Microsoft Word - 102

Size: px

Start display at page:

Download "Microsoft Word - 102"

刑陆
7 years ago
Views:

1 10.2 信息安全技术信息安全技术概述 1988 年 11 月 3 日, 一位叫 Robert Morris 的美国年轻人把一个 Morris 蠕虫病毒程序放到了互联网上, 导致了上千台网上计算机瘫痪, 从此改变了人们对互联网安全性的看法, 引起了对计算机网络安全问题的重视而该事件之前, 人们的信息安全概念主要是数据加密, 重点是保护存储在各种介质上和传输过程中的数据 20 世纪 90 年代以后, 互联网走向商业化, 上网计算机每年以成倍的速度增加, 网络黑客 (Hacker) 的非法活动呈现猖狂之势, 人们发现信息安全问题无法仅用数据加密技术完全加以解决, 还需要解决硬件系统操作系统网络数据库系统和应用系统的整体安全问题随着信息技术的发展与应用, 人们对信息安全理论和信息安全技术的研究也不断取得令人鼓舞的成果, 确立了独立的学科体系, 初步制定了相关的法律规范和标准, 信息安全的内涵也在不断延伸, 从最初的信息保密性发展到信息的完整性可用性可控性和不可否认性, 进而又发展为攻 ( 攻击 ) 防( 防范 ) 测 ( 检测 ) 控 ( 控制 ) 管( 管理 ) 评 ( 评估 ) 等多方面的基础理论和实施技术因此, 信息安全技术的研究内容主要包括密码理论与技术安全协议理论与技术安全体系结构理论与技术信息对抗理论与技术网络安全等方面人类不断研究新的信息安全技术, 开展信息安全工程实践, 为战胜信息安全威胁付出了艰巨的努力保障信息安全的方法很多, 涉及许多信息安全技术下面简单介绍几种关键的信息安全技术, 包括数据加密技术认证控制技术电子签名与数字证书技术防火墙技术 VPN 技术数据加密技术随着计算机网络的迅速发展, 网上数据通信将会越来越频繁, 为了保证重要数据在网上传输时不被窃取或篡改, 就有必要对传输的数据进行加密, 以保证数据的安全传输所谓数据加密就是将被传输的数据转换成表面上杂乱无章的数据, 只有合法的接收者才能恢复数据的本来面目, 而对于非法窃取者来说, 转换后的数据是读不懂的毫无意义的数据数据加密是网络信息安全的核心技术之一, 它对保证网络信息安全起着特别重要的作用, 是其他安全技术无法替代的我们把没有加密的原始数据称为, 将加密以后的数据称为, 把变换成的过程叫加密, 而把还原成的过程叫解密加密和解密都需要有密钥和相应的算法, 密钥一般是一串数字, 而加解密算法是作用于或以及对应密钥的一个数学函数在密码学中根据密钥使用方式的不同一般分为两种不同的密码体系, 即对称密钥密码体系和非对称密钥密码体系对称密钥密码体系在加密和解密过程中使用相同的密钥, 而非对称密钥密码体系在加密和解密过程中使用的是不同的密钥, 一般用公钥进行加密, 而用与之对应的私钥进行解密, 也可以用私钥进行加密, 而用与之对应的公钥进行解密例如, 将字母 a,b,c,d,,x,y,z 的自然顺序保持不变, 但使之与 b,c,d,e,, y,z,a 分别对应, 那么 computer 对应的密码就是 dpnqvufs, 字符的位置不变, 但字符本身已被改变了, 对于不知道密钥的人来说, dpnqvufs 就是一串无意义的字符, 这样的加密方式称为替换加密, 此时密钥为 1, 属于对称密钥密码体系的一种加密方式如果按某一规则重新排列中的字符顺序, 即改变字符的位置, 字符本身不变, 这样的加密方式称为置换加密, 或叫变位加密例如, 为计算机科学与技术的文字按每行 5 个字的顺序重新排列, 不足 5 个字时假设采用是填充, 写成如下所示形式 : 计算机科学与技术是是

2 传送时如按列次序计与算技机术科是学是发送, 合法的接收者收到这样的后只需按一定的间隔读取一个汉字即可还原成, 而对于非法窃取的人来说就是一串无意义的文字, 这种加密方式也属于对称密钥密码体系的一种 1. 对称密钥密码体系对称密钥密码体系也叫密钥密码体系, 要求加密和解密双方使用相同的密钥, 如图 10-1 所示其加密方式主要有以下几个特点 : 加密传输解密公共密钥公共密钥图 10-1 加密解密通信模型图 (1) 对称密钥密码体系的安全性这种加密方式的安全性主要依赖于以下两个因素 : 第, 加密算法必须是足够强的, 即仅仅基于本身去解密在实践上是不可能做到的 ; 第二, 加密的安全性依赖于密钥的秘密性, 而不是算法的秘密性因此, 没有必要确保算法的秘密性, 而需要保证密钥的秘密性, 正因为加解密算法不需要保密, 所以制造商可以开发出低成本的芯片以实现数据的加密, 适合于大规模生产广泛应用于军事外交和商业等领域 (2) 对称加密方式的速度对称密钥密码体系的加解密算法一般都是基于循环与迭代的思想, 将简单的基本运算如移位取余和变换运算构成对数据流的非线性变换, 达到加密和解密的目的, 所以算法的实现速度极快, 比较适合于加密数据量大的文件内容 3) 对称加密方式中密钥的分发与管理对称加密系统存在的最大问题是密钥的分发和管理非常复杂代价高昂比如对于具有 n 个用户的网络, 需要 n(n-1)/2 个密钥, 在用户群不是很大的情况下, 对称加密系统是有效的, 但是对于大型网络, 用户群很大而且分布很广时密钥的分配和保存就成了大问题同时也就增加了系统的开销图 10-2 所示为有 4 个用户的网络其对称密钥的分发情况图 10-2 四个用户的网络其对称密钥的分发 (4) 常见的对称加密算法对称密钥密码体系最著名的算法有 DES( 美国数据加密标准 ) AES( 高级加密标准 ) 和 IDKA( 欧洲数据加密标准 ) 2. 非对称密钥密码体系非对称密钥密码体系又叫公钥密码体系, 非对称加密使用两个密钥 : 一个公共密钥 PK 和一个私有密钥 SK, 如图 10-3 所示这两个密钥在数学上是相关的, 并且不能由公钥计算出对应的私钥, 同样也不能由私钥计算出对应的公钥加密传输解密

3 公共密钥私有密钥 10-3 非对称密钥密码体系 (1) 非对称密钥密码体系的安全性这种加密方式的安全性主要依赖于私钥的秘密性, 公钥本来就是公开的, 任何人都可以通过公开途径得到别人的公钥非对称加密方式的算法般都是基于尖端的数学难题, 计算非常复杂, 它的安全性比对称加密方式的安全性更高 (2) 非对称加密方式的速度非对称加密方式由于算法实现的复杂性导致了其加解密的速度远低于对称加密分式通常被用来加密关键性的核心的机密数据 (3) 非对称加密方式中密钥的分发与管理由于用于加密的公钥是公开的, 密钥的分发和管理就很简单, 比如对于具有 n 个用户的网络, 仅需要 2n 个密钥公钥可在通信双方之间公开传递, 或在公用储备库中发布, 但相关的私钥必须是保密的, 只有使用私钥才能解密用公钥加密的数据, 而使用私钥加密的数据只能用公钥来解密 (4) 常见的非对称加密算法目前国际最著名应用最广泛的非对称加密算法是 RSA 算法, 由美国 MIT 大学于 1978 年公布的, 它的安全性是基于大整数因子分解的困难性, 而大整数因子分解问题是数学上的著名难题, 至今没有有效的方法子以解决, 因此可以确保 RSA 算法的安全性现代密码学的特征是算法可以公开, 保密的关键是如何保护好自己的密钥, 而破密的关键是如何能破解密钥因此, 保证密钥更换周期的安全策略是系统能够安全运行的保障, 是系统安全管理者最重要最核心的工作任务在实际应用中可利用两种加密方式的优点, 采用对称加密方式来加件的内容, 而采用非对称加密方式采加密密钥, 这就是混合加密系统, 它较好地解决了运算速度问题和密钥分配管理问题数字签名数字签名 (Digital Signature) 是指对网上传输的电子报文进行签名确认的一种方式这种签名方式不同于传统的手写签名手写签名只需把名字写在纸上就行了 ; 而数字签名却不能简单的在报文或文件里写个名字, 因为在计算机中可以很容易地修改你的名字而不留任何痕迹, 这样的签名很容易被盗用, 如果这样, 接收方将无法确认文件的真伪, 达不到签名确认的效果数字签名必须满足以下三条 : 1 接收方能够核实发送方对报文的签名 2 发送方不能抵赖对报文的签名 3 接收方不能伪造对报文的签名假设 A 要发送一个电子报文给 B,A B 双方只需经过下面三个步骤即可 : 1 A 用其私钥加密报文, 这便是签字过程 2 A 将加密的报文送达 B 3 用 A 的公钥解开 A 送来的报文. 以上三个步骤可以满足数字签名的三个要求 : 首先签字是可以被确认的, 因为 B 是用 A 的公钥解开加密报文的, 这说明原报文只能被 A 的私钥加密而只有 A 才知道自己的私钥其次发送方 A 对数字签名是无法抵赖的, 因为除 A 以外无人能用 A 的私钥加密一个报文最后

签字无法被伪造, 只有 A 能用自己的私钥加密一个报文, 签字也无法重复使用, 签字在这里就是一个加密过程, 报文被签字以后是无法被篡改的, 因为加密后的报文被改动后是无法被 A 的公钥解开的目前数字签名已经应用于网上安全支付系统电子银行系统电子证券系统安全邮件系统电子订票系统网上购物系统网上报税等系列电子商务应用的签名认证服务如果需要发送添加数字签名的安全电子邮件, 首先启动

4 签字无法被伪造, 只有 A 能用自己的私钥加密一个报文, 签字也无法重复使用, 签字在这里就是一个加密过程, 报文被签字以后是无法被篡改的, 因为加密后的报文被改动后是无法被 A 的公钥解开的目前数字签名已经应用于网上安全支付系统电子银行系统电子证券系统安全邮件系统电子订票系统网上购物系统网上报税等系列电子商务应用的签名认证服务如果需要发送添加数字签名的安全电子邮件, 首先启动 Outlook Express, 选择工具选项命令中的安全选项卡, 显示如图 10-4 所示的对话框, 选中在对所有待发邮件中添加数字签名, 或在新邮件界面单击工具与数字签名就可以对指定新邮件添加数字签名, 如要能够添加数字签名, 必须首先获取一个数字标识即数字证书图 10-4 Outlook Express 的数据签名数字证书数字证书相当于网上的身份证, 它以数字签名的方式通过第三方权威认证中心 CA(Certificate Authority) 有效地进行网上身份认证, 数字身份认证是基于国际 PKI(Public Key Infrastructure) 公钥基础结构标准的网上身份认证系统, 帮助网上各终端用户识别对方身份和表明自身的身份, 具有真实性和防抵赖的功能, 与物理身份证不同的是, 数字证书还具有安全保密防篡改的特性, 可对网上传输的信息进行有效的保护和安全的传递数字证书一般包含用户的身份信息公钥信息以及身份验证机构 (CA) 的数字签名数据, 身份验证机构的数字签名可以确保证书的真实性, 用户公钥信息可以保证数字信息传输的完整性, 用户的数字签名可以保证信息的不可否认性安全认证系统的逻辑结构如图 10-5 所示授权管理授权数据库管理员身份认证访问控制器访问控制资源用户

5 图 10-5 安全认证系统的逻辑结构数字证书的内容主要有以下两部分 : 1. 申请者的信息 (1) 版本信息 : 用来与 X.509 的将来版本兼容 (2) 证书序列号 : 每一个由 CA 发行的证书必须有一个唯一的序列号 (3)CA 所使用的签名算法 (4) 发行证书 CA 的名称 (5) 证书的有效期限 (6) 证书主题名称 (7) 被证明的公钥信息, 包括公钥算法和公钥的位字符串表示 (8) 包含额外信息的特别扩展 2. 身份验证机构的信息数字证书还包含发行证书 CA 的签名和用来生成数字签名的签名算法随着 Internet 的日益普及, 以网上银行网上购物为代农的电子商务已越来越受到人们的重视, 开始深入到普通百姓的生活中在网上做交易时由于交易双方并不在现场交易, 无法确认双方的合法身份, 同时交易信息是交易双方的商业秘密, 在网上传输时必须既安全, 又保密交易双方一旦发生纠纷, 还必须能够提供仲裁, 所以在网上交易之前必须先去申领一个数字证书目前国内已有几十家提供数字证书的 CA 中心, 如中国人民银行认证中心 (CFCA) 中国电信认证中心(CTCA) 各省市的商务认证中心等, 可以申领的证书一般有个人数字证书单位数字证书安全电子邮件证书代码签名数字证书等, 用户只需携带有关证件到当地的证书受理点, 或者直接到证书发放机构即 CA 中心填写申请表并进行身份审核, 审核通过后交纳一定费用就可以得到装有证书的相关介质 ( 软盘 IC 卡或 Key) 和一个写有密码口令的密码信封用户还需登录指定的相关网站下载证书私钥, 然后就可以在网上使用数字证书了可以得到数字 ID 的权威认证机构 : Verisign 是领先的数字身份验证产品和服务提供商通过 VeriSign 的优惠活动, Outlook 用户可以得到一个免费测试的数字 ID 使用安全电子邮件时, 您可以用它来向商业伙伴朋友和在线服务确定地标识您自己, 或接收加密邮件 VeriSign, Inc. 和 VeriSign 证书准则声明 VeriSign 服务包括 : 用于 SSL 的 Internet 信息服务器 (IIS) 和 Internet 浏览器客户证书用于 Outlook Express 和 Outlook 98 Outlook 2000 的 S/MIME 证书用于为银行启用 128 位加密的 SGC 证书, 以及用于对您的 Active-X 应用程序数字签名的 Authenticode 证书和时间戳记服务 GlobalSign 是证书权威 (CA), 用其私有密匙来签署和管理数字证书 GlobalSign 进行认证的策略和过程包括在 GlobalSign (CPS) 证书准则中 GlobalSign 按照此处描述的功能开展工作, 同时也遵守有关的法律及国际标准和传统 BT 为拥有网站和 Intranet 的公司提供安全服务器证书, 为 Outlook Express 和 Outlook 98 提供个人数字证书这些证书通过 VeriSign Global Trust Network 发布, 允许 Intranet Extranet 和 Internet 应用程序间的全球相互操作性 British Telecommunications 证书准则声明 Thawte Certification 为个人提供免费证书以对电子邮件签名和加密这些证书被目前 Internet 上主要的邮件客户承认和信赖 Thawte 是一家全球性的 CA, 已经认证了世界上 30% 的 Internet 电子商务服务器

6 防火墙技术防火墙 (Firewall) 是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合, 对内部网络和外部网络之间的通信进行控制, 通过监测和限制跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的结构信息和运行情况, 用于防止发生不可预测的潜在破坏性的入侵或攻击, 这是种行之有效的网络安全技术防火墙通常是运行在一台计算机上的一个计算机软件, 主要保护内部网络的重要信息不被非授权访问非法窃取或破坏, 并记录了内部网络和外部网络进行通信的有关安全日志信息, 如通信发生的时间允许通过数据包和被过滤掉的数据包信息等将局域网络放置于防火墙之后可以有效阻止来自外界的攻击例如一台 www 代理服务器防火墙它不是直接处理请求, 而是验证请求发出者的身份请求的目的地和请求的内容, 如果一切符合要求的话这个请求会被批准送到真正的 www 服务器上当真正的 www 服务器处理完这个请求后并不直接把结果发送给请求者, 而把结果送到代理服务器, 代理服务器会按照事先的规则检查这个结果是否违反了安全策略, 当一切都验证通过后, 返回结果才会真正地送到请求者的手里企业在把公司的局域网接入 Internet 时, 肯定不希望让全世界的人随意翻阅公司内部的工资单个人资料或客户数据库即使在公司内部, 同样也存在这种数据非法存取的可能性, 例如一些对公司不满的员工 : 可能会修工资表或财务报告而在设置了防火墙以后, 就可以对网络数据的流动实现有效的管理 : 允许公司内部员工可以使用电子邮件进行 web 浏览以及文件传输等服务, 但不允许外界随意访问公司内部的计算机, 同样还以限制公司中不同部门相互之间的访问, 新一代的防火墙还可以阻止网络内部人员将敏感数据向外传输, 限制访问外部网络的一些危险站点大部分防火墙软件都可以与防病毒软件搭配实现扫毒功能, 有的防火墙则直接集成了扫毒功能对于个人计算机可以用防病毒软件建立病毒防火墙例如, 金山公司提供的病毒防火墙以及瑞星公司提供的病毒防火墙都可以达到在线检测病毒, 只要发现病毒的症状即可告警并提示处理方法按照防火墙实现技术的不同可以将防火墙分为以下几种主要的类型 : 1. 包过滤防火墙数据包过滤是指在网络层对数据包进行分析选择过滤选择的依据是系统内设置的访问控制表又叫规则表, 规则表指定允许哪些类型的数据包可以流入或流出内部网络通过检查数据流中每一个 IP 数据包的源地址目的地址所用端口号协议状态等因素或它们的组合来确定是否允许该数据包通过包过滤防火墙一般可以直接集成在路由器上在进行路由选择的同时完成数据包的选择与过滤, 也可以由一台单独的计算机来成数据包的过滤数据包过滤防火墙的优点是速度快逻辑简单成本低易于安装和使用, 网络性能和透明度好, 广泛地应用于 Cisco 和 Sonic System 等公司的路由器上缺点是配置困难, 容易出现漏洞, 而且为特定服务开放的端口存在着潜在的危险例如天网个人防火墙就属于包过滤类型防火墙, 根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析监控和管理, 有效地提高了计算机的抗攻击能力 2. 应用代理防火墙应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段, 使得网络内部的客户不直接从外部的服务器通信防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现, 优点是外部计算机的网络链路只能到达代理服务器, 从而起到隔离防火墙内外计算机系统的作用 ; 缺点是执行速度慢, 操作系统容易遭到攻击代理服务在实际应用中比较普遍, 如学校校园网的代理服务器一端接入 Internet, 另

7 一端接入内部网在代理服务器上安装一个实现代理服务的软件, 如 wingate Pro Microsoft Proxy Server 等, 就能起到防火墙的作用 3. 状态检测防火墙状态检测防火墙又叫动态包过滤防火墙状态防火墙在网络层由一个引截获数据包并抽取出与应用层状态有关的信息, 以此作为依据来决定对该数据包是接受还是拒绝检查引擎维护一个动态的状态信息表并对后续的数据包进行检查, 一旦发现任何连接的参数有意外变化, 该连接就被终止状态检测防火墙克服了包过滤防火墙应用代理防火墙的局限性, 能够根据协议端口及 IP 数据包的源地址目的地址的具体情况来决定数据包是否可以通过在实际应用中, 一般综合采用以上几种技术, 使防火墙产品能够满足对安全性高效性适应性和易管理性的要求, 用集成防毒软件的功能来提高系统的防病毒能力和抗攻击能力, 例如 : 瑞星企业级防火墙 RVF 100 就是一个功能强大安全性高的混合型防火墙, 它集网络层状态包过滤应用层专用代理敏感信息的加密传输和详尽灵活的日志审计等多种安全技术于一身可根据用户的不同需求, 提供强大的访问控制信息过滤代理服务和流量统计等功能防火墙设计时的安全策略一般有两种方式 : 一种是没有被允许的就是禁止 ; 另一种是没有被禁止的就是允许如果采用第一种安全策略来设计防火墙的过滤规则, 其安全性比较高, 但灵活性差只有被明确允许的数据包才能跨越防火墙, 所有其他数据包都将被丢弃 : 而第二种安全策略则允许所有没有被明确禁止的数据包通过防火墙, 这样做当然灵活方便但同时也存在着很大的安全隐患, 在实际应用中一般需要综合考虑以上两种策略, 尽可能做到既安全又灵活防火墙是网络安全技术中非常重要的一个因素, 但不等于装了防火墙就可以保证系统百分之百的安全, 从此高枕无忧, 防火墙仍存在许多的局限性防火墙防外不防内火墙一般只能对外屏蔽内部网络的拓扑结构, 封锁外部网上的用户连接内部网上的重要站点或某些端口, 对内也可屏蔽外部的一些危险站点, 但是防火墙很难解决内部网络人员的安全问题例如, 内部网络管理人员蓄意破坏网络的物理设备, 将内部网络的敏感数据拷贝到软盘等防火墙将无能为力据统计, 网络上的安全攻击事件有 70% 以上来自网络内部人员的攻击防火墙难于管理和配置容易造成安全漏洞, 由于防火墙的管理和配置相当复杂对防火墙管理人员的要求比较高, 除非管理人员对系统的各个设备 ( 如路由器代理服务器网关等 ) 都有相当深刻的了解, 否则在管理上有所疏忽是在所难免的

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP # iptables 默认安全规则脚本一 #nat 路由器 ( 一 ) 允许路由 # iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT ( 二 ) DNAT 与端口转发 1 启用 DNAT 转发 # iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 dprot 422 -j DNAT to-destination