網(wǎng)絡(luò )安全技術(shù)淺析

　　摘要:本文針對防火墻的三種技術(shù)方式進(jìn)行說(shuō)明，并比較各種方式的特色以及可能帶來(lái)的安全風(fēng)險或效能損失。 并就信息交換加密技術(shù)的分類(lèi)及RSA算法作以分析，針對PKI技術(shù)這一信息安全核心技術(shù)，論述了其安全體系的構成。
　　關(guān)鍵詞:網(wǎng)絡(luò )安全;防火墻;PKI技術(shù)
　　
　　一、防火墻技術(shù)
　　
　　包封過(guò)濾型：封包過(guò)濾型的控制方式會(huì )檢查所有進(jìn)出防火墻的封包標頭內容，如對來(lái)源及目地IP、使用協(xié)定、TCP或UDP的Port 等信息進(jìn)行控制管理�，F在的路由器、Switch Router以及某些操作系統已經(jīng)具有用Packet Filter控制的能力。封包過(guò)濾型控制方式最大的好處是效率高，但卻有幾個(gè)嚴重缺點(diǎn)：管理復雜，無(wú)法對連線(xiàn)作完全的控制，規則設置的先后順序會(huì )嚴重影響結果，不易維護以及記錄功能少。
　　封包檢驗型：封包檢驗型的控制機制是通過(guò)一個(gè)檢驗模組對封包中的各個(gè)層次做檢驗。封包檢驗型可謂是封包過(guò)濾型的加強版，目的是增加封包過(guò)濾型的安全性，增加控制“連線(xiàn)”的能力。但由于封包檢驗的主要檢查對象仍是個(gè)別的封包，不同的封包檢驗方式可能會(huì )產(chǎn)生極大的差異。其檢查的層面越廣將會(huì )越安全，但其相對效能也越低。
　　封包檢驗型防火墻在檢查不完全的情況下，可能會(huì )造成問(wèn)題。被公布的有關(guān)Firewall-1的Fast Mode TCP Fragment的安全弱點(diǎn)就是其中一例。這個(gè)為了增加效能的設計反而成了安全弱點(diǎn)。
　　應用層閘通道型：應用層閘通道型的防火墻采用將連線(xiàn)動(dòng)作攔截，由一個(gè)特殊的代理程序來(lái)處理兩端間的連線(xiàn)的方式，并分析其連線(xiàn)內容是否符合應用協(xié)定的標準。這種方式的控制機制可以從頭到尾有效地控制整個(gè)連線(xiàn)的動(dòng)作，而不會(huì )被client端或server端欺騙，在管理上也不會(huì )像封包過(guò)濾型那么復雜。但必須針對每一種應用寫(xiě)一個(gè)專(zhuān)屬的代理程序，或用一個(gè)一般用途的代理程序來(lái)處理大部分連線(xiàn)。這種運作方式是最安全的方式，但也是效能最低的一種方式。
　　防火墻是為保護安全性而設計的，安全應是其主要考慮。因此，與其一味地要求效能，不如去思考如何在不影響效能的情況下提供最大的安全保護。
　　
　　二、加密技術(shù)
　　
　　信息交換加密技術(shù)分為兩類(lèi)：即對稱(chēng)加密和非對稱(chēng)加密。
　　1、 對稱(chēng)加密技術(shù)
　　在對稱(chēng)加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說(shuō)一把鑰匙開(kāi)一把鎖。這種加密方法可簡(jiǎn)化加密處理過(guò)程，信息交換雙方都不必彼此研究和交換專(zhuān)用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱(chēng)加密技術(shù)也存在一些不足，如果交換一方有N個(gè)交換對象，那么他就要維護N個(gè)私有密鑰，對稱(chēng)加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對方的。如三重DES是DES（數據加密標準）的一種變形，這種方法使用兩個(gè)獨立的56為密鑰對信息進(jìn)行3次加密，從而使有效密鑰長(cháng)度達到112位。
　　2、非對稱(chēng)加密/公開(kāi)密鑰加密
　　在非對稱(chēng)加密體系中，密鑰被分解為一對（即公開(kāi)密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開(kāi)密鑰（加密密鑰）通過(guò)非保密方式向他人公開(kāi)，而另一把作為私有密鑰（解密密鑰）加以保存。公開(kāi)密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開(kāi)密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱(chēng)加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領(lǐng)域。非對稱(chēng)加密體系一般是建立在某些已知的數學(xué)難題之上，是計算機復雜性理論發(fā)展的必然結果。最具有代表性是RSA公鑰密碼體制。

　　三、PKI技術(shù)
　　
　　PKI（Publie Key Infrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎設施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎技術(shù)。由于通過(guò)網(wǎng)絡(luò )進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸，因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，他能夠有效地解決電子商務(wù)應用中的機密性、真實(shí)性、完整性、不可否認性和存取控
　　制等安全問(wèn)題。一個(gè)實(shí)用的PKI體系應該是安全的易用的、靈活的和經(jīng)濟的。它必須充分考慮互操作性和可擴展性。
　　1、認證機構
　　CA（Certification Authorty）就是這樣一個(gè)確保信任度的權威實(shí)體，它的主要職責是頒發(fā)證書(shū)、驗證用戶(hù)身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò )用戶(hù)電子身份證明—證書(shū)，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶(hù)。CA也要采取一系列相應的措施來(lái)防止電子證書(shū)被偽造或篡改。構建一個(gè)具有較強安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個(gè)PKI系統的構架和模型有關(guān)。此外，靈活也是CA能否得到市場(chǎng)認同的一個(gè)關(guān)鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠(chǎng)家的CA產(chǎn)品兼容。
　　2、注冊機構
　　RA（Registration Authorty）是用戶(hù)和CA的接口，它所獲得的用戶(hù)標識的準確性是CA頒發(fā)證書(shū)的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個(gè)PKI系統的安全、靈活，就必須設計和實(shí)現網(wǎng)絡(luò )化、安全的且易于操作的RA系統。
　　3、 密鑰備份和恢復
　　為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實(shí)現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關(guān)系到整個(gè)PKI系統強健性、安全性、可用性的重要因素。
　　4、證書(shū)管理與撤消系統
　　證書(shū)是用來(lái)證明證書(shū)持有者身份的電子介質(zhì)，它是用來(lái)綁定證書(shū)持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書(shū)的整個(gè)生命周期里是有效的。但是，有時(shí)也會(huì )出現一個(gè)已頒發(fā)證書(shū)不再有效的情況這就需要進(jìn)行證書(shū)撤消，證書(shū)撤消的理由是各種各樣的，可能包括工作變動(dòng)到對密鑰懷疑等一系列原因。證書(shū)撤消系統的實(shí)現是利用周期性的發(fā)布機制撤消證書(shū)或采用在線(xiàn)查詢(xún)機制，隨時(shí)查詢(xún)被撤消的證書(shū)。
　　
　　四、安全技術(shù)綜合應用研究熱點(diǎn)
　　
　　1976年美國學(xué)者提出的公開(kāi)密鑰密碼體制，克服了網(wǎng)絡(luò )信息系統密鑰管理的困難，同時(shí)解決了數字簽名問(wèn)題，它是當前研究的熱點(diǎn)。而電子商務(wù)的安全性已是當前人們普遍關(guān)注的焦點(diǎn)，目前正處于研究和發(fā)展階段，它帶動(dòng)了論證理論、密鑰管理等研究，由于計算機運算速度的不斷提高，各種密碼算法面臨著(zhù)新的密碼體制，如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)正處于探索之中。因此網(wǎng)絡(luò )安全技術(shù)在21世紀將成為信息網(wǎng)絡(luò )發(fā)展的關(guān)鍵技術(shù)，21世紀人類(lèi)步入信息社會(huì )后，信息這一社會(huì )發(fā)展的重要戰略資源需要網(wǎng)絡(luò )安全技術(shù)的有力保障，才能形成社會(huì )發(fā)展的推動(dòng)力。在我國信息網(wǎng)絡(luò )安全技術(shù)的研究和產(chǎn)品開(kāi)發(fā)仍處于起步階段，仍有大量的工作需要我們去研究、開(kāi)發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過(guò)發(fā)達國家的水平，以此保證我國信息網(wǎng)絡(luò )的安全，推動(dòng)我國國民經(jīng)濟的高速發(fā)展。
　　
　　參考文獻
　　[1] 步山岳、張有東，計算機安全技術(shù)，高等教育出版社。2005年10月
　　[2]李振銀等，網(wǎng)絡(luò )管理與維護，中國鐵道出版社，2004
　　[3]馮登國，網(wǎng)絡(luò )安全原理與技術(shù)，科技出版社，2003年9月

【網(wǎng)絡(luò )安全技術(shù)淺析】相關(guān)文章：

淺析局域網(wǎng)網(wǎng)絡(luò )安全防范技術(shù)論文01-01

藍牙技術(shù)淺析03-19

關(guān)于ＲＡＩＤ技術(shù)淺析03-03

淺析視唱的技術(shù)處理03-18

淺析混凝土施工防水技術(shù)03-07

網(wǎng)絡(luò )安全技術(shù)淺談11-20

淺析核桃豐產(chǎn)栽培技術(shù)03-18

冬小麥越冬的防御技術(shù)淺析03-18

公路隧道施工技術(shù)淺析03-06