王传喜
【摘 要】本文对数字加密系列问题作了简单的介绍,针对网络传输过程中的保护数据不被窃取、解读和利用的方法进行了探讨,围绕寻找更好更强的加密体制而展开系列策划对比。对当前网络安全技术中一些未被足够重视的方面的问题,提出了数字存储加密这一新的观点,以使人们认识到网络安全问题是一个综合性的、各项网络安全技术高度集成的复杂问题。
【关键词】网络安全数字传输加密数字存储加密密码体制
Internet在世界各国都呈现飞速发展的态势,网络正在带动一场信息革命,加快了信息在世界各地的传播,促进了经济的发展和信息的交流。同时,我们应该清醒地认识到信息在网络上存储、处理和传输虽然做了一定的安全措施,但在数字信息安全方面很难达到人们理想的境界。另外,由于网络本身存在的脆弱性(比如,TCP/IP—Transfer Control Protocol/Internet Protocol协议,在制订之初也没有把安全考虑在内,所以没有安全可言)以及可能遭受来自各方面的威胁和攻击,使得信息的安全保密在网络环境下具有特别重要的意义。网络安全已成为世界各国十分关注的热点问题,它是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题,特别是随着全球信息基础设施和各个国家的信息基础逐渐形成,信息电子化已经成为现代社会的一个重要特征。信息本身就是财富、就是生命、就是时间、就是生产力。因此,各国开始利用电子空间的无国界性和信息战来实现其以前军事、文化、经济侵略所达不到的战略目的。另外,由于网络的快速、普及、分布式处理、资源共享、开放、远程管理化,电子商务、金融电子化成为网络时代必不可少的产物。因此,这给人们带来了许多新的课题。如何解决网络安全问题?有人估计,未来计算机网络安全问题甚至比核威胁还要严重。大量事实表明:确保网络安全已经是一件刻不容缓的大事,它的安全性主要依赖于加密、网络用户身份鉴别、存取控制策略等技术手段。网络安全课题具有十分重要的理论意义和实际背景。
一、网络安全概述
1.网络安全的含义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。它与所要保护的信息对象有关,通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网中传输、交换和存储的信息的机密性、完整性和真实性,并对信息的传播即内容具有控制能力。网络安全是一个系统性概念,不仅包括信息传输过程的安全性,还要考虑计算机上信息存储的安全性。具体说来就是通信链路上的安全和网络结点处的安全共同构成了网络系统的安全。如图1所示:
因此,网络安全的内容涵盖可以表述为:通信安全+主机安全→网络安全。
2.网络安全涉及内容
网络安全应该具有以下四个方面的特征:
保密性:信息不泄露给非授权用户、实体或供其利用的特性。
完整性:数据未经授权不能进行改变的特性,及信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息。
可控性:对信息的传播及内容具有控制能力。
网络安全从不同角度可以得到不同的划分。按照保护对象分,网络安全包含信息依存载体的安全问题和信息本身的安全问题。信息依存载体是指信息存储、处理和传输的介质,主要是物理概念,包括计算机系统、传输电缆、光纤及电磁波等。信息载体的安全主要指介质破坏、电磁泄露、联网通信的截断、干扰和窃听等。信息本身的安全问题主要指信息在存储、处理和传输过程中受到破坏、泄露和丢失等,从而导致信息的保密性、完整性和可用性受到侵害。因此网络安全按照受保护的对象可以分为硬体安全和软体安全,硬体安全指信息依存载体的安全,软体安全指信息本身的安全。
网络安全的目标是保密性、完整性、可用性,有的文献中还增加了可靠性、真实性、不可抵赖性、可审查性等。所以,网络安全与保密的核心是:通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储的消息,以实现这一目标。
简言之,网络安全就是借助于一定安全策略,使信息在网络环境中的保密性、完整性及可用性受到保护,其主要目标是确保经网络传输的信息到达目的计算机后没有任何改变或丢失,以及只有授权者可以获取响应信息。需要注意的是安全策略的基础是安全机制,即数学原理决定安全机制,安全机制决定安全技术,安全技术决定安全策略,最终的安全策略是各种安全手段的系统集成,如防火墙、加密等技术如何配合使用策略等。
二、计算机网络面临的威胁
网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。这些威胁可能来源于各种各样的因素:可能是有意的,也可能是无意的;可能是来源于单位外部的,也可能是内部人员造成的;可能是人为的,也可能是自然力造成的。下面大致归纳几种主要威胁:
1.因自然力原因而非人为操作造成的数据丢失、设备失效、线路阻断。
2.人为但属于操作人员无意的失误造成的数据丢失。
3.来自外部和内部人员的恶意攻击和入侵。主要表现在:(1)非授权访问:没有预先经过授权,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒身份攻击、非法用户进入网络系统进行违法操作、合法用户以超越权限方式进行操作等。(2)信息泄漏或丢失:指敏感数据在有意或无意中被泄漏或丢失,它通常包括信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。(3)破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。(4)拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。(5)利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
针对计算机网络中数据信息面临的种种安全威胁(如泄漏、丢失、完整性被破坏等),为保障数据信息的安全,人们进行了一系列卓有成效的探索。数字加密技术便是其中之一,其目的
就是保护网内的数据、文件、口令和控制信息,保护网络会话的完整性。
三、数字加密与网络安全
作为保障数据安全的一种方式,数字加密起源于公元前2000年。埃及人是最先使用特别的象形文字作为信息编码的人。随着时间的推移,巴比伦和希腊人都开始使用一些方法来保护他们的书面信息。最广为人知的编码机器是German Enigma机,在第二次世界中德国人利用它创建了加密信息。此后,由于Alan Turing和Ultra计划以及其他人的努力,终于对德国人的密码进行了破解。当初,计算机的研究就是为了破解德国人的密码,当时人们并没有想到计算机给今天带来的信息革命。随着计算机的发展,运算能力的增强,过去的密码都变得十分简单了,于是人们又不断地研究出了新的数字加密方式,如私有密钥算法和公共密钥算法。可以说,是计算机推动了数字加密技术的发展。
加密技术是网络安全技术的基石,随着计算机自身性能的不断提高,使越来越复杂、可靠的数字加密技术得以实施,网络以加密技术的应用也更为广泛、深入。
数字加密在网络上的作用就是防止有价值的信息在网络上被拦截和窃取。一个简单的例子就是密码的传输。计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露就导致安全体系的全面崩溃。通过网络进行登录时,所键入的密码以明文的形式被传输到服务器,而网络上的窃听是一件极为容易的事情,所以很有可能黑客会嗅探并窃得用户的密码,如果用户是root用户或Administrator用户,那后果将是极为严重的,网络上的数据被嗅探和劫持。解决这个的方法就是加密,加密后的口令即使被黑客获得也是不可读的,除非加密密钥或加密方式十分脆弱,被黑客破解。另外,数字加密具有净化作用,即能够有效防止数字在传输时多条报文播入,这样可大大防止病毒的侵入。
这种以数字加密为基础的开放型安全保障技术是普遍适用的,是对网络服务影响最小的一种途径,有望成为网络安全问题的最终一体化解决途径。按作用不同,数字加密技术主要分为数字传输加密技术、数字存储加密技术、数字完整性的鉴别技术以及密钥管理技术四种。