【導(dǎo)讀】裊蒂薁螂羈芅蕆袁肀蒀莃袀膂芃螞衿袂肆蚈袈肄芁薄袇膆膄蒀袇袆莀莆袆羈膂蚄裊肁莈薀羄膃膁蒆羃袃莆莂羅腿螁膇莄蚇羈芀芇薃羀罿蒃葿薆肂芆蒞薅膄蒁蚃蚅襖芄蕿蚄羆葿蒅蚃肈節(jié)莁螞芀肅螀蟻羀莀蚆蝕肂膃薂蠆膅荿蒈蠆襖膂莄螈羇莇蚃螇聿膀蕿螆膁蒞薅螅羈膈蒁螄肅蒄莆螃膆芆蚅螃裊蒂薁螂羈芅蕆袁肀蒀莃袀膂芃螞衿袂肆蚈袈肄芁薄袇膆膄蒀袇袆莀莆袆羈膂蚄裊肁莈薀羄膃膁蒆羃袃莆莂羅腿螁膇莄蚇羈芀芇薃羀罿蒃葿薆肂芆蒞薅膄蒁蚃蚅襖芄蕿蚄羆葿蒅蚃肈節(jié)莁螞芀肅螀蟻羀莀蚆蝕肂膃薂蠆膅荿蒈蠆襖膂莄螈羇莇蚃螇聿膀蕿螆膁蒞薅螅羈膈蒁螄肅蒄莆螃膆芆蚅螃裊蒂薁螂羈芅蕆袁肀蒀莃袀膂芃螞衿袂肆蚈袈肄芁薄袇膆膄蒀袇袆莀莆袆羈膂蚄裊肁莈薀羄膃膁蒆羃袃莆莂羅腿螁膇莄蚇羈芀芇薃羀罿蒃葿薆肂芆蒞薅膄蒁蚃蚅襖芄蕿蚄羆葿蒅蚃肈節(jié)莁螞芀肅螀蟻羀莀蚆蝕肂膃薂蠆膅荿蒈蠆襖膂莄螈羇莇蚃螇聿膀蕿螆膁蒞薅螅羈膈蒁螄肅蒄莆螃膆芆蚅螃裊蒂薁螂羈芅蕆袁肀蒀莃袀膂芃螞衿袂肆蚈袈肄芁

　　

【正文】 用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在 某些已知的數(shù)學(xué)難題之上，是計算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是 RSA公鑰密碼體制。 RSA算法 RSA算法是 Rivest、 Shamir和 Adleman于 1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在 RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。 RSA算法的描述如下： 公開密鑰： n=pq(p、 q分別為兩個互異的大素數(shù)， p、 q必須保密 ) e與（ p1） (q1)互素 17 私有密鑰： d=e1 {mod(p1)(q1)} 加密： c=me(mod n),其中 m為明文， c為密文。 解密： m=cd(mod n) 利用目前已經(jīng)掌握的知識和理論，分解 2048bit的大整數(shù)已經(jīng)超過了 64位計算機(jī)的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。 注冊與認(rèn)證管理 認(rèn)證機(jī)構(gòu) CA（ Certification Authorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由 CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明 —證書，任何相信該 CA的人，按照第三方信任原 則，也都應(yīng)當(dāng)相信持有證明的該用戶。 CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強(qiáng)安全性的 CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個 PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是 CA能否得到市場認(rèn)同的一個關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的 CA產(chǎn)品兼容。 注冊機(jī)構(gòu) RA（ Registration Authority）是用戶和 CA的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是 CA頒發(fā)證書的基礎(chǔ)。 RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個 PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的 RA系統(tǒng)。 密鑰備份和恢復(fù) 為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個 PKI 系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。 18 證書管理與撤消系統(tǒng) 證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制，隨時查詢被撤消的證書。 5. 安全技術(shù)的研究 安全技術(shù)的研究現(xiàn)狀和動向 我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技 術(shù)和計算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機(jī)整體。根據(jù)防火墻所采用的技術(shù)不同 ,我們可以將它分為四種基本類型 :包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換 —NAT、代理型和監(jiān)測型。 包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品 ,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以 “包 ”為單位進(jìn)行傳輸?shù)?,數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包 ,每一個數(shù)據(jù)包中都 會包含一些特定信息 ,如數(shù)據(jù)的源地址、目標(biāo)地址、 TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “包 ”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包 ,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點是簡單實用 ,實現(xiàn)成本較低 ,在應(yīng)用環(huán)境比較簡單的情況下 ,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。 19 但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù) ,只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行 判斷 ,無法識別基于應(yīng)用層的惡意侵入 ,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造 IP 地址 ,騙過包過濾型防火墻。 代理型 代理型防火墻也可以被稱為代理服務(wù)器 ,它的安全性要高于包過濾型產(chǎn)品 ,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間 ,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看 ,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器 。而從服務(wù)器來看 ,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時 ,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器 ,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù) 據(jù) ,然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道 ,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點是安全性較高 ,可以針對應(yīng)用層進(jìn)行偵測和掃描 ,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響 ,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置 ,大大增加了系統(tǒng)管理的復(fù)雜性。 實際上 ,作為當(dāng)前防火墻產(chǎn)品的主流趨勢 ,大多數(shù)代理服務(wù)器 (也稱應(yīng)用網(wǎng)關(guān) )也集成了包過濾技術(shù) ,這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢 。由于這種產(chǎn)品是基于應(yīng)用的 ,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如 ,它可以過濾掉 FTP 連接中的 PUT 命令 ,而且通過代理應(yīng)用 ,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點 ,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。 20 結(jié)束語 互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人民不可或缺的工具，其發(fā)展速度也快得驚人，以此而來的攻擊破壞可謂層出不窮，為了有效的防止入侵把損失降到最低，我們必須時刻注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的網(wǎng)絡(luò)體系完 善可靠，在 INTERNET 為我們提供了大量的機(jī)會的同時 ,也在安全性方面帶給我們嚴(yán)峻的挑戰(zhàn) .我們不能因為害怕挑戰(zhàn)而拒絕它 ,否則會得不償失，信息安全是一個國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，我們致力于結(jié)合本國家 的網(wǎng)絡(luò)特點 ,制定妥善的網(wǎng)絡(luò)安全策略 ,將 INTERNET 的不安全性降至現(xiàn)有條件下的最低點 ,讓它為我們的工作和現(xiàn)代化建設(shè)更好的服務(wù)。 21 參 考 文 獻(xiàn) [1]雷震甲 . 網(wǎng)絡(luò)工程師文獻(xiàn) 北京 清華大學(xué)出版社 [2] 黎連業(yè)、張維、向東明 . 路由器及其應(yīng)用技術(shù) 北京 清華大學(xué)出版社 [3] Andrew . 計算機(jī)網(wǎng)絡(luò) 第四版 北京 清華大學(xué)出版社 [4] 謝希仁 .計算機(jī)網(wǎng)絡(luò) .電子工業(yè)出版社 [5] 李偉 ．網(wǎng)絡(luò)安全實用技術(shù)標(biāo)準(zhǔn)教程 北京 清華大學(xué)出版社 [6] 褚建立、劉彥舫 ．計算機(jī)網(wǎng)絡(luò)技術(shù) 北京 清華大學(xué)出版社 22 致 謝 在論文即將完成之際，回顧緊張但又充實的學(xué)習(xí)和設(shè)計過程，本人在此向所有關(guān)心我的及幫助我的老師和同學(xué)們致以最真誠的感謝。 在本次畢業(yè)設(shè)計中，我從指導(dǎo)老師身上學(xué)到了很多東西。他認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺。他無論在理論上還是在實踐中，都給與我很大的幫助，使我得到很大的提高，這對于我以后的工作和學(xué)習(xí)都有一種巨大的幫助，在此感謝他耐心的輔導(dǎo)。在撰寫論文階段，他幾次審閱我們的論文，提出了 許多寶貴意見，沒有他的指導(dǎo)，我們就不能較好的完成課題設(shè)計的任務(wù)。 另外，我還要感謝在這幾年來對我有所教導(dǎo)的老師，他們孜孜不倦的教誨不但讓我學(xué)到了很多知識，而且讓我掌握了學(xué)習(xí)的方法，更教會了我做人處事的道理，在此表示感謝。同時，在論文設(shè)計過程中還有同班的同學(xué)也給了我不少幫助，這里一并表示感謝。