網(wǎng)絡(luò)安全技術(shù)淺談
網(wǎng)絡(luò)安全技術(shù)淺談
論文關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;PKI技術(shù)
論文摘要:本文針對防火墻的三種技術(shù)方式進(jìn)行說明,并比較各種方式的特色以及可能帶來的安全風(fēng)險或效能損失。 并就信息交換加密技術(shù)的分類及RSA算法作以分析,針對PKI技術(shù)這一信息安全核心技術(shù),論述了其安全體系的構(gòu)成。
一、防火墻技術(shù)
包封過濾型:封包過濾型的控制方式會檢查所有進(jìn)出防火墻的封包標(biāo)頭內(nèi)容,如對來源及目地IP、使用協(xié)定、TCP或UDP的Port 等信息進(jìn)行控制,F(xiàn)在的路由器、Switch Router以及某些操作系統(tǒng)已經(jīng)具有用Packet Filter控制的能力。封包過濾型控制方式最大的好處是效率高,但卻有幾個嚴(yán)重缺點:管理復(fù)雜,無法對連線作完全的控制,規(guī)則設(shè)置的先后順序會嚴(yán)重影響結(jié)果,不易維護(hù)以及記錄功能少。
封包型:封包檢驗型的控制機制是通過一個檢驗?zāi)=M對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版,目的是增加封包過濾型的安全性,增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包,不同的封包檢驗方式可能會產(chǎn)生極大的差異。其檢查的層面越廣將會越安全,但其相對效能也越低。
封包檢驗型防火墻在檢查不完全的情況下,可能會造成問題。被公布的.有關(guān)Firewall-1的Fast Mode TCP Fragment的安全弱點就是其中一例。這個為了增加效能的設(shè)計反而成了安全弱點。
應(yīng)用層閘通道型:應(yīng)用層閘通道型的防火墻采用將連線動作攔截,由一個特殊的代理程序來處理兩端間的連線的方式,并分析其連線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作,而不會被client端或server端欺騙,在管理上也不會像封包過濾型那么復(fù)雜。但必須針對每一種應(yīng)用寫一個專屬的代理程序,或用一個一般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式,但也是效能最低的一種方式。
防火墻是為保護(hù)安全性而設(shè)計的,安全應(yīng)是其主要考慮。因此,與其一味地要求效能,不如去思考如何在不影響效能的情況下提供最大的安全保護(hù)。
二、加密技術(shù)
信息交換加密技術(shù)分為兩類:即對稱加密和非對稱加密。
1、 對稱加密技術(shù)
在對稱加密技術(shù)中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足,如果交換一方有N個交換對象,那么他就要維護(hù)N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的一種變形,這種方法使用兩個獨立的56為密鑰對信息進(jìn)行3次加密,從而使有效密鑰長度達(dá)到112位。
2、非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的難題之上,是復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。
三、PKI技術(shù)
PKI(Publie Key Infrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少接觸,因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),他能夠有效地解決電子商務(wù)應(yīng)用中的機密性、真實性、完整性、不可否認(rèn)性和存取控制等安全問題。一個實用的PKI體系應(yīng)該是安全的易用的、靈活的和的。它必須充分考慮互操作性和可擴展性。
1、認(rèn)證機構(gòu)
CA(Certification Authorty)就是這樣一個確保信任度的權(quán)威實體,它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關(guān)重要的,這不僅與密碼學(xué)有關(guān)系,而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外,靈活也是CA能否得到認(rèn)同的一個關(guān)鍵,它不需支持各種通用的國際標(biāo)準(zhǔn),能夠很好地和其他廠家的CA產(chǎn)品兼容。
2、注冊機構(gòu)
RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記,也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的安全、靈活,就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。
3、 密鑰備份和恢復(fù)
為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計和實現(xiàn)健全的密鑰方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。
4、證書管理與撤消系統(tǒng)
證書是用來證明證書持有者身份的電子介質(zhì),它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是,有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。
四、安全技術(shù)綜合應(yīng)用研究熱點
1976年美者提出的公開密鑰密碼體制,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難,同時解決了數(shù)字簽名問題,它是當(dāng)前研究的熱點。而的安全性已是當(dāng)前人們普遍關(guān)注的焦點,目前正處于研究和發(fā)展階段,它帶動了論證理論、密鑰管理等研究,由于運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)正處于探索之中。因此網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù),21世紀(jì)人類步入信息后,信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障,才能形成社會發(fā)展的推動力。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段,仍有大量的工作需要我們?nèi)パ芯俊㈤_發(fā)和探索,以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路,趕上或超過發(fā)達(dá)國家的水平,以此保證我國信息網(wǎng)絡(luò)的安全,推動我國國民的高速發(fā)展。
參考文獻(xiàn)
[1] 步山岳、張有東,計算機安全技術(shù),高等出版社。2005年10月
[2]李振銀等,網(wǎng)絡(luò)管理與維護(hù),中國鐵道出版社,2004
[3]馮登國,網(wǎng)絡(luò)安全原理與技術(shù),科技出版社,2003年9月
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 yyfangchan@163.com (舉報時請帶上具體的網(wǎng)址) 舉報,一經(jīng)查實,本站將立刻刪除