有三種網絡安全機制。概述:
隨著TCP/IP協議組在互聯網上的廣泛應用,信息技術和網絡技術發展迅速。隨之而來的是安全風險的急劇增加。為了保護國家公共信息網絡和企業內外網信息數據的安全,應大力發展基於信息網絡的安全技術。
信息與網絡安全技術的目標
由於互聯網的開放性、連接性和自由性,用戶在享受各種擁有信息資源的同事的同時,也存在著自己的秘密信息可能被侵犯或惡意破壞的危險。信息安全的目標是保護可能被侵犯或破壞的機密信息不被非法的外部操作者控制。具體要實現:機密性、完整性、可用性、可控性等目標。
網絡安全體系結構
在開放系統互連參考模型(OSI/RM)的基礎上,國際標準化組織(ISO)在1989中制定了解決OSI環境下網絡安全的規則:安全體系結構。它擴展了基本參考模型,增加了安全問題的各個方面,為開放系統的安全通信提供了壹種概念性的、功能性的和壹致的方式。OSI安全體系包括七個層次:物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。所有級別的安全機制是:
1,加密機制
衡量壹個加密技術的可靠性主要看解密過程的難易程度,而解密過程的難易程度又取決於密鑰的長度和算法。
1)對稱密鑰加密系統對稱密鑰加密技術使用相同的密鑰對數據進行加密和解密,發送方和接收方使用相同的密鑰。對稱密鑰加密技術的典型算法是DES(數據加密標準)。DES的密鑰長度為56bit,其加密算法是公開的,其保密性只取決於密鑰的保密性。優點是加密處理簡單,加解密速度快。缺點:密鑰管理困難。
2)非對稱密鑰加密系統非對稱密鑰加密系統,又稱公鑰私鑰系統。其特點是加密和解密使用不同的密鑰。
(1)非對稱加密系統的關鍵是找到對應的公鑰和私鑰,用某種數學方法使加密過程成為壹個不可逆的過程,即用公鑰加密的信息只能用與公鑰配對的私鑰解密;反之亦然。
(2)非對稱密鑰加密的典型算法是RSA。RSA算法的理論基礎是歐拉數論定律,其安全性基於大數分解的困難性。
優點:(1)解決了密鑰管理問題,通過獨特的密鑰分發系統,當用戶數量大幅增加時,密鑰不會散開;(2)由於事先已經分配了密鑰,通信過程中不需要傳輸密鑰,安全性大大提高;(3)加密強度高。
缺點:加密解密速度慢。
2.安全認證機制
在電子商務活動中,為了保證商務、交易和支付活動的真實性和可靠性,需要有壹種機制來驗證活動各方的真實身份。安全認證是維持電子商務活動正常進行的保障,它涉及到安全管理、加密處理、PKI和認證管理等重要問題。目前有壹套完整的技術方案可以應用。采用PKI技術、X.509證書標準、X.500信息發布標準等國際技術標準,可以安全地頒發證書,進行安全認證。當然,認證機制也需要法律法規的支持。安全認證所需的法律問題包括信用立法、電子簽名法、電子交易法、認證管理法等。
1)數字摘要
數字摘要利用單向哈希函數對信息進行變換得到固定長度的摘要,在傳輸信息時與文件壹起發送給接收方;接收方收到文件後,以同樣的方式進行轉換操作,得到另壹個摘要;然後把自己操作得到的總結和發過來的總結對比壹下。這種方法可以驗證數據的完整性。
2)數字信封
數字信封使用加密技術來確保只有特定的收件人可以閱讀信件的內容。具體方法是:信息的發送方用壹個對稱密鑰對信息進行加密,然後用接收方的公鑰對這個對稱密鑰進行加密(這部分稱為數字信封),然後和信息壹起發送給接收方;接收方首先用相應的私鑰打開數字信封以獲得對稱密鑰,然後使用對稱密鑰解密信息。
3)數字簽名
數字簽名是指發送者對電子形式的消息或文件進行簽名,表明簽名者對消息或文件的內容負責。數字簽名綜合使用了數字摘要和非對稱加密技術,可以保證數據的完整性和真實性。
4)數字時間戳
數字時間戳服務(DTS)是壹種網絡安全服務,提供電子文檔的時間認證。它由壹個專門機構(DTS)提供。
5)數字證書
數字標識包含了證書持有人的相關信息,是在網絡上證明證書持有人身份的壹種數字標識。它是由權威認證中心(CA)頒發的。CA是專門驗證交易各方身份的權威機構,它向交易中涉及的實體頒發數字證書。數字證書由CA進行數字簽名,任何第三方都不能修改證書的內容。交易各方通過出示他們的數字證書來證明他們的身份。
在電子商務中,數字證書主要包括客戶證書和商家證書。客戶端證書用於在電子商務活動中證明客戶端的身份,壹般安裝在客戶端瀏覽器上。商家證書是發給為客戶提供服務的商家的,壹般安裝在商家的服務器中,向客戶證明商家的合法身份。
3.訪問控制策略
訪問控制是網絡安全防範和保護的主要策略,其主要任務是保證網絡資源不被非法使用和訪問。也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用。下面我們描述幾種常見的訪問控制策略。
1)網絡訪問控制
網絡訪問控制為網絡訪問提供了第壹層訪問控制。它控制哪些用戶可以登錄到服務器並獲得網絡資源,以及用戶何時何地訪問網絡。
用戶的訪問控制可以分為三個步驟:用戶名識別和驗證、用戶密碼識別和驗證、用戶賬號默認限制檢查。只有通過各種檢查點,用戶才能順利訪問網絡。
驗證用戶名和密碼是防止非法訪問的第壹道防線。用戶登錄時,首先輸入用戶名和密碼,服務器會驗證輸入的用戶名是否合法。如果驗證合法,繼續驗證輸入的密碼,否則,用戶將被拒絕入網。用戶密碼是用戶訪問網絡的關鍵。為了保證密碼的安全性,密碼不應顯示在顯示屏上,密碼長度應不少於6個字符,密碼字符最好是數字、字母和其他字符的混合。用戶的密碼必須加密,加密方法有很多種,其中最常見的有:基於單向函數的密碼加密、基於測試模式的密碼加密、基於公鑰加密方案的密碼加密、基於平方剩余的密碼加密、基於多項式* *、基於數字簽名方案的密碼加密。用戶還可以使用壹次性用戶密碼或便攜式驗證器(如智能卡)來驗證用戶的身份。
2)網絡的訪問控制
網絡訪問控制是針對非法網絡操作的安全保護措施。用戶和用戶組被賦予某些權利。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。您可以指定用戶可以對這些文件、目錄和設備做什麽。我們可以根據用戶的訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)壹般用戶,系統管理員根據實際需要分配操作權限;(3)審計用戶,負責網絡安全控制和資源使用情況審計。用戶對網絡資源的訪問權限可以通過訪問控制列表來描述。
3)目錄級安全控制
網絡應該允許用戶控制他們對目錄、文件和設備的訪問。用戶在月記錄級別指定的權限對所有文件和子目錄都有效,用戶還可以進壹步指定該目錄下子目錄和文件的權限。通常有八種對目錄和文件的訪問權限:管理員、讀、寫、創建、擦除、修改、文件搜索和訪問控制。用戶對文件或目標的有效權限取決於以下兩個因素:用戶的受托者分配、用戶組的受托者分配和用戶繼承權限掩碼取消的權利。網絡系統管理員應為用戶指定適當的訪問權限,以控制用戶對服務器的訪問。八種訪問權限的有效組合,可以使用戶有效地完成工作,同時可以有效地控制用戶對服務器資源的訪問,從而加強網絡和服務器的安全性。
隨著計算機技術和通信技術的發展,計算機網絡將越來越成為工農業和國防中信息交流的重要手段,並滲透到社會生活的各個領域。因此,認識到網絡的脆弱性和潛在威脅,並采取強有力的安全策略來保證網絡信息傳輸的安全將是非常重要的。