防火墻技術(shù)的應(yīng)用研究

[摘 要]網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),本文從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。并就信息交換加密技術(shù)的分類(lèi)及RSA算法進(jìn)行分析,針對(duì)PKI技術(shù)這一信息安全核心技術(shù),論述了其安全體系的構(gòu)成。

[關(guān)鍵詞]網(wǎng)絡(luò)安全;Internet;網(wǎng)絡(luò)安全; 防火墻 ;PKI技術(shù)

[中圖分類(lèi)號(hào)]TP316 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1005-6432(2009)18-0098-01

1 網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪(fǎng)問(wèn)控制,防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類(lèi)型。

2 加密技術(shù)

2.1 對(duì)稱(chēng)加密技術(shù)

在對(duì)稱(chēng)加密技術(shù)中,對(duì)信息的加密和解密都使用相同的鑰,也就是說(shuō)一把鑰匙開(kāi)一把鎖。這種加密方法可簡(jiǎn)化加密處理過(guò)程,信息交換雙方都不必彼此研究和交換專(zhuān)用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得以保證。對(duì)稱(chēng)加密技術(shù)也存在一些不足,如果交換一方有N個(gè)交換對(duì)象,那么他就要維護(hù)N個(gè)私有密鑰,對(duì)稱(chēng)加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。如三重DES是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的一種變形,這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密,從而使有效密鑰長(zhǎng)度達(dá)到112位。

2.2 非對(duì)稱(chēng)加密/公開(kāi)密鑰加密

在非對(duì)稱(chēng)加密體系中,密鑰被分解為一對(duì)(即公開(kāi)密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰(加密密鑰)通過(guò)非保密方式向他人公開(kāi),而另一把作為私有密鑰(解密密鑰)加以保存。公開(kāi)密鑰用于加密,私有密鑰用于解密,私有密鑰只能由生成密鑰的交換方掌握,公開(kāi)密鑰可廣泛公布,但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱(chēng)加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對(duì)稱(chēng)加密體系一般是建立在某些已知的數(shù)學(xué)難題之上,是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性的是RSA公鑰密碼體制。

2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制,其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個(gè)基本事實(shí):到目前為止,無(wú)法找到一個(gè)有效的算法來(lái)分解兩大素?cái)?shù)之積。RSA算法的描述如下:

公開(kāi)密鑰:n=pq(p、q分別為兩個(gè)互異的大素?cái)?shù),p、q必須保密)

e與(p-1)(q-1)互素

私有密鑰:d=e-1 {mod(p-1)(q-1)}

加密:c=me(mod n),其中m為明文,c為密文。

解密:m=cd(mod n)

利用目前已經(jīng)掌握的知識(shí)和理論,分解2048bit的大整數(shù)已經(jīng)超過(guò)了64位計(jì)算機(jī)的運(yùn)算能力,因此在目前和可預(yù)見(jiàn)的將來(lái),它是足夠安全的。

3 PKI技術(shù)

PKI(Public Key Infrastructure)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸,因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),它能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題。

參考文獻(xiàn):

朱雁輝. 防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京:電子工業(yè)出版社,2002:178-179.

[收稿日期]2009-04-12

[作者簡(jiǎn)介]陶國(guó)喜(1973—),男,湖北麻城人,黃岡職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系講師,研究方向:計(jì)算機(jī)程序設(shè)計(jì)專(zhuān)業(yè)課程教學(xué)與科研。