硕士学位论文-计算机网络信息安全技术研究.pdf

南京理工大学 硕士学位论文 计算机网络信息安全技术研究 姓名：杨旭 申请学位级别：硕士 专业：电子与通信工程 指导教师：皮德富;黄夫祥 20080601 摘要 随着计算机技术和通信技术的发展，计算机网络将日益成为重要信息交换手 段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁以及现实 客观存在的各种安全问题，采取强有力的安全策略，保障网络信息的安全，是每 一个国家和社会以及每一个团体和个人必须正视的事情。本文针对计算机网络应 用相关的基本信息安全问题和解决方案进行了研究。 本文从网络信息安全的基本概念和存在的安全问题入手，简单分析了信息加 密技术、数字摘要、数字签名、数字信封、数字证书等数字安全技术，着重论述 了防火墙技术在网络信息安全中的应用，分析了防火墙技术的功能、类型、体系 结构以及发展历程，探讨了新一代防火墙技术的发展和应用，并结合本人参加单 位信息化改造的工作实际设计了一种混合型的防火墙系统。 本文较为详细地论述了设计该型防火墙的目的和希望解决的问题，给出了该 型防火墙的结构组成，阐述了其功能原理，并为实现了相关功能编制了该型防火 墙的配制文件。该型防火墙在内部网和外部网之间形成一个屏蔽子网，可以较好 地抵御来自内外部的威胁，可自动根据具体情况完成内外主机的通信，可智能更 新信息的过滤规则、自动配置过滤策略，具有防病毒功能，能自动生成事件日记， 同时还提供了w e b 、m a i l 等服务。 关键词：信息安全安全技术防火墙技术计算机网络 a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e ra n dc o m m u n i c a t i o nt e c h n o l o g y , t h ec o m p u t e r n e tw i l lp e n e t r a t ee v e r yf i e l do fo u rs o c i a ll i f ea sa ni m p o r m tm e t h o do fe x c h a n g i n g i n f o r m a t i o n s o ，r e c o g n i z i n gt h ef r a n g i b i l i t ya n dp o t e n t i a lt h r e a t e n so ft h en e ta n d s o m ee x i s t e n ts e c u r i t yp r o b l e m so b j e c t i v e l y , t a k i n ge f f e c t i v e l ys e c u r i t ys t r a t e g ya n d e n s u r i n gt h es e c u r i t yo ft h en e ti n f o r m a t i o na r et h et h i n g st h a te v e r yc o u n t r y , a n d g r o u pa n de v e r yp e r s o nm u s te n v i s a g e 1 1 l eb a s i ci n f o r m a t i o ns e c u r i t yp r o b l e m sa n d t h es o l u t i o n sr e l a t i n gt ot h ea p p l i c a t i o no ft h ec o m p u t e rn e th a v eb e e nw o r k e di nt h e p a p e r f r o mt h eb a s i cc o n c e p ta n de x i s t e n tp r o b l e mo ft h en e ti n f o r m a t i o ns e c u r i t y , s o m ed i g i t a ls e c u r i t yt e c h n o l o g i e s ，s u c ha si n f o r m a t i o nc r y p t o g r a p h yt e c h n o l o g y , d i g i t a la b s t r a c t , d i g i t a ls i g n a t u r e ，d i g i t a le n v e l o p ea n dd i l g i t a lc r e d e n t i a l sh a v eb e e n a n a l y z e di nt h ep a p e r a n dt h ea p p l i c a t i o no ft h ef i r e w a l lt e c h n o l o g yi nt h en e t i n f o r m a t i o ns e c u r i t y , t h ef u n c t i o n s , t y p e sa n ds y s t e ms t r u c t u r eo ft h ef i r e w a l l t e c h n o l o g y , a n dt h ed e v e l o p m e n ta n da p p l i c a t i o no f t h en e w g e n e r a t i o no f t h ef i r e w a l l t e c h n o l o g yh a v eb e e nd i s c u s s e d f i n a l l y , u n i f i e dt h ew o r ka c t u a l l y , ak i n do fm i x e d f i r e w a l ls y s t e mh a sb e e nd e s i g n e d i nt h i sp a p e r , t h ep u r p o s e so fd e s i g n i n gt h ef i r e w a l la n dt h eq u e s t i o n st h a t e x p e c t i n gt or e s o l v ea l ee x p o u n d e di nd e t a i l ，t h es t r u c t u r eo ft h ef i r e w a l li sg i v e n , i t s f u n c t i o n sa n dp r i n c i p l ea l es t a t e da n di t sf o r m u l a t i n gf i l e sa 豫d r a w nu pi no r d e rt o a c h i e v et h er e l a t e df u n c t i o n s t h e r ei sas h i e l d i n gs u b n e tb e t w e 圮1 1i n t e r n a ln e ta n d e x t e r n a ln e t 1 1 1 es h i e l d i n gs u b n e tc a np r o t e c ty o u rn e t w o r kf r o mi n t e r n a la n de x t e r n a l t h r e a t s ，a u t o m a t i c a l l yb r i n ga b o u tc o m m u n i c a t i o nb e t w e e ni n t e r n a la n de x t e r n a ln e t a c c o r d i n gt o t h ec o n c r e t e c o n d i t i o n s ，i n t e l l i g e n t l yr e n e wt h ef i l t e r i n gr u l e so f i n f o r m a t i o n , a u t o m a t i c a l l yd i s p o s et h ef i l t e r i n gp o l i c i e s ，i tc a na n t i v i r u s e sa n dt h e n g e n e r a t ee v e n tf i l e sa u t o m a t i c a l l y , s i m u l t a n e o u s l y , i ta l s oo f f e r ss e r v i c e ss u c ha sw e b a n dm a i l i n f o r m a t i o ns e c u r i t y f i r e w a l lt e c h n o l o g y s e c u r i t yt e c h n o l o g y c o m p u t e rn e t 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在本 学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发表或 公布过的研究成果，也不包含我为获得任何教育机构的学位或学历而使 用过的材料。与我一同工作的同事对本学位论文做出的贡献均已在论文 中作了明确的说明。 研究生签名：塑逛竺丝：瑚年6 月怕 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅或 上网公布本学位论文的部分或全部内容，可以向有关部门或机构送交并 授权其保存、借阅或上网公布本学位论文的部分或全部内容。对于保密 论文，按保密的有关规定和程序处理。 研究生签名：黼年莎月吒 工程硕士学位论文 计算机网络信息安全技术研究 1 绪论 1 1 研究背景 信息社会的到来给全球发展带来了契机，信息技术的运用引起了人们生产方 式，生活方式和思想观念的转变，极大地促进了人类社会发展和人类文明的进步， 把人们带进了崭新的时代；信息系统的建设逐步成为各个领域不可或缺的基础设 施：信息成为社会发展的重要战略资源，决策资源和控制战场的灵魂，信息化水 平成为衡量一个国家现代化水平的程度和综合国力的重要标志，抢占信息资源成 为国际竞争的重要内容。 国家及时提出了大力推进国民经济和社会信息化，并做出了“以信息化带动 工业化，发挥后发优势，实现社会生产力跨越式发展”的重要决策。党的“十六 大“ 提出要“坚持以信息化带动工业化，以工业化促进信息化刀，“优先发展信息 产业，在经济和社会领域广泛应用信息技术“ 。明确了我国经济发展的道路，赋 予了信息产业新的历史使命。信息网络系统的建设和应用必须成为新世纪国家发 展的重点。然而人们在享受网络信息所带来的利益的同时，也面临着信息安全的 严峻考验。信息安全成为世界性的现实问题，信息安全与国家安全，民族兴衰和 战争的胜负息息相关，没有信息安全就没有完全意义上的国家安全，也没有真正 意义上的政治，军事和经济安全。面对日益经济信息全球化趋势，我们既要看到 它带给我们的机遇，同时也应该正视它所引发的挑战【l 】。 随着计算机网络技术的不断发展，全球信息化已成为人类发展的大趋势，计 算机网络已经在国防军事领域、金融、电信、证券、商业以及日常生活中得到了 大量的应用，特别是不久前美国成立了网络战司令部，提出了网络中心战等思想， 这就尤显网络技术的重要性。但由于计算机网络具有联结形式多样性、终端分布 不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件 和其他不轨的攻击。所以网上信息的安全和保密是一个至关重要的问题。因此， 网络必须有足够强的安全措施，否则网络将是无用的，相反会给使用者带来各方 面危害，严重的甚至会危及国家安全。无论是在局域网还是在广域网中，都存在 着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全 方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性 和可用性。 国家早在“十五”国民经济发展计划中就决定了要强化“信息网络的安全保障 体系一加速信息安全的研发。当前，加强信息安全保障能力已成为我国信息化 l 绪论 工程硕士学位论文 发展的当务之急，仅2 0 0 6 我国电子政务网络安全方面暴露问题比较突出的有五 个方面：计算机病毒泛滥；木马程序带来安全保密方面的隐患；易受黑客攻击特 别是洪流攻击：垃圾邮件阻塞网络；网络安全的威胁开始蔓延到应用的环节，其 中w m d o w s 占7 0 、1 5 n i x 占3 0 ：2 0 0 7 年截获的病毒样本中，木马和后门程 序到了8 4 5 ，因盗号木马引起的网上资产失窃的金额超过1 0 亿人民币，而在 全球范围内也是同样趋势，互联网安全威胁问题已经从病毒转向了以获取经济利 益为目的的木马，据国际数据公司发布的数据，全球网上失窃资产规模已经猛增 1 0 亿美元，相当于4 个北京奥运“鸟巢，从制造、传播、到盗窃账户、第三方 平台销赃、洗钱，目前木马病毒领域已形成了一条分工明确的网上黑色产业链。 目前美国每年由于网络安全问题而遭受的经济损失超过1 7 0 亿美元，德国、英国 也均在数十亿美元以上，法国为1 0 0 亿法郎，日本、新加坡问题也很严重。在国 际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。因此，网 络信息安全已成为国民经济各领域的电子化成败的关键，成为提高民族生存能力 的头等大事。 目前在信息安全技术处于领先的国家主要是美国、法国、以色列、英国、丹 麦、瑞士等西方发达国家。首先，这些国家在计算机网络硬件技术上特别是在芯 片技术上有着较大优势，我国在此方面虽有研究和一些产品，但关键技术和主要 设备都依赖国外；其次，这些国家在信息安全理论上( 密码理论、安全协议理论、 安全体系结构理论、信息对抗理论等) 的研究领先我国较多，他们已建立了系统 的理论基础，同时也建立了实际应用技术标准和体系：第三，这些国家的信息安 全技术的实际应用广泛，例如电子政务、企业信息化等。他们的领先优势主要集 中在防火墙、安全路由器、虚拟专用网( 吁d 、安全服务器、电子签证机构一c a 和p k i 、用户认证产品、安全管理中心、入侵检测系统( m s ) 、安全数据库、安 全操作系统、漏洞扫描、防杀毒、身份认证等安全产品上。由上述可见，由于我 国国内缺乏有独立自主知识产权的关于计算机网络信息安全方面的软硬技术、理 论以及相关产品，同时由于我国在此方面的研究起步晚，整体意识差，虽然近几 年来，我国也进行了安全操作系统、安全数据库、多级安全机制、反病毒等方面 的研究，但由于自主安全内核受控于人，且网络安全的解决是一个综合性问题， 涉及到诸多因素，包括技术、产品和管理等，非一朝一夕可以解决的问题，我国 在此领域的研究与应用与先进国家和地区存在很大差距。因此为了构筑2 l 世纪 国家信息安全保障体系，有效地保障国家安全、社会稳定和经济发展，就必须尽 快致力于增强广大民众的信息安全意识，提升信息系统的研发、生产、使用、维 2 工程硕士学位论文计算机网络信息安全技术研究 护和提高管理人员的素质和能力，建立自己的技术标准和体系，不断研制出更新 的网络安全技术和产品，以应对不断出现的危及网络信息安全的挑战。 公司为了发展的需要，整体搬迁新址，借此契机公司决定对科研、生产、综 合管理进行全面的信息化改造，以保证信息的内外部畅通传递和无缝连接，从而 节约成本、合理利用资源、提高工作效率，为公司增加经济效益。因此，如何保 证公司网络的安全就成为本次信息化建设首先考虑解决的问题。 1 2 信息安全概述 1 2 1 信息安全基本概念 “信息安全“ 曾经仅是学术界所关心的事情，就像“计算机“ 、“网络这些 术语一样，以前都是学术界从事具体研究的人员想了解其究竟解决相关问题。现 在，“信息安全“ 因各种原因( 计算机和互联网的普及) 已经为广大公众所熟知， 尽管尚不能做到家喻户晓，随着对计算机和互联网的依赖行增强，危及信息安全 的因素的日益增多，对“信息安全刀的认识和重视程度逐渐提高，但对“信息安 全一的理解则各式各样，“计算机安全：“网络安全、“信息内容安全一等等，都 是不同层面的对“信息安全一理解和表达。其实，国内外对“信息安全“ 也没有 统一的定义闭 。 ( 2 加密步骤 在满足下面条件的基础上对明文进行分组：m ； d w m a s k = s e e di 5 3 ； t h i sg i v e sy o u33 2 - b i t ”s e e d s ”，o r9 6b i t st o t a l f o r ( i l = 4 ) ；i l p p 2 ) r e t u r n ( 1 ) ； r e t u r n ( o ) ； ) h a ti 1 ； u n s i g n e dl o n g a p r a n d o m 2 5 6 ； u n s i g n e dl o n ga r a n d o m 2 5 6 ；s a m ea r r a ya sb e f o r e ，i nt h i sc a s e i n ta r e s u l t 2 5 6 ；r e s u l t sg oh e r e f o r ( i l = o ；i l 2 5 6 ；i l 抖) a p r a n d o m i 1 】= a r a n d o m + i l ； ) n o ws o r ti t q s o r t ( a p r a n d o m , 2 5 6 ，s i z e o f ( a p r a n d o m ) ，m y s o r t p r o c ) ； f i n a ls t e p - o f f s e t sf o rp o i n t e r sa r ep l a c e di n t o o u t p u ta r r a y f o r ( i l = o ；i l 2 5 6 ；i l 抖) 1 9 2 信息加密技术 工程硕士学位论文 a r e s u l t i l = ( i n o ( a p r a n d o m i l a r a n d o m ) ； ) 变量a r e s u l t 中的值应该是一个排过序的唯一的一系列的整数的数组，整数的 值的范围均在0 到2 5 5 之间。这样一个数组是非常有用的，例如：对一个字节对 字节的转换表，就可以很容易并且非常可靠的来产生一个短的密钥( 经常作为一 些随机数的种子) 。这样一个表还有其他的用处，比如说：来产生一个随机的字 符，计算机游戏中一个物体的随机的位置等等。上面的例子就其本身而言并没有 构成一个加密算法，只是加密算法一个组成部分。 作为一个测试，开发了一个应用程序来测试上面所描述的加密算法。程序本 身都经过了几次的优化和修改，来提高随机数的真正的随机性和防止会产生一些 短的可重复的用于加密的随机数。用这个程序来加密一个文件，破解这个文件可 能会需要非常巨大的时间以至于在现实上是不可能的。 2 6 其它数字加密技术 2 6 1 数字摘要 数字摘要又称数字指纹、安全h a s h 编码法( s h a ：s e c u r eh a s ha l g o r i t h m ) 或m d s ( m ds t a n d a r d sf o rm e s s a g ed i g e s t ) ，它是使用单向h a s h 函数加密算法 对一个任意长度的报文进行加密，摘要成一串1 2 8 比特的秘文，这段密文称为数 字摘要或报文摘要【1 9 1 。数字摘要是一个唯一对应一段数据的值，它所谓单向是指 不能被解密。不同的数据其摘要不同，相同数据其摘要也相同，因此摘要成为数 据的“指纹一，以验证消息是否是“真身“ 。 缺图 2 6 2 数字签名 对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进 行破坏，以及如何确定发信人的身份还需要采取其它的手段，这一手段就是数字 签名。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子 商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技 术。在电子商务中，完善的数字签名应具备签字方不能抵赖、他人不能伪造、在 公正人面前能够验证真伪的能力例。 目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另 一类应用。它的主要方式是，报文的发送方从报文文本中生成一个1 2 8 位的散列 值( 或报文摘要) 。发送方用自己的私人密钥对这个散列值进行加密来形成发送 工程硕士学位论文计算机网络信息安全技术研究 方的数字签名，然后，这个数字签名将作为报文的附件和报文一起发送给报文的 接收方。报文的接收方首先从接收到的原始报文中计算出1 2 8 位的散列值( 或数 字指纹) ，接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果 两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能 够实现对原始报文的鉴别。 ( 1 ) 结合数字摘要的数字签名 公开密钥由于其算法的复杂性及加密解密的速度太慢等缺陷，不适用于大容 量文件的传输，因此，对大容量文件的处理常常采用数字摘要的形式口1 1 。首先采 用h a s h 函数算法，对原文信息进行加密压缩形成数字摘要。然后，使用a 自己 的私有密钥对数字摘要进行加密，将结果与原文一起传送。b 使用a 的公开密 钥对数字摘要进行解密，然后，采用h a s h 函数算法对原文信息进行加密压缩形 成数字摘要，并与收到的数字摘要进行比较。这种方式在提供数字签名的同时， 保证了数据的完整性阎。 ( 2 ) 直接用私钥进行加密的数字签名 如果签名数据很短，也可以不做h a s h 函数运算，直接用私钥对签名数据加 密而完成数字签名行为【2 3 1 ，如图4 2 所示： ar 明支：m 加密 密文c 解密 明文m a 的私钥a 鹊公钥 图2 5 直接用私钥进行加密的数字签名 2 6 3 数字信封 所谓数字信封就是信息发送端用接受端的公钥，将一个对称通信密钥进行加 密，形成的数据称为数字信封1 2 4 。此数字信封传送给接收端，只有指定的接收方 才能用自己的私钥打开数字信封，获取该对称密钥，由于，接收方可以用以解读 传送来的密码通信信息。这就好比在生活中，将一把钥匙装在信封中，邮寄给对 方，对方收到信件后，取出钥匙打开保险柜的道理一样圆。如图4 3 所示： 2 i 2 信息加密技术工程硕士学位论文 随机对称密钥 明支m 密钥密文 网 神 u 随机对称密钥 密文c 明文m 图2 6 数字信封 使用数字信封的过程如下： ( 1 ) a 产生随机对称密钥，并对明文m 加密得到密文c ： ( 2 ) a 使用b 的公钥对随机对称密钥进行加密得到密钥密文( 这部分称为 数字信封) ，并连同密文c 一起传送给b ： ( 3 ) b 首先使用自己的私有密钥对密钥密文进行解密，取出随机对称密钥； ( 4 ) b 使用随机对称密钥对密文c 进行解密，得到数据明文。 数字信封将对称密钥和非对称密钥巧妙结合，是两种技术的综合运用，分别 体现了两者的优点。 2 6 4 数字时间戳 数字时间戳又称时间戳，是由第三方提供的一种对可信时间标志的服务，通 过该服务获得的时间戳数据可以用来证明在某一时刻数据已经存在。数字签名配 合时间戳服务，能更好地支持数据的抗抵赖【2 6 l 。 在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造 和篡改的关键内容。数字时间戳服务( d i g i t a lt i m es t a m ps e r v i c e ，简称d t s ) 是 网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保， 护。 数字时间戳( d i g i t a lt i m es t a m p ) 是一个经加密后形成的凭证文档，它包括 三个部分： 需加时间戳的文件的摘要； d t s 收到文件的日期和时间； d t s 的数字签名。 旷国，l， 工程硕士学位论文计算机网络信息安全技术研究 一般来说，数字时间戳产生的过程为：用户首先将需要加时间戳的文件用h a s h 编码加密形成摘要，然后将该摘要发送到d t s ，d t s 在加入了收到文件摘要 的日期和时间信息后再对该文件加密( 数字签名) ，然后送回用户。 书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由 认证单位d t s 来加的，以d t s 收到文件的时间为依据。 2 6 5 数字证书 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一 种在i n t e m e t 上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的 身份证阳。它是由一个权威机构c a 机构，又称为证书授权中心发行的，c a 是负责签发证书、认证证书、管理已颁发证书的机关 2 8 1 。它要制定政策和具体步 骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和 公钥的拥有权。c a 也拥有一个证书( 内含公钥) 和私钥。网上的公众用户通过 验证c a 的签字从而信任c a ，任何人都可以得到c a 的证书( 含公钥) ，用以验 证它所签发的证书。 ( 1 ) 数字证书的内容 一个标准的x 5 0 9 数字证书包含以下内容1 2 9 1 ： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法： 证书的发行机构名称，命名规则一般采用x 5 0 0 格式； 证书的有效期，现在通用的证书一般采用u t c 时间格式，它的计时范围为 1 9 5 0 2 0 4 9 ； 证书所有人的名称，命名规则一般采用x 5 0 0 格式； 证书所有人的公开密钥； 证书发行者对证书的签名。 ( 2 ) 数字证书功能 在现实生活中，数字证书的功能归纳起来有以下几个方面： 验证签名者身份； 表明签名者确认被签名文件的内容； 确保已签名文件的内容不被篡改； 防止签名者的抵赖行为。 ( 3 ) 证书授权中心 2 信息加密技术工程硕士学位论文 c a 机构作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法 性检验的责任。c a 中心为每个使用者公开密钥的用户发放一个数字证书，数字 证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。c a 机构 的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与 网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。 由此可见，建设证书授权( c a ) 中心，是开拓和规范电子商务市场必不可 少的一部分。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整 性和不可抵赖性，不仅需要对用户的身份真实性进行验证，也需要有一个具有权 威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、 国际安全电子交易协议标准的电子商务安全证书f 3 0 l 。 2 6 6 安全认证协议 在线支付是电子商务实践活动的一个重要环节，为了保证在线支付的安全， 需要采用数据加密等多种电子商务技术。在现实生活中，不同企业会采用不同的 手段来实现，这些就在客观上要求有一种统一的标准支持。目前，有两种安全认 证协议被广泛应用，即安全套接层协议和安全电子交易协议。 ( 1 ) 安全套接层协议 安全套接层协议( s e c u r es o c k e tl a y e r , 简称s s l ) ，是n e t s c a p e 公司提出 的基于w e b 应用的安全协议。它包括：服务器认证、客户认证( 可选) 、s s l 链路上的数据完整性和s s l 链路上的数据保密性【3 1 1 。对于电子商务应用来说， 使用s s l 可保证信息的真实性、完整性和保密性，主要适用于点对点之间的信 息传输，常用w e bs e r v e r 方式。但由于s s l 不对应用层的消息进行数字签名， 因此不能提供交易的不可否认性，这是s s l 在电子商务中使用的最大不足。有 鉴于此，n e t s c a p e 公司从c o m m u n i c a t o r 4 0 4 版开始的所有浏览器中引入了一种 被称作。表单签名( f o r ms i g n i n g ) “ 的功能，在电子商务中，可利用这一功能来 对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易的不可 否认性。 综上所述，在电子商务中采用单一的s s l 协议来保证交易的安全是不够的， 但采用“s s l + 表单签名“ 模式能够为电子商务提供较好的安全性保证。 ( 2 ) 安全电子交易协议 电子商务在提供机遇和便利的同时，也面临交易的安全性问题。在网上购物 的环境中，持卡人希望在交易中保密自己的账户信息，使之不被他人盗用：商家 则希望客户的定单不可抵赖，并且，在交易过程中，交易各方都希望验明对方的 工程硕士学位论文计算机网络信息安全技术研究 身份，以防止被欺骗。针对这种情况，由美国v i s a 和m a s t e r c a r d 两大信用卡组 织联合国际上多家科技机构，共同制定了应用于i n t e m e t 上的以银行卡为基础进 行在线交易的安全标准，这就是安全电子交易协议( s e t ) 1 3 2 1 。它采用公钥密码 体制和x 5 0 9 数字证书标准，主要应用于b 2 c 模式中保障交易信息的安全性， 要应用于保障网上购物信息的安全性。 由于s e t 提供了消费者、商家和银行之间的认证，确保了交易数据的安全 性、完整性、可靠性和交易的不可否认性，特别是保证不将消费者银行卡暴露给 商家等优点，因此它成为了目前公认的信用卡网上交易的国际安全标准。 乱s e t 提供的服务：s e t 协议为电子交易提供了许多保证安全的措施，它 能保证电子交易的机密性、数据的完整性、交易行为的不可否认性和身份的 合法性。 确保商家和客户交易行为的不可否认性 s e t 协议的重点就是确保商家和客户身份认证和交易行为的不可否认性。其 理论基础就是不可否认机制，采用的核心技术包括x 5 0 9 数字证书标准、数字签 名、数字指纹、双重签名等技术。 确保商家和客户的合法性 s e t 协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验 证，可以确保交易中的商家和客户都是合法的、可信赖的。 保证客户交易信息的保密性和完整性 s e t 协议采用了双重签名技术对s e t 交易过程中消费者的支付信息和订单 信息分别签名，使得商家看不到支付信息，只能接收用户的订单信息；而金融机 构看不到交易内容，只能接收到用户支付信息和账户信息，从而充分保证了消费 者账户和定购信息的安全性。 b s e t 的安全性分析 采用数字指纹技术保证信息的完整性 s e t 协议是通过数字签名方案来保证消息的完整性和进行消息源的认证，数 字签名方案采用了与消息加密相同的加密原则。即数字签名通过r s a 加密算法 生成数字指纹，数字指纹是消息通过h a s h 函数处理后得到的唯一对应于该消 息的数值，消息中每改变一个数据位都会引起消息摘要中大约一半数据位的改 变。而两个不同的消息具有相同的数字指纹的可能性极其微小，因此h a s h 函 数的单向性使得从信息摘要得出信息的摘要的计算是不可行的。数字指纹的这些 特征保证了信息的完整性： 2 信息加密技术 工程硕士学位论文 采用公钥加密和私钥加密相结合的方法保证数据的保密性 s e t 协议中，支付环境的信息保密性是通过公钥加密法和私钥加密法相结合 的算法来加密支付信息而获得的。它采用的公钥加密算法是r s a 的公钥密码体 制，私钥加密算法是采用d e s 数据加密标准。这两种不同加密技术的结合应用 在s e t 中被形象的成为数字信封，r s a 加密相当于用信封密封，消息先以5 6 位 的d e s 密钥加密，然后装入使用1 0 2 4 位l i s a 公钥加密的数字信封在交易双方 传输。这两种密钥相结合的办法保证了交易中数据信息的保密性。 采用双重签名技术保证交易双方的身份认证 s e t 协议应用了双重签名( d u a ls i g n a t u r e ) 技术。在一项安全电子商务交 易中，持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡 人的支付指令对应的定购信息才能够按照定购信息发货；而银行只有确认了与该 持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。 为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的 同时不会侵犯顾客的私人隐私这一目的，set 协议采用了双重签名技术来保证 顾客的隐私不被侵犯。 2 6 7 信息隐藏技术 近几年来，在传统密码学之外崛起了一种新的信息安全技术信息隐藏技术 ( i n f o r m a t i o nh i d i n g ) ，又称为数字水印技术，它是运用各种信号处理的方法将 需要保密的信息隐藏在一般的声像数据中，当非法用户截获到含密文件后，他只 能解读文件载体的内容，而不会意识到其中含有秘密信息，或者即使知道其中含 有秘密信息也不能解读出来j 。 ( 1 ) 信息隐藏技术的基本原理 信息能够隐藏在多媒体数据中的原因有两方面： 氖多媒体信息本身存在很大的冗余性，从信息论的角度来看，未压缩的多 媒体信息的编码效率是很低的，所以将某些信息嵌入到多媒体信息中进行秘密传 送是完全可行的，并不影响到多媒体本身的传送和使用。 b 。人眼或人耳本身对某些信息都有一定的掩蔽效应，比如人眼对灰度的分 辨率只有几十个灰度级；对边沿附近的信息不敏感等。利用人的这些特点，可以 很好地将信息隐藏而不被察觉。 信息隐藏系统分为隐秘信息( 数字水印) 嵌入和隐秘信息提取两部分。隐秘 信息嵌入可以看成是通过嵌入函数f 进行函数映射s - - f ( c ，m ，k ) ，其中，c 代表 隐蔽载体，m 代表秘密信息，k 代表嵌入密钥。隐秘信息提取可看成隐秘信息嵌 工程硕士学位论文计算机网络信息安全技术研究 入的逆过程，信息提取可能需要原始的隐蔽载体，不需要原始隐蔽载体的信息提 取技术称为盲检测。由此可知，信息隐藏系统包含隐蔽载体、秘密信息、嵌入密 钥、隐藏算法四个要素【j 4 】。 嵌入到隐蔽载体中的秘密信息也称数字水印，它必须具有保真性、稳健性、 安全性和低复杂性等。所谓保真性也称不可见性，是指嵌入水印后的媒体在视觉 或听觉上不能明显感觉出来有什么区别。所谓稳健性是指水印系统能抵抗各种信 号处理和攻击的能力。所谓安全性是指水印不易被复制、伪造、非法检测和移去 的能力。所谓低复杂性，是指水印的嵌入和提取算法复杂度低，便于推广应用。 ( 2 ) 信息隐藏技术的优点 信息认证和访问控制技术相当于给要保护的信息加上一层门，可以防止非法 的用户接近和使用。密码技术的方法是要把保护的信息变化成非法用户无法看懂 的无意义的内容。而信息隐藏技术是要把保护的信息隐藏在多媒体载体中，使得 非法用户不会注意到隐藏信息的存在或不能检测到信息。信息隐藏技术不但能够 防止非法用户提取水印信息，而且能够躲避攻击。传统的密码技术可以用于保护 数字作品，但是媒体一旦解密后，就可以随意地传播、复制；同时，由于解密算 法的复杂性，所以难以满足实时性的要求，信息隐藏技术正好克服了这些缺点。 3 防火墙技术工程硕士学位论文 3 防火墙技术 3 1 防火墙技术概念 “防火墙“ 是一个通用术语，是指在两个网络之间执行控制策略的系统，是 在网络边界上建立的网络通信监控系统，用来保障计算机网络的安全，它是一种控 制技术，既可以是一种软件产品，又可以制作或嵌入到某种硬件产品中。 防火墙通常是由软件系统和硬件设备组合而成，在内部网和外部网之间构建 起安全的保护屏障，其一般结构如图3 1 所示。 图3 1 防火墙结构图 d b e - m a i l j e 务器 e b 服务器 从逻辑上讲，防火墙是起分隔、限制、分析的作用。实际上，防火墙是加强i n t r a n e t ( 内部网) 之间安全防御的一个或一组系统，它由一组硬件设备( 包括路由器、 服务器) 及相应软件构成。所有来自i n t e m e t 的传输信息或发出的信息都必须经过 防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特 定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分， 它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管 理。防火墙现在己成为各企业网络中实施安全保护的核心。 防火墙可以被看成是阻塞点。所有内部网和外部网之间的连接都必须经过该 阻塞点，在此进行检查和连接，只有被授权的通信才能通过该阻塞点。防火墙使 内部网络与外部网络在一定条件下隔离，从而防止非法入侵及非法使用系统资 源。同时，防火墙还可以执行安全管制措施，记录所以可疑的事件，其基本准则 有以下两点： 工程硕士学位论文 计算机网络信息安全技术研究 ( 1 ) 一切未被允许的就是禁止的。基于该准则，防火墙应封锁所有信息流， 然后对希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种十分 安全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全性高 于用户使用的方便性，用户所能使用的服务范围受到限制。 ( 2 ) 一切未被禁止的就是允许的。基于该准则，防火墙转发所有信息流，然 后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为用 户提供更多的服务。其弊端是，在日益增多的网络服务面前，网管人员疲于奔命， 特别是受保护的网络范围增大时，很难提供可靠的安全防护。 3 2 防火墙的功能【5 j ( 1 ) 防火墙是网络安全的屏障 一个防火墙( 作为阻塞点、控制点) 能极大地提高一个内部网络的安全性， 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通 过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全 的n f s 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议 来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如口选项中 源路由攻击和i c m p 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型 攻击的报文并通知防火墙管理员。 ( 2 ) 可以对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日 志记录，同时也能提供网络使用情况的统计数据。当发生可疑工作时，防火墙能 进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个 网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够 抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对 网络需求分析和威胁分析等也是非常重要的。 ( 3 ) 可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件( 如口令、加密、 身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比， 防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的 身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一体上。 ( 4 ) 可以防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限 制了局部或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非 3 防火墙技术工程硕士学位论文 常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而 引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火 墙就可以隐蔽那些透漏内部细节诸如f i n g e r 、d n s 服务。f i n g e r 显示了主机的所 有用户的注册名、真名，最后登陆时间和使用s h e l l 类型等。但是f i n g e r 显示的 信息非常容易被攻击者所熟悉。攻击者可以知道一个系统使用的频繁程度，这个 系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙 可以同样阻塞有关内部网络中d n s 信息，这样一台主机的域名和i p 地址就不会 被外界所了解。 除了安全作用，防火墙还支持具有i n t e m e t 服务特性的企业内部技术体系 v p n ，通过v p n ，将企事业单位在地域上分布在世界各地的l a n 或专用子网有 机地联成一个整体，不仅省去了专用通信线路，而且为信息共享提供了技术保障。 3 3 防火墙技术发展历程及现状 自从1 9 8 6 年美国d i g i t a l 公司在i n t e m e t 上安装了全球第一个商用防火墙系 统、提出防火墙的概念以来，防火墙技术得到了飞速的发展。目前有几十家公司 推出了功能不同的防火墙系统产品。第一代防火墙，又称包过滤防火墙，主要通 过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过，对 其进行转发，但这种防火墙很难抵御p 地址欺骗等攻击，而且审计功能很差阅。 第二代防火墙，也称代理防火墙，它用来提供网络服务级的控制，起到外部网络 向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部 网络的攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状 态监控功能防火墙，它可以对每一层的数据包进行检测和监控。随着网络攻击手 段和信息安全技术的发展，新一代的功能更强大、安全性更强的防火墙已经问世， 这个阶段的防火墙已超出了原来传统意义上防火墙的范畴，已经演变成一个全方 位技术集成系统，我们称之为第四代防火墙，它可以抵御目前常见的网络攻击手 段，如母地址欺骗、特洛伊木马攻击、i n t e m e t 蠕虫、口令探询攻击、邮件攻击 等等。 目前的防火墙主要有两种类型： 其一，是包过滤型防火墙。它一般由路由器实现，故也被称为包过滤路由器。 它在网络层对进出内部网络的所有信息进行分析，一般检查数据包的p 源地址、 口目标地址、t c p 端1 2 1 号、i c m p 消息类型，并按照信息过滤规则进行筛选，若 符合规则，则允许该数据包通过防火墙进入内部网，否则进行报警或通知管理员， 并且丢弃该包。这样一来，路由器能根据特定的规则允许或拒绝流动的数据，如： 工程硕士学位论文计算机网络信息安全技术研究 t e l n e t 服务器在t c p 的2 3 号端口监听远程连接，若管理员想阻塞所有