第一篇:HASH算法安全性浅谈
HASH算法安全性浅谈
2011年12月,CSDN网站遭到黑客攻击,约600万用户的登录名、密码及邮箱遭到泄漏。随后,CSDN“密码外泄门”持续发酵,世纪佳缘、人人网、天涯社区等网站相继被曝出用户数据遭泄密,大量的用户账号和密码被公开,数量超过5000万。此次密码泄漏堪称近年来国内规模最大的网络安全事件。
事后,密码明文保存被认为是此次事件的“罪魁祸首”。当前,互联网越来越进入人们的生活。用户访问各种网站,在注册的时候需要输入用户名和密码,在仅仅考虑功能的前提下,可以把用户名和密码以明文的方式存储在数据表中。当用户登录时,直接将用户输入的明文密码与数据库中的密码进行比对,如果相同则授权用户登录。
明文密码保存方式在实现上非常简单,但面临的问题也很明显,那就是没有任何安全防护机制。任何有权读取或以某种方式获得数据库的人都可以获取所有用户的密码。因此我们需要一种即使数据文件被窃取,窃取者也不能获得用户密码的方式。
现在网站已经基本不再使用明文密码保存的方式,而是在数据库中保存散列算法处理的结果。通过HASH散列函数的方式,可以有效的降低密码泄露的风险。HASH散列函数是把输入的密码数据通过特定的算法处理后,输出为一个固定长度的字符串。这样,当用户输入密码时,直接将该密码代入散列算法得出散列结果,再与保存的数据对比,相同则允许登录。如“abc”经过MD5散列之后,结果为
“900150983CD24FB0D6963F7D28E17F72”,将这个字符串保存到数据库中替代密码明文。通过HASH函数的处理,即使密码数据库文件被窃取,窃取者也不能直观的获取到账号的密码。
HASH散列函数的特点是单向性,即由输入数据可以得到确定的输出字符串,但从输出的字符串反向获取输入数据的难度很大,几乎是不可能做到的。
目前常见的散列算法有MD5和SHA1。MD5的输出是128位字符串,SHA1的输出是160位字符串。还有更复杂的SHA256,SHA512,其输出分别是256位和512位。输出结果的长度越长,HASH函数的安全性就越高。
当前HASH散列算法最大的安全隐患就是字典攻击。所谓字典攻击,即根据密码所使用字符范围及密码长度穷举出所有可能的密码,对这些密码进行HASH处理,把HASH值保存在数据库中,一旦获得用户密码HASH值,将其与数据库中的HASH值进行对比,就可以快速的找到明文密码。
对抗字典攻击的办法主要是限制密码最短长度,扩大密码字符组成,采用更长位数的HASH散列算法。这些都可以增加攻击者生成字典的时间成本和经济成本。
个人认为还可以参照3DES加密算法,采用多重HASH算法,即对HASH值再进行多次HASH处理,这样也可以增加攻击者破解难度。但在各种资料中,尚未看到有人有提到此种方法,不知何故。
上述方法都是不断增加攻击者的难度,但随着现在计算机的计算
速度和存储能力的不断提高,攻击者破解的时间、经济成本都在不断降低,因此这些方法都不是永久有效的。
2004年,山东大学王小云教授公布了利用差分技术实现对HASH算法的碰撞攻击,随后又公布了碰撞攻击的详细原理过程。MD5、SHA-1是当前国际通行的两大密码标准。MD5由国际著名密码学家图灵奖获得者兼公钥加密算法RSA的创始人Ronald L.Rivest设计,SHA-1是由美国专门制定密码算法的标准机构——美国国家标准技术研究院(NIST)与美国国家安全局(NSA)设计。两大算法是目前国际电子签名及许多其它密码应用领域的关键技术,广泛应用于金融、证券等电子商务领域。
王小云教授的碰撞攻击算法,具有非常重要的理论意义,对密码学的发展具有极大的推动作用,为HASH函数的密码分析学开辟了一条新的道路。碰撞算法从理论上表明了电子签名可以伪造,必须及时添加限制条件,或者重新选用更为安全的密码标准,以保证电子商务的安全。这一成果说明了MD5和SHA1已经不能用作身份验证或数字签名,另外在理论上说明了数字摘要算法用于数据的完整性鉴别具有先天缺陷。但另一方面,由于方法上的限制,要构造具有特定语义的碰撞攻击几乎是不可能的,因此并不是所有采用MD5等算法的应用都彻底失效。在实际中,MD5和SHA1算法经常与其它算法一起使用,或者进行了很多变形,简单地找到MD5碰撞对并没有实际性的威胁。
同时,她的研究成果也给其他研究者以极大的参考价值,后续研究者在其基础上,不断推出新的研究成果。2005年3月,用笔记本
在几个小时内找到MD5碰撞;2006年3月,用笔记本在1分钟内找到MD5碰撞;2007年12月,用Chosen-Prefix Collision,伪造出了符合X.509标准的数字证书;2008年12月,利用MD5碰撞,创造了一个假的来自可信CA的数字证书。因此,寻找MD5 碰撞的算法的时间、空间复杂度都已降至实用水平。但从实践角度,不同信息具有相同MD5值的可能性还是非常低的,通过碰撞的方法也很难碰撞出复杂信息的MD5值。现在MD5破译技术的研究者们正重点研究MD5碰撞的实际应用。
为了防止网络监听及重放攻击,在网站登录过程中,通常还使用干扰字符串,即在用户登录时,服务器随机生成一段前缀或后缀字符串,浏览器将用户的密码HASH处理后,再加上干扰字符串,再HASH处理一遍,再提交给服务器。干扰字符串是随机生成,用过一次即失效,因此即使登录过程中HASH值被截取,也无法再次使用其来登录。
如果需要更安全的算法,建议使用SHA256或SHA512。目前还没有出现针对SHA256,SHA512算法的有效碰撞攻击方法。该算法可以是MD5及SHA1的不错的后继者。
总之,HASH算法是在不断被破解的过程中,不断改进的。所谓“魔高一尺,道高一丈。”其安全性也是在不断提高的。当前主流的MD5和SHA1正在改为SHA256和SHA512。或许以后还会有更复杂的HASH演进算法,甚至更高级的密码处理算法,我们都拭目以待。
对于碰撞攻击的实际应用研究,我们也持续关注。王小云教授的差分碰撞攻击算法,虽然里面没有太高深的数学算法,但过程还是很
复杂繁琐的,有兴趣可以参考其原始论文,仔细研读分析。碰撞攻击的后续研究成果也有很大的参考价值。论文列举如下:
Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD; How to Break MD5 and other Hash Functions;
Finding Collisions in the Full SHA-1;
Finding MD5 Collisions a Toy For a Notebook;
Tunnels in Hash Functions MD5 Collisions Within a Minute; Efficient Hash Collision Search Strategies on Special-Purpose Hardware;
Chosen-prefix Collisions for MD5 and Applications;
Fast Collision Attack on MD5。
第二篇:hash算法
Hash,一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射,pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,而不可能从散列值来唯一的确定输入值。
数学表述为:h = H(M),其中H()--单向散列函数,M--任意长度明文,h--固定长度散列值。
在信息安全领域中应用的Hash算法,还需要满足其他关键特性:
第一当然是单向性(one-way),从预映射,能够简单迅速的得到散列值,而在计算上不可能构造一个预映射,使其散列结果等于某个特定的散列值,即构造相应的M=H-1(h)不可行。这样,散列值就能在统计上唯一的表征输入值,因此,密码学上的 Hash 又被称为“消息摘要(message digest)”,就是要求能方便的将“消息”进行“摘要”,但在“摘要”中无法得到比“摘要”本身更多的关于“消息”的信息。
第二是抗冲突性(collision-resistant),即在统计上无法产生2个散列值相同的预映射。给定M,计算上无法找到M',满足H(M)=H(M'),此谓弱抗冲突性;计算上也难以寻找一对任意的M和M',使满足H(M)=H(M'),此谓强抗冲突性。要求“强抗冲突性”主要是为了防范所谓“生日攻击(birthday attack)”,在一个10人的团体中,你能找到和你生日相同的人的概率是2.4%,而在同一团体中,有2人生日相同的概率是11.7%。类似的,当预映射的空间很大的情况下,算法必须有足够的强度来保证不能轻易找到“相同生日”的人。
第三是映射分布均匀性和差分分布均匀性,散列结果中,为 0 的 bit 和为 1 的 bit,其总数应该大致相等;输入中一个 bit 的变化,散列结果中将有一半以上的 bit 改变,这又叫做“雪崩效应(avalanche effect)”;要实现使散列结果中出现 1bit 的变化,则输入中至少有一半以上的 bit 必须发生变化。其实质是必须使输入中每一个 bit 的信息,尽量均匀的反映到输出的每一个 bit 上去;输出中的每一个 bit,都是输入中尽可能多 bit 的信息一起作用的结果。
Damgard 和 Merkle 定义了所谓“压缩函数(compression function)”,就是将一个固定长度输入,变换成较短的固定长度的输出,这对密码学实践上 Hash 函数的设计产生了很大的影响。Hash函数就是被设计为基于通过特定压缩函数的不断重复“压缩”输入的分组和前一次压缩处理的结果的过程,直到整个消息都被压缩完毕,最后的输出作为整个消息的散列值。尽管还缺乏严格的证明,但绝大多数业界的研究者都同意,如果压缩函数是安全的,那么以上述形式散列任意长度的消息也将是安全的。这就是所谓 Damgard/Merkle 结构:
在下图中,任意长度的消息被分拆成符合压缩函数输入要求的分组,最后一个分组可能需要在末尾添上特定的填充字节,这些分组将被顺序处理,除了第一个消息分组将与散列初始化值一起作为压缩函数的输入外,当前分组将和前一个分组的压缩函数输出一起被作为这一次
压缩的输入,而其输出又将被作为下一个分组压缩函数输入的一部分,直到最后一个压缩函数的输出,将被作为整个消息散列的结果。
MD5 和 SHA1 可以说是目前应用最广泛的Hash算法,而它们都是以 MD4 为基础设计的。
1)MD4
MD4(RFC 1320)是 MIT 的 Ronald L.Rivest 在 1990 年设计的,MD 是 Message
Digest 的缩写。它适用在32位字长的处理器上用高速软件实现--它是基于 32 位操作数的位操作来实现的。它的安全性不像RSA那样基于数学假设,尽管 Den Boer、Bosselaers 和 Dobbertin 很快就用分析和差分成功的攻击了它3轮变换中的 2 轮,证明了它并不像期望的那样安全,但它的整个算法并没有真正被破解过,Rivest 也很快进行了改进。
下面是一些MD4散列结果的例子:
MD4(“")= 31d6cfe0d16ae931b73c59d7e0c089c0
MD4(”a“)= bde52cb31de33e46245e05fbdbd6fb24
MD4(”abc“)= a448017aaf21d8525fc10ae87aa6729d
MD4(”message digest“)= d9130a8164549fe818874806e1c7014b
MD4(”abcdefghijklmnopqrstuvwxyz“)= d79e1c308aa5bbcdeea8ed63df412da9
MD4(”ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789“)= 043f8582f241db351ce627e153e7f0e4
MD4
(”***************67890“)= e33b4ddc9c38f2199c3e7b164fcc0536
2)MD5
MD5(RFC 1321)是 Rivest 于1991年对MD4的改进版本。它对输入仍以512位分组,其输出是4个32位字的级联,与 MD4 相同。它较MD4所做的改进是:
1)加入了第四轮
2)每一步都有唯一的加法常数;
3)第二轮中的G函数从((X ∧ Y)∨(X ∧ Z)∨(Y ∧ Z))变为((X ∧ Z)∨(Y ∧ ~Z))以减小其对称性;
4)每一步都加入了前一步的结果,以加快”雪崩效应“;
5)改变了第2轮和第3轮中访问输入子分组的顺序,减小了形式的相似程度;
6)近似优化了每轮的循环左移位移量,以期加快”雪崩效应“,各轮的循环左移都不同。尽管MD5比MD4来得复杂,并且速度较之要慢一点,但更安全,在抗分析和抗差分方面表现更好。
消息首先被拆成若干个512位的分组,其中最后512位一个分组是”消息尾+填充字节
(100...0)+64 位消息长度“,以确保对于不同长度的消息,该分组不相同。64位消息长度的限制导致了MD5安全的输入长度必须小于264bit,因为大于64位的长度信息将被忽略。而4个32位寄存器字初始化为A=0x01234567,B=0x89abcdef,C=0xfedcba98,D=0x76543210,它们将始终参与运算并形成最终的散列结果。
接着各个512位消息分组以16个32位字的形式进入算法的主循环,512位消息分组的个数据决定了循环的次数。主循环有4轮,每轮分别用到了非线性函数
F(X, Y, Z)=(X ∧ Y)∨(~X ∧ Z)
G(X, Y, Z)=(X ∧ Z)∨(Y ∧ ~Z)
H(X, Y, Z)=X ⊕ Y ⊕ Z
I(X, Y, Z)= X ⊕(Y ∨ ~Z)
这4轮变换是对进入主循环的512位消息分组的16个32位字分别进行如下操作:将A、B、C、D的副本a、b、c、d中的3个经F、G、H、I运算后的结果与第4个相加,再加上32位字和一个32位字的加法常数,并将所得之值循环左移若干位,最后将所得结果加上a、b、c、d之一,并回送至ABCD,由此完成一次循环。
所用的加法常数由这样一张表T[i]来定义,其中i为1...64,T[i]是i的正弦绝对值之
4294967296次方的整数部分,这样做是为了通过正弦函数和幂函数来进一步消除变换中的线性性。
当所有512位分组都运算完毕后,ABCD的级联将被输出为MD5散列的结果。下面是一些MD5散列结果的例子:
MD5(”“)= d41d8cd98f00b204e9800998ecf8427e
MD5(”a“)= 0cc175b9c0f1b6a831c399e269772661
MD5(”abc“)= 900150983cd24fb0d6963f7d28e17f72
MD5(”message digest“)= f96b697d7cb7938d525a2f31aaf161d0
MD5(”abcdefghijklmnopqrstuvwxyz“)= c3fcd3d76192e4007dfb496cca67e13b
MD5(”ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789“)= d174ab98d277d9f5a5611c2c9f419d9f
MD5
(”***************67890“)= 57edf4a22be3c955ac49da2e2107b67a
参考相应RFC文档可以得到MD4、MD5算法的详细描述和算法的C源代码。
3)SHA1 及其他
SHA1是由NIST NSA设计为同DSA一起使用的,访问可以得到它的详细规范--[/url]”FIPS PUB 180-1 SECURE HASH STANDARD“。它对长度小于264的输入,产生长度为160bit的散列值,因此抗穷举(brute-force)性更好。SHA-1 设计时基于和MD4相同原理,并且模仿了该算法。因为它将产生160bit的散列值,因此它有
5个参与运算的32位寄存器字,消息分组和填充方式与MD5相同,主循环也同样是4轮,但每轮进行20次操作,非线性运算、移位和加法运算也与MD5类似,但非线性函数、加法常数和循环左移操作的设计有一些区别,可以参考上面提到的规范来了解这些细节。下面是一些SHA1散列结果的例子:
SHA1(”abc“)= a9993e36 4706816a ba3e2571 7850c26c 9cd0d89d
SHA1(”abcdbcdecdefdefgefghfghighijhijkijkljklmklmnlmnomnopnopq“)= 84983e44 1c3bd26e baae4aa1 f95129e5 e54670f1
其他一些知名的Hash算法还有MD2、N-Hash、RIPE-MD、HAVAL等等。上面提到的这些都属于”纯“Hash算法。还有另2类Hash算法,一类就是基于对称分组算法的单向散列算法,典型的例子是基于DES的所谓Davies-Meyer算法,另外还有经IDEA改进的Davies-Meyer算法,它们两者目前都被认为是安全的算法。另一类是基于模运算/离散对数的,也就是基于公开密钥算法的,但因为其运算开销太大,而缺乏很好的应用前景。
没有通过分析和差分攻击考验的算法,大多都已经夭折在实验室里了,因此,如果目前流行的Hash算法能完全符合密码学意义上的单向性和抗冲突性,就保证了只有穷举,才是破坏Hash运算安全特性的唯一方法。为了对抗弱抗冲突性,我们可能要穷举个数和散列值空间长度一样大的输入,即尝试2^128或2^160个不同的输入,目前一台高档个人电脑可能需要10^25年才能完成这一艰巨的工作,即使是最高端的并行系统,这也不是在几千年里的干得完的事。而因为”生日攻击“有效的降低了需要穷举的空间,将其降低为大约1.2*2^64或1.2*2^80,所以,强抗冲突性是决定Hash算法安全性的关键。
在NIST新的 Advanced Encryption Standard(AES)中,使用了长度为128、192、256bit 的密钥,因此相应的设计了 SHA256、SHA384、SHA512,它们将提供更好的安全性。
Hash算法在信息安全方面的应用主要体现在以下的3个方面:
1)文件校验
我们比较熟悉的校验算法有奇偶校验和CRC校验,这2种校验并没有抗数据篡改的能力,它们一定程度上能检测并纠正数据传输中的信道误码,但却不能防止对数据的恶意破坏。
MD5 Hash算法的”数字指纹“特性,使它成为目前应用最广泛的一种文件完整性校验和(Checksum)算法,不少Unix系统有提供计算md5 checksum的命令。它常被用在下面的2种情况下:
第一是文件传送后的校验,将得到的目标文件计算 md5 checksum,与源文件的md5 checksum 比对,由两者 md5 checksum 的一致性,可以从统计上保证2个文件的每一个码元也是完全相同的。这可以检验文件传输过程中是否出现错误,更重要的是可以保证文件
在传输过程中未被恶意篡改。一个很典型的应用是ftp服务,用户可以用来保证多次断点续传,特别是从镜像站点下载的文件的正确性。
更出色的解决方法是所谓的代码签名,文件的提供者在提供文件的同时,提供对文件Hash值用自己的代码签名密钥进行数字签名的值,及自己的代码签名证书。文件的接受者不仅能验证文件的完整性,还可以依据自己对证书签发者和证书拥有者的信任程度,决定是否接受该文件。浏览器在下载运行插件和java小程序时,使用的就是这样的模式。
第二是用作保存二进制文件系统的数字指纹,以便检测文件系统是否未经允许的被修改。不少系统管理/系统安全软件都提供这一文件系统完整性评估的功能,在系统初始安装完毕后,建立对文件系统的基础校验和数据库,因为散列校验和的长度很小,它们可以方便的被存放在容量很小的存储介质上。此后,可以定期或根据需要,再次计算文件系统的校验和,一旦发现与原来保存的值有不匹配,说明该文件已经被非法修改,或者是被病毒感染,或者被木马程序替代。TripWire就提供了一个此类应用的典型例子。
更完美的方法是使用”MAC“。”MAC“ 是一个与Hash密切相关的名词,即信息鉴权码
(Message Authority Code)。它是与密钥相关的Hash值,必须拥有该密钥才能检验该Hash值。文件系统的数字指纹也许会被保存在不可信任的介质上,只对拥有该密钥者提供可鉴别性。并且在文件的数字指纹有可能需要被修改的情况下,只有密钥的拥有者可以计算出新的散列值,而企图破坏文件完整性者却不能得逞。
2)数字签名
Hash 算法也是现代密码体系中的一个重要组成部分。由于非对称算法的运算速度较慢,所以在数字签名协议中,单向散列函数扮演了一个重要的角色。
在这种签名协议中,双方必须事先协商好双方都支持的Hash函数和签名算法。
签名方先对该数据文件进行计算其散列值,然后再对很短的散列值结果--如Md5是16个字节,SHA1是20字节,用非对称算法进行数字签名操作。对方在验证签名时,也是先对该数据文件进行计算其散列值,然后再用非对称算法验证数字签名。
对 Hash 值,又称”数字摘要“进行数字签名,在统计上可以认为与对文件本身进行数字签名是等效的。而且这样的协议还有其他的优点:
首先,数据文件本身可以同它的散列值分开保存,签名验证也可以脱离数据文件本身的存在而进行。
再者,有些情况下签名密钥可能与解密密钥是同一个,也就是说,如果对一个数据文件签名,与对其进行非对称的解密操作是相同的操作,这是相当危险的,恶意的破坏者可能将一个试图骗你将其解密的文件,充当一个要求你签名的文件发送给你。因此,在对任何数据文件进行数字签名时,只有对其Hash值进行签名才是安全的。
3)鉴权协议
如下的鉴权协议又被称作”挑战--认证模式:在传输信道是可被侦听,但不可被篡改的情况下,这是一种简单而安全的方法。
需要鉴权的一方,向将被鉴权的一方发送随机串(“挑战”),被鉴权方将该随机串和自己的鉴权口令字一起进行 Hash 运算后,返还鉴权方,鉴权方将收到的Hash值与在己端用该随机串和对方的鉴权口令字进行 Hash 运算的结果相比较(“认证”),如相同,则可在统计上认为对方拥有该口令字,即通过鉴权。
POP3协议中就有这一应用的典型例子:
S: +OK POP3 server ready <1896.697170952@dbc.mtview.ca.us>
C: APOP mrose c4c9334bac560ecc979e58001b3e22fb
S: +OK maildrop has 1 message(369 octets)
在上面的一段POP3协议会话中,双方都共享的对称密钥(鉴权口令字)是tanstaaf,服务器发出的挑战是<1896.697170952@dbc.mtview.ca.us>,客户端对挑战的应答是MD5(“<1896.697170952@dbc.mtview.ca.us>tanstaaf”)=
c4c9334bac560ecc979e58001b3e22fb,这个正确的应答使其通过了认证。
散列算法长期以来一直在计算机科学中大量应用,随着现代密码学的发展,单向散列函数已经成为信息安全领域中一个重要的结构模块,我们有理由深入研究其设计理论和应用方法。
第三篇:电子商务安全性初探
电子商务安全性初探
摘要:本文针对电子商务安全的要求,分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。
关键词:电子商务;数据加密;信息认证;安全交易标准
所谓电子商务(Electronic Commerce)是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此,电子商务的发展必须重视安全问题。
一、电子商务安全的要求
1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3、信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4、交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5、系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为
关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。
二、数据加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES(Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
三、认证技术
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性
(一)身份认证
用户身份认证三种常用基本方式
1、口令方式
这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。
2、标记方式
访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。
3、人体生物学特征方式
某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。
加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。
(二)数字摘要
数字摘要,也称为安全Hash编码法,简称SHA或MD5,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。
(三)数字签名
数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。
(四)数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。
(五)认证中心
认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。
我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。
(六)数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
四、电子商务的安全交易标准
(一)安全套接层协议
SSL(secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。
(二)安全电子交易协议
SET(Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定发布的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
五、总结
网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。
参考文献:
[1] 万守付,电子商务基础(第二版),人民邮电出版社,2006年6月第2版
[2] 加里.斯奈德, 詹姆斯.佩里著,电子商务(第二版)[M], 成栋译.机械工业出版社, 2002.
第四篇:涉网安全性
关于电厂涉网安全评估的思考
〔摘要〕分析了电力体制实施“厂网分开”后,电网安全责任主体发生变化,电网安全工作面临的新情况,考虑到全国联网的初始阶段和电力供应再度紧张使电网安全问题凸显,作为应对措施之一,理应对过去行之有效的安全性评价适时地予以创新或改进,据此提出了“并网电厂涉网安全性评估”,并就有关的评估标准制定、评估内容和实施等问题进行了思考和探讨。
〔关键词〕安全管理 安全性评估 并网运行
随着电力体制改革的深化,“厂网分开,竞价上网”的逐步实施,电网经营企业和并网电厂关于电网安全的责任出现了变化,电网安全工作面临不少新的情况。但是,电能的生产、传输、分配和使用同时完成的特点,以及由此引起的电能传输通道电网安全稳定运行的客观要求依然未变。如何使变化了的主体适应电网安全未变的要求,确保电网在新情况下仍然安全、优质、经济地运行,已成为电业系统人士共同关心的问题。
2003年以来,全国不少地区电网的电力供应又趋紧张,电网安全问题再次凸显。与此同时,全国联网的步伐进一步加快,联网初期必然存在的弱联系过程,使电网的安全稳定问题一时变得十分突出。特别是8月14日美加大停电造成了巨大的经济损失和不良的社会影响,引起世界各国的普遍关注,也引发我国业界人士对电网安全问题进行更加广泛和更为深入的思考。
总结我国电网安全工作中长期积累的经验,对一些行之有效的做法加以创新或改进,使之成为适用于现阶段又易为各方接受的新规范,不失为事半功倍之举,当能收立竿见影之效。应当指出,并网电厂安全性评价作为电网安全工作的重要手段,曾被广泛应用,问题的症结在于,“厂网分开”后,如何进行创新,以适应变化了的新情况;如何不断改进,以提高评价工作的公正性和透明度。笔者对此进行了某些思考和探索。“厂网分开”后电网安全面临的新情况 1.1 厂、网隶属关系不复存在
在新中国电力工业半个多世纪的发展历程中,前35年主要由国家投资建设发电厂和输电网,电力工业基本由国家垄断经营。长期以来,发电厂和电网由网省电力局统一管理,统一核算,发电厂是网省电力局的下属单位,行政上是隶属关系。即使在20世纪90年代初,网省电力局相继改制组建成电力公司后,情况也基本上没有变化。唯其如此,长期以来,电网安全的责任,很自然地通过行政手段由电力局或电力公司传递到发电厂。发电厂投资主体多元化以后,绝大部分发电厂仍然隶属于网省电力公司或委托网省电力公司代为管理,即使对非隶属发电厂仍然可以通过“安全文明达标”或“创一流企业”等活动将电网安全工作的有关要求,纳入到对发电厂的考核之中。
电力体制实施“厂网分开”以后,情况有了很大变化,发电厂隶属新组建的全国性发电公司,而网省电力公司则改制为区域或省(市)电网经营企业,两者之间的行政关系不复存在。电网经营企业主要承担的电网安全的责任,难以通过行政手段或其他形式的活动直接或间接地延伸到发电厂。
1.2 发电厂更加关注经济效益
“厂网分开”以后,发电厂领导向控股的发电公司或董事会负责,而发电公司或董事会对电网安全不再直接承担责任。由于“竞价上网”的压力,发电公司或董事会更加关注发电厂的经济效益。发电厂从自身的经济利益出发,自然以“多发稳发”为经营目标。在安全管理上则贯彻“保人身、保设备”的原则。在主要由电网经营企业承担的“保电网”这一层面上,平时通过执行《并网调度协议》的相关条款来具体实施;当电网发生事故时,主要是执行相关调度机构调度员发出的调度命令等。除此而外,很难有更进一步的作为。
1.3 《并网调度协议》难以涵盖电网安全工作
“厂网分开”之后,发电厂和电网经营企业都是法律上平等的法人实体,两者之间的关系,主要由双方签订的《购售电合同》和《并网调度协议》进行调整。目前作为范本通行的《购售电合同》文本,仅处理与购售电有关的商务问题,所有技术问题以及由此引发的违约处理,均纳入《并网调度协议》之中。这与当前的电力体制下,购电方(电网经营企业)与电力调度机构是同一实体不无关系。但即便如此,《并网调度协议》关注的重点仍然是并网电厂的调度运行、发电计划安排、运行设备的技术参数和检修以及与此相关的继电保护和安全自动装置、调度自动化及调度通信等。至于更深层次的电网安全问题,不可能悉数列入协议之中。从某种意义上讲,有关电网安全的责任难以通过合同或协议向并网电厂做有效的延伸。电网安全问题依然突出 2.1 全国联网后的电网安全问题
在“西电东送,南北互供”方针的指引下,近年来全国联网的步伐明显加快。在区域电网互联或区域电网扩展的过程中,由于起始阶段电网结构相对薄弱,稳定问题一时变得突出,再加调度机构运作尚有一段适应期,电网的安全运行状况突然显得严竣起来。
2.2 电力供应紧张使电网安全问题凸显
2003年开始,全国不少地区又出现了电力供应紧张的局面,使电网安全形势更为严竣。为此,国务院日前发出《关于加强电力安全工作的通知》,要求加强法规建设,切实落实电力安全生产责任制;完善调度协调体系,建立有效的电力安全应急机制等。国务院同时授权国家电力监管委员会具体负责电力安全监督管理。国家电网公司和南方电网公司分别负责所辖范围内的电网安全。在电力供应紧张的电网中,特别是电网无备用容量可供使用的情况下,电网的安全问题尤为突出。
2.3 美、加大停电事故发人深醒
2003-08-14,美国东北部和加拿大部分地区的电力系统发生了大面积停电事故,波及面之广,为患时间之长,前所罕见,引起各国密切关注。事后我国电业系统专家学者多次开会,研讨防止中国电网出现类似事故之良策。纷纷指出,我国电网建设长期滞后,电网结构相对薄弱,近年装机容量不足,电力供应再度紧张,使电网安全受到很大威协。如不加强厂网协调,强化统一调度,及早改善电网结构,妥善解决互联电网稳定问题,类似美加的大停电事故,在我国并非不可能发生。尽快建立和健全重大电网事故的应急处理机制已经刻不容缓。并网电厂涉网安全性评估的提出
基于风险评估理论的发供电企业安全性评价在我国已开展多年,对于发现安全隐患,消除薄弱环节,防患于未然,起到积极的作用。面对变化了的电网情况,在厂网协调层面上,关于并网电厂的安全性评价尤其显得重要,如能适时地予以创新或改进,必能为建立厂网协调统一的电网安全管理机制助一臂之力。
3.1 安全性评价日益受到重视
20世纪90年代,我国电力企业相继开展安全性评价工作,华北电力集团公司等电力企业为此制定了一系列有关发供电企业的安全性评价标准,在实践中取得了较好的效果。国家电网公司成立之后,提出全面规范和推动安全性评价工作。为了适应电力体制改革后电网安全运行管理的需要,进一步加强发电厂并网运行安全管理,保障电网安全、优质、经济运行,国家电网公司组织编制了《发电厂并网运行安全性评价》并要求网省电力公司结合本网实际,组织编制实施细则,以便贯彻执行。
3.2 并网电厂涉网安全性评估的提出
考虑到“厂网分开”后电网面临的新情况,对并网电厂的安全性评价,将不同于过去习用的发电厂安全性评价,应该充分考虑电网面临的安全问题,严格将评价范畴限定在涉及电网安全运行的设备、系统、作业环境以及安全管理等方面。为了同过去沿用的并网安全运行评价相区别,提出加上“涉网”两字予以限定,以突出其特色,也使发电厂明确其评价范畴,便于将其纳入电厂总体安全工作之中,组织实施。
安全性评价之含义是对企业的生产设备和系统、劳动安全与作业环境以及安全管理等进行查评和论断。进行此项工作的应为具有资质的独立的评估机构。由于我国目前尚无此类机构,且在发电厂隶属于网省电力公司的情况下,多由网省电力公司组织长期从事电力生产并熟悉电厂安全管理的专家进行。采用“评价”二字也符合这一特定的历史阶段。鉴于“评价”容易被理解为业绩考核的必然结果,从某种意义上讲,具有一定的行政色彩,所以不少网省电力公司安全专家一再呼吁安全性评价要严格执行不与奖金、荣誉、领导业绩挂钩的“三不挂钩”原则。既然如此,考虑采用“评估”二字可能更为“中性”一些,如当前社会生活中由第三方从事的资产评估、房地产评估等。这也为今后由具有资质的独立的第三方的评估机构承担此项工作创造条件,更便于同过去按老模式进行的“评价”相区别,因此建议此处改用“评估”二字。基于上述考虑,提出“并网电厂涉网安全性评估”遂成为顺理成章的事。关于并网电厂涉网安全性评估的思考
并网电厂涉网安全性评估的提出,不仅是一个名称的简单改变,应该说具有深刻的内涵,它不仅影响涉网安全性评估标准的制定,还将涉及安全性评估如何来进行。
4.1 制定并网电厂涉网安全性评估标准的依据
并网电厂涉网安全性评估标准事关电网经营企业和并网电厂。由于资产重组后发电厂归属变化,过去以企业或部门文件等形式下发的有关电网安全的某些规定或反事故措施等在发电厂执行的有效性受到质疑。因此,在制定并网电厂涉网安全性评估标准时,首先应以国家的法律和法规为依据,在这个层面上,目前已有《中华人民共和国电力法》、《中华人民共和国安全生产法》、《电网调度条例》等法律法规。其次,评估标准应当遵循国家标准(GB)和电力行业标准(DL),特别是具体项目的考评依据,更应出自国家标准或行业标准的规定。由于这些标准制定和修改的程序十分严格,通常还要借鉴或套用相关的国际标准,对于技术更新快、发展迅猛的某些领域,现有国家标准或行业标准尚未涉及时,可以变通地采用进口设备制造时依据的相关国际标准或制造国的技术标准。再次,评估标准应当符合所并电网现行的规程制度,因为这些正是某个电网安全、优质、经济运行的具体基础。最后,制定并网电厂涉网安全性评估标准的重要依据就是该发电厂与电网经营企业签订的《购售电合同》和《并网调度协议》。目前已有国家电力监管委员会和国家工商总局联合制定的示范文本问世,合同与协议在不同发电厂和不同电网之间的差异不会很大。
4.2 并网电厂涉网安全性评估的内容 顾名思义,并网电厂安全性评估的对象主要为涉及电网安全运行的设备、系统以及与此相关的作业环境和安全管理。可见,并网电厂同电网直接连接的220 kV及以上等级电压的升压站设备应首列其中。鉴于大型发电机组的运行状况对电网影响甚大,亦应列入评估范畴,但重点却为《并网调度协议》商定的运行指标,包括与电网稳定密切相关的励磁系统以及同电网一次调频密切相关的机组电调系统等。对于发电厂的二次设备,在继电保护和安全自动装置方面,同电网安全运行直接有关的电厂高压出线保护、高压母线差动保护、发电机变压器组的后备保护方为评估内容。为了保障调度系统正常工作,安装在电厂的调度自动化系统和调度通信系统当为并网电厂涉网安全性评估的重点之一。
考虑到其他类型电厂异于常规火电厂对电网安全运行承担某些特殊的功能,涉网安全性评估内容还应包括水电厂的水库调度与水情自动测报系统,以协调水利调度与电力调度之间的关系;评估抽水蓄能电厂和燃气轮机电厂的机组启动系统,以验证其调峰和事故备用之有效性;评估核电厂由电网供电的保安电源,以确保核电厂之安全运行等。
此外,并网电厂涉网安全管理工作亦在评估之列,但应作为电厂安全管理工作的一部分来审视,不可另起炉灶游离于电厂统一管理之外。涉网运行管理和检修管理评估应严格按照《购售电合同》和《并网调度协议》的相关条款进行。对于涉网技术监督,则限定为涉网设备的绝缘、电测仪表、继电保护和电能质量等4项技术监督,其中包括是否参加技术监督网活动等,以彰显交流互动之功效。
4.3 关于涉网安全性评估的实施
前已指出,考虑到“厂网分开”后的实际,并网电厂涉网安全性评估宜由国家电力监管会授权或认证的独立的第三方评估机构承担,以确保评估的公正性。当前,由于此类评估机构尚未诞生,可由电网经营企业商、并网电厂或发电公司,聘请有关专家组成专家组进行。从所周知,安全评估要收到实效,关键在于被评估企业认真地进行整改。安全性评估相当于进行“体格检查”,评估报告犹如“体检报告”,列出发现的问题足矣。在评估标准中为整改设限,似不足取。
与其他评估类似,安全性评估结果要尽可能地用数字说明问题,因此查评中应以对电网安全运行的影响程度用分值进行量化,但也不必过分拘泥于分值,诉说何值及格云云。因为除非并网必备条件通不过,不允许并入电网运行或不能作商业运行外,其他尽可视其对电网安全的危及程度,根据《并网调度协议》妥善处理。
第五篇:烟草安全性
卷烟安全性的发展
摘要:随着社会的发展进步,吸烟与健康问题日益引起人们的关注,提高烟草安全性迫在眉睫。烟草的安全性指烟叶在燃吸时对人体健康的危害程度,直接影响烟草制品的安全性,关系到吸烟者的身体健康。因此,可以从农业和工业两方面探索提高烟草安全性的措施,以降低吸烟对人体健康的危害。
关键词:烟草、焦油、重金属、农药残留、措施 正文:
一、烟草中的焦油
1、焦油对人体的危害
随着近年来对卷烟的研究,吸烟与健康成为了烟草行业的热点问题,提高吸烟的安全性逐渐成为烟草行业能否继续生存与发展的共同目标,研究表明,烟支燃烧时产生的最主要的有害物质为焦油。烟气中焦油是威胁人体健康的罪魁祸首,烟焦油中的多环芳烃是致癌物质。其中具有强力致癌作用的苯并芘是其代表。一氧化碳 一氧化碳是烟草不完全燃烧的产物,一支卷烟烟雾中一氧化碳的含量约为 1%~5%。烟气 中一氧化碳经吸入肺内,与血液中的血红蛋白迅速结合,形成碳氧血红蛋白(CO对血红蛋白的亲和力比o 大250倍),削弱血红蛋白与氧的结合,使血液携氧能力降低,减少心脏所能利用氧的数量,从而加快心跳,甚至带来心脏功能的衰竭。一氧化碳与尼古丁协同作用,危害吸烟者的心血管系统。
2、应对方法 2.1农业方面
筛选和培育低焦油富钾烟草品种 降低卷烟有害成分,生产安全烟叶,筛选、培育和选择种植烟草品种是极其重要的,大量的研究表明,烟叶钾(K)含量是影响烟叶焦油含量的重要因素。据报道,不同品种间烟叶中的含钾量,尤其是有机钾含量与其焦油量密切相关,在一定范围内,有机钾含量增加可以降低焦油的释出量。因此可以推广种植钾含量相对较低的烟草品种,合理施用钾肥。
2.2工业方面
目前烟草生产加工过程中,为了提升卷烟的安全性,达到降焦减害的目的,各个卷烟工业采用了许多降焦减害的技术措施。其中,应用较为广泛的为使用膨胀烟丝和再造烟叶技术,通过降低单支卷烟烟丝使用量来减少抽吸口数以及每口烟气中的焦油含量,实现降低卷烟危害性,减少对人体的危害。
此外,低焦油混合型卷烟的发展也对降焦减害起到很重要的作用,因为卷烟焦油含量及吸烟危害性还与卷烟类型有一定关系。目前中国卷烟消费仍以传统烤烟型为主,但国际上卷烟消费却以混合型为主。由于烤烟含糖量高(15%~30%),而碳水化合物是焦油的主要来源之一,所以烤烟型卷烟倾向于较高的焦油含量。混合型卷烟的危害性相对小些。另外,混合型卷烟对叶组配方的要求没有烤烟那么考究,有利于综合利用各等级的烟叶原料,降低原料成本。所以,在中国应鼓励发展混合型卷烟。
最近几年的卷烟消费市场上细支烟异军突起,市场份额迅速上升,受到了许多烟民的青睐,其原因就在于细支烟的焦油含量、一氧化碳含量仅为普通烟支的一半甚至以下,所以细支烟对人体的危害远远小于普通烟支对人体健康的影响。还有发展新混合型卷烟,新混合型卷烟有时也称为药物烟、疗效烟或保健烟,是指在卷烟配方中掺入部分中草药或中草药提取物,通过抽吸,部分中药有效成分发挥进入主流烟气,并被呼吸系统黏液吸收,从而达到医疗或保健目的。
卷烟纸的透气度也会对烟气中的有害成分造成影响。透气度高的卷烟纸可增加空气中氧气的吸入量,为烟叶充分燃烧提供有利条件,氧化作用加强,减少不充分燃烧所产生的残留物质,从而减少焦油、尼古丁等物质的吸入量以及排放量。因此卷烟的抽吸口数、烟气焦油、烟碱和CO量随卷烟纸自然透气度的增加而减少,但透气度不能无限增大,到80CU时会影响抽吸口味,一般以60-70CU为宜。提高卷烟纸透气度最主要的方法是降低卷烟纸的定量和容积密度,或增加填料用量,或改变填料及植物纤维的特性。目前应用较多的填充物质是碳酸钙加工品。随着卷烟工艺不得不断发展,工业公司采用开始尝试采用其他填充物质。美国雷诺士公司在卷烟纸中添加无机矿物质和羧酸盐等成分,可降低50%的侧流烟气,减少对周围环境的污染。
二、农药残留与重金属
1、农药残留和重金属问题
大田生产的烟叶由于使用防治病虫害的化学农药,或多或少地被烟株吸收而残留在烟叶中;仓库储存环节用于杀虫的药剂也会使烟叶受到污染。由于这些药物能在吸烟者体内积累,当农药残留量在烟叶中超过一定数量,就容易使吸食者造成某种生理障碍,影响人体健康。
烟叶生产过程中重金属主要来源于包括产烟区大气、降水、地表水和土壤及农用物资农药、化肥、农家肥等。农药残留过高主要是对农药的不合理使用,高毒、高残留农药的大量使用、滥用造成。除了烟叶中含有的重金属外,卷烟在加工过程中也会引入重金属的污染物,如加工过程中使用的香精、香料及机械接触等。此外,不同的加工工艺也会影响卷烟成品中重金属的最终含量。重金属伴烟气进入体内,镉、铅被吸收的量最多。
香烟的烟气中,重金属化合物以一种叫做气溶胶的形式存在,然后伴随着烟气进入体内。国内有学者进行过相关的研究,发现一支香烟的烟气中,最容易被吸收的重金属是镉,其次是铅,一支烟大概有46.4%的镉和26.4%的铅会进入肺部。(据《从吸烟前后香烟中微量元素含量的变化看吸烟的危害》 光谱学与光谱分析 2007.9)而按照镉含量最多的一个品牌的香烟来算,一克含5.4微克的镉,一包香烟的烟丝大概14克,那么抽一包烟就吸进去了35微克的镉。差不多三个月的时间,体内聚集的镉就足够有害了。
重金属可能导致各种各样的病症,比如镉导致高血压,引起心脑血管疾病;破坏骨骼和肝肾,并引起肾衰竭;铅是重金属污染中毒性较大的一种,一旦进入人体将很难排除。能直接伤害人的脑细胞,特别是胎儿的神经系统,可造成先天智力低下。砷是砒霜的组分之一,有剧毒,会致人迅速死亡。长期接触少量,会导致慢性中毒。另外还有致癌性。这些重金 属中任何一种都能引起人的头痛、头晕、失眠、健忘、神精错乱、关节疼痛、结石、癌症。
2、应对措施 2.1农业方面
充分利用生物、物理防治的特点和化学防治为辅的病虫害综合防治技术,解决生物防治技术关键问题。生物、物理防治是烟草病虫害综合防治中的重要方法,是减少烟田化学农药的使用、降低烟叶中农药残留、保护生态环境、促进烟草农业的可持续发展的重要方法。据报道,改良剂能有效的降低重金属在土壤中的有效性,同时,抑制了烤烟对镐和铅的吸收,降低了叶片中镐、铅的含量。并且,降低了重金属对烤烟的毒害,促进了烤烟的生长,增加了烟叶产量,提高了烟叶质量。利用廉价的含磷物质可以用来治理铅、镐污染。在旱地上施用适量的硫化钠、石硫合剂等有利于镐、汞、铜、铅等重金属在土壤还原条件下生成硫化物沉淀。生成难溶的硫化物。在受镐污染的酸性、微酸性土壤中施用石灰或碱性炉灰等,提高土壤PH值,可以使活性镐转化为碳酸盐或氢氧化物等难溶物,改良效果显著。并且,施用石灰对土壤中铬具有明显的解毒效果。另外,施用石灰可以降低烟草对镍的吸收,减少镍的毒害。在土壤中加人铁锰矿物质后,土壤中的有效态镐含量明显降低;铁的施用也会减轻镍的毒害。在砷污染土壤中,施用磷酸盐并增施Fe2(SO4)3等化学改良剂,可生成FeAsO4、等难溶物以减少砷的危害。
农艺措施:1.调整布局因地制宜,调整布局,通过实施基本烟田保护制度,在规划基本烟田时,尽量远离土壤重金属污染区域,禁止在工矿企业周围和公路两旁种烟。2.选用品种通过对烟草重金属积累、分配有关基因型的差异比较与筛选,培育和选用重金属低积累的烟草新品种或者是根、径超积累而烟叶低积累的耐重金属烟草品种。3.改进种植制度通过种植不同的农作物,可减轻或消除土壤重金属的危害。例如可以种植抗性作物,如玉米抗镐能力强,马铃薯、甜菜等抗镍能力强等;或者,种植对某些重金属有富集能力的低等植物,可用于重金属污染土壤的净化。4.深耕深翻重金属污染的土壤,防治的根本办法就是深耕,将上下土层翻动混合,使表层土壤重金属含量减低。严重污染的要深翻土地,即挖去老土,换上新土,以彻底根除污染科学施肥增施有机肥根据种植农作物品种和土壤养分含量,进行科学配方施肥,并且结合增施有机肥,提高土壤有机质含量,增加和改善土壤胶体的种类和数量,以增加土壤胶体对重金属的吸附能力。如腐殖质能促进镐的沉淀等。同时,增加有机肥还可以改善土壤微生物的流动条件,加速生物降解过程,提高土壤净化能力。6.合理施用农药在农业生产中,既要控制化学农药的用量、使用范围、喷施次数和喷施时间,提高喷洒技术,还要改进农药剂型,合理使用农药,禁止或限制使用剧毒,高残留性农药,大力发展高效、低毒、低残留农药,发展生物防治措施。7.其他农艺措施初花打顶正常留叶,对下部叶和中部叶镐、铅、铬调控效果较好,对中部叶和上部叶干物质积累率贡献最大。在污染土壤上种植绿肥,或者繁殖非食用的种子,从而减少重金属进人食物链的途径。还可利用某些特定的动植物和微生物较快地吸走或降解土壤中的污染物质,以达到净化土壤的目的。2.2 工业方面
加大管理力度,对卷烟生产过程中可能会使卷烟中重金属含量增加的环节严格把控,选用安全的卷烟纸、滤棒等卷烟材料,尽量避免卷烟生产过程中重金属含量的增加,提高卷烟安全性。
点击咨询 