计算机互联网信息安全的防御技术
2014-11-05李莹
李莹
摘 要
自从计算机网络诞生以来,网络安全是一个受到人们普遍关注的课题。网络安全极其重要,网络只有安全才可以保证网络生活能够有序进行、网络系统不遭破坏、信息不被窃取、网络服务不被非法中断等。随着人们对计算机网络依赖程度的提高,信息系统的安全性显得愈加重要,如何保证网络通信的安全性成为人们必须面对的问题。因此,有必要制定并实施计算机通信网络安全防护策略,以维护计算机通信网络正常工作秩序,防范计算机犯罪,预防计算机安全事故,有效保证计算机通信网络的安全。
【关键词】计算机互联网 信息安全 防御技术
1 计算机通信网络安全威胁
在计算机通信网络环境中,可能经常存在以下几种攻击:
(1)泄密:将消息内容泄漏给没有合法权利的其他人或程序。
(2)传输分析:通过分析通信双方的通信模式,确定连接的频率和持续时间,或者是确定通信的消息数量和长度。
(3)伪装:攻击者产生一条消息并声称该消息来自某一合法实体,或者攻击者发送有关收到或未收到消息的欺诈应答。
(4)内容修改:对消息的内容进行修改,包括插入、删除、转换和替代等。
(5)发送方否认:发送方否认未发送某条消息。
(6)接收方否认:接收方否认收到某条消息。
2 安全认证技术
信息的安全传输是由加密技术来保证的,而对通信双方实体身份的确认是通过认证技术来实现的。安全认证是最重要的安全服务之一,因为所有其他的安全服务都依赖于该服务。认证技术可以抵抗假冒攻击的危险,也可用来确保身份,它是用来获得对谁或对什么事情信任的一种方法。一个身份的合法拥有者被称作一个实体。各种物理形式的主体也需要认证,例如人、设备或计算机系统中运行的应用等。对密码系统的攻击有两种:一种是被动攻击,攻击者只是对截获的密文进行分析而已。另一种是主动攻击,攻击者通过采取删除、增添、重放、伪造等手段主动向系统注入假消息。为了保证信息的可认证性,抵抗主动攻击,一个安全的认证体制至少应该满足以下几个要求:(1)假定的接受者能够检验和证实消息的合法性、真实性和完整性。
(2)消息的发送者对所发的消息不能抵赖,有时也要求消息的接受者不能否认所收到的消息。
(3)除了合法的消息发送者外,其他人不能伪造合法的消息。认证体制中通常存在一个可信中心或可信第三方,用于仲裁、颁发证书或管理某些信息。
3 防火墙技术
防火墙技术是现在市场上应用范围最广、最容易被用户接受的网络安全产品之一。防火墙将内部可信区域与外部威胁区域有效隔离,将网络的安全策略制定和信息流集中管理控制,为网络边界提供保护。使用防火墙,可以防止非法用户对网络资源的访问。防火墙是使用过滤器来阻断一定类型的通信传输。网关是一台机器或一组机器,它提供中继服务,以补偿过滤器的影响。一般情况下,两个网关通过内部过滤器到内部的连接比外部网关到其他内部主机的连接更为开放。就网络通信而言,两个过滤器或网关本身,都是可以省去的,具体情况随防火墙的变化而变化。防火墙按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过。防火墙还应该能够记录有关的连接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便系统管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透。
4 加密技术
加密技术通常分为两大类:对称式和非对称式。
4.1 对称式加密概念
对称式加密就是加密和解密所使用的密钥是相同的,或者可以从一个密钥推算出另一个密钥。
4.2 非对称式加密
非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为公钥和私钥,它们两个必需配对使用,否则不能打开加密文件。
这里的公钥是指可以对外公布的;而“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里,因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方,不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥,且其中的公钥是可以公开的,也就不怕别人知道,收件人解密时只能用自己的私钥解密,这样就很好地避免了密钥的传输安全性问题。公钥密码的提出,开创了现代密码发展的新纪元。如果没有公钥密码,那么在大型、开放的电子网络环境中建设具有普适性的信息安全基础设施则是一件不可想象、无法实现的事。
公钥密码体制的概念是在解决单钥密码体制中最难解决的两个问题时提出的,这两个问题分别是密钥分配和数字签名。单钥密码体制在进行密钥分配时,要求通信双方或者已经有一个共享的密钥,或者可以借助一个密钥分配中心来分配密钥。对前者的要求,常常可用人工方式传送双方最初共享的密钥,但是这种方法成本很高,而且还要依赖于通信过程的可靠性,这同样是一个安全问题的隐患。对于第2个要求则完全依赖于密钥分配中心的可靠性,同时密钥分配中心往往需要很大的内存容量来处理大量的密钥。公钥密码技术和对称密码技术的比较可以从算法和密钥两个方面来进行。在算法方面,公钥密码体制的算法容易用精确的数学术语描述,它建立在特定的已知数学问题上,安全性依赖于这种数学问题的求解是计算上不可能的。与此相对,传统密码体制的算法以复杂紊乱的数学方程为基础。虽然求解单个方程并不困难,但由于它被多次迭代和搅乱,以至无法用解析法求解。在密钥方面,这两种密码体制的密钥产生方式也不同。在对称密码体制中,加密密钥和解密密钥可以简单地互相推导,因此它们是以简单的方法随机选择的。在公开密钥密码体制中,由公开密钥不能简单地推出秘密密钥。秘密密钥是按照特定的要求选择的,而公开密钥又是由秘密密钥利用确定的步骤有效地计公钥密码体制作为一种加密技术,它也是易受穷举攻击的,其解决方法也是使用较长的密钥。由于公钥密码体制使用的是某种可逆的数学函数,计算函数值的复杂性可能不是密钥长度的线性函数,而是比线性函数增长更快的函数,所以一方面为了抗穷举攻击,密钥长度要足够长;另一方面为了便于实现,解决公钥密码加解密速度较慢的问题,要求密钥长度尽可能短。在实际实现中,一般用公钥密码来进行密钥的管理和数字签名。
5 结束语
尚需说明的是,单一的技术或产品是无法满足通信网络对安全的要求。只有将技术和管理有机结合起来,从控制整个通信网络安全建设、运行和维护的全过程入手,才能提高网络的整体安全水平。恰当的管理活动、规范的各项组织业务活动,是通信网络有序运行、获取安全的重要保障。
作者单位
大庆油田信息技术公司增值业务分公司 黑龙江省大庆市 163000endprint