網絡安全技術初探

肖紅卿

摘要:本文從防火墻、生物識別、加密及數字簽名技術三個方面進行了網絡安全技術的探討。

關鍵詞:網絡安全 防火墻 生物識別 加密及數字簽名

隨著Internet的迅速發展,電子商務已成為一種潮流,人們可以通過互聯網進行網上購物、銀行轉賬等許多商業活動。現在商業貿易、金融財務和其他經濟行為中,不少已經以數字化信息的方式在網上流動著。在下個世紀伴隨著電子商務的不斷發展和普及,全球電子交易一體化將成為可能。然而,開放的信息系統必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。

一、防火墻技術和SET規范

防火墻技術和數據加密傳輸技術將繼續沿用并發展,多方位的掃描監控、對后門渠道的管理、防止受病毒感染的軟件和文件的傳輸等許多問題將得到妥善解決。未來防火墻技術會全面考慮網絡的安全、操作系統的安全、應用程序的安全、用戶的安全、數據的安全,五者綜合應用。在產品及功能上,將擺脫目前對子網或內部網管理方式的依賴,向遠程上網集中管理方式發展,并逐漸具備強大的病毒掃除功能;適應IP加密的需求,開發新型安全協議,建立專用網(VPN);推廣單向防火墻;增強對網絡攻擊的檢測和預警功能;完善安全管理工具,特別是可疑活動的日志分析工具,這是新一代防火墻在編程技術上的革新。

理論上,防火墻就是指設置在不同網絡(如可信任的企業內部網和不可信任的公共網)或網絡安全域之間的一系列部件的組合。在邏輯上它是一個限制器,也是一個分析器,能有效地監控內部網和Internet之間的活動,保證內部網絡的安全。由于硬件技術的進步,基于高速Internet上的新一代防火墻,還將更加注重發揮全網的效能,安全策略會更加明晰化、合理化、規范化。技術的進步將進一步減少時延、提高網絡效能。目前,全球連入Internet的計算機中約有1/3是處于防火墻保護之下,而到了下個世紀這個比率會大幅提升。

二、生物識別技術

人類在追尋文檔、交易及物品的安全保護的有效性與方便性經歷了三個階段的發展。第一階段也就是最初的方法,是采用大家早已熟悉的各種機械鑰匙。第二階段是由機械鑰匙發展到數字密鑰,如登錄上網的個人密碼(Password)以及使用銀行自動提款機所需的身份識別碼(PIN-Personal Identification Number)、身份證(ID Cards)或條形碼等,它是當今數字化生活中較為流行的一種安全密鑰系統。隨著21世紀的來臨,一種更加便捷、先進的信息安全技術將全球帶進了電子商務時代,它就是集光學、傳感技術、超聲波掃描和計算機技術于一身的第三代身份驗證技術——生物識別技術。

生物識別技術是依靠人體的身體特征來進行身份驗證的一種解決方案,由于人體具有不可復制的特性,這一技術的安全系數較傳統意義上的身份驗證機制有很大的提高。人體的生物特征包括指紋、聲音、面孔、視網膜、掌紋、骨架等,而其中指紋憑借其無可比擬的唯一性、穩定性、再生性倍受關注。

20世紀60年代,計算機可以有效地處理圖形,人們開始著手研究用計算機來處理指紋,自動指紋識別系統AFIS由此發展開來。AFIS是當今數字生活中一套成功的身份鑒別系統,也是未來生物識別技術的主流之一,它通過外設來獲取指紋的數字圖像并存貯在計算機系統中,再運用先進的濾波、圖像二值化、細化手段對數字圖像提取特征,最后使用復雜的匹配算法對指紋特征進行匹配。時下,有關指紋自動識別的研究已進入了成熟的階段。隨著指紋識別產品的不斷開發和生產,未來該項技術的應用將進入民用市場,服務大眾。

三、加密及數字簽名技術

加密技術的出現為全球電子商務提供了保證,從而使基于Internet上的電子交易系統成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。

不對稱加密,即“公開密鑰密碼體制”,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道,分別稱為“公開密鑰”和“秘密密鑰”。

目前,廣為采用的一種對稱加密方式是數據加密標準(DES),DES對64位二進制數據加密,產生64位密文數據,實際密鑰長度為56位(有8位用于奇偶校驗,解密時的過程和加密時相似,但密鑰的順序正好相反),這個標準由美國國家安全局和國家標準與技術局來管理。DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。現在DES也可由硬件實現,AT&T;首先用LSI芯片實現了DES的全部工作模式,該產品稱為數據加密處理機DEP。另一個系統是國際數據加密算法(IDEA),它比DES的加密性好,而且計算機功能也不需要那么強。在未來,它的應用將被推廣到各個領域。IDEA加密標準由PGP(Pretty Good Privacy)系統使用,PGP是一種可以為普通電子郵件用戶提供加密、解密方案的安全系統。在PGP系統中,使用IDEA(分組長度128bit)、RSA(用于數字簽名、密鑰管理)、MD5(用于數據壓縮)算法,它不但可以對你的郵件保密以防止非授權者閱讀,還能對你的郵件加以數字簽名從而使收信人確信郵件是由你發出。

總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才才能完好、實時地保證信息的完整性和確證性,為網絡提供強大的安全服務——這也是21世紀網絡安全領域的迫切需要。