論網(wǎng)絡(luò)與信息安全

賴標寧

【摘要】本文針對防火墻的三種技術(shù)方式進行說明，并比較各種方式的特色以及可能帶來的安全風(fēng)險或效能損失。針對PKI技術(shù)這一信息安全核心技術(shù)，論述了其安全體系的構(gòu)成。

【關(guān)鍵詞】網(wǎng)絡(luò)安全防火墻PKI技術(shù)

一、防火墻技術(shù)

（1）包封過濾型：封包過濾型的控制方式會檢查所有進出防火墻的封包標頭內(nèi)容，如對來源及目地IP、使用協(xié)定、TCP或UDP的Port等信息進行控制管理?，F(xiàn)在的路由器、Switch Router以及某些操作系統(tǒng)已經(jīng)具有用Packet Filter控制的能力。（2）封包檢驗型：封包檢驗型的控制機制是通過一個檢驗?zāi)＝M對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版，目的是增加封包過濾型的安全性，增加控制“連線”的能力。（3）應(yīng)用層閘通道型：應(yīng)用層閘通道型的防火墻采用將連線動作攔截，由一個特殊的代理程序來處理兩端間的連線的方式，并分析其連線內(nèi)容是否符合應(yīng)用協(xié)定的標準。

二、加密技術(shù)

信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。

1、對稱加密技術(shù)。在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES（數(shù)據(jù)加密標準）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。

2、非對稱加密/公開密鑰加密。在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

三、PKI技術(shù)

PKI（Publie Key Infrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，PKI技術(shù)是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。

1、認證機構(gòu)。CA（Certification Authorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。

2、注冊機構(gòu)。RA（Registration Authorty）是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

3、密鑰備份和恢復(fù)。為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。

四、安全技術(shù)綜合應(yīng)用研究熱點

電子商務(wù)的安全性已是當前人們普遍關(guān)注的焦點，目前正處于研究和發(fā)展階段，它帶動了論證理論、密鑰管理等研究，因此網(wǎng)絡(luò)安全技術(shù)在21世紀將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會發(fā)展的推動力。

參考文獻

[1]步山岳，張有東.計算機安全技術(shù).高等教育出版社，2005年10月

[2]李振銀等.網(wǎng)絡(luò)管理與維護.中國鐵道出版社，2004

[3]馮登國.網(wǎng)絡(luò)安全原理與技術(shù).科技出版社，2003年9月