于網絡所帶來的諸多不安全因素使得網絡使用者不得不采取相應的網絡安全對策�。為了堵塞安全漏洞和提供安全的通信服務,必須運用一定的技術來對網絡進行安全建設�����,這已為廣大網絡開發商和網絡用戶所共識�����。
現今主要的網絡安全技術有以下幾種:
一、加密路由器(Encrypting Router)技術
加密路由器把通過路由器的內容進行加密和壓縮,然后讓它們通過不安全的網絡進行傳輸,并在目的端進行解壓和解密�。
二�、安全內核(Secured Kernel)技術
人們開始在操作系統的層次上考慮安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全�。如S olaris操作系統把靜態的口令放在一個隱含文件中, 使系統的安全性增強�����。
三、網絡地址轉換器(Network Address Translater)
網絡地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,初衷是為了解決IP 地址不足,現多用于網絡安全���。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上�����。它使外部網絡看不到內部網絡, 從而隱藏內部網絡�,達到保密作用�����。
數據加密(Data Encryption)技術
所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數�����、解密鑰匙(Decryti on key)還原成明文�。加密技術是網絡安全技術的基石。
數據加密技術要求只有在指定的用戶或網絡下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用于加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的�����。按加密算法分為專用密鑰和公開密鑰兩種。
專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個算法�����。如DES和MIT的Kerberos算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據后,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題���。
DES是一種數據分組的加密算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩余的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,并在給定的密鑰參數條件下,進行多次迭代而得到加密密文���。
公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA算法���。
在計算機網絡中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)�����。通信加密又有節點加密���、鏈路加密和端--端加密3種���。
①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便于傳輸路由的選擇���。
②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。
③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護�。在始發節點上實施加密,在中介節點以密文形式傳輸,最后到達目的節點時才進行解密,這對防止拷貝網絡軟件和軟件泄漏也很有效。
在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施���。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資�����。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。
值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在于密鑰的管理,包括密鑰的生存�����、分發、安裝�����、保管�、使用以及作廢全過程�����。
(1)數字簽名
公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造�、抵賴�、冒充和篡改等問題�����。
數字簽名一般采用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的���。當然,簽名也可以采用多種方式,例如,將簽名附在明文之后�����。數字簽名普遍用于銀行、電子貿易等。
數字簽名不同于手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特征, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之后的,與文本信息是分離的。
(2)Kerberos系統
Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法���。
它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問�。從加密算法上來講,其驗證是建立在對稱加密的基礎上的。
Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:
①安全性高,Kerberos系統對用戶的口令進行加密后作為用戶的私鑰,從而避免了用戶的口令在網絡上顯示傳輸,使得竊聽者難以在網絡上取得相應的口令信息;
②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對于合法用戶來說是透明的;
③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全���。
Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,并且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配服務器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示�。
Kerberos有其優點,同時也有其缺點���,主要如下:
①、Kerberos服務器與用戶共享的秘密是用戶的口令字,服務器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字�����。如攻擊者記錄申請回答報文,就易形成代碼本攻擊���。
②�����、Kerberos服務器與用戶共享的秘密是用戶的口令字,服務器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊�。
③�����、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴于AS和TGS的性能和安全�����。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。
④�����、隨用戶數增加,密鑰管理較復雜���。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配���。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰
( 3 )�、PGP算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的�����。公開密鑰和分組密鑰在同一個系統中,公開密鑰采用RSA加密算法,實施對密鑰的管理;分組密鑰采用了IDEA算法,實施對信息的加密�����。
PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平臺上運行�����。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等�。
(4)、PEM算法
保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基于RSA和DES算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:
對所有報文都提供諸如:驗證、完整性�����、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等�。
PEM對報文的處理經過如下過程:
第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;
第二步,MIC(Message Integrity Code)計算;
第三步,把處理過的報文轉化為適于SMTP系統傳輸的格式�。
身份驗證技術
身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節���。
Web網上采用的安全技術
在Web網上實現網絡安全一般有SHTTP/HTTP和SSL兩種方式�����。
(一)�、SHTTP/HTTP
SHTTP/HTTP可以采用多種方式對信息進行封裝�。封裝的內容包括加密、簽名和基于MAC 的認證�。并且一個消息可以被反復封裝加密�����。此外,SHTTP還定義了包頭信息來進行密鑰傳輸�、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境���。
SHTTP并不依賴于特定的密鑰證明系統,它目前支持RSA���、帶內和帶外以及Kerberos密鑰交換�。
(二)�����、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標準。SSL廣泛應用于Intranet和Internet 網,其產品包括由Netscape���、Microsoft、IBM ���、Open Market等公司提供的支持SSL的客戶機和服務器,以及諸如Apa che-SSL等產品���。
SSL提供三種基本的安全服務,它們都使用公開密鑰技術。
①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL服務器之間的所有業務使用在SSL握手過程中建立的密鑰和算法進行加密�����。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽�����。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯�����。 ②信息完整性,確保SSL業務全部達到目的�����。如果Internet成為可行的電子商業平臺,應確保服務器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和服務器相互識別的過程�。它們的識別號用公開密鑰編碼,并在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識���。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者�。這樣就防止了其他用戶冒名使用證明���。證明本身并不提供認證,只有證明和密鑰一起才起作用�。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連���。與標準的HTTP連接申請不同,一臺支持SSL的典型網絡主機接受SSL連接的默認端口是443而不是80。
當客戶機連接該端口時,首先初始化握手協議,以建立一個SSL對話時段�。握手結束后,將對通信加密,并檢查信息完整性,直到這個對話時段結束為止���。每個SSL對話時段只發生一次握手���。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低�。一次SSL握手將發生以下事件:
1.客戶機和服務器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明�。證明的驗證包括:檢驗有效日期和驗證證明的簽名權限�����。
2.客戶機隨機地產生一組密鑰,它們用于信息加密和MAC計算�。這些密鑰要先通過服務器的公開密鑰加密再送往服務器�??偣灿兴膫€密鑰分別用于服務器到客戶機以及客戶機到服務器的通信�。
3.信息加密算法(用于加密)和hash函數(用于確保信息完整性)是綜合在一起使用的���。Netscape的SSL實現方案是:客戶機提供自己支持的所有算法清單,服務器選擇它認為最有效的密碼���。服務器管理者可以使用或禁止某些特定的密碼���。
代理服務
在 Internet 中廣泛采用代理服務工作方式, 如域名系統(DNS), 同時也有許多人把代理服務看成是一種安全性能�。
從技術上來講代理服務(Proxy Service)是一種網關功能,但它的邏輯位置是在OSI 7層協議的應用層之上�。
代理(Proxy)使用一個客戶程序,與特定的中間結點鏈接,然后中間結點與期望的服務器進行實際鏈接。與應用網關型防火墻所不同的是,使用這類防火墻時外部網絡與內部網絡之間不存在直接連接,因此 ,即使防火墻產生了問題,外部網絡也無法與被保護的網絡連接。
防火墻技術
(1)防火墻的概念
在計算機領域,把一種能使一個網絡及其資源不受網絡"墻"外"火災"影響的設備稱為"防火墻"�����。用更專業一點的話來講,防火墻(FireW all)就是一個或一組網絡設備(計算機系統或路由器等),用來在兩個或多個網絡間加強訪問控制,其目的是保護一個網絡不受來自另一個網絡的攻擊�����?����?梢赃@樣理解,相當于在網絡周圍挖了一條護城河,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查���。
防火墻的組成可以這樣表示:防火墻=過濾器+安全策略(+網關)���。
(2)防火墻的實現方式
①在邊界路由器上實現;
②在一臺雙端口主機(dual-homed host)上實現;
③在公共子網(該子網的作用相當于一臺雙端口主機)上實現,在此子網上可建立含有停火區結構的防火墻。
(3)防火墻的網絡結構
網絡的拓撲結構和防火墻的合理配置與防火墻系統的性能密切相關,防火墻一般采用如下幾種結構�����。
①最簡單的防火墻結構
這種網絡結構能夠達到使受保護的網絡只能看到"橋頭堡主機"( 進出通信必經之主機), 同時,橋頭堡主機不轉發任何TCP/IP通信包, 網絡中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持。但它把整個網絡的安全性能全部托付于其中的單個安全單元,而單個網絡安全單元又是攻擊者首選的攻擊對象,防火墻一旦破壞,橋頭堡主機就變成了一臺沒有尋徑功能的路由器,系統的安全性不可靠���。
②單網端防火墻結構
其中屏蔽路由器的作用在于保護堡壘主機(應用網關或代理服務) 的安全而建立起一道屏障�����。在這種結構中可將堡壘主機看作是信息服務器,它是內部網絡對外發布信息的數據中心,但這種網絡拓撲結構仍把網絡的安全性大部分托付給屏蔽路由器���。系統的安全性仍不十分可靠。
③增強型單網段防火墻的結構
為增強網段防火墻安全性,在內部網與子網之間增設一臺屏蔽路由器,這樣整個子網與內外部網絡的聯系就各受控于一個工作在網絡級的路由器,內部網絡與外部網絡仍不能直接聯系,只能通過相應的路由器與堡壘主機通信。
④含"?;饏^"的防火墻結構
針對某些安全性特殊需要, 可建立如下的防火墻網絡結構���。 網絡的整個安全特性分擔到多個安全單元, 在外?��;饏^的子網上可聯接公共信息服務器,作為內外網絡進行信息交換的場所�����。
網絡反病毒技術
由于在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力, 因此計算機病毒的防范也是網絡安全性建設中重要的一環�����。網絡反病毒技術也得到了相應的發展�����。
網絡反病毒技術包括預防病毒�、檢測病毒和消毒等3種技術�����。(1) 預防病毒技術,它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞�����。這類技術是:加密可執行程序�����、引導區保護�����、系統監控與讀寫控制(如防病毒卡)等。(2)檢測病毒技術,它是通過對計算機病毒的特征來進行判斷的技術,如自身校驗���、關鍵字�����、文件長度的變化等���。(3)消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序并恢復原文件的軟件�。
網絡反病毒技術的實施對象包括文件型病毒、引導型病毒和網絡病毒。
網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測;在工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等���。
隨著網上應用不斷發展,網絡技術不斷應用,網絡不安全因素將會不斷產生���,但互為依存的,網絡安全技術也會迅速的發展,新的安全技術將會層出不窮,最終Internet網上的安全問題將不會阻擋我們前進的步伐