网络安全传输
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
MARKETING
RESEARCH
◇李
小彬郑洋薛宇摘要:各类目标的病毒、黑客,抑或技术性意外造成资料遗失、系统崩溃等给网络安全提出更多的思考。有数据显示,网络的开放性及黑客的攻击是造成网络不安全的主要原因。目前所使用的TCP/IP 协议是建立在可信的网络环境之下,这种基于地址的协议本身就会泄露口令,相互连接的主机同样基于互相信任的原则,这些性质使网络始终处于不安全状态。本文对网络数据安全传输作了简单介绍和分析,以期为网络安全技术提供参考。
关键词:安全传输;数据加密;密钥;身份认证
随着科技不断进步,网络技术日渐成熟,它给公众
的生活和工作带来诸多方便。如通过Internet 收发电子邮件、打IP 电话、网上购物、办理电子银行转账等。与此同时,随着网络技术的广泛应用,网络信息的安全保密问题也逐渐成为关注焦点。各类目标的病毒、黑客抑或技术性意外造成资料遗失、系统崩溃等给网络安全提出更多的思考。
我们必须清楚,对于部分网络安全问题,不可能立刻寻求特别有效的解决方案,甚至于根本无法彻底解决。病毒和反病毒程序就像“矛”与“盾”,网络与病毒、黑客永远是一对共存体。正因为这种共存,逐渐形成有利于技术发展进步的另一类平台。
人们期望网络安全,致使诸如加密、解密、数字签名技术的产生,并且仍在不断研究和发展中。在一个网络中传输数据,经常会有安全性考虑,特别是企业与客户间的专用数据的传输。本文即从网络安全传输角度作粗浅分析,以期为网络安全技术提供参考。
一、网络安全传输的技术分类
1.安全隐患与保障技术。目前,
网络传输的安全问题主要分成两大类:主动性和被动性。主动攻击可归纳为中断、篡改、伪造三种方式;被动攻击主要是攻击者监听网络上传递的信息流,从而获取信息内容,或仅仅希望得到信息流的长度、传输频率等数据。被动攻击往往很难检测出来,但容易预防;而主动攻击很难预防,但却容易检测出来。
上述威胁造成了网络传输的安全隐患,必须采取措施对
网络信息加以保护,以减少受到的攻击,保障网络信息安全和系统正常运行。通常,保障网络信息安全的方法有两大类:以防火墙为代表的被动防卫型和建立在数据加密、数字签名机制上的开放型网络安全保障技术。
2.防火墙技术。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。在逻辑上它是一个限制器,也是一个分析器,能够有效监控内部网络和Internet 之间的活动,保证内部网络安全。防火墙具有简单实用、透明度高的特点。一方面通过检查、分析、过滤从内部网流出的IP 包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构;另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
3.数据加密技术。数据加密实质是对以符号为基础的数据进行移位和置换的变换算法,这种变换受特定符号串的控制,这种特定符号串被称为密钥。
二、网络安全传输的理论分析
1.密码学应用。密码学是研究加密技术的学科,其用途就是解决种种难题。“互联网把全世界连在了一起”,走向互联网就意味着走向了世界。为了能在安全基础上打开通向世界之门,必须选择数据加密和基于加密技术的数字签名技术。加密技术在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。采用加密技术已成为当今网络社会进行文件或邮件安全传输的有效手段,并被广泛应用。
密码学除了提供机密性外,还有以下作用:
鉴别(Authentiation ),消息的接收者能够确认消息来源,入侵者不可能伪装成他人;
完整性(Integrity ),消息的接收者能够验证在传送过程中消息没有被修改,而且入侵者不可能用假消息代替合法消息;
抗顽性(Nonrepudiation ),发送者事后不可能否认他已经发送的消息。
密码学所提供的这些功能对于通过计算机进行消息传递是至关重要的。密码系统由密码算法以及所有可能的明文、密文和密钥组成。密码算法(Algorithm )是用于加密和解密的数学函数。
现代密码算法的安全性基于密钥的安全性,不是基于算法的细节,所以算法可以被公开、被分析,可以产生大量该算法的产品,也可以使用流行的硬件或软件产品。并且,因为算法是公开的,就可以征求广泛的意见和进行大量的测试,包括全世界的密码分析学家的分析和测试,从而形成标准化的产品。
2.对称算法(Symmetric algorithm )、公开密钥算法(Pub -lic_key algorithm)及两类算法比较。在早期的密钥密码体制中,典型的有代替密码和置换密码。现代各种对称密码算法本质上依然是各种代替和置换的结合。基于密钥的算法通常有两类:对称算法、公开密钥算法。
对称算法是一种传统密码算法。其加密和解密的密钥是
网
络安全传输的若干分析
123
各抒己见
70
MARKETING
RESEARCH
相同的,通信依赖于密钥。只要知道密钥,任何人都能对消息进行加密和解密。
DES(数据加密标准)是对称加密算法中最具代表性的。原是IBM公司为保护产品的机密研制成功的,后被美国国家标准局和国家安全局选为数据加密标准,并于1977年颁布使用。DES可以对任意长度的数据加密,实际可用密钥长度56比特,加密时,先将数据分为64比特数据块,采用ECB、CBC、CFB等模式之一,每次将输入的64比特明文变换为64比特密文,最终将所有输出数据块合并后实现数据加密。
除DES算法及其各种变形外,还有许多对称加密算法。如:Blowfish,它是Bruce Schneier设计的。Blowfish是一个64位分组的分组密码算法,由密钥扩展和数据加密两部分组成。密钥扩展把长度可达448位的密钥转变成总共4168字节的几个子密钥组。数据加密由一个简单函数迭代16轮,每一轮密钥相关置换,密钥相关和数据相关的代替组成。所有的运算都是32位的加法和异或,仅有的另一个运算是每轮的四个查表。
Blowfish使用了大量的子密钥,这些密钥必须在加密和解密之前进行预计算。Blowfish算法是非专利的,可用各种语言实现,因为该算法的安全性和高速加密,以及它的免费获得,所以是很理想的加密算法。
公开密钥算法又叫非对称算法。其加密和解密的密钥是不同的,而且解密密钥也无法从加密密钥中算出来。加密密钥是公开的,而解密密钥是需要保密的。其广泛地被应用在密钥管理和分配,以及数字签名和身份验证。
公开密钥密码体制中,每个用户保存一对密钥——
—公开密钥和秘密密钥,因此它又被为双钥体制或非对称密钥密码体制。典型的公钥算法如RSA是目前使用比较广泛的加密算法。
就两类算法的比较而言,两者解决的是不同问题。对称密码算法适合加密数据,因为它速度极快并且对选择明文攻击不敏感,而公开密钥密码算法擅长密钥管理和分配。
在实际应用中,公开密钥算法多用来进行管理和分发会话密钥(Session key)及数字签名,而这些会话密钥用在对称算法中,对通信消息进行加密。
3.数字签名。它基于加密技术,用来确定用户是否真实。数字签名特点为:签名是不可伪造的、签名是不可重用的、签名的文件是不可改变的、发送者事后不能抵赖对报文的签名。数字签名相对于手写签名在安全性上有以下好处:数字签名不仅与签名者的私有密钥有关,而且与报文的内容有关,因此,不能将签名者对一份报文签名复制到另一份报文上,同时,也能防止篡改报文内容。
可以看出,数据加密提供了通信的机密性,而数字签名在鉴别和完整性、抗抵赖方面被广泛应用。本质上讲,数字签名也是一种加密算法的应用。
4.密钥管理。密钥管理包括密钥的存储、备份、更换和销毁。在实际应用中,通常涉及许多方面,特别是如何产生、分配
和管理密钥。密钥选择首先要保证长度,最好是那种混合了大
小写字母、数字及其他符号的八位以上的密钥。密钥必须被保
存在安全的地方如磁盘中或ROM中。它的有效期也很重要,因为直接关系到保密的力度和对攻击者的诱惑力,使用时间
越长,被破解或泄露机会越大。因此,必须选择合适的周期更
换密钥,并安全销毁旧密钥。
三、Kerberos协议分析
Kerberos协议是一种为网络通信提供可信第三方服务的
面向开放系统的认证机制。它提供了身份认证和密钥管理分
配两种服务,使密钥的管理和分发变得容易,解决了签名和身
份认证的问题。Kerberos建立了一个安全的、可信任的密钥分
发中心(Key Distribution Center,KDC),每个用户只要知道一个
和KDC进行会话的秘密密钥就可以了。通信时,KDC会产生
随机的一次性会话密钥,这样黑客很难进行破解。该协议利用
用户的秘密密钥来证明自己的身份,并产生相应的证明票据。
Kerberos的安全性分析:一是旧的票据可能在有效期内被
利用来进行重放攻击,而防止很难;二是票据假设系统中所有
主机时钟都是基本同步的,如果欺骗服务器,使它的时钟发生
错误,旧的票据就可以重放,可能导致严重问题;三是Kerberos
对猜测口令攻击的防范也很脆弱,攻击者可以收集足够多的
票据寻找漏洞,找到口令;四是恶意软件攻击,攻破服务系统,所有秘密密钥就会被获取。
虽然Kerberos协议同样存在种种缺陷,但仍不失为一种
安全、方便且成本低廉的认证和密钥管理工具。从Win2000Server开始,就内置了Kerberos服务,并且提供了编
程接口。
四、结论
网络安全传输系统的实现是一项复杂的系统工程,涉及
的范围比较广泛。实践应用中,通过进行认证服务、采用RSA
公开密钥算法及密钥管理等各个步骤的完成,才能建立一个
安全的网络数据传输通道。所以,必须综合考虑和分析各种因素,重要的是通过这些分析以寻求更好的技术措施,从而达成
在公共互联网上的安全传输。
参考资料:
[1]谢希仁.计算机网络[M].大连理工大学出版社,1989年版.
[2](美)Bruce Schneier著,吴世忠,祝世雄,张文政等译.应用密
码学[M].机械工业出版社,2000年版;
[3]王锡林,林晓东,邢育森.计算机安全[M].人民邮电出版社,1997年版;
[4]Derek Atkins.Internet网络安全专业参考手册[M].机械工业
出版社,1998年版。
(作者单位:1.内乡县电业局;2.南阳鸭电公司;3.南阳供电
公司)
各抒己见
71