥连续分配时的费用。节点加密

尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性;都在中间节点先对消息进行解密,然后进行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。

然而,与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。

节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。端到端加密

端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。

端到端加密系统的价格便宜些,并且与链路加密和节点加密相比更可靠,更容易设计、实现和维护。端到端加密还避免了其它加密系统所固有的同步问题,因为每个报文包均是独立被加密的,所以一个报文包所发生的传输错误不会影响后续的报文包。此外,从用户对安全需求的直觉上讲,端到端加密更自然些。单个用户可能会选用这种加密方法,以便不影响网络上的其他用户,此方法只需要源和目的节点是保密的即可。

端到端加密系统通常不允许对消息的目的地址进行加密,这是因为每一个消息所经过的节点都要用此地址来确定如何传输消息。由于这种加密方法不能掩盖被传输消息的源点与终点,因此它对于防止攻击者分析通信业务是脆弱的。

PTT加密技术

科发源研究出针对加密手术的专利技术PTT，主要特点是可见缝插针，不损伤自身其他头发，可以加到很密的效果。国内一般移植器械针对头发加密不能尽善尽美，一次种植数量不会很多，而且器械粗糙导致其他毛囊受损，科发源的PTT加密技术克服也这一缺陷。密钥加密技术

密钥技术提供的加密服务可以保证在开放式环境中网络传输的安全。通常大量使用的两种密钥加密技术是：私用密钥（对称加密）和公共密钥（非对称加密）。

在私用密钥机制中，信息采用发送方和接收方保存的私有的密钥进行加密。这种系统假定双方已经通过一些人工方法交换了密钥，并且采用的密钥交换方式并不危及安全性。

公共密钥机制为每个用户产生两个相关的密钥。一个由用户私下保存（私钥），另一个放于公共区（公钥）。如果某人想给你发送消息，他（她）用你的公开密钥对信息加密。当收到信息后，你可以用私存的密钥对信息解密。SSL加密技术

为了保护敏感数据在传送过程中的安全，全球许多知名企业采用SSL（Security Socket Layer）加密机制。SSL是Netscape公司所提出的安全保密协议，在浏览器（如Internet Explorer、Netscape Navigator）和Web服务器（如Netscape的Netscape Enterprise Server、ColdFusion Server等等）之间构造安全通道来进行数据传输，SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5以及RSA等加密算法，使用40 位的密钥，适用于商业信息的加密。同时，Netscape公司相应开发了HTTPS协议并内置于其浏览器中，HTTPS实际上就是HTTP over SSL，它使用默认端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密，然后在接受方进行解密，加密和解密需要发送方和接受方通过交换共知的密钥来实现，因此，所传送的数据不容易被网络黑客截获和解密。

然而，加密和解密过程需要耗费系统大量的开销，严重降低机器的性能，相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一。假如为了安全保密，将一个网站所有的Web应用都启用SSL技术来加密，并使用HTTPS协议进行传输，那么该网站的性能和效率将会大大降低，而且没有这个必要，因为一般来说并不是所有数据都要求那么高的安全保密级别

编辑本段SSL协议的工作方式。

客户端要收发几个握手信号：

发送一个ClientHello消息，说明它支持的密码算法列表、压缩方法及最高协议版本，也发送稍后将被使用的随机数。然后收到一个ServerHello消息，包含服务器选择的连接参数，源自客户端初期所提供的ClientHello。当双方知道了连接参数，客户端与服务器交换证书（依靠被选择的公钥系统）。这些证书通常基于X.509，不过已有草案支持以OpenPGP为基础的证书。服务器请求客户端公钥。客户端有证书即双向身份认证，没证书时随机生成公钥。客户端与服务器通过公钥保密协商共同的主私钥（双方随机协商），这通过精心谨慎设计的伪随机数功能实现。结果可能使用Diffie-Hellman交换，或简化的公钥加密，双方各自用私钥解密。所有其他关键数据的加密均使用这个“主密钥”。数据传输中记录层（Record layer）用于封装更高层的HTTP等协议。记录层数据可以被随意压缩、加密，与消息验证码压缩在一起。每个记录层包都有一个Content-Type段用以记录更上层用的协议。

文件加密技术

文件加密是一种常见的密码学应用。文件加密技术是下面三种技术的结合(1)密码技术.包括对称密码和非对称密码，可能是分组密码，也可能采用序列密码文件加密的底层技术是数据加密。

(2)操作系统。文件系统是操作系统的重要组成部分。对文件的输入输出操作或文件的组织和存储形式进行加密也是文件加密的常用于段。对动态文件进行加密尤其需要熟悉文件系统的细节。文件系统与操作系统其他部分的关联，如设备管理、进程管理和内存管理等，都可被用于文件加密。

(3)文件分析技术。不同的文件类型的语义操作体现在对该文件类型进行操作的应用程序中，通过分析文件的语法结构和关联的应用程序代码而进行一些置换和替换，在实际应用中经常可以达到一定的文件加密效果。

利用以上技术文件加密主要包括以下内容。

（1）文件的内容加密通常采用二进制加密的方法

（2）文件的属性加密

（3）文件的输入输出和操作过程的加密，即动态文件加密

通常一个完整的文件加密系统包括操作系统的核心驱动、设备接口、密码服务组件和应用层几个部分。

水印加密技术

原始图片在压缩前通过摄像机的自身特性及前端软件叠字加的违法信息，同时要用用一种技术（暂称为防伪水印加密技术），对违法图象和违法数据进行加密，防止图像被非法修改，确保证据的真实性和有效性。

不对称加密技术

公共密钥加密技术不对称加密技术：允许任何人对信息进行加密处理后，将它发送给另一个人，而不需要预先交换密钥。但该过程对于互相了解的或属于同一组织的两个人之间是不可行的。在公共密钥加密过程中，实现Internet上的敏感数据报文的交换，需要提供两种密钥支持：公共密钥和私人密钥。公共密钥是由其主人加以公开的，而私人密钥必须保密存放。为发送一份保密报文，发送者必须使用接收者的公共密钥对数据进行加密，一旦加密，只有接收方用其私人密钥才能加以解密。换句话说，如果A要向 B 发送经过加密的数据，那么 A 使用 B 的公共密钥对将要发送的数据进行加密处理，而 B 使用对应的私人密钥才可以对由 A 发送的那些加密数据解密。公开密钥加密技术

(public key crypto-system)

l976年，Diffie和Hellman首次提非对称加密出公开密钥加密体制，即每个人都有一对密钥，其中一个为公开的，一个为私有的。发送信息时用对方的公开密钥加密，收信者用自己的私用密钥进行解密。公开密钥加密算法的核心是运用一种特殊的数学函数一单向陷门函数，即从一个方向求值是容易的。但其逆向计算却很困难，从而在实际上成为不可行的。公开密钥加密技术它不仅保证了安全性又易于管理。其不足是加密和解密的时间长。

公开密钥密码编码学的发展是整个密码编码学历史上最大的而且也许是唯一真正的革命。公开密钥密码编码学与传统的方法不同：一方面它是基于数学函数；更为重要的是，它是非对称的。公钥系统对于保密通信、密钥分配和鉴别等领域有着深远的影响。

公开密钥密码体制的产生主要是因为两个方面的原因，一是由于常规密钥密码体制分配（distribution）问题，另一是由于对数字签名的需求。公钥方法是一种与过去所有密码编码学截然不同的方法。公钥用于：密钥分配、机密性和认证。