淺談如何確?；ヂ?lián)網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?/h1>

2010-08-15 00:52:53李永建

科技傳播訂閱 2010年9期 收藏

關(guān)鍵詞：身份驗證訪問控制加密技術(shù)

李永建

中國聯(lián)通獻(xiàn)縣分公司，河北滄州 062250

淺談如何確保互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?/p>

李永建

中國聯(lián)通獻(xiàn)縣分公司，河北滄州 062250

信息安全一直是困擾互聯(lián)網(wǎng)發(fā)展的重要障礙，而當(dāng)前我國互聯(lián)網(wǎng)的信息安全現(xiàn)狀不容樂觀。本文分析了當(dāng)前確?；ヂ?lián)網(wǎng)信息安全的幾種主要措施，并進(jìn)行了簡要分析。

互聯(lián)網(wǎng)；信息安全；數(shù)據(jù)傳輸

0 引言

我國入世以后，面臨著更加開放的發(fā)展環(huán)境。隨著國家信息化建設(shè)的不斷推進(jìn)，對信息安全提出了更高的要求，在信息安全方面除了采取必要的保護(hù)措施和相關(guān)的法規(guī)、政策外，努力掌握核心技術(shù)則更為重要。在保證像信息的機(jī)密性、真實性、完整性這些必要的信息安全中，公鑰加密技術(shù)扮演著非常重要的角色。為了增強互聯(lián)網(wǎng)的安全機(jī)制，主要采用防火墻技術(shù)、公開密鑰加密技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)字簽名、數(shù)字時間戳技術(shù)、身份認(rèn)證和安全協(xié)議等。

1 基于身份驗證的安全控制

為了防止各種假冒攻擊，在執(zhí)行真正的數(shù)據(jù)訪問操作之前，要在客戶和數(shù)據(jù)庫服務(wù)器之間進(jìn)行雙向身份驗證，比如數(shù)據(jù)庫系統(tǒng)服務(wù)器與服務(wù)器之間進(jìn)行數(shù)據(jù)傳輸時，都需要驗證身份。 通過數(shù)字證書來進(jìn)行身份驗證。簽名者用秘密密鑰加密一個簽名(可以包括姓名、證件號碼、短信息等信息)，接收人可以用公開的、自己的公開密鑰來解密，如果成功，就能確保信息來自該公開密鑰的所有人。

在鑒權(quán)過程中，最重要的是密鑰生成技術(shù)和鑒權(quán)算法。在計算機(jī)網(wǎng)絡(luò)中，對通信雙方實體的身份認(rèn)證，常規(guī)作法是采用加密鑒權(quán)協(xié)議，著名的Kerberos協(xié)議是一種基于對層碼體制的身份驗證協(xié)議，Kerberos是基于對稱密碼體制的雙向身份驗證協(xié)議，各站點從密鑰管理中心獲得與目標(biāo)站點通信用的秘密密鑰。在該協(xié)議中各站點從一個密鑰管理中心站點獲得與目標(biāo)站點通信用的密鑰，從而進(jìn)行安全通信。由于密鑰管理中心負(fù)責(zé)管理和安全分發(fā)大量密鑰，容易造成系統(tǒng)性能瓶頸，而且系統(tǒng)內(nèi)必須有一個被所有站點信任的密鑰管理中心，因此該協(xié)議應(yīng)用場合存在著一定的局限性。

為了簡化站點間通信密鑰的分發(fā)，開放式網(wǎng)絡(luò)應(yīng)用系統(tǒng)一般采用基于公鑰密碼體制的雙向身份驗證技術(shù)。在這種技術(shù)中，每個站點都生成一個非對稱密碼算法（如RSA）的公鑰對，其中的私鑰由站點自己保存，并可通過可信渠道將自己的公鑰分發(fā)給系統(tǒng)中的其他站點。這樣任意兩個站點均可利用所獲得的公鑰信息相互驗證身份。

2 數(shù)據(jù)加密進(jìn)行保密通信

對于數(shù)據(jù)的機(jī)密性通過對數(shù)據(jù)的加密進(jìn)行解決，使用加密算法(使用加密密鑰)將明文轉(zhuǎn)換為密文，并使用相應(yīng)的解密算法將密文轉(zhuǎn)換回明文?？蛻襞c服務(wù)器、服務(wù)器與服務(wù)器之間身份驗證成功后，就可以進(jìn)行數(shù)據(jù)傳輸了，為了對抗報文竊聽和報文重發(fā)攻擊，需要在通信雙方之間建立保密信道，對數(shù)據(jù)進(jìn)行加密傳輸。在數(shù)據(jù)庫系統(tǒng)中，由于傳輸?shù)臄?shù)據(jù)量往往很大，所以加解密算法的速度對系統(tǒng)性能的影響很大。

對稱密鑰加密技術(shù)，顧名思義既是對在Internet上傳輸?shù)拿舾袛?shù)據(jù)采用相同的密鑰進(jìn)行加密和解密。如果密鑰不完全相同，也可以很容易地通過算法從一個密鑰計算出另一個密鑰。即在對稱密鑰加密算法中，兩個密鑰和算法之間具有很大的相關(guān)性。目前，國內(nèi)外應(yīng)用最廣的對稱密鑰加密技術(shù)采用的是DES算法。公開密鑰加密技術(shù)也稱為非對稱密鑰加密技術(shù)，這種技術(shù)是對非對稱密碼算法的應(yīng)用，其中最著名的是基于數(shù)論原理的RSA算法。

SSL協(xié)議是Netscape推出的一種安全通信協(xié)議，它能對信用卡和個人信息提供較強的保護(hù)。SSL是對計算機(jī)之間整個會話進(jìn)行加密的協(xié)議。由于SSL被極大部分的WEB瀏覽器和WEB服務(wù)器所內(nèi)置，比較容易投入應(yīng)用，然而，SSL基于傳輸層加密，它為高層提供了特定的接口，使應(yīng)用方無須了解傳輸層的情況，由于加密算法的出口限制，在美國以外的地區(qū)使用的SSL大部分采用40位密鑰。因此無法滿足關(guān)鍵領(lǐng)域和重要部門的更高要求。另外，SSL對所有的信息都加密，因此傳輸速度相對較慢，對于只有少量的敏感數(shù)據(jù)傳輸?shù)膽?yīng)用便不太適合。

RSA算法的安全性建立在難于對大整數(shù)提取因子的基礎(chǔ)上，已知的證據(jù)都表明大整數(shù)因式分解問題是一個極其困難的問題。但是，隨著分解大整數(shù)方法的進(jìn)步及完善、計算機(jī)速度的提高以及計算機(jī)網(wǎng)絡(luò)的發(fā)展，要求作為RSA加密/解密安全保障的大整數(shù)越來越大。

3 對于數(shù)據(jù)的訪問控制策略

在通常的數(shù)據(jù)庫管理系統(tǒng)中，為了防止越權(quán)攻擊，任何用戶不能直接操作庫存數(shù)據(jù)。用戶的數(shù)據(jù)訪問請求先要送到訪問控制模塊審查，然后系統(tǒng)的訪問控制模塊代理有訪問權(quán)限的用戶去完成相應(yīng)的數(shù)據(jù)操作。用戶的訪問控制有兩種形式：自主訪問授權(quán)控制和強制訪問授權(quán)控制。其中自主訪問授權(quán)控制由管理員設(shè)置訪問控制表，此表規(guī)定用戶能夠進(jìn)行的操作和不能進(jìn)行的操作。而強制訪問授權(quán)控制先給系統(tǒng)內(nèi)的用戶和數(shù)據(jù)對象分別授予安全級別，根據(jù)用戶、數(shù)據(jù)對象之間的安全級別關(guān)系限定用戶的操作權(quán)限。在這兩種方式中，數(shù)據(jù)對象的粒度越小，訪問權(quán)限就規(guī)定得越細(xì)，從而系統(tǒng)管理的開銷就越大，尤其是在數(shù)據(jù)庫系統(tǒng)中，一方面用戶、數(shù)據(jù)對象多；另一方面要進(jìn)行訪問控制，更加劇了系統(tǒng)訪問控制的負(fù)擔(dān)。事實上系統(tǒng)中許多用戶具有相似的訪問權(quán)限，因此可以根據(jù)用戶權(quán)限確定角色，一個角色可以授予多個用戶，同時一個用戶可以擁有多個角色，這樣可以在一定程度上降低系統(tǒng)訪問控制管理的開銷。

4 防范惡意代碼造成的安全問題

由于程序惡意代碼而產(chǎn)生的安全問題已經(jīng)屢見不鮮。根據(jù)惡意代碼的來源而防范此類安全問題，主要應(yīng)注意以下幾方面：加強程序設(shè)計人員的法制教育，道德教育，避免源程序編制期間出現(xiàn)惡意代碼；使用單位也要加強軟件測試、代碼檢查等工作；使用具備國家安全機(jī)構(gòu)認(rèn)可的網(wǎng)絡(luò)產(chǎn)品（如路由器、交換機(jī)、防火墻等）；加強內(nèi)部工作人員的技術(shù)教育、道德教育，防止內(nèi)部人員嵌入惡意代碼。

[1] 張效強，王鋒，高開明.基于加密算法的數(shù)據(jù)安全傳輸?shù)难芯颗c設(shè)計[J].計算機(jī)與數(shù)字工程，2008(5).

[2] 李玉敏.電子商務(wù)環(huán)境下基于加密算法的一個安全數(shù)據(jù)傳輸流程[J].商場現(xiàn)代化，2009(5).

[3] 袁哲，趙永哲，張文睿，朱祥彬.敏感數(shù)據(jù)安全傳輸方法[J].吉林工程技術(shù)師范學(xué)院學(xué)報，2008(1).

TP309

A

1674-6708（2010）18-0113-01

猜你喜歡

身份驗證訪問控制加密技術(shù)

海洋水文信息加密技術(shù)方案設(shè)計與測試

海洋信息技術(shù)與應(yīng)用(2022年1期)2022-06-05 07:38:28

數(shù)據(jù)加密技術(shù)在計算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用

電子制作(2018年16期)2018-09-26 03:27:10

HID Global收購Arjo Systems擴(kuò)大政府身份驗證業(yè)務(wù)

中國公共安全(2017年8期)2017-10-13 08:12:22

ONVIF的全新主張：一致性及最訪問控制的Profile A

中國公共安全(2017年11期)2017-02-06 05:28:08

動態(tài)自適應(yīng)訪問控制模型

通信學(xué)報(2016年11期)2016-08-16 03:20:32

淺析云計算環(huán)境下等級保護(hù)訪問控制測評技術(shù)

現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化(2016年19期)2016-05-17 05:38:20

在計算機(jī)網(wǎng)絡(luò)安全中數(shù)據(jù)加密技術(shù)的應(yīng)用

信息記錄材料(2016年4期)2016-03-11 15:22:37

大數(shù)據(jù)平臺訪問控制方法的設(shè)計與實現(xiàn)

信息安全研究(2016年10期)2016-02-28 20:18:36

更安全的雙重密碼保護(hù)

CHIP新電腦(2015年3期)2015-04-02 17:55:46

基于四叉樹網(wǎng)格加密技術(shù)的混凝土細(xì)觀模型

建筑材料學(xué)報(2015年3期)2015-02-28 02:36:27

科技傳播2010年9期

科技傳播的其它文章

淺談KTC2 礦用微機(jī)通信控制保護(hù)裝置的使用和維護(hù)

基于ASP.NET Web用戶控件站點流量統(tǒng)計系統(tǒng)的設(shè)計

用Excel VBA設(shè)計考試信息系統(tǒng)

一種基于ABR協(xié)議的Ad hoc網(wǎng)絡(luò)路由方案

無線傳感器網(wǎng)絡(luò)傳輸協(xié)議研究進(jìn)展

油井低密度洗井工藝技術(shù)及應(yīng)用