上海***享網
互聯網絡(Internet)起源於1969年的ARPANet,最初用於軍事目的,1993年開始用於商業應用,進入快速發展階段。到目前為止,互連網已經覆蓋了175個國家和地區的數千萬臺計算機,用戶數量超過壹億。隨著計算機網絡的普及,計算機網絡的應用向深度和廣度不斷發展。企業上網、政府上網、網上學校、網上購物......,壹個網絡化社會的雛形已經展現在我們面前。在網絡給人們帶來巨大的便利的同時,也帶來了壹些不容忽視的問題,網絡信息的安全保密問題就是其中之壹。上海***享網
上海***享網
壹.網絡信息安全的涵義上海***享網
網絡信息既有存儲於網絡節點上信息資源,即靜態信息,又有傳播於網絡節點間的信息,即動態信息。而這些靜態信息和動態信息中有些是開放的,如廣告、公***信息等,有些是保密的,如:私人間的通信、政府及軍事部門、商業機密等。網絡信息安全壹般是指網絡信息的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及真實性(Authenticity)。網絡信息的機密性是指網絡信息的內容不會被未授權的第三方所知。網絡信息的完整性是指信息在存儲或傳輸時不被修改、破壞,不出現信息包的丟失、亂序等,即不能為未授權的第三方修改。信息的完整性是信息安全的基本要求,破壞信息的完整性是影響信息安全的常用手段。當前,運行於互聯網上的協議(如TCP/IP)等,能夠確保信息在數據包級別的完整性,即做到了傳輸過程中不丟信息包,不重復接收信息包,但卻無法制止未授權第三方對信息包內部的修改。網絡信息的可用性包括對靜態信息的可得到和可操作性及對動態信息內容的可見性。網絡信息的真實性是指信息的可信度,主要是指對信息所有者或發送者的身份的確認。上海***享網
前不久,美國計算機安全專家又提出了壹種新的安全框架,包括:機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真實性(Authenticity)、實用性(Utility)、占有性(Possession),即在原來的基礎上增加了實用性、占有性,認為這樣才能解釋各種網絡安全問題:網絡信息的實用性是指信息加密密鑰不可丟失(不是泄密),丟失了密鑰的信息也就丟失了信息的實用性,成為垃圾。網絡信息的占有性是指存儲信息的節點、磁盤等信息載體被盜用,導致對信息的占用權的喪失。保護信息占有性的方法有使用版權、專利、商業秘密性,提供物理和邏輯的存取限制方法;維護和檢查有關盜竊文件的審記記錄、使用標簽等。上海***享網
上海***享網
二.攻擊互聯網絡安全性的類型上海***享網
對互聯網絡的攻擊包括對靜態數據的攻擊和對動態數據的攻擊。 對靜態數據的攻擊主要有:上海***享網
口令猜測:通過窮舉方式搜索口令空間,逐壹測試,得到口令,進而非法入侵系統。上海***享網
IP地址欺騙:攻擊者偽裝成源自壹臺內部主機的壹個外部地點傳送信息包,這些信息包中包含有內部系統的源IP地址,冒名他人,竊取信息。上海***享網
指定路由:發送方指定壹信息包到達目的站點的路由,而這條路由是經過精心設計的、繞過設有安全控制的路由。上海***享網
根據對動態信息的攻擊形式不同,可以將攻擊分為主動攻擊和被動攻擊兩種。上海***享網
被動攻擊主要是指攻擊者監聽網絡上傳遞的信息流,從而獲取信息的內容(interception),或僅僅希望得到信息流的長度、傳輸頻率等數據,稱為流量分析(traffic analysis)。被動攻擊和竊聽示意圖如圖1、圖2所示:上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
除了被動攻擊的方式外,攻擊者還可以采用主動攻擊的方式。主動攻擊是指攻擊者通過有選擇的修改、刪除、延遲、亂序、復制、插入數據流或數據流的壹部分以達到其非法目的。主動攻擊可以歸納為中斷、篡改、偽造三種(見圖3)。中斷是指阻斷由發送方到接收方的信息流,使接收方無法得到該信息,這是針對信息可用性的攻擊(如圖4)。篡改是指攻擊者修改、破壞由發送方到接收方的信息流,使接收方得到錯誤的信息,從而破壞信息的完整性(如圖5)。偽造是針對信息的真實性的攻擊,攻擊者或者是首先記錄壹段發送方與接收方之間的信息流,然後在適當時間向接收方或發送方重放(playback)這段信息,或者是完全偽造壹段信息流,冒充接收方可信任的第三方,向接收方發送。(如圖6)上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
上海***享網
三。網絡安全機制應具有的功能上海***享網
由於上述威脅的存在,因此采取措施對網絡信息加以保護,以使受到攻擊的威脅減到最小是必須的。壹個網絡安全系統應有如下的功能:上海***享網
1.身份識別:身份識別是安全系統應具備的最基本功能。這是驗證通信雙方身份的有效手段,用戶向其系統請求服務時,要出示自己的身份證明,例如輸入User ID和Password。而系統應具備查驗用戶的身份證明的能力,對於用戶的輸入,能夠明確判別該輸入是否來自合法用戶。上海***享網
2.存取權限控制:其基本任務是防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。在開放系統中,網上資源的使用應制訂壹些規定:壹是定義哪些用戶可以訪問哪些資源,二是定義可以訪問的用戶各自具備的讀、寫、操作等權限。上海***享網
3.數字簽名:即通過壹定的機制如RSA公鑰加密算法等,使信息接收方能夠做出“該信息是來自某壹數據源且只可能來自該數據源”的判斷。上海***享網
4.保護數據完整性:既通過壹定的機制如加入消息摘要等,以發現信息是否被非法修改,避免用戶或主機被偽信息欺騙。上海***享網
5.審計追蹤:既通過記錄日誌、對壹些有關信息統計等手段,使系統在出現安全問題時能夠追查原因。上海***享網
密鑰管理:信息加密是保障信息安全的重要途徑,以密文方式在相對安全的信道上傳遞信息,可以讓用戶比較放心地使用網絡,如果密鑰泄露或居心不良者通過積累大量密文而增加密文的破譯機會,都會對通信安全造成威脅。因此,對密鑰的產生、存儲、傳遞和定期更換進行有效地控制而引入密鑰管理機制,對增加網絡的安全性和抗攻擊性也是非常重要的。上海***享網
上海***享網
四。網絡信息安全常用技術上海***享網
通常保障網絡信息安全的方法有兩大類:以“防火墻”技術為代表的被動防衛型和建立在數據加密、用戶授權確認機制上的開放型網絡安全保障技術。上海***享網
1.防火墻技術:“防火墻”(Firewall)安全保障技術主要是為了保護與互聯網相連的企業內部網絡或單獨節點。它具有簡單實用的特點,並且透明度高,可以在不修改原有網絡應用系統的情況下達到壹定的安全要求。防火墻壹方面通過檢查、分析、過濾從內部網流出的IP包,盡可能地對外部網絡屏蔽被保護網絡或節點的信息、結構,另壹方面對內屏蔽外部某些危險地址,實現對內部網絡的保護。上海***享網
2.數據加密與用戶授權訪問控制技術:與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用於開放網絡。用戶授權訪問控制主要用於對靜態信息的保護,需要系統級別的支持,壹般在操作系統中實現。數據加密主要用於對動態信息的保護。前面已經提到,對動態數據的攻擊分為主動攻擊和被動攻擊,我們註意到,對於主動攻擊,雖無法避免,但卻可以有效的檢測;而對於被動攻擊,雖無法檢測,但卻可以避免,而實現這壹切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法。這種變換是受稱為密鑰的符號串控制的。在傳統的加密算法中,加密密鑰與解密密鑰是相同的,或者可以由其中壹個推知另壹個,稱為對稱密鑰算法。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信息,也可以用該密鑰解密信息。DES (Data Encryption Standard)是對稱加密算法中最具代表性的,它是IBM公司W.tuchman 和C.meyer 在1971年到1972年研制成功的,在1977年5月由美國國家標準局頒部為數據加密標準。DES可以對任意長度的數據加密,密鑰長度64比特,實際可用密鑰長度56比特,加密時首先將數據分為64比特的數據塊,采用ECB(Electronic CodeBook)、CBC(Ciper Block Chaining)、CFB(Ciper Block Feedback)等模式之壹,每次將輸入的64比特明文變換為64比特密文。最終,將所有輸出數據塊合並,實現數據加密。如果加密、解密過程各有不相幹的密鑰,構成加密、解密密鑰對,則稱這種加密算法為非對稱加密算法,或稱為公鑰加密算法,相應的加密、解密密鑰分別稱為公鑰、私鑰。在公鑰加密算法下,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者;私鑰是保密的,用於解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA (Ronald L Rivest,Adi Shamir,Leonard Adleman),是目前使用比較廣泛的加密算法。在互聯網上的數據安全傳輸,如Netscape Navigator 和 Microsoft Internet Explorer都使用了該算法。RSA算法建立在大數因子分解的復雜性上,簡單來說,先選取兩個素數p、q,壹般要求兩數均大於10的100次冪,計算 n=p*q,z=(p - 1)*(q - 1),選擇壹個與z互質的數d,找壹個數e滿足d*e ≡1 (mod z),將(e,n)作為公鑰,將(d,z)作為密鑰。RSA的保密性在於n的分解難度上,如果n分解成功,則可推知(d,z),也就無保密性可言了。上海***享網
有了信息加密的手段,我們就可以對動態信息采取保護措施了。為了防止信息內容泄露,我們可以將被傳送的信息加密,使信息以密文的形式在網絡上傳輸。這樣,攻擊者即使截獲了信息,也只是密文,而無法知道信息的內容。為了檢測出攻擊者篡改了消息內容,可以采用認證的方法,即或是對整個信息加密,或是由壹些消息認證函數(MAC函數)生成消息認證碼(Message Authentication Code),再對消息認證碼加密,隨信息壹同發送。攻擊者對信息的修改將導致信息與消息認證碼的不壹致,從而達到檢測消息完整性的目的。為了檢測出攻擊者偽造信息,可以在信息中加入加密的消息認證碼和時間戳,這樣,若是攻擊者發送自己生成的信息,將無法生成對應的消息認證碼,若是攻擊者重放以前的合法信息,接收方可以通過檢驗時間戳的方式加以識別。上海***享網
上海***享網
五。對網絡信息安全的前景的展望上海***享網
隨著網絡的發展,技術的進步,網絡安全面臨的挑戰也在增大。壹方面,對網絡的攻擊方式層出不窮:1996年以報道的攻擊方式有400種,1997年達到 1000種,1998年即達到4000種,兩年間增加了十倍,攻擊方式的增加意味著對網絡威脅的增大;隨著硬件技術和並行技術的發展,計算機的計算能力迅速提高,原來認為安全的加密方式有可能失效,如1994年4月26日,人們用計算機破譯了RSA發明人17年前提出的數學難題:壹個129位數數字中包含的壹條密語,而在問題提出時預測該問題用計算機需要850萬年才能分解成功;針對安全通信措施的攻擊也不斷取得進展,如1990年6月20日美國科學家找到了155位大數因子的分解方法,使“美國的加密體制受到威脅”。另壹方面,網絡應用範圍的不斷擴大,使人們對網絡依賴的程度增大,對網絡的破壞造成的損失和混亂會比以往任何時候都大。這些網絡信息安全保護提出了更高的要求,也使網絡信息安全學科的地位越顯得重要,網絡信息安全必然隨著網絡應用的發展而不斷發展。上海***享網