防火墻技術(shù)的應(yīng)用研究

2009-08-17 09:53:14陶國喜

中國市場 2009年18期

[摘要]網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),本文從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。并就信息交換加密技術(shù)的分類及RSA算法進(jìn)行分析,針對PKI技術(shù)這一信息安全核心技術(shù),論述了其安全體系的構(gòu)成。

[關(guān)鍵詞]網(wǎng)絡(luò)安全;Internet;網(wǎng)絡(luò)安全; 防火墻 ;PKI技術(shù)

[中圖分類號]TP316 [文獻(xiàn)標(biāo)識碼]A [文章編號]1005-6432(2009)18-0098-01

1 網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

2 加密技術(shù)

2.1 對稱加密技術(shù)

在對稱加密技術(shù)中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足,如果交換一方有N個交換對象,那么他就要維護(hù)N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的一種變形,這種方法使用兩個獨立的56為密鑰對信息進(jìn)行3次加密,從而使有效密鑰長度達(dá)到112位。

2.2 非對稱加密/公開密鑰加密

在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能由生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上,是計算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性的是RSA公鑰密碼體制。

2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制,其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的算法來分解兩大素數(shù)之積。RSA算法的描述如下:

公開密鑰:n=pq(p、q分別為兩個互異的大素數(shù),p、q必須保密)

e與(p-1)(q-1)互素

私有密鑰:d=e-1 {mod(p-1)(q-1)}

加密:c=me(mod n),其中m為明文,c為密文。

解密:m=cd(mod n)

利用目前已經(jīng)掌握的知識和理論,分解2048bit的大整數(shù)已經(jīng)超過了64位計算機(jī)的運(yùn)算能力,因此在目前和可預(yù)見的將來,它是足夠安全的。

3 PKI技術(shù)

PKI(Public Key Infrastructure)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸,因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),它能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實性、完整性、不可否認(rèn)性和存取控制等安全問題。

參考文獻(xiàn):

朱雁輝. 防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京:電子工業(yè)出版社,2002:178-179.

[收稿日期]2009-04-12

[作者簡介]陶國喜(1973—),男,湖北麻城人,黃岡職業(yè)技術(shù)學(xué)院計算機(jī)系講師,研究方向:計算機(jī)程序設(shè)計專業(yè)課程教學(xué)與科研。