维普资讯 http://www.cqvip.com 总第225期 2008年第7期 计算机与数字工程 Computer&Digital Engineering Vo1.36 NO.7 128 网络安全技术研究 程宴雷杨 430074) (武汉数字工程研究所摘要通过介绍防火墙的部署原则,从防火墙部署的位置详细阐述了防火墙的选择标准。最后就信息交换加密技 网络安全防火墙PKI技术 术的分类及RSA算法作以分析,并针对PKI技术这一信息安全核心技术,论述了其安全体系的构成。 关键词中图分类号TP393.08 Research on Network Security Technology Cheng Yang Lei Yang (Wuhan Digtal Engineering Institute,Wuhan 430074) Abstract The article first introduces the principles of setting up the firewalls,then the standards of selecting firewalls. And last elucidates the structure of the secure system.By ̄ming at PKI,information secure core technology and analyses the RSA algorithm and sorts of the tech of info exchanging encryption. Key words Network Security,Firewalls,PKI Technology Class Number TP393.08 1 引言 网络安全是信息安全领域一个非常重要的方 面,随着计算机网络的广泛应用,特别是随着信息 化进程的深入和互联网的迅速发展,人们的工作、 网络规模较大,并且设置有虚拟局域网(VLAN), 则应该在各个VLAN之间设置防火墙;第三,通过 公网连接的总部与各分支机构之间也应该设置防 火墙,如果有条件,还应该同时将总部与各分支机 构组成虚拟专用网(VPN)。 学习和生活方式正在发生着巨大的变化,效率也大 为提高,信息资源得到最大程度的共享。网络安全 问题已逐步成为信息时代人类共同面临的挑战,国 内外的网络安全问题也日益突出。它不仅从一般 性的防卫变成了一种非常普通的防范,而且还从一 种专门的领域变成了无处不在。 为了确保信息的安全,网络安全技术尤为重 要,而防火墙技术作为内部网络与外部网络之间的 2防火墙的选择 按照防火墙所采用的技术,可以将他分为四种 基本类型:包过滤型、网络地址转换一NAT、代理 型和监测型。依据防火墙的类型,选择防火墙的标 准有很多,但究竟应该选择什么样的防火墙才算最 合理的呢?目前最重要的是以以下几条为选择标 准。 2.1防火墙的成本 第一道安全屏障,是最先受到人们重视的网络安全 技术,就其产品的主流趋势而言,大多数代理服务 器(也称应用网关)也集成了包滤技术,这两种技 术的混合应用显然比单独使用更具有优势。那么 究竟应该在哪些地方部署防火墙呢?首先,应该安 装防火墙的位置是内部网络与外部Internet的接 口处,以阻挡来自外部网络的入侵;其次,如果内部 总拥有成本防火墙产品作为网络系统的安全 屏障,其总拥有成本(TCO)不应该超过受保护网 络系统可能遭受最大损失的成本。以一个非关键 部门的网络系统为例,假如其系统中的所有信息及 所支持应用的总价值为l0万元,则该部门所配备 防火墙的总成本也不应该超过l0万元。当然,对 收稿日期:2008年2月3日,修回日期:2008年2月22日 维普资讯 http://www.cqvip.com 第36卷(2008)第7期 计算机与数字工程 】29 于关键部门来说,其所造成的负面影响和连带损失 也应考虑在内。如果仅做粗略估算,非关键部门的 防火墙购置成本不应该超过网络系统的建设总成 本,关键部门则应另当别论。 2.2防火墙的安全性 作为信息系统的安全产品,防火墙本身也应该 保证安全,不给外部入侵者以可乘之机。如果像马 其顿防线一样,正面虽然牢不可破,但进攻者能够 轻易地绕过防线进入系统内部,网络系统也就没有 任何安全性可言了。 通常,防火墙的安全性问题来自两个方面:其 一是防火墙本身的设计是否合理,这类问题一般用 户根本无从下手,只有通过权威认证机构的全面测 试才能确定。所以对用户来说,保守的方法是选择 一个通过多家权威认证机构测试的产品。其二是 使用不当。一般来说,防火墙的许多配置需要系统 管理员手工修改,如果系统管理员对防火墙不十分 熟悉,就有可能在配置过程中遗留大量的安全漏 洞。 2.3 可扩充性 在网络系统建设的初期,由于内部信息系统的 规模较小,遭受攻击造成的损失也较小,因此没有 必要购置过于复杂或昂贵的防火墙产品。但随着 网络的扩容和网络应用的增加,网络的风险成本也 会急剧上升,此时便需要增加具有更高安全性的防 火墙产品。如果早期购置的防火墙没有可扩充性, 或扩充成本极高,这便是对投资的浪费。好的产品 应该留给用户足够的弹性空间,在安全水平要求不 高的情况下,可以只选购基本系统,而随着要求的 提高,用户仍然有进一步增加选择的余地。这样不 仅能够保护用户的投资,对提供防火墙产品的厂家 来说,也扩大了产品覆盖面。用户的网络不是一成 不变的,和防病毒产品类似,防火墙也必须不断地 进行升级,此时支持软件升级就很重要了。如果不 支持软件升级的话,为了抵御新的攻击手段,用户 就必须进行硬件上的更换,而在更换期间网络是不 设防的,同时用户也要为此花费更多的钱。 2.4可靠性、灵活性 可靠性对防火墙类访问控制设备来说尤为重 要,直接影响受控网络的可用性。从系统设计上, 提高可靠性的措施…般是提高本身部件的强健性、 增大设计阈值和增加冗余部件,这要求有较高的生 产标准和设计冗余度?对通信行为的有效控制,要 求防火墙设备有一系列不同级别,满足不同用户的 各类安全控制需求的控制注意。例如对普通用户, 只要对IP地址进行过滤即可;如果是内部有不同 安全级别的子网,有时则必须允许高级别子网对低 级别子网进行单向访问。 3 加密技术 信息交换加密技术分为对称加密技术和非对 称加密技术。 3.1对称加密技术 对称加密采用了对称密码编码技术,它的特点 是文件加密和解密使用相同的密钥,即加密密钥也 可以用作解密密钥,这种方法在密码学中叫做对称 加密算法,在对称加密技术中,对信息的加密和解 密都使用相同的密钥,也就是说一把钥匙开一把 锁。这种加密方法可简化加密处理过程,信息交换 双方都不必彼此研究和交换专用的加密算法。如 果在交换阶段私有密钥未曾泄露,那么机密性报文 的完整性就可以得到保证。对称加密技术也存有 一些不足,如果交换一方有Ⅳ个交换对象,那么他 就要维护Ⅳ个私有密钥,对称加密存在的另一个 问题是双方共享一把私有密钥,交换双方的任何信 息都是通过这把密钥加密后传送给对方的。如三 重DES是DES(数据加密标准)的一种变形,这种 方法使用两个的56为密钥对信息进行3次加 密,从而使有效密钥长度达到1 12位。 3.2 非对称加密/公开密钥加密 与对称加密算法不同,非对称加密算法需要两 个密钥:公开密钥(publickey)和私有密钥(pri— vatekey)。在非对称加密体系中,密钥被分解为一 对(即公开密钥和私有密钥),如果用公开密钥对 数据进行加密,只有用对应的私有密钥才能解密; 如果用私有密钥对数据进行加密,那么只有用对应 的公开密钥才能解密。因为加密和解密使用的是 两个不同的密钥,所以这种算法叫作非对称加密算 法。并且密钥中的任何一把都可以作为公开密钥 (加密密钥)通过非保密方式向他人公开,而另一 把则作为私有密钥(解密密钥)加以保存。公开密 钥用于加密,私有密钥用于解密,私有密钥只能由 生成密钥的交换方掌握,公开密钥则可广泛公布, 但它只对应于生成密钥的交换方。非对称加密方 式可以使通信双方无须事先交换密钥就可以建立 安全通信,广泛应用于身份认证、数字签名等信息 交换领域。非对称加密体系一般是建立在某些已 知的数学难题之上,是计算机复杂性理论发展的必 然结果。最具有代表性是RSA公钥密码。 3.3 RSA算法 维普资讯 http://www.cqvip.com
130 程宴等:网络安全技术研究 第36卷 RSA算法是Rivest、Shamir和Adleman于 1977年提出的第一个完善的公钥密码,其安 全性是基于分解大整数的困难性。在RSA中 使用了这样一个基本事实:到目前为止,无法找到 一个有效的算法来分解两大素数之积。RSA算法 的描述如下: 公开密钥:n=Pq(P、q分别为两个互异的大素 数,P、q必须保密) e与(P一1)(q一1)互素 私有密钥:d=e一1{mod(p一1)(q一1)} 加密:C=lm(mod n),其中m为明文,c为密文。 解密:m=cd(mod n) 利用目前已经掌握的知识和理论,分解 2048bit的大整数已经超过了64位计算机的运算 能力,因此在目前和预见的将来,它是足够安全的。 4 PKI技术 PKI(Public Key Infrastructure),即公开密钥体 系。它是利用公钥理论和技术建立的提供信息安 全服务的基础设施,是国际公认的互联网电子商务 的安全认证机制。它利用现代密码学中的公钥密 码技术在开放的Internet网络环境中提供数据加 密以及数字签名服务的统一的技术框架。PKI技 术是信息安全技术的核心,也是电子商务的关键和 基础技术。 由于通过网络进行的电子商务、电子政务、电 子事务等活动缺少物理接触,因此使得利用电子方 式验证信任关系变得至关重要。而PKI技术恰好 是一种适合于电子商务、电子政务、电子事务的密 码技术,它能够有效地解决电子商务应用中的机密 性、真实性、完整性、不可否认性和存取控制的安全 问题。一个实用的PKI体系应该是安全的易用 的、灵活的和经济的。它必须充分考虑互操作性和 可扩展性。它是认证机构(CA)、注册机构(RA)、 策略管理、密钥(Key)与证书(Certiifcate)管理、密 钥备份与恢复、撤消系统等功能模块的有机结合。 4.1认证机构 CA(Certiifcation Authorty)就是这样一个确保 信任度的权威实体,它的主要职责是颁发证书、验证 用户身份的真实性。作为PKI核心的认证中心是证 书颁发机构,由CA签发的证书是网上用户的电子 身份标识。任何相信该CA的人,按照第三方信任 原则,也都应当相信持有证明的该用户。CA也要采 取一系列相应的措施来防止电子证书被伪造或篡 改。构建一个具有较强安全性的CA是至关重要 的,这不仅与密码学有关系,而且与整个PKI系统的 构架和模型有关。此外,灵活也是CA能否得到市 场认同的一个关键,它不需支持各种通用的国际标 准,能够很好地和其他厂家的CA产品兼容。 4.2注册机构 RA(Registration Authorty)是用户与认证中心 的接口,其主要功能是核实证书申请者的身份,它所 获得的用户标识的准确性是CA颁发证书的基础。 RA不仅要支持面对面的登记,也必须支持远程登 记。要确保整个PKI系统的安全、灵活,就必须设计 和实现网络化、安全化且易于操作的RA系统。 4.3策略管理 在PKI系统中,制定并实现科学的安全策略 管理是非常重要的。这些安全策略必须适应不同 的需求,并且能通过CA和RA技术融人到CA和 RA的系统实现中。同时,这些策略应该符合密码 学和系统安全的要求,科学地应用密码学与网络安 全的理论,且具有良好的扩展性和互用性。 4.4密钥备份和恢复 为了保证数据的安全性,定期更新密钥和恢复 意外损坏的密钥是非常重要的,设计并实现健全的 密钥管理方案,以确保安全的密钥备份、更新和恢 复是关系到整个PKI系统强健性、安全性、可用性 的重要因素。 4.5证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质, 它是用来绑定证书持有者身份和其相应公钥的。 通常,这种绑定在已颁发证书的整个生命周期里是 有效的。但有时也会出现一个已颁发证书不再有 效的情况,这就需要进行证书撤消,证书撤消的理 由是各种各样的,可能包括工作变动到对密钥怀疑 等一系列的原因。证书撤消系统的实现是利用周 期性的发布机制撤消证书或采用在线查询机制,随 时查询被撤消的证书。 5 安全技术的研究现状和发展方向 我国信息网络安全研究历经了通信保密、数据 保护两个阶段,现已进入网络信息安全的研究阶段, 目前,已成功开发研制出防火墙、安全路由器、安全 网关、黑客人侵检测、系统脆弱性扫描软件等。但随 着信息技术的发展与应用,信息安全的内涵在不断 的延伸,从最初的信息保密性发展到信息的完整性、 可用性、可控性和不可否认性,进而又发展为“攻(攻 击)、防(防范)、测(检测)、控(控制)、管(管理)、评 (下转第139页) 维普资讯 http://www.cqvip.com
第36卷(2008)第7期 汁算机与数字工程 l39 带入公式(5)得到计算结果。如表2所示。 表2比色法测温结果 为一种非接触式、动态实时在线检测手段,必将在 炉膛火焰温度场的实时检测、燃烧诊断与过程控制 炉脖温度/计算温度 最大误差T/K …一一 l246 中起到越来越重要的作用。 参考文献 l25l l225.6 1260 l230.7 29.3 {午算温度T/l2205 .5 结语 误差大、实时性差依然是制约图像测温技术应 用的最大问题,本文运用彩色CCD三色测温模型 在较大程度上提高了测量精度,具有广泛的工程应 用前景。该模型可以消除CCD器件不同通道的光 电响应特性和光传递系数等不同带来的影响,适合 于光路上有烟雾、灰尘或火焰波动等噪声影响的测 [1]王颖,胡宗 ,邹介棠,等.基于 像处理计算火焰 温度场的一种修正一Abel算法[J:.动力工程,2006,20 (6):960~963 [2]刘禾,程伟良.由火焰图像求取燃烧温度场方法研 究[J].华北电力大学学报,2005,32(32):54~56 [3]马凡华,许忠厚.一种求柴油机燃烧火焰温度的新 方法[J].内燃机工程,2000,(1):63~70 [4]温宏愿,赵琦,陈延如,等.图像测温法用于转炉炼 钢终点控制[J].仪器仪表学报,2006,27(6):1844~1848 [5]唐秉湘,腾召胜, 卓.基于彩色CCD的火焰温度 检测算法研究[J].中围仪器仪表,2006,(6):66~68 温场合。随着测量精度以及可靠性的进一步提高, 基于计算机图像处理的炉膛温度测温检测方法作 (上接第l30页) 算机运算速度的不断提高,各种密码算法面临着新 的密码,如量子密码、DNA密码、混沌理论等 密码新技术正处于探索之中。因此网络安全技术 在2l世纪将成为信息网络发展的关键技术,2l世 纪人类步入信息社会后,信息这一社会发展的重要 战略资源需要网络安全技术的有力保障,才能形成 社会发展的推动力。而我国信息网络安全技术的 研究和产品开发仍处于起步阶段,目前仍有大量的 工作需要我们去研究、开发和探索,以走出有中国 特色的产学研联合发展之路,赶上或超过发达国家 的水平,以此保证我国信息网络的安全,从而推动 我国国民经济的高速发展。 参考文献 (评估)”等多方面的基础理论和实施技术。而信 息网络安全领域是一个综合、交叉的学科领域。它 综合利用了数学、物理、生化信息技术和计算机技 术等诸多学科的长期积累和最新发展成果,提出了 系统的、完整的和协同的解决信息网络安全的方 案,目前应从安全体系结构、安全协议、现代密码理 论、信息分析和监控以及信息安全系统等五个方面 展开研究,各部分相互协同形成有机的整体。 国际上信息安全研究起步早,力度大,积累多, 应用广,在70年代美国的网络安全技术基础理论 研究成果“计算机保密模型”(BeuLa padula模型) 的基础上,制订了“可信计算机系统安全评估准 则”(TCSEC),其后又制订了关于网络系统数据库 和系列安全解释,形成了安全信息系统体系结构的 准则。安全协议作为信息安全的重要内容,其形式 化方法分析始于80年代初,目前有基于状态机、模 态逻辑和代数工具的三种分析方法,但仍存在局限 性和漏洞,处于发展的提高阶段。 [1]杨义先.网络安全理论与技术[M 北京:人民邮 电出版社,2003,2 [2]楚狂.网络安全 防火墙技术[Mj 电出版社,2000,4 [3]李涛.网络安全慨论[M .北京:电子工业出版社, 2004,11 作为信息安全关键技术密码学,近年来空前活 跃,美、欧、亚各洲举行的密码学和信息安全学术会 议频繁。1976年美国学者提出的公开密钥密码体 制,克服了网络信息系统密钥管理的困难,同时解 决了数字签名的问题.而电子商务的安全性已是 当前人们普遍关注的焦点,目前正处于研究和发展 阶段,它带动了论证理论、密钥管理等研究,由于计 [4]宋书民译.防火墙技术指南[M].北京:饥械工业 出版社,2000.11 [5]张红旗.信息网络安全[M].北京:清华大学出版 社,2002,11 [6]天宏工作室译.网络安全实用指南[M .北京:清 华大学出版社,2001,3
