加密系统设计

加密系统设计（精选十篇）

加密系统设计 篇1

关键词：靶标,数据加密,中频数据处理,数据生成

0 引 言

随着现代电子对抗技术的飞速发展,各种新型武器装备不断涌现,为了检验这些武器装备的性能,能够灵活模拟各种雷达和辐射源信号的靶标设备,在靶场得到了越来越广泛的应用。

在传统靶标设备中,各靶标设备独立进行情报资料处理和参数设置,数据接口不统一,给各靶标设备之间的协同工作带来很大难度。同时各靶标对情报资料各自保存、重复处理,不利于资源共享。另外情报数据和资料大都以明码的形式存在,数据安全性没有任何保障,数据库中存储的大量信息一旦被偷窃、篡改或删除,可能会造成不可弥补的损失,存在极大的安全隐患。

为了解决以上问题,我们基于数据加密技术设计靶标数据生成系统,集中存储、管理和处理各种情报资料,按统一接口生成靶标数据,经过加密后分发至各靶标,由各靶标解密后使用,大大增强了数据的安全性和共享性。

1 靶标数据生成系统设计

靶标数据生成系统的主要功能是以加密数据库的形式保存各种收集的情报资料,并提供对情报资料的处理手段,从情报资料中提取雷达参数,然后根据参考雷达信息结合各靶标自身的能力情况,按照统一接口生成各靶标设备能使用的靶标数据。

靶标数据生成系统主要包括情报资料管理、情报资料处理、靶标数据生成和数据加密分发和解密等4个模块,系统组成如图1所示。为了保证数据的安全性,本系统以CS模式设计,在服务器上用加密数据库保存所有的情报资料和数据文件,客户端通过身份验证以后访问服务器和数据库,对数据库进行管理和数据下载。下面简单介绍一下各模块的主要功能。

情报资料管理模块的主要功能是用加密数据库保存和管理收集的各种情报资料和数据。按资料类型来分,情报资料包括原始情报资料和雷达参数2种,情报资料管理模块的主要功能是用加密数据库保存和管理收集的各种情报资料和数据。按资料类型来分,情报资料包括原始情报资料和雷达参数等2种,分别用基于数据库加密技术设计的情报资料库和雷达参数库来保存。原始资料主要包括介绍和描述雷达参数的各种格式的文件,包括:通用格式情报数据、中频采样数据、视频脉冲数据、PDF文档、Word文档等。在服务器上建立FTP服务器,在客户端利用FTP工具将经过加密的情报资料上传到服务器的指定位置,建立唯一的文件名,并将文件名、存储路径、文件类型等保存到数据库中。雷达参数主要是经过处理能直接体现雷达功

能和性能指标的参数,包括:载频、脉宽、周期、脉内、辐射功率等,可以从原始情报资料中处理得到;利用雷达参数库保存这些参数,并提供添加、删除、修改、查询检索等功能。

情报资料处理模块的主要功能是对收集的各种情报资料进行数据处理,包括人工情报处理模块、通用情报处理模块、中频情报处理模块和视频情报处理模块等。通用情报处理模块主要用来处理通用情报格式数据。中频情报处理模块主要用来处理雷达中频采样数据,通过数字检波、FFT、数字滤波、信号分选、脉内分析等方法得到雷达的一系列工作参数。视频情报处理模块主要用来处理录取的雷达视频脉冲数据,包括在载频、脉宽、脉幅、到达时刻、到达角等,经过信号分选等操作以后得到雷达的工作参数。人工情报处理模块主要用来处理除以上3类数据之外的其它情报资料,这些情报资料由于没有固定格式和规律可循,只能通过人工方式进行处理,提取雷达参数。

靶标数据生成模块的主要功能是根据情报雷达参数结合靶标自身能力生成靶标设备能使用的靶标数据,包括波形数据生成和靶标数据生成2个子模块。波形数据生成子模块主要用来根据情报雷达参数结合靶标自身模拟能力,生成一段时间内的靶标波形数据。靶标数据生成子模块主要根据参考雷达的工作模式和靶标使用想定,将波形数据按时间顺序编排,生成供靶标设备整个试验过程使用的靶标数据。为了数据安全,我们使用基于数据加密技术的波形参数库和靶标参数库来保存波形数据和靶标数据。

加密分发解密模块的主要功能是将生成的靶标数据经过加密以后安全的分发到各靶标,然后再解密并加载的靶标设备,供靶标设备试验使用。

靶标数据生成系统的工作状态转换数据流程如图2所示。

试验前,由操作员根据试验方案进行情报处理和为各参试靶标生成靶标数据,然后将靶标数据加密以后通过光盘分发至各靶标设备,并在靶标上进行解密和加载。试验时,各靶标设备按照靶标数据中指定的工作模式、工作参数和时序生成相应的辐射信号。试验结束后,各靶标自动删除加载的靶标数据,保证靶标数据的安全性。

2 关键技术

2.1 数据及数据库加密

本系统中,服务器上数据库管理系统的运行平台为Windows 2003 Server,该操作系统的安全级别通常为C2级。它们对于数据库文件缺乏有效的保护措施,只要突破了操作系统的访问控制,就可以直接窃取或篡改数据库文件内容[1]。为了保证数据库数据的安全,必须对数据库中的核心和敏感数据进行加密处理。

根据密钥类型的不同,数据加密一般分为对称加密算法和非对称加密算法两种。对称加密是指加密和解密过程使用同一密钥,典型代表为DES算法;非对称加密是指加密和解密使用的不是同一个密钥,通常有两个密钥,称为公钥和私钥,两者需配对使用,互为加解密,典型代表为RSA算法。一般而言对称算法比非对称算法速度快得多。在硬件实现时,DES算法比RSA要快1 000倍;软件实现时,DES大约要比RSA快100倍[2]。考虑到系统效率问题,我们采用DES分组加密算法设计了一套在DBMS外层进行数据库加密的方案,用来保证情报资料库、雷达参数库、波形参数库和靶标参数库等的数据安全,其体系结构如图3所示。数据库加密模块包括加密管理程序、加密/解密引擎、加密字典及修改内核等模块[3]。

加密管理模块主要验证用户是否具有对加密数据访问的权限,根据用户的需要读取或修改加密字典,通过调用数据库加密/解密引擎实现对数据库表的加密/解密及数据转换功能。加密字典模块中记载了用户对数据库具体的加密要求,包括加密表的标识、加密表的密钥、加密列的标识以及用户对加密列的访问权限等。加密/解密引擎模块包括加密/解密处理模块、语法分析模块和数据库接口模块等模块,负责在后台完成DBMS的加密/解密工作。修改DBMS模块通过对DBMS内部的修改,使DBMS能够在数据库系统启动时将必要的加密信息读入内存,分析用户对密文的请求,处理新增的加密/解密关键字和函数,控制对加密字典的并发访问等。

该数据库加密模块的加解密处理在客户端进行,具有完全独立于数据库应用系统、不影响数据库服务器的运行效率和对最终用户完全透明等优点。

2.2 中频数据处理

为了准确的获得参考雷达的工作参数,从而提高靶标设备模拟信号的逼真度和可信性,有时必须对录取的雷达中频采样数据进行处理。中频数据处理模块的主要功能就是对录取的雷达中频脉冲数据进行处理和分析,为用户提供可视化分析人机界面,可在时域、频域、调制域图形化显示中频脉冲数据,辅助人工分析和信号分选,最后形成雷达信号相关数据,并保存到雷达参数库中,实现框图如图4所示。

首先对中频采样数据先进行全频带检波,提取包络数据,对各个包络内的数据再进行FFT运算,提取各包络包含的主要频率分量。其次利用各频点分别对包络进行混频和检波,提取出各频率对应的包络参数,从而得到包络中包含的所有脉冲的脉冲描述字。第三采用模糊聚类算法对脉冲描述字进行信号分选获得雷达参数,并利用短时傅立叶算法辅助人工分析完成信号脉内分析。

2.3 数据加密分发和解密

靶标数据生成以后需要安全的将数据分发到各靶标设备上,如何保证靶标数据的安全分发和传递,成为非常关键的环节。系统中我们采用将靶标数据经过加密以后刻成光盘,加密数据和解密密钥分开传递。数据加密采用DES对称分组加密算法,实现方式采用软件加密算法+加密狗(USB Key)的方式。软件加解密算法模块驻留在加密和解密计算机上,加密狗上存储密钥,打开和读写加密狗需要输入密码。在每次进行加密时都会随机生成一组加密密钥,使每次靶标数据文件都使用不同的密钥加密,从而保证了靶标数据的安全性。

由于采用了对称加密算法,所以在靶标计算机上进行靶标数据解密时也必须使用密钥才能完成解密,密钥与加密文件一一对应,缺一不可。

3 结束语

本文基于数据加密技术设计靶标数据生成系统,在一定程度上实现了资源共享,大大提高了数据的安全性,统一了数据接口,为安全的协同工作提供了条件。本系统已经在某靶标系统装备中得到了成功应用,具有良好的推广价值。

参考文献

[1]朱鲁华,陈荣良.数据库加密系统的设计与实现[J].计算机工程,2002,28(8):61-63.

[2]王元珍,冯超.数据库加密系统的研究与实现[J].计算机工程与应用,2005,40(8):170-172.

加密系统设计 篇2

本文设计并实现了一款基于USB协议的计算机接口加密系统，通过USB接口与计算机连接，系统很好地满足了在普遍使用的优盘上实现敏感数据的加密 【关键词】计算机 数据接口 加密系统 设计

随着数字技术的发展，大量敏感数据被存储于移动载体上，由此带来的安全隐患日益严重，于是移动存储设备所带来的信息安全问题也越来越被用户重视。

因此，为确保信息的完整性、实用性、保密性和可靠性，确保用户使用方便的加密技术呼之欲出。

在不断发展的计算机技术下，研制一款无需安装、操作简便、灵活、实用、识别简单、加密强度高，能够充分利用现有资源、且小巧美观、携带方便的加密设备具有重要的现实意义和使用价值。

1 软件加密

1.1 软件加密方案

1.1.1 PrivateZone软加密方案。

我的地盘(PrivateZone)磁盘加密软件，该软件运行后，会自动生成一个可以加密的分区，保存到该分区的数据将自动的被加密。

用户凭访问密码才能访问该分区的数据。

至于如何在移动硬盘中使用，用户还必须通过自己手动设置的方式来实现加密。

将此加密工具复制到用户的U盘或移动硬盘根目录中则可以加密隐藏U盘或移动硬盘上的所有文件。

将此加密工具放到文件夹中则只加密当前文件夹。

需加密多个文件夹则每个文件夹中都得安放本工具、不同的文件夹可用不同的密码，但密码你必须记牢。

1.1.2金盾卫士软加密方案

从官方数据可以知道KDS金盾卫士加密软件采用内核技术、手工加密。

该软件加密强度很高，密钥的长度达到128位。

通其他加密软件相比，该软件是真正意义上的文件内容加密，不是所谓的某些文件夹加密软件，通过隐藏文件来实现“伪加密”。

1.2现有软件加密缺点

(1)需要在电脑或U盘中安装软件，一但系统不稳定或软件损坏可能造成数据永远丢失。

(2)需要记忆较长的密码，用户一旦忘记密码，数据也将永久丢失。

(3)需要用户手动完成相关操作，如加密、复制加密工具等。

(4)很难防止别人通过其他软件进行暴力破解，或者利用软件本身的漏洞进行破解。

软件加密最大的缺点是密码问题，如果用户长时间不使用，一旦忘记密码，连自己都无法进入，相当于把自己关在了防盗门之外。

数据安全也就完全失去了意义。

另外这些产品的应用都需要借助计算机的帮助，如果用户想在没有安装这类软件的机器上或者U盘上使用数据就必须要下载软件并且安装后才能读取。

非常的不方便。

此时硬件加密就显现出了其无可比拟的优越性。

2 硬件加密

2.1 硬件加密方案

现在我们常使用的移动硬盘，也存在很多的常见的加密方案，为了防止在存取数据的环节上的数据被非法获取，必须采用对移动硬盘全盘硬件加密。

这涉及到一系列的加密法转换、附加密钥、加密模块等过程。

解密部分还对硬盘的数据进行完整性校验。

通过采用这些措施保证数据的安全。

2.1.1 朗科U661闪存盘

朗科推出的硬件加密产品U661闪存盘采用朗科特有的256位专业级AES硬件数据加密的防范功能，该款闪存盘拥有硬件加密、磁盘分区加密、普通操作人员加密等功能，是一款具有很高的安全性的硬件加密产品。

2.1.2 K301

朗科公司推出的另外一款优盘的型号为K301。

K301由设备端硬件实现数据加密功能，在该优盘的加密区，数据被加密后存储在优盘，就是更换连接设备，读出的数据是经过加密的信息，没有任何实际意义，保证了数据的安全。

2.2 现有硬件加密缺点

(1)对于很多硬件加密的设备，加密芯片都是内嵌的，使得这些加密设备只能对自身进行加解密操作，既只能完成一对一的加密;

(2)由于加密需要对传输的数据进行数字化处理，从而导致进行数据传输时速度变慢，并且对所有传输到加密设备内的数据都进行无选择性的加密，使得这些加密设备的使用带有较大的局限性，使用较为不便。

(3)价格昂贵，性能一般的加密设备价格是普通U盘的3-4倍，而性能稍好的价格远高于此，导致很多用户对加密设备望而却步，市场占有率很低。

3 功能分析

本文提供的加密技术，只要U盘等移动存储载体通过它连接电脑，就可以对电脑传输到移动存储载体内的数据进行加密或者对存储载体内的加密数据进行解密读取并进行处理。

对于初次使用的用户，无需在电脑上安装任何软件或者驱动，转接系统连接电脑后，电脑将自动运行mass-storage协议，从而系统成为了一个假U盘。

对于比较关心的密码，用户只需使用一个小小的SD卡写入一个八位数的密码即可，而无需记忆，这就相当于用户花钱买了房子之后，只需买一把保险的锁将大门锁起来，只要有效地保管好钥匙，就无需担心房子内的财产安全。

当存储有加密文件的移动存储载体直接连接电脑后，在现行的文件系统下是无法看到经过加密系统加密的文件的，即使客户使用。

3.1 系统功能

这是一款真正实现了数据加密的小巧易用的加密设备。

既秉承了传统软硬件加密的优点，又具有自己独特的功能：

3.1.1 真正的文件加密

通过解析SCSI指令将PC写入U盘的数据用DES加密算法处理后再写入移动存储载体内，从而确保了对所有的传输的数据进行了加密操作，保证数据安全。

3.1.2 真正的文件隐藏

利用独特的算法对U盘的FAT文件结构进行处理，将加密后的数据再做隐藏，使得在移动存储的载体直接连接电脑时无法看到经过了加密的文件，即使使用了专门的数据恢复软件，也无法将加密的文件再现，进一步保证数据安全。

3.1.3 真正的一盘多用

经转接口加密的优盘同时还可以当做普通优盘在计算机上正常使用，同时，加密后的数据与非加密数据在存储时是物理隔离的，以保证数据安全。

所以，对于一个普通的非加密U盘，既可以把它当做一个安全的加密U盘进行文件的存储管理，同时也可以将其当做正常的存储介质使用。

3.1.4 真正的即插即用

无需安装任何驱动软件和应用软件，直接用转接口连接U盘和PC，就可以进行加密存取。

在接口第一次连接电脑时，计算机操作系统调用masstorage协议，识别之后就可以真正实现即插即用。

3.1.5 真正的一口多用

加密设备独立于存储介质，即使用本转接口可以对目前市面上的几乎所有主流优盘进行加密处理而不必购买专门的加密优盘。

拥有一个转接口就相当于拥有了无数个加密优盘。

3.1.6 安全的密钥管理

用户只有将存储有密钥的SD卡插入卡槽才能进行加密数据的存取。

而SD卡的管理和携带就像我们平时使用家里的钥匙一样。

加密算法的难于破解和密码的低泄露风险，保证了数据的安全。

3.1.7 透明的用户操作

用户通过转接口对优盘数据进行存储和在电脑上直接操作优盘没有任何区别。

符合用户的操作使用习惯。

3.1.8 小巧的结构设计

整个加密转接口封装完成后只比烟盒略大，携带使用非常方便。

3.1.9 人性化的操作使用

无需花费精力去记忆繁琐的密码，无需花费时间安装专门的驱动或者使用软件，无需花费多余的钱去购买两个加密U盘。

3.2 系统特点

该加密系统对除控制信号外的所有数据进行硬件加密，防止存储环节上的数据失密，这一点和目前的加密硬盘相似。

但与目前的加密硬盘相比，该加密转接口具有无可比拟的优势，突出的特点是：

3.2.1 使普通U盘具有双重模式。

U盘并非只有一种加密模式可以使用，当U盘没有通过转接口连接电脑时，U盘可以当做普通U盘来使用，并且已经加密的.数据与非加密数据在存储空间上是物理隔离而且不连接转接口时加密数据是不可见的，任何人无法找到这些已经加密的数据，除非连接加密器。

而当连接加密器时，普通的文件也是无法显示的。

这样一来，就给用户带来了很大的方便，一盘两用。

当然数据是绝对安全的，这是因为我们通过相应的逻辑操作来达到物理隔离的效果，使不同的数据存储于不同的扇区中。

3.2.2 基于SD卡的密钥管理和数据加密。

DES加密算法所使用的密钥存储在SD卡中，与存储介质和加密设备分离。

这样做的好处，首先是对用户来说再也不用记忆冗长的密码。

当然最重要的是提高数据存储的安全性，没有存储于SD卡中的密钥，就无法对优盘中的加密数据进行操作。

没有密钥更无法将存储在优盘中的经DES算法加密的数据还原。

3.2.3 加密转接口性价比很高，应用前景非常可观

和同类的硬件加密相比较，市面上一般的加密优盘价格在200元左右;而本加密转接口如果能量产，则其成本不会高于60元，但是他却可以完成对现有普通U盘的加密，如果有多个U盘，节省的开销将非常可观。

系统全加密　安全有保障 篇3

EFS加密只能应用于NTFS分区，同时也容易被破解；而市面上一些所谓的超强加密工具，比如“高强度加密大师、紫电加密神、加密金刚锁”之类的，也只是银枪蜡头，根本不堪一击。怎么样才能安全的为文件加密保护呢?

TrueCrypt V4.3a是一个小巧强大的绿色加密软件。它可以生成一个虚拟加密磁盘，任何存储在该虚拟磁盘上的文件可以被自动地实时加密，并且只有当使用正确的密码或者密匙配置时才可以访问。比起普通的文件加密工具来说，TrueCrypt安全性极高，没有过被破解的任何消息。

程序自加密

TrueCrypt V4.3a提供了绿色版和安装版两种运行方式。运行TrueCrypt V4.3a的安装程序“TrueCryptSetup.exe”，打开安装向导对话框，指定安装路径。在下面有几个选项框，注意都不要勾选，这样就不会创建桌面和开始菜单，以及文件关联等，以免被其他用户发现使用安装的TrueCrypt程序。这样可以达到让别人根本不知道本机上有加密文件的效果。

创建加密磁盘

步骤1运行安装程序，或者直接运行“SetuDFiles”文件夹下的绿色执行程序“TrueCrypt exe”。打开加密程序界面窗口。

步骤2在程序上方显示当前系统尚未占用的盘符列表，单击选择一个盘符，例如这里选择“z：”。

步骤3点击“createVolume”按钮，打开创建虚拟磁盘向导对话框。TrueCryDt允许用户创建标准加密盘(Create a standard TureCrypt volume)，或是隐藏加密盘(Create a Hide TureCrypt volume)。

步骤4再选择磁盘类型后。要求指定创建加密盘文件的位置，点击“Select File”按钮，输入一个磁盘文件名，如“Disk”，点击“打开”按钮即可。

步骤5点击“下一步”按钮，要求选择磁盘加密算法，其中AES-Twofish-Serpent的加密安全性是最高的，但是数据加密解密速度也是最慢的。

步骤6这时会要求设置虚拟加密磁盘的大小。再为加密盘设置打开密码，也可设置一个钥匙文件。最后选择文件系统，支持FAT与NTFS格式的磁盘。设置完毕后，点击“Format”按钮。即可开始格式化虚拟磁盘了。格式化完毕后，关闭向导对话框。

加密文件

步骤1返回TrueCrypt主界面窗口，在上方的列表中选择某个盘符，例如“z：”。

步骤2点击“Select File”，浏览指定刚才创建生成的虚拟磁盘文件，然后点击“Mount”按钮，弹出打开密码对话框，输入刚才设置的密码即可加载该虚拟磁盘。

步骤3打开我的电脑，将会出现新加载的虚拟磁盘“z：”。将需要加密保护的文件全部移到z盘后，关闭该虚拟磁盘，点击TrueCrypt主界面上的“Dismount”按钮，退出程序即可完成数据的加密保护。

以后要查看操作加密数据文件时，可重新加载虚拟磁盘文件，输入密码，即可打开磁盘进行操作了。

再加一层密

只要我们保护好虚拟磁盘打开密码，那么别人只能看到一个虚拟磁盘文件，根本无法查看到其中的文件内容，因为里面的内容全部是经过硬性加密的。但是对于一些机密文件，这样还不够安全，因为有人可能会强迫你说出虚拟磁盘打开密码，那么你的机密文件不就暴露了?不要紧，TrueCrypt的隐藏加密盘功能，提供了双层保护。

步骤1在刚才的创建虚拟磁盘向导对话框中，选择磁盘类型为“隐藏加密盘(Createa Hide TureCryptvolume)”，再选择“创建一个普通加密盘，并在其中创建一个隐藏加密分区(Create a TureCrypt volumeand then a Hide volume within it)”。

步骤2按照同样的方法完成普通虚拟磁盘的创建，继续弹出向导框，要求用同样的方法创建其中的隐藏加密磁盘。在创建过程中，隐藏磁盘的容量不能大于所在的普通磁盘的容量。

创建了隐藏虚拟磁盘后，在加载时，可以输入任意的密码，都能正确打开磁盘，不过打开的只是普通加密盘。只有输入正确的密码时，才会打开加密盘中的隐藏盘。我们可以在普通加密盘中放一些无关的文件，将真正的机密文件放到隐藏盘中。别人强迫你给密码时，随便给它一个密码都能打开虚拟磁盘，只不过真正隐藏盘中的内容，它是看不到的啦!

重要程序要加密

系统中除了注册表编辑器、组策略、命令提示符、Msconfig等重要安全程序外，可能还有一些安装的软件程序。不能让别人非法运行。对于危险或重要的程序，我们同样可以对其进行加密，让别人无法任意运行。

E-神程序加密，即用即锁

步骤1安装并运行“E-神程序加密器V070706”，首先弹出登陆窗口，要求输入管理密码。第一次登陆可输入默认密码“admin”，确定后即可进入管理界面。

步骤2点击界面中的“设置密码”按钮，弹出密码修改框，选择“修改管理密码”项，输入新的管理密码。点击“修改密码”按钮，即可完成修改。

步骤3将要加密的程序拖动E-神程序加密器界面窗口中，程序即被自动加密。

步骤4再点击界面中的“设置密码”按钮，弹出密码修改框，选择“修改程序密码”项，输入程序运行密码。确定后完成加密。以后运行加密程序时。将会自动弹出程序运行对话窗口，要求输入解锁密码才可以运行。

程序永久加密

E-神程序加密器功能有限，重装系统，或者将程序移到别的电脑上，程序也可以正常执行了。如果想将程序永久加密，可使用一个叫做“EXE程序加密”的工具。它是一款非常小巧的windows下的EXE文件加密软件，主程序只有15KB大小，加密码后的文件尺寸只增加4KB字节，比市面上的许多同类软件都要小的多。

步骤1运行“EXE程序加密v1.0”，在“文件名”处浏览指定要加密程序路径，输入密码。

步骤2点击“加密”按钮，即可自动完成程序的加密。

以后运行加密程序时，弹出一个提示输入框，只有输入正确的密码后，才能够继续运行程序。密码错误3次后程序则会自动退出。

U盘加密好方便

U盘中经常要存放一些文件和资料，如果不小心遗失了U盘，那么这些文件和资料就泄密了，因此我们需要对U盘文件进行加密。

虚拟分区保数据

利用与前面的虚拟磁盘存数据的原理，可以对U盘文件进行加密，这里我们使用一个叫做“优易U盘加密软件”的软件。“优易U盘加密软件v2.0”可在U盘中

创建一个虚拟的加密磁盘区，对数据文件进行保护。

步骤1 将“优易U盘加密软件v2.0”程序文件复制到U盘根目录下，运行程序，首先要求配置虚拟加密分区。

步骤2勾选“启用U盘加密功能”项，调节U盘公开区、加密区容量空间比例，并可设置U盘加密区磁盘文件系统。

步骤3勾选配置界面中的“加密区只限于本U盘使用”项和“加密区禁止被删除复制”项，可防止其他人恶意破解和破坏虚拟分区文件。

步骤4设置完毕后，勾选“快速格式化”项，点击“使配置生效”按钮，弹出密码设置对话框，要求为加密分区设置密码。确定后，即可开始生成U盘加密区。

步骤5点击界面“登录”按钮，切换到登录界面。输入加密区密码，设置某个未用盘符作为加密区盘符。点击“登录加密区”按钮，即可加载打开虚拟磁盘分区了。

步骤6将各种重要的文件和资料，复制到虚拟U盘分区中，点击程序主界面中的“登出加密区”按钮，安全退出虚拟分区，机密数据就都被保护起来了。以后只需用“优易U盘加密软件”再次加载虚拟分区。即可重现机密。

重要数据变“唐诗”

“优易U盘加密软件”会在U盘中生成一个虚拟磁盘文件。因此安全性虽然保证了，但是伪装性不高。下面我们将把这个虚拟磁盘文件通过“U盘超级加密2008”软件伪装成“唐诗”。这是一款伪装性极强的U盘加密软件，加密速度很快。它可以加密u盘中的任意数据和文件，我们以加密刚才的虚拟磁盘文件为例：

步骤1将“U盘超级加密2008”程序复制到U盘中。程序自身有很好的伪装性，从图标及文件属性描述等，看起来是一个普通的背诗词软件。程序运行后，出现《唐诗三百首》背诗问答界面，要求输入唐诗的下句。

步骤2在输入框中输入默认密码“888888”，确定后就可以进入真正的软件主界面了。如果没有正确密码是无法进入软件的主界面，也无法使用加密和解密功能。

步骤3在程序界面左侧列表框中，显示的是当前U盘中未加密的文件，右边是已加密的文件。选择某个未加密文件或文件夹，点击工具栏上的“加密”按钮，文件就被加密隐藏了，在U盘中再也找不到这个文件了。只有打开程序，才可在右边的列表窗口中看到被加密的文件。

步骤3选择加密文件，点击“单个解密”按钮，即可还原恢复文件。我们可用此工具将上面生成的虚拟磁盘文件加密隐藏，这样就对U盘中的重要数据文件加了双层保护了!

光盘加密码，还能玩伪装

刻录了一张光盘，里面有一些秘密的文件数据和视频，不想让别人看到其中的内容怎么办?可为光盘加上密码，甚至伪装文件，让别人根本看不到其中的内容!

有了口令也别看

为了保护光盘中的内容，可以为光盘加上访问密码，不知道密码就不能打开光盘，而且光盘只能在自己的电脑上面看，拿到别人的电脑上，即使有了密码，也别想打开!

步骤1安装并运行CryptCD，在程序界面上方的文件浏览区中，可直接将要刻录的文件拖放到下面的文件添加区域中。

步骤2添加刻录文件后，可选择加密类型。如果要为整张光盘设置密码，可勾选“新建CD-DVD”中“CryptCD……”项；如果只为光盘中的某个文件进行加密的话，可右键点击文件，在弹出菜单中可选择加密方式和加密等级。

步骤3在加密方式菜单中，“BitCrypt方式”加密的光盘只能在本机使用，即使别人知道密码但是拿到其他电脑上也无法访问：而“Scramble”只需要要拥有密码即可查看加密光盘文件。

步骤4设置完毕后，点击“Creat CD”按钮，打开密码设置窗口，可为加密的光盘输入一个口令。输入密码后，点击“应用”按钮，将弹出CD创建对话窗口。

步骤5点击“创建CD镜像”按钮即可开始制作光盘映像文件。映像文件制作完毕后，将刻录盘放人刻录机中，点击“刻录镜像CD/DVD”按钮，打开刻录界面即可刻录光盘了。

图片光盘里面蔽机密

加了密的光盘总会特别引人注意，最好的办法就是对光盘进行伪装，让别人打开光盘显示的是伪装文件，在某个特殊区域输入密码后，显示的才是真正的文件内容。下面我们要利用“光盘大师”，对光盘进行加密，当别人打开光盘时，如果没有输入正确的密码，只能进入一个指定的文件夹中，查看其中的图片。通过这种方式对光盘进行伪装，让别人以为光盘中只有图片，根本没有其他的内容，从而让加密内容百分百安全。

步骤1 制作光盘镜像文件

首先可按正常的方法，用其他的光盘刻录软件如Nero等制作生成一个光盘镜像文件。注意，对镜像中的文件夹目录结构有要求，共建立两个文件夹，其中一个文件夹名为“图片”，在其中放人数量众多的普通图片，注意图片的文件体积不要太大；另一个文件夹可为任意名称，如“重要文件”，在其中存放要加密的机密文件和数据。

步骤2 隐藏重要文件

安装并运行“光盘加密大师”，点击工具栏上的“打开光盘镜像文件”按钮，在弹出的对话框中浏览指定刚才制作的光盘镜像文件。光盘加密大师提供了多种文件加密方法，比如隐藏文件、改变文件大小、目录伪装等。

右键点击镜像文件中的文件夹“重要文件”，在弹出菜单中选择“隐藏选定目录”命令。则在生成的刻录光盘中，此目录将不会被显示。即使在资源管理器中选择“显示所有文件”，也看不到这些重要的文件。

步骤3 伪装图片文件

右键点击“图片”文件夹中的某个图片文件，在弹出的右键菜单中可以选择“变为超大文件”命令。此文件的大小就会发生变化。因为我们隐藏了光盘中的重要文件后，可能会造成光盘整体空间与图片文件体积上的差异，可用此命令消除这些蛛丝马迹。也可以使用“自定义文件大小”命令。自定义设置文件显示体积的大小。

步骤4 设置光盘自动打开图片文件夹

右键点击“图片”文件夹，在弹出菜单中选择“定义为主目录”命令，生成的光盘在被打开后，将会自动进入该文件夹下查看到图片。

步骤5 设置光盘密码验证

点击菜单“文件”→“光盘密码”按钮，弹出加密设置对话框。在光盘加密大师中有三种密码方式，分别是“密码、按键、日期”三种图。这里选择“按键”方式，输入按键字符，再设置“验证密码后”为“打开指定的主要目录”或者运行“运行指定的主要程序”。勾选上方的“写入解密程序并自动运行”及“即使密码正确也禁用光盘浏览器的复制功能”项，可防止光盘被拷贝。

最后点击“下一步”按钮，弹出加密提示信息。确定后即可对光盘镜像进行加密了。将加密好的映像文件，直接刻录到光盘上，一张加密光盘就完全制作做好了。当光盘被放入光驱中的时候，就会自动运行解密程序，但是不会弹出明显的密码对话框。用户只有自己输入设置的按钮才能够显示真正的光盘内容。

加密系统设计 篇4

随着网络的普及和发展, 各类信息在网络中传播, 在网络中传播的一些机密信息的安全问题也随之诞生了。在对这些数据加密时, 由于多媒体信息数据量大而且冗余度高, 采用传统的加密方法对这类信息加密, 加密序列有限、安全性也不高, 已经不能满足当前加密需求。由于混沌序列是非线性动力系统, 它具有类随机性、初值敏感性等特点, 混沌序列非常适合作为图像的加密序列。

1 猫映射对彩色图像加密的算法设计

1.1 猫映射的定义

最早的猫映射Arnold[1]是由Arnold引入的, 因为实验中经常使用猫脸, 所以得此名称, 猫映射定义式如下

由此此方程可以发现, 只取小数部分, 也就是它所产生的相空间是个单位正方形。将式 (1) 结果一系列变化后, 可得到如下方程式:

1.2 加密算法设计

由式 (2) 的方程式可以看出, 它非常适合于图像矩阵的坐标置乱变换。设式 (2) 的初始值是 (x0, y0) , 经过N取模次迭代运算后, 再将结果加1, 可得到新的坐标 (xn, yn) 。猫映射曾被证明有混沌的特性, 它所产生的序列具有较高的安全性。

对于灰度图像, 加密算法设计时, 取待加密图像A的第n个点An (in, jn) 作为式 (2) 的初始值, 经过迭代运算, 得到新的结果作为点An的新坐标An` (in`, jn`) , 依次逐个对图像A的各个点求新坐标后, 得到进行了坐标置乱的密文A`。对于彩色图像, 可以将待加密图像A的RGB三基色使用不同的密钥参数 (ri, mi, , ni) , 然后使用式 (3) 进行运算, 计算出三基色的新坐标Rn` (in`, jn`) , Gn` (in`, jn`) , Bn` (in`, jn`) 。依次对图像A的每个点的三基色进行置乱, 得到R`、G`、B`三个矩阵, 将三个矩阵合成后得到矩阵A`即为加密后的密文图像

1.3 实验结果分析

此算法仅对图像像素坐标进行了置乱, 没有对像素的灰度值进行替代, 不能改变图像的像素直方图, 因此不能抵御已知明文的攻击, 安全性不高。

2 使用三维统一混沌系统对算法的改进

2002年, 新的混沌系统产生了, Liu Jin-hu等连接了Lorenz系统和Chen系统[2], 提出了一个新的混沌系统, 称其为统一三维混沌系统, 其数学模型为:

式 (4) 中α∈[0, 1], α在区间[0, 1]上, α<0.8时, 此系统可视为广义Lorenz系统, 当α>=0.8时, 此系统可视为广义Liu系统.。接下来使用本系统对上面的算法进行改进。

先由式 (4) 产生三个混沌序列r1=x (n) 、r2=y (n) 、r3=z (n) , 用式 (5) 进行第一次密钥构造

将得到的密钥Intkey使用式 (6) 进行二次构造

依次取密文图像A`像素三基色A`R (i, j) 、A`B (i, j) 、A`G (i, j) , 分别使用式 (7) 进行像素替代

将得到的三个矩阵A`R、A`G、A`B合成后得到新的密文A``。此时得到的密文经过猫映射的矩阵置乱和三维统一混沌的像素值异或替代后, 像素值分布均匀, 具有更高的安全性。

摘要：进入21世纪, 越来越多的信息在网络上传播, 信息安全问题日趋明显。如何确保信息的安全成了一个新课题。由于混沌序列具有初值敏感性、伪随机性等特点, 在图像加密中应用较为广泛。本文将猫映射和三维统一混沌系统结合起来, 设计了一个彩色图像的加密算法, 得到的密文具有较高的安全性。

关键词：加密算法,猫映射,三维统一混沌系统

参考文献

[1]杨红, 林士胜.图文混沌加密在互联网传的多格式处理与识别[J].计算机辅助设计与图形学学报, 2005, 17 (1) :105-109.

加密系统设计 篇5

本 质上，eCryptfs 就像是一个内核版本的 Pretty Good Privacy(PGP)[3] 服务，插在 VFS(虚拟文件系统层)和 下层物理文件系统之间，充当一个“过滤器”的角色。用户应用程序对加密文件的写请求，经系统调用层到达 VFS 层，VFS 转给 eCryptfs 文件系统组件(后面会介绍)处理，处理完毕后，再转给下层物理文件系统;读请求(包括打开文件)流程则相反。

eCryptfs 的设计受到OpenPGP 规范的影响，使用了两种方法来加密单个文件：

eCryptfs 先使用一种对称密钥加密算法来加密文件的内容，推荐使用 AES-128 算法，密钥 FEK(File Encryption Key)随机产生。有些加密文件系统为多个加密文件或整个系统使用同一个 FEK(甚至不是随机产生的)，这会损害系统安全性，因为：a. 如果 FEK 泄漏，多个或所有的加密文件将被轻松解密;b. 如果部分明文泄漏，攻击者可能推测出其它加密文件的内容;c. 攻击者可能从丰富的密文中推测 FEK，

显然 FEK 不能以明文的形式存放，因此 eCryptfs 使用用户提供的口令(Passphrase)、公开密钥算法(如 RSA 算法)或 TPM(Trusted Platform. Module)的公钥来加密保护刚才提及的 FEK。如果使用用户口令，则口令先被散列函数处理，然后再使用一种对称密钥算法加密 FEK。口令/公钥称为 FEFEK(File Encryption Key Encryption Key)，加密后的 FEK 则称为 EFEK(Encrypted File Encryption Key)。由于允许多个授权用户访问同一个加密文件，因此 EFEK 可能有多份。

这种综合的方式既保证了加密解密文件数据的速度，又极大地提高了安全性。虽然文件名没有数据那么重要，但是入侵者可以通过文件名获得有用的信息或者确定攻击目标，因此，最新版的 eCryptfs 支持文件名的加密。

加密系统设计 篇6

【关键词】数据加密技术；银行系统；应用研究

0.前言

随着经济以及计算机科学技术的不断发展，数据加密技术也取得了很大的进步。数据加密技术不仅可以对数据进行保护，使得数据不被破坏，也可以对身份进行确认、不可否认行为的确认等。数据加密技术的应用也变的越来越广泛。在当前信息时代，由于竞争非常激烈，很可以会由于信息方面的安全性不足而使得利益受到损害，因此，在信息不断进步发展的今天，数据加密技术起着不容忽视的作用。在银行系统中，我们必须根据实际情况，科学合理的运用数据加密技术。这样才能使得整个银行系统能够正常顺利的运行。

1.数据加密的概念和传统的加密方法

1.1数据加密的基本概念

数据加密也也就是把明文的信息转换成不可辨识形式的密码，通过这样一个转换，使得不明白这个信息的人不能够很好的进行识别，这样就起到了对这些数据进行保护的作用。数据加密技术也就是的在数据传输的过程中使用的方法，这些技术对于数据的加密起着非常重要的作用。加密系统整个是由加密系统和解密系统两个部分组成的，不论在多么复杂的加密系统中进行加密，其加密系统一般都由以下几个方面组成。首先，是需要我们进行加密的报文，这也是我们经常所说的明文；其次，是我们进行加密过后的报文，这也就是我们经常所说的密文；再次，加密或解密用的装置或算法；最后，用于加密或解密的密钥，密钥可以有很多种形式，既可以使词汇也可以是数字或者语句。利用数据加密技术就是要使得只有在指定的用户或者网络下才能使得密码解出，从而使得用户能够获得相应的数据，这就要求数据的发送方和接收方之间必须要有特殊的密钥进行加密才能使得上述情况很好的实现。

1.2传统的数据加密方法

传统的加密方法一般采用的是单钥技术，所谓的单钥技术也就是在加密和解密的时候采用同一个密钥，由于其这种特点，我们通常也将这种加密方法称为对称加密法。这类方法主要有代码加密法、变位加密法和替换加密法几种形式。

1.2.1代码加密法

这种加密的方法是最为简单的也是最容易实现的。这种加密方法往往是通信双方通过设定一种简单的代码来进行实现，这种加密方法在之前应用的也相当广泛。

1.2.2替换加密法

替换加密法也是传统的加密方法中非常普遍的一种加密方法。采用这种加密方法进行加密时，首先我们要制定一种规则，然后根据这种规则对明文中的字母来进行替换，将原来的字母按照规则替换成其它的字母，通过这样的方法来实现对明文的加密。

1.2.3变位加密法

变位加密法也是传统加密方法的一种。采用这种方法进行加密时并不对原来的明文进行隐藏，而是将原来明文中的字符进行重新排序，通过这样的方式来实现加密。

1.2.4一次性密码簿加密法

这种加密方法是通过密码簿来实现的。采用这种加密方法进行加密时，首先要制定一个密码簿，并且每一页都有不同的密码表。在进行加密时，每使用一页对明文进行加密就会将该页销毁，然后在利用下一页对明文进行加密。这样直到把全部的明文转换成密文才算最后完成。这样一来，就使得进行密码破译时，只有找到相同的密码簿才能对这种方法加密的密文进行破译，否则破译这种密文是相当困难的。

2.改进的加密方法

随着科学技术的不断进步发展，传统的加密方法存在着很多的局限性，已经不能很好的适应社会的进步发展。不能很好的满足当前社会的需要。在这样的情况下，出现了几种改进的加密方法。这些改进的加密方法主要有以下几种。

2.1数据加密标准DES

DES是一个对称的密钥系统，当使用数据加密标注DES时，在进行加密和解密时都采用相同的密钥来进行。采用标注DES进行数据加密时，一般采用一个64位的数据块，但是使用56位的密钥进行加密，这样一来就使得在内部实现多次替换和变位操作，这样一来就起到了对相关数据进行加密的目的。DES也有着不同的工作模式，在不同的工作模式下有着不同的效果。在进行选择时，我们需要对实际情况进行充分的考虑。目前。DES的工作模式主要分为EBC、CBC和CFB三种模式，其中EBC是数据块加密模式，其余两种都是数据流加密模式。

2.2三层DES

这种方法是DES的改进算法。采用这种方法进行加密时，其一般存在两种密钥对报文进行三次加密，这样所起到的效果要好于标准DES的方法，起到了加长EDS密钥相同的效果。这样就对DES的缺陷进行了很好的弥补。

2.3RC2和RC4

这种算法是由美国麻省理工学院的教授Ron Rivest发明的。这是一种不公开的算法。这种算法能够对密钥的长度进行改变，这样就是使得安全程度发生变化。这种算法有着它的优势，目前应用的也相对比较广泛，许多电子邮件中的产品都开始采用这种算法。

3.数据加密技术在银行系统中的应用

随着网上银行的不断进步发展，银行系统的安全问题必须要引起重视。数据加密对于银行安全方面的工作顺利进行有着非常明显的效果。采用数据加密技术利用科学的密码算法把明文数据进行转换，根据实际情况的需要，我们可以采用不同的密钥对相关的明文进行转换。当我们需要相关的数据时，就可以利用相应的密钥对密文进行转换，从而获得这些保密的数据，这样就使得这些数据的安全性能够得到很好的保证。目前，许多相关的病毒都是通过网络这个平台来进行传播的，如果我们能够很好的切断这些病毒的传播途径，那么就可以使得安全性得到很好的提高。我国的许多银行都采用加密技术和网络交换设备的方式来保证银行系统的安全性。也就是的防火墙和交换机在进行运行时，一些相关的数据流信息先上报给安全设备，之后在利用数据加密系统对这些信息进行检测，当发现问题时，就会采取一些有针对性的动作，并且将这些动作反映给防火墙，之后在进行精确端口的关闭和断开，这样就能使得银行的数据库能够得到很好的保护。

4.结语

总之，数据安全问题对于银行系统的正常运行起着非常重要的作用。必须要根据整个银行系统的实际情况，科学合理的对数据加密技术进行合理的应用，使得数据加密技术在银行系统中很好的发挥作用，从而使得银行系统能够正常稳定的运行。

【参考文献】

[1]孙凌宇，冷明，徐忠键.数据加密技术在银行联机交易交换处理系统中的应用[J].微型电脑应用，2002（8）.

[2]刘金良.浅析数据加密技术在银行系统中的应用[J].中国电子商务，2010（8）.

[3]戴佳筑，杨小虎，谢晓尧.数据加密技术及其在银行业务中的应用[J].贵州工业大学学报，1999（1）.

加密系统设计 篇7

就国内医学信息系统发展现状而言,由于该方面计算机网络技术及数据库的应用起始时间较晚,各方面仍然存在很多缺陷和不足。随着临床医学信息化的不断发展,传统意义上的CPR已经无法满足医疗管理部门及医生的需求,电子病历(EMR)也就随之产生。电子病历就是结合数据的方式获取医生所实施的各项医疗信息并实施有针对性的管理及应用。该种类型的数据信息能够促使医院在实际管理过程中实施多样化的显示及表达,并在此基础上实现数据统计、查询及操作。医院信息系统仍然是当今社会中最具复杂性的信息数据库,这主要源于医疗行业自身性质、目的及工作任务。正因为医疗业务领域自身具备一定的特殊性,作为医疗系统中最具重要性的信息数据之一,实际工作的病案记录中包含了所有诊疗信息,是医务人员实施患者治疗措施的依据、医疗纠纷中不可缺少的证据等,所以数据加密技术可以很好的实现对病案的保护,并且在身份明确及加密过程中具备极大的价值意义。换言之,唯有在医院信息系统中运用可靠、安全的数据加密技术,才能促使医疗信息化发展行为顺利进行。

1 医院数据加密技术的设计研究

数据加密的设计从某种程度上而言,就是为了实现在用户需求下,对相对敏感的数据实施加密储存,确保合法用户实施正常访问,避免非法用户读取或获得数据信息。作为一种数据安全性科学,数据加密从本质上而言就是实现数字的加密工作,在设计时需要一个密钥及加密算法。加密算法作为一种数学函数,其目的就是实现加密或解密计算。所以在进行数据加密的过程中,主要就是明确密钥保密性及加密算法的强度。数据加密技术结合因特网、Intemet等构建安全前提。数据加密技术作为保证信息系统安全的重要保障,基于业务视角而言,结合数据加密技术需要首先具备的安全功能包括以下内容:数据传输安全、数据完整性得到保障、身份验证以及数据操作的不可抵赖性。数据传输安全性需求是为了确保公网上传送过程中的数据不被第三方窃取。这一行为是通过数据加密实现,数据信封技术主要通过对称密钥及非对称密钥间的加密技术实现。数据完整性则是为了确保数据传输过程中不出现修改行为。此外用户进入安全通道之前,需要对身份进行鉴别与确认。最后在安全通道中实施数据传输的过程中,需要携带特殊、不能被人复制的信息,从而确保数据出现纠纷问题时能够提供证据。这一行为一般是通过数字签名及数字证书技术完成。

2 医院信息系统的数据加密技术

2.1 数据加密设计要求

针对医院信息系统而言,其数据管理系统中的运行平台一般使用Windows NT,该系统所设置的安全级别为C1或是C2,主要具备医疗人员的注册、识别及审计等功能。通过笔者的研究发现,医院信息系统的数据加密技术需要满足下述几点需求:(1)字段加密。在当前现状基础下,系统解密及加密中的粒度指的是记录的字段数据。以记录的字段数据为单位实现解密单位脱密,满足数据库操作需求,同时结合高效的密钥管理行为实现“一次一密”的密码操作行为。(2)密钥动态管理行为。由于数据库个体间的逻辑性关联,单个逻辑机构需要构建多个数据库客体,所以需要构建密钥实现系统动态化管理行为,从而满足组织、储存工作的复杂性。(3)实现数据的合理处置。数据处理中包含多个方面的内容,如处置数据类型的确定,不是相应的数据类型可以拒绝加载;数据处置后储存问题,确保数据加密行为完成之后,不额外增加储蓄空间的使用。对文献检索字段实施加密,确保索引检索行为具备精准性。(4)避免影响医院医务人员的日常作业。需要合理控制加密技术的运行时间,尽可能在短时间内实现。针对目前阶段的医院信息系统而言,均衡延迟时间的范围应该控制在0.1秒左右。随后实现医院医务人员的日常工作内容的稳定性,在进行数据录入、修改及检索行为时,应该具备相应的透明性,可以暂时忽略数据加、解密等方面的问题。(5)基于不同层面完善数据库加密行为。

2.2 医院信息系统的数据加密设计应用

结合上述五点内容的加密方式融入到医院信息系统中后,加密及解密计算行为可以直接放置到客户端后面进行,其最主要的优势在于不需要加重数据库就可以实现内网数据传输加密,但是其缺点在于存在一定局限性。不过由于医院的信息系统具备自身特征,导致很多在其余行业没有发生的问题在医疗信息系统中发生了,此外因医院自身环境的特殊性,使得医院信息系统在发展与开发过程中遭遇困难。在医院信息系统的基础上结合数据加密技术设计,提升系统安全性与可靠性的技术上,需要落实下述几项行为:医护人员进入系统之前需要实现两级安全控制(可通过用户名及密码实现用户身份认证);避免信息拷贝行为,可以通过对各科室客户机安装加密卡等硬件的方式确保其安全性;实施安全数据抽取行为,目前现存的数据抽取方式包括密文方式卸出及明文方式卸出。数据机密技术能够有效确保医院信息系统不被黑客袭击,出现数据流失或损坏等不良现象,即使被窃取之后也无法获取加密后的信息数据,大大提升了系统的安全性,促使医疗行为能够顺利、安全地实施。

3 结束语

综合全文内容,医疗信息化是国家实现信息化过程中极其重要的组成部分,社会医疗水平的提升从某种意义上来看与医疗信息化存在紧密关联。数据加密技术是一种新型的现代化技术,与医院信息系统结合的过程中,强化了医院信息系统的安全性,不过在这一过程中需要注重信息系统自身安全系统的安全性、系统使用人员的水平、系统外部安全情况等等。因此笔者建议,因为医疗行业自身的特殊性,在设计信息系统加密技术的过程中可以略微放松人员风险方面的设置,当然这一内容还需要更多专业学者进行研究,促使国内医院信息系统更加完善、安全。

摘要：医院信息系统作为医疗信息化的重要构成,其安全性是医院的首要任务,而其中的数据加密技术则是主要研究目标。本文从医院信息系统发展现状出发,简述了数据加密技术的内容,最后提出了医院信息系统下的数据加密技术设计。希望本次研究能够促使国内医院信息系统发展更加完善。

关键词：数据加密,医院,信息系统设计,研究

参考文献

[1]杨新光,郭江博,张超,田玉兔,蒋昆.大型医院IT运维及资产管理平台设计与应用[J].中国医疗设备,2016.

[2]陈能太,李世杰,韩周礼.医院信息系统与医保信息系统接口的实现[J].中国医院管理,2016.

加密系统设计 篇8

1 Logistic映射和帐篷映射

为增强算法的保密性和安全性,利用Logistic映射和帐篷映射来作为两个混沌发生器,产生混沌序列对明文进行交替加密。

(1) Logistic映射是一个一维映射,其动力学方程为:

undefined

式中,0≤xn≤1,且当3.569 945 6<μ≤4时,Logistic映射呈现混沌状态。

(2) 帐篷映射是一个二维映射,其定义为:

undefined

式中,0<α<1。

该映射是混沌的,并具有均匀的分布函数[1],文献[2]提出了一种二维混沌映射——平面方体上的帐篷映射,并证明了该映射产生的序列是混沌的,具有均匀的分布函数和良好的相关性。

设I0=[0,1]×[0,1]为平面上的单位方体,定义平面上方体I0上的帐篷映射:

fα,β:I0→I0为:

undefined

其中,0<α<1,0<β<1。式(3)产生的迭代系统是混沌的,其输出信号在I0上遍历,并具有均匀的分布函数[2]。

2 算法的设计

在本算法中采用参数μ=3.876 2,α=0.4,β=0.6,初始密钥变为(x0,x′0,y′0)。为实现用Logistic映射和帐篷映射产生混沌序列对明文进行加密,本文选取的是迭代值小数点后第4,5,6位有效数字组成的整数N(0

算法步骤如下:

(1) 输入初始值x0,x′0,y′0。

(2) 把x0,x′0,y′0用Logistic系统迭代1 000次,得到xi,x′i,y′i。

(3) 读取明/密文。

(4) 若N<500,则Logistic映射迭代5次;否则,帐篷映射迭代5次。然后,对迭代产生的结果取第4,5,6位有效数字组成整数,并对256取余得到混沌密钥。

(5) 将混沌密钥字节与明/密文字节进行异或运算,得到密/明文字节。

(6) 判断加/解密完毕否。若加/解密完,则退出;否则转(3)。

算法的流程图如图1所示。

3 算法的软件实现

软件的设计基于Windows XP平台,Visual C++ 6.0开发环境,具体的加密和解密过程为:选择需要加密或解密的文件后,在口令对话框中输入9个字符的加密或解密口令,软件根据字符串自动生成密码序列,执行加密或解密操作,并可以保存加/解密后的文件。

在软件实现时,其中一个很关键的技术是如何将用户输入的口令(或称为密码)转换成加密系统的密钥并且转换是惟一的。本软件中,加密口令由9个字符构成,下面介绍如何将加密口令映射成初始密钥(x0,x′0,y′0),其中x0,x′0,y′0的精度取为double型。

设有一为9个字符的口令字符串s=p1p2p3p4p5p6p7p8p9,将该字符分成s1=p1p2p3,s2=p4p5p6,s3=p7p8p9。将s1,s2,s3中的每个字符转换成ACSII值,考虑到计算机中可打印的字符的ACSII码值是[32,126],因此将字符串的字符看作是[32,126]上的整数。其中每个整数占3位,不足3位的在前面补0,然后连接起来拼成(0,1)上的实数(精度为10-9),就可以作为初始密钥(x0,x′0,y′0)。

例如:口令字符串为s=2#desk+!-,分解字符串s1=2#d,s2=esk,s3=+!-,则按照上面的转换规则得,x0=0.050 035 100,x′0=0.101 115 107,y′0=0.043 033 045。即字符串s1对应Logistic映射的迭代初始值x0,而s2和s3分别对应帐篷映射的迭代初始值x′0和y′0。

图2就是本程序的界面。

该程序不仅仅可以对文本进行加/解密操作,也适用于其他所有类型的计算机文件,我们还特别针对BMP图像文件的加/解密做了专门处理。

BMP图像由位图文件头、位图信息头、调色板(若是真彩色则没有调色板)和图像数据4个部分组成。程序只对BMP图像中图像数据这一部分进行处理,这样不仅可以起到加密作用,也可以直接浏览加密后的图像效果。

实际上,对其他格式的图形文件,甚至声音、视频等类似结构的文件,也可以如此处理。而对于其他类型的文件(文本文件除外),是把整个文件进行加密处理,从而改变了文件结构。实际上对一些类型的文件也没有必要保持文件结构,因为数据在加密处理后改变了,即使保留了文件结构,最终运行时也只会得到错误的提示。

4 算法的仿真结果

以BMP图像为例,对像素值为512×384的图像进行加密和解密实验,得到的加密图和解密图如图3所示。

5 算法的性能分析

5.1 密钥敏感性分析

一个好的图像加密方案应该具有大的密钥,这样攻击者将不能通过穷举攻击来解密图像。同时,加密图像又必须对密钥敏感,以抵抗差分攻击。从上面对BMP图像进行加密和解密的效果可以得知,即使初始密钥中的一个变量有10-9的微小差异,也根本得不到原始明文的任何有关信息。此外,如果使用不同的初始密钥对同样的明文进行加密,那么得到的密文也应是完全不同的。图4(b)就是密文对密钥的敏感性测试。测试结果为图3(b)和图4(a)约有99.536%的不同。这就达到了所谓“雪崩效应”的效果。

5.2 初始密钥强度分析

初始密钥为(x0,x′0,y′0),其密钥空间最大为1045,而现有的56位DES加密算法,具有的密码组合为256。对它们取以10为底的对数可得,45>56log 2⧋17。同样道理,只要保证帐篷映射是混沌的,帐篷映射的参数μ,α,β也可算作初始密钥,即初始密钥为(x0,u,x′0,y′0,α,β),这样,密钥空间最大为1090。由此可见,此算法的密钥空间是很大的。另外,我们规定的密码串的位数为9个字符,由于可供使用的ASCII字符集最多有95个,则口令密钥空间为959。假如密码分析人员采用穷举方法以1 000 000次/s的速度强制攻击加密文件,需要大约19 985年,这实际上是很难破译的。

5.3 加/解密速度分析

理论上,由于本算法采用了Logistic映射和帐篷映射,其动力学方程简单,计算机处理的都是简单的基本运算,其加密速度与单纯Logistic映射加密算法的加密速度相当。

实际测试得,加/解密一个大小为142 MB的影视文件,Logistic映射加密算法需要24 s,而交替混沌序列加密算法需要56 s。可见,其加密速度与单纯Logistic映射加密算法的加密速度在一个数量级上。

6 结 语

通过以上对该算法的仿真分析可知,此算法取得了很好的加密和解密效果,所产生的序列具有非常大的密钥空间,具有很好的加密强度和运算效率。由此得出的结论是,采用Logistic映射和帐篷映射的复合混沌系统,其迭代过程不仅具有对初始条件的敏感性,而且具有依照复合序列选择迭代函数的灵活性,因此迭代过程还具有一定的随机性,是构造密码体系的理想工具。

摘要：为了使混沌加密算法具有较高安全性的同时又具有较好的运算效率,提出了基于Logistic映射、帐篷映射产生两个混沌密码序列,然后对读取的明文串进行加密的算法。采用Logistic映射和帐篷映射的复合混沌系统,其迭代过程不仅具有对初始条件的敏感性,而且具有依照复合序列选择迭代函数的灵活性,因此迭代过程还具有一定的随机性,是构造密码体系的理想工具。结果表明,该算法所产生的序列具有非常大的密钥空间,具有很好的加密强度和运算效率。

关键词：混沌,明文,密文,Logistic映射,帐篷映射,混沌加密

参考文献

[1]饶妮妮.一类混合混沌序列及其性能分析[J].电子科技大学学报,2001,20(2):115-119.

[2]李一兵,楼品,李彬.一种新的复合混沌扩频序列[J].哈尔滨工业大学学报,2001,22(3):75-79.

[3]袁赣南,秦红磊,来德胜.基于平面方体上帐篷映射流密码的构造[J].计算机工程与应用,2002,38(13):124-126

[4]Mao Y B,Chen G.Chaos-based Image Encryption.Hand-book of Computational Geometry for Pattern Recognition.Computer Vision,Neurocomputing and Robotics,Springer-Verlag New York,2003

[5]Kristina Kelber.General Design Rules for Chaos-based En-cryption Systems[J].International Symposium on NonlinearTheory and its Applications,2005(1):465-468

[6]高飞,李兴华.基于混沌序列的位图像加密研究[J].北京理工大学学报,2005,25(5):447-450

[7]郭建胜,金晨辉.对基于广义猫映射的一个图像加密系统的已知图像攻击[J].通信学报,2005,26(2):131-135

[8]孙百瑜,高俊山,吴宏伟.基于置换乱序的混沌加密算法[J].自动化技术与应用,2005,24(2):7-9

[9]高昊江,张宜生,梁书云,等.一种新的混沌加密算法及其应用[J].小型微型计算机系统,2006,27(4):655-657

FC加密卡密钥管理系统设计与实现 篇9

出于对加/解密性能的考虑,目前大多采用实现方法相对简单的对称加密体制。由于加/解密都要使用相同的密钥,因此密钥的存储和备份便成了该加密体系中最薄弱的环节。用专门的硬件设备来存储和分享密钥,就可以极大地提高密钥系统的安全性。目前流行的USB Key是一种在高安全领域内广泛使用的标准USB接口的设备,能够对用户密钥提供多层的安全保护。使用USB Key除了可以保证用户密钥信息的安全性以外,同时也在管理上以一种“硬件持有物”的方式,使得用户对虚拟的“数字身份”有了物理上的掌握与控制。此外,为防止一些特权用户,如管理员私自复制密钥,一个较好的解决办法是研制多密钥系统。使用一套密钥加密数据,使用另一套密钥对管理员进行身份识别。管理员绝不会真正看到用来加密数据的密钥,从而降低了系统风险。对SAN网络而言,完善的密钥管理系统的研究与开发是一个十分重要的课题。

本文在对称加密体制的基础上,将USB Key用于密钥存储和身份认证,结合密钥共享和多密钥加密技术,设计并实现了一种FC加密卡的密钥管理系统,较好地实现了密钥的产生、分发、备份和恢复功能,满足了FC-SAN用户数据存储的安全需要。

1 FC加密卡的密钥管理设计

为避免系统过于复杂,且实现起来更加简单容易,在实际使用的系统中,根据用户要求和系统规模采用使系统结构更加紧凑的二种密钥。一种是主密钥,用于保护其他密钥;另一种是工作密钥,用于保护数据。密钥采用了三层结构,如图1所示。其中,每一层密钥用于对下一层密钥进行加密保护。同时,为提高安全性,加密算法采用早已集成到硬件中并得到广泛应用的AES[2]-256算法。当然,对数据的加密应该是连贯的隔离操作,纯软件的加密系统难以做到,因而将采用单独的硬件安全设备,即利用位于FC HBA卡和交换机FC接口之间的加密卡完成对进出磁盘阵列的SCSI数据的加解密。另外,为确保对用户身份的验证,需要向用户分发认证密钥,密钥的存储采用安全性很高的USB Key[3]。

1.1 密钥的产生和分发

密钥管理中心的密钥生成模块采用基于混沌理论的密钥生成方法来实现。具体描述如下:

混沌对非线性方程初值敏感,由混沌获得的随机序列可确定数学形式理论上不可预测的混乱结果。表现混沌现象的标准虫口方程(Logistic一维迭代方程)为:

在非线性作用下,当μ从0趋向4时,其动力学性态的复杂性逐步增加,即从定态变为周期性态,通过周期倍化级联而到达混沌性态,μ=3.58左右,这种分裂突然呈现崩溃之势,周期性态就变成混沌,虫口的涨落再也不会确定下来,即虫口的逐年变化完全变为随机。在具体应用中取μ=3.6,利用式(1)生成224位密钥,随后每7位插入一位奇偶校验位(这里使用奇校验),从而生成最后的256位的AES密钥。而初始种子通过对当前系统时间加以简单的线性变换得到。用此方法可以产生工作密钥,密钥的产生均由密钥管理中心(KMC)自动完成。

在存储加密设备中,存储加密的安全性与处理性能的瓶颈主要在密钥的管理与加/解密算法上。由于加解密算法的性能一般是固定的,不容易改变,所以性能的瓶颈主要存在于密钥的管理方面。因此,安全与性能是一对需要解决的矛盾,当强调高安全则会降低性能,而当强调高性能则会降低安全性。为了平衡设备的安全性与性能,本方案采用基于LUN(逻辑单元号)的加密技术。此技术将所有的LUN分成多个加密区,每个加密分区使用一个不同的密钥进行加密,这样存储加密过程中只需要有限多个密钥就能实现对存储子系统中所有数据块的加密。每个密钥长度为32 B,工作密钥保存在加密卡上,使用RAM很容易存储。这样一方面减少了密钥表的大小,加快了密钥的查找速度,提高了数据加密的性能;另一方面由于采用了多个密钥对存储子系统的多个区域进行了加密,与单一固定密钥的方法相比,提高了加密数据被破解的难度,增强了数据加密的安全性。为进一步确保密钥安全,可以用AES-256算法以软件方式对工作密钥加密,并将其连同主密钥、认证密钥一起存入USB Key中,利用用户PIN确保了其安全。

1.2 密钥的备份和恢复

密钥管理中心完成密钥备份和恢复过程。在密钥备份过程中采用秘密共享方案对主密钥、工作密钥、认证密钥进行保存。在密钥管理体系模型中,秘密共享理论主要用来保护敏感密钥。采用秘密共享方案使得原来应该由一个人承担保密安全的责任分摊到若干个个体上,并且减少了密钥丢失的风险。(t,n)门限秘密共享方案将一个秘密由n个参与者所共享,只有t个或t个以上的参与者可以联合重构该秘密,而(t-1)个或更少的参与者不能得到该秘密的任何信息。本系统采用文献[5]中提出的基于Lagrange插值多项式的(t,n)门限方案,实现对管理员方密钥的安全存储。其中t是重构密钥所需的密钥影子个数,n为产生的影子总数。选择一个随机素数p,使之比可能的影子数目和最大可能秘密都大,但需保存。共享密钥K时,需构造一个次数最多为t-1的任意多项式:

aj(1燮j燮t-1)

为秘密地随机选取的元素,每个参与者对应a(x)所确定的曲线上的一个点(xi,yi),1≤i≤n,并存于n个USB Key中,其中xi应互不相同。当获取其中t份密钥影子时,(xm1,ym1),(xm2,ym2),…(xmt,ymt),其中m[1,n],由插值公式:

将式(1)中K=a(0)代入式(2),有:

对用户方密钥采用备份机备份,备份流程如图2所示。

密钥恢复分用户方和管理员方密钥恢复。

(1)用户方存储在USB Key内的密钥恢复流程:发出密钥恢复申请→进行身份认证→认证成功→从密钥备份机内调出密钥再分发给用户USB Key。

(2)管理员方密钥的恢复:由于加密密钥在存储备份时采用秘密共享方案,所以在恢复时亦需要t个以上管理员持有的密钥影子才可以恢复。密钥恢复流程:发出密钥恢复申请→进行t个管理员身份认证→认证成功→t份子密钥恢复出密钥再分发到管理员USB Key。

1.3 身份认证

基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key可以存储用户的认证密钥,利用USB Key内置的密码算法实现对用户身份的认证。在登录认证过程中通常是采用基于冲击/响应的认证模式,同时还设置了用户PIN码的最大可重试次数。当PIN码连续输入错误达到最大可重试次数时,将会自动死锁,这样就成功地防范了穷举攻击方式。当PIN码被锁死时,需要KMC重新进行解锁。

在实际的实现过程中,需要在服务器端加入登录认证程序模块,并且要获取USB Key中存放的用户身份ID、读写权限等信息,以便FC加密卡根据该ID号进行访问控制。登录认证模块的关键流程如下:

(1)用户插入USB Key,输入用户ID、口令,向服务器发出登录认证请求。

(2)服务器接到此请求后生成一个随机数R并传输给USB Key(此为冲击)。

(3)USB Key使用该随机数R、口令和存储在USB Key中的认证密钥进行HMAC-MD5(随机数R、口令、认证密钥运算并得到一个结果作为认证证据传给服务器(此为响应)。

(4)与此同时,服务器也使用该随机数R与存储在服务器数据库中的该客户认证密钥进行HMAC-MD5(随机数R,口令,认证密钥)运算。如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户,否则返回第1步。

(5)保存用户ID、读写权限等重要信息,进入系统。

其实现流程如图3所示。

2 加密卡密钥管理系统实现方案

本密钥管理系统主要由密钥管理中心、FC加密卡和USB Key三部分实现。系统总体框图如图4所示。

密钥管理中心是单独的一套系统,需由专人进行维护管理。密钥管理中心主要由密钥产生、密钥分发、密钥备份、密钥恢复等几个功能模块构成。密钥管理中心产生主密钥、被加密的工作密钥,以及用户身份认证密钥和访问控制信息等,同时产生存储加密设备管理员用户的认证信息等;然后将密钥、身份认证信息等分发到USB Key中,并对所有密钥信息进行备份。一个密钥管理中心可以管理多个存储加密设备的密钥。采用密钥和存储加密设备相分离的管理方式,即使存储加密设备丢失,只要USB Key保存完好,存储加密设备都是不可工作的,这样就保证了存储池中加密数据的安全性。KMC备份和恢复工作流程如图5所示。FC加密卡的加密密钥采用USB Key以密文的形式注入,配合主机输入的解密密钥将工作密钥解密。根据主机设定的控制策略,对进出磁盘阵列的有效数据进行加解密。FC加密卡作为一种加密设备,为使用该加密卡的磁盘阵列提供加密服务。用户的权限受到主机的控制。非授权用户无法读或写相关的加密文档。磁盘的丢失也不会造成数据的丢失。密钥的丢失会造成数据可能的失密,所以应妥善保管。用户登录采用USB Key加口令认证方式。

FC加密卡包含一块加密卡硬件和相应的驱动程序及设备管理程序。加密卡通过PCI-E接口连接到计算机主板。设备管理程序完成设备状态检测、显示和日志记录等功能。同时,密钥的注入也由设备管理程序来完成。

系统工作流程如下:

(1)KMC向管理员和用户分发USB Key并做好相关备份工作。

(2)管理员启动设备时,要求必须插入管理员USB Key,并输入用户名和口令进行身份认证,通过认证后设备才能启动。设备在启动后要求插入存放密钥的USB Key,将密钥注入加密卡。主机将USB Key中的工作密钥传送给加密卡通信控制器写入,经过解密后保存在RAM中,然后开始第二次密钥注入过程。两次传输的密钥一致后写入密钥/控制表,完成后返回确认信息,加密卡即可进入正常工作模式,否则加密卡处在监听转发模式,密钥注入过程完成。在此期间,管理员无法获取密钥任何信息。密钥置入成功后,必须拔下存放密钥的USB Key。当加密卡掉电后里面的所有密钥信息丢失,需要重新注入密钥。FC加密卡中密钥的注入流程都是通过FPGA实现的,由于流程在FPGA内部实现,所以具有很高的安全性。

(3)用户插入用户USB Key,并输入用户名和口令进行身份认证,通过认证后将访问控制表注入加密卡,然后设备才进入正常工作状态,此时用户可以进行正常的磁盘文件访问。

(4)加密卡查询设备ACL(访问控制列表),判断用户是否有相关权限(读、写),最后再将具有权限的用户请求发送给存储加密功能模块对数据净荷加解密,将处理后的数据转发出去,不允许的访问请求将被阻断。

3 分析与展望

(1)加密数据,尤其在SAN对于大数据量的加密,用软件加密尽管实现起来相对容易,但是会加重服务器的工作负荷,影响系统整体性能。采用硬件安全设备加密,由于很多算法都是面向bit串操作,因而实现速度快。试验表明,该系统能达到较高的数据吞吐量,同时具备向更高数据吞吐量升级的能力。硬件加密安全性好,相对而言,软件不可能实现物理保护,攻击者可以利用各种调试软件来修改算法。

(2)采用USB Key进行身份认证与密钥存储,由于它采用软硬件相结合、一次一密的强双因子认证模式,认证服务器与客户端之间的数据往来每次都不相同,如黑客简单截获到认证过程的数据仍无法在网络中冒充客户端。算法采用的是值得信赖的MD5 HMAC算法,这样,算法、密钥、运算三个因素都是安全的,从而确保了整个认证过程的安全。

(3)对密钥更新,目前的设计是由KMC设立专门的密钥数据库,当需要吊销或销毁旧密钥时,由KMC进行相关登记,并分发新的USB Key;然后由加密卡自动完成更新。但是牵涉到如何更新用旧密钥加密的数据等一系列问题。由于旧数据的更新也可由加密卡完成,所以完全可以利用某种控制算法来自动启动数据的更新,这样可以省去很多问题。由于密钥更新算法研究也是系统安全性得以提高的一个很重要方面,所以可把工作重点转到密钥更新算法研究。

参考文献

[1]王峰.网络存储在互联网行业的应用[J].中国传媒科技,2007,10:46-48.

[2]NIST.FIPS PUB197:Advanced Encryption Standard(AES)[S].http://csrc.nist.gov/publications/,2001.

[3]严波,郭莉,潘棕强.基于USB Key的身份鉴别技术研究与应用[J].高性能计算技术,2005(3):36.

加密系统设计 篇10

1基于二维Baker映射的置乱方案

置乱算法的原理是通过有限次的矩阵变换打乱图像像素矩阵的位置。使图像变得不可识辨，从而达到加密的目的。本文采用二难Baker映射进行图像置乱算法。

一般的Baker映射定义为[7]Bg:I→I。

其中，，且。该映射的两个Lyapunov指数分别为：，因此该映射是混沌的。这里取，因为时Baker映射是一个保面积映射，而且是一一映射。该影射的实质是先在水平方向上对数据进行分割，然后对数据进行拉伸，将之顺序排列在单位面积内。在本文的图像置乱方案中利用(1)式来置乱图像像素点的位置：将原始明文图像的像素坐标(i,j)作为式1的初值(x0,y0)，用α,λa及迭代次数k作密钥，生成的迭代结果(xn,yn)作为原图像点(i,j)处像素置换后的新位置(i',j')，重复上面的步骤直到所有的像素点均被置乱，置乱后的图像为I1。

2 Liu混沌系统及图像替代加密方案

最近，刘崇新等人提出了一种新的混沌系统———Liu系统[8]，其数学表达式为：

其中：a,b,k,c,h为系统参数，当a=10,b=40,k=1,c=2.5,h=4时，系统2处于混沌状态。利用数值分析中的变步长四阶五级Runge-Kutta-Felhberg算法，求解该混沌系统微分方程，可以得到系统状态的演化图及各相平面的混沌吸引字。图1是系统初值为(2.3,2.5,38)，系统在时间区间[0,70]范围内演化的相空间状态图及各相平面混沌吸引子状态图，图1的状态演化轨迹及各相空间的混沌吸引字由许多离散点组成，展现了该非线性混沌系统复杂的混沌特性。

(a)状态演化三维视图(b)x-z相平面混沌吸引子(c)x-y相平面混沌吸引子(d)y-z相平面混沌吸引子

只经过置乱变换，图像中的像素位置得到了改变但图像中各像素值并没有发生变化，图像的直方图得不到改变，不能有效地掩盖明文的统计特性，从而不能有效地抵御统计及预测分析。故本方案中设计如下的像素替代加密方案。

设I1(i,j)(i∈[1,M],j∈[1,N])表示图像I1在(i,j)处的灰度值，I2为I1经过图像像素值替代变换后的密文图像，I2(i,j)(i<[1,M],j<[1,N])表示为图像I1中位置为(i,j)处像素点经过替代加密后所得到的灰度值。

本文设计如下的像素值替代加密方案：

Step1：在I中随机取三个像素点作为辅助密钥，设三个像素点的灰度值为Ia,Ib,Ic。

Setp2：给定Liu混沌系统的三个初值x'0,y'0,z'0，并将这三个初值分别与三个像素点的灰度值进行异合运算，即x0=x'0Ia,y0=y0'Ib,z0=Z'0Ic。以x0,y0,z0作为Liu混沌系统的初值并生成三个M*N长度为{xn},{yn},{zn}的混沌序列。

Step3：将{xn}序列中的每一个值经过处理后得到一个一字节的无符号整数密钥序列{key1n}，其处理方法为key1n=(xn×108-xn×107-xn×106)Mod256。用同样的方法利用{yn},{zn}生成两个无符号整数密钥序列{key2n},{key3n}。将{key1n},{key2n},{key3n}三个序列作为替代加密的密钥序列。

Step4:I1(i,j)与密钥key1(i*(M-1)+j)进行异合，得到一次加密后的密文I'2(i,j);利用I'2(i,j)与密钥key2(i*(M-1)+j)加密得到密文I''2(i,j)，然后再利用密文I''2(i,j)与密钥key3(i*(M-1)+j)进行加密得到最后的密文I2(i,j)。按照同样的方法将I1中各像素点的像素值进行加密，完成替代加密，输出的密文图像I2。

为了达到更好的加密效果，本方案采用置乱与替代进行迭代加密。迭代次数k也可以作为密钥。将I2作为原始图像再利用上面的置乱及替代加密方案进行加密，如此迭代k次。由于Baker映射的混沌特性，当迭代次数k足够大时，任意两个相邻的像素点，它们的新位置将会产生极大的分离;又由于该映射是一一映射，不同位置的明文像素置乱到密文图像空间的位置不会重叠,通过K轮置乱后原始图像的全部像素将被随机而均匀地置乱到密文图像的整个像素空间。而且在替代算法中，引入了明文图像作为辅助密钥，且加密方案中像素位置置乱和像素值替换之间产生关联,即对两个加密步骤统一进行多轮迭代,每一轮迭代都会进行位置置乱和像素值的替代，使得方案中的加密数据流不只是依赖于Baker映射和Liu混沌系统，同时也与明文相关，这样整个算法的已知明文攻击能力得到了很好的增强。

该方案框图如图2所示。

3实验结果及分析

取256×256Lena灰度图像进行实验，Baker映谢参数,α=0.52,λa=0.68,k=10,[x0,y0]=[0,1];Liu混沌系统初值为：x0'=2.200000000000,y0'=2.4,z0'=38;p=2,q=3,n=12;选择I(1,12),I(26,3),I(200,253)作为辅助密钥，实验采用Matlab7作为平台，得到下面的实验结果如图2所示。

(1)加密效果

图3(b)为经过该方案加密后的密文图像，由图可知图像已杂乱无章，完全看不出原始图像;图3(c)为正确解密后的图像，该图像与原始明文图像比较，看不出区别。这说明本算法加密效果良好。

(2)密钥敏感性

一个好的密码算法应该对密钥非常敏感，对密钥做任何细小的修改，应该得到不同的加密图。如果拿与实际密钥相近的密钥去解密，不可能得到原始图像。图3(d)是Liu混沌系统初值相差10-15时得到的解密结果。可见，仅当一个初值密钥微小的改变，将导致解密结果截然不同于正确结果。改变Liu混沌系统其它两个初值均可得到相同的实验结果。实验表明，密文对密钥具有高度的敏感性。

(3)密钥空间

一个好的算法密钥空间应该足够在，才能抵御穷举攻击。本文提出的方案基于两个混沌系统的复合混沌系统，复合混沌系统保持了所有子系统的混沌特性，比单个子系统的动力学行为复杂得多，这样算法的安全性能更高。将两个系统初值作为密钥，采用精确到小数点后15位的双精度实数表示，该算法的密钥空间为1015×1015×1015×1015×1015=1075≈2249，所以密码系统足以抵抗现有硬件条件下的穷举攻击。

从图3(e),3(f)可知，原始明文图像的像素值分布数目是不均匀的，而加密图像的像素值在[0,255]空间中均匀分布，密文的统计特征完全不同与明文的统计特征，明文的统计特性被扩散到了密文的均匀分布中，大大降低了明密文的相关性。这说明加密算法具有良好的抵抗统计分析攻击的能力。

(4)明文敏感性

一个好的算法应试对明文高度敏感，即明文图像任何一微小的变化，密文图像会产生巨大的变化。图3(g)为将明文图像中I(123,125)的值118改为119明文图像的差值，由图2(h)可以看出，明文图像微小的变化，导致密文图像巨大的变化。可见写文对明文非常敏感，该方案可以有效的抵抗已知明文攻击。

(6)相邻像素的相关性

为了检验置乱算法对图像相邻像素的相关性的破坏程度，从图像中随机选取全部水平方向相邻像素对，全部垂直方向相邻像素对和部分对角方向相邻像素对，用如下公式定量计算相邻像素的相关系数[9]:

其中，x和y分别表图像中相邻2个像素的像素值，γxy为图像相邻两个像素的相关系数

图2(i)、图2(j)描述了水平方向明文和密文相邻像素的相关性，而表1则列出了按三种方向计算所得的相关系数结果。由结果可知，原始明文图像的相邻像素是高度相关的，相关系数接近于1。而密文图像的相邻像素相关系数接近于0，相邻像素已基本不相关，说明明文的统计特征已被扩散到随机的密文中。

(7)执行效率

表2为在Matlab7.0,Intel E5200,2M二级缓存，2.5G的主频，2G内存，Windows XP操作系统平台中，每个分组采用各种不同格式的图片进行4000次实验后算法所用平均时间列表。由表2可知该算法加密及解密时间非常短，适合数字图像加密算法的适时性要求。

4结束语

本文提出来了一种基于Baker映射及Liu混沌系统的复合混沌图像加密方案。复合混沌系统保持了所有子系统的混沌特性，比单个子系统的动力学行为复杂得多，该方案具有以下主要优点：(1)像素的替代与置乱基于复合混沌系统加密，增强了方案的安全性;(2)密文具有在整个取值空间均匀分布的特性;相邻像素有近似于0的相关性;(3)算法密钥空间大，密钥基于两个混沌系统的初值，密钥空间为2249，即相当于二进制的249比特密钥,足以抵御现有条件下的穷举攻击。(4)引进辅助密钥，不但扩大了密钥空间，而且使得密钥与原始图像相关，加密方案对明文具有敏感性，加大了破译难度;(5)加密方案中像素位置置乱和像素值替换之间产生关联,即对两个加密步骤统一进行多轮迭代,每一轮迭代都会进行位置置乱和像素值的替代，使得密钥流不但是与混沌系统的初值相关而且与明文相关，增强了抵抗已知明文攻击能力;(6)算法的时间开销小，因为本算法是基于混沌迭代运算，运算速度快，时间少，适用于网络通信的实时图像加密。实验结果及理论分析表明本方案具有较强的抵御穷举攻击、统计攻击、已知明文攻击能力，安全性高等良好的密码特性。

图像的解密过程为加密过程的逆过程，即对密文图像进行反替代操作，然后进行反置乱操作，迭代k轮，得到解密后的原始图像。在此不再详述。

摘要：该文提出了一种利用复合混沌系统加密图像的方案,该方案采用Baker映射对图像像素位置进行置乱;Liu混沌系统对置乱后的图像像素值进行替代加密;置乱与替代迭代k轮。解密过程是加密过程的逆。实验结果表明该方案具有良好的密码特性:密钥空间大、安全性高等优点且算法的运行时间短,加密图像像素值具有类随机均匀分布特性,相邻像素具有零相关特性,且密钥与明文相关。

关键词：混沌,图像加密,Baker映射,Liu混沌系统

参考文献

[1]Dang P P,Chan P M.Image encrption for secure Internet multimedia applications[J].IEEE Transcations on Consumer Electronics,2000,46(3):395-403.

[2]张瀚,王秀峰,李朝晖.一种基于混沌系统及Henon映射的快速图像加密算法[J].计算机研究与发展,2005,42(12):2137-2142.

[3]吕宁,孙广明,张宇.基于多混沌系统的图像分组密码设计[J].计算机应用,2008,28(9):2263-2266.

[4]董斌辉,周健勇.一种混沌流密码算法设计与实现[J].计算机工程与应用,2009,45(34):124-126,154.

[5]WANG Shi-hong,KUANG Jin-yu,LI Jing-hua,et al.Chaos-based communications in a large community[J].Physical Review E-Sta-tistical,Nonlinear,and Soft Matter Physics,2002,66(6):1-4.

[6]琚新刚,郭海鸥,刘洋.基于复合混沌加密的虹膜识别安全性研究[J].河南师范大学学报(自然科学版),2009,50(5):74-76.

[7]秦明甫.基于混沌理论的数字图像加密研究[D].重庆大学硕士学位论文,2009.

[8]Liu chongxin,Liu Tao,Liu Ling.A new Chaotic Attractor[J].Chaos,Solitons and Fractals,2004,22(5):1031-1038.