谈谈网络安全技术
然而,开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。
一、防火墙技术和SET规范
防火墙技术和数据加密传输技术将继续沿用并发展,多方位的扫描监控、对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全,五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
理论上,防火墙就是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。在逻辑上它是一个限制器,也是一个分析器,能有效地监控内部网和Internet之间的活动,保证内部网络的安全。由于硬件技术的进步,基于高速Internet上的新一代防火墙,还将更加注重发挥全网的效能,安全策略会更加明晰化、合理化、规范化。由140家高技术公司、大学和美国政府开发的高速网络Internet2是21世纪互联网的雏形,其主干网之一——Abilene横跨10,000英里,网络速度高达24GB/秒。技术的进步将进一步减少时延、提高网络效能。目前,全球连入Internet的计算机中约有1/3是处于防火墙保护之下,而到了下个世纪这个比率会大幅提升。
电子商务运作全球化是21世纪的一个特色,由电子钱包(e-WALLET)、电子通道(e-POS)、电子银行(e-BANK)、认证机构(Certificate Authority)组成的网上支付系统将被推广应用。高效、安全的新版本SET协议将承担起保证传输数据的安全重任。SET(Secure Electronic Transaction)即安全电子交易协议,它是由VISA和MASTERCARD所开发,是为了在Internet上进行在线交易时保证用卡支付的安全而设立的一个开放的规范。目前SET11.0版本已经公布并可应用于任何银行支付服务。SET规范得到了IBM、HP、Micro-soft、>NetScape、VeriFone、GTE、VeriSign等很多大公司的支持,已形成了事实上的工业标准,并获取了IETF标准的认可。就连大名鼎鼎的微软公司亦宣称将来要将其加入到Windows的核心中。符合SET规范的产品会越来越多,SET必将成为21世纪电子商务的基础。
二、生物识别技术
人类在追寻文档、交易及物品的安全保护的有效性与方便性经历了三个阶段的发展。第一阶段也就是最初的方法,是采用大家早已熟悉的各种机械钥匙。第二阶段是由机械钥匙发展到数字密钥,如登录上网的个人密码(Password)以及使用银行自动提款机所需的身份识别码(PIN-Personal Identification Number)、身份证(ID Cards)或条形码等,它是当今数字化生活中较为流行的一种安全密钥系统。随着21世纪的来临,一种更加便捷、先进的信息安全技术将全球带进了电子商务时代,它就是集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术——生物识别技术。
生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案,由于人体特征具有不可复制的特性,这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等,而其中指纹凭借其无可比拟的唯一性、稳定性、再生性倍受关注。
20世纪60年代,计算机可以有效地处理图形,人们开始着手研究用计算机来处理指纹,自动指纹识别系统AFIS由此发展开来。AFIS是当今数字生活中一套成功的身份鉴别系统,也是未来生物识别技术的主流之一,它通过外设来获取指纹的数字图像并存贮在计算机系统中,再运用先进的滤波、图像二值化、细化手段对数字图像提取特征,最后使用复杂的匹配算法对指纹特征进行匹配。时下,有关指纹自动识别的研究已进入了成熟的阶段。随着指纹识别产品的不断开发和生产,未来该项技术的应用将进入民用市场,服务大众。到时在ATM提款机加装指纹识别功能,持卡人可以取消密码(避免老人和孩子记忆密码的困难),通过指纹直接操作。
除了指纹识别技术外,近年来视网膜识别技术和签名识别技术的研究也取得了骄人的成绩。视网膜识别技术分为两个不同的领域:虹膜识别技术和角膜识别技术。虹膜识别系统使用一台摄像机来捕捉样本,而角膜扫描的进行则是用低密度的红外线去捕捉角膜的独特特征。由于该项技术具有高度的准确性,它将被应用在未来军事安全机构和其他保密机关中。签名识别,也被称为签名力学识别(Danamic Signature Verification——DSV),它是建立在签名时的力度上的,分析笔的移动,例如加速度、压力、方向以及笔划的长度,而非签名的图像本身。签名力学的关键在于区分出不同的签名部分,有些是习惯性的,而另一些在每次签名时都不同,DSV系统能被控制在某种方式上去接受变量,此项技术预计在今后十年中会得到进一步发展和应用。
三、加密及数字签名技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。
不对称加密,即“公开密钥密码体制”,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道,分别称为“公开密钥”和“秘密密钥”。
目前,广为采用的一种对称加密方式是数据加密标准(DES),DES对64位二进制数据加密,产生64位密文数据,实际密钥长度为56位(有8位用于奇偶校验,解密时的过程和加密时相似,但密钥的顺序正好相反),这个标准由美国国家安全局和国家标准与技术局来管理。DES的成功应用是在银行业中的电子资金转账(EFT)领域中。现在DES也可由硬件实现,AT&T首先用LSI芯片实现了DES的全部工作模式,该产品称为数据加密处理机DEP。另一个系统是国际数据加密算法(IDEA),它比DES的加密性好,而且计算机功能也不需要那么强。在未来,它的应用将被推广到各个领域。IDEA加密标准由PGP(Pretty Good Privacy)系统使用,PGP是一种可以为普通电子邮件用户提供加密、解密方案的安全系统。在PGP系统中,使用IDEA(分组长度128bit)、RSA(用于数字签名、密钥管理)、MD5(用于数据压缩)算法,它不但可以对你的邮件保密以防止非授权者阅读,还能对你的邮件加以数字签名从而使收信人确信邮件是由你发出。
在电脑网络系统中使用的数字签名技术将是未来最通用的个人安全防范技术,其中采用公开密钥算法的数字签名会进一步受到网络建设者的亲睐。这种数字签名的实现过程非常简单:首先,发送者用其秘密密钥对邮件进行加密,建立了一个“数字签名”,然后通过公开的通信途径将签名和邮件一起发给接收者,接收者在收到邮件后使用发送者的另一个密匙——公开密钥对签名进行解密,如果计算的结果相同他就通过了验证。数字签名能够实现对原始邮件不可抵赖性的鉴别。另外,多种类型的专用数字签名方案也将在电子货币、电子商业和其他的网络安全通信中得到应用。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务——这也是21世纪网络安全领域的迫切需要。