第一篇：基于密碼技術(shù)的網(wǎng)絡(luò)安全通信協(xié)議研究

基于密碼技術(shù)的網(wǎng)絡(luò)安全通信協(xié)議研究

摘 要：隨著我國(guó)信息科學(xué)技術(shù)的快速發(fā)展，各種網(wǎng)絡(luò)通信設(shè)備得到了大范圍的推廣和使用。如果某些通信協(xié)議存在安全隱患，很可能在網(wǎng)絡(luò)應(yīng)用中被其他惡意用戶攻擊。安全通信協(xié)議在信息傳輸過(guò)程中可以實(shí)現(xiàn)保密功能，并且為通信雙方確認(rèn)身份提供了便利。因此，在網(wǎng)絡(luò)應(yīng)用中保障通信協(xié)議安全十分關(guān)鍵。本文以密碼技術(shù)為基礎(chǔ)對(duì)網(wǎng)絡(luò)安全通信協(xié)議進(jìn)行了研究和探討。

關(guān)鍵詞：密碼技術(shù)；網(wǎng)絡(luò)安全；通信協(xié)議

人們將日常生活中容易理解的內(nèi)容通過(guò)一定的轉(zhuǎn)換或者變化，讓這些內(nèi)容變?yōu)椴荒芡ㄟ^(guò)常規(guī)思維理解的信息，這就是密碼技術(shù)。密碼技術(shù)從本質(zhì)來(lái)看屬于數(shù)學(xué)應(yīng)用，其應(yīng)用過(guò)程可以分為加密、傳遞和解密三步[1]。為了便于執(zhí)行通信過(guò)程中的加密和解密操作，進(jìn)而保障網(wǎng)絡(luò)通信安全，人們制定了安全通信協(xié)議，該協(xié)議規(guī)定了通信雙方執(zhí)行各項(xiàng)操作的順序與規(guī)范。安全通信協(xié)議的參與方在兩個(gè)或以上，參與者在執(zhí)行各步操作過(guò)程中應(yīng)該按照規(guī)定依此完成，不可跳過(guò)和漏項(xiàng)。安全通信協(xié)議在信息傳輸過(guò)程中可以實(shí)現(xiàn)保密功能，并且為通信雙方確認(rèn)身份提供了便利。安全協(xié)議可以在滿足網(wǎng)絡(luò)安全的基礎(chǔ)上，減少網(wǎng)絡(luò)通信中影響運(yùn)行效率的各種因素。本文以密碼技術(shù)為基礎(chǔ)對(duì)網(wǎng)絡(luò)安全通信協(xié)議進(jìn)行了研究和探討。密碼技術(shù)在網(wǎng)絡(luò)通信協(xié)議中的應(yīng)用

網(wǎng)絡(luò)通信系統(tǒng)中可以使用密碼技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密，并且設(shè)置必要的身份鑒別，同時(shí)也可以運(yùn)用授權(quán)和控制訪問(wèn)存取的方式保障通信安全。網(wǎng)絡(luò)通信中的密碼技術(shù)主要是對(duì)數(shù)據(jù)進(jìn)行加密，在信息的傳輸、存儲(chǔ)方面應(yīng)用較多。從網(wǎng)絡(luò)通信數(shù)據(jù)加密的方式來(lái)看，常見的有節(jié)點(diǎn)加密、鏈路加密等[2]。這些加密方法在應(yīng)用過(guò)程中各有特點(diǎn)，在傳輸密級(jí)程度較高的信息過(guò)程中，應(yīng)該綜合運(yùn)用多種加密方式。在實(shí)際運(yùn)用過(guò)程中應(yīng)該結(jié)合通信安全的需求，考慮加密技術(shù)是否會(huì)增加網(wǎng)絡(luò)運(yùn)行過(guò)程中的負(fù)荷等。由于在不同的情況下每一個(gè)通信實(shí)體具有的網(wǎng)絡(luò)結(jié)構(gòu)存在很大差異，因此實(shí)際應(yīng)用過(guò)程中應(yīng)該根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置安全通信協(xié)議。目前常用的安全通信協(xié)議有密鑰協(xié)商、身份認(rèn)證和加密等[3]。

在網(wǎng)絡(luò)通信安全防護(hù)階段可以綜合運(yùn)用信息加密、身份驗(yàn)證和鑒別等多種密碼保護(hù)技術(shù)，以此保障網(wǎng)絡(luò)通信安全。管理人員可以運(yùn)用密碼技術(shù)限制非授權(quán)用戶進(jìn)入系統(tǒng)，可綜合運(yùn)用身份識(shí)別、口令機(jī)制等達(dá)到目的。如果入侵者進(jìn)入系統(tǒng)的方式比較特殊，可以運(yùn)用訪問(wèn)控制和驗(yàn)證等方式達(dá)到保密信息的目的。如果入侵者能夠通過(guò)特殊的方式獲取保密信號(hào)，管理者應(yīng)該根據(jù)實(shí)際情況對(duì)信息進(jìn)行不同程度的加密。

企業(yè)級(jí)別網(wǎng)絡(luò)可以分為商務(wù)服務(wù)網(wǎng)、辦公網(wǎng)和內(nèi)部信息網(wǎng)三部分，每一個(gè)子網(wǎng)對(duì)信息的安全需求不同，應(yīng)該結(jié)合實(shí)際使用不同的密碼技術(shù)，在降低投入成本的同時(shí)滿足整體安全需求。商務(wù)服務(wù)網(wǎng)可以使用控制細(xì)粒度訪問(wèn)的方式，對(duì)用戶和服務(wù)器等進(jìn)行身份驗(yàn)證。企業(yè)內(nèi)部信息網(wǎng)不僅需要防止非法入侵以及外部用戶的非法訪問(wèn)，也需要對(duì)內(nèi)部用戶進(jìn)行管理，適當(dāng)控制內(nèi)部用戶的對(duì)外訪問(wèn)。辦公網(wǎng)是企業(yè)網(wǎng)絡(luò)的核心，禁止信息從網(wǎng)絡(luò)向外部流動(dòng)，并且在用戶和服務(wù)器之間設(shè)置安全通道，在安全通道中設(shè)置身份認(rèn)證等，避免外部用戶進(jìn)入辦公網(wǎng)絡(luò)中。基于密碼技術(shù)的網(wǎng)絡(luò)安全通信協(xié)議對(duì)策

在深入分析企業(yè)級(jí)網(wǎng)絡(luò)通信協(xié)議的安全需求后，我們可以充分結(jié)合密碼技術(shù)以及現(xiàn)有的設(shè)備和技術(shù)，在網(wǎng)絡(luò)系統(tǒng)中保障安全保密技術(shù)和保密模式的一致性，將密碼、秘鑰等集中起來(lái)進(jìn)行統(tǒng)一管理，密碼的處理使用專用的硬件，以此保障企業(yè)級(jí)網(wǎng)絡(luò)系統(tǒng)的安全。常用的網(wǎng)絡(luò)通信安全協(xié)議對(duì)策有：

⑴將VPN設(shè)備接入內(nèi)網(wǎng)的路由器節(jié)點(diǎn)中，構(gòu)建一個(gè)VPN的專用安全通道，對(duì)VPN通道中的信息進(jìn)行認(rèn)證和加密，以IPSEC作為參考。虛擬專用網(wǎng)絡(luò)（VPN）是信息網(wǎng)絡(luò)中的一項(xiàng)新技術(shù)，在企業(yè)網(wǎng)絡(luò)中設(shè)置獨(dú)立的VPN設(shè)備，可以在不提高運(yùn)營(yíng)成本的前提下保障各種信息數(shù)據(jù)的交換安全，運(yùn)用這種方式也可以避免在WAN中投入過(guò)多的成本，并且能夠充分利用各種信息資源。VPN的專用安全通道可以對(duì)各種數(shù)據(jù)進(jìn)行封裝傳輸，并且各種信息均經(jīng)過(guò)密鑰處理，可以在公共網(wǎng)絡(luò)上安全地傳輸和通信。

⑵在網(wǎng)絡(luò)的重要服務(wù)器配置或者用戶終端設(shè)置密碼機(jī)，將端端加密和節(jié)點(diǎn)加密等密碼技術(shù)應(yīng)用于特殊系統(tǒng)中，在系統(tǒng)標(biāo)準(zhǔn)應(yīng)用方面提供加密或者身份認(rèn)證等服務(wù)。在通信網(wǎng)絡(luò)中建立密碼邏輯管理中心，對(duì)用戶密碼機(jī)、專用密鑰等進(jìn)行分配與管理，以此更好地管理各種網(wǎng)絡(luò)安全設(shè)備或者密鑰等。

⑶將安全授權(quán)、設(shè)備控制應(yīng)用于企業(yè)網(wǎng)絡(luò)各子網(wǎng)的重要節(jié)點(diǎn)上，實(shí)現(xiàn)接入口的身份認(rèn)證和用戶授權(quán)，制定并合理配置各種細(xì)粒度安全策略，讓加密和鑒別等為網(wǎng)絡(luò)通信細(xì)粒度訪問(wèn)控制把關(guān)。在內(nèi)外信息網(wǎng)絡(luò)中設(shè)置網(wǎng)絡(luò)防火墻，有效隔離企業(yè)網(wǎng)絡(luò)中的業(yè)務(wù)子網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)中的出入路由器進(jìn)行控制，較粗粒度地進(jìn)行進(jìn)出數(shù)據(jù)控制，確保數(shù)據(jù)傳輸和通信過(guò)程中的保密性，在不同層次的安全訪問(wèn)控制過(guò)程中使用較粗粒度控制。結(jié)語(yǔ)

在計(jì)算機(jī)信息網(wǎng)絡(luò)應(yīng)用范圍不斷擴(kuò)展的同時(shí)，網(wǎng)絡(luò)通信安全問(wèn)題也變得更為嚴(yán)峻。因此，在網(wǎng)絡(luò)中綜合利用密碼技術(shù)以及各種安全通信技術(shù)，能夠避免網(wǎng)絡(luò)通信信息受到侵害，保障信息數(shù)據(jù)的傳輸安全，這對(duì)于促進(jìn)信息化的發(fā)展具有十分重要的意義。

[參考文獻(xiàn)]

[1]吳鈺鋒，劉泉，李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用[J].真空電子技術(shù)，2011（06）.[2]喻建文，李雯.基于密碼技術(shù)的網(wǎng)絡(luò)安全服務(wù)的實(shí)現(xiàn)機(jī)制[J].計(jì)算機(jī)與數(shù)字工程，2012（03）.[3]夏清國(guó)，姚群，高德遠(yuǎn).信息安全中密碼技術(shù)的分析及研究[J].現(xiàn)代電子技術(shù)，2011（03）.

第二篇：密碼技術(shù)

密碼技術(shù)

簡(jiǎn)介

密碼學(xué)（在西歐語(yǔ)文中之源于希臘語(yǔ)kryptós，“隱藏的”，和gráphein，“書寫”）是研究如何隱密地傳遞信息的學(xué)科。在現(xiàn)代特別指對(duì)信息以及其傳輸?shù)臄?shù)學(xué)性研究，常被認(rèn)為是數(shù)學(xué)和計(jì)算機(jī)科學(xué)的分支，和信息論也密切相關(guān)。著名的密碼學(xué)者Ron Rivest解釋道：“密碼學(xué)是關(guān)于如何在敵人存在的環(huán)境中通訊”，自工程學(xué)的角度，這相當(dāng)于密碼學(xué)與純數(shù)學(xué)的異同。密碼學(xué)是 信息安全等相關(guān)議題，如認(rèn)證、訪問(wèn)控制的核心。密碼學(xué)的首要目是隱藏信息的涵義，并不是將隱藏信息的存在。密碼學(xué)也促進(jìn)了計(jì)算機(jī)科學(xué)，特別是在于電腦與網(wǎng)絡(luò)安全所使用的技術(shù)，如訪問(wèn)控制與信息的機(jī)密性。密碼學(xué)已被應(yīng)用在日常生活：包括自動(dòng)柜員機(jī)的芯片卡、電腦使用者存取密碼、電子商務(wù)等等。

術(shù)語(yǔ)

直到現(xiàn)代以前，密碼學(xué)幾乎專指加密算法：將普通信息（明文）轉(zhuǎn)換成難以理解的資料（密文）的過(guò)程；解密算法則是其相反的過(guò)程：由密文轉(zhuǎn)換回明文；密碼機(jī)（cipher或cypher）包含了這兩種算法，一般加密即同時(shí)指稱加密與解密的技術(shù)。密碼機(jī)的具體運(yùn)作由兩部分決定：一個(gè)是算法，另一個(gè)是鑰匙。鑰匙是一個(gè)用于密碼機(jī)算法的秘密參數(shù)，通常只有通訊者擁有。歷史上，鑰匙通常未經(jīng)認(rèn)證或完整性測(cè)試而被直接使用在密碼機(jī)上。

密碼協(xié)議（cryptographic protocol）是使用密碼技術(shù)的通信協(xié)議（communication protocol）。近代密碼學(xué)者多認(rèn)為除了傳統(tǒng)上的加解密算法，密碼協(xié)議也一樣重要，兩者為密碼學(xué)研究的兩大課題。在英文中，cryptography和cryptology都可代表密碼學(xué)，前者又稱密碼術(shù)。但更嚴(yán)謹(jǐn)?shù)卣f(shuō)，前者（cryptography）指密碼技術(shù)的使用，而后者（cryptology）指研究密碼的學(xué)科，包含密碼術(shù)與密碼分析。密碼分析（cryptanalysis）是研究如何破解密碼學(xué)的學(xué)科。但在實(shí)際使用中，通常都稱密碼學(xué)（英文通常稱cryptography），而不具體區(qū)分其含義。

口語(yǔ)上，編碼（code）常意指加密或隱藏信息的各種方法。然而，在密碼學(xué)中，編碼有更特定的意義：它意指以碼字（code word）取代特定的明文。例如，以?蘋果派?（apple pie）替換?拂曉攻擊?（attack at dawn）。編碼已經(jīng)不再被使用在嚴(yán)謹(jǐn)?shù)拿艽a學(xué)，它在信息論或通訊原理上有更明確的意義。

在漢語(yǔ)口語(yǔ)中，電腦系統(tǒng)或網(wǎng)絡(luò)使用的個(gè)人帳戶口令（password）也常被以密碼代稱，雖然口令亦屬密碼學(xué)研究的范圍，但學(xué)術(shù)上口令與密碼學(xué)中所稱的鑰匙（key）并不相同，即使兩者間常有密切的關(guān)連。

現(xiàn)代密碼學(xué)

現(xiàn)代密碼學(xué)大致可被區(qū)分為數(shù)個(gè)領(lǐng)域。對(duì)稱鑰匙密碼學(xué)指的是傳送方與接收方都擁有相同的鑰匙。直到1976年這都還是唯一的公開加密法。

現(xiàn)代的研究主要在分組密碼（Block Cipher）與流密碼（Stream Cipher）及其應(yīng)用。分組密碼在某種意義上是阿伯提的多字符加密法的現(xiàn)代化。分組密碼取用明文的一個(gè)區(qū)塊和鑰匙，輸出相同大小的密文區(qū)塊。由于信息通常比單一區(qū)塊還長(zhǎng)，因此有了各種方式將連續(xù)的區(qū)塊編織在一起。DES和AES是美國(guó)聯(lián)邦政府核定的分組密碼標(biāo)準(zhǔn)（AES將取代DES）。盡管將從標(biāo)準(zhǔn)上廢除，DES依然很流行（triple-DES變形仍然相當(dāng)安全），被使用在非常多的應(yīng)用上，從自動(dòng)交易機(jī)、電子郵件到遠(yuǎn)端存取。也有許多其他的區(qū)塊加密被發(fā)明、釋出，品質(zhì)與應(yīng)用上各有不同，其中不乏被破解者。

流密碼，相對(duì)于區(qū)塊加密，制造一段任意長(zhǎng)的鑰匙原料，與明文依位元或字符結(jié)合，有點(diǎn)類似一次墊（one-time pad）。輸出的串流根據(jù)加密時(shí)的內(nèi)部狀態(tài)而定。在一些流密碼上由鑰匙控制狀態(tài)的變化。RC4是相當(dāng)有名的流密碼。

密碼雜湊函數(shù)（有時(shí)稱作消息摘要函數(shù)，雜湊函數(shù)又稱散列函數(shù)或哈希函數(shù)）不一定使用到鑰匙，但和許多重要的密碼算法相關(guān)。它將輸入資料（通常是一整份文件）輸出成較短的固定長(zhǎng)度雜湊值，這個(gè)過(guò)程是單向的，逆向操作難以完成，而且碰撞（兩個(gè)不同的輸入產(chǎn)生相同的雜湊值）發(fā)生的機(jī)率非常小。

信息認(rèn)證碼或押碼（Message authentication codes, MACs）很類似密碼雜湊函數(shù)，除了接收方額外使用秘密鑰匙來(lái)認(rèn)證雜湊值。

公開密鑰密碼體系（Public Key Infranstructures,）

公開密鑰密碼體系，簡(jiǎn)稱公鑰密碼體系，又稱非對(duì)稱密鑰密碼體系，相對(duì)于對(duì)稱密鑰密碼體系，最大的特點(diǎn)在于加密和解密使用不同的密鑰。

在對(duì)稱密鑰密碼體系中，加密和解密使用相同的密鑰，也許對(duì)不同的信息使用不同的密鑰，但都面臨密鑰管理的難題。由于每對(duì)通訊方都必須使用異于他組的密鑰，當(dāng)網(wǎng)絡(luò)成員的數(shù)量增加時(shí)，密鑰數(shù)量成二次方增加。更尷尬的難題是：當(dāng)安全的通道不存在于雙方時(shí)，如何建立一個(gè)共有的密鑰以利安全的通訊？如果有通道可以安全地建立密鑰，何不使用現(xiàn)有的通道。這個(gè)?雞生蛋、蛋生雞?的矛盾是長(zhǎng)年以來(lái)密碼學(xué)無(wú)法在真實(shí)世界應(yīng)用的阻礙。

1976年，美國(guó)學(xué)者Whitfield Diffie與Martin Hellman發(fā)表開創(chuàng)性的論文，提出公開密鑰密碼體系的概念：一對(duì)不同值但數(shù)學(xué)相關(guān)的密鑰，公開鑰匙（或公鑰, public key）與私密鑰匙（私鑰,private key or secret key）。在公鑰系統(tǒng)中，由公開密鑰推算出配對(duì)的私密密鑰于計(jì)算上是不可行的。歷史學(xué)者David Kahn這樣描述公開密鑰密碼學(xué)；“從文藝復(fù)興的多字符取代法后最革命性的概念?！痹诠€系統(tǒng)中，公鑰可以隨意流傳，但私鑰只有該人擁有。典型的用法是，其他人用公鑰來(lái)加密給該接受者，接受者使用自己的私鑰解密。Diffie與Hellman也展示了如何利用公開鑰匙密碼學(xué)來(lái)達(dá)成Diffie-Hellman鑰匙交換協(xié)定。

1978年，MIT的Ron Rivest、Adi Shamir和Len Adleman發(fā)明另一個(gè)公開密鑰系統(tǒng)，RSA。

直到1997年的公開文件中大眾才知道，早在１９７０年代早期，英國(guó)情報(bào)機(jī)構(gòu)GCHQ的數(shù)學(xué)家James H.Ellis便已發(fā)明非對(duì)稱密鑰密碼學(xué)，而且Diffie-Hellman與RSA都曾被Malcolm J.Williamson與Clifford Cocks分別發(fā)明于前。這兩個(gè)最早的公鑰系統(tǒng)提供優(yōu)良的加密法基礎(chǔ)，因而被大量使用。其他公鑰系統(tǒng)還有

Cramer-Shoup、Elgamal、以及橢圓曲線密碼學(xué)等等。

除了加密外，公開密鑰密碼學(xué)最顯著的成就是實(shí)現(xiàn)了數(shù)字簽名。數(shù)字簽名名符其實(shí)是普通簽章的數(shù)位化，他們的特性都是某人可以輕易制造簽章，但他人卻難以仿冒。數(shù)字簽名可以永久地與被簽署信息結(jié)合，無(wú)法自信息上移除。數(shù)字簽名大致包含兩個(gè)算法：一個(gè)是簽署，使用私密密鑰處理信息或信息的雜湊值而產(chǎn)生簽章；另一個(gè)是驗(yàn)證，使用公開鑰匙驗(yàn)證簽章的真實(shí)性。RSA和DSA是兩種最流行的數(shù)字簽名機(jī)制。數(shù)字簽名是公開密鑰

基礎(chǔ)建設(shè)（public key infranstructures, PKI）以及許多網(wǎng)絡(luò)安全機(jī)制（SSL/TLS, VPNs等）的基礎(chǔ)。

公開密鑰的算法大多基于計(jì)算復(fù)雜度上的難題，通常來(lái)自于數(shù)論。例如，RSA源于整數(shù)因子分解問(wèn)題；DSA源于離散對(duì)數(shù)問(wèn)題。近年發(fā)展快速的橢圓曲線密碼學(xué)則基于和橢圓曲線相關(guān)的數(shù)學(xué)難題，與離散對(duì)數(shù)相當(dāng)。由于這些底層的問(wèn)題多涉及模數(shù)乘法或指數(shù)運(yùn)算，相對(duì)于分組密碼需要更多計(jì)算資源。因此，公開密鑰系統(tǒng)通常是復(fù)合式的，內(nèi)含一個(gè)高效率的對(duì)稱密鑰算法，用以加密信息，再以公開密鑰加密對(duì)稱鑰匙系統(tǒng)所使用的鑰匙，以增進(jìn)效率。

基于身份認(rèn)證密碼體系(Identity-Based Cryptograph,)

在1984年以色列科學(xué)家Shamir提出了基于標(biāo)識(shí)的密碼系統(tǒng)的概念（IBC）。在基于標(biāo)識(shí)的系統(tǒng)中，每個(gè)實(shí)體具有一個(gè)標(biāo)識(shí)。該標(biāo)識(shí)可以是任何有意義的字符串。但和傳統(tǒng)公鑰系統(tǒng)最大的不同是，在基于標(biāo)識(shí)的系統(tǒng)中，實(shí)體的標(biāo)識(shí)本身就是實(shí)體的公開密鑰。由于標(biāo)識(shí)本身就是實(shí)體的公鑰，這類系統(tǒng)就不再依賴證書和證書管理系統(tǒng)如PKI，從而極大地簡(jiǎn)化了管理密碼系統(tǒng)的復(fù)雜性。在提出IBC概念的同時(shí)，Shamir提出了一個(gè)采用RSA算法的基于標(biāo)識(shí)的簽名算法(IBS)。但是基于標(biāo)識(shí)的加密算法（IBC）長(zhǎng)時(shí)期未能找到有效解決方法。

在2000年，三位日本密碼學(xué)家R.Sakai, K.Ohgishi 和 M.Kasahara提出了使用橢圓曲線上的pairing設(shè)計(jì)基于標(biāo)識(shí)的密碼系統(tǒng)的思路。在該論文中他們提出了一種無(wú)交互的基于標(biāo)識(shí)的密鑰生成協(xié)議.在該系統(tǒng)中，他們?cè)O(shè)計(jì)了一種可用于基于標(biāo)識(shí)的密碼系統(tǒng)中的系統(tǒng)初始化方法和密碼生成算法。

在2001年，D.Boneh和M.Franklin , R.Sakai, K.Ohgishi 和 M.Kasahara 以及C.Cocks 分別提出了三個(gè)基于標(biāo)識(shí)的加密算法。前兩個(gè)都是采用橢圓曲線上pairing的算法。第三種算法利用平方剩余難問(wèn)題。前兩種算法都采用了與中相同的思路初試化系統(tǒng)并生成用戶的私鑰。由于D.Boneh和M.Franklin提出的IBC(BF-IBC)的安全性可以證明并且有較好的效率，所以引起了極大的反響。

基于標(biāo)識(shí)的密碼技術(shù)在過(guò)去幾年中得到快速發(fā)展。研究人員設(shè)計(jì)了大量的新密碼系統(tǒng)。隨著應(yīng)用的逐漸廣泛，相應(yīng)算法的標(biāo)準(zhǔn)化工作也在逐步展開。IEEE P1363.3的基于標(biāo)識(shí)的密碼技術(shù)工作組正在進(jìn)行相關(guān)算法的標(biāo)準(zhǔn)化工作。ISO/IEC已經(jīng)標(biāo)準(zhǔn)化了兩個(gè)基于標(biāo)識(shí)的簽名算法。

2007年，中國(guó)國(guó)家密碼局組織了國(guó)家標(biāo)識(shí)密碼體系IBC標(biāo)準(zhǔn)規(guī)范

(Identity-Based Cryptograph, IBC)的編寫和評(píng)審工作。由五位院士和來(lái)自黨政軍、科研院所的密碼專家組成了評(píng)審組，對(duì)該標(biāo)準(zhǔn)規(guī)范在安全性、可靠性、實(shí)用性和創(chuàng)新性等方面進(jìn)行了多次嚴(yán)格審查，2007年12月16日國(guó)家IBC標(biāo)準(zhǔn)正式通過(guò)了評(píng)審。專家們一致認(rèn)定，該標(biāo)準(zhǔn)擁有獨(dú)立知識(shí)產(chǎn)權(quán)，屬于國(guó)內(nèi)首創(chuàng)，達(dá)到了國(guó)際領(lǐng)先水平，并已逐步開始應(yīng)用在智能密鑰、加密郵件、網(wǎng)絡(luò)安全設(shè)備等產(chǎn)品中中。

有關(guān)的法律禁令

密碼技術(shù)長(zhǎng)期以來(lái)都是情報(bào)或司法機(jī)構(gòu)的興趣。由于這些單位的隱密性以及禁令后個(gè)人隱私的減少，密碼技術(shù)也是人權(quán)支持者關(guān)心的焦點(diǎn)。環(huán)繞密碼技術(shù)的法律議題已有很長(zhǎng)的歷史，特別是在可以執(zhí)行高品質(zhì)密碼的廉價(jià)計(jì)算機(jī)問(wèn)世后。

在某些國(guó)家甚至本國(guó)的密碼技術(shù)應(yīng)用也受到了限制：

直到１９９９年，法國(guó)仍然限制國(guó)內(nèi)密碼技術(shù)的使用。

在中國(guó)，使用密碼技術(shù)需要申請(qǐng)執(zhí)照。

許多國(guó)家有更嚴(yán)格的限制，例如白俄羅斯、哈薩克、蒙古、巴基斯坦、俄羅斯、新加坡、突尼斯、委內(nèi)瑞拉和越南。

在美國(guó)，國(guó)內(nèi)密碼技術(shù)的使用是合法的，但仍然有許多法律沖突。

一個(gè)特別重要的議題是密碼軟件與硬件的出口管制。由于密碼分析在二戰(zhàn)時(shí)期扮演的重要腳色，也期待密碼學(xué)可以持續(xù)在國(guó)家安全上效力，許多西方國(guó)家政府嚴(yán)格規(guī)范密碼學(xué)的出口。二戰(zhàn)之后，在美國(guó)散布加密科技到國(guó)外曾是違法的。事實(shí)上，加密技術(shù)曾被視為軍需品，就像坦克與核武。直到個(gè)人電腦和因特網(wǎng)問(wèn)世后情況才改變。好的密碼學(xué)與壞的密碼學(xué)對(duì)絕大部分使用者來(lái)說(shuō)是沒(méi)有差別的，其實(shí)多數(shù)情況下，大部分現(xiàn)行密碼技術(shù)普遍緩慢而且易出錯(cuò)。然而當(dāng)因特網(wǎng)與個(gè)人電腦日益成長(zhǎng)，優(yōu)良的加密技術(shù)逐漸廣為人知?？梢姵隹诠苤茖⒊蔀樯虅?wù)與研究上的阻礙。

密碼技術(shù)在中國(guó)的發(fā)展?fàn)顩r

我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安

全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。

第三篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)

——防火墻技術(shù)與病毒

摘 要：

計(jì)算機(jī)網(wǎng)絡(luò)安全，指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。而計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括計(jì)算機(jī)網(wǎng)絡(luò)安全的概況、虛擬網(wǎng)技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù), 安全掃描技術(shù), 電子認(rèn)證和數(shù)字簽名技術(shù).VPN技術(shù)、數(shù)據(jù)安全、計(jì)算機(jī)病毒等。防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。本文將以最常見的WORD宏病毒為例來(lái)解釋計(jì)算機(jī)病毒傳播過(guò)程。

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻技術(shù) 計(jì)算機(jī)病毒

1.1 研究背景

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計(jì)算機(jī)應(yīng)用更加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)诶镁W(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 計(jì)算機(jī)病毒簡(jiǎn)介

計(jì)算機(jī)病毒是指那些具有自我復(fù)制能力的計(jì)算機(jī)程序, 它能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行, 破壞數(shù)據(jù)的正確與完整。計(jì)算機(jī)病毒的來(lái)源多種多樣, 有的是計(jì)算機(jī)工作人員或業(yè)余愛好者為了純粹尋開心而制造出來(lái)的;有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰, 因?yàn)樗麄儼l(fā)現(xiàn)病毒比加密對(duì)付非法拷貝更有效且更有威脅, 這種情況助長(zhǎng)了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個(gè)人行為和政府行為兩種, 個(gè)人行為多為雇員對(duì)雇主的報(bào)復(fù)行為, 而政府行為則是有組織的戰(zhàn)略戰(zhàn)術(shù)手段。另外有的病毒還是用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”程序, 由于某種原因失去控制擴(kuò)散出實(shí)驗(yàn)室, 從而成為危害四方的計(jì)算機(jī)病毒。

1987 年, 計(jì)算機(jī)用戶忽然發(fā)現(xiàn), 在世界的各個(gè)角落, 幾乎同時(shí)出現(xiàn)了形形色色的計(jì)算機(jī)病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發(fā)現(xiàn)的幾種病毒, 其名氣也最大, 它們是: 臺(tái)灣一號(hào)病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過(guò)一萬(wàn)種。

1988 年底, 我國(guó)國(guó)家統(tǒng)計(jì)系統(tǒng)發(fā)現(xiàn)小球病毒。隨后, 中國(guó)有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國(guó)一些科研部門和國(guó)家機(jī)關(guān)也相繼發(fā)現(xiàn)病毒入侵。自從“中國(guó)炸彈”病毒出現(xiàn)后,已發(fā)現(xiàn)越來(lái)越多的國(guó)產(chǎn)病毒。比如目前國(guó)內(nèi)主要有:感染W(wǎng)indow s3.x 的“V3783”,感染W(wǎng)indow s95/ 98的“CIH”病毒。

縱觀計(jì)算機(jī)病毒的發(fā)展歷史, 我們不難看出, 計(jì)算機(jī)病毒已從簡(jiǎn)單的引導(dǎo)型、文件型病毒或它們的混合型發(fā)展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺(tái)發(fā)展到攻擊安全性較高的Window s95/ 98平臺(tái);從破壞磁盤數(shù)據(jù)發(fā)展到直接對(duì)硬件芯片進(jìn)行攻擊。1995 年宏病毒的出現(xiàn), 使病毒從感染可執(zhí)行文件過(guò)渡到感染某些非純粹的數(shù)據(jù)文件。最近有資料顯示已發(fā)現(xiàn)JAVA病毒, 各種跡象表明病毒正向著各個(gè)領(lǐng)域滲透, 這些新病毒更隱秘, 破壞性更強(qiáng)。

計(jì)算機(jī)病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統(tǒng)引導(dǎo)區(qū)為主, 大多數(shù)病毒只是開個(gè)小小的玩笑。

按傳染方式分類可分為引導(dǎo)型病毒、文件型病毒和混合型病毒3種。引導(dǎo)型病毒主要是感染磁盤的引導(dǎo)區(qū), 系統(tǒng)從包含了病毒的磁盤啟動(dòng)時(shí)傳播, 它一般不對(duì)磁盤文件進(jìn)行感染;文件型病毒一般只傳染磁盤上的可執(zhí)行文件(COM, EXE), 其特點(diǎn)是附著于正常程序文件, 成為程序文件的一個(gè)外殼或部件;混合型病毒則兼有以上兩種病毒的特點(diǎn), 既感染引導(dǎo)區(qū)又感染文件, 因此擴(kuò)大了這種病毒的傳染途徑。

按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統(tǒng)型病毒等3 種。其中源碼型病毒主要攻擊高級(jí)語(yǔ)言編寫的源程序, 它會(huì)將自己插入到系統(tǒng)的源程序中, 并隨源程序一起編譯、連接成可執(zhí)行文件, 從而導(dǎo)致剛剛生成的可執(zhí)行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區(qū)的病毒, 它只攻擊某些特定程序, 針對(duì)性強(qiáng);操作系統(tǒng)型病毒是用其自身部分加入或替代操作系統(tǒng)的部分功能, 危害性較大。

病毒按程序運(yùn)行平臺(tái)分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發(fā)作于DOS,Windows9X,WindowsNT, OS/2等操作系統(tǒng)平臺(tái)上的病毒。而計(jì)算機(jī)病毒的主要危害：不同的計(jì)算機(jī)病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統(tǒng)數(shù)據(jù)區(qū), 包括硬盤的主引導(dǎo)扇區(qū)、Boot 扇區(qū)、FAT 表、文件目錄。一般來(lái)說(shuō), 攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒, 受損的數(shù)據(jù)不易恢復(fù)。二是攻擊文件, 包括刪除、改名、替換文件內(nèi)容、刪除部分程序代碼、內(nèi)容顛倒、變碎片等等。三是攻擊內(nèi)存。

1.3防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

2.防火墻的原理及分類

顧名思義，包過(guò)濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號(hào)，ICMP消息類型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒(méi)有匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對(duì)用戶來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有80端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。

應(yīng)用級(jí)代理技術(shù)通過(guò)在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開來(lái)，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問(wèn)WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。

代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過(guò)濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí) 也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。

復(fù)合型防火墻：由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。

3.1防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)

(1)安全策略功能

一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。

(2)多級(jí)過(guò)濾技術(shù)

所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。

這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

(3)功能擴(kuò)展

功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。

3.1防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。參考文獻(xiàn)

[1] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識(shí)與技術(shù).2004，(s):79一82.[2] 高峰.許南山.防火墻包過(guò)濾規(guī)則問(wèn)題的研究[M].計(jì)算機(jī)應(yīng)用.2003，23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計(jì)[M].計(jì)算機(jī)安全.2004，(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業(yè).2000.[5] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57一62

[6] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報(bào).2002，2(l):59一61

[7] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27

[8] 付歌，楊明福.一個(gè)快速的二維數(shù)據(jù)包分類算法.計(jì)算機(jī)工程.2004，30(6):76一78

[9] 付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類技術(shù).計(jì)算機(jī)工程與應(yīng)用.2004(8):63一65

[10] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報(bào).2003，29(5):504一508

[11] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類算法.計(jì)算機(jī)工程與應(yīng)用.2003，(29):188一192

[12] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計(jì)算機(jī)研究與發(fā)展.2003，40(3):387一392

第四篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)信息安全與策略

【摘要】隨著我國(guó)網(wǎng)路信息科技的高速發(fā)展，網(wǎng)絡(luò)信息安全問(wèn)題日益突出。以網(wǎng)絡(luò)方式獲取信息和交流信息已成為現(xiàn)代信息社會(huì)的一個(gè)重要特征。網(wǎng)絡(luò)給人們生活帶來(lái)極大便利的同時(shí)，也給許多部門、單位和個(gè)人帶來(lái)了極大的風(fēng)險(xiǎn)，造成嚴(yán)重的經(jīng)濟(jì)損失。最新報(bào)道：央視《經(jīng)濟(jì)半小時(shí)》播出“我國(guó)黑客木馬形成產(chǎn)業(yè) 2009年收入可超百億元”節(jié)目，可以看出黑客通過(guò)網(wǎng)絡(luò)傳播木馬的嚴(yán)重性。本文主要探討了網(wǎng)絡(luò)信息安全中存在的威脅，并提出了相應(yīng)的技術(shù)保障和對(duì)策?！娟P(guān)鍵字】網(wǎng)絡(luò)

信息

安全

黑客

病毒

技術(shù)

一、網(wǎng)絡(luò)信息安全的內(nèi)涵

在網(wǎng)絡(luò)出現(xiàn)以前，信息安全是指為建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護(hù)以實(shí)現(xiàn)電子信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。當(dāng)今信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽，致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。面對(duì)侵襲網(wǎng)絡(luò)安全的種種威脅，必須考慮信息的安全這個(gè)至關(guān)重要的問(wèn)題。

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。

1.網(wǎng)絡(luò)信息安全的內(nèi)容

(1)硬件實(shí)體安全。即網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全。要保護(hù)這些硬設(shè)施不受損害，能夠正常工作；預(yù)防地震、水災(zāi)、颶風(fēng)、雷擊等的措施；滿足設(shè)備正常運(yùn)行環(huán)境要求；防止電磁輻射、泄露；媒體的安全備份及管理等。

(2)軟件系統(tǒng)安全。即計(jì)算機(jī)程序和文檔資料及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效，不被非法復(fù)制。

(3)運(yùn)行服務(wù)安全。即網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過(guò)網(wǎng)絡(luò)交流信息。通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測(cè)，發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

(4)數(shù)據(jù)信息安全。即網(wǎng)絡(luò)中存儲(chǔ)及流通數(shù)據(jù)的安全。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)文件和數(shù)據(jù)信息在傳輸過(guò)程中不被篡改、非法增刪、復(fù)制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。

2.網(wǎng)絡(luò)信息安全的目標(biāo)

(1)保密性。保密性是指利用密碼技術(shù)對(duì)敏感信息進(jìn)行加密處理同時(shí)采取抑制、屏蔽措施防止電磁泄漏，保證信息只有合法用戶才能利用，而不會(huì)泄露給非授權(quán)人、實(shí)休。

(2)完整性。完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對(duì)網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。

(3)可用性?？捎眯允侵负戏ㄓ脩粼L問(wèn)并能按要求順序使用信息的特性，即保證合法用戶在需要時(shí)可以訪問(wèn)到信息。

(4)可控性。可控性是指授權(quán)機(jī)構(gòu)對(duì)信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

(5)不可否認(rèn)性。不可否認(rèn)性是指在信息交流過(guò)程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認(rèn)曾經(jīng)接收到對(duì)方的信息。

二、網(wǎng)絡(luò)信息安全面臨的威脅

1.操作系統(tǒng)自身的因素

無(wú)論哪一種操作系統(tǒng)，其體系結(jié)構(gòu)本身就是不安全的一種因素。由于操作系統(tǒng)的程序是可以動(dòng)態(tài)連接的，包過(guò)I/O的驅(qū)動(dòng)程序與系統(tǒng)服務(wù)都可以用打補(bǔ)丁的方法升級(jí)和進(jìn)行動(dòng)態(tài)連接。而這種動(dòng)態(tài)連接正是計(jì)算機(jī)病毒產(chǎn)生的溫床，該產(chǎn)品的廠商可以使用，“黑客”成員也可以使用。因此，這種打補(bǔ)丁與滲透開發(fā)的操作系統(tǒng)是不可能從根本上解決安全問(wèn)題。

2.網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷

因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實(shí)現(xiàn)上力求效率，而沒(méi)有考慮安全因素，因?yàn)槟菢訜o(wú)疑增大代碼量，從而降低了TCP/IP的運(yùn)行效率，所以說(shuō)TCP/IP本身在設(shè)計(jì)上就是不安全的。很容易被竊聽和欺騙：大多數(shù)因特網(wǎng)上的流量是沒(méi)有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問(wèn)題，這很容易被一些對(duì)TCP/IP十分了解的人所利用，一些新的處于測(cè)試階級(jí)的服務(wù)有更多的安全缺陷。缺乏安全策略：許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限，忽視了這些權(quán)限可能會(huì)被內(nèi)部人員濫用，黑客從一些服務(wù)中可以獲得有用的信息，而網(wǎng)絡(luò)維護(hù)人員卻不知道應(yīng)該禁止這種服務(wù)。配置的復(fù)雜性：訪問(wèn)控制的配置一般十分復(fù)雜，所以很容易被錯(cuò)誤配置，從而給黑客以可乘之機(jī)。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大?，F(xiàn)在，銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。當(dāng)然，人們不能把TCP/IP和其實(shí)現(xiàn)代碼保密，這樣不利于TCP/IP網(wǎng)絡(luò)的發(fā)展。

3.電腦黑客攻擊多樣化

進(jìn)人2006年以來(lái)，網(wǎng)絡(luò)罪犯采用翻新分散式阻斷服務(wù)(DDOS)攻擊的手法，用形同互聯(lián)網(wǎng)黃頁(yè)的域名系統(tǒng)服務(wù)器來(lái)發(fā)動(dòng)攻擊，擾亂在線商務(wù)。寬帶網(wǎng)絡(luò)條件下，常見的拒絕服務(wù)攻擊方式主要有兩種，一是網(wǎng)絡(luò)黑客蓄意發(fā)動(dòng)的針對(duì)服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰，或者造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。

調(diào)查資料顯示，2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來(lái)源不是被綁架的“僵尸”電腦，而是出自于域名系統(tǒng)(DNS)服務(wù)器。一旦成為DDOS攻擊的目標(biāo)，目標(biāo)系統(tǒng)不論是網(wǎng)頁(yè)服務(wù)器、域名服務(wù)器，還是電子郵件服務(wù)器，都會(huì)被網(wǎng)絡(luò)上四面八方的系統(tǒng)傳來(lái)的巨量信息給淹沒(méi)。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標(biāo)對(duì)外的連線。黑客常用“僵尸”電腦連成網(wǎng)絡(luò)，把大量的查詢要求傳至開放的DNS服務(wù)器，這些查詢信息會(huì)假裝成被巨量信息攻擊的目標(biāo)所傳出的，因此DNS服務(wù)器會(huì)把回應(yīng)信息傳到那個(gè)網(wǎng)址。

美國(guó)司法部的一項(xiàng)調(diào)查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權(quán)用戶或設(shè)備的數(shù)據(jù)。在傳統(tǒng)的用戶身份認(rèn)證環(huán)境下，外來(lái)攻擊者僅憑盜取的相關(guān)用戶身份憑證就能以任何臺(tái)設(shè)備進(jìn)人網(wǎng)絡(luò)，即使最嚴(yán)密的用戶認(rèn)證保護(hù)系統(tǒng)也很難保護(hù)網(wǎng)絡(luò)安全。另外，由于企業(yè)員工可以通過(guò)任何一臺(tái)未經(jīng)確認(rèn)和處理的設(shè)備，以有效合法的個(gè)人身份憑證進(jìn)入網(wǎng)絡(luò)，使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機(jī)可乘，嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。有資料顯示，最近拉美國(guó)家的網(wǎng)絡(luò)詐騙活動(dòng)增多，作案手段先進(jìn)。犯罪活動(dòng)已經(jīng)從“現(xiàn)實(shí)生活轉(zhuǎn)入虛擬世界”，網(wǎng)上詐騙活動(dòng)日益增多。

4計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是專門用來(lái)破壞計(jì)算機(jī)正常工作，具有高級(jí)技巧的程序。它并不獨(dú)立存在，而是寄生在其他程序之中，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、網(wǎng)絡(luò)空間的廣泛運(yùn)用，病毒的種類急劇增加。目前全世界的計(jì)算機(jī)活體病毒達(dá)14萬(wàn)多種，其傳播途徑不僅通過(guò)軟盤、硬盤傳播，還可以通過(guò)網(wǎng)絡(luò)的電子郵件和下載軟件傳播。從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中日常監(jiān)測(cè)結(jié)果來(lái)看，計(jì)算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢(shì)。據(jù)2001年調(diào)查，我國(guó)約73%的計(jì)算機(jī)用戶曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較大。被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。只要帶病毒的電腦在運(yùn)行過(guò)程中滿足設(shè)計(jì)者所預(yù)定的條件，計(jì)算機(jī)病毒便會(huì)發(fā)作，輕者造成速度減慢、顯示異常、丟失文件，重者損壞硬件、造成系統(tǒng)癱瘓。

5.人性的脆弱性

人們與生俱來(lái)就有信任他人、樂(lè)于助人以及對(duì)未知事物的好奇心等弱點(diǎn)。狡猾的電腦黑客往往利用這些弱點(diǎn)，通過(guò)E-mail、偽造的Web網(wǎng)站、向特定的用戶提幾個(gè)簡(jiǎn)單的問(wèn)題的伎倆，騙取公司的保密資料或從個(gè)人用戶那里騙取網(wǎng)上購(gòu)物的信用卡、用戶名和密碼，達(dá)到入侵網(wǎng)絡(luò)信息系統(tǒng)的目的，使得那些采用多種先進(jìn)技術(shù)的安全保護(hù)措施形同虛設(shè)。

6管理因素

用戶安全意識(shí)淡薄, 管理不善是當(dāng)前存在的一個(gè)嚴(yán)重的問(wèn)題。目前我國(guó)安全管理方面存在的問(wèn)題主要有: 一是缺乏強(qiáng)有力的權(quán)威管理機(jī)構(gòu), 由于我國(guó)網(wǎng)絡(luò)安全立法滯后, 安全管理部門受人力、技術(shù)等條件的限制影響著安全管理措施的有效實(shí)施。二是缺乏安全審計(jì),安全審計(jì)是把與安全相關(guān)的事件記錄到安全日志中,我國(guó)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)大多數(shù)缺少安全審計(jì), 安全日志形同虛設(shè)。三是安全意識(shí)淡薄。人們對(duì)信息安全認(rèn)識(shí)不夠, 過(guò)分依賴信息安全產(chǎn)品, 缺乏細(xì)致的內(nèi)部網(wǎng)絡(luò)管理機(jī)制, 一些用戶警惕性不高, 操作麻痹, 甚至把自己賬號(hào)隨意給他人。

三、保障網(wǎng)絡(luò)信息安全的對(duì)策和技術(shù)

1.安全通信協(xié)議和有關(guān)標(biāo)準(zhǔn)。

在網(wǎng)絡(luò)安全技術(shù)應(yīng)用領(lǐng)域，安全通信協(xié)議提供了一種標(biāo)準(zhǔn)，基于這些標(biāo)準(zhǔn)，企業(yè)可以很方便地建立自己的安全應(yīng)用系統(tǒng)。目前主要的安全通信協(xié)議有SSL（TLS）、IPsec和S/MIME SL提供基于客戶/服務(wù)器模式的安全標(biāo)準(zhǔn)，SSL（TLS）在傳輸層和應(yīng)用層之間嵌入一個(gè)子層，主要用于實(shí)現(xiàn)兩個(gè)應(yīng)用程序之間安全通訊機(jī)制，提供面向連接的保護(hù)；IP安全協(xié)議（IPsec）提供網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信標(biāo)準(zhǔn)，在網(wǎng)絡(luò)層實(shí)現(xiàn)，IPsec能夠保護(hù)整個(gè)網(wǎng)絡(luò)；S/MIME在應(yīng)用層提供對(duì)信息的安全保護(hù)，主要用于信息的安全存儲(chǔ)、信息認(rèn)證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類似的安全服務(wù)，但是他們的具體應(yīng)用范圍是不同的，在實(shí)際應(yīng)用中，應(yīng)根據(jù)具體情況選擇相應(yīng)的安全通信協(xié)議。

2.防火墻技術(shù)

防火墻技術(shù)是為了保證網(wǎng)絡(luò)路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層。所有的內(nèi)外連接都強(qiáng)制性地經(jīng)過(guò)這一保護(hù)層接受檢查過(guò)濾，只有被授權(quán)的通信才允許通過(guò)。防火墻的安全意義是雙向的，一方面可以限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問(wèn)，另一方面也可以限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)中不健康或敏感信息的訪問(wèn)。同時(shí)，防火墻還可以對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì)，對(duì)可疑動(dòng)作告警，以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細(xì)信息。防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)一般分為兩種，一種是分組過(guò)濾技術(shù)，一種是代理服務(wù)技術(shù)。分組過(guò)濾基于路由器技術(shù)，其機(jī)理是由分組過(guò)濾路由器對(duì)IP分組進(jìn)行選擇，根據(jù)特定組織機(jī)構(gòu)的網(wǎng)絡(luò)安全準(zhǔn)則過(guò)濾掉某些IP地址分組，從而保護(hù)內(nèi)部網(wǎng)絡(luò)。代理服務(wù)技術(shù)是由一個(gè)高層應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，對(duì)于任何外部網(wǎng)的應(yīng)用連接請(qǐng)求首先進(jìn)行安全檢查，然后再與被保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。代理服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動(dòng)受到雙向監(jiān)控。

3.訪問(wèn)拉制技術(shù)

訪問(wèn)控制根據(jù)用戶的身份賦予其相應(yīng)的權(quán)限，即按事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法，當(dāng)一主體試圖非法使用一個(gè)未經(jīng)授權(quán)使用的客體時(shí)，該機(jī)制將拒絕這一企圖，其主要通過(guò)注冊(cè)口令、用戶分組控制、文件權(quán)限控制三個(gè)層次完成。此外，審計(jì)、日志、入侵偵察及報(bào)警等對(duì)保護(hù)網(wǎng)絡(luò)安全起一定的輔助作用，只有將上述各項(xiàng)技術(shù)很好地配合起來(lái)，才能為網(wǎng)絡(luò)建立一道安全的屏障。

4.反病毒軟件

反病毒軟件已成為人們抵御病毒進(jìn)攻的有力武器。目前的反病毒軟件具有幾項(xiàng)技術(shù)特色。首先, 出現(xiàn)了病毒防火墻。該技術(shù)為用戶提供了一個(gè)實(shí)時(shí)監(jiān)防止病毒發(fā)作的工具,它對(duì)用戶訪問(wèn)的每一個(gè)文件進(jìn)行病毒檢測(cè), 確認(rèn)無(wú)毒后才會(huì)讓系統(tǒng)接管進(jìn)行下一步的工作。其次, 反病毒軟件提出了在線升級(jí)的方式。第三, 完成了統(tǒng)一的防病毒管理。第四,嵌入式查毒技術(shù)的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2003 和OfficeXP 組件當(dāng)中,使其與可能發(fā)生病毒侵?jǐn)_的應(yīng)用程序有機(jī)地結(jié)合為一體, 在占用系統(tǒng)資源最小的情況下查殺病毒。

5.入侵檢測(cè)技術(shù)

隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)的不斷提高, 作為對(duì)防火墻及其有益的補(bǔ)充, IDS(入侵檢測(cè)系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴(kuò)展了系統(tǒng)管理員的安全管理能力包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng), 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的專用系統(tǒng), 該系統(tǒng)處于防火墻之后, 可以和防火墻及路由器配合工作, 用來(lái)檢查一個(gè)LAN 網(wǎng)段上的所有通信,記錄和禁止網(wǎng)絡(luò)活動(dòng),可以通過(guò)重新配置來(lái)禁止從防火墻外部進(jìn)入的惡意流量。入侵檢測(cè)系統(tǒng)能夠?qū)W(wǎng)絡(luò)上的信息進(jìn)行快速分析或在主機(jī)上對(duì)用戶進(jìn)行審計(jì)分析, 通過(guò)集中控制臺(tái)來(lái)管理、檢測(cè)。

6.PKI技術(shù)

PKI是在公開密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來(lái)的一種綜合安全平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的。利用PKI可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境，從而使得人們?cè)谶@個(gè)無(wú)法直接相互面對(duì)的環(huán)境里，能夠確認(rèn)彼此的身份和所交換的信息，能夠安全地從事商務(wù)活動(dòng)。目前，PKI技術(shù)己趨于成熟，其應(yīng)用已覆蓋了從安全電子郵件、虛擬專用網(wǎng)絡(luò)(VPN),Web交互安全到電子商務(wù)、電子政務(wù)、電子事務(wù)安全的眾多領(lǐng)域，許多企業(yè)和個(gè)人已經(jīng)從PKI技術(shù)的使用中獲得了巨大的收益。

在PKI體系中，CA(CertificateAuthority，認(rèn)證中心)和數(shù)字證書是密不可分的兩個(gè)部分。認(rèn)證中心又叫CA中心，它是負(fù)責(zé)產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱作PKI/CA。認(rèn)證中心通常采用多層次的分級(jí)結(jié)構(gòu)，上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書，最下一級(jí)的認(rèn)證中心直接面向最終用戶。數(shù)字證書，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認(rèn)證中心發(fā)放并經(jīng)認(rèn)證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關(guān)信息的一種電子文件，可以用來(lái)證明數(shù)字證書持有者的真實(shí)身份。

7.增強(qiáng)網(wǎng)絡(luò)安全意識(shí)

利用講座和電視視頻直播給上網(wǎng)的朋友們普及有關(guān)網(wǎng)絡(luò)安全知識(shí),使他們知道網(wǎng)絡(luò)中時(shí)時(shí)刻刻都存在潛在的威脅,可能會(huì)帶來(lái)經(jīng)濟(jì)損失和精神損失。同時(shí)，還要讓他們知道一切不明身份的垃圾郵件千萬(wàn)不要打開，因?yàn)樗赡芙o你的電腦帶進(jìn)病毒。通過(guò)事實(shí)中的案例告訴網(wǎng)民在網(wǎng)絡(luò)中做任何事情一定不要放松自己的警惕，加強(qiáng)自己電腦的殺毒軟件，多關(guān)注網(wǎng)上欺騙手段的視頻?？傊?，利用一切可以利用的手段加強(qiáng)網(wǎng)民的網(wǎng)絡(luò)安全意識(shí)。

8.法律保護(hù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，大量的信息在互聯(lián)網(wǎng)上進(jìn)行傳播，不可避免地會(huì)侵犯他人的合法權(quán)益，而且這種侵犯將因?yàn)榛ヂ?lián)網(wǎng)比其他媒體更有廣泛的影響而加重侵權(quán)的嚴(yán)重程度。從這個(gè)意義上來(lái)說(shuō)，一個(gè)人可以不上網(wǎng)，但是他的合法權(quán)益被他人通過(guò)互聯(lián)網(wǎng)侵犯卻是有可能的，因此，加強(qiáng)與互聯(lián)網(wǎng)相關(guān)的立法建設(shè)，對(duì)于全體國(guó)民都是非常重要的。

四、結(jié)論

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)深入到了社會(huì)的多個(gè)領(lǐng)域。網(wǎng)絡(luò)和信息時(shí)代給我們帶來(lái)技術(shù)進(jìn)步和生活便利的同時(shí)，也給國(guó)家和個(gè)人都帶了巨大經(jīng)濟(jì)損失。網(wǎng)民要加強(qiáng)自己的防范意識(shí)，保證自己的財(cái)產(chǎn)不受到侵犯。我還希望國(guó)家相關(guān)部門規(guī)范網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)，加快先進(jìn)技術(shù)的研發(fā)來(lái)保障網(wǎng)絡(luò)通訊的安全。同時(shí)，加強(qiáng)相關(guān)法律法規(guī)的力度來(lái)保證人民的根本利益，為我們提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。參考文獻(xiàn)：

[1]龐淑英.網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)及應(yīng)用.2009 [2]李俊宇.信息安全技術(shù)基礎(chǔ)冶金工業(yè)出版社.2004.12 [3]王麗輝.網(wǎng)絡(luò)安全及相關(guān)技術(shù)吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào)，第19卷第2期.2005 [4]何萬(wàn)敏.網(wǎng)絡(luò)信息安全與防范技術(shù)甘肅農(nóng)業(yè).2005年第1期 [5]黃慧陳閡中.針對(duì)黑客攻擊的預(yù)防措施計(jì)算機(jī)安全.2005 [6]王云峰.信息安全技術(shù)及策略[J].廣東廣播電視大學(xué)學(xué)報(bào),2006

第五篇：《網(wǎng)絡(luò)安全――密碼安全》教學(xué)案例

《網(wǎng)絡(luò)安全――密碼安全》教學(xué)案例

一、教學(xué)目標(biāo)設(shè)計(jì)

1、知識(shí)目標(biāo)

通過(guò)QQ密碼破解等實(shí)例向?qū)W生說(shuō)明網(wǎng)絡(luò)密碼安全防范的重要性，并向?qū)W生介紹如何提高網(wǎng)絡(luò)安全，特別是密碼安全問(wèn)題。

2、能力目標(biāo)

通過(guò)多媒體網(wǎng)絡(luò)教學(xué)和實(shí)踐操作，培養(yǎng)學(xué)生自主學(xué)習(xí)的能力和團(tuán)體合作精神，培養(yǎng)他們獲取、處理和應(yīng)用信息的良好信息素養(yǎng)，培養(yǎng)他們自主、創(chuàng)造性地學(xué)習(xí)和活動(dòng)，充分發(fā)展學(xué)生個(gè)性，促進(jìn)學(xué)生心理品質(zhì)發(fā)展和社會(huì)技能的進(jìn)步。

3、情感目標(biāo)

通過(guò)觀察、實(shí)踐操作、搜集和交流信息，體驗(yàn)菜鳥黑客網(wǎng)上破密，讓學(xué)生對(duì)網(wǎng)絡(luò)安全中的密碼安全問(wèn)題有一個(gè)概括的了解，從而培養(yǎng)網(wǎng)絡(luò)安全防范意識(shí)。

二、教學(xué)內(nèi)容分析

這是在Internet上完后增加的一堂課外知識(shí)課，教學(xué)分三部分：

第一部分讓學(xué)生填寫“情況調(diào)查”網(wǎng)頁(yè)，了解學(xué)生的“網(wǎng)絡(luò)安全”防范意識(shí)。

第二部分向?qū)W生介紹幾種QQ密碼的破解過(guò)程

第三部分引導(dǎo)學(xué)生提高網(wǎng)絡(luò)安全防范意識(shí)。

三、教學(xué)對(duì)象分析

參加本課學(xué)習(xí)的對(duì)象是小學(xué)五年級(jí)的學(xué)生，他們已經(jīng)過(guò)一段時(shí)間的計(jì)算機(jī)學(xué)習(xí)，計(jì)算機(jī)操作較熟練，學(xué)生已具有初步的發(fā)現(xiàn)問(wèn)題和解決問(wèn)題的能力，網(wǎng)絡(luò)安全問(wèn)題是他們?cè)诰W(wǎng)上沖浪時(shí)較關(guān)心的問(wèn)題，讓學(xué)生去操作、去嘗試，體會(huì)自己探索的成功感，從而充分激發(fā)起學(xué)習(xí)興趣，調(diào)動(dòng)起學(xué)習(xí)積極性和主動(dòng)參與意識(shí)。

四、教學(xué)思路和教學(xué)軟件設(shè)計(jì)

根據(jù)教學(xué)對(duì)象分析和教學(xué)目標(biāo)，采取以下教學(xué)流程：情況調(diào)查——引導(dǎo)探究——網(wǎng)上交流——?dú)w納小結(jié)——網(wǎng)絡(luò)資料。通過(guò)演示講授和學(xué)生操作計(jì)算機(jī)，以講解法、互動(dòng)討論法組織整個(gè)教學(xué)過(guò)程。

五、網(wǎng)絡(luò)教學(xué)環(huán)境設(shè)計(jì)

本堂課的教學(xué)地點(diǎn)將在網(wǎng)絡(luò)教室，能與因特網(wǎng)相連，計(jì)算機(jī)像筆、紙、書本一樣，成了學(xué)生學(xué)習(xí)的工具。整節(jié)課采用了多種工具軟件，課前用Authorware制作了一個(gè)課件，充當(dāng)上課的板書使用，用Lanstar進(jìn)行多媒體網(wǎng)絡(luò)教學(xué)，利用Webzip下載了一些軟件，如QQ秘密潛入工具、QQ密碼好好盜工具、天網(wǎng)防火墻等，利用DreamWeaver制作了網(wǎng)站《網(wǎng)絡(luò)安全――密碼安全》，將教學(xué)中要利用的網(wǎng)上信息通過(guò)超級(jí)鏈接與網(wǎng)站中有關(guān)內(nèi)容相連，學(xué)生使用IE可以快速的訪問(wèn)教師的網(wǎng)站，進(jìn)行資料的查看、情況調(diào)查、及利用網(wǎng)頁(yè)中的留言板發(fā)表自己的想法，全班圍繞網(wǎng)絡(luò)安全問(wèn)題進(jìn)行交流學(xué)習(xí)。

六、教學(xué)過(guò)程設(shè)計(jì)與分析

本課力圖體現(xiàn)基于在網(wǎng)絡(luò)環(huán)境下開展學(xué)生積極性學(xué)習(xí)，以網(wǎng)絡(luò)為手段，以學(xué)生為主體，是學(xué)生自主探索、發(fā)現(xiàn)新知的過(guò)程。教師在教學(xué)過(guò)程中起組織者、輔導(dǎo)者、參與者和促進(jìn)者的作用。通過(guò)學(xué)習(xí)，提高學(xué)生發(fā)現(xiàn)、吸收新信息和提出新問(wèn)題的能力，最終培養(yǎng)學(xué)生創(chuàng)造性地解決問(wèn)題的學(xué)習(xí)方式。

（一）創(chuàng)設(shè)情景，導(dǎo)入新課

教師講述：在網(wǎng)絡(luò)世界和信息時(shí)代里，幾乎每個(gè)人都面臨著安全威脅。平時(shí)

第 1 頁(yè) 不注意安全，往往在付出慘重的代價(jià)時(shí)才后悔。今天我們通過(guò)填寫網(wǎng)頁(yè)中的調(diào)查表來(lái)了解一下網(wǎng)絡(luò)安全這個(gè)問(wèn)題。

學(xué)生行為：填寫網(wǎng)絡(luò)安全情況調(diào)查表

1、曾經(jīng)聽別人說(shuō)過(guò)ＱＱ號(hào)、郵箱號(hào)或其它用戶帳號(hào)被盜的情況？

未聽說(shuō)

聽說(shuō)

2、你自己的ＱＱ號(hào)、郵箱號(hào)或其它用戶帳號(hào)被盜？

沒(méi)有

有

3、你平時(shí)設(shè)置的密碼大都是以下列哪種方式設(shè)置？ 電話號(hào)碼

生日號(hào)碼

姓名

其它(還包含其它的特殊符

號(hào))用以上方式混合設(shè)置

4、你認(rèn)為你的用戶帳號(hào)絕對(duì)安全嗎？

是

不是

不知道

教師行為：查看調(diào)查結(jié)果，以柱狀圖的形式直觀的體現(xiàn)調(diào)查的結(jié)果，如下圖：

設(shè)計(jì)思路及分析：利用網(wǎng)頁(yè)直觀顯示調(diào)查結(jié)果的方式，向?qū)W生說(shuō)明提高網(wǎng)絡(luò)安全防范意識(shí)的重要性。直觀的網(wǎng)上調(diào)查和顯示結(jié)果，也為學(xué)習(xí)者提供多樣化的外部刺激，吸引學(xué)生深入學(xué)習(xí)計(jì)算機(jī)主動(dòng)性，喚起學(xué)生的求知欲，激發(fā)學(xué)習(xí)的興趣。

（二）演示指導(dǎo)學(xué)習(xí)，掌握網(wǎng)絡(luò)安全知識(shí) 教師行為：

1、使用LanStar在計(jì)算機(jī)屏幕上顯示： QQ密碼盜取及防范

第一種：在線破解及防范 第二種：木馬竊密及防范 第三種：秘密潛入及防范

2、教師操作講解:

? QQ密碼被盜的第一種方法是“在線破解”。這種盜號(hào)方式最大的好處就是想破解哪個(gè)號(hào)碼就破解哪個(gè)，少則幾分鐘就能破解,為學(xué)生準(zhǔn)備的軟件有“QQ在線破解器”，只作說(shuō)明，并不實(shí)地演示

? 第二種是使用木馬偷取。給學(xué)生準(zhǔn)備“好友號(hào)好好盜”這個(gè)軟件，這是一個(gè)通過(guò)將木馬邦定在一個(gè)圖片上的盜取QQ號(hào)的軟件，使用簡(jiǎn)單方便。

? 第三種是QQ秘密潛入。給學(xué)生準(zhǔn)備“QQ秘密潛入”這個(gè)軟件，這是一個(gè)只針對(duì)0630版QQ起作用的秘密潛入QQ軟件。

第 2 頁(yè)

3、教師小結(jié)：網(wǎng)絡(luò)中沒(méi)有絕對(duì)的安全，如何防范QQ密碼被盜？引導(dǎo)學(xué)生自主學(xué)習(xí)，成了真正的學(xué)生學(xué)習(xí)的指導(dǎo)者，為學(xué)生提供適當(dāng)?shù)膸椭椭笇?dǎo)，對(duì)學(xué)生的學(xué)習(xí)情況進(jìn)行監(jiān)控，對(duì)學(xué)生學(xué)習(xí)中遇到的問(wèn)題個(gè)別解決，促進(jìn)學(xué)生的學(xué)習(xí)進(jìn)程。

學(xué)生行為：

1、在學(xué)習(xí)目標(biāo)的指導(dǎo)下，利用教師準(zhǔn)備好的網(wǎng)站進(jìn)行自主探究，通過(guò)對(duì)相關(guān)站點(diǎn)，超級(jí)鏈接進(jìn)行訪問(wèn)。

2、積極思考教師所提出的問(wèn)題。（1）如何防范QQ在線破解類軟件？（2）如何防范QQ木馬類軟件？（3）如何防范QQ秘密潛入類軟件？

3、瀏覽教師所提供的網(wǎng)站，并進(jìn)一步深入思考教師所提出的問(wèn)題。如：（1）http://004km.cn/

（三）互動(dòng)學(xué)習(xí)，完成彈性教學(xué)

這節(jié)課，教師提供學(xué)生交流的機(jī)會(huì)，學(xué)生們可通過(guò)互相幫助、分工合作、互相激勵(lì)來(lái)促進(jìn)彼此的學(xué)習(xí)，形成面對(duì)面的促進(jìn)性互動(dòng)。

教師作為：教師作為其中的一員參與交流，除對(duì)交流起組織作用外，還對(duì)交流作點(diǎn)評(píng)、導(dǎo)撥，引導(dǎo)學(xué)生協(xié)作學(xué)習(xí)。

學(xué)生行為：學(xué)生分小組自由討論，進(jìn)入網(wǎng)站的留言版交流各自學(xué)習(xí)的結(jié)果，并接受其他同學(xué)和教師的質(zhì)詢。

設(shè)計(jì)思路及分析：

同桌學(xué)生組成合作學(xué)習(xí)小組，通過(guò)留言板交流，不僅提高了學(xué)生學(xué)習(xí)的主動(dòng)性和對(duì)學(xué)習(xí)的自我控制，還培養(yǎng)了人際合作精神和信息交流的能力，促進(jìn)了心理品質(zhì)發(fā)展。整個(gè)教學(xué)過(guò)程中，學(xué)生是學(xué)習(xí)過(guò)程的主體，始終擁有高度的自主性，能夠?qū)W(xué)習(xí)過(guò)程自我設(shè)計(jì)、自我控制，讓學(xué)生通過(guò)網(wǎng)絡(luò)主動(dòng)探索、發(fā)現(xiàn)和體驗(yàn)、初步學(xué)會(huì)對(duì)大量信息的收集、分析和判斷，學(xué)會(huì)自主創(chuàng)造性地學(xué)習(xí)和活動(dòng)，從而發(fā)展學(xué)生的信息科技能力和創(chuàng)造能力。

（四）歸納小結(jié) 教師行為：

1、在學(xué)生交流的基礎(chǔ)上，根據(jù)前面所提出的問(wèn)題，幫助學(xué)生理清知識(shí)體系。

2、通過(guò)今天的學(xué)習(xí)，你們認(rèn)為在網(wǎng)絡(luò)上竊取各種密碼的行為是合法的嗎？ 學(xué)生行為：

進(jìn)一步思考教師所提出的問(wèn)題。設(shè)計(jì)思路及分析：組織學(xué)生對(duì)整堂課知識(shí)的總結(jié)，引導(dǎo)學(xué)生增強(qiáng)網(wǎng)絡(luò)法制觀念和網(wǎng)絡(luò)倫理道德觀念，提高對(duì)假、丑、惡的分辨能力，使自已在網(wǎng)上的言行符合法律法規(guī)和社會(huì)公德的要求。

七、教學(xué)反思

采用互動(dòng)試的教學(xué)模式進(jìn)行多媒體網(wǎng)絡(luò)教學(xué)，教師的教和學(xué)生的學(xué)都是圍繞著如何完成一個(gè)具體的任務(wù)進(jìn)行的。教師教學(xué)思路清晰，學(xué)生學(xué)習(xí)目的明確，更容易掌握學(xué)習(xí)內(nèi)容。在信息技術(shù)教學(xué)中，“教師一堂言”的局面只會(huì)養(yǎng)成學(xué)生依賴的心理，就無(wú)法提高學(xué)生的主動(dòng)參與意識(shí)?；?dòng)試的教學(xué)模式其優(yōu)勢(shì)是明顯的，但也會(huì)存在一些問(wèn)題。由于教師主要是進(jìn)行方法的引導(dǎo)，學(xué)生有更多的時(shí)間自己

第 3 頁(yè) 去動(dòng)手操作，而學(xué)生的學(xué)習(xí)和操作能力是不同的，因而在同一節(jié)課內(nèi)，全班同學(xué)掌握的知識(shí)多少會(huì)有不同，容易造成學(xué)生成績(jī)兩極化和教學(xué)知識(shí)點(diǎn)的疏漏。這就要求教師在教學(xué)中，要加強(qiáng)課堂小結(jié)和知識(shí)點(diǎn)的回顧，使得學(xué)習(xí)能力差的同學(xué)或操作有疏漏的同學(xué)能通過(guò)教師的總結(jié)和回顧，跟上教學(xué)進(jìn)度，全面掌握知識(shí)點(diǎn)，達(dá)到教學(xué)目標(biāo)。同時(shí)，要加強(qiáng)學(xué)生間的交流，使學(xué)生在合作中共同提高。

此外，教師根據(jù)教學(xué)內(nèi)容設(shè)計(jì)任務(wù)時(shí)，還要注意根據(jù)學(xué)生的特點(diǎn)，盡可能設(shè)計(jì)一些帶有趣味性、實(shí)用性、可行性的任務(wù)，使學(xué)生愿學(xué)、愛學(xué)、樂(lè)學(xué)，使學(xué)生在掌握信息技術(shù)的同時(shí)，有利于對(duì)學(xué)生信息素養(yǎng)、創(chuàng)新能力的培養(yǎng)，能得心應(yīng)手地解決實(shí)際問(wèn)題，使計(jì)算機(jī)真正成為他們的學(xué)習(xí)創(chuàng)作工具。

[參考文獻(xiàn)]：《黑客防范100例》、網(wǎng)絡(luò)資料 [準(zhǔn)備資料]：課件、網(wǎng)站、課內(nèi)介紹的幾個(gè)軟件

第 4 頁(yè)