des加密畢業論文
1. 虛擬路由器的體系結構及實現畢業論文
虛擬路由器即Virtual Router,是指在軟、硬體層實現物理路由器的功能模擬,屬於一種邏輯設備。每個VR應該具有邏輯獨立的路由表和轉發表,這樣就使不同VPN間的地址空間可以重用,並保證了VPN內部路由和轉發的隔離性。
用以建設骨幹IP網路的設備中出現的新進展,尤其是虛擬骨幹路由技術的出現,為Internet服務分配中的全面變化創造了條件。
虛擬路由器將使與其他網路用戶相隔離並提供對網路性能、Internet地址與路由管理以及管理和安全性的新型Internet服務成為可能。虛擬骨幹網路由器在邏輯上將一台物理路由器分為多台虛擬路由器。每台虛擬路由器運行路由協議不同的實例並具有專用 的I/O埠、緩沖區內存、地址空間、 路由表以及網路管理軟體。
基於虛擬骨幹路由器的服務無需增加投資,就可使客戶機具有運行專用骨幹網的控制權和安全性。控制和管理虛擬路由功能的軟體是模塊化的軟體。軟體的多個實例(對應於多個虛擬路由器)在真正的多處理器操作系統(如Unix)上執行。
每個虛擬路由器進程利用操作系統中固有的進程與內存保護功能與其他進程相隔離,這就保證了高水平的數據安全性,消除了出故障的軟體模塊損壞其他虛擬路由器上的數據的可能性。
當連接到高速SONET/SDH介面時,為獲得線速性能,許多運營商級路由器具有的包轉發功能是通過硬體實現的。在具有虛擬路由功能的系統中,這類硬體功能可以在邏輯上被劃分並被靈活地分配給一個特定的虛擬路由器。
接收和發送數據包的物理I/O 埠或標記交換路徑被置於組成一台虛擬交換機的軟體模塊的控制之下。包緩沖內存和轉發表受每台虛擬路由器資源的限制,以保證一台虛擬路由器不會影響到另一台虛擬路由器的運行。
虛擬路由技術使每台虛擬路由器執行不同的路由協議軟體(例如,最短路徑優先、邊界網關協議、中間系統到中間系統)和網路管理軟體(例如,SNMP或命令行界面)的實例。因此,用戶可以獨立地監視和管理每台虛擬路由器。
不同的協議實例賦予每台虛擬路由器完全獨立的IP地址域,這些地址域可以獨立地進行配置,不會出現造成沖突的危險。管理功能使每台虛擬路由器可以作為一個獨立的實體進行配置和管理。基於用戶的安全模塊還保證所有的網路管理功能和屬於某一虛擬路由器的信息只 能供一定的訪問特權訪問。
每台虛擬路由器的包轉發路徑與其他虛擬路由器的包轉發路徑相隔離,從而使管理人員可以單獨和獨立地管理每台虛擬路由器的性能。系統中一台虛擬路由器上出現的傳輸流激增不會影響其他的虛擬路由器。這就保證了這種服務的最終用戶得到持續的網路性能。
虛擬路由器還提供獨立的策略和Internet工程任務組差別服務(Diff-Serv)功能,使虛擬路由器可以向最終用戶提交完全的定製服務。分配給每台虛擬路由器的I/O埠可以進行編程以對輸入包進行計數並保證輸入包不超過預先規定的合同。然後包根據自己的服務類型分類進入多條隊列。
隨著虛擬路由功能在骨幹網中變得更加普及,在動態精確地滿足最終用戶的帶寬需要的同時,它所具有的提供最終用戶對帶寬的最大限度的控制和管理的功能將帶來許多在價格上具有競爭力、高度定製的IP服務。這些服務將大大改變提供商和客戶看待購買帶寬世界的方式 。
虛擬路由器冗餘協議(VRRP:Virtual Router Rendancy Protocol)
虛擬路由器冗餘協議(VRRP)是一種選擇協議,它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一台。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器,它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。
使用 VRRP ,可以通過手動或 DHCP 設定一個虛擬 IP 地址作為默認路由器。虛擬 IP 地址在路由器間共享,其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用,這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址(這個備份路由器就成為了主路由器)。 VRRP 也可用於負載均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Rendancy Protocol,虛擬路由冗餘協議)是一種容錯協議。通常,一個網路內的所有主機都設置一條預設路由(如圖3-1所示,10.100.10.1),這樣,主機發出的目的地址不在本網段的報文將被通過預設路由發往路由器RouterA,從而實現了主機與外部網路的通信。當路由器RouterA 壞掉時,本網段內所有以RouterA 為預設路由下一跳的主機將斷掉與外部的通信。VRRP 就是為解決上述問題而提出的,它為具有多播或廣播能力的區域網(如:乙太網)設計。我們結合下圖來看一下VRRP 的實現原理。VRRP 將區域網的一組路由器(包括一個Master 即活動路由器和若干個Backup 即備份路由器)組織成一個虛擬路由器,稱之為一個備份組。這個虛擬的路由器擁有自己的IP 地址10.100.10.1(這個IP 地址可以和備份組內的某個路由器的介面地址相同),備份組內的路由器也有自己的IP 地址(如Master的IP 地址為10.100.10.2,Backup 的IP 地址為10.100.10.3)。區域網內的主機僅僅知道這個虛擬路由器的IP 地址10.100.10.1,而並不知道具體的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它們將自己的預設路由下一跳地址設置為該虛擬路由器的IP 地址10.100.10.1。於是,網路內的主機就通過這個虛擬的路由器來與其它網路進行通信。如果備份組內的Master 路由器壞掉,Backup 路由器將會通過選舉策略選出一個新的Master 路由器,繼續向網路內的主機提供路由服務。從而實現網路內的主機不間斷地與外部網路進行通信。關於VRRP 協議的詳細信息,可以參考RFC 2338。
一、 應用實例
最典型的VRRP應用:RTA、RTB組成一個VRRP路由器組,假設RTB的處理能力高於 RTA,則將RTB配置成IP地址所有者,H1、H2、H3的默認網關設定為RTB。則RTB成為主控路由器,負責ICMP重定向、ARP應答和IP報文的轉發;一旦RTB失敗,RTA立即啟動切換,成為主控,從而保證了對客戶透明的安全切換。
在VRRP應用中,RTA在線時RTB只是作為後備,不參與轉發工作,閑置了路由器RTA和鏈路L1。通過合理的網路設計,可以到達備份和負載分擔雙重效果。讓RTA、RTB同時屬於互為備份的兩個VRRP組:在組1中RTA為IP地址所有者;組 2中RTB為IP地址所有者。將H1的默認網關設定為RTA;H2、H3的默認網關設定為RTB。這樣,既分擔了設備負載和網路流量,又提高了網路可靠性。
VRRP協議的工作機理與CISCO公司的HSRP(Hot Standby Routing Protocol)有許多相似之處。但二者主要的區別是在CISCO的HSRP中,需要單獨配置一個IP地址作為虛擬路由器對外體現的地址,這個地址不能是組中任何一個成員的介面地址。
使用VRRP協議,不用改造目前的網路結構,最大限度保護了當前投資,只需最少的管理費用,卻大大提升了網路性能,具有重大的應用價值。
二、工作原理
一個VRRP路由器有唯一的標識:VRID,范圍為0—255。該路由器對外表現為唯一的虛擬 MAC地址,地址的格式為00-00-5E-00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣,無論如何切換,保證給終端設備的是唯一一致的IP和MAC地址,減少了切換對終端設備的影響。
VRRP控制報文只有一種:VRRP通告(advertisement)。它使用IP多播數據包進行封裝,組地址為224.0.0.18,發布范圍只限於同一區域網內。這保證了VRID在不同網路中可以重復使用。為了減少網路帶寬消耗只有主控路由器才可以周期性的發送VRRP通告報文。備份路由器在連續三個通告間隔內收不到VRRP或收到優先順序為0的通告後啟動新的一輪VRRP選舉。
在VRRP路由器組中,按優先順序選舉主控路由器,VRRP協議中優先順序范圍是0—255。若 VRRP路由器的IP地址和虛擬路由器的介面IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優先順序:255。優先順序0一般用在IP地址所有者主動放棄主控者角色時使用。可配置的優先順序范圍為1—254。優先順序的配置原則可以依據鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中,高優先順序的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作為主控路由的角色出現。對於相同優先順序的候選路由器,按照IP地址大小順序選舉。VRRP還提供了優先順序搶占策略,如果配置了該策略,高優先順序的備份路由器便會剝奪當前低優先順序的主控路由器而成為新的主控路由器。
為了保證VRRP協議的安全性,提供了兩種安全認證措施:明文認證和IP頭認證。明文認證方式要求:在加入一個VRRP路由器組時,必須同時提供相同的VRID和明文密碼。適合於避免在區域網內的配置錯誤,但不能防止通過網路監聽方式獲得密碼。 IP頭認證的方式提供了更高的安全性,能夠防止報文重放和修改等攻擊。
2. 求一篇 電子商務網上交易安全問題探討 畢業論文 急需!!!
[摘要]電子商務交易的核心問題是安全問題。本文針對電子商務交易中存在的主要安全問題,闡明了目前解決電子商務交易的安全問題的主要技術及措施。
[關鍵詞]電子商務 安全技術 交易安全
一、引言
電子商務是在Internet開放的網路環境下,實現消費者在線購物、企業之間的在線交易和網上電子支付的一種新型的交易方式。由於電子商務具有低成本、高效益、全球性等特點使其很快遍及全世界。電子商務已成為世界經濟最具活力的增長點,它的應用將給社會和經濟發展帶來巨大的變革。然而,目前世界通過電子商務方式完成的貿易額只佔同期全球貿易額中的一小部分。究其原因,電子商務是一個復雜的系統工程,它的應用還依靠相應的社會問題和技術問題的逐步解決與完善。其中,電子商務的安全問題是制約電子商務發展的最關鍵問題。
二、電子商務交易的安全威脅與安全需求
1.安全威脅。電子商務交易中,比較容易受到以下的安全威脅,這些安全威脅經常都會對電子商務造成非常嚴重的後果:一是交易信息的竊取與篡改,即網路交易中用明文傳輸的數據被非法入侵者截獲並破譯之後,進行非法篡改、刪除或插入,使信息的完整性遭受破壞。二是信息的假冒,即網路非法攻擊者通過假冒合法用戶或者模擬虛假信息來實施詐騙行為。
2.安全需求。電子商務交易過程有以下的安全需求,分別是信息的保密性、完整性和不可否認性。電子商務信息的保密性,指的是信息不泄露給非授權用戶、實體或過程,或供其利用的特性。電子商務信息的完整性,指的是數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。電子商務信息的不可否認性,指的是避免發生交易中的某一方在進行某種交易行為之後,否認自己曾經進行過該商務行為;或者某一方否認自己曾經接收到對方發出的交易信息。
三、電子商務交易的主要安全技術
1.加密技術是電子商務的最基本的安全技術。在目前技術條件下,加密技術通常分為對稱加密和非對稱加密兩類。
(1)對稱密鑰加密:採用相同的加密演算法,並且加密和解密都使用相同的密鑰。如果進行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發生泄露,則可以通過對稱加密方法加密機密信息,並隨報文發送報文摘要和報文散列值,來保證報文的機密性和完整性。密鑰安全交換是關繫到對稱加密有效性的最核心環節。目前常用的對稱加密演算法有DES、PCR、IDEA、3DES等。其中DES使用最常用,被國際標准化組織採用作為數據加密的標准。
(2)非對稱密鑰加密:非對稱加密不同於對稱加密,其密鑰對被分為公開密鑰和私有密鑰。密鑰對生成後,公開密鑰對外公開,而私有密鑰則保存在密鑰發布方手裡。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發送給該公開密鑰的發布者,而發布者在得到加密信息後,使用與公開密鑰相應對的私有密鑰進行解密。目前,常用的非對稱加密演算法有RSA演算法。該演算法已被國際標准化組織的數據加密技術分委員會推薦為非對稱密鑰數據加密標准。在對稱和非對稱兩類加密方法中,對稱加密的優點是加密速度快(通常比非對稱加密快10倍以上)、效率高,被廣泛用於大量數據的加密。但該方法的致命缺點是密鑰的傳輸與交換也面臨著安全問題,密鑰易被截取,而且,若和大量用戶進行通信,難以安全管理大量的密鑰對,因此對稱加密大范圍應用存在一定問題。而非對稱密鑰則相反,其優點是解決了對稱加密中密鑰數量過多難管理和費用高的不足,也不必擔心傳輸中私有密鑰的泄露,保密性能優於對稱加密技術。但非對稱的缺點是加密演算法復雜,加密速度不很理想。目前.電子商務實際運用中常常是兩者結合使用。
2.身份認證技術。目前電子商務交易中僅有加密技術不足以保證交易安全,身份認證技術是保證電子商務安全的另一重要技術手段。身份認證的實現包括數字簽名技術、數字證書技術等。
(1)數字簽名技術
對信息加密只解決了信息傳輸過程中的保密問題,而防止他人對傳輸的信息進行篡改或破壞,保證信息的完整性,以及保證信息發送者對發送信息的不可抵賴性,需要採用其它的手段,這一手段就是數字簽名。數字簽名技術即進行身份認證的技術。在數字化文檔上的數字簽名類似於紙張上的手寫簽名,是不可偽造的。接收者能夠驗證文檔確實來自簽名者,並且簽名後文檔沒有被修改過,從而保證信息的真實性和完整性。
目前的數字簽名是建立在公共密鑰體制基礎上,它是公用密鑰加密技術的另一類應用。數字簽名與書面文件簽名有相同之處,採用數字簽名,也能確認以下兩點:信息是由簽名者發送的;信息自簽發後到收到為止未作過任何修改。目前數字簽名方法主要有三種,即:RSA簽名、DSS簽名和Hash簽名。這三種演算法可單獨使用,也可綜合在一起使用。
(2)數字證書技術
在公共密鑰體制中,私鑰只有信息發送者知道,而與之匹配的公鑰是公開的,它能保證傳輸信息的保密性,但沒有解決公鑰的分發方式。數字簽名保證了信息是由簽名者發送的以及信息自簽發後到收到為止未曾作過任何修改,但不能保證簽名者身份的真實性。因此需要有一種措施來管理公鑰分發,保證公鑰以及與公鑰有關的實體身份信息的真實性。這一措施就是數字證書。數字證書是一般由具有權威性、可信任性的第三方機構即認證機構CA所頒發。數字證書是公共密鑰體制中的密鑰管理媒介,並將公鑰和實體身份信息綁定在一起,並包含認證機構的數字簽名。數字證書在電子商務中用於公鑰的分發、傳遞,證明電子商務實體身份與公鑰相匹配。
四、總結
加密技術和身份認證技術是電子商務交易安全的基礎技術,加密技術用於對信息的加密,保證信息的機密性。數字簽名和數字信封技術應用了加密技術,建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名,保證信息的完整性和不可抵賴性。數字證書技術是對加密技術和數字簽名進行支持的技術,用於管理公鑰分發,保證公鑰以及與公鑰有關的實體身份信息的真實性。因此,電子證書必須由權威的第三方認證中心簽發。
參考文獻:
[1]趙書瑞 ,魏岳.基於SET的電子商務交易安全模式分析[J].商場現代化,2006,(06).
[2]王茜,楊德禮.電子商務的安全體系結構及技術研究[J].計算機工程,2003,(01).
[3]高威.電子商務的安全問題與安全技術[J].內蒙古科技與經濟,2005,(13).
[4]郭晶晶,李臘元.基於SET協議的電子商務支付系統的研究[J].計算機應用,2002,(03).
3. 網路加密的演算法是什麼
由於網路所帶來的諸多不安全因素使得網路使用者不得不採取相應的網路安全對策。為了堵塞安全漏洞和提供安全的通信服務,必須運用一定的技術來對網路進行安全建設,這已為廣大網路開發商和網路用戶所共識。
現今主要的網路安全技術有以下幾種:
一、加密路由器(Encrypting Router)技術
加密路由器把通過路由器的內容進行加密和壓縮,然後讓它們通過不安全的網路進行傳輸,並在目的端進行解壓和解密。
二、安全內核(Secured Kernel)技術
人們開始在操作系統的層次上考慮安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。如S olaris操作系統把靜態的口令放在一個隱含文件中, 使系統的安全性增強。
三、網路地址轉換器(Network Address Translater)
網路地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,初衷是為了解決IP 地址不足,現多用於網路安全。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網路看不到內部網路, 從而隱藏內部網路,達到保密作用。
數據加密(Data Encryption)技術
所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數、解密鑰匙(Decryti on key)還原成明文。加密技術是網路安全技術的基石。
數據加密技術要求只有在指定的用戶或網路下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用於加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。
專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據後,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。
DES是一種數據分組的加密演算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,並在給定的密鑰參數條件下,進行多次迭代而得到加密密文。
公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的演算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA演算法。
在計算機網路中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)。通信加密又有節點加密、鏈路加密和端--端加密3種。
①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。
②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。
③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體泄漏也很有效。
在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。
值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。
(1)數字簽名
公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。
數字簽名一般採用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。
數字簽名不同於手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之後的,與文本信息是分離的。
(2)Kerberos系統
Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法。
它的安全機制在於首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。
Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:
①安全性高,Kerberos系統對用戶的口令進行加密後作為用戶的私鑰,從而避免了用戶的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令信息;
②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對於合法用戶來說是透明的;
③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全。
Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,並且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配伺服器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示。
Kerberos有其優點,同時也有其缺點,主要如下:
①、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
②、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
③、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴於AS和TGS的性能和安全。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。
④、隨用戶數增加,密鑰管理較復雜。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰
( 3 )、PGP演算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的。公開密鑰和分組密鑰在同一個系統中,公開密鑰採用RSA加密演算法,實施對密鑰的管理;分組密鑰採用了IDEA演算法,實施對信息的加密。
PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平台上運行。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等。
(4)、PEM演算法
保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基於RSA和DES演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:
對所有報文都提供諸如:驗證、完整性、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等。
PEM對報文的處理經過如下過程:
第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;
第二步,MIC(Message Integrity Code)計算;
第三步,把處理過的報文轉化為適於SMTP系統傳輸的格式。
身份驗證技術
身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節。
Web網上採用的安全技術
在Web網上實現網路安全一般有SHTTP/HTTP和SSL兩種方式。
(一)、SHTTP/HTTP
SHTTP/HTTP可以採用多種方式對信息進行封裝。封裝的內容包括加密、簽名和基於MAC 的認證。並且一個消息可以被反復封裝加密。此外,SHTTP還定義了包頭信息來進行密鑰傳輸、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境。
SHTTP並不依賴於特定的密鑰證明系統,它目前支持RSA、帶內和帶外以及Kerberos密鑰交換。
(二)、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標准。SSL廣泛應用於Intranet和Internet 網,其產品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器,以及諸如Apa che-SSL等產品。
SSL提供三種基本的安全服務,它們都使用公開密鑰技術。
①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL伺服器之間的所有業務使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯。 ②信息完整性,確保SSL業務全部達到目的。如果Internet成為可行的電子商業平台,應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,並在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一台支持SSL的典型網路主機接受SSL連接的默認埠是443而不是80。
當客戶機連接該埠時,首先初始化握手協議,以建立一個SSL對話時段。握手結束後,將對通信加密,並檢查信息完整性,直到這個對話時段結束為止。每個SSL對話時段只發生一次握手。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低。一次SSL握手將發生以下事件:
1.客戶機和伺服器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。
2.客戶機隨機地產生一組密鑰,它們用於信息加密和MAC計算。這些密鑰要先通過伺服器的公開密鑰加密再送往伺服器。總共有四個密鑰分別用於伺服器到客戶機以及客戶機到伺服器的通信。
3.信息加密演算法(用於加密)和hash函數(用於確保信息完整性)是綜合在一起使用的。Netscape的SSL實現方案是:客戶機提供自己支持的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。
代理服務
在 Internet 中廣泛採用代理服務工作方式, 如域名系統(DNS), 同時也有許多人把代理服務看成是一種安全性能。
從技術上來講代理服務(Proxy Service)是一種網關功能,但它的邏輯位置是在OSI 7層協議的應用層之上。
代理(Proxy)使用一個客戶程序,與特定的中間結點鏈接,然後中間結點與期望的伺服器進行實際鏈接。與應用網關型防火牆所不同的是,使用這類防火牆時外部網路與內部網路之間不存在直接連接,因此 ,即使防火牆產生了問題,外部網路也無法與被保護的網路連接。
防火牆技術
(1)防火牆的概念
在計算機領域,把一種能使一個網路及其資源不受網路"牆"外"火災"影響的設備稱為"防火牆"。用更專業一點的話來講,防火牆(FireW all)就是一個或一組網路設備(計算機系統或路由器等),用來在兩個或多個網路間加強訪問控制,其目的是保護一個網路不受來自另一個網路的攻擊。可以這樣理解,相當於在網路周圍挖了一條護城河,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查。
防火牆的組成可以這樣表示:防火牆=過濾器+安全策略(+網關)。
(2)防火牆的實現方式
①在邊界路由器上實現;
②在一台雙埠主機(al-homed host)上實現;
③在公共子網(該子網的作用相當於一台雙埠主機)上實現,在此子網上可建立含有停火區結構的防火牆。
(3)防火牆的網路結構
網路的拓撲結構和防火牆的合理配置與防火牆系統的性能密切相關,防火牆一般採用如下幾種結構。
①最簡單的防火牆結構
這種網路結構能夠達到使受保護的網路只能看到"橋頭堡主機"( 進出通信必經之主機), 同時,橋頭堡主機不轉發任何TCP/IP通信包, 網路中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持。但它把整個網路的安全性能全部託付於其中的單個安全單元,而單個網路安全單元又是攻擊者首選的攻擊對象,防火牆一旦破壞,橋頭堡主機就變成了一台沒有尋徑功能的路由器,系統的安全性不可靠。
②單網端防火牆結構
其中屏蔽路由器的作用在於保護堡壘主機(應用網關或代理服務) 的安全而建立起一道屏障。在這種結構中可將堡壘主機看作是信息伺服器,它是內部網路對外發布信息的數據中心,但這種網路拓撲結構仍把網路的安全性大部分託付給屏蔽路由器。系統的安全性仍不十分可靠。
③增強型單網段防火牆的結構
為增強網段防火牆安全性,在內部網與子網之間增設一台屏蔽路由器,這樣整個子網與內外部網路的聯系就各受控於一個工作在網路級的路由器,內部網路與外部網路仍不能直接聯系,只能通過相應的路由器與堡壘主機通信。
④含"停火區"的防火牆結構
針對某些安全性特殊需要, 可建立如下的防火牆網路結構。 網路的整個安全特性分擔到多個安全單元, 在外停火區的子網上可聯接公共信息伺服器,作為內外網路進行信息交換的場所。
網路反病毒技術
由於在網路環境下,計算機病毒具有不可估量的威脅性和破壞力, 因此計算機病毒的防範也是網路安全性建設中重要的一環。網路反病毒技術也得到了相應的發展。
網路反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。(1) 預防病毒技術,它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術是:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒卡)等。(2)檢測病毒技術,它是通過對計算機病毒的特徵來進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。(3)消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟體。
網路反病毒技術的實施對象包括文件型病毒、引導型病毒和網路病毒。
網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和監測;在工作站上採用防病毒晶元和對網路目錄及文件設置訪問許可權等。
隨著網上應用不斷發展,網路技術不斷應用,網路不安全因素將會不斷產生,但互為依存的,網路安全技術也會迅速的發展,新的安全技術將會層出不窮,最終Internet網上的安全問題將不會阻擋我們前進的步伐