计算机加密访问论文

摘要：随着计算机网络技术的快速发展，网络安全日益成为人们关注的焦点。本文将着重对计算机信息网络安全存在的问题提出相应的安全防范措施。关键词：网络安全，信息加密，访问控制，防火墙计算机网络是一个开放和自由的空间，它在大大增强信息服务灵活性的同时，也带来了众多安全隐患。下面小编整理了一些《计算机加密访问论文(精选3篇)》，仅供参考，大家一起来看看吧。

计算机加密访问论文 篇1：

关于SSL?VPN技术用于校园网的探索

【摘要】 本文主要分析了分析了什么是校园SSL VPN技术以及它的特点，从而提出了校园SSL VPN技术配置的方式，希望能够为我国校园SSL VPN技术的发展与应用提供一些理论上的参考。

【关键词】 SSL VPN 校园

一、SSL VPN技术在校园网中的设计

1.1 SSL VPN技术

SSL VPN技术和SSL技术的作用很相似，因为SSL VPN技术就是在SSL技术的基础上建立和发展的，它们都是一种网关接口，作用原理都是将网关收到的来自客户端浏览器的加密访问数据发送到数据真正需要访问的企业网Web服务器，从而使收到的数据发出者可以直接访问企业网Web服务器。

在校园网中，客户端浏览器的使用者，可以使用校园网站上的Secure Socket Layer 封包处理网关所接收到的数据，然后传输给校园网内部的SSL VPN服务器，然后服务器又通过封包处理对所收到的数据进行加密处理，传输到企业网Web服务器。这样，校外的SSL VPN使用者就可以通过学校网站上的Secure Socket Layer浏览校园网内部服务器上的数据，从而实现了远程执行的可能性。

1.2 SSL VPN技术的特点

SSL VPN 在这种加密处理技术上要远远强与传统的IPSec VPN，同时，在保证安全性的前提下，SSL VPN不需要改变现有的网络结构，并且能够实现更优质的移动服务。它能够做到更强有力的访问控制效能，移动客户端服务器的使用者不但可以访问普通的校园数据库内的资源，还可以轻松地获取校园网内部的B/S 、C/S 以及其他的核心资源，甚至是标准的Email通信协议等资源。总而言之，SSL VPN在确保安全性能得到保障的前提下，能够提供更加便捷、更强的访问控制功能。

二、SSL VPN技术在校园网的设计中应遵循的原则

2.1安全保障原则

在建立SSL VPN服务器时，要将服务器的安全性放在最先考虑的位置。这里安全保障的对象主要是用户的身份认证、信息的完整性以及信息的保密性。如果不能确定是安全的用户，不应该允许这类客户端浏览器访问校园网，否则可能造成校园网受到黑客的攻击，引起网络的不安全。用户使用校园网数据主要是为了获取网站类的资源，如果不能提供安全、完整的数据，用户可能会因此作出错误的判断等不利后果，所以信息的完整性与保密性也是需要考虑的两大因素。

2.2保证多平台兼容原则

校园SSL VPN最主要的功能就是实现用户随时随地地使用校内网络资源，而每个人使用的浏览器或者服务器都可能是不同的，所以为了能够提供全面有效的服务，应该保证服务器能实现多平台兼容，只有这样，才能保证用户在可联网的情况下，随时随地实现对校园互联网站的访问。

2.3提供有效的访问控制原则

校园网VPN提供的网络服务有很多，包括B/S 、C/S等服务，所以在访问控制上应该实现不同的控制方式，也就是说应该提供一种访问的控制策略，使得不同的使用者能够得到不同的控制权限，这种控制权限可以决定用户得到这种的资源与服务，这样不仅可以节省用户获取服务的时间，同时还可以进行更为安全有效的控制，也使整个VPN服务器得到更为有效的运行。

2.4有效的管理平台原则

校园网VPN的提供者应该为用户提供一个有效的管理平台，使得用户在查找资源时能够更方便、快捷，不会造成数据传输的拥堵或者系统崩溃的情况。同时，提供者还应做好访问的日志记录，安全审计，这样当管理者在进行调查与检查时能够提高效率，并且能够得到更加全面的信息记录。

三、SSL VPN技术在校园网中的设计结构

校园网SSL VPN的实现方式是在校园网浏览器中，一般是在学校的官网上设置SSL代理服务器，这种服务器主要是起到一个传输中介的作用。当用户通过远程浏览器与校园网上的服务器建立TCP连接后，也就是用户认证步骤环节，然后用户向服务器提出要与企业Web服务器连接的信息，然后校园网SSL VPN代理服务器又与企业Web服务器建立连接，从而实现用户需求信息与Web服务器数据相连接，也就是说用户可以通过SSL代理服务器实现与Web服务器的连接，从而获取Web服务器上的数据与资源。在这个过程中，代理服务器仅是一个数据的传输者，它不会对用户的数据进行解密，实现了传输过程中安全性与可靠性。

四、总结

在学校配置SSL VPN是一种低成本、高安全性以及便捷的数据获取方式，不但可以解决数据访问的时间、地点的限制，还可以提高电子资源的使用效率，在科技高速发展以及计算机普及、信息化的今天，VPN的使用是一种发展趋势。

参 考 文 献

[1]杜理明：基于SSL VPN技术的校园网远程访问设计[J]，甘肃高师学报，2011（9）.

[2]马淑文：SSL VPN技术在校园网中的应用与研究[J]，计算机工程与设计，2007（1）.

作者：孙文乾

计算机加密访问论文 篇2：

计算机网络安全的防范

摘 要：随着计算机网络技术的快速发展，网络安全日益成为人们关注的焦点。本文将着重对计算机信息网络安全存在的问题提出相应的安全防范措施。

关键词：网络安全，信息加密，访问控制，防火墙

计算机网络是一个开放和自由的空间，它在大大增强信息服务灵活性的同时，也带来了众多安全隐患。如何有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响人民生活的重大关键问题。因此，计算机网络安全问题成为当今最为热门的焦点之一，随着网络技术的发展，安全防范措施也在不断更新。

1 物理安全

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击，验证用户的身份和使用权限、防止用户越权操作，确保计算机系统有一个良好的电磁兼容工作环境，建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为采用各种电磁屏蔽和干扰的防护措施。

2 访问控制

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段，可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。（1）入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。（2）网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM、）可作为其两种实现方式。（3）网络监测和锁定控制。网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。（4）网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。（5）防火墙控制。防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证）配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

3 信息加密

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安

全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。（1）常规密码。收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。其优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。（2）公钥密码。收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。其优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公鑰密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥匙密码结合在一起使用，以确保信息安全。当然在实际应用中人们通常将常规密码和公钥匙密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对恶意软件的有效方法之一。

4 网络安全管理

安全管理队伍的建设。在计算机网络系统中，绝对的安全是不存在的，制定健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力，才能使计算机网络的安全可靠得到保障，从而使广大网络用户的利益得到保障。在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。

总之计算机网络的安全问题越来越受到人们的重视。总的来说，网络安全不仅仅是技术问题，同时也是一个安全管理问题。我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。

[参考文献]

[1]朱雁辉.防火墙与网络封包截获技术[M].电子工业出版社，2002.

[2]信息管理系列编委会. 网络安全管理.中国人民大学出版社，2003.

[3]张红旗.信息网络安全[M].清华大学出版社，2002.

作者：姚为彭

计算机加密访问论文 篇3：

Kerberos网络认证系统的关键技术分析

摘要：为了保证在开往网络中通信的安全性，认证机制是不可缺少的工具。该文围绕信息认证方式中的Kerberos认证系统，阐述了Kerberos协议的基本思想，实现目标，详细地介绍了Kerberos系统中所涉及到的相关概念，认证原理和流程，其认证流程包括3个子交换，分别是认证服务器交换，票据服务器交换，客户/服务器认证应用交换。此外，从单区域下的Kerberos认证扩展到多区域下的Kerberos协议工作方式，指出了其存在的局限性。Kerberos认证协议主要应用于网络环境中的身份识别，已经得到了广泛的使用。

关键词：Kerberos协议；认证；多区域Kerberos

1 概述

伴随着网络和信息技术的高速发展，人类的生活变得更加的方便快捷，人类社会享受着网络提供的各类服务。与此同时，也在遭受着来自网络空间中的网络攻击，网络威胁等。

当越来越多的商业活动，事务处理通过开放不安全的通信网运行时，我们需要保证在开放网络中通信的安全性，完成网络安全系统的构造，加密，访问控制，数字签名以及认证等安全机制都必不可少[2]。

拥有一个良好的认证机制可以有效地防止攻击者假冒合法用户，对访问网络的用户进行必要的身份合法性验证，通过验证协议确认身份的用户将按照此身份所获得的权限在网络中访问所需要的资源。网络认证中非常有影响力的系统为Kerberos，它是一个在许多系统中获得广泛应用的认证协议，是Windows2000操作系统的网络认证基础。

2 Kerberos简介

Kerberos是一种网络认证协议，基于对称密码算法实现，密码设计基于Needham—Schroeder协议。其基本思想是使用可信第三方把某个用户引见给某个服务器，引见方法是在用户和服务器间分发会话密钥建立安全信道。其设计目标是通过密钥系统为客户端、服务器应用程序提供强大的认证服务。

该认证过程的实现依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传输的数据包可以被任意的读取，修改和插入数据。

Kerberos认证协议假定网络当中主机是不可信的，要求每个client对每次业务请求证明其身份，不要求用户每次业务请求都输入密码。Kerberos系统的应用广泛，比如：构造Windows网络中的身份认证，服务器和服务器之间的认证，网格计算，计算机联成网单点登录访问整个网络的资源，访问其他服务器不需要再次认证。

Kerberos中三方分别是认证服务器，用户，服务器。有相关一系列的设计准则：

1）用户必须在工作站会话开始的时候验证自己（登录会话）；

2）密码永远不在网络中明文传输或在存储器中存储；

3）每个用户有一个口令；

4）每个业务有一个口令；

5）知道所有口令的唯一实体是认证服务器。

Kerberos数据库中有Workstation的密码，Server密码以及票据服务器TGS的密码。

3 身份证明资源

3.1 Tickets（票据）

每个业务请求需要一个Ticket，一个票据只能用于单个用户访问单个服务器，Ticket由“Ticket Granting Server”（TGS）分发，TGS具备所有Server的加密密钥。Tickets对clients是无意义的，clients只是使用它们接入服务器。TGS用服务器的加秘密钥加密每个ticket，加密的tickets可在网上安全传输，只有对应的服务器可以解密。大量的用户每次申请票据会浪费资源而且加重TGS的工作负荷，所以每一个ticket拥有一定时间范围内的生存期，通常为几个小时，这样可以有效地减少适当的系统负担。

3.2 Ticket内容

ü Client名，即用户登录名

ü Server名（服务器）

ü Client主机网络地址

ü Client和Server之间的会话密钥，用于加密client和server间的请求和响应

ü Ticket的生存期

ü 产生时戳（发放ticket的时间）

TGS作为可信第三方，为client和server分配密钥，通过TGS来验证用户的身份。

用户在访问某服务器时，只凭借ticket是不能做到的。因为在网络环境中，存在很多的“坏人”，ticket可能会被窃取或重放，手持ticket的用户和ticket中对应的client名未必一致，为了访问服务器，用户除了ticket之外还需要提交认证符。

3.3 Authenticators（认证符）

认证符证明client身份，包括client用户名，client网络地址，时戳（访问服务器的时间）。认证符以session key加密（Tickets内的会话密钥）。攻击者可以截取票据，但是无法得知会话密钥，没有办法构造合法认证符。

服务器利用session key获取认证符的网络地址和用户名信息，如果和tickets中网络地址用户名一致，这样就可以确认用户的身份[3]。

4 Kerberos协议流程

用户欲访问服务器资源，首先去Autntication Server（认证服务器）进行认证。认证成功，AS分配一个访问Ticket Granting Server的票据，凭借此ticket向Ticket Granting Server申请访问Server准入的凭证。过程包括3个交换，分别是认证服务器交换（AS交换），票据授予服务器交换（TGS交换），客户/服

务器交换（AP交换）。

4.1 AS（Authentication Server）交换

用户访问TGS之前必须访问认证服务器，Client向AS发送明文“认证服务”请求（AS_REQ），请求内容包括登录名和TGS名称，以获得一个ticket用于与TGS通信，AS找到登录名和TGS名对应的密钥。

AS生成一个ticket（TGticket）：login name，TGS name，Client网络地址，TGS会话密钥，AS以TGS的秘密密钥（AS和TGS的长期共享密钥）加密此ticket。

AS同时产生一个随机会话密钥供client和TGS使用。会话密钥和加密的ticket以用户的秘密密钥加密，将TGTicket返回给用户。

TGT的两部分都含有Client和“票据授予服务器”共享的会话密钥TGS session key。

4.2 TGS交换

访问TGS：Client以用户口令作为秘密密钥解密消息，Client这时获得了会话密钥和TGS通信的ticket，因为Client不知道TGS的秘密密钥，所以看不到ticket内部的内容。

当client想开始使用服务，client必须获得一个ticket，Client构造一个请求发送给TGS。

TGS响应：TGS用其秘密密钥解密ticket获得TGS会话密钥，TGS用会话密钥解密认证符，TGS检查验证登录名，client地址和TGS server都正确，TGS验证信任状是最新的，一旦所有验证通过，TGS产生一个ticket使client用于请求的server，Ticket用server密钥加密。而且产生一个会话密钥，用于client和server通信。以TGS会话密钥加密整个消息发回给client。

4.3 AP交换

用户访问服务器 ，client以TGS会话密钥解密TGS响应，Client现在获得了与服务器通信的会话密钥和ticket，Client用与和访问TGS一样格式的数据访问服务器，从应用服务器那里获得应用服务。

访问TGS，AS作为client和TGS的第三方；访问Server，TGS作为client和server的第三方[1]。

5 Kerberos区域和多区域的Kerberos

以上Kerberos协议原理的介绍基于一个区域内的客户端访问同一个区域内的服务器。多区域的Kerberos认证要求，Kerberos服务器之间相互信任，两两之间有共享密钥。区域A的Kerberos对本区域Client的认证，区域B的Kerberos应该相信区域A对用户的认证。Kerberos跨区域的密钥交换流程见图：

6 总结

本文对Kerberos认证协议进行了详细的介绍，在Kerberos认证过程中，每次业务请求需要一个ticket，ticket来源于TGS（访问TGS的ticket由认证服务器分发）。工作站不能解密用服务器密钥加密的tickets，每个ticket有个相应的session key。此外，Tickets不能重用，具备有限的的生命期；Authenticators只能使用一次，失效很快。服务器需要维护一个信任状（Authenticators）列表。Kerberoas跨区域服务存在局限性，Kerberos服务器两两之间有共享密钥的要求导致当Kerberos区域扩展较大的情况下势必带来密钥管理不便的结果。

参考文献：

[1] Wenbo Mao.现代密码学理论与实践[M].北京：电子工业出版社，2004.

[2] 沈鑫剡.计算机网络安全[M].北京：人民邮电出版社，2011.

[3] 石淑华，池瑞楠.计算机网络安全技术[M].北京：人民邮电出版社，2012.

[4] 刘冰. 在数字化校园中利用Portal和Ldap实现统一身份认证的研究与应用[D]. 沈阳：沈阳理工大学， 2008.

[5] 曹福祥. 计算机身份认证的技术分析和比较[J]. 中国科技信息，2007（7）.

[6] 王媛媛. 电子商务中身份认证技术的分析与比较[J].信息技术与信息化，2009（4）.

作者：刘寿臣