论文部分内容阅读
[摘 要]有数据显示,网络的开放性及黑客的攻击是造成网络不安全的主要原因。本文对网络数据安全传输作了简单介绍和分析,以期为网络安全技术提供参考。
[关键词]安全传输 加密 身份认证
中图分类号:TF046.6 文献标识码:A 文章编号:1009-914X(2013)17-626-01
随着网络技术的广泛应用,网络信息的安全保密问题也逐渐成为关注焦点。网络数据安全传输是网络安全技术领域的重要部分,如何确保网络数据的安全传输,防止在传输过程的数据泄露,是当前网络安全的重要课题。
1.网络安全传输的技术分类
1.1 安全隐患与保障技术。目前,网络传输的安全问题主要分成两大类:主动性和被动性。主动攻击可归纳为中断、篡改、伪造三种方式;被动攻击主要是攻击者监听网络上传递的信息流,从而获取信息内容。被动攻击往往很难检测出来,但容易预防;而主动攻击很难预防,但却容易检测出来。
保障网络信息安全的方法有两大类:以防火墙为代表的被动防卫型和建立在数据加密、数字签名机制上的开放型网络安全保障技术。
1.2防火墙技术。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。能够有效监控内部网络和Internet之间的活动,保证内部网络安全。防火墙具有简单实用、透明度高的特点。一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构;另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
1.3数据加密技术。数据加密实质是对以符号为基础的数据进行移位和置换的变换算法,这种变换受特定符号串的控制,这种特定符号串被称为密钥。
2.网络安全传输的理论分析
2.1密码学应用。密码学是研究加密技术的学科,其用途就是解决种种难题。加密技术在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。采用加密技术已成为当今网络社会进行文件或邮件安全传输的有效手段,并被广泛应用。
密码学除了提供机密性外,还有以下作用:
鉴别,消息的接收者能够确认消息来源,入侵者不可能伪装成他人;
完整性,消息的接收者能够验证在传送过程中消息没有被修改,而且入侵者不可能用假消息代替合法消息;
抗顽性,发送者事后不可能否认他已经发送的消息。
密码学所提供的这些功能对于通过计算机进行消息传递是至关重要的。密码系统由密码算法以及所有可能的明文、密文和密钥组成。密码算法(Algorithm)是用于加密和解密的数学函数。
现代密码算法的安全性基于密钥的安全性,不是基于算法的细节,所以算法可以被公开,可以被分析,可以产生大量该算法的产品,也可以使用流行的硬件或软件产品。
2.2对称算法(Symmetric algorithm)、公开密钥算法(Public_key algorithm)及两类算法比较。
在早期的密钥密码体制中,典型的有代替密码和置换密码。现代各种对称密码算法本质上依然是各种代替和置换的结合。基于密钥的算法通常有两类:对称算法、公开密钥算法。
对称算法是一种传统密码算法。其加密和解密的密钥是相同的,通信依赖于密钥。只要知道密钥,任何人都能对消息进行加密和解密。
DES(数据加密标准)是对称加密算法中最具代表性的。原是IBM公司为保护产品的机密研制成功的,后被美国国家标准局和国家安全局选为数据加密标准,并于1977年颁布使用。DES可以对任意长度的数据加密,实际可用密钥长度56比特,加密时,先将数据分为64比特数据块,采用ECB、CBC、CFB等模式之一,每次将输入的64比特明文变换为64比特密文,最终将所有输出数据块合并,实现数据加密。
公开密钥算法又叫非对称算法。其加密和解密的密钥是不同的,而且解密密钥也无法从加密密钥中算出来。加密密钥是公开的,而解密密钥是需要保密的。其广泛地被应用在密钥管理和分配,以及数字签名和身份验证。
公开密钥密码体制中,每个用户保存一对密钥——公开密钥和秘密密钥,因此,它又被为双钥体制或非对称密钥密码体制。典型的公钥算法如RSA是目前使用比较广泛的加密算法。
就两类算法的比较而言,两者解决的是不同问题。对称密码算法适合加密数据,因为它速度极快并且对选择明文攻击不敏感,而公开密钥密码算法擅长密钥管理和分配。
在实际应用中,公开密钥算法多用来进行管理和分发会话密钥(Session key)及数字签名,而这些会话密钥用在对称算法中,对通信消息进行加密。
2.3数字签名。它基于加密技术,用来确定用户是否真实。数字签名特点为:签名是不可伪造的、签名是不可重用的、签名的文件是不可改变的、发送者事后不能抵赖对报文的签名。数字签名相对于手写签名在安全性上有以下好处:数字签名不仅与签名者的私有密钥有关,而且与报文的内容有关,因此,不能将签名者对一份报文签名复制到另一份报文上,同时,也能防止篡改报文内容。
可以看出,数据加密提供了通信的机密性,而数字签名在鉴别和完整性、抗抵赖方面被广泛应用。本质上讲,数字签名也是一种加密算法的应用。
2.4密钥管理。密钥管理包括密钥的存储、备份、更换和销毁。在实际应用中,通常涉及许多方面,特别是如何产生、分配和管理密钥。密钥选择首先要保证长度,最好是那种混合了大小写字母、数字及其他符号的八位以上的密钥。密钥必须被保存在安全的地方如磁盘中或ROM中。它的有效期也很重要,因为直接关系到保密的力度和对攻击者的诱惑力,使用时间越长,被破解或泄露机会越大。因此,必须选择合适的周期更换密钥,并安全销毁旧密钥。
3.Kerberos协议分析
Kerberos协议是一种为网络通信提供可信第三方服务的面向开放系统的认证机制。它提供了身份认证和密钥管理分配两种服务,使密钥的管理和分发变得容易,解决了签名和身份认证的问题。Kerberos建立了一个安全的、可信任的密钥分发中心(Key Distribution Center,KDC),每个用户只要知道一个和KDC进行会话的秘密密钥就可以了。通信时,KDC会产生随机的一次性会话密钥,这样黑客很难进行破解。该协议利用用户的秘密密钥来证明自己的身份,并产生相应的证明票据。
Kerberos的安全性分析:一是舊的票据可能在有效期内被利用来进行重放攻击,而防止很难;二是票据假设系统中所有主机时钟都是基本同步的,如果欺骗服务器,使它的时钟发生错误,旧的票据就可以重放,可能导致严重问题;三是Kerberos对猜测口令攻击的防范也很脆弱,攻击者可以收集足够多的票据寻找漏洞,找到口令;四是恶意软件攻击,攻破服务系统,所有秘密密钥就会被获取。
虽然Kerberos协议同样存在种种缺陷,但仍不失为一种安全、方便且成本低廉的认证和密钥管理工具。
4.结论
网络安全传输系统的实现是一项复杂的系统工程,涉及的范围比较广泛。实践应用中,通过进行认证服务、采用RSA公开密钥算法及密钥管理等各个步骤的完成,才能建立一个安全的网络数据传输通道。所以,必须综合考虑和分析各种因素,重要的是通过这些分析以寻求更好的技术措施,从而达成在公共互联网上的安全传输。
[关键词]安全传输 加密 身份认证
中图分类号:TF046.6 文献标识码:A 文章编号:1009-914X(2013)17-626-01
随着网络技术的广泛应用,网络信息的安全保密问题也逐渐成为关注焦点。网络数据安全传输是网络安全技术领域的重要部分,如何确保网络数据的安全传输,防止在传输过程的数据泄露,是当前网络安全的重要课题。
1.网络安全传输的技术分类
1.1 安全隐患与保障技术。目前,网络传输的安全问题主要分成两大类:主动性和被动性。主动攻击可归纳为中断、篡改、伪造三种方式;被动攻击主要是攻击者监听网络上传递的信息流,从而获取信息内容。被动攻击往往很难检测出来,但容易预防;而主动攻击很难预防,但却容易检测出来。
保障网络信息安全的方法有两大类:以防火墙为代表的被动防卫型和建立在数据加密、数字签名机制上的开放型网络安全保障技术。
1.2防火墙技术。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。能够有效监控内部网络和Internet之间的活动,保证内部网络安全。防火墙具有简单实用、透明度高的特点。一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构;另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
1.3数据加密技术。数据加密实质是对以符号为基础的数据进行移位和置换的变换算法,这种变换受特定符号串的控制,这种特定符号串被称为密钥。
2.网络安全传输的理论分析
2.1密码学应用。密码学是研究加密技术的学科,其用途就是解决种种难题。加密技术在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。采用加密技术已成为当今网络社会进行文件或邮件安全传输的有效手段,并被广泛应用。
密码学除了提供机密性外,还有以下作用:
鉴别,消息的接收者能够确认消息来源,入侵者不可能伪装成他人;
完整性,消息的接收者能够验证在传送过程中消息没有被修改,而且入侵者不可能用假消息代替合法消息;
抗顽性,发送者事后不可能否认他已经发送的消息。
密码学所提供的这些功能对于通过计算机进行消息传递是至关重要的。密码系统由密码算法以及所有可能的明文、密文和密钥组成。密码算法(Algorithm)是用于加密和解密的数学函数。
现代密码算法的安全性基于密钥的安全性,不是基于算法的细节,所以算法可以被公开,可以被分析,可以产生大量该算法的产品,也可以使用流行的硬件或软件产品。
2.2对称算法(Symmetric algorithm)、公开密钥算法(Public_key algorithm)及两类算法比较。
在早期的密钥密码体制中,典型的有代替密码和置换密码。现代各种对称密码算法本质上依然是各种代替和置换的结合。基于密钥的算法通常有两类:对称算法、公开密钥算法。
对称算法是一种传统密码算法。其加密和解密的密钥是相同的,通信依赖于密钥。只要知道密钥,任何人都能对消息进行加密和解密。
DES(数据加密标准)是对称加密算法中最具代表性的。原是IBM公司为保护产品的机密研制成功的,后被美国国家标准局和国家安全局选为数据加密标准,并于1977年颁布使用。DES可以对任意长度的数据加密,实际可用密钥长度56比特,加密时,先将数据分为64比特数据块,采用ECB、CBC、CFB等模式之一,每次将输入的64比特明文变换为64比特密文,最终将所有输出数据块合并,实现数据加密。
公开密钥算法又叫非对称算法。其加密和解密的密钥是不同的,而且解密密钥也无法从加密密钥中算出来。加密密钥是公开的,而解密密钥是需要保密的。其广泛地被应用在密钥管理和分配,以及数字签名和身份验证。
公开密钥密码体制中,每个用户保存一对密钥——公开密钥和秘密密钥,因此,它又被为双钥体制或非对称密钥密码体制。典型的公钥算法如RSA是目前使用比较广泛的加密算法。
就两类算法的比较而言,两者解决的是不同问题。对称密码算法适合加密数据,因为它速度极快并且对选择明文攻击不敏感,而公开密钥密码算法擅长密钥管理和分配。
在实际应用中,公开密钥算法多用来进行管理和分发会话密钥(Session key)及数字签名,而这些会话密钥用在对称算法中,对通信消息进行加密。
2.3数字签名。它基于加密技术,用来确定用户是否真实。数字签名特点为:签名是不可伪造的、签名是不可重用的、签名的文件是不可改变的、发送者事后不能抵赖对报文的签名。数字签名相对于手写签名在安全性上有以下好处:数字签名不仅与签名者的私有密钥有关,而且与报文的内容有关,因此,不能将签名者对一份报文签名复制到另一份报文上,同时,也能防止篡改报文内容。
可以看出,数据加密提供了通信的机密性,而数字签名在鉴别和完整性、抗抵赖方面被广泛应用。本质上讲,数字签名也是一种加密算法的应用。
2.4密钥管理。密钥管理包括密钥的存储、备份、更换和销毁。在实际应用中,通常涉及许多方面,特别是如何产生、分配和管理密钥。密钥选择首先要保证长度,最好是那种混合了大小写字母、数字及其他符号的八位以上的密钥。密钥必须被保存在安全的地方如磁盘中或ROM中。它的有效期也很重要,因为直接关系到保密的力度和对攻击者的诱惑力,使用时间越长,被破解或泄露机会越大。因此,必须选择合适的周期更换密钥,并安全销毁旧密钥。
3.Kerberos协议分析
Kerberos协议是一种为网络通信提供可信第三方服务的面向开放系统的认证机制。它提供了身份认证和密钥管理分配两种服务,使密钥的管理和分发变得容易,解决了签名和身份认证的问题。Kerberos建立了一个安全的、可信任的密钥分发中心(Key Distribution Center,KDC),每个用户只要知道一个和KDC进行会话的秘密密钥就可以了。通信时,KDC会产生随机的一次性会话密钥,这样黑客很难进行破解。该协议利用用户的秘密密钥来证明自己的身份,并产生相应的证明票据。
Kerberos的安全性分析:一是舊的票据可能在有效期内被利用来进行重放攻击,而防止很难;二是票据假设系统中所有主机时钟都是基本同步的,如果欺骗服务器,使它的时钟发生错误,旧的票据就可以重放,可能导致严重问题;三是Kerberos对猜测口令攻击的防范也很脆弱,攻击者可以收集足够多的票据寻找漏洞,找到口令;四是恶意软件攻击,攻破服务系统,所有秘密密钥就会被获取。
虽然Kerberos协议同样存在种种缺陷,但仍不失为一种安全、方便且成本低廉的认证和密钥管理工具。
4.结论
网络安全传输系统的实现是一项复杂的系统工程,涉及的范围比较广泛。实践应用中,通过进行认证服务、采用RSA公开密钥算法及密钥管理等各个步骤的完成,才能建立一个安全的网络数据传输通道。所以,必须综合考虑和分析各种因素,重要的是通过这些分析以寻求更好的技术措施,从而达成在公共互联网上的安全传输。