【正文】 od n) 利用目前已經(jīng)掌握的知識和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機(jī)的運(yùn)算能力，因此在目前和預(yù)見的將來，它是足夠安全的。 注冊與認(rèn)證管理 認(rèn)證機(jī)構(gòu) CA（Certification Authorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場認(rèn)同的一個關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容。 注冊機(jī)構(gòu) RA（Registration Authority）是用戶和CA的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。 密鑰備份和恢復(fù) 為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。 證書管理與撤消系統(tǒng) 證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制，隨時查詢被撤消的證書。第五章 安全技術(shù)的研究 安全技術(shù)的研究現(xiàn)狀和動向我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機(jī)整體。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。 包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點(diǎn)是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。 代理型代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器。而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。 實際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。結(jié)束語互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人民不可或缺的工具，其發(fā)展速度也快得驚人，以此而來的攻擊破壞可謂層出不窮，為了有效的防止入侵把損失降到最低，我們必須時刻注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的網(wǎng)絡(luò)體系完善可靠，在INTERNET為我們提供了大量的機(jī)會的同時,。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，我們致力于結(jié)合本國家的網(wǎng)絡(luò)特點(diǎn),制定妥善的網(wǎng)絡(luò)安全策略,將INTERNET的不安全性降至現(xiàn)有條件下的最低點(diǎn),讓它為我們的工作和現(xiàn)代化建設(shè)更好的服務(wù).致 謝在論文即將完成之際，回顧緊張但又充實的學(xué)習(xí)和設(shè)計過程，本人在此向所有關(guān)心我的及幫助我的老師和同學(xué)們致以最真誠的感謝。在本次畢業(yè)設(shè)計中，我從指導(dǎo)老師黃老師。身上學(xué)到了很多東西。他認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺。他無論在理論上還是在實踐中，都給與我很大的幫助，使我得到很大的提高，這對于我以后的工作和學(xué)習(xí)都有一種巨大的幫助，在此感謝他耐心的輔導(dǎo)。在撰寫論文階段，他幾次審閱我們的論文，提出了許多寶貴意見，沒有他的指導(dǎo)，我們就不能較好的完成課題設(shè)計的任務(wù)。另外，我還要感謝在這幾年來對我有所教導(dǎo)的老師，他們孜孜不倦的教誨不但讓我學(xué)到了很多知識，而且讓我掌握了學(xué)習(xí)的方法，更教會了我做人處事的道理，在此表示感謝。同時，在論文設(shè)計過程中還有同班的同學(xué)也給了我不少幫助，這里一并表示感謝。參 考 文 獻(xiàn)[1]雷震甲 . 網(wǎng)絡(luò)工程師文獻(xiàn) 北京 清華大學(xué)出版社[2] 黎連業(yè)、張維、向東明 . 路由器及其應(yīng)用技術(shù) 北京 清華大學(xué)出版社[3] Andrew . 計算機(jī)網(wǎng)絡(luò) 第四版 北京清華大學(xué)出版社[4] 遠(yuǎn)望圖書部 .局域網(wǎng)一點(diǎn)通 人民交通出版社[5] 李偉　．網(wǎng)絡(luò)安全實用技術(shù)標(biāo)準(zhǔn)教程 北京 清華大學(xué)出版社[6] 褚建立、劉彥舫?。?