網(wǎng)絡(luò)安全技術(shù)探討

陳焜

摘 ?要：根據(jù)目前網(wǎng)絡(luò)安全存在的威脅因素，介紹網(wǎng)絡(luò)安全基本技術(shù)，包括防火墻技術(shù)和數(shù)據(jù)加密技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全;防火墻;加密

1引言

隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)、單位都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時，也面臨著巨大的風(fēng)險。這要求我們與Internet互連所帶來的安全性問題予以足夠重視。下面介紹一下兩個常用的網(wǎng)絡(luò)安全技術(shù)：防火墻和加密技術(shù)。

2防火墻系統(tǒng)

防火墻系統(tǒng)能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安傘性，加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。限于篇幅只介紹前兩種類型。

2.1包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的：包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷，無法識別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

2.2網(wǎng)絡(luò)地址轉(zhuǎn)化NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。

3加密技術(shù)

3.1對稱加密算法

對稱密碼體制是一種傳統(tǒng)密碼體制，也稱為私鑰密碼體制。在對稱加密系統(tǒng)中，加密和解密采用相同的密鑰。因為加解密鑰相同，需要通信的雙方必須選擇和保存他們共同的密鑰，各方必須信任對方不會將密鑰泄漏出去，這樣就可以實現(xiàn)數(shù)據(jù)的機密性和完整性。DES算法是目前最為典型的對稱密鑰密碼系統(tǒng)算法。

DES是一種分組密碼，用專門的變換函數(shù)來加密明文。方法是先把明文按組長64bit分成若干組，然后用變換函數(shù)依次加密這些組，每次輸出64bit的密文，最后將所有密文串接起來即得整個密文。密鑰長度56bit，由任意56位數(shù)組成，因此數(shù)量高達256個，而且可以隨時更換。使破解變得不可能，因此，DES的安全性完全依賴于對密鑰的保護（故稱為秘密密鑰算法）。DES運算速度快，適合對大量數(shù)據(jù)的加密，但缺點是密鑰的安全分發(fā)困難。

3.2非對稱密鑰密碼體制

非對稱密鑰密碼體制也叫公共密鑰技術(shù)，該技術(shù)就是針對私鑰密碼體制的缺陷被提出來的。公共密鑰技術(shù)利用兩個密碼取代常規(guī)的一個密碼：其中一個公共密鑰被用來加密數(shù)據(jù)，而另一個私人密鑰被用來解密數(shù)據(jù)。這兩個密鑰在數(shù)字上相關(guān)，但即便使用許多計算機協(xié)同運算，要想從公共密鑰中逆算出對應(yīng)的私人密鑰也是不可能的。這是因為兩個密鑰生成的基本原理根據(jù)一個數(shù)學(xué)計算的特性，即兩個對位質(zhì)數(shù)相乘可以輕易得到一個巨大的數(shù)字，但要是反過來將這個巨大的乘積數(shù)分解為組成它的兩個質(zhì)數(shù)，即使是超級計算機也要花很長的時間。此外，密鑰對中任何一個都可用于加密，其另外一個用于解密，且密鑰對中稱為私人密鑰的那一個只有密鑰對的所有者才知道，從而人們可以把私人密鑰作為其所有者的身份特征。在這些過程當(dāng)中。信息接受方獲得對方公共密鑰有兩種方法：一是直接跟對方聯(lián)系以獲得對方的公共密鑰;另一種方法是向第三方即可靠的驗證機構(gòu)（如Certification Authority，CA），可靠地獲取對方的公共密鑰。公共密鑰體制的算法中最著名的代表是RSA系統(tǒng)，此外還有：背包密碼、橢圓曲線、EL Gamal算法等。公鑰密碼的優(yōu)點是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一種很有前途的網(wǎng)絡(luò)安全加密體制。

4結(jié)束語

在安全技術(shù)不斷發(fā)展的同時，全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機結(jié)合。

參考文獻

[1]陳東瓊.計算機網(wǎng)絡(luò)安全技術(shù)發(fā)展與防火墻技術(shù)[J].電子技術(shù)與軟件工程，2019，（1）.

[2]陳偉，陳欣，張競文.信息加密技術(shù)在計算機網(wǎng)絡(luò)安全中的作用[J].電子技術(shù)與軟件工程，2018，（24）.