淺析網(wǎng)絡(luò)安全技術(shù)（二）

1、淺析網(wǎng)絡(luò)平安技術(shù)二摘要：文中闡述了防火墻部署原那么，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。并就信息交換加密技術(shù)的分類及RSA算法作以分析，針對PKI技術(shù)這一信息平安核心技術(shù)，闡述了其平安體系的構(gòu)成。關(guān)鍵詞：網(wǎng)絡(luò)平安防火墻PKI技術(shù)1.概述網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道平安屏障，是最先受到人們重視的網(wǎng)絡(luò)平安技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理效勞器也稱應(yīng)用網(wǎng)關(guān)也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢。那么我們終究應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;

2、其次,假設(shè)公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),那么應(yīng)該在各個VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,假設(shè)有條件,還應(yīng)該同時將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。安裝防火墻的根本原那么是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。2.防火墻的選擇選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:作為信息系統(tǒng)平安產(chǎn)品,防火墻本身也應(yīng)該保證平安,不給外部侵入者以可乘之機(jī)。假設(shè)像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者可以輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒有任何平安性可言了。通常,防火墻的平安

3、性問題來自兩個方面:其一是防火墻本身的設(shè)計是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,假設(shè)系統(tǒng)管理員對防火墻不非常熟悉,就有可能在配置過程中遺留大量的平安破綻。管理和培訓(xùn)是評價一個防火墻好壞的重要方面。我們已經(jīng)談到,在計算防火墻的本錢時,不能只簡單地計算購置本錢,還必須考慮其總擁有本錢。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會在T中占據(jù)較大的比例。一家優(yōu)秀秀的平安產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后效勞。在網(wǎng)絡(luò)系統(tǒng)建立的初期,由于

4、內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險本錢也會急劇上升,此時便需要增加具有更高平安性的防火墻產(chǎn)品。假設(shè)早期購置的防火墻沒有可擴(kuò)大性,或擴(kuò)大本錢極高,這便是對投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在平安程度要求不高的情況下,可以只選購根本系統(tǒng),而隨著要求的進(jìn)步,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅可以保護(hù)用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴(kuò)大了產(chǎn)品覆蓋面。防火墻產(chǎn)品最難評估的方面是防火墻的平安性能,即防火墻是否可以有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的平安性一樣,普通用戶通

5、常無法判斷。即使安裝好了防火墻,假設(shè)沒有實(shí)際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測平安產(chǎn)品的性能是極為危險的,所以用戶在選擇防火墻產(chǎn)品時,應(yīng)該盡量選擇占市場份額較大同時又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測試的產(chǎn)品。3.加密技術(shù)信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。在對稱加密技術(shù)中，對信息的加密和解密都使用一樣的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。假設(shè)在交換階段私有密鑰未曾泄露，那么機(jī)密性和報文完好性就可以得以保證。對稱加密技術(shù)也存在一些缺乏，假設(shè)交換一方有N個交換對象，那么他就要維護(hù)N個私有密鑰，對稱

6、加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES數(shù)據(jù)加密標(biāo)準(zhǔn)的一種變形，這種方法使用兩個獨(dú)立的56為密鑰對信息進(jìn)展3次加密，從而使有效密鑰長度到達(dá)112位。在非對稱加密體系中，密鑰被分解為一對即公開密鑰和私有密鑰。這對密鑰中任何一把都可以作為公開密鑰加密密鑰通過非保密方式向別人公開，而另一把作為私有密鑰解密密鑰加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立平安通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)

7、字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些的數(shù)學(xué)難題之上，是計算機(jī)復(fù)雜性理論開展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。RSA算法是Rivest、Shair和Adlean于1977年提出的第一個完善的公鑰密碼體制，其平安性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個根本領(lǐng)實(shí)：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。RSA算法的描繪如下：公開密鑰：n=pq(p、q分別為兩個互異的大素數(shù)，p、q必須保密)e與p-1(q-1)互素私有密鑰：d=e-1d(p-1)(q-1)加密：=e(dn),其中為明文，為密文。解密：=d(dn)利用目前已經(jīng)掌握的知識和理論，分

8、解2048bit的大整數(shù)已經(jīng)超過了64位計算機(jī)的運(yùn)算才能，因此在目前和預(yù)見的將來，它是足夠平安的。4.PKI技術(shù)AertifiatinAuthrty就是這樣一個確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由A簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明證書，任何相信該A的人，按照第三方信任原那么，也都應(yīng)當(dāng)相信持有證明的該用戶。A也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強(qiáng)平安性的A是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈敏也是A能否得到市場認(rèn)同的一個關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，可以很好地和其他廠家的A產(chǎn)品兼容。RA

9、RegistratinAuthrty是用戶和A的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是A頒發(fā)證書的基矗RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的平安、靈敏，就必須設(shè)計和實(shí)現(xiàn)網(wǎng)絡(luò)化、平安的且易于操作的RA系統(tǒng)。在PKI系統(tǒng)中，制定并實(shí)現(xiàn)科學(xué)的平安策略管理是非常重要的這些平安策略必須適應(yīng)不同的需求，并且能通過A和RA技術(shù)融入到A和RA的系統(tǒng)實(shí)現(xiàn)中。同時，這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)平安的要求，科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)平安的理論，并且具有良好的擴(kuò)展性和互用性。為了保證數(shù)據(jù)的平安性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實(shí)現(xiàn)健全的密鑰管理方案，保證平安的密鑰備份、

10、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強(qiáng)健性、平安性、可用性的重要因素。證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)展證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰疑心等一系列原因。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制，隨時查詢被撤消的證書。5.平安技術(shù)的研究現(xiàn)狀和動向我國信息網(wǎng)絡(luò)平安研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息平安研究階段，現(xiàn)已開發(fā)研制出防火墻、平安路由器、平安網(wǎng)關(guān)、黑客入侵檢測

11、、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)平安領(lǐng)域是一個綜合、穿插的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新開展成果，提出系統(tǒng)的、完好的和協(xié)同的解決信息網(wǎng)絡(luò)平安的方案，目前應(yīng)從平安體系構(gòu)造、平安協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息平安系統(tǒng)五個方面開展研究，各部分互相協(xié)同形成有機(jī)整體。國際上信息平安研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國的網(wǎng)絡(luò)平安技術(shù)根底理論研究成果“計算機(jī)保密模型BeuLapadula模型的根底上，指定了“可信計算機(jī)系統(tǒng)平安評估準(zhǔn)那么TSE，其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列平安解釋，形成了平安信息系統(tǒng)體系構(gòu)造的準(zhǔn)那

12、么。平安協(xié)議作為信息平安的重要內(nèi)容，其形式化方法分析始于80年代初，目前有基于狀態(tài)機(jī)、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和破綻，處于開展的進(jìn)步階段。作為信息平安關(guān)鍵技術(shù)密碼學(xué)，近年來空前活潑，美、歐、亞各洲舉行的密碼學(xué)和信息平安學(xué)術(shù)會議頻繁。1976年美國學(xué)者提出的公開密鑰密碼體制，抑制了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難，同時解決了數(shù)字簽名問題，它是當(dāng)前研究的熱點(diǎn)。而電子商務(wù)的平安性已是當(dāng)前人們普遍關(guān)注的焦點(diǎn)，目前正處于研究和開展階段，它帶動了論證理論、密鑰管理等研究，由于計算機(jī)運(yùn)算速度的不斷進(jìn)步，各種密碼算法面臨著新的密碼體制，如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)正處于探究之中。因此網(wǎng)