浅析网络安全技术（一）

第页共页浅析网络平安技术〔一〕浅析网络平安技术〔一〕【摘要】：^p：文中阐述了防火墙部署原那么，并从防火墙部署的位置详细阐述了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以分析^p，针对PKI技术这一信息平安核心技术，阐述了其平安体系的构成。【关键词】：^p：网络平安防火墙PKI技术1.概述网络防火墙技术的作为内部网络与外部网络之间的第一道平安屏障，是最先受到人们重视的网络平安技术，就其产品的主流趋势而言，大多数代理效劳器〔也称应用网关〕也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们终究应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Inter的接口处,以阻挡来自外部网络的入侵;其次,假如公司内部网络规模较大,并且设置有虚拟局域网(VLAN),那么应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,假如有条件,还应该同时将总部与各分支机构组成虚拟专用网()。安装防火墙的根本原那么是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。2.防火墙的选择选择防火墙的标准有很多,但最重要的是以下几条:2.1.总拥有本钱防火墙产品作为网络系统的平安屏障,其总拥有本钱(TCO)不应该超过受保护网络系统可能遭受最大损失的本钱。以一个非关键部门的网络系统为例,假设其系统中的所有信息及所支持应用的总价值为10万元,那么该部门所装备防火墙的总本钱也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。假如仅做粗略估算,非关键部门的防火墙购置本钱不应该超过网络系统的建立总本钱,关键部门那么应另当别论。2.2.防火墙本身是平安的作为信息系统平安产品,防火墙本身也应该保证平安,不给外部侵入者以可乘之机。假如像马其顿防线一样,正面虽然牢不可破,但进攻者可以轻易地绕过防线进入系统内部,网络系统也就没有任何平安性可言了。通常,防火墙的平安性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,假如系统管理员对防火墙不非常熟悉,就有可能在配置过程中遗留大量的平安破绽。2.3.管理与培训管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的本钱时,不能只简单地计算购置本钱,还必须考虑其总拥有本钱。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的平安产品供给商必须为其用户提供良好的培训和售后效劳。2.4.可扩大性在网络系统建立的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险本钱也会急剧上升,此时便需要增加具有更高平安性的防火墙产品。假如早期购置的防火墙没有可扩大性,或扩大本钱极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在平安程度要求不高的情况下,可以只选购根本系统,而随着要求的进步,用户仍然有进一步增加选件的余地。这样不仅可以保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。2.5.防火墙的平安性防火墙产品最难评估的方面是防火墙的平安性能,即防火墙是否可以有效地阻挡外部入侵。这一点同防火墙自身的平安性一样,普通用户通常无法判断。即使安装好了防火墙,假如没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测平安产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。3.加密技术信息交换加密技术分为两类：即对称加密和非对称加密。3.1.对称加密技术在对称加密技术中，对信息的加密和解密都使用一样的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。假如在交换阶段私有密钥未曾泄露，那么机密性和报文完好性就可以得以保证。对称加密技术也存在一些缺乏，假如交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES〔数据加密标准〕的一种变形，这种方法使用两个独立的56为密钥对信息进展3次加密，从而使有效密钥长度到达112位。3.2.非对称加密/公开密钥加密在非对称加密体系中，密钥被分解为一对〔即公开密钥和私有密钥〕。这对密钥中任何一把都可以作为公开密钥〔加密密钥〕通过非保密方式向别人公开，而另一把作为私有密钥〔解密密钥〕加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立平安通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些的数学难题之上，是计算机复杂性理论开展的必然结果。最具有代表性是RSA公钥密码体制。3.3.RSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的'公钥密码体制，其平安性是基于分解大整数的困难性。在RSA体制中使用了这样一个根本领实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描绘如下：公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)e与〔p-1〕(q-1)互素私有密钥：d=e-1{mod(p-1)(q-1)}加密：c=me(modn),其中m为明文，c为密文。解密：m=cd(modn)利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算才能，因此在目前和预见的将来，它是足够平安的。4.PKI技术PKI〔PublieKeyInfrastucture〕技术就是利用公钥理论和技术建立的提供平安效劳的根底设施。PKI技术是信息平安技术的核心，也是电子商务的关键和根底技术。由于通过网络进展的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种合适电子商务、电子政务、电子事务的密码技术，他可以有效地解决电子商务应用中的机密性、真实性、完好性、不可否认性和存取控制等平安问题。一个实用的PKI体系应该是平安的易用的、灵敏的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构〔CA〕、注册机构〔RA〕、策略管理、密钥〔Key〕与证书〔Certificate〕管理、密钥备份与恢复、撤消系统等功能模块的有机结合。4.1.认证机构CA〔CertificationAuthorty〕就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原那么，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强平安性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵敏也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，可以很好地和其他厂家的CA产品兼容。4.2.注册机构RA〔RegistrationAuthorty〕是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的根底。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的平安、灵敏，就必须设计和实现网络化、平安的且易于操作的RA系统。4.3.策略管理在PKI系统中，制定并实现科学的平安策略管理是非常重要的这些平安策略必须适应不同的需求，并且能通过CA和RA技术融入到CA和RA的系统实现中。同时，这些策略应该符合密码学和系统平安的要求，科学地应用密码学与网络平安的理论，并且具有良好的扩展性和互用性。4.4.密钥备份和恢复为了保证数据的平安性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证平安的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、平安性、可用性的重要因素。4.5.证书管理与撤消系统证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进展证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥疑心等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。5.平安技术的研究现状和动向我国信息网络平安研究历经了通信保密、数据保护两个阶段，正在进入网络信息平安研究阶段，现已开发研制出防火墙、平安路由器、平安网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络平安领域是一个综合、穿插的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新开展成果，提出系统的、完好的和协同的解决信息网络平安的方案，目前应从平安体系构造、平安协议、现代密码理论、信息分析^p和监控以及信息平安系统五个方面开展研究，各局部互相协同形成有机整体。国际上信息平安研究起步较早，力度大，积累多，应用广，在70年代美国的网络平安技术根底理论研究成果“计算机保密模型”〔Beu-Lapadula模型〕的根底上，指定了“可信计算机系统平安评估准那么”〔TCSEC〕，其后又制定了关于网络系统数据库方面和系列平安解释，形成了平安信息系统体系构造的准那么。平安协议作为信息平安的重要内容，其形式化方法分析^p始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析^p方法，但仍有局限性和破绽，处于开展的进步阶段。作为信息平安关键技术密码学，近年来空前活泼，美、欧、亚各洲举行的密码学和信息平安学术会议频繁。1976年美国学者提出的公开密钥密码体制，克制了网络信息系统密钥管理的困难，同时解决了数字签名问题，它是当前研究的热点。而电子商务的平安性已是当前人们普遍关注的焦点，目前正处于研究和开展阶段，它带动了论证理论、密钥管理等研究，由于计算机运算速度的不断进步，各种密码算法