伴随着计算机互联网技术的飞速发展,计算机逐渐成为人们获取信息的重要渠道,它改变了人们获取信息的方式,在互联网上存在着许多各种各样的信息,因此互联网信息的安全与否逐渐受到人们的密切关注。因此逐步提高计算机加密技术的可靠性与安全性,强化人们的互联网安全意识,维护互联网的安全已经成为迫在眉睫的课题,互联网信息加密技术则是诸多手段中较为有效的一种。本文对目前计算机网络可能受到的安全威胁进行了综述和分析,并对应用较为广泛地的互联网加密技术进行了分析,并提出了一些保密措施。
1.计算机互联网面临的安全威胁
由于互联网的无限包容性使得计算机网络深入人们生活的各个角落,但是这种广泛地包容性同样导致了互联网的安全性问题逐步引起人们的关注,尤其是在电子商务、卫星信息传输、军用通讯等领域,由于信息的敏感性而尤为重视数据的安全性。
在人们的日常生活中,计算机互联网频繁发生,如1995年,来自俄罗斯的黑客被指控利用计算机黑客技术从花旗银行非法转移了至少370万美元;于1999年,美国的黑客释放了MELISSA病毒,这种计算机病毒借助互联网的力量迅速传播,在短时间之内就感染了数百万计算机;而在2000年,则发生了规模巨大、造成损失严重的“黑客战争”,这次互联网的浩劫是由全球黑客联手发动的,这些黑客集结起来对当时的热门网站进行了轮番轰炸,并瘫痪了为数众多的网站。同一年,一位来自菲律宾的学生制造出了“I LOVE YOU”病毒,造成了高达100亿美元的巨额损失。
计算机互联网安全及保密技术
计算机互联网的安全包含有计算机软硬件、计算机网络共享资源以及互联网网络服务等互联网安全就是对上述互联网终端、服务器以及互联网信息进行保卫,使得它们不遭受破坏或者泄露。互联网安全的实质即信息与数据的安全,即保证互联网信息的真实性、保密性、完整性以及可控性的理论技术。
互联网信息安全主要体现在以下四个方面:1.私密性,保密信息仅授权特定用户进行浏览使用,这些信息不能被非授权用户所利用;2. 可控性,互联网信息的使用行为可以被鉴别、整个操作过程与传播范围可以受到控制的;3. 完整性,即互联网信息在发送、存储过程中,信息无法被授权方盗用以及篡改,抑或信息在遭受盗用后可以迅速弥补;4. 可用性,即要求授权用户可以对互联网信息进行调用。[2, 3]
1.1 加密机制
在密码学理论中,将待转换的原始信息称为明文。明文经历特定地转换后成为一种无法被读取的形式,这种形式的信息即密文。明文转换为密文的具体过程即加密过程,而反过来,将密文逆转换回明文的过程被成为解密过程。根据不同的密码结构通常可以将密码分为对称密码体制和非对称密码体制,分别从两者的优点和缺点出发,在使用过程中通常将两种体制结合起来使用:分别将对称密码体制算法和非对称密码体制算法应用到传输数据加密和密钥加密上,这样的组合应用不但加密速度较快,而且安全性同时也较高。[4]
1.2 数字签名
数字签名则是与数据单元附加在一起的数据,这种形式的数据可以允许接受者确认数据单元的完整性及来源。数字签名具有很高的安全性,信息发送方通过私钥对数据进行校验或利用私钥对于信息有关的其他数据进行加密,以获得对数据的合法签名,而接收方则通过钥来对所受到的数字签名进行解读,同时对解读后数据的完整性,以便对签名的合法性进行确认。数字签名是在互联网中进行身份确认的重要技术,扮演着现实生活中“亲笔签名”的角色,在法律与技术上都有确切地保证。
1.3 密钥分配
鉴于密码的算法是公之于众的,因此密码的安全与否完全取决于保护。密钥保护的需求对于密码学是十分重要的,密码领域藉此开启了一个新的方向,就是密钥的分配。密钥分配是密钥使用与管理过程中遭遇到的最大的问题,它必须通过安全通道进行分配使用。伴随着互联网用户与流量的激增,密钥在使用过程中必须频繁更换以确保其安全性。
2. 计算机互联网安全的解决方法
2.1 网络安全协议
在互联网信息传递当中,必须建立安全的网络通信协议。IP安全协议被公布于1998年11月被公诸于世,IP安全协议的核心思想就是对IP数据报中的所有数据进行加密处理,与此同时,还可以进行源点鉴别服务。在IP 安全协议中,鉴别首部AH协议和封装安全有效载荷ESP 协议是其中最为主要的两个协议。其中,AH 协议被用于提供源点鉴别服务,以确保数据是完整的,另外一则协议ESP 协议基于此还提供加密服务。在运输层面,安全套接层SSL 协议于1994年出现了,这则协议是HTTP 通信进行相应保护的事实标准。
另外就是可对传输于服务器与数据之间的数据进行加密和检测甄别的SSL协议,在握手阶段协商后,需要对加密算法和会话密钥进行调用,同时完成服务器与用户之间的甄别。自此,所有传输数据都使用统一的密钥与密码算法进行相关的加密处理。运输层安全协议TLS是基于SSL 协议而出现,SSL协议是其的基础,它在常见的浏览器和英特网服务器中仅可以获得很好的兼容性,同时还可以在IMAP 邮件存取过程中取得应用。而在应用层中,于1995年出现了PGP 协议,该协议是一个完整的电子邮件安全软件包,它具有十分先进的技术,包含鉴别、加密、电子签名以及压缩技术。而PEM 协议的功能则与PGP协议十分相似,都是应用于电子邮件的加密和甄别,不过PEM 协议拥有更为健全的密钥管理机制。[5]
2.2 防火墙
通常情况下,可以将防火墙视为一种特殊的路由器。它可以对内网与外网进行分隔,对其中进出的信息进行实时监控,对来源不同的访问进行差异化控制。具体原理就是对可信的数据包进行转发,而对可疑的数据包进行丢弃处理,仅允许安全、符合标准的数据信息进入网络。它是内网与外网之间的一道坚实的防护屏障,预防非法的、存在破坏性的信息数据侵入网络,对用户使用造成不可预知的影响,力求为客户呈现一个纯净的网络环境。
基本的网络访问控制可以通过交换机与路由器来进行控制,而复杂一些的则需要基于主机或子网来进行。按照TCP/IP 协议层次,防火墙控制作用于网络的各个层级,并根据各个层级所包含信息内容对通信连接是否合法性进行判断。从逻辑层面来分析,防火墙是一种限制器和分析器,它使得网络安全管理更容易实现,可以实现内网与外网之间的活动的高效监控。从应用实现方式来看,有软件防火墙与硬件防火墙两种。其中硬件防火墙有软件和硬件两部分相结合,而软件防火墙仅通过软件发挥作用。
2.3 入侵检测
入侵检测是一种对未授权访问以及异常访问进行检测和报告的技术,这种技术用于最大的应用就是对违反安全策略的行为进行监控检测。它能对所有非法访问活动进行识别,无视这种非法活动的来源。基于入侵检测的保护。
可以提供正确性极高的监控效果,同时漏报的效率极低,与此同时,入侵检测系统还具有一定的容错能力和良好的扩展性。在一般情况下,入侵检测系统主要由三个部分构成,这三个部分分别是:数据采集模块,入侵分析引擎和应急处理模块。
作者:张光勇 来源:中国科技博览 2016年3期