當今主要的網絡安全技術如下:
壹、加密路由器(encryption router)技術
加密路由器對通過路由器的內容進行加密和壓縮,然後使其通過不安全的網絡傳輸,在目的地進行解壓縮和解密。
第二,安全內核技術
人們開始在操作系統的層面上考慮安全性,試圖從系統內核中去除可能引發安全問題的部分,從而使系統更加安全。例如,S olaris操作系統將靜態密碼放在隱式文件中,增強了系統的安全性。
第三,網絡地址翻譯器(network address translator)
網絡地址轉換器,也稱為地址共享器或地址映射器,最初是為了解決IP地址短缺的問題,現在主要用於網絡安全。內部主機連接到外部主機時,使用相同的IP地址;相反,當外部主機想要連接到內部主機時,它必須通過網關映射到內部主機。它使外網對內網不可見,從而隱藏內網,達到保密的目的。
數據加密技術
所謂加密,就是通過Encrypt ionkey和加密函數將壹條消息(或明文)轉換成無意義的密文,接收方通過解密函數和解密密鑰將密文還原成明文。加密技術是網絡安全技術的基石。
數據加密技術要求只有在指定的用戶或網絡下才能獲取原始數據,這就需要給數據發送方和接收方壹些特殊的信息進行加密和解密,也就是所謂的密鑰。其密鑰的值是從大量隨機數中選擇的。根據加密算法,可以分為私鑰和公鑰。
私鑰,也稱為對稱密鑰或單密鑰,使用相同的密鑰,即相同的算法。Kerberos算法,如DES和MIT。單密鑰是最簡單方式,通信雙方必須交換對方的密鑰,在向對方發送信息時,他們會使用自己的加密密鑰對其進行加密,在收到數據後,他們會使用對方給出的密鑰對其進行解密。這種方法在與多方通信時變得非常復雜,因為它需要保存許多密鑰,並且密鑰本身的安全性也是壹個問題。
DES是壹種數據分組加密算法,將數據分成6個4位數據塊,其中8位用於奇偶校驗,其余56位作為密碼的長度。第壹步,替換原文,得到6個4位的混沌數據集;第二步,將其分成相等的兩段;第三步,用加密函數進行變換,在給定密鑰參數的情況下,多次叠代,得到加密的密文。
公鑰又稱非對稱密鑰,加密時使用不同的密鑰,即不同的算法,包括壹個公鑰和多個解密密鑰,如RSA算法。
在計算機網絡中,加密可分為“通信加密”(即傳輸過程中的數據加密)和“文件加密”(即存儲數據加密)。通信加密有三種:節點加密、鏈路加密和端到端加密。
(1)節點加密,在時間坐標上,是在信息傳輸到物理通信鏈路之前進行的;就OSI 7層參考模型的坐標(邏輯空間)而言,是在第壹層和第二層之間進行的;從實現對象來說,它對兩個相鄰節點之間傳輸的數據進行加密,但只加密消息,不加密報頭,以方便傳輸路由的選擇。
②鏈路加密,在數據鏈路層進行,對相鄰節點間鏈路上傳輸的數據進行加密,不僅加密數據,還加密報頭。
③端到端加密,在第六層或第七層進行,為用戶之間的數據傳輸提供持續的保護。在始發節點實施加密,在中間節點以密文形式傳輸,最終到達目的節點時解密,也是有效的。
在OSI參考模型中,除會話層外,所有層都可以實施某些加密措施。但通常是最高級加密,即應用層的每壹個應用都是通過密碼編碼修改的,所以可以對每壹個應用起到保密的作用,從而保護應用層的投資。如果加密是在下面某壹層上實現的,比如TCP層,只能保護這壹層。
值得註意的是,加密機制能否有效發揮作用取決於密鑰管理,包括密鑰生存、分發、安裝、存儲、使用和失效的全過程。
(1)數字簽名
雖然公鑰的加密機制提供了很好的保密性,但是很難識別發送者,即任何獲得公鑰的人都可以生成和發送消息。數字簽名機制提供了壹種解決偽造、否認、假冒和篡改問題的認證方法。
數字簽名壹般采用非對稱加密技術(如RSA),通過對整個明文進行某種變換得到壹個值作為驗證簽名。接收方使用發送方的公鑰解密簽名。如果結果是明文,則簽名有效,證明對方身份真實。當然,簽名還可以有多種用途,例如,將簽名附加到純文本中。數字簽名廣泛應用於銀行、電子商務等領域。
數字簽名不同於手寫簽名:數字簽名隨著文字的變化而變化,手寫簽名反映壹個人的個性特征,是不變的;數字簽名和文本信息密不可分,而手寫簽名是附著在文本上,與文本信息分離的。
(2)Kerberos系統
Kerberos系統是由麻省理工學院為Athena項目設計的,它提供了壹種在分布式計算環境中驗證雙方用戶的認證方法。
其安全機制在於首先對請求用戶進行認證,確認其是否為合法用戶;如果是合法用戶,那麽檢查用戶是否有權訪問他所請求的服務或主機。在加密算法方面,其驗證基於對稱加密。
Kerberos系統已經廣泛應用於分布式計算環境(如Notes),因為它具有以下特點:
(1)安全性高。Kerberos系統對用戶的密碼進行加密,並將其作為用戶的私鑰,從而避免了用戶密碼在網絡上的顯示和傳輸,使得竊聽者很難在網絡上獲取相應的密碼信息;
(2)高透明性,用戶登錄時只需輸入密碼,與正常操作壹模壹樣,Ker beros的存在對合法用戶透明;
③良好的可擴展性。Kerberos為每個服務提供身份驗證,以確保應用程序的安全性。
Ker beros系統有點類似於看電影的過程。不同的是,只有提前登錄Kerberos系統的客戶才能申請服務,Kerberos要求申請門票的客戶到TGS(門票分發服務器)請求最終服務。
Kerberos的身份驗證協議過程如圖2所示。
Kerberos有其優點和缺點,主要如下:
(Kerberos服務器和用戶* * *共享的秘密是用戶的密碼,服務器在響應時不驗證用戶的真實性,假設只有合法用戶才有密碼。如果攻擊者記錄了應用回復消息,很容易形成碼本攻擊。
Kerberos服務器和用戶* * *共享的秘密是用戶的密碼,服務器在響應時不驗證用戶的真實性,假設只有合法用戶才有密碼。如果攻擊者記錄了應用回復消息,很容易形成碼本攻擊。
③ AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也很大程度上依賴於AS和TGS的性能和安全。在AS和TGS之前應該有訪問控制,以增強AS和TGS的安全性。
④隨著用戶的增加,密鑰管理更加復雜。Kerberos擁有每個用戶密碼的哈希值,as和TGS負責家庭之間通信密鑰的分發。當N個用戶要同時通信時,仍然需要N*(N-1)/2個密鑰。
(3) PGP算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的壹個方案,從80年代中期開始寫。公鑰和組密鑰在同壹個系統中,公鑰采用RSA加密算法管理密鑰;在組密鑰中使用IDEA算法來加密信息。
PGP應用的第壹個特點是速度快,效率高。另壹個顯著的特點是其出色的可移植性,可以在多種操作平臺上運行。PGP主要包括加密文件、收發加密郵件、數字簽名等。
(4) PEM算法
Private Enhanced Mail,PEM)是美國RSA實驗室基於RSA和DES算法開發的產品。其目的是增強個人的隱私功能。目前,它已在互聯網上廣泛使用,為電子郵件用戶提供以下兩種類型的安全服務:
為所有消息提供驗證、完整性、抗抵賴等安全服務功能;提供可選的安全服務功能,如保密性。
PEM按如下方式處理郵件:
第壹步:規範化:為了使PEM兼容MTA (Message Transfer Agent),根據MTP協議對消息進行規範化;
第二步,MIC(消息完整性碼)計算;
第三步是將處理後的郵件轉換成適合SMTP系統傳輸的格式。
認證技術
身份識別是指定用戶向系統顯示他們自己的身份的過程。認證是系統檢查用戶身份的過程。人們通常將這兩項工作稱為身份驗證(或身份認證),是識別和確認通信雙方真實身份的兩個重要環節。
網絡安全技術
在Web上實現網絡安全有兩種方式:SHTTP/HTTP和SSL。
(壹)、HTTP/HTTP
SHTTP/HTTP可以用多種方式封裝信息。封裝的內容包括加密、簽名和基於MAC的認證。並且消息可以被重復封裝和加密。此外,SHTTP還定義了用於密鑰傳輸、認證傳輸和類似管理功能的報頭信息。SHTTP可以支持各種加密協議,為程序員提供靈活的編程環境。
SHTTP不依賴於特定的密鑰認證系統,目前支持RSA、帶內帶外和Kerberos密鑰交換。
(2) SSL(安全套層)安全套接層是使用公鑰技術的工業標準。SSL廣泛應用於內部網和互聯網,其產品包括Netscape、微軟、IBM和Open Market等公司提供的支持SSL的客戶端和服務器,以及Apa che-SSL等產品。
SSL提供了三種基本的安全服務,它們都使用公鑰技術。
①信息保密,利用公鑰和對稱密鑰技術實現。SSL客戶機和SSL服務器之間的所有業務都使用SSL握手期間建立的密鑰和算法進行加密。這可以防止壹些用戶使用IP數據包嗅探器工具非法竊聽。雖然數據包嗅探器仍然可以捕獲通信的內容,但它不能破譯它。(2)信息完整性,確保所有SSL服務實現其目標。如果互聯網成為壹個可行的電子商務平臺,我們應該確保服務器和客戶端之間的信息內容不被破壞。SSL通過使用秘密共享和散列函數組來提供信息完整性服務。③相互認證是客戶端和服務器相互認可的過程。它們的標識號用公鑰編碼,當SSL握手時,它們的標識號被交換。為了驗證證書持有者是其合法用戶(不是冒名頂替者),SSL要求證書持有者在握手時對交換的數據進行數字識別。證書持有人識別包括證書在內的所有信息數據,以表明他是證書的合法所有者。這可以防止其他用戶使用假名使用證書。證書本身不提供身份驗證,只有證書和密鑰壹起工作。④SSL安全服務應該對最終用戶盡可能透明。通常,用戶可以通過單擊桌面上的按鈕或鏈接來連接SSL主機。與標準的HTTP連接應用程序不同,支持SSL連接的典型網絡主機的默認端口是443,而不是80。
當客戶端連接到端口時,握手協議被初始化以建立SSL會話。握手之後,將對通信進行加密,並檢查信息的完整性,直到對話結束。每個SSL會話期間只發生壹次握手。相比之下,HTTP每次連接都需要握手,導致通信效率低。SSL握手中會發生以下事件:
1.客戶端和服務器交換X.509證書以進行相互確認。在這個過程中,妳可以交換所有的證明鏈,也可以選擇只交換部分底層證明。證書的驗證包括:證書的生效日期和簽名權限。
2.客戶端隨機生成壹組密鑰,用於信息加密和MAC計算。這些密鑰在發送到服務器之前由服務器的公鑰加密。有四個密鑰用於服務器到客戶端的通信和客戶端到服務器的通信。
3.信息加密算法(用於加密)和哈希函數(用於保證信息完整性)壹起使用。網景的SSL實現方案是客戶端提供壹個它支持的所有算法的列表,服務器選擇它認為最有效的密碼。服務器管理員可以使用或禁止某些密碼。
代理服務
諸如域名系統(DNS)的代理服務在互聯網中被廣泛使用,並且許多人將代理服務視為壹種安全特性。
從技術上講,代理服務是壹個網關功能,但它的邏輯位置是在OSI第七層協議的應用層之上。
代理使用客戶端程序鏈接到特定的中間節點,然後中間節點實際鏈接到所需的服務器。與網關防火墻不同的是,使用這種防火墻時外網與內網之間沒有直接連接,所以即使防火墻出現問題,外網也無法與被保護的網絡連接。
防火墻技術
(1)防火墻的概念
在計算機領域,能夠保護壹個網絡及其資源免受網絡“墻”外“火”的裝置,稱為“防火墻”。用更專業的術語來說,防火墻是壹個網絡設備或壹組網絡設備(計算機系統或路由器等)。)用於加強兩個或多個網絡之間的訪問控制,其目的是保護壹個網絡免受另壹個網絡的攻擊。可以理解為相當於在網絡周圍挖了壹條護城河,在唯壹的橋上設置了安檢崗,所有進出的行人都要接受安檢。
防火墻的組成可以表述為:防火墻=過濾器+安全策略(+網關)。
(2)防火墻的實現
①在邊界路由器上實現;
②在雙宿主機上實現;
(3)在公共子網(子網相當於雙端口主機)上實現,在這個子網上可以建立停火區結構的防火墻。
(3)防火墻的網絡結構
網絡的拓撲結構和防火墻的合理配置與防火墻系統的性能密切相關,防火墻壹般采用以下結構。
①最簡單的防火墻結構
這種網絡結構可以使受保護的網絡只看到“橋頭主機”(通信進出必須經過的主機)。同時,橋頭主機不轉發任何TCP/IP通信包,網絡中的所有服務都必須得到橋頭主機相應的代理服務程序的支持。但是,它將整個網絡的安全性能委托給單個安全單元,單個網絡安全單元是攻擊者的第壹目標。壹旦防火墻被破壞,橋頭主機就變成了沒有路由功能的路由器,系統的安全性就不可靠。
②單網絡防火墻結構
其中,屏蔽路由器的作用是保護堡壘主機(應用網關或代理服務)的安全,建立屏障。在這種結構中,堡壘主機可以看作是壹臺信息服務器,是內網向外界發布信息的數據中心,但這種網絡拓撲仍然將大部分網絡安全委托給屏蔽路由器。系統的安全性仍然不太可靠。
③增強型單段防火墻的結構
為了增強網段的防火墻安全性,在內網和子網之間增加了屏蔽路由器,使整個子網與內外網的連接由工作在網絡級的路由器控制,內網和外網不能直接連接,只能通過相應的路由器與堡壘主機通信。
(4)帶有“停火區”的防火墻結構
對於壹些特殊的安全需求,可以建立以下防火墻網絡結構。網絡的整個安全特性由多個安全單位共享,公共信息服務器可以連接到外部停火區的子網,作為內外網絡之間的信息交換場所。
網絡反病毒技術
由於計算機病毒在網絡環境中具有不可估量的威脅和破壞力,因此計算機病毒的防範也是網絡安全建設中的重要壹環。網絡反病毒技術也得到了相應的發展。
網絡反病毒技術包括三種技術:病毒預防、病毒檢測和殺毒。(1)病毒預防技術,通過自身駐留的系統內存,對系統進行優先控制,監測並判斷系統中是否存在病毒,進而阻止計算機病毒進入計算機系統,破壞系統。這類技術有:加密可執行程序、保護引導區、系統監控和讀寫控制(如防病毒卡)等。(2)病毒檢測技術,這是壹種判斷計算機病毒特征的技術,如自檢、關鍵詞、文件長度變化等。(3)殺毒技術,通過對計算機病毒的分析,開發具有刪除病毒程序和恢復原始文件功能的軟件。
網絡反病毒技術的實施對象包括文件病毒、引導病毒和網絡病毒。
網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁掃描和監控;在工作站上使用防病毒芯片,並設置對網絡目錄和文件的訪問權限。
隨著在線應用的不斷發展和網絡技術的不斷應用,網絡不安全因素會不斷出現,但相互依存,網絡安全技術也會快速發展,新的安全技術會層出不窮。最終,互聯網上的安全問題不會阻止我們的進步。