维普资讯 http://www.cqvip.com zoos年第右期 ^ 鞫 宦 慧辩 鬣 的LQG 骚 凑§静 、 黼 网络信息安全技术分析 欧阳伟’、 1、国防科学技术大学41 0075 2、湖南公安高等专科学校计算机科学技术系41 01 58 展,互联网络发展迅猛(CNNIC 2007 论文龋述了网络信息安奎的离标和组成,从 技术和管理上进行总结,分析了实 际应j}l中 的各种 络信息安全技术手段。如协议安奎 蛮码哮、蠡毒聿 鸭火 向进辛彳 督缀 主权、保护国家安全的高度来研究。 年l2月报告,全球网民超过l2亿,我国网 民已达2.1亿人,据世界第二),我们已进 入信息化新世纪,并可以预见的很长一 段时期内,国家对趋向网络化、共享 2.1网络信息安全的概念和内涵 2网络信息安全的内涵和目标 侵 专蔽朱, 并对国内外信息安全技术的发展趋势和新方 化、不确定等特征的信息资源的依赖性 会越来越强。由于互联网本身所具有的 开放性,Internet自诞生起,网络信息安 全问题便如影随形,近几年更表现出恶 网络信息安全定义是:不因偶然或 恶意的因素,使网络信息遭受非法篡 改、插入、删除或显现,以保证信息的 网络;信息安奎 密码学;防火墙 瓣 article focus On the ambition and毓ruct of 完整性、安全保密性和可用性…。同时网 络信息安全是涉及计算机技术、网络技 术、通信技术、密码技术、信息安全技 术、应用数学、数论、信息论、社会 化趋势,给世界各国带来巨大的经济威 rk.nf9 on securiW Itw讲arIaJ all klnd ̄ of techn.盼 11 ̄&l18鲕network infor抛崩鳓securi 胁。据ITAA的调查显示,美、德、英、 法等国每年由于网络安全问题而遭受的经 一一ll i ̄troduce some new tr— ends and laLtes  ̄vznces a | 5%企 | 济损失达数百亿美元。美国约有7 业网信息遭受过黑客攻击,其中25%的 jrewa intl'usion de ̄ction technology ̄etc.a丽 镪l 诲哦be 蚴嫒 岱 ’缸^ 企业损失高达25万美元以上。我国每年 t 酾 lq慵and ̄Sement 删融 心理等多种技术的边缘性的综合学科。 就总体而言,信息安全主要包括信息本体安 全、计算机系统安全、网络安全、管理 体系安全四个层次的内容。 只有通过对上述诸多研究领域长期的 知识积累,才能确保网络信息安全合理 豫1woP&infOrm ̄tion SecUrity僦晰oIog蛔aIl0V种t}le \ 由于网络安全问题而遭受的经济损失也超 过了10亿人民币。与公众网络相比,军 事网络安全受到的威胁更大。美军曾对 军网系统进行了3.8万次模拟袭击,袭击 成功率高达65%,而被发现的概率仅为 1 2%,能做出反应的不到1%。网络信息 1 ∞t; QI唧l廿彻secu ̄y} to10gy 渤 嘲f 的共享。本文主要将叙述其中的应用协 议、数据加密、病毒学、防火墙、入 侵检测等技术。 2.2网络信息安全的主要El标 综观国内外有关信息安全事件,网 安全问题将会全方位地危及一个国家的政 治、军事、经济、文化、社会生活的 各个方面,使国家处于信息战和金融经 济高度风险的威胁之中。在Internet这块 络信息安全的研究目标应主要集中在以下 五个方面: (1)、网络的可靠性 1引言 随着现代网络通信技术的应用和发 “没有硝烟的战场”上,谁掌握了信息 优势,谁便控制着未来,因而我们必须 这是网络安全最基本的要求之一。 El前,对于网络可靠性的研究基本上偏 将保证网络信息安全课题提升到维护国家 124 维普资讯 http://www.cqvip.com ≥ 重于硬件可靠性方面,研制高可靠性元 器件设备,采取合理的冗余备份措施仍 计算机安全橙皮书(1 985)得到广泛支 持,成为制定计算机安全标准的基础。橙 皮书将计算机安全分为A、B、C、D四 个安全级别,每个级别内还可再细分。 极大影响。MD5和SHA—l的破解,动 摇了目前数字签名的理论根基,对现有 的数字签名方法构成了威胁。美国国家 是最基本可靠性对策。但有资料表明, 系统失效性很大一部分是由 勺因素造成 的。 技术与标准局(NIST)计划在2010年前逐步 淘汰SHA—l,换用其他更长更安全的算 法(如SHA-384,SHA一5 l 2)来替代。 3.2.3量子密码 将来有可能取 代公钥加密算法的还有一种加密方法, 即量子加密系统。量子加密是两个用户 其中C2级已成为事实上的工业标准,许 多计算机厂商都采用C 2标准中各项准则 和原理来完善自己的系统安全特性。 GSSP是另一组重要的信息安全标准,它 是由美国信息系统安全协会GSSP委员会 (2)、网络的可用性 网络最基本的功能是向用户提供所需 信息和通信服务,必须随时满足用户通 信的要求。为此网络需要采用科学合理 的网络拓扑结构、冗余容错和备份措施 为实现信息安全制定的一组原理,与C 2 标准不同,GSSP更强调个人管理而不是 系统管理。 3.2密码技术 各自产生一个私有的随机数字字符串。 第1个用户向第2个用户的接收装置发送 代表数字字符串的单个量子序列(光脉 冲),接收装置从2个字符中取出相匹配的 比特值,这些比特值就组成了密钥的基 础。量子加密法的先进之处在于这种方 以及网络自愈技术、负荷分担、各种完 善的物理安全和应急措施等,保障网络 安全。 (3)、信息的保密性 采用访问控制技术,可以有效地防 一密码技术是信息安全的核心与关键。 般而言,密码体制分为单钥(对称密 码)、双钥(不对称密码)、混合密码(单双 钥的混合实现)三种体制。采用加密技术 网络系统的优点在于:不仅不需要特殊 网络拓扑结构的支持,而且在数据传输 止网络信息资源不被非法使用和访问。 访问控制包括入网访问控制、网络权限 控制、服务器控制等多种技术手段。 法依赖的是量子力学定律,传输的量子 是无法被窃听的,如果有人窃听,通信 双方会得知,这是因为窃听动作本身会 (4)、信息的完整性 由于网络本身的不安全,会导致信 对通信系统造成干扰,使通信系统的量 子状态出现不可挽回的变化,这样通信 双方会结束通信,生成新的密钥。试验 证明,这种加密方法在卫星通信中也是 可行的,但只有在宽带光纤通信中才可 以进行量子密钥的发送。在实际的应用 过程中也不会对所经过网络路径的安全程 度作出要求,从而真正实现了网络通信 过程端到端的安全保障。当前网络信息 加密主要使用的是不对称密码或混合密 码。 息在传输过程中遭受非法用户的窃取、 破坏,而通过信息加密技术,即使信息 被窃取,加密后的信息也不易泄漏,可 将损失降到最低点。 (5)、信息的不可抵赖性 随着通信业务不断扩大,电子商 3.2.1公钥密码 曾经作为美国 中,通过光纤传输的量子密钥可以用于 加密普通宽带数据信道所传送的信息。 2004年6月,美国BBN公司建立的世界上 第一个量子密码通信网络在马塞诸塞 I'15 ̄1 联邦信息处理标准的DES算法在l 997年 被攻破。IDEA作为DES的一种改进方法, 具有128 bit的密钥和更强的安全性。为了 保证公钥密码RSA的安全性,公钥长度至 务、电子金融和办公自动化等许多信息 处理过程都需要通信双方对信息内容的真 实性进行认同,需要对此应采用数字签 桥城正式投入运行,它标志着量子密码通 3.2.4其它加密体制 其它一些 领域的研究也对信息加密产生了积极的影 响,甚至可能带来革命性转变,其中较 引人注意的有混沌密码、DNA密码和神 名、认证等有效措施。 少要600bit,实现速度比DES至少要慢两 信技术已进入实际应用阶段…。 个数量级。近来提出的一种基于 Montgomery算法的RSA公钥密码可以同 3现行主要信息安全技术 3.1通信协议安全 时进行乘法和模减运算,取代原先的除法 运算模式,使得运算速度大幅提高,成为 便捷和高效的互联网络一直是网络标 现今广泛采用的RSA密码。基于椭圆曲线 经网络在密码学上的应用。1)混沌密码:由于混沌系统对初值 准制定者力求达到的目标,网络的安全 的公钥密码ECC是密码学研究和应用的热 是影响这两者的最重要因素。IPv6作为 下一代互联网通信协议,具有很强安全 性。IPv6强制实施Internet安全协议 门领域,很多厂商已经开发出符合IEEE ECC的数字签名应用于电子政务中的可行 及参数极其敏感,同时还具有非周期性 P1363标准的椭圆曲线公钥密码。已有将 和伪随机性的特点,可针对现有方法数 据运算量大的缺陷,在运用整数计算代 替浮点数计算减低计算量,提供了一种 广泛关注。 IPSec,它主要由3个部分组成,即认证 协议(A H)、封装安全载荷(E S P)和 Internet密钥交换协议(IKE)。IPSec为 IPv6提供了具有极强的互操作能力、高 安全服务,包括访问控制、无连接完整 方案,并且椭圆曲线密码从试验结果来看 可能取代RSA的地位,成为主流的公钥加 加密性和运行速度均优于RSA算法 l,很有 新的实现方法,已引起了密码学领域的 密算法,目前已有ECC在CDMASNIC智能 3.2.2 Hash函数王小云于2005 2)DNA密码:DNA密码是近年来 伴随着DNA计算的研究而出现的密码学 新领域,其特征是以DNA为信息载体, 以现代生物技术为实现工具,挖掘DNA 质量和基于密码的安全,在IP层实现多种 卡上的应用方案提出。性、数据源验证、抗重播、加密和有限 年给出了SHA-0的碰撞,以及SHA一1的 理论破解,将破解sHA一1的计算量降低 的业务流机密性I l。 和网络协议不同,网络信息安全目 了3个数量级,这对评估Hash函数的安 全现状以及未来Hash函数的设计会产生 固有的高存储密度和高并行性等优点, 实现加密、认证及签名等密码学功能。 2000年,加拿大DNATechnology公司把 前还没有统一的标准,但美 1防部的 维普资讯 http://www.cqvip.com 中冒撇信息2O08年第6期 cHIRAiscIENc基 AND TE oG 1 。RI loN Mar.2008 DNA序列用到了悉尼奥运会的产品认证 上。DNA密码现在仍处于发展阶段,它 的广泛应用还有待各方面技术的进一步发 展。 当某企业决定设置防火墙时,首先需由 网络决策者及网络专家共同决定本企业网 的安全策略,即确定什么类型的信息不允 许通过防火墙。防火墙的职责就是根据这 一行检测,还能对网络入侵事件和过程做 出实时响应,是网络动态安全的核心技术。 根据不同的分类标准,入侵检测技术 主要有基于行为的入侵检测和基于知识的 入侵检测两类:基于行为的入侵检测(也 3)神经网络:目前神经网络在许多 学科领域都获得了成功的应用,其中通信 安全策略,对外部网络与内部网络交流 的信息进行检查,符合的予以放行,不符 防火墙技术主要分三大类: 称异常检测)是指根据使用者的行为或资 源使用状况的正常程度来判断是否发生入 侵;基于知识的入侵检测(也称误用检测) 及保密通信就是神经网络的重要研究领域, r 合的拒之门外。 并已成为神经网络应用研究的一个热点 【5 J (1)包过滤技术(Packet filtering ̄.作 3.3计算机病毒 近2年来,随着网络广泛融入各个经 用在网络层,主要根据防火墙系统所收 到的每个数据包的源IP地址,目的IP地 址,TCP/UDP源端口号、TCP/UDP 是指运用已知的攻击方法通过分析入侵迹 象来加以判断是否发生入侵。通过对迹象 的分析,不仅对已发生的入侵行为有帮助, 而且对即将发生的入侵也会产生警戒作用。 相对已成熟的网络入侵检测系统,模 仿生物免疫原理的入侵检测系统模型是入 济金融领域,计算机病毒的攻击技术也 越来越复杂,破坏力越来越强,并且更 多地以获取经济利益为目标,例如窃取 络游戏市场,网上虚拟装备交易十分活跃,一件好的装备或高级别的账号卖出 目的端口号,及数据包头中的各种标志 位来进行判定,根据系统设定的安全策 ! 是安全策略,即过滤算法的设计。 (2)代理(Proxy)J] ̄务技术:用来提供 应用层服务的控制,起到外部网络向内 银行账户信息,盗取网游密码等。在网r 略来决定是否让数据包通过,其核心就 侵检测领域的新兴研究领域,并有了初 步进展;但是现有的系统大多还是实验 室环境下的原型系统,具有较高的误报 率和漏报率,难于满足大规模网络下的 入侵检测和反病毒要求。实验者预测在 不远的将来,有望提出一个行之有效的 上万元人民币并不鲜见,大批针对网络 游戏的木马病毒因此而出现,如2007年 部网络申请服务时中间转接作用,内部 外部网络其它节点的直接请求。运行代 理服务的主机被称为应用网关,代理服 务还可以用于实施较强的数据流监控、 (3)状态监控(State Inspection)技术: 它是一种新的防火墙技术,在网络层完 成所有必要的防火墙功能——包过滤和网 初爆发的窃取“魔兽世界”游戏帐号木} 网络只接受代理提出的服务请求,拒绝 马。该木马破解了游戏的加密算法,主 动截取局域网中的数据包,通过分析游 戏里的通讯协议来获得玩家的账号、密 机一旦感染了魔兽木马,其余的计算机 用户也会感染,该病毒还可以阻止防毒 软件的运行。2006年8月出现了针对AMD 未知病毒和入侵手段识别模型和算法。 此外“蜜罐(H0neY)”技术也备受瞩 目,“蜜罐”是指受到严密监控的网络 码和装备等信息。并且局域网中l台计算} 过滤、记录等功能。 诱骗系统,通过真实或模拟的网络和服 务来吸引攻击,从而在黑客攻击“蜜 罐”期间对其行为和过程进行记录分 析,以搜集信息,对新攻击发出预警, 芯片的病毒w 3 2・bOund S和W64・ bounds,病毒感染计算机后能够获得比 操作系统更高的权限,即可以躲避处理 器或软件的防毒功能而进行肆意的传播和 破坏。它的出现是一个病毒由通过软件 络服务代理。目前最有效的实现方法一 般采用Check Point提出的虚拟机方式 (Inspect Virtual Machine)。 防火墙技术作为一种简单实用的网络 信息安全技术将得到进一步发展,但防 同时“蜜罐”也可以延缓攻击和转移攻 击目标。它区别于传统的入侵检测技 术,不是在攻击时进行被动的防护,而 是采取主动的方式,用定制好的特征吸 引和诱骗攻击者,将攻击从网络中比较 重要的机器上转移,同时对黑客的攻击 做全面的分析和研究 】。 漏洞传播转向通过硬件漏洞传播的标志, 相信这种形式的传播将具有更强的攻击 性。目前,快速更新病毒库和增强杀毒 软件自行识别新病毒的能力是作为防范病 毒攻击的两种较为有效方法。 3.4防火墙技术 火墙只是静态安全防御技术,对网络环 境下日新月异的攻击手段缺乏主动的响 应,不能提供完全的网络安全性,它不 能阻止所有的外部入侵;它不能防病 毒;有经验的黑客也会破“墙”而入。 4结论与展望 网络信息安全技术是当前必不可少的 在过去的统计中曾遭受过“黑客”入侵 的网络用户有三分之一是有防火墙保护的 [71。防火墙技术是在内部与外部网络间非 常有效的实施访问控制的一种手段,它 逻辑上处于内部网和外部网之间,是为 技术之一,所涉及的范围广,内容丰富,需 要解决的问题也很多。本文只是综合论述 防火墙对内部袭击毫无防范作用,需 要有特殊的相对较为封闭的网络拓扑结构 支持,也就是说还必须有例如对数据加 了网络信息安全领域中的一些协议和主流 应用技术,并对国内外信息安全领域未来 的发展方向尝试进行探讨。 确保内部网正常安全运行的一组软硬件的 有机组合 1。它可提供存取控制和保密服 务,从而为企业网提供了抵抗外部侵袭 ;密处理、对内部网络的有效控制和管理 一系列措施来实现网络安全。 3.5入侵检测技术 入侵检测系统是对计算机和网络资源 Internet上信息安全是个非常复杂的 问题,光采取某几种安全技术是不够的, 的能力。由于它简单实用且透明度高, 可以在不修改原有网络应用系统的情况 下,达到一定的安全要求,所以被广泛 此外还应该采取加强管理、完善法律、 提高公众安全意识等方面的措施,只有 转幕、29页 上的恶意使用行为进行识别和响应的处理 使用。在引入防火墙之后,内部网和外 部网之间的通信必须经过防火墙进行, 过程 】。它不仅监测来自外部的入侵行 为,同时也对内部用户的未授权活动进 维普资讯 http://www.cqvip.com 左移阀=0; n n-t—l; 右移阀0; 放松阀0; } if(n>290&&n<340) /十上移十/ {放松阀0; 夹紧阀=0; 机械手x O; 机械手y=0; 工件x O; 工件y=lO0; / 上移阀=1; 机械手y=机械手y一2; n n+1: 十设置初始位置十/ } if(n>340&&n<440) , if(运行标志==1) {if(n>O&&n<50) 十下移十/ /十左移十/ 遘蘸土壤簧、 页。 露i 在大家的共同努力下,才可能实现真正 的网络安全。 {上移阀=0; 左移阀=1; 机械手x=机械手X 1; n n+1; {下移阀=1; 机械手y=机械手y+2; n:n+1: } if(n>=50&&n<70) 十夹紧十/ / } if(n==440) {下移阀=0; 夹紧阀=l; n=n+l {左移阀=0; n 0; 工件x 0; 工件y 100; / 在初始位置显示下一个工件 / } if(n>=70&&n<120) 升}/ {夹紧阀=0; 上移阀1; 机械手y=机械手y 2; if(停止标志 1) / 如果曾按下停止按钮,则不再 运行 / 工件y=工件y 2; n:n+l: {停止标志0; 运行标志0; l J } if(n>=120&&n<220) / 右移 / {上移阀=0; 右移阀=l; l l J 五 结束语 在电气控制实训教学中引入组态技 术,实现了将各种控制设备用计算机全真 机械手x=机械手x+l; 工件x=工件x+l; n=n+l: } if(n>=220&&n<270) , , 模拟,能直观地看到实际控制效果,不但 可以克服使用实物被控对象进行实训教学 的缺点,而且可以用有限的设备、低廉的 成本、多样化的程序来丰富实训教学内容, 强化学生对知识的理解,提高学生知识应 {右移阀=0; 下移阀=1; 机械手y=机械手y+2; 用能力。另外,虚拟仿真控件的开发周期 短,开发后免维护,可以实现实训教学内 工件y一工件y+2; n ̄n+l; 容的开发性设计,增加实训教学内容的多 样性,以丰富学生的工程实践经验,达到 全方位提高教学水平的目的。 } fi(n>270&&n<290)/}放松}/ {下移阀一0; 放松阀=1; 129
