時間:2022-04-17 13:25:49
導語:在加密技術論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
1.1計算機系統存在漏洞
當前,大部分計算機的系統為Windows系統,只有少數計算機的系統為Linux系統。Windows系統受眾面廣,受網絡攻擊的可能性更大,再加上系統本身存在很多漏洞,嚴重影響了計算機數據信息的安全性。如果黑客攻擊系統所存在的漏洞,就會導致病毒通過漏洞感染計算機。計算機操作系統建設所用的代碼會涉及到匯編、反匯編等底層代碼,并且所有代碼的編寫需要整個團隊來完成,這樣往往在代碼編寫過程中就會出現漏洞,需要用專門的補丁來修復。系統漏洞的存在給計算機的安全使用帶來了極大的威脅,導致銀行賬號、密碼,游戲賬號、密碼等泄露,從而對計算機使用者造成一定的損失。
1.2計算機病毒
計算機病毒具有感染性強、蔓延范圍廣、傳播速度快等特點,是威脅計算機數據安全的重要因素。在病毒進入到計算機程序后,如果將帶有病毒的數據文件應用于計算機網絡傳輸或共享,那么其他計算機在瀏覽或打開此數據文件時也會被感染,出現連鎖式病毒傳播。另外,如果計算機病毒過多,會對計算機操作系統造成十分嚴重的影響,出現死機或者數據丟失等事故。
1.3非正常入侵
計算機網絡具有開放性特點,在互聯網背景下,很多不法分子利用系統本身存在的漏洞非法入侵用戶計算機。非法入侵者一般采取竊聽、監視等手段,獲取計算機網絡用戶的口令、IP包和用戶信息等,然后利用各種信息進入計算機局域網內,并采用冒充系統客戶或者用合法用戶的IP地址代替自己的IP地址等方式,篡改或竊取計算機網絡內的數據信息。
2數據加密技術的應用
2.1密鑰保護
密鑰保護是數據加密中一種常用的加密技術。改變密鑰的表達方式,可提高密文書寫的多變性,體現多層次的加密方式。密鑰保護可分為公鑰保護和私鑰保護兩種方式。通常這兩種方式相互配合,對提高計算機數據信息的安全性具有重要意義。私鑰保護具有一定的局限性,在使用時必須借助公鑰保護來完成整個保護動作。密鑰保護的原理是:當計算機進行數據傳輸時,選用公鑰對需要傳輸的信息進行加密,在用戶接收數據后,需要通過私鑰來完成解密動作,以此來確保傳輸數據的安全性,避免攻擊者非法竊取傳輸過程中的數據。當前,秘鑰保護方式一般用于管理系統和金融系統中,可以完成對私人信息、用戶登錄和訪問過程等方面的保護。
2.2USBkey保護
USBkey是數據加密技術的典型代表,一般用于銀行交易系統中,保證網絡交易環境的安全性。USBkey服務于客戶端到銀行系統,對每項數據信息的傳輸都需要加密處理,避免數據在傳輸過程中受到惡意攻擊。就現狀來看,銀行系統通過計算機網絡來完成工作的概率逐漸上升。USBkey可以保護銀行系統能夠在相對安全的環境中完成交易。在用戶利用計算機網絡進行銀行交易時,USBkey中的加密技術會自動匹配用戶信息,即便用戶行為被跟蹤,攻擊者也無法破譯USBkey中的加密技術,通過加強用戶登錄身份的驗證,保證用戶財務安全。
2.3數字簽名保護
數字簽名保護是比較常用的一種數據加密技術,具有很好的保護效果。數字簽名保護的原理是利用加密、解密過程,識別用戶身份,從而保證數據信息的安全性。數字簽名保護也分為公鑰保護和私鑰保護兩種,如果只使用其中的一種保護方式,會在本質上降低安全保護的效果。因此,通常情況下,常在私鑰簽名處外加一層公鑰保護,提高數字簽名保護的效果。
3結束語
計算機的操作系統是固定不變的,在當前網絡信息化高速發展的現代,計算機操作系統中的各種迅速發展的網絡程序搭載在計算機操作系統中,不同的技術水平互相融合容易出現各種漏洞,這些漏洞如若被病毒和黑客發現,就容易給計算機病毒和黑客入侵計算機系統或程序盜取、破壞信息數據的途徑。入侵的病毒或黑客可能對計算機進行針對性得進行某些操作影響整個網絡系統的運行,對數據相關的個人和機構的數據安全帶來威脅,有時還會破壞計算機的軟硬件設置。網絡的開放性,給實際網絡應用中帶來了許多便利,但是也給不法分子更方便地進行不法行為的途徑。如各種文件的傳遞可能附有病毒,而感染了病毒的計算機不一定能夠及時發現,感染病毒的計算機可能在使用中就泄漏需要保密的信息,或者使計算機系統破壞,甚至使計算機軟硬件損壞以致不能修復,容易造成個人或者企業財產甚至安全問題。我們需要強化計算機的安全防護系統,數據的加密技術可以一定程度上阻礙保密信息的泄漏。
2數據加密技術在計算機網絡安全中的應用
2.1數據加密技術在軟件加密中的應用
軟件是計算機運用不可或缺的組成部分,在計算機的日常運用時,病毒和網絡黑客最常侵入計算機軟件,軟件由于設計上的漏洞也最容易遭受病毒和黑客的入侵。在軟件中應用數據加密技術進行軟件加密,可以對計算機病毒及網絡黑客的入侵進行有效的阻擋。加密程序的執行過程中,加密操作員必須對加密數據進行檢測,避免文件中隱藏有病毒,若是檢測出病毒,必須進行相應處理及檢測軟件、數據和系統的完整性和保密性,遏制病毒的蔓延。因此,數據加密技術在軟件加密中的應用,對計算機網絡安全和信息數據的保護,起到了至關重要的作用。
2.2數據加密技術應用于網絡數據庫加密
現有使用的網絡數據庫管理系統平臺大部分是WindowsNT或者Unix,它們的平臺操作系統的安全評價級別通常為C1級或者C2級,故而計算機擁有相對來說仍然比較脆弱的存儲系統和數據傳輸公共信道,一些保密數據以及各種密碼容易被PC機之類的設備以各種方式竊取、篡改或破壞。
2.3數據加密技術在電子商務中的應用
隨著電子商務的快速興起,現代社會更加信息化,人們的日學習工作生活方式發生了巨大變化。電子商務需以網絡運行為載體,在網絡平臺上才能進行交易,因此電子商務無法擺脫網絡因素存在的各種風險,若是不運用有效的加密技術,交易中的各種隱私信息將會輕易被不法分子竊取,造成交易雙方的重大損失,影響雙方信譽及繼續合作可能性。網絡平臺和交易信息的安全性也影響電子商務的交易安全,應用數字證書、SET安全協議以及數字簽名等數據加密技術,可以提高計算機網絡環境安全,保障雙方交易的相關信息的安全。
2.4數據加密技術應用于虛擬專用網絡
現有許多企業單位大多建立了局域網供內部信息交流,由于各個分支機構的距離位置遠近不同,需要應用一個專業路線聯通各個局域網,達到機構間的網絡信息交流。數據加密技術應用于虛擬專業網絡中時,主要是當數據進行傳輸,虛擬專用網絡能夠被自動保存在路由器中,路由器中的硬件會對其進行加密,加密后的密文再在互聯網中傳播,到達接收數據的路由后,再自動進行解密,使接受者則能夠安全看到數據信息。
3結語
論文摘要:走進新世紀,科學技術發展日新月異,人們迎來一個知識爆炸的信息時代,信息數據的傳輸速度更快更便捷,信息數據傳輸量也隨之增加,傳輸過程更易出現安全隱患。因此,信息數據安全與加密愈加重要,也越來越多的得到人們的重視。首先介紹信息數據安全與加密的必要外部條件,即計算機安全和通信安全,在此基礎上,系統闡述信息數據的安全與加密技術,主要包括:存儲加密技術和傳輸加密技術;密鑰管理加密技術和確認加密技術;消息摘要和完整性鑒別技術。
當前形勢下,人們進行信息數據的傳遞與交流主要面臨著兩個方面的信息安全影響:人為因素和非人為因素。其中人為因素是指:黑客、病毒、木馬、電子欺騙等;非人為因素是指:不可抗力的自然災害如火災、電磁波干擾、或者是計算機硬件故障、部件損壞等。在諸多因素的制約下,如果不對信息數據進行必要的加密處理,我們傳遞的信息數據就可能泄露,被不法分子獲得,損害我們自身以及他人的根本利益,甚至造成國家安全危害。因此,信息數據的安全和加密在當前形勢下對人們的生活來說是必不可少的,通過信息數據加密,信息數據有了安全保障,人們不必再顧忌信息數據的泄露,能夠放心地在網絡上完成便捷的信息數據傳遞與交流。
1信息數據安全與加密的必要外部條件
1.1計算機安全。每一個計算機網絡用戶都首先把自己的信息數據存儲在計算機之中,然后,才進行相互之間的信息數據傳遞與交流,有效地保障其信息數據的安全必須以保證計算機的安全為前提,計算機安全主要有兩個方面包括:計算機的硬件安全與計算機軟件安全。1)計算機硬件安全技術。保持計算機正常的運轉,定期檢查是否出現硬件故障,并及時維修處理,在易損器件出現安全問題之前提前更換,保證計算機通電線路安全,提供備用供電系統,實時保持線路暢通。2)計算機軟件安全技術。首先,必須有安全可靠的操作系統。作為計算機工作的平臺,操作系統必須具有訪問控制、安全內核等安全功能,能夠隨時為計算機新加入軟件進行檢測,如提供windows安全警報等等。其次,計算機殺毒軟件,每一臺計算機要正常的上網與其他用戶交流信息,都必須實時防護計算機病毒的危害,一款好的殺毒軟件可以有效地保護計算機不受病毒的侵害。
1.2通信安全。通信安全是信息數據的傳輸的基本條件,當傳輸信息數據的通信線路存在安全隱患時,信息數據就不可能安全的傳遞到指定地點。盡管隨著科學技術的逐步改進,計算機通信網絡得到了進一步完善和改進,但是,信息數據仍舊要求有一個安全的通信環境。主要通過以下技術實現。1)信息加密技術。這是保障信息安全的最基本、最重要、最核心的技術措施。我們一般通過各種各樣的加密算法來進行具體的信息數據加密,保護信息數據的安全通信。2)信息確認技術。為有效防止信息被非法偽造、篡改和假冒,我們限定信息的共享范圍,就是信息確認技術。通過該技術,發信者無法抵賴自己發出的消息;合法的接收者可以驗證他收到的消息是否真實;除合法發信者外,別人無法偽造消息。3)訪問控制技術。該技術只允許用戶對基本信息庫的訪問,禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時,系統管理員能夠利用這一技術實時觀察用戶在網絡中的活動,有效的防止黑客的入侵。
2信息數據的安全與加密技術
隨著計算機網絡化程度逐步提高,人們對信息數據傳遞與交流提出了更高的安全要求,信息數據的安全與加密技術應運而生。然而,傳統的安全理念認為網絡內部是完全可信任,只有網外不可信任,導致了在信息數據安全主要以防火墻、入侵檢測為主,忽視了信息數據加密在網絡內部的重要性。以下介紹信息數據的安全與加密技術。
2.1存儲加密技術和傳輸加密技術。存儲加密技術分為密文存儲和存取控制兩種,其主要目的是防止在信息數據存儲過程中信息數據泄露。密文存儲主要通過加密算法轉換、加密模塊、附加密碼加密等方法實現;存取控制則通過審查和限制用戶資格、權限,辨別用戶的合法性,預防合法用戶越權存取信息數據以及非法用戶存取信息數據。
傳輸加密技術分為線路加密和端-端加密兩種,其主要目的是對傳輸中的信息數據流進行加密。線路加密主要通過對各線路采用不同的加密密鑰進行線路加密,不考慮信源與信宿的信息安全保護。端-端加密是信息由發送者端自動加密,并進入TCP/IP信息數據包,然后作為不可閱讀和不可識別的信息數據穿過互聯網,這些信息一旦到達目的地,將被自動重組、解密,成為可讀信息數據。
2.2密鑰管理加密技術和確認加密技術。密鑰管理加密技術是為了信息數據使用的方便,信息數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配、保存、更換與銷毀等各環節上的保密措施。網絡信息確認加密技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認方案應該能使:合法的接收者能夠驗證他收到的消息是否真實;發信者無法抵賴自己發出的消息;除合法發信者外,別人無法偽造消息;發生爭執時可由第三人仲裁。按照其具體目的,信息確認系統可分為消息確認、身份確認和數字簽名。數字簽名是由于公開密鑰和私有密鑰之間存在的數學關系,使用其中一個密鑰加密的信息數據只能用另一個密鑰解開。發送者用自己的私有密鑰加密信息數據傳給接收者,接收者用發送者的公鑰解開信息數據后,就可確定消息來自誰。這就保證了發送者對所發信息不能抵賴。
2.3消息摘要和完整性鑒別技術。消息摘要是一個惟一對應一個消息或文本的值,由一個單向Hash加密函數對消息作用而產生。信息發送者使用自己的私有密鑰加密摘要,也叫做消息的數字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發送者,當消息在途中被改變時,接收者通過對比分析消息新產生的摘要與原摘要的不同,就能夠發現消息是否中途被改變。所以說,消息摘要保證了消息的完整性。
完整性鑒別技術一般包括口令、密鑰、身份(介入信息傳輸、存取、處理的人員的身份)、信息數據等項的鑒別。通常情況下,為達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對信息數據的安全保護。
論文摘要:本文針對電子商務安全的要求,分析了電子商務中常用的安全技術,并闡述了數據加密技術、認證技術和電子商務的安全交易標準在電子商務安全中的應用。
所謂電子商務(Electronic Commerce) 是利用計算機技術、網絡技術和遠程通信技術, 實現整個商務(買賣)過程中的電子化、數字化和網絡化。目前,因特網上影響交易最大的阻力就是交易安全問題, 據最新的中國互聯網發展統計報告顯示, 在被調查的人群中只有2.8%的人對網絡的安全性是感到很滿意的, 因此,電子商務的發展必須重視安全問題。
一、電子商務安全的要求
1、信息的保密性:指信息在存儲、傳輸和處理過程中,不被他人竊取。
2、信息的完整性:指確保收到的信息就是對方發送的信息,信息在存儲中不被篡改和破壞,保持與原發送信息的一致性。
3、 信息的不可否認性:指信息的發送方不可否認已經發送的信息,接收方也不可否認已經收到的信息。
4、 交易者身份的真實性:指交易雙方的身份是真實的,不是假冒的。
5、 系統的可靠性:指計算機及網絡系統的硬件和軟件工作的可靠性。
在電子商務所需的幾種安全性要求中,以保密性、完整性和不可否認性最為關鍵。電子商務安全性要求的實現涉及到以下多種安全技術的應用。
二、數據加密技術
將明文數據進行某種變換,使其成為不可理解的形式,這個過程就是加密,這種不可理解的形式稱為密文。解密是加密的逆過程,即將密文還原成明文。
(一)對稱密鑰加密與DES算法
對稱加密算法是指文件加密和解密使用一個相同秘密密鑰,也叫會話密鑰。目前世界上較為通用的對稱加密算法有RC4和DES。這種加密算法的計算速度非常快,因此被廣泛應用于對大量數據的加密過程。
最具代表的對稱密鑰加密算法是美國國家標準局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非對稱密鑰加密與RSA算法
為了克服對稱加密技術存在的密鑰管理和分發上的問題,1976年產生了密鑰管理更為簡化的非對稱密鑰密碼體系,也稱公鑰密碼體系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位發明者(Rivest、Shamir、Adleman)姓名的第一個字母組合而成的。
在實踐中,為了保證電子商務系統的安全、可靠以及使用效率,一般可以采用由RSA和DES相結合實現的綜合保密系統。
三、認證技術
認證技術是保證電子商務交易安全的一項重要技術。主要包括身份認證和信息認證。前者用于鑒別用戶身份,后者用于保證通信雙方的不可抵賴性以及信息的完整性
(一)身份認證
用戶身份認證三種常用基本方式
1、口令方式
這種身份認證方法操作十分簡單,但最不安全,因為其安全性僅僅基于用戶口令的保密性,而用戶口令一般較短且容易猜測,不能抵御口令猜測攻擊,整個系統的安全容易受到威脅。
2、標記方式
訪問系統資源時,用戶必須持有合法的隨身攜帶的物理介質(如存儲有用戶個性化數據的智能卡等)用于身份識別,訪問系統資源。
3、人體生物學特征方式
某些人體生物學特征,如指紋、聲音、DNA圖案、視網膜掃描圖案等等,這種方案一般造價較高,適用于保密程度很高的場合。
加密技術解決信息的保密性問題,對于信息的完整性則可以用信息認證方面的技術加以解決。在某些情況下,信息認證顯得比信息保密更為重要。
(二)數字摘要
數字摘要,也稱為安全Hash編碼法,簡稱SHA或MD5 ,是用來保證信息完整性的一項技術。它是由Ron Rivest發明的一種單向加密算法,其加密結果是不能解密的。類似于人類的“指紋”,因此我們把這一串摘要而成的密文稱之為數字指紋,可以通過數字指紋鑒別其明文的真偽。
(三)數字簽名
數字簽名建立在公鑰加密體制基礎上,是公鑰加密技術的另一類應用。它把公鑰加密技術和數字摘要結合起來,形成了實用的數字簽名技術。
它的作用:確認當事人的身份,起到了簽名或蓋章的作用;能夠鑒別信息自簽發后到收到為止是否被篡改。
(四)數字時間戳
在電子交易中,時間和簽名同等重要。數字時間戳技術是數字簽名技術一種變種的應用,是由DTS服務機構提供的電子商務安全服務項目,專門用于證明信息的發送時間。包括三個部分:需加時間戳的文件的數字摘要;DTS機構收到文件摘要的日期和時間; DTS機構的數字簽名。
(五)認證中心
認證中心:(Certificate Authority,簡稱CA),也稱之為電子商務認證中心,是承擔網上安全電子交易認證服務,能簽發數字證書,確認用戶身份的、與具體交易行為無關的第三方權威機構。認證中心通常是企業性的服務機構,主要任務是受理證書的申請、簽發和管理數字證書。其核心是公共密鑰基礎設(PKI)。
我國現有的安全認證體系(CA)在金融CA方面,根證書由中國人民銀行管理,根認證管理一般是脫機管理;品牌認證中心采用“統一品牌、聯合建設”的方針進行。在非金融CA方面,最初主要由中國電信負責建設。
(六)數字證書
數字證書就是標志網絡用戶身份信息的一系列數據,用于證明某一主體(如個人用戶、服務器等)的身份以及其公鑰的合法性的一種權威性的電子文檔,由權威公正的第三方機構,即CA中心簽發。
以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網絡應用的安全性。
四、電子商務的安全交易標準
(一)安全套接層協議
SSL (secure sockets layer)是由Netscape Communication公司是由設計開發的,其目的是通過在收發雙方建立安全通道來提高應用程序間交換數據的安全性,從而實現瀏覽器和服務器(通常是Web服務器)之間的安全通信。
目前Microsoft和Netscape的瀏覽器都支持SSL,很多Web服務器也支持SSL。SSL是一種利用公共密鑰技術的工業標準,已經廣泛用于Internet。
(二)安全電子交易協議
SET (Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發起,會同IBM、Microsoft等信息產業巨頭于1997年6月正式制定的用于因特網事務處理的一種標準。采用DES、RC4等對稱加密體制加密要傳輸的信息,并用數字摘要和數字簽名技術來鑒別信息的真偽及其完整性,目前已經被廣為認可而成了事實上的國際通用的網上支付標準,其交易形態將成為未來電子商務的規范。
五、總結
網絡應用以安全為本,只有充分掌握有關電子商務的技術,才能使電子商務更好的為我們服務。然而,如何利用這些技術仍是今后一段時間內需要深入研究的課題。
參考文獻:
【關鍵詞】計算機網絡安全;隱患管理維護
【前言】隨著現代科技的不斷發展,信息技術影響力遍及各個行業,計算機網絡應用涉及生活的方方面面,全面推進了社會的進步。但是,網絡也具有兩面性,尤其是其突出的開放性與共享性使得其在使用過程中存在較大的潛在危險,制約計算機網絡優勢的發揮。因此,要加強計算機網絡安全隱患管理與維護工作,制定針對性的發展策略,為擴大計算機網絡安全使用創造優質的條件。
1結合社會發展對計算機網絡安全隱患類型的介紹
1.1黑客攻擊威脅計算機網絡安全,信息可靠性無法保障
隨著科技的進步以及社會的發展,計算機技術深入社會生活。依托計算機技術,實現信息實時傳遞。借助互聯網,完成商品交易。同時,計算機最為基礎的功能是進行信息數據的存儲與管理。由此可見,計算機滲透到社會生活的諸多方面。與此同時,網絡自身突出的開放性也埋下安全隱患。一旦計算機網絡遭受黑客攻擊,勢必誘發程序混亂,威脅計算機系統運行,計算機內部存儲的信息無法實現絕對可靠性。從類型上分析,黑客攻擊涉及兩個方面,即網絡攻擊與網絡偵查。前者通過多種途徑進行網絡數據的損壞,包含欺騙攻擊、協同攻擊以及拒絕服務攻擊等。后者不破壞網絡有效性,但是,借助多種不正當手段獲取價值信
1.2不法者以偽造虛假信息為手段,非法竊取用戶信息
立足計算機網絡,在使用過程中,通常利用自己身份進行信息注冊、登陸等行為,但是,忽視網站安全性,也使得不法分子有機可乘。具體講,他們會對網站信息進行偽造,依靠虛假信息進行用戶登陸,達到竊取用戶身份信息的目的。另外,虛假網站一般是在用戶下載軟件的同時進行捆綁操作,植入木馬,維修用戶信息安全,造成不可預估的損失。
1.3計算機操作系統自身存在漏洞,擴大計算機遭受侵襲的幾率
對于計算機系統運行,一般借助操作平臺實現。在計算機網絡技術不斷升級更新的過程中,非法訪問的風險也逐漸增高。鑒于操作系統自身漏洞的存在,給不法分子創造機會,以漏洞為跳板,入侵用戶計算機,竊取計算機存儲的數據,數據信息的安全性受到挑戰,網絡安全隱患重重。
1.4使用者安全意識薄弱,操作失誤誘發安全隱患
對于計算機而言,雖然普及率較高,但是,在日常操作中,使用者應用水平不高,技術不熟練,操作不當與失誤現象十分常見,誘發文件損壞或者丟失。另外,使用者安全防范觀念不強,對安全防范措施缺乏全面了解,導致信息泄露,影響網絡應用的安全性與可靠性。
2如何加強計算機網絡安全隱患管理與維護工作
2.1以訪問控制技術為依托,避免遭受惡意訪問
在計算機網絡安全隱患維護工作中,網絡訪問權限的控制是重要方式,目的是維護網絡數據資源的安全性,避免遭受惡意程序的強制訪問。一般情況下,常用技術包含系統資源的集中,系控制、黑名單過濾、數據幀阻止以及數字證書等,達到對訪問權限的目的性控制。其中,網絡訪問控制技術涉及虛擬局域網隔斷、網卡篩選等。
2.2防火墻技術強化對軟硬件的全面防護,增強防御能力
立足當前網絡安全,防火墻技術的應用極具普遍性,主要是對網絡區域進行多區塊隔離,授予差異化訪問控制權限,實現對不同權限等級區塊之間數據包的有序交換。依托一定安全規則進行信息過濾,從而確定區塊之間信息交互的響應情況,強化對整個網絡聯通情況的監督與管理。防火墻技術的應用能夠在很大程度上維護網絡數據的安全性。依托防火墻,計算機硬件與軟件設備得到保護,強化對外部攻擊的有效抵御,穩固計算機操作系統的安全運行,實現對病毒與木馬的攔截。面對病毒等級的不斷提升,防火墻技術也要及時升級與更新,以便更好應對新型病毒的侵害。
2.3采用多種密碼技術,維護信息的安全性
在密碼技術中,比較常見的是加密技術與解密技術。對于加密技術,主要對將外在信息進行隱匿,一旦缺少特定數據,識別與判斷無法形成。解密技術是依托加密原則進行還原對稱加密與非對稱加密也是互聯網數據加密技術不可或缺的組成部分。前者是在加密與解密過程中使用相同秘鑰,目的是為專屬信息的聯系創造條件。非對稱加密是設置不同的秘鑰,分別由私人與公共掌握,二者存在一定程度的相關性。
2.4積極安裝殺毒軟件,實現病毒針對性攔截
立足當前計算機網絡環境,最大的安全隱患主要來自病毒與木馬,一旦遭受入侵,計算機系統很難實現穩定運行。另外,鑒于較強的傳染性,加之較強的爆發性,因此其破壞行為能夠在短時間內進行擴張,威脅計算機使用者的利益。為此,為了防止病毒入侵,要安裝殺毒軟件,增強針對性。一旦用戶進行不安全瀏覽與下載,殺毒軟件會進行全面掃描。在發現病毒之后,殺毒軟件會在第一時間發出警示,并進行快速攔截。
3結束語
論文摘要:同絡是計算機技術和通信技術的產物,在國防電信,銀行,廣播等方面都有廣泛的應用。其安全性是不可忽視的,網絡安全主要是由于tcp/ip協議的脆弱。網絡結構的不安全.易被竊聽和缺乏安全意識等原因造成的,網絡入侵者主要通過破譯口令,ip欺騙和dns欺騙等途徑攻擊網絡。防范措施主要通過防火墻技術和數據加密技術來完成。
1近年來網絡威脅發展趨勢
由于黑客發動攻擊的目的和組織化的轉變,近年發生大規模的網絡安全事件的可能性比較小,以僵尸網絡、間諜軟件、身份竊取為代表的惡意代碼,以及網絡仿冒網址嫁接/劫持類安全事件將會繼續增加,對新流行的網絡應用的安全事件將會發生,這些問題將導致事件數量整體仍呈上升趨勢,同時也提醒網絡安全管理員盡可能的保護好企業的內部數據。
常見的危害安全有:外部攻擊;內部威脅;網絡儒蟲;垃圾郵件;w eb服務器;僵死網絡l網絡釣魚;arp欺騙。薄弱的信息安全意識可能造成重大的經濟損失或嚴重的法律后果。網絡飛速的發展,網絡安全往往很容易忽視。但是帶來網絡安全的原因有很多。
2網絡安全概述
2.1網絡安全的定義
網絡安全的具體含義會隨著“角度”的變化而變化。從社會教育和意識形態角度來講,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。總之,幾是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。
2.2行系統安全
行系統安全:即保證信息處理和傳輸系統的安全。
它側重于保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由于電磁泄漏,產生信息泄露,干擾他人,受他人干擾。網絡上系統信息的安全:包括用戶口令鑒別,用戶存取權限控制,數據存取權限、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
2.3網絡中的安全缺陷及產生的原因
(1)tcp/ip的脆弱性。因特網的基石是tcp/ip協議。該協議對于網絡的安全性考慮得并不多,并且由于tcp/ip協議是公布于眾的,如果人們對tcp/ip~e熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
(2)絡結構的不安全性。因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。
(3)易被竊聽。由于因特網上大多數數據流都沒有加密,因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。
(4)缺乏安全意識。雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們為了避開防火墻服務器的額外認證,進行直接的ppp連接從而避開了防火墻的保護。
3網絡攻擊和入侵的主要途徑
網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限,并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有:破譯口令、ip欺騙和dns欺騙。口令是計算機系統抵御人侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。
4網絡安全的防范措施
4.1防火墻技術
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。
防火墻系統是由兩個基本部件包過濾路由器(packetfilteringr0uter)、應用層網關(application gateway)構成的,防火墻處于5層網絡安全體系中的最底層,作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。
4.2數據加密技術
數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。加密技術通常分為兩大類:“對稱式”和“非對稱式”。對稱式加密就是加密和解密使用同一個密鑰,通常稱之為“sessionkey”這種加密技術目前被廣泛采用,如美國政府所采用的des]jij密標準就是-一種典型的“對稱式”加密法,它的session key長度為56bits。而非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必需配對使用,否則不能打開加密文件。
4.3身份的驗證
身份的驗證指使用網絡資源時需要提交一一定的信息,表示申請者具備的身份。驗證有很多種方式,人們最熟悉的就是用戶名加密碼的方式了,雖然在實踐中,密碼方式并不是一種非常安全的身份驗證方式。
4.4授權
授權和身份驗證不同,身份驗證控制能否訪問網絡。而授權則是控制能夠訪問那些資源和可以如何訪問這些資源。授權包括兩種,一種是行為的授權。另外一種是范圍的授權。
4.5審核
通過審核,網絡管理員可以了解攻擊著的主攻方向,了解所不知道的網絡薄弱環節,攻擊者通常是從網絡的薄弱環節攻入的。
4.6公共密匙加密和數字簽名
在數據加密中,密匙非常重要,但加密解密的雙方又需要同樣的密匙,密匙就需要采用某種傳送方式,這樣密匙就變成了網絡安全的主要攻擊目標。
4.7數據包過濾
比身份驗證和授權更進一步,數據包過濾能夠接受或拒絕特定特點的數據包,能夠防止非授權的使用、破壞網絡資源、禁止、拒絕服務攻擊。
內容摘要:電子公文是通過網絡傳送的。用于政府機關相互之間聯系事務的專用電子文件,其傳送和接收是在高度自由的網絡環境中進行的,自然會涉及到信息遺漏、電腦病毒以及黑客等安全問題。為此,有必要建立包括密鑰使用規范、數字簽名制度、政府證書管理制度等相關法律制度,以確保電子公文系統安全有效地運作。
關鍵詞:電子公文電子政務互聯網
一、子公文及其特點
電子公文是指以電子形式表現的并通過網絡傳送的,用于政府機關相互之間聯系事務的專用文件。電子公文的特點是基于電腦和互聯網聯網的特性而產生的,因為電子公文的制作、發送及接收都需要通過電腦和互聯網這兩種媒介來進行。首先是電腦,它的最大作用是將政府公文中所有具體的信息都進行了數字化的改變,這里所說的數字化是指電腦將輸入的具體信息以“1”和“0”來進行存儲和運作,這不像傳統的政府公文是以具體的書面形式來表示的。其次是互聯網,互聯網將電腦里的數字化信息在各個政府機關之間迅速地傳送。互聯網本身有其特殊性,即公開性和全球性。所謂公開性是指任何人都可以自由地進出互聯網,而全球性是指信息在互聯網上的傳遞是沒有邊界障礙的。根據上述分析,較之傳統的政府公文,電子公文有以下幾個方面的特點:
(1)電子公文是一種數字化的、虛擬化的文件形式;(2)電子公文的傳送是在公開環境下,通過互聯網進行的;(3)電子公文的傳送可以在各個地區、國家乃至全球范圍內的政府之間進行;(4)電子公文的廣泛應用能夠極大地提高政府的辦事效率。
顯然,信息技術的發展給政府機構帶來了一場深刻的變革。傳統的公文傳送方式使政府機構背負著沉重的時間負擔和經濟負擔。傳統公文在這一場變革中受到了電子公文這一新生事物的強有力的沖擊。電子公文的制作、發送和接收可以突破時間和空間的限制,給人們以快速和便捷。可是電子公文畢竟是近年來才開始出現的新生事物,很多技術上的問題還有待解決。特別是,由于電子公文剛剛開始啟用,有關電子公文的法律紛爭還頗為鮮見。就世界范圍來說,還沒有專門的法律規范,也無強制性的原則可以遵循。可以說,其中還有很多值得研究的問題擺在我們的面前。
二、電子公文應用中存在的安全問題
目前,電子公文應用中出現的安全問題主要有:
1.黑客問題。黑客入侵網站的消息在近年被頻頻報道。以前黑客們往往挑選美國國防部和雅虎這些安全防范體系堪稱一流的硬骨頭啃。而隨著各種應用工具的傳播,黑客已經大眾化了,不像過去那樣非電腦高手不能成為黑客。如果安全體系不過硬的話,黑客便可以肆意截留、毀滅、修改或偽造電子公文,給政府部門帶來混亂。
2.電腦病毒問題。自電腦病毒問世幾十年來,各種新型病毒及其變種迅速增加,而互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑。試想一個完整的電子政府體系中某個環節受到病毒感染而又沒有被及時發現,電子公文系統全面癱瘓,那將會產生怎樣的后果?病毒的感染會使一些電子公文毀滅或送達延誤,整個電子政府將會指揮失靈、機構運作不暢。
3.信息泄漏問題。目前,各大軟件公司生成的網管軟件使網絡管理員擁有至高無上的權利,可以方便地對網上每個政府用戶的各種使用情況進行詳細的監測。此外,網絡中存在不少木馬程序,如果使用不慎,就會把公文中的重要信息泄漏給他人。而某些大公司生產的軟件或硬件產品所帶的后門程序更可以使這些公司對政府用戶在網上的所作所為了如指掌。對政府而言,信息泄漏將會給其工作帶來麻煩,甚至會危及到國家的政治、經濟及國防利益,有關的政府工作人員會因此被追究法律責任,這是絕對不能接受的。而對這些大公司的法律管制,對于在信息產業中處于弱勢地位的國家來說是根本無法解決的難題,但光靠處于優勢地位的國家也是不行的,必須在國際范圍內形成管制的合力。
三、電子公文安全體系法律制度建構
1.科學的密鑰使用制度規范。密鑰是一種信息安全技術,又稱加密技術,該技術被廣泛應用于電子商務和電子政務中。它包括兩種技術類型,即秘密密鑰加密技術和公開密鑰加密技術。其中秘密密鑰加密技術又稱對稱加密技術。倘利用此技術,電子公文的加密和解密將使用一個相同的秘密密鑰,也叫會話密鑰,并且其算法是公開的。接收方在得到發送的加密公文后需要用發送方秘密密鑰解密公文。如果進行公文往來的兩個政府能夠確保秘密密鑰交換階段未曾泄漏,那幺,公文的機密性和完整性是可以保證的。這種加密算法的計算速度快,已被廣泛地應用于電子商務活動過程中。公開密鑰加密技術又稱為非對稱加密技術。這一技術需要兩個密鑰,即公開密鑰和私有密鑰。私有密鑰只能由生成密鑰對的一方政府掌握,而公開密鑰卻可以公開。用公開密鑰對公文進行加密,只有用對應的私有密鑰才能解密。用私有密鑰對數據進行加密,只有用對應的公開密鑰才能解密。此二種技術相比,顯然第二種技術的安全系數更大一些,但這種技術算法速度較慢。我們可以根據各種公文的秘密等級,采用不同的加密技術。對于一般的公文往來數量大且頻繁,不宜采用非對稱加密技術,還有秘密等級較低的公文亦可采用對稱加密技術。而對那些重大的通知及秘密等級較高的公文則必須采用非對稱加密技術。凡違反上述技術性規范的要求造成公文泄密或是公文的完整性受到損害的,需追究其法律責任。
2.完善的政府證書管理制度。公文傳送過程中數據的保密性通過加密和數字簽名得到了保證,但每個用戶都有一個甚至兩個密鑰對,不同的用戶之間要用公開密鑰體系來傳送公文,必須先知道對方的公開密鑰。公文傳送中有可能發生以下情況:用戶從公鑰簿中查到的不是對方的公鑰,而是某個攻擊者冒充對方的假冒公鑰;或者公文互換的雙方在通訊前互換公鑰時,被夾在中間的第三者暗中改變。這樣的加密或簽名就失去了安全性。為了防范上述風險,我們可以仿效電子商務中的做法,引入數據化證書和證書管理機構,建立完善的政府證書管理制度。這里所說的證書是指一份特殊文檔,它記錄了各政府機關的公開密鑰和相關的信息以及證書管理機構的數字簽名。證書的管理機構是個深受大家信任的第三方機構。考慮到電子政務的特殊性,電子政務系統中的根目錄證書管理機構最好由一國的最高政策機關設立的專門機構出任,其它各級目錄分別由地方各級政府設立的專門機構去管理。在我國,根目錄的管理工作可由國務院信息辦來承擔,其它各級目錄分別由地方各級人民政府設立的專門機構進行管理。各政府機關須向相應的證書管理機構提交自己的公開密鑰和其它代表自己法律地位的信息,證書管理機構在驗證之后,向其頒發一個經過證書管理機構私有密鑰簽名的證書。政府出面作為證書的管理機構,其頒發的證書信用度極高。這樣一來將使電子公文的發送方和接收方都相信可以互相交換證書來得到對方的公鑰,自己所得到的公鑰是真實的。顯然,電子公文系統的安全有效運轉離不開完善的政府證書管理制度的確立。
3.有效的數字簽名制度。在電子公文的傳送過程中可能出現下列問題:(1)假冒,第三方丙有可能假冒甲機關給乙機關發送虛假公文;(2)否認,甲機關可能否認向乙機關發送過公文;(3)偽造,乙機關工作人員可能偽造或修改從甲機關發來的消息,以對自己有利。這些問題要靠數字簽名來解決。數字簽名在電子公文傳送中的應用過程是這樣的:公文的發送方將公文文本帶入到哈希函數生成一個消息摘要。消息摘要代表著文件的特征,其值將隨著文件的變化而變化。也就是說,不同的公文將得到不同的消息摘要。哈希函數對于發送數據的雙方都是公開的。發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名。然后,這個數字簽名將作為公文附件和公文一起發送到該公文的接收方。公文的接收方首先從接收到的原始公文中計算出消息摘要,接著再用發送方的公開密鑰來對公文的附加的數字簽名進行解密。如果兩個消息摘要相同,那幺接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始公文的鑒別和不可抵賴性。目前數字簽名在電子商務中已得到了廣泛的應用,日本等國政府已通過專門的立法對數字簽名的法律效力予以確認。在電子公文傳送中引入數字簽名也是必然的選擇,只是我們要從法律上確認數字簽名的效力,建立相應的制度規范,努力設法從技術和制度規范入手不斷提高安全系數。以數字簽名只有相對的安全性來作為反對其應具有法律效力的理由是站不住腳的,因為任何所謂安全保障都是相對的,橡皮圖章就經常被不法之徒偽造。
一、引言
從古人揮舞著大刀長槍的戰爭開始,信息就是軍隊統帥戰勝敵人的要決。但是,保密的需要不僅是戰爭的專利。互聯網的出現,正在不可阻擋的改變著世界上的一切,如果沒有制衡力量,在未來的幾十年中,可能我們的一言一行都會被監視、被記錄、并被分析——這些終于讓人們認識到必須把“保密”作為一個獨立的學科,再調用一批卓越的科學家和深奧的理論去研究。
現代密碼術的劃時代突破,是威特菲爾德·迪菲(WhitfieldDiffie)和馬丁·海爾曼(MartinHellman)有關公開密鑰加密系統的構想,這是在1976年發表的。但威特菲爾德·迪菲和馬丁·海爾曼提供的MH背包算法于1984年被破譯,因而失去了實際意義。真正有生命力的公開密鑰加密系統算法是由隆·里維斯特(RonaldL.Rivest)、阿迪·沙米爾(AdiShamir)和雷奧納德·阿德爾曼(LeonardM.Adlemen)在威特菲爾德·迪菲和馬丁·海爾曼的論文的啟發下,在1977年發明的,這就是沿用至今的RSA算法。它是第一個既能用于數據加密也能用于數字簽名的算法。
二、公鑰加密算法RSA
傳統的加密技術都是秘密密鑰加密技術,也稱單密鑰加密技術。在公開密鑰加密技術中,加密密鑰與解密密鑰是不一樣的。加密者可以將加密密鑰公開,成為公開密鑰,而仍將解密密鑰保密,作為秘密密鑰。下面就要描述RSA加密算法的流程:
首先,找出三個數:p、q、r,其中p和q是兩個相異的質數,r是與(p-1)(q-1)互質的數。
接著,找出e,使得re1mod(p-1)(q-1)。這個e一定存在,因為r與(p-1)(q-1)互質,用輾轉相除法就可以得到了。
再來,計算n=pq。(n,e)便是publickey。(n,r)就是privatekey。
p和q應該被銷毀掉(PGP為了用中國的同余理論加快加密運算保留了p和q,不過它們是用IDEA加密過再存放的)
加密的過程是,若待加密信息為a,將其看成是一個大整數,假設a=n的話,就將a表成s進位(s<=n,通常取s=2^t),則每一位數均小于n,然後分段編碼。
接下來,計算Caemodn,(0<=C
解碼的過程是,計算MbrmodC(0<=c
如果第三者進行竊聽時,他會得到幾個數:m,n(=pq),b。他如果要解碼的話,必須想辦法得到r。所以,他必須先對n作質因數分解。如果他能夠成功的分解n,得到這兩個質數p和q,那么就表明此算法被攻破。一般說來,許多數學中的函數都有“單向性”,這就是說,有許多運算本身并不難,但如果你想把它倒回去,作逆運算,對于RSA來說,用公開密鑰加密后,如果想再通過公開密鑰解密是很困難的。這個困難性就表現在對n的因式分解上。若n=pq被因式分解,(p-1)(q-1)就可以算出,繼而算出解密密鑰m。所以RSA算法的基礎就是一個假設:對n的因式分解是很困難的。
RSA算法在理論上的重大缺陷就是并不能證明分解因數絕對是如此之困難,也許我們日后可以找到一種能夠快速分解大數的因數的算法,從而使RSA算法失效。如果有人偶然發現了快速將大數分解因數的方法,并將其保密,則他有可能在一段時間內獲得極為巨大的力量。
目前RSA被廣泛應用于各種安全或認證領域,如web服務器和瀏覽器信息安全、Email的安全和認證、對遠程登錄的安全保證和各種電子信用卡系統的核心。
與單鑰加密方法比較,RSA的缺點就是運算較慢。用RSA方法加密、解密、簽名和認證都是一系列求模冪運算組成的。在實際應用中,經常選擇一個較小的公鑰或者一個組織使用同一個公鑰,而組織中不同的人使用不同的n。這些措施使得加密快于解密而認證快于簽名。一些快速的算法比如基于快速傅立葉變換的方法可以有效減少計算步驟,但是在實際中這些算法由于太復雜而不能廣泛的使用,而且對于一些典型的密鑰長度它們可能會更慢。
三、RSA算法的安全性
若n被因式分解成功,則RSA便被攻破。還不能證明對RSA攻擊的難度和分解n的難度相當,但也沒有比因式分解n更好的攻擊方法。已知n,求得Φ(n)(n的歐拉函數),則p和q可以求得。因為根據歐拉定理,Φ(n)=(p-1)(q-1)=pq–(p+q)+1。和(p–q)2= (p+q)2-4pq;據此列出方程,求得p和q。
另一個攻擊RSA的方法是根據Caemodn來計算C1/emodn。這種攻擊方式沒有一種普遍的實現方法,也不知道是否其難度與對n因式分解相當。但是在一些特殊的情況下,當多個相關的信息用同樣的密鑰加密時,可能很容易被攻破。
為安全起見,對p和q要求:p和q的相差不大;(p-1)和(q-1)有大素數因子;gcd(p-1,q-1)很小,滿足這樣條件的素數稱做安全素數。RSA的出現使得大整數分解因式這一古老的問題再次被重視,近些年來出現的不少比較高級的因數分解方法使“安全素數”的概念也在不停的演化。所以,選擇傳統上認為是“安全素數”并不一定有效的增加安全性,比較保險的方法就是選擇足夠大的素數。因為數越大,對其分解因式的難度也就越大!對n和密鑰長度的選擇取決于用戶保密的需要。密鑰長度越大,安全性也就越高,但是相應的計算速度也就越慢。由于高速計算機的出現,以前認為已經很具安全性的512位密鑰長度已經不再滿足人們的需要。
RSA的安全性并不能僅靠密鑰的長度來保證。在RSA算法中,還有一種值得注意的現象,那就是存在一些n=pq,使得待加密消息經過若干次RSA變換后就會恢復成原文。這不能不說是RSA本身具有的一個缺點,選擇密鑰時必須注意避免這種數。
四、結語
【論文摘要】:虛擬專用網(VPN)技術主要包括數據封裝化,隧道協議,防火墻技術,加密及防止數據被篡改技術等等。文章著重介紹了虛擬專用網以及對相關技術。并對VPN隧道技術的分類提出了一些新的探索。
引言
虛擬專用網即VPN(Virtual Private Network)是利用接入服務器(Access Sever)、廣域網上的路由器以及VPN專用設備在公用的WAN上實現虛擬專用網技術。通常利internet上開展的VPN服務被稱為IPVPN。
利用共用的WAN網,傳輸企業局域網上的信息,一個關鍵的問題就是信息的安全問題。為了解決此問題,VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。
1. 隧道技術
Internet中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發送數據。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設備后,立即在它的前部加上與全局IP地址對應的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設備從D發往VPN設備C而添加的。此IP分組到達總部的VPN設備C后,全局IP地址即被刪除,恢復成IP分組發往地址A。由此可見,隧道技術就是VPN利用公用網進行信息傳輸的關鍵。為此,還必須在IP分組上添加新頭標,這就是所謂IP的封裝化。同時利用隧道技術,還必須使得隧道的入口與出口相對地出現。
基于隧道技術VPN網絡,對于通信的雙方,感覺如同在使用專用網絡進行通信。
2. 隧道協議
在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此,要成功的使用VPN技術還需要有隧道協議。
2.1 當前主要的隧道協議以及隧道機制的分類:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技術,作為一種傳輸協議L2F支持撥號接入服務器。將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP協議又稱為點對點的隧道協議。PPTP協議允許對IP,IPX或NETBEUT數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互連網絡傳送。
⑶ 2TP(Layer 2 Tunneling Protocol)
該協議是遠程訪問型VPN今后的標準協議。
L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網入口的VPN設備建立PPP連接,端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外,還能在VPN上利用PPP支持的多協議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實現第二層連接的PPPSecsion的隧道協議被稱作第二層隧道。對于不提供PPP功能的隧道協議都由標準的IP層來處理,稱其為第三層隧道,以區分于第二層隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠程訪問的VPN協議,它部分采用了移動IP的機制。ATMP以GRE實現封裝化,將VPN的起點和終點配置ISP內。因此,用戶可以不裝與VPN想適配的軟件。
⑸ PSEC
IPSEC規定了在IP網絡環境中的安全框架。該規范規定了VPN能夠利用認證頭標(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允許對IP負載數據進行加密,然后封裝在IP包頭中,通過企業IP網絡或公共IP互聯網絡如INTERNET發送。
從以上的隧道協議,我們可以看出隧道機制的分類是根據虛擬數據鏈絡層的網絡,DSI七層網絡中的位置,將自己定義為第二層的隧道分類技術。按照這種劃分方法,從此產生了"二層VPN "與"三層VPN"的區別。但是隨著技術的發展,這樣的劃分出現了不足,比如基于會話加密的SSLVPN技術[2]、基于端口轉發的HTTPTunnel[1]技術等等。如果繼續使用這樣的分類,將出現"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現了其他的隧道機制的分類。
2.2 改進后的幾種隧道機制的分類
⑴ J.Heinanen等人提出的根據隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網仿真方式的VPLS。
例如同樣是以太網的技術,根據實際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網方式所提供的網絡性能將大有區別,因此按照接入方式不同來分類也無法表示這幾種方式在網絡性能上的差異,由此將引起在實際應用中對VPN技術選型造成誤導。
⑵ 由于網絡性能是所有網絡技術的重要評價標準。根據隧道建立的機制對網絡性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術是利用封裝的思想,將原本工作在某一層的數據包在包頭提供了控制信息與網絡信息,從而使重新封裝的數據包仍能夠通過公眾網絡傳遞。例如L2TP就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數據交換的原理,根據不同的標記,直接將數據分發到不同的設備上去。由于不同標記的數據包在進入網絡邊緣時已經相互隔離,如果接入網絡的數據包也是相互隔離的就保證了數據的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術一般只能提供點對點的通道,而點對多點的業務支持能力教差,但是可擴展性,靈活性具有優勢。
采用隔離型隧道技術,則不存在以上問題,可以根據實際需要,提供點對點,點對多點,多點對多點的網絡拓撲。
3. 諸種安全與加密技術
IPVPN技術,由于利用了Internet網絡傳輸總部局域網的內部信息,使得低成本,遠距離。但隨之而來的是由于Internet技術的標準化和開放性,導致威脅網絡的安全。雖然可采取安全對策的訪問控制來提高網絡的安全性,但黑客仍可以從世界上任何地方對網絡進行攻擊,使得在IPVPN的網點A和網點B之間安全通信受到威脅。因此,利用IPVPN通信時,應比專線更加注意Internet接入點的安全。為此,IPVPN采用了以下諸種安全與加密技術。[2]
⑴ 防火墻技術
防火墻技術,主要用于抵御來自黑客的攻擊。
⑵ 加密及防止數據被篡改技術
加密技術可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或專用加密)也稱常規加密,由通信雙方共享一個秘密密鑰。
非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發送方知道的專用密鑰,另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術的VPN虛擬專用網,只有采用了以上諸種技術以后,才能夠發揮其良好的通信功能。
參考文獻
[1] E Rescorla, A Schiffman. The secure hypertext trausfer protocol. Draft-wes-shttp-06[R]. text 1998,6.