如何确保互联网数据传输的安全性

浅谈如何确保互联网数据传输的安全性

摘要信息安全一直是困扰互联网发展的重要障碍,而当前我国

互联网的信息安全现状不容乐观。本文分析了当前确保互联网信息安全的几种主要措施,并进行了简要分析。

关键字互联网;信息安全;数据传输

中图分类号 tp309文献标识码 a文章编号

1674-6708(2010)18-0113-01

0 引言

我国入世以后,面临着更加开放的发展环境。随着国家信息化建设的不断推进,对信息安全提出了更高的要求,在信息安全方面除

了采取必要的保护措施和相关的法规、政策外,努力掌握核心技术则更为重要。在保证像信息的机密性、真实性、完整性这些必要的信息安全中,公钥加密技术扮演着非常重要的角色。为了增强互联网的安全机制,主要采用防火墙技术、公开密钥加密技术、数据加密技术、数字签名、数字时间戳技术、身份认证和安全协议等。

1 基于身份验证的安全控制

为了防止各种假冒攻击,在执行真正的数据访问操作之前,要在

客户和数据库服务器之间进行双向身份验证,比如数据库系统服务器与服务器之间进行数据传输时,都需要验证身份。通过数字证书来进行身份验证。签名者用秘密密钥加密一个签名(可以包括姓名、证件号码、短信息等信息),接收人可以用公开的、自己的公开密钥来解密,如果成功,就能确保信息来自该公开密钥的所有人。

在鉴权过程中,最重要的是密钥生成技术和鉴权算法。在计算机网络中,对通信双方实体的身份认证,常规作法是采用加密鉴权协议,著名的kerberos协议是一种基于对层码体制的身份验证协议,kerberos是基于对称密码体制的双向身份验证协议,各站点从密钥管理中心获得与目标站点通信用的秘密密钥。在该协议中各站点从一个密钥管理中心站点获得与目标站点通信用的密钥,从而进行安全通信。由于密钥管理中心负责管理和安全分发大量密钥,容易造成系统性能瓶颈,而且系统内必须有一个被所有站点信任的密钥管理中心,因此该协议应用场合存在着一定的局限性。

为了简化站点间通信密钥的分发,开放式网络应用系统一般采用基于公钥密码体制的双向身份验证技术。在这种技术中,每个站点都生成一个非对称密码算法(如rsa)的公钥对,其中的私钥由站点自己保存,并可通过可信渠道将自己的公钥分发给系统中的其他站点。这样任意两个站点均可利用所获得的公钥信息相互验证身份。

2 数据加密进行保密通信

对于数据的机密性通过对数据的加密进行解决,使用加密算法(使用加密密钥)将明文转换为密文,并使用相应的解密算法将密文转换回明文。客户与服务器、服务器与服务器之间身份验证成功后,就可以进行数据传输了,为了对抗报文窃听和报文重发攻击,需要在通信双方之间建立保密信道,对数据进行加密传输。在数据库系统中,由于传输的数据量往往很大,所以加解密算法的速度对系统性能的影响很大。

对称密钥加密技术,顾名思义既是对在internet上传输的敏感数据采用相同的密钥进行加密和解密。如果密钥不完全相同,也可以很容易地通过算法从一个密钥计算出另一个密钥。即在对称密钥加密算法中,两个密钥和算法之间具有很大的相关性。目前,国内外应用最广的对称密钥加密技术采用的是des算法。公开密钥加密技术也称为非对称密钥加密技术,这种技术是对非对称密码算法的应用,其中最著名的是基于数论原理的rsa算法。

ssl协议是netscape推出的一种安全通信协议,它能对信用卡和个人信息提供较强的保护。ssl是对计算机之间整个会话进行加密的协议。由于ssl被极大部分的web浏览器和web服务器所内置,比较容易投入应用,然而,ssl基于传输层加密,它为高层提供了特

定的接口,使应用方无须了解传输层的情况,由于加密算法的出口

限制,在美国以外的地区使用的ssl大部分采用40位密钥。因此无法满足关键领域和重要部门的更高要求。另外,ssl对所有的信息都加密,因此传输速度相对较慢,对于只有少量的敏感数据传输的应

用便不太适合。

rsa算法的安全性建立在难于对大整数提取因子的基础上,已知

的证据都表明大整数因式分解问题是一个极其困难的问题。但是,随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展,要求作为rsa加密/解密安全保障的大整数越来越大。

3 对于数据的访问控制策略

在通常的数据库管理系统中,为了防止越权攻击,任何用户不能

直接操作库存数据。用户的数据访问请求先要送到访问控制模块审查,然后系统的访问控制模块代理有访问权限的用户去完成相应的数据操作。用户的访问控制有两种形式:自主访问授权控制和强制访问授权控制。其中自主访问授权控制由管理员设置访问控制表,此表规定用户能够进行的操作和不能进行的操作。而强制访问授权控制先给系统内的用户和数据对象分别授予安全级别,根据用户、数据对象之间的安全级别关系限定用户的操作权限。在这两种方式中,数据对象的粒度越小,访问权限就规定得越细,从而系统管理的开销就越大,尤其是在数据库系统中,一方面用户、数据对象多;另一方面要进行访问控制,更加剧了系统访问控制的负担。事实上系统中许多用户具有相似的访问权限,因此可以根据用户权限确定角色,一个角色可以授予多个用户,同时一个用户可以拥有多个角色,这样可以在一定程度上降低系统访问控制管理的开销。

4 防范恶意代码造成的安全问题

由于程序恶意代码而产生的安全问题已经屡见不鲜。根据恶意代码的来源而防范此类安全问题,主要应注意以下几方面:加强程序设计人员的法制教育,道德教育,避免源程序编制期间出现恶意代码;使用单位也要加强软件测试、代码检查等工作;使用具备国家安全机构认可的网络产品(如路由器、交换机、防火墙等);加强内部工作人员的技术教育、道德教育,防止内部人员嵌入恶意代码。

参考文献

[1] 张效强,王锋,高开明.基于加密算法的数据安全传输的研究

与设计[j].计算机与数字工程,2008(5).

[2] 李玉敏.电子商务环境下基于加密算法的一个安全数据传输流程[j].商场现代化,2009(5).

[3] 袁哲,赵永哲,张文睿,朱祥彬.敏感数据安全传输方法[j].吉林工程技术师范学院学报,2008(1).