淺談如何確保互聯網數據傳輸的安全性

李永建

中國聯通獻縣分公司，河北滄州 062250

淺談如何確保互聯網數據傳輸的安全性

李永建

中國聯通獻縣分公司，河北滄州 062250

信息安全一直是困擾互聯網發展的重要障礙，而當前我國互聯網的信息安全現狀不容樂觀。本文分析了當前確保互聯網信息安全的幾種主要措施，并進行了簡要分析。

互聯網；信息安全；數據傳輸

0 引言

我國入世以后，面臨著更加開放的發展環境。隨著國家信息化建設的不斷推進，對信息安全提出了更高的要求，在信息安全方面除了采取必要的保護措施和相關的法規、政策外，努力掌握核心技術則更為重要。在保證像信息的機密性、真實性、完整性這些必要的信息安全中，公鑰加密技術扮演著非常重要的角色。為了增強互聯網的安全機制，主要采用防火墻技術、公開密鑰加密技術、數據加密技術、數字簽名、數字時間戳技術、身份認證和安全協議等。

1 基于身份驗證的安全控制

為了防止各種假冒攻擊，在執行真正的數據訪問操作之前，要在客戶和數據庫服務器之間進行雙向身份驗證，比如數據庫系統服務器與服務器之間進行數據傳輸時，都需要驗證身份。 通過數字證書來進行身份驗證。簽名者用秘密密鑰加密一個簽名(可以包括姓名、證件號碼、短信息等信息)，接收人可以用公開的、自己的公開密鑰來解密，如果成功，就能確保信息來自該公開密鑰的所有人。

在鑒權過程中，最重要的是密鑰生成技術和鑒權算法。在計算機網絡中，對通信雙方實體的身份認證，常規作法是采用加密鑒權協議，著名的Kerberos協議是一種基于對層碼體制的身份驗證協議，Kerberos是基于對稱密碼體制的雙向身份驗證協議，各站點從密鑰管理中心獲得與目標站點通信用的秘密密鑰。在該協議中各站點從一個密鑰管理中心站點獲得與目標站點通信用的密鑰，從而進行安全通信。由于密鑰管理中心負責管理和安全分發大量密鑰，容易造成系統性能瓶頸，而且系統內必須有一個被所有站點信任的密鑰管理中心，因此該協議應用場合存在著一定的局限性。

為了簡化站點間通信密鑰的分發，開放式網絡應用系統一般采用基于公鑰密碼體制的雙向身份驗證技術。在這種技術中，每個站點都生成一個非對稱密碼算法（如RSA）的公鑰對，其中的私鑰由站點自己保存，并可通過可信渠道將自己的公鑰分發給系統中的其他站點。這樣任意兩個站點均可利用所獲得的公鑰信息相互驗證身份。

2 數據加密進行保密通信

對于數據的機密性通過對數據的加密進行解決，使用加密算法(使用加密密鑰)將明文轉換為密文，并使用相應的解密算法將密文轉換回明文。客戶與服務器、服務器與服務器之間身份驗證成功后，就可以進行數據傳輸了，為了對抗報文竊聽和報文重發攻擊，需要在通信雙方之間建立保密信道，對數據進行加密傳輸。在數據庫系統中，由于傳輸的數據量往往很大，所以加解密算法的速度對系統性能的影響很大。

對稱密鑰加密技術，顧名思義既是對在Internet上傳輸的敏感數據采用相同的密鑰進行加密和解密。如果密鑰不完全相同，也可以很容易地通過算法從一個密鑰計算出另一個密鑰。即在對稱密鑰加密算法中，兩個密鑰和算法之間具有很大的相關性。目前，國內外應用最廣的對稱密鑰加密技術采用的是DES算法。公開密鑰加密技術也稱為非對稱密鑰加密技術，這種技術是對非對稱密碼算法的應用，其中最著名的是基于數論原理的RSA算法。

SSL協議是Netscape推出的一種安全通信協議，它能對信用卡和個人信息提供較強的保護。SSL是對計算機之間整個會話進行加密的協議。由于SSL被極大部分的WEB瀏覽器和WEB服務器所內置，比較容易投入應用，然而，SSL基于傳輸層加密，它為高層提供了特定的接口，使應用方無須了解傳輸層的情況，由于加密算法的出口限制，在美國以外的地區使用的SSL大部分采用40位密鑰。因此無法滿足關鍵領域和重要部門的更高要求。另外，SSL對所有的信息都加密，因此傳輸速度相對較慢，對于只有少量的敏感數據傳輸的應用便不太適合。

RSA算法的安全性建立在難于對大整數提取因子的基礎上，已知的證據都表明大整數因式分解問題是一個極其困難的問題。但是，隨著分解大整數方法的進步及完善、計算機速度的提高以及計算機網絡的發展，要求作為RSA加密/解密安全保障的大整數越來越大。

3 對于數據的訪問控制策略

在通常的數據庫管理系統中，為了防止越權攻擊，任何用戶不能直接操作庫存數據。用戶的數據訪問請求先要送到訪問控制模塊審查，然后系統的訪問控制模塊代理有訪問權限的用戶去完成相應的數據操作。用戶的訪問控制有兩種形式：自主訪問授權控制和強制訪問授權控制。其中自主訪問授權控制由管理員設置訪問控制表，此表規定用戶能夠進行的操作和不能進行的操作。而強制訪問授權控制先給系統內的用戶和數據對象分別授予安全級別，根據用戶、數據對象之間的安全級別關系限定用戶的操作權限。在這兩種方式中，數據對象的粒度越小，訪問權限就規定得越細，從而系統管理的開銷就越大，尤其是在數據庫系統中，一方面用戶、數據對象多；另一方面要進行訪問控制，更加劇了系統訪問控制的負擔。事實上系統中許多用戶具有相似的訪問權限，因此可以根據用戶權限確定角色，一個角色可以授予多個用戶，同時一個用戶可以擁有多個角色，這樣可以在一定程度上降低系統訪問控制管理的開銷。

4 防范惡意代碼造成的安全問題

由于程序惡意代碼而產生的安全問題已經屢見不鮮。根據惡意代碼的來源而防范此類安全問題，主要應注意以下幾方面：加強程序設計人員的法制教育，道德教育，避免源程序編制期間出現惡意代碼；使用單位也要加強軟件測試、代碼檢查等工作；使用具備國家安全機構認可的網絡產品（如路由器、交換機、防火墻等）；加強內部工作人員的技術教育、道德教育，防止內部人員嵌入惡意代碼。

[1] 張效強，王鋒，高開明.基于加密算法的數據安全傳輸的研究與設計[J].計算機與數字工程，2008(5).

[2] 李玉敏.電子商務環境下基于加密算法的一個安全數據傳輸流程[J].商場現代化，2009(5).

[3] 袁哲，趙永哲，張文睿，朱祥彬.敏感數據安全傳輸方法[J].吉林工程技術師范學院學報，2008(1).

TP309

A

1674-6708（2010）18-0113-01