[摘要]本文針對網路安全的三種技術方式進行說明,比較各種方式的特色以及可能帶來的安全風險或效能損失,並就資訊交換加密技術的分類作以分析,針對PKI技術這一資訊保安核心技術,論述了其安全體系的構成。
[關鍵詞]網路安全 防火牆 加密技術 PKI技術
隨著計算機網路技術的飛速發展,尤其是網際網路的應用變得越來越廣泛,在帶來了前所未有的海量資訊的同時,網路的開放性和自由性也產生了私有資訊和資料被破壞或侵犯的可能性,網路資訊的安全性變得日益重要起來,已被資訊社會的各個領域所重視。
計算機網路安全從技術上來說,主要由防病毒、防火牆等多個安全元件組成,一個單獨的元件無法確保網路資訊的安全性。目前廣泛運用和比較成熟的網路安全技術主要有:防火牆技術、資料加密技術、PKI技術等,以下就此幾項技術分別進行分析。
一、防火牆技術
防火牆是指一個由軟體或和硬體裝置組合而成,處於企業或網路群體計算機與外界通道之間,限制外界使用者對內部網路訪問及管理內部使用者訪問外界網路的許可權。防火牆是網路安全的屏障,配置防火牆是實現網路安全最基本、最經濟、最有效的安全措施之一。當一個網路接上Internet之後,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法使用者的入侵,而目前防止的措施主要是靠防火牆技術完成。防火牆能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。通過以防火牆為中心的安全方案配置,能將所有安全軟體配置在防火牆上。其次對網路存取和訪問進行監控審計。如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並做出日誌記錄,同時也能提供網路使用情況的統計資料。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細資訊。再次防止內部資訊的外洩。利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而降低了區域性重點或敏感網路安全問題對全域性網路造成的影響。
二、資料加密技術
與防火牆相比,資料加密技術比較靈活,更加適用於開放的網路。資料加密主要用於對動態資訊的保護,對動態資料的攻擊分為主動攻擊和被動攻擊。對於主動攻擊,雖無法避免,但卻可以有效地檢測;而對於被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是資料加密。資料加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
對稱加密是常規的以口令為基礎的技術,加密金鑰與解密金鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,資訊交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有金鑰未曾洩露,那麼機密性和報文完整性就可以得以保證。目前,廣為採用的一種對稱加密方式是資料加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
2.非對稱加密/公開金鑰加密
在非對稱加密體系中,金鑰被分解為一對(即公開金鑰和私有金鑰)。這對金鑰中任何一把都可以作為公開金鑰通過非保密方式向他人公開,而另一把作為私有金鑰加以儲存。公開金鑰用於加密,私有金鑰用於解密,私有金鑰只能有生成金鑰的交換方掌握,公開金鑰可廣泛公佈,但它只對應於生成金鑰的交換方。非對稱加密方式可以使通訊雙方無須事先交換金鑰就可以建立安全通訊,廣泛應用於身份認證、數字簽名等資訊交換領域。
三、PKI技術
PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是資訊保安技術的核心,也是電子商務的關鍵和基礎技術。由於通過網路進行的`電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關係變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴充套件性。
1.認證機構