网络环境中信息安全技术讨论

杨 芬

(长治职业技术学院，山西 长治 046011)

网络环境中信息安全技术讨论

杨 芬

(长治职业技术学院，山西 长治 046011)

随着全球信息化进程的不断加速，国内外信息产业领域对信息安全的关注与日俱增，尤其在信息网络化如此普及的年代，网络安全与信息产业息息相关。基于网络环境中的信息安全讨论，已成为网络安全中的一个重要研究课题。文章就信息安全的研究背景、概念及相关的技术作了全局的分析及讨论。

网络与信息安全；信息安全认识；信息安全技术

1 网络环境下信息安全研究意义

随着以internet为支撑平台的信息产业的发展，使得网络安全的重要性日益凸显。信息随时都可能受到非授权的访问、篡改或破坏，也可能被阻截、替换而导致无法正确读取，给网络的正常运行带来巨大的威胁，甚至造成网络瘫痪。

计算机网络安全研究始于本世纪60年代末期。但由于当时计算机的速度和性能较为落后，使用的范围也不广，因此有关计算机安全的研究一直局限在较小的范围。进入80年代后，计算机的性能得到了极大的提高，应用范围也在不断扩大，计算机已遍及世界各个角落。尤其是进入20世纪90年代，计算机网络出现了爆炸式的发展，这种发展一下子把人们带到了一个全新的时空，在人们几乎更多地依赖计算机网络的同时，网络环境下的信息安全问题却引起了人们的注意。

2 信息安全的初步认识

2.1 定义

信息安全是研究在特定的应用环境下，依据特定的安全策略，对信息及其系统实施防护、检测和恢复的科学。

2.2 研究内容

信息安全的研究涉及数学、计算机、通信、法律等诸多学科，大致可分为基础理论与应用研究、应用技术以及安全管理研究三个领域。其中基础理论与应用研究主要包括密码体制理论、身份识别、访问控制与授权、安全协议等方面的研究。这是本文所探讨的重点。

2.3 安全目录

信息安全从防护、检测和恢复体制上看，主要有五个安全目标：机密性、完整性、可用性、真实性、不可抵赖性、可控性。

①机密性(confidentiality)：指信息不被泄露或暴露给未授权的个人、组织或系统。或者说，只有经授权的用户才能获知信息的真实内容，而任何未授权者即使截获信息也无法读取信息的真实内容或使用信息。

②不可抵赖性(non-repudiation)：指合法用户事后无法否认曾发送或接收到信息，或广义地理解为对其行为不可抵赖。

③真实性(authenticity)：指在信息交互过程中相关的用户或主体是真实而非假冒或伪装的。

④可控性(controllability)：指主体对系统或数据的访问是按照一定规则控制的，避免也现非授权操作或使用。

⑤可用性(availability)：分为数据的可用性和系统的可用性。数据的可用性是指授权用户可根据需要随时访问其权限所允许的信息，不会受到干扰或阻碍。系统的可用性是指承载信息的系统按照其预订的规则运行，不会转移到非畅通状态。系统可用性与数据可用性具有密切的联系。

3 信息安全技术

3.1 加密技术

3.1.1 加密技术概述

加密技术能为数据或信息流提拱机密性保证。同时，对其他安全机制的实现起主导作用或辅助作用。

加密算法是对信息的一种编码规则，这种规则的编码与译码依赖于被称为密钥的参数。用户使用编码规则在密钥控制下把明文消息变为密文，也可以使用译码规则在密钥控制下把密文还原成明文信息。没有正确的密钥无法实现加密解密操作，从而使非授权用户无法还原机密信息。

根据密钥的特点，目前加密技术分为两种：对称密码体制和非对称密码体制。对称密码算法有：DES(数据加密标准)及其各种变形、IDEA算法及AES、RC5等，比较著名的非对称密码算法有：RSA、背包密码、Differ-Hellman、圆曲线算法等。

3.1.2 密码体制

(1)对称密码

在对称密钥体制中，使用的密钥必须完全保密，且加密密钥相同，或从加密密钥可推出解密密钥，反之亦可。常见加密标准为DES，当使用DES时，用户和接受方采用64位密钥对报文加密和解密。DES主要采用替换和移位的方法加密。

(2)非对称密码

在非对称密码体制中，每个使用密码体制的主体(个人、团体或某系统)均有一对密钥；一个密钥可以公开，称为公钥；另一个密钥则必须保密，称为私钥，且不能从公钥推出私钥。在internet中使用更多的是被保密的非对称密码，即公钥系统。常用的公钥加密算法是RSA算法，加密强度很高。发送方在发送数据时，用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后，用发送方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高，而且并不要求通信双方事先要建立某种信任关系或共享某种秘密，因此十分适合internet使用。

3.2 数字签名

数字签名也称电子签名，在信息安全中包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名包括两个过程：签名者以给定的数据单元进行签名；接收者验证该签名。

数字签名的主要工作方式为：报文发送方从报文文本中生成一个128bit的散列值(或报文摘要)，并用自己专用密钥对这个散列值进行加密，形成发送方的数字签名；然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别和不可抵赖性

数字签名技术应用十分广泛，如电子印章、商务合同等应用中主要采用数字签名技术，还有虚拟专用网(VPN)协议族、电子邮件安全协议族、Web安全协议、发全电子支付协议等密钥分发都采用了数字签名技术。

3.3 身份认证

身份认证又称为鉴别或确认，它通过验证被认证对象的一个或多个参数的真实性与效性，来证实被认证对象是否符合或是否有效的一种过程，用来确保数据的真实性。

身份认证在金融、医疗、保险、海关、电信、公安等领域起到了举足轻重的作用。随着信息技术的飞速发展，电子商务、电子银行、网络安全等应用领域亟需高效的自动身份认证技术。

3.4 双因素身份认证技术

人们对于网络安全和信息安全的研究和了解，已经有相当长的一段时间了，因此基于动态密码技术的双因素身份认证技术得到了迅速发展。在网络环境下的身份认证系统中，使用动态密码卡作为身份确认依据是理想的，每一个动态密码卡是独一无二的装置，能有效地代表使用者的身份，可以保证被认证对象与需要验证的身份依据之间严格的一一对应关系。通过技术分析，使用密码卡具有安全性高、保密性强、搞抵赖性、抗重放性、抗暴露性、方便性等优点。所以，现在使用这处双因素身份证技术可以为网络运行提供一定的保障。

3.4.1 访问机制

访问控制机制使用实体的标识、类别或能力，确定权限，并授予访问权。实体如果试图进行非授权访问，将被拒绝。

除了计算机网络设备之外，网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者，必须具备安全的控制策略和保护机制。

3.4.2 通信量填充一信息隐藏

通信量通填充就是指为了防止敌手对通信量的分析，需要在空闲的信道上发送一些无用的信息，以便蒙蔽对手。在专用通信线路上这种机制非常重要，但在公用信道中则要依据环境而定。

信息隐藏则是把一则信息隐藏到看似与这无关的消息中，以便蒙蔽敌手，通常也要和密码结合才能保证不被敌手发现。

3.4.3 路由控制

路由控制是对于信息的流经路径的选择，为一些重要信息指定路径。例如通过特定的安全子网、中继站连接设备，也可能是要绕开某些不安全的子网、中继或连接设备。这种路由的安排可以预先安排也可作为恢复的一种方式而由端系统动态指定。恰当的路由控制可以提升环境安全性，从而可以简化其他安全机制实施的复杂性。

3.4.4 公证

在双方或多方通信中，公证机制可以提供数据的完整性，收发双方的身份识别时间同步等服务。通信各方共同信赖的公证机构，称为可信第三方，它保存通信方的必要信息，并以一种可验证的方式提供上述服务。

3.4.5 安全标记

安全标记是为数据源所附加的指明其安全属性的标记。安全标记常常在通信中与数据一起传送。它可能是与被传送的数据相连的附加数据，也可能是隐含的信息。

4 结束语

信息安全问题涉及到国家安全和社会公共安全。随着计算机技术和通信技术的发展，计算机网络将日益成为信息交流的重要手段，并且已经渗透到社会生活的各个领域。因此，发展信息安全技术显得十分迫切。我们要认识到网络的脆弱性和潜在的诸多威胁，积极采取有力的安全策略，保障网络的安全。

[1]张基温.信息系统安全教程[M].北京：清华大学出版社，2007.

[2]徐茂智，游林.信息安全与密码学[M].北京：清华大学出版社，2007.

[3]陆明.网络环境下身份认证协议的研究[M].北京：清华大学出版社，1998.

[4]唐礼勇，段云所，陈钟.身份认证技术[J].技术培训，2001.(6)：59-64.

[5]袁津生.吴砚农.计算机网络安全基础[M].北京：人民邮电出版社，2002.

[6]蔡皖东.计算机网络技术[M].西安：西安电子科技大学出版社，1998.

TP393.08

A

1673-2014(2011)05-0058-03

2011—05—16

杨 芬(1973—)，女，山西长治人，讲师，主要从事网络信息安全的研究。

(责任编辑 单麦琴)