网络安全技术与应用研究

　　【摘要】介绍了网络安全的概念,重点论述了常用的网络安全技术，并对其进行了必要的分析、评价，最后给出了网络安全机制，为网络安全性建设提供参考和帮助。
　　【关键词】网络安全；加密技术；身份验证；生物识别；防火墙
　　　　Abstract:Introducedtheconceptofnetworksecurity,networksecurityfocusedoncommonlyusedtechnologies,anditsnecessaryanalysis,evaluation,andfinallygivethenetworksecuritymechanismsforthesecurityofthenetwork-buildingreferenceandhelp.
　　Keywords:networksecurity,encrpytiontechniques,identificationauthorization,biologicalrecongnition,firewall
　　随着Internet的发展，网络丰富的信息资源给人们的工作和生活带来了极大的方便，但是，由于网络系统的开放性、资源的共享性、连接形式的多样性、终端分布的不均匀性、网络边界的不可知性，给我们带来了许多问题，其中，最引人注目的问题当属网络安全问题。
　　1 网络安全的概念
　　国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
　　2 常用网络安全技术
　　2.1 数据加密技术
　　网络和通信安全的基础是加密技术，即通信双方采用保密通信系统来隐蔽和保护需要传送的消息，使未授权者不能提取被保护的信息。加密技术从原理上可分为以下两类：
　　2.1.1 对称加密体制
　　对称加密技术对信息的加密和解密使用相同的密钥，也就是说一把钥匙开一把锁。信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。因此，系统的保密性取决于密钥的管理（密钥的产生、分配、存储、销毁等）而非算法的安全性。单钥体制对明文消息的加密有两种方式：（1）对明文消息按照字符逐位加密，称为流密码。（2）将明文消息分组后再按组加密，称为序列密码。DES（DataEncryptionStandard）数据加密标准和IDEA（InternationalDataEncryptionAlgorithm）国际数据加密算法是对称加密的典型应用。对称加密算法具有保密强度好、加密效率高等优点，而且经受住了实践的检验，但密钥分配与传输的安全问题影响了它在网络环境中的广泛使用。
　　2.1.2 不对称加密体制
　　不对称加密技术的基本思想是使用一对相关的密钥（公开密钥和私有密钥）将加密和解密的能力分离，两者配合才能完成加密解密的全过程。这种算法的主要优缺点大致上与对称加密体制相反，可以适应网络的开放性要求，在因特网中得到广泛的使用，其公钥可在网上公布，而私钥则由数据的发送以及接收方自己妥善保管。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。若消息用公钥加密，则必须用私钥才能打开，可以防止消息被窃取。若消息用私钥加密，则不能被纂改，可以实现对消息来源和消息完整性的认证。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。
　　2.2 身份验证技术
　　身份验证是用户向系统出示自己的***明的过程，身份认证是系统查核用户的***明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节，人们常把这两项工作统称为身份验证。
　　2.2.1 数字签名
　　数字签名机制是在公开密钥的加密机制基础上提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。数字签名一般采用对称加密技术，通过对整个明文进行某种变换，得到一个值，作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方身份是真实的。当然，签名也可以采用多种方式，例如，将签名附在明文之后。使用数字签名必须有一个证明授权（CA）中心为客户签发***明，客户和服务器各自从CA获得证明，并且信任证明授权中心。在会话和通信时首先交换***明，其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名，交换通信的加密密钥等。数字签名普遍用于银行，电子商务等身份验证。
　　2.2.2 生物识别技术
　　一种更加便捷、先进的信息安全技术是集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术—生物识别技术。生物识别是依靠人体的身体特征来进行身份验证的一种技术。由于人体特征具有不可复制的特性，这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等，而其中指纹凭借其无可比拟的唯一性、稳定性、再生性倍受关注。指纹识别技术通过外设来获取指纹的数字图像并存储在计算机系统中，再运用先进的滤波、图像二值化、细化手段对数字图像提取特征，最后使用复杂的匹配算法对指纹特征进行匹配。由于该项技术具有高度的准确性，它将被应用在未来军事安全机构和其他保密机关中。
　　2.3 防火墙技术
　　网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。防火墙通过过滤掉那些本质上不安全的服务可以减少网络服务的风险，使网络的安全性明显提高。根据防火墙所采用的技术可以分为三种基本类型：包过滤型、代理型和监测型。
　　2.3.1 包过滤型防火墙
　　包过滤（Packetfilter）型防火墙工作在网络层，又称筛选路由器（Screeningrouter）或网络层防火墙（Networklevelfirewall），其技术依据是网络中的分包传输技术。通过检查每一个传入的数据包，查看数据包中可用的基本信息，然后将这些信息与设立的规则相比较，最后确定是否允许该类数据包通过。具体来说，网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活定制判断规则。
　　包过滤防火墙对用户来说是透明的，处理速度快且易于维护，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，不能在用户级别上进行过滤，即无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。“IP地址欺骗”和“同步风暴”便是黑客用于攻击包过滤防火墙比较常用的手段。
　　2.3.2 代理型防火墙
　　代理型防火墙主要工作在应用层，又称为应用级防火墙，就是通常我们提到的代理服务器，其安全性要高于包过滤型产品。代理服务器位于客户机与服务器之间，具有双重身份。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据