网络安全的关键技术

6.1.5　网络安全的关键技术

为了提高网络系统的安全性，研究人员开发了多种网络安全技术和协议，下面简要介绍几种。

（1）防火墙（Firewall）技术

防火墙是在两个网络之间执行控制策略的系统，该系统或者是软件，或者是硬件，还可以是二者并用。为一个地理上比较集中的网络提供抵抗外部侵袭的能力，是一种被广泛使用的安全技术。

防火墙的基本思想是进行网络访问控制，阻止所有网络间不受欢迎的通信，而允许那些可接受的通信通过，即它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。

目前，防火墙技术主要有分组过滤和代理服务两种类型。

①分组过滤：这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单，即借助数据分组中的IP地址确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过。防火墙的职责就是根据访问表（或黑名单）对进出路由器的分组进行检查和过滤，凡符合要求的放行，不符合的拒之门外。这种防火墙简单易行，但不能完全有效地防范非法攻击。目前，80%的防火墙都是采用这种技术。

②代理服务：是一种基于代理服务的防火墙，它的安全性高，增加了身份认证与审计跟踪功能，但速度较慢。

所谓审计跟踪是对网络系统资源的使用情况提供一个完备的记录，以便对网络进行完全监督和控制，通过不断收集与积累有关出入网络的安全事件记录，并有选择地对其中的某些进行审计跟踪，发现可能的非法行为并提供有力的证据，然后以秘密的方式向网上的防火墙发出有关信息（如黑名单等）。

详细内容请参阅第七章内容。

（2）访问控制技术

除了计算机网络硬设备之外，网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者，如果它具有安全的控制策略和保护机制，便可以将非法入侵者拒之门外。否则，非法入侵者便可攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制，即确保主体对客体的访问只能是授权的，未经授权的访问是不允许的，而且操作是无效的。因此，授权策略和授权机制的安全性显得特别重要。

为此，许多学者提出了众多的安全模型，为网络操作系统的安全性设计提供了理论基础，在这些基础上形成了多种安全控制与安全保护机制，其中最著名的有访问控制矩阵模型和BLP多级安全模型。

对客体实行安全保护是网络操作系统的重要内容。保护可以从以下几个方面加以考虑。

①物理隔离：使必须隔离的进程使用不同的物理客体。

②时间隔离：使具有不同安全要求的进程在不同的时间运行。

③逻辑隔离：实施存取控制，使进程不能存取允许范围以外的客体。

④密码隔离：使进程以一种其他进程不能解密的方式隐蔽数据以及计算。

用户身份认证是网络操作系统安全保密的第一道设防。如果非法入侵者攻破了这一道防线，则许多其他保护措施将被瓦解。目前，多数网络操作系统对用户的身份认证采用口令方式，然而许多口令系统是不安全的。采用单向函数和数据签名技术可以提高口令系统的安全性。完善的身份认证应该是用户身份和系统身份的对等相互认证。基于用户生理特征的身份认证是安全性极高的认证方法，然而由于技术复杂、成本高而不能普遍应用。一种安全性和成本都较适合的身份认证是基于智能卡的身份认证，它可实现一种基于零知识证明的人机交互认证。

（3）网络安全协议控制

网络协议安全性问题是计算机网络的特殊问题。网络协议对于计算机网络的重要性是众所周知的，但有许多人却不大注意网络协议的安全性问题。如果网络协议不安全，即使采用的密码算法是牢不可破的，则敌手也可以毫不费力地获得秘密信息。

SSL/SHTTP技术是在电子商贸活动中发展起来的。网络上的商业活动是安全性最敏感的地方，为了推广电子商贸活动，美国成立了商业Internet联盟，并组建了Commerce Net组织、推进Internet上的电子商贸活动。Internet上开展商贸活动所必须解决的首要难题就是安全性问题，因此，商业Internet联盟投资Terisa公司进行电子商贸安全的研究，SHTTP是Terisa在HTTP基础上扩充并增加了安全功能的结果，它限于维护同WWW服务器之间的通信安全。Netscape公司设计的网络安全协议SSL（Secme Socket Layer）则是作为传输通信协议TCP/IP上的安全协议实现的。SSL和SHTTP这两种协议互有长处，有融合成为统一的协议产品的趋势。

SHTTP是HTTP的超集，可以采用多种方式封装信息，它的封装包括加密、签名和基于MAC的认证。并且一个消息可以被反复封装加密。SHTTP还定义了头信息来进行密钥传输、认证传输和相似的管理功能。SHTTP可以支持多种加密协议，还为程序员提供了灵活的编程环境。SHTTP并不依赖于特定的密钥证明系统，它目前支持RSA、带内和带外以及Kerberos密钥交换。密钥证明可以由信息包提供，也可以通过其他方式得到。

SSL协议的目标是提供两个应用间通信的保密和可靠性。SSL由两层组成：低层是SSL记录层，用于封装不同的上层协议，其中一个被封装的协议即SSL握手协议，它可以让服务和客户在传输应用数据之前，协商加密算法和加密键。SSL独立于应用协议，因而上层应用可能叠加在SSL协议上。

因为SSL和SHTTP并不排斥，所以可以在服务器和客户端同时实现支持。但最终两者必将融合成一个统一的协议。

SSL的安全协议主要集中在它的握手协议上。每一个希望提供服务的厂家需要向CA（Certification Authority）申请证明书（Certificate），在CA检验申请合法后，就在申请上加一个数字签名，作为证明书返回给申请厂家。在WWW浏览器中，有CA用于鉴名的密钥，可以用来检验服务器是否合法。

（4）其他技术

①智能卡技术

智能卡（Smart Card）又称IC卡（Integrated Circuit Card，集成电路卡）。1974年法国人Roland Moreno为了将一些个人信息存放在一个便于携带的存储媒体上，推出了将一个集成电路芯片嵌入一块塑料基片上构成一张存储卡的构想。此后，他按这种方法制作了一张卡片，这就是世界上第一张IC卡。但由于当时集成电路技术水平所限，市场也没有迫切的需求，IC卡的想法并未立即付诸实际。后来随着集成电路技术的发展，芯片的集成度、容量、可靠性、安全性都有了很大的提高，使得IC卡的生产成为现实，应用领域也更加广阔。从1987年开始，国际标准化组织相继制定和颁布了一系列IC卡的国际标准，如ISO7816-3，ISO7816-4。从而为IC卡的普及和推广创造了条件。

将具有数据存储、数据处理、安全保密等功能的集成电路芯片嵌入到一张塑料基片上，便构成了智能卡。由于它除存储数据外，还有运算、处理、控制能力，被认为是目前世界上最小的个人计算机。IC卡不仅存储容量大而且安全可靠，其存储空间划分为可读可写、只读、只写等区域，以存储不同类型的数据。有的可设有多级密码，以便进行访问控制，而且当核对密码多次不正确时自杀，以保护数据不被非法访问。对于具有CPU的IC卡，由于其具有处理能力，因而可采用更多的安全保密措施，如数据加密、数字签名、零知识交互认证等，从而使安全保密性能达到更高的水平。

由于IC卡的存储容量大，安全保密性能好，因而被广泛作为用户的身份凭证。如网络的入网证、银行的信用卡、机要部门的出入证等。

②网络分段

网络分段也是保护网络信息安全的重要措施。网络分段可分为物理分段和逻辑分段：网络可从物理上依据一定的规则分为若干段，用具有一定访问控制能力的交换器连接各段，从而起到一定的安全保护作用。逻辑分段则具有更强的安全保护作用，方法是将网络分成若干子网，将设置好访问表的路由器连接各子网，用以控制各子网间的访问。