1、總第238期2009年第8期計(jì)算機(jī)與數(shù)字工程Computer&Digital EngineeringVol.37No.8124基于Linux網(wǎng)絡(luò)系統(tǒng)的安全性能的研究3任周(湖南涉外經(jīng)濟(jì)學(xué)院計(jì)算機(jī)與科學(xué)技術(shù)學(xué)部長(zhǎng)沙410205摘要隨著互聯(lián)網(wǎng)的迅速推廣,Linux在各方各面都得到了廣泛的應(yīng)用,同樣也帶來(lái)了一系列的安全性能問(wèn)題。通過(guò)對(duì)Linux網(wǎng)絡(luò)系統(tǒng)常被攻擊的方式進(jìn)行研究,分析Linux下最主要的兩種關(guān)鍵安全技術(shù),并且給出了兩者相結(jié)合的解決方案。關(guān)鍵詞防火墻入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)安全DoS中圖分類號(hào)TP393.08Securit y Resea rch Based on L i nux Netw

2、or k Syste mRe n Zhou(Dep art me nt of Comp uter Scie nce,Hunan Inter national Economics U niversity,Cha ngsha410205Abs t rac tWit h t he rapid p romotion of inter net,L inux has been widely used in many asp ects,a nd brought a series of security perf or mance questions t oo.Through carrying on rese

3、arch t o t he way t hat L inux networ k syste m is of te n at2 tacked,a nalyze two kinds of main key security p ractices under L inux,a nd p rovide t he solution t hat t he two combine t o2 get her.Ke y w ordsfirewall,int rusion2detection system,t he security of networ k,De nial of ServiceClass Nu m

4、 berTP393.081引言隨著互聯(lián)網(wǎng)的迅速推廣,Linux作為一個(gè)現(xiàn)代的操作系統(tǒng),正在各領(lǐng)域中得到了廣泛的應(yīng)用。它在服務(wù)器、嵌入式等方面取得不俗的成績(jī),同樣在桌面系統(tǒng)方面也逐漸受到歡迎。Linux是一個(gè)開(kāi)放式的多用戶、多任務(wù)的操作系統(tǒng),它不僅繼承了Unix操作系統(tǒng)功能強(qiáng)大、性能穩(wěn)定的特點(diǎn),還在許多方面超越了Unix。人們可以在網(wǎng)絡(luò)上找到許多現(xiàn)成的程序和工具,這既方便了用戶,也方便了黑客,因?yàn)樗麄円材芎苋菀椎卣业匠绦蚝凸ぞ邅?lái)潛入Linux系統(tǒng),或者盜取Linux系統(tǒng)上的重要信息。由于Linux系統(tǒng)的諸多特性,使其在服務(wù)器和個(gè)人應(yīng)用以及企業(yè)開(kāi)發(fā)領(lǐng)域中的應(yīng)用越來(lái)越普遍,其系統(tǒng)的安全問(wèn)題也受到人們

5、的日益關(guān)注。2Linux網(wǎng)絡(luò)系統(tǒng)常被攻擊的主要方式如果要想更好的保護(hù)好Linux網(wǎng)絡(luò),使其免受黑客攻擊,就必須對(duì)黑客的攻擊方法、攻擊原理以及攻擊過(guò)程有著更深入、更詳細(xì)的了解。只有這樣,才能更有效、更具有針對(duì)性的進(jìn)行主動(dòng)防護(hù)。在Linux網(wǎng)絡(luò)系統(tǒng)中常被攻擊的方式主要有拒絕服務(wù)攻擊(Do S、中間人攻擊、IP欺騙和緩沖區(qū)溢出攻擊等。2.1拒絕服務(wù)攻擊Do S全稱是Denial of Service,目前已知的拒絕服務(wù)攻擊有好幾百種,它是最基本的入侵攻擊手段,同時(shí)也是最難對(duì)付的入侵攻擊之一。它攻擊的具體表現(xiàn)方式主要有以下幾種:1Ping Flood3收稿日期:2009年3月27日,修回日期:2009

6、年4月17日作者簡(jiǎn)介:任周,男,碩士研究生,助教,研究方向:網(wǎng)絡(luò)安全,嵌入式系統(tǒng)。第37卷(2009第8期計(jì)算機(jī)與數(shù)字工程125由于有些操作系統(tǒng)(如Windows9X傳輸報(bào)文的長(zhǎng)度有限制,如ICM P包規(guī)定的上限為64K B,一旦發(fā)送者產(chǎn)生畸形報(bào)文即長(zhǎng)度超過(guò)64K B的報(bào)文,就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤,導(dǎo)致接收方的TCP/ IP堆棧崩潰。目前絕大多數(shù)的操作系統(tǒng)如U nix、Linux、Solaris、Mac OS都具有抵抗一般Ping Flood攻擊的能力。2S YN flood一臺(tái)機(jī)器在網(wǎng)絡(luò)中通訊時(shí)首先需要建立TCP 握手,標(biāo)準(zhǔn)的TCP握手需要3次包交換來(lái)建立。一臺(tái)服務(wù)器一旦接收到客戶機(jī)的S YN

7、包后必須回復(fù)一個(gè)S YN/AC K包,然后等待該客戶機(jī)給它回復(fù)一個(gè)AC K包來(lái)確認(rèn),這樣才會(huì)真正的建立連接。然而,如果只發(fā)送初始化的S YN包,而不發(fā)送確認(rèn)服務(wù)器的AC K包會(huì)導(dǎo)致服務(wù)器一直等待AC K包。由于服務(wù)器在有限的時(shí)間內(nèi)只能響應(yīng)有限數(shù)量的連接,這就會(huì)導(dǎo)致服務(wù)器由于一直等待回應(yīng)而無(wú)法響應(yīng)其他機(jī)器進(jìn)行的連接請(qǐng)求。3Smurf攻擊一個(gè)簡(jiǎn)單的Smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping數(shù)據(jù)包來(lái)淹沒(méi)被害主機(jī)的方式進(jìn)行,最終會(huì)導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICM P應(yīng)答請(qǐng)求做出答復(fù),從而導(dǎo)致網(wǎng)絡(luò)阻塞,所以它比Ping Flood 的流量高出一或兩個(gè)數(shù)量級(jí)。而更

8、加復(fù)雜的Smurf則會(huì)將源地址改為第三方的受害者,最終導(dǎo)致第三方崩潰1。Do S常見(jiàn)的防范方法主要有兩種:一種是在攻擊發(fā)生前預(yù)防,另一種是當(dāng)發(fā)生攻擊時(shí)通過(guò)一定的手段恢復(fù)系統(tǒng)的正常服務(wù)的能力。對(duì)于攻擊前的預(yù)防工作,包括:盡可能的修正已經(jīng)發(fā)現(xiàn)的問(wèn)題和系統(tǒng)漏洞,以及通過(guò)包過(guò)濾及其它路由設(shè)置來(lái)禁止非法用戶的訪問(wèn)。而對(duì)于攻擊發(fā)生時(shí),則需要讓系統(tǒng)去釋放過(guò)載資源,并跟蹤和禁止攻擊者的訪問(wèn)。2.2中間人攻擊中間人攻擊一般是通過(guò)路由器來(lái)完成的,它先控制一臺(tái)路由器,然后竊取其IP包,并將其解開(kāi)后,再重定向或進(jìn)行替換2。對(duì)付這種攻擊的辦法是可以采用數(shù)據(jù)加密和使用IPV6協(xié)議。2.3IP欺騙攻擊IP欺騙攻擊則是利用T

9、CP/IP協(xié)議中不檢查返回地址的這個(gè)安全漏洞,從而達(dá)到攻擊網(wǎng)絡(luò)的目的。攻擊者利用這一點(diǎn),將能夠利用改變IP地址來(lái)掩蓋發(fā)出攻擊的地址3。2.4緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊的原理是向一個(gè)有限空間的緩沖區(qū)拷貝了過(guò)長(zhǎng)的字符串,覆蓋相鄰的存儲(chǔ)單元,以引起程序運(yùn)行失敗。由于自動(dòng)變量保存在堆棧中,當(dāng)發(fā)生緩沖區(qū)溢出時(shí),存儲(chǔ)在堆棧中的函數(shù)返回地址也會(huì)被覆蓋。這時(shí),發(fā)生溢出的函數(shù)就無(wú)法正常返回。在這種情況下,系統(tǒng)一般會(huì)報(bào)告“core dump”或“segment fault”。嚴(yán)重的是如果覆蓋緩沖區(qū)的是一段精心設(shè)計(jì)的機(jī)器指令序列,那么它就極有可能會(huì)通過(guò)溢出來(lái)改變返回地址,將其指向自己的指令序列,從而改變了該程序的

10、正常流程。這段精心設(shè)計(jì)的指令一般指向“/bin/sh”,所以這段代碼有時(shí)又被稱為“shell code”。通過(guò)這樣的溢出可以得到一個(gè)shell,但是如果被溢出是一個(gè)suid(超級(jí)用戶IDroot程序,那么得到的將會(huì)是一個(gè)root shell。這樣機(jī)器的控制權(quán)就將易手,此后系統(tǒng)就有可能會(huì)受到惡意的攻擊。3Linux中常采用的安全策略要保證Linux網(wǎng)絡(luò)系統(tǒng)的安全,我們首先可以考慮在Linux網(wǎng)絡(luò)系統(tǒng)中引入“防火墻技術(shù)”和“入侵檢測(cè)技術(shù)”這兩項(xiàng)關(guān)鍵安全技術(shù)。3.1防火墻技術(shù)所謂防火墻(Firewall就是指一個(gè)能夠?qū)?nèi)部計(jì)算機(jī)網(wǎng)絡(luò)與Internet相互隔離的屏障,它是由計(jì)算機(jī)硬件和特殊的軟件有機(jī)結(jié)

11、合而成,使內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)與Internet之間建立起一個(gè)安全網(wǎng)關(guān)(Se2 curity Gate2way,從而達(dá)到保護(hù)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)免受外部非法入侵者的訪問(wèn)4。因此使用防火墻系統(tǒng)的主要目的在于實(shí)現(xiàn)兩個(gè)或多個(gè)網(wǎng)絡(luò)間透明訪問(wèn),阻止非授權(quán)訪問(wèn)。防火墻的另一個(gè)重要作用在于使被保護(hù)網(wǎng)的入口點(diǎn)盡可能少的暴露出來(lái),從而有效地減少外部網(wǎng)對(duì)被保護(hù)網(wǎng)的非授權(quán)訪問(wèn)和惡意攻擊,并保護(hù)系統(tǒng),同時(shí)能更有效地統(tǒng)計(jì)記錄網(wǎng)絡(luò)流量及其它相關(guān)信息。防火墻技術(shù)根據(jù)防范的公式和側(cè)重點(diǎn)不同而分為很多類型,但就總體而言的話可以分成包過(guò)濾防火墻和代理服務(wù)器防火墻兩種。3.1.1包過(guò)濾防火墻數(shù)據(jù)包過(guò)濾(Packet Filtering技術(shù)是在

12、網(wǎng)絡(luò)層實(shí)現(xiàn)的,因此它可以只用路由器來(lái)完成。它在網(wǎng)絡(luò)層數(shù)據(jù)包進(jìn)行選擇,依據(jù)系統(tǒng)內(nèi)已經(jīng)設(shè)置的過(guò)濾邏輯,即訪問(wèn)控制表(Access Cont rol Table,ACL126任周:基于Linux 網(wǎng)絡(luò)系統(tǒng)的安全性能的研究第37卷來(lái)檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包的源地址和目標(biāo)地址,所用的端口號(hào)和協(xié)議狀態(tài)等因素,或者它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)5。數(shù)據(jù)包過(guò)濾是在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,因此跟應(yīng)用層無(wú)關(guān)。包過(guò)濾防火墻的工作原理如圖1所示。 圖1包過(guò)濾防火墻工作原理圖Linux 從1.1內(nèi)核開(kāi)始就已經(jīng)具有包過(guò)濾功能了,在2.0的內(nèi)核中采用ipfwadm 來(lái)操作內(nèi)核包過(guò)濾規(guī)則,在2.2的內(nèi)核中又采用了ipchai

13、ns 來(lái)控制內(nèi)核包過(guò)濾規(guī)則。而現(xiàn)在最新的Linux 版本則采用了一個(gè)全新的內(nèi)核包過(guò)濾管理工具iptables 。iptables 只是一個(gè)管理內(nèi)核包過(guò)濾的工具,而實(shí)際上真正來(lái)執(zhí)行的是netfilter 及其相關(guān)模塊。Netfilter 是Linux 核心中的一個(gè)通用架構(gòu),它提供了一系列的“表”(tables ,而每個(gè)表則由若干個(gè)“鏈”(chains 組成,每條鏈又可以由一條或者數(shù)條規(guī)則(rule 組成。可以形象地理解為netfilter 是表的容器,表又是鏈的容器,而鏈又是規(guī)則的容器。系統(tǒng)缺省的表位“filter ”,該表中有IN PU T 、FORWA RD 、OU TPU T 三個(gè)鏈。每條

14、鏈中含有一條或者多條規(guī)則,每條規(guī)則均定義為“如果數(shù)據(jù)包頭符合如此條件,則這樣處理該數(shù)據(jù)包”。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí),系統(tǒng)會(huì)從第一條規(guī)則開(kāi)始檢查,查看是否符合該規(guī)則所定義條件:若滿足條件則根據(jù)該規(guī)則所定義方法處理該數(shù)據(jù)包;不滿足則繼續(xù)檢查下一條規(guī)則。直至最后,如果該數(shù)據(jù)包不符合該鏈中任何一條規(guī)則,系統(tǒng)便會(huì)根據(jù)該鏈中預(yù)先定義好的策略(policy 來(lái)處理該數(shù)據(jù)包。3.1.2代理服務(wù)器防火墻代理服務(wù)(Proxy Service 也稱鏈路級(jí)網(wǎng)關(guān)或者TCP 通道,是通過(guò)安裝相應(yīng)的代理軟件來(lái)實(shí)現(xiàn)的,使那些不具備公共IP 的內(nèi)部主機(jī)也能夠訪問(wèn)互聯(lián)網(wǎng),并且很好地屏蔽了內(nèi)部網(wǎng),從而有效保障了內(nèi)部主機(jī)的安全。代

15、理服務(wù)器防火墻是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù),其特點(diǎn)在于將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分成兩段。當(dāng)代理服務(wù)器接收到有用戶對(duì)某個(gè)站點(diǎn)的訪問(wèn)請(qǐng)求后就會(huì)去檢查該請(qǐng)求是否符合控制規(guī)則。若規(guī)則允許該用戶訪問(wèn)該站點(diǎn),則代理服務(wù)器便會(huì)替用戶去該站點(diǎn)取回所需的信息,然后再轉(zhuǎn)發(fā)給該用戶。內(nèi)外網(wǎng)用戶的訪問(wèn)均是代理服務(wù)器的“鏈接”來(lái)實(shí)現(xiàn)的,從而達(dá)到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的功能。代理服務(wù)器防火墻的工作原理如圖2所示。圖2代理服務(wù)器防火墻工作原理圖代理服務(wù)器防火墻是在應(yīng)用層上來(lái)實(shí)現(xiàn)防火墻功能的,它能提供部分與傳輸有關(guān)的狀態(tài),能提供與應(yīng)用有關(guān)的狀態(tài)和部分傳輸?shù)男畔ⅰＫ€能處理和管理信息。3

16、.2入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)(Int rusion 2detection system IDS 是一種能夠主動(dòng)保護(hù)自己不受攻擊的網(wǎng)絡(luò)安全技術(shù),它從計(jì)算機(jī)網(wǎng)絡(luò)的某些關(guān)鍵點(diǎn)收集并分析數(shù)據(jù)包,從而發(fā)現(xiàn)危害網(wǎng)絡(luò)安全的行為。按照收集的信息源IDS 可分為基于主機(jī)的IDS (host based IDS ,HIDS 和基于網(wǎng)絡(luò)的IDS (network based N IDS 。IDS 從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動(dòng)采集信息,從中分析可能的網(wǎng)絡(luò)入侵或攻擊。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)做出一些相對(duì)簡(jiǎn)單的響應(yīng),包括記錄事件和報(bào)警等。3.2.1入侵檢測(cè)的原理入侵檢測(cè)系統(tǒng)簡(jiǎn)而言之是一個(gè)或多個(gè)感應(yīng)器、分析器和管

17、理器的構(gòu)件組合。一個(gè)完整的入侵檢測(cè)系統(tǒng)一般應(yīng)該由以下幾部分組成:感應(yīng)器、分析器、管理器以及管理員。其檢測(cè)原理如圖3所示6。3.2.2Linux 環(huán)境下的入侵檢測(cè)在Linux 系統(tǒng)中,用戶和內(nèi)核的交互是通過(guò)系統(tǒng)調(diào)用來(lái)完成的,與之對(duì)應(yīng)的是,大多數(shù)對(duì)系統(tǒng)的攻擊最終也是通過(guò)非法執(zhí)行Linux 系統(tǒng)調(diào)用來(lái)達(dá)到目的。所以通過(guò)監(jiān)控系統(tǒng)調(diào)用,阻止非法的系統(tǒng)調(diào)用,則可以檢測(cè)并阻止大多數(shù)入侵行為,達(dá)到了保護(hù)系統(tǒng)的作用。在Linux 環(huán)境下進(jìn)行入侵檢測(cè)的方法有兩種, 圖3入侵檢測(cè)原理圖一種是手工檢測(cè),另外一種是軟件檢測(cè)。其中手工檢測(cè)主要檢測(cè)以下地方:1手動(dòng)檢查系統(tǒng)進(jìn)程#p saef或者#p saux,查看是否有可疑

18、進(jìn)程。2查網(wǎng)絡(luò)連接和監(jiān)聽(tīng)端口#net statan;檢查系統(tǒng)中的suid程序;檢查系統(tǒng)中的sgid程序;檢查所有的.rho st s文件;檢查所有的.forward文件以及/etc/host s.equiv文件中的內(nèi)容3檢查/var/log/wtmp文件中記錄的登錄信息。4是檢查日志文件的活動(dòng)。軟件檢測(cè)中最著名的當(dāng)屬自由軟件Hunt,它是Linux平臺(tái)上高級(jí)的包嗅探和會(huì)話劫持工具,它能監(jiān)視、劫持和重新設(shè)置網(wǎng)絡(luò)上的TCP連接。此外sniffit。3.3防火墻技術(shù)與入侵檢測(cè)技術(shù)的有效結(jié)合防火墻是一種被動(dòng)的訪問(wèn)控制技術(shù),它需要事先設(shè)計(jì)好規(guī)則才能對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行檢查從而保護(hù)子網(wǎng)不受攻擊。在網(wǎng)絡(luò)中單獨(dú)

19、使用防火墻存在著不能防范內(nèi)部攻擊等許多潛在的問(wèn)題;同時(shí),由于入侵技術(shù)不斷發(fā)展使得全面配置防火墻規(guī)則變得更加困難。因此,單獨(dú)采用防火墻和入侵檢測(cè)系統(tǒng)都不能很好地解決網(wǎng)絡(luò)安全問(wèn)題。但是如果我們將防火墻技術(shù)與入侵檢測(cè)技術(shù)兩者有效的結(jié)合起來(lái),則可以更大限度地實(shí)現(xiàn)網(wǎng)絡(luò)安全:IDS對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控,提供內(nèi)部和外部攻擊的實(shí)時(shí)保護(hù),并對(duì)防火墻規(guī)則加以動(dòng)態(tài)修改;防火墻則控制IDS 的數(shù)據(jù)流量,提供對(duì)IDS的安全保護(hù)7。我們可以采用Snort系統(tǒng)與Linux中原有的防火墻netfilter/iptables相結(jié)合的方式來(lái)實(shí)現(xiàn)。其中Snort系統(tǒng)是一個(gè)開(kāi)放源代碼的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),它由數(shù)據(jù)包解析器、檢測(cè)引擎和報(bào)

20、警三個(gè)子系統(tǒng)組成,所有的這些子系統(tǒng)均是建立在數(shù)據(jù)包截獲庫(kù)函數(shù)接口Libpcap的基礎(chǔ)之上的。Libpcap為它們提供了可移植的數(shù)據(jù)包截獲和過(guò)濾機(jī)制。由于Snort系統(tǒng)的源代碼開(kāi)放,因此我們可以方便地對(duì)其進(jìn)行修改和定制,使其能夠跟Linux原有的防火墻netfilter/iptables系統(tǒng)進(jìn)行聯(lián)動(dòng)。netfilter/iptables最大的優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻,而有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。同樣netfilter/iptables也是完全免費(fèi)的。這樣Snort系統(tǒng)在檢測(cè)到網(wǎng)絡(luò)攻擊的情況下,可以對(duì)攻擊包進(jìn)行丟棄或拒絕等操作,而不是簡(jiǎn)單地報(bào)警或記錄日

21、志,從而可以對(duì)外界的隨機(jī)進(jìn)攻及時(shí)做出響應(yīng),以達(dá)到保護(hù)系統(tǒng)正常運(yùn)行的目的。防火墻技術(shù)與入侵檢測(cè)技術(shù)相結(jié)合的原理圖如圖4所示8 。圖4防火墻技術(shù)與入侵檢測(cè)技術(shù)相結(jié)合的原理圖由于IDS能動(dòng)態(tài)修改防火墻規(guī)則,發(fā)生意外(如受到攻擊時(shí),不用手工更改規(guī)則,而由系統(tǒng)自動(dòng)重新配置防火墻以拒絕來(lái)自攻擊者的進(jìn)一步流量,彌補(bǔ)了防火墻難以正確配置的缺點(diǎn)。同時(shí),防火墻也可以彌補(bǔ)IDS自我防護(hù)機(jī)制薄弱的缺點(diǎn)。IDS自身并不能有效地防止對(duì)網(wǎng)絡(luò)以及對(duì)自己的攻擊,但與防火墻結(jié)合后,可以請(qǐng)求防火墻來(lái)完成訪問(wèn)控制。同時(shí),由于IDS置于防火墻之后,使之不分析已被防火墻屏蔽在內(nèi)部網(wǎng)外的流量類型,負(fù)載減小,從而減少了受Do S攻擊的可能性

22、,并大大提高了IDS自身的安全性。4結(jié)語(yǔ)防火墻和IDS的功能、特點(diǎn)以及局限性決定了它們彼此非常需要對(duì)方,而且不可能相互取代。其原因就在于防火墻是側(cè)重于控制,而IDS側(cè)重于主動(dòng)發(fā)現(xiàn)入侵信號(hào),兩者能夠相互彌補(bǔ)不足,相互提供保護(hù)。從信息安全的角度來(lái)講,這種結(jié)合是十分必要的,而且極大地提高了網(wǎng)絡(luò)安全體系的防護(hù)能力。這種防火墻技術(shù)與入侵檢測(cè)技術(shù)相結(jié)合的策略不僅體現(xiàn)了分布式技術(shù)發(fā)展的潮流,也體現(xiàn)了網(wǎng)(下轉(zhuǎn)第149頁(yè)能正確解密出原始圖像。總而言之,該彩色圖像加密算法具有以下優(yōu)點(diǎn): 1擁有非常大的密鑰空間;2加密后的圖像有著非常好的統(tǒng)計(jì)特性;3加密算法對(duì)密鑰非常敏感。8結(jié)語(yǔ)本文提出一種基于多混沌的彩色圖像加密

23、算法。仿真表明該加密算法有著更大的密鑰空間和更高的安全性,同時(shí)又保持了加密速度快的優(yōu)點(diǎn),并且具備抵抗窮舉攻擊和差分攻擊的能力,還具有實(shí)現(xiàn)的高效性,因此特別適合于在網(wǎng)絡(luò)上對(duì)圖像加密處理和傳輸。此外,該算法對(duì)視頻,音頻等多媒體數(shù)據(jù)的加密也有一定的參考價(jià)值。參考文獻(xiàn)1Kai Wang.On the security of3D Cat map based symmetric image encryption schemeJ.Physics Letters A, 2005,(343:4324392Y Mao.G.Chen.Chaos2Based Image Encryption, Handbook of

24、 Computational G eometry for Pattern Recogni2 tion,Computer VisionM.Neurocomputing and Robotics, Springer2Verlag,Berlin,20033Zhi2Hong Guan,Fangjun Huang,Wenjie Guan. Chaos2based image encryption algorithmJ.Physics Let2 ters A,2005,346:1531574Shannon CE.Communication theory of security systemsJ.the Bell Syst Tech J,1949,28:6567155李雄軍.基于二維超混沌序列的圖象加密算法J.中國(guó)圖象圖形學(xué)報(bào),2003,(10:117211766呂金虎.陳關(guān)榮.一個(gè)統(tǒng)一混沌系統(tǒng)及其研究J.中國(guó)科學(xué)院研究生院學(xué)報(bào),2003,(1:1241307劉洋,王清華.混沌加密的虹膜識(shí)