網絡環境中信息安全技術討論

楊 芬

(長治職業技術學院，山西 長治 046011)

網絡環境中信息安全技術討論

楊 芬

(長治職業技術學院，山西 長治 046011)

隨著全球信息化進程的不斷加速，國內外信息產業領域對信息安全的關注與日俱增，尤其在信息網絡化如此普及的年代，網絡安全與信息產業息息相關。基于網絡環境中的信息安全討論，已成為網絡安全中的一個重要研究課題。文章就信息安全的研究背景、概念及相關的技術作了全局的分析及討論。

網絡與信息安全；信息安全認識；信息安全技術

1 網絡環境下信息安全研究意義

隨著以internet為支撐平臺的信息產業的發展，使得網絡安全的重要性日益凸顯。信息隨時都可能受到非授權的訪問、篡改或破壞，也可能被阻截、替換而導致無法正確讀取，給網絡的正常運行帶來巨大的威脅，甚至造成網絡癱瘓。

計算機網絡安全研究始于本世紀60年代末期。但由于當時計算機的速度和性能較為落后，使用的范圍也不廣，因此有關計算機安全的研究一直局限在較小的范圍。進入80年代后，計算機的性能得到了極大的提高，應用范圍也在不斷擴大，計算機已遍及世界各個角落。尤其是進入20世紀90年代，計算機網絡出現了爆炸式的發展，這種發展一下子把人們帶到了一個全新的時空，在人們幾乎更多地依賴計算機網絡的同時，網絡環境下的信息安全問題卻引起了人們的注意。

2 信息安全的初步認識

2.1 定義

信息安全是研究在特定的應用環境下，依據特定的安全策略，對信息及其系統實施防護、檢測和恢復的科學。

2.2 研究內容

信息安全的研究涉及數學、計算機、通信、法律等諸多學科，大致可分為基礎理論與應用研究、應用技術以及安全管理研究三個領域。其中基礎理論與應用研究主要包括密碼體制理論、身份識別、訪問控制與授權、安全協議等方面的研究。這是本文所探討的重點。

2.3 安全目錄

信息安全從防護、檢測和恢復體制上看，主要有五個安全目標：機密性、完整性、可用性、真實性、不可抵賴性、可控性。

①機密性(confidentiality)：指信息不被泄露或暴露給未授權的個人、組織或系統。或者說，只有經授權的用戶才能獲知信息的真實內容，而任何未授權者即使截獲信息也無法讀取信息的真實內容或使用信息。

②不可抵賴性(non-repudiation)：指合法用戶事后無法否認曾發送或接收到信息，或廣義地理解為對其行為不可抵賴。

③真實性(authenticity)：指在信息交互過程中相關的用戶或主體是真實而非假冒或偽裝的。

④可控性(controllability)：指主體對系統或數據的訪問是按照一定規則控制的，避免也現非授權操作或使用。

⑤可用性(availability)：分為數據的可用性和系統的可用性。數據的可用性是指授權用戶可根據需要隨時訪問其權限所允許的信息，不會受到干擾或阻礙。系統的可用性是指承載信息的系統按照其預訂的規則運行，不會轉移到非暢通狀態。系統可用性與數據可用性具有密切的聯系。

3 信息安全技術

3.1 加密技術

3.1.1 加密技術概述

加密技術能為數據或信息流提拱機密性保證。同時，對其他安全機制的實現起主導作用或輔助作用。

加密算法是對信息的一種編碼規則，這種規則的編碼與譯碼依賴于被稱為密鑰的參數。用戶使用編碼規則在密鑰控制下把明文消息變為密文，也可以使用譯碼規則在密鑰控制下把密文還原成明文信息。沒有正確的密鑰無法實現加密解密操作，從而使非授權用戶無法還原機密信息。

根據密鑰的特點，目前加密技術分為兩種：對稱密碼體制和非對稱密碼體制。對稱密碼算法有：DES(數據加密標準)及其各種變形、IDEA算法及AES、RC5等，比較著名的非對稱密碼算法有：RSA、背包密碼、Differ-Hellman、圓曲線算法等。

3.1.2 密碼體制

(1)對稱密碼

在對稱密鑰體制中，使用的密鑰必須完全保密，且加密密鑰相同，或從加密密鑰可推出解密密鑰，反之亦可。常見加密標準為DES，當使用DES時，用戶和接受方采用64位密鑰對報文加密和解密。DES主要采用替換和移位的方法加密。

(2)非對稱密碼

在非對稱密碼體制中，每個使用密碼體制的主體(個人、團體或某系統)均有一對密鑰；一個密鑰可以公開，稱為公鑰；另一個密鑰則必須保密，稱為私鑰，且不能從公鑰推出私鑰。在internet中使用更多的是被保密的非對稱密碼，即公鑰系統。常用的公鑰加密算法是RSA算法，加密強度很高。發送方在發送數據時，用自己的私鑰加密一段與發送數據相關的數據作為數字簽名，然后與發送數據一起用接收方密鑰加密。當這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名，然后，用發送方公布的公鑰對數字簽名進行解密，如果成功，則確定是由發送方發出的。數字簽名每次還與被傳送的數據和時間等因素有關。由于加密強度高，而且并不要求通信雙方事先要建立某種信任關系或共享某種秘密，因此十分適合internet使用。

3.2 數字簽名

數字簽名也稱電子簽名，在信息安全中包括身份認證、數據完整性、不可否認性以及匿名性等方面有重要應用。數字簽名包括兩個過程：簽名者以給定的數據單元進行簽名；接收者驗證該簽名。

數字簽名的主要工作方式為：報文發送方從報文文本中生成一個128bit的散列值(或報文摘要)，并用自己專用密鑰對這個散列值進行加密，形成發送方的數字簽名；然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方；報文接收方首先從接收到的原始報文中計算出128bit位的散列值(或報文摘要)，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同，那么接收方就能確認數字簽名是發送方的，通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性

數字簽名技術應用十分廣泛，如電子印章、商務合同等應用中主要采用數字簽名技術，還有虛擬專用網(VPN)協議族、電子郵件安全協議族、Web安全協議、發全電子支付協議等密鑰分發都采用了數字簽名技術。

3.3 身份認證

身份認證又稱為鑒別或確認，它通過驗證被認證對象的一個或多個參數的真實性與效性，來證實被認證對象是否符合或是否有效的一種過程，用來確保數據的真實性。

身份認證在金融、醫療、保險、海關、電信、公安等領域起到了舉足輕重的作用。隨著信息技術的飛速發展，電子商務、電子銀行、網絡安全等應用領域亟需高效的自動身份認證技術。

3.4 雙因素身份認證技術

人們對于網絡安全和信息安全的研究和了解，已經有相當長的一段時間了，因此基于動態密碼技術的雙因素身份認證技術得到了迅速發展。在網絡環境下的身份認證系統中，使用動態密碼卡作為身份確認依據是理想的，每一個動態密碼卡是獨一無二的裝置，能有效地代表使用者的身份，可以保證被認證對象與需要驗證的身份依據之間嚴格的一一對應關系。通過技術分析，使用密碼卡具有安全性高、保密性強、搞抵賴性、抗重放性、抗暴露性、方便性等優點。所以，現在使用這處雙因素身份證技術可以為網絡運行提供一定的保障。

3.4.1 訪問機制

訪問控制機制使用實體的標識、類別或能力，確定權限，并授予訪問權。實體如果試圖進行非授權訪問，將被拒絕。

除了計算機網絡設備之外，網絡操作系統是確保計算機網絡安全的最基本部件。它是計算機網絡資源的管理者，必須具備安全的控制策略和保護機制。

3.4.2 通信量填充一信息隱藏

通信量通填充就是指為了防止敵手對通信量的分析，需要在空閑的信道上發送一些無用的信息，以便蒙蔽對手。在專用通信線路上這種機制非常重要，但在公用信道中則要依據環境而定。

信息隱藏則是把一則信息隱藏到看似與這無關的消息中，以便蒙蔽敵手，通常也要和密碼結合才能保證不被敵手發現。

3.4.3 路由控制

路由控制是對于信息的流經路徑的選擇，為一些重要信息指定路徑。例如通過特定的安全子網、中繼站連接設備，也可能是要繞開某些不安全的子網、中繼或連接設備。這種路由的安排可以預先安排也可作為恢復的一種方式而由端系統動態指定。恰當的路由控制可以提升環境安全性，從而可以簡化其他安全機制實施的復雜性。

3.4.4 公證

在雙方或多方通信中，公證機制可以提供數據的完整性，收發雙方的身份識別時間同步等服務。通信各方共同信賴的公證機構，稱為可信第三方，它保存通信方的必要信息，并以一種可驗證的方式提供上述服務。

3.4.5 安全標記

安全標記是為數據源所附加的指明其安全屬性的標記。安全標記常常在通信中與數據一起傳送。它可能是與被傳送的數據相連的附加數據，也可能是隱含的信息。

4 結束語

信息安全問題涉及到國家安全和社會公共安全。隨著計算機技術和通信技術的發展，計算機網絡將日益成為信息交流的重要手段，并且已經滲透到社會生活的各個領域。因此，發展信息安全技術顯得十分迫切。我們要認識到網絡的脆弱性和潛在的諸多威脅，積極采取有力的安全策略，保障網絡的安全。

[1]張基溫.信息系統安全教程[M].北京：清華大學出版社，2007.

[2]徐茂智，游林.信息安全與密碼學[M].北京：清華大學出版社，2007.

[3]陸明.網絡環境下身份認證協議的研究[M].北京：清華大學出版社，1998.

[4]唐禮勇，段云所，陳鐘.身份認證技術[J].技術培訓，2001.(6)：59-64.

[5]袁津生.吳硯農.計算機網絡安全基礎[M].北京：人民郵電出版社，2002.

[6]蔡皖東.計算機網絡技術[M].西安：西安電子科技大學出版社，1998.

TP393.08

A

1673-2014(2011)05-0058-03

2011—05—16

楊 芬(1973—)，女，山西長治人，講師，主要從事網絡信息安全的研究。

(責任編輯 單麥琴)