請列舉隨機數在網路安全中的應用

❶ 分析計算機網路安全技術的主要應用和發展趨勢

【問題解答】
1.計算機網路安全技術的主要應用（參見：清華大學出版社《網路安全實用技術》）
計算機網路安全（簡稱網路安全）是指通過採用各種技術和管理措施，使網路系統正常運行，從而確保網路數據的可用性、完整性和保密性。網路安全的具體含義會隨著「角度」的變化而變化。比如：從用戶（個人、企業等）的角度來說，他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護。
網路啊安全技術的主要應用，包括：
物理措施：例如，保護網路關鍵設備(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。
訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權，等等。
數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。
網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料[1]。
其他技術及措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來，圍繞網路安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
2.計算機網路安全技術及其發展趨勢
http://wenku..com/view/6bee3f55f01dc281e53af039.html
http://www.qikan.com.cn/Article/jsjg/jsjg201120/jsjg201120111.html

❷ 哪些方式產生的隨機數可以用於安全用途

首先需要使用:Randomize[number] 語句，初始化隨機數生成器。

❸ 計算機網路安全策略的應用

不要保存登錄信息。

始終通過單擊站點上的「注銷」退出網站。 僅關閉瀏覽器窗口或鍵入其他地址是不夠的。

許多程序（尤其是即時消息程序）包括會保存您的用戶名和密碼的自動登錄功能。 請禁用此選項，這樣其他人無法以您的身份登錄。

屏幕上有敏感信息時不要離開計算機。

如果您不得不離開公共計算機一段時間，請退出所有程序並關閉所有可能顯示敏感信息的窗口。

刪除歷史記錄。

Web 瀏覽器（如 Internet Explorer）會記錄您的密碼以及您訪問的每個網頁，即使您關閉了瀏覽器並注銷。

禁用存儲密碼功能
上網沖浪之前，請禁用會「記住」密碼的 Internet Explorer 功能。

1. 在 Internet Explorer 中，依次單擊「工具」、「Internet 選項」。

2. 單擊「內容」選項卡，然後單擊「自動完成」。

3. 單擊以清除必須處理密碼的兩個復選框。

刪除 Internet 臨時文件和歷史記錄
當使用公共計算機完畢時，應該刪除所有臨時文件和 Internet 歷史記錄。

1. 在 Internet Explorer 中，依次單擊「工具」、「Internet 選項」。

2. 在「常規」選項卡上，「Internet 臨時文件」之下，單擊「刪除文件」，然後單擊「刪除 Cookies」。

3. 在「歷史記錄」之下，單擊「清除歷史記錄」。

刪除企業門戶（如 Sharepoint Portal Server）保存的其他文件
如果使用允許您查看企業內部文檔的企業網站，您可能會無意間在公共計算機上存儲敏感文檔。

1. 刪除您的用戶帳戶的臨時文件夾中的所有文件，查找方法是瀏覽到 C:\Documents and Settings\username\Local Settings\Temp。

2. 如果您的公司使用 Microsoft Office SharePoint Portal Server，則清空臨時文件夾 (My Documents\SharePoint Drafts)。

留意身後的窺視者。

當使用公共計算機時，請留心竊賊通過在您身後偷窺或注視您輸入敏感的密碼來收集您的信息。

不要在公共計算機上輸入敏感信息。

通過採取以上措施，可以防止偶爾有些黑客正好使用您用過的公共計算機並訪問您的信息。

但是切記，「刻苦的」竊賊可能已在公共計算機上安裝了復雜的軟體，記錄下每個擊鍵，然後將該信息通過電子郵件發送給竊賊。

然後，盡管您沒保存信息或已刪除歷史記錄， 他們仍然可以訪問此信息。

如果您確實想保證安全，請不要在任何公共計算機上鍵入信用卡號碼、任何其他財務信息或其他敏感信息。

❹ 網路安全技術應用有哪些

1、瑞星

是國產殺軟的龍頭老大，其監控能力是十分強大的，但同時佔用系統資源較大。瑞星採用第八代殺毒引擎，能夠快速、徹底查殺大小各種病毒，這個絕對是全國頂尖的。但是瑞星的網路監控不行，最好再加上瑞星防火牆彌補缺陷。另外，瑞星2009的網頁監控更是疏而不漏，這是雲安全的結果。

2、金山毒霸

金山毒霸是金山公司推出的電腦安全產品，監控、殺毒全面、可靠，佔用系統資源較少。其軟體的組合版功能強大（毒霸主程序、金山清理專家、金山網鏢），集殺毒、監控、防木馬、防漏洞為一體，是一款具有市場競爭力的殺毒軟體。

3、江民

是一款老牌的殺毒軟體了。它具有良好的監控系統，獨特的主動防禦使不少病毒望而卻步。建議與江民防火牆配套使用。本人在多次病毒測試中，發現江民的監控效果非常出色，可以與國外殺軟媲美。佔用資源不是很大。是一款不錯的殺毒軟體。

4、NOD32

NOD32是ESET公司的產品，為了保證重要信息的安全，在平靜中呈現極佳的性能。不需要那些龐大的互聯網安全套裝，ESET NOD32就可針對肆虐的病毒威脅為您提供快速而全面的保護。

5、安全衛士360

360安全衛士是一款由奇虎公司推出的完全免費(奇虎官方聲明：「永久免費」)的安全類上網輔助工具軟體，擁有木馬查殺、惡意軟體清理、漏洞補丁修復、電腦全面體檢、垃圾和痕跡清理、系統優化等多種功能。

❺ 計算機真隨機數都應用在什麼地方

首先，「真隨機」也有不同的含義，若想要「真正的真隨機」目測只能靠量子力學了。一般的所謂真隨機不是指這個，而是指統計意義上的隨機，也就是具備不確定性，可以被安全的用於金融等領域，下面說的也是這種。

答案是，計算機系統可以產生統計意義上的真隨機數。

大部分程序和語言中的隨機數（比如 C 中的，MATLAB 中的），確實都只是偽隨機。是由可確定的函數（常用線性同餘），通過一個種子（常用時鍾），產生的偽隨機數。這意味著：如果知道了種子，或者已經產生的隨機數，都可能獲得接下來隨機數序列的信息（可預測性）。

直觀來想，計算機是一種可確定，可預測的的設備，想通過一行一行的確定的代碼自身產生真隨機，顯然不可能。但是，我們或許可以迂迴一下……

實現方法簡單說就是軟硬結合，或者說，引入系統外的變數（把軟體，代碼，演算法想像成一個封閉的系統）。

一個典型的例子就是 UNIX 內核中的隨機數發生器（/dev/random），它在理論上能產生真隨機。即這個隨機數的生成，獨立於生成函數，這時我們說這個產生器是非確定的。

具體來講，UNIX 維護了一個熵池，不斷收集非確定性的設備事件，即機器運行環境中產生的硬體噪音來作為種子。

比如說：時鍾，IO 請求的響應時間，特定硬體中斷的時間間隔，鍵盤敲擊速度，滑鼠位置變化，甚至周圍的電磁波等等……直觀地說，你每按一次鍵盤，動一下滑鼠，鄰居家 wifi 信號強度變化，磁碟寫入速度，等等信號，都可能被用來生成隨機數。

更具體的，內核提供了向熵池填充數據的介面：

比如滑鼠的就是
void add_mouse_randomness(__u32 mouse_data)

內核子系統和驅動調用這個函數，把滑鼠的位置和中斷間隔時間作為噪音源填充進熵池。

所以，結論是，程序和演算法本身不能產生真隨機，但是計算機系統作為整體可以迂迴產生統計意義上的真隨機。

❻ 網路安全在實際生活中的應用

網路安全在實際生活中特別重要。有可能你在網頁瀏覽的時候跳出一條信息，如果點進去了，可能就下載病毒使你的手機或電腦中毒。
有網路安全這道門檻，許多病毒就不能在你手機或網路上下載。

❼ 數據加密技術在未來網路安全技術中的作用和地位

數據加密技術在計算機網路安全中的應用價值

互聯網行業遍布人們日常生活的方方面面，但是在帶來便利的同時也帶來了很多潛在的危險，尤其是互聯網的系統安全和信息數據安全成為首要問題，在這種情況下，數據加密技術的發展為計算機網路安全注入新的活力，為網路用戶的信息安全帶來保障。本文介紹了計算機網路安全的主要問題，即系統內部漏洞，程序缺陷和外界攻擊，病毒感染和黑客的違法行為等。並且闡述了數據加密技術在計算機網路安全中的主要應用，比如保護系統安全，保護信息和個人隱私，以及其在電子商務中的廣泛應用，可見數據加密技術為互聯網網路行業的飛速發展有重要影響，並且隨著數據加密技術的發展，必然會在未來在互聯網網路安全中發揮更大的作用。

【關鍵詞】網路安全 數據加密 個人信息 互聯網

1 引言

伴隨著信息化時代的發展，互聯網行業像一股席捲全球的浪潮，給人們的生活帶來翻天覆地的變化，為傳統行業注入了新的活力。但是同時也帶來了潛在的危機，當利用互聯網處理數據成為一種常態後，數據的安全就成為不容忽視的問題。因此互聯網行業面臨著信息數據泄露或被篡改的危險，這也是互聯網行業最主要的問題。在這種形勢下，數據加密技術應運而生，成為現在互聯網數據安全保障最有效的方式，毋庸置疑，數據加密技術在解決信息保密的問題中起到了十分重要的作用，進而在全球很大范圍內得到了廣泛應用，為互聯網行業的發展貢獻了不可或缺的力量，有著十分重要的意義。

2 網路安全問題――數據加密技術應用背景

2.1 內部漏洞

計算機網路安全問題來自內部漏洞和外界入侵，內部漏洞是指伺服器本身的缺陷，網路運行是無數個程序運行實現的，但是程序極有可能存在一定的漏洞，尤其是現在的網路操作都是不同用戶，不同埠同時進行，一旦其中一個埠受到入侵，其他用戶也會受到影響，這樣就形成一個網路漏洞，造成整個系統無法正常運行。除此之外，如果程序中存在的漏洞沒有被及時發現和正確處理，很可能被不法分子所利用，進行網路入侵，損害信息數據安全，威脅計算機網路安全。

2.2 外界攻擊

外界攻擊就是指計算機網路安全被不法分子利用特殊的程序進行破壞，不僅會使計算機網路系統遭到難以估量的破壞，更使重要信息數據泄露，造成慘重損失。尤其是現在隨著互聯網的發展，人們對於自己的隱私和信息有很強的保護意識，但是社交網路應用和網址埠的追蹤技術讓這些信息數據的安全性有所降低。如果計算機網路被嚴重破壞，個人信息和重要數據很容易被盜取，甚至會對原本的程序進行惡意修改，使其無法正常運行，這個被破壞的程序就成為一個隱患，一旦有數據通過此程序進行處理，就會被盜取或者篡改。

3 數據加密技術應用於網路安全的優勢分析

3.1 巧妙處理數據

數據加密技術對數據進行保護和處理，使數據就成為一種看不懂的代碼，只有擁有密碼才能讀到原本的信息文本，從而達到保護數據的目的。而數據加密技術基本有兩種，一種是雙方交換彼此密碼，另一種是雙方共同協商保管同一個密碼，手段不同，但是都能有效地保護信息數據安全。

3.2 應用領域廣泛

數據加密技術廣泛於各個方面，保護了計算機系統和互聯網時代的個人信息，維護了重要數據，避免被黑客輕易攻擊盜取信息，同時也促進了電子商務等行業的發展，並且使人們對於網路生活有了更高的信任度。相信通過不斷提升，數據加密技術會得到更加廣泛深刻的應用。

4 數據加密技術在網路安全中的應用探索

4.1 更好維護網路系統

目前，計算機數據處理系統存在一定的漏洞，安全性有待提升，數據易受到盜取和損壞。利用數據加密技術對網路系統進行加密，從而實現對系統安全性的有效管理。同時，這種類型的加密也是十分常見而通用的，一般上網路用戶會通過許可權設置來對網路系統進行加密，比如我們的個人電腦開機密碼就屬於對網路系統進行加密，只有擁有密碼才可以運行電腦程序，很好地保護了個人數據安全。或者，通過將數據加密技術科學合理運用，對外界信息進行檢查和監測，對原本存在的信息實現了兩重保護，利用防火牆的設置，只有擁有解鎖每個文件的秘密，才能獲得原本信息。

4.2 有力保障數據安全

計算機網路安全最重要的部分就是信息數據安全，尤其是處於信息時代，個人隱私和信息得到了前所未有的重視，也存在著很大的危險，而有了數據加密技術，這個問題便可迎刃而解。一般上，數據加密技術包括對數據的加密，維護，以及軟體加密，設置相應許可權，實時實地監控等，因為對數據進行了一定的保護和處理，使之成為一種看不懂的代碼，只有擁有密碼才能讀到原本的信息文本，從而達到保護數據的目的。在這些基本操作的基礎上，數據加密技術還擁有強大的備份能力，對該技術的數據資源能夠嚴格控制，進行自我檢測和修補漏洞，在防止外界攻擊基礎上進一步進行自我系統實時保護，全方位地加強計算機網路數據安全，也進一步保護了用戶的個人信息。

4.3 促進電商等的發展

電商的崛起可以說是一個劃時代的奇跡，現在越來越多的人投入到網購大軍，使用移動終端進行繳費購物等大大便利了人們的日常生活，但是購物繳費就涉及到錢財交易，不少不法分子利用這一網路行為，不斷用各種方法進行網路盜竊，給人們的財產造成巨大威脅。數據加密技術利用密碼對用戶的個人賬戶財產信息進行嚴格保密，不僅能夠抵抗病毒和危險程序的破壞，而且也有效地防止了不法分子的違法行為，在很大程度上令人們在網路購物變得安全而放心，從而也促進了電商的發展，為我國經濟可持續發展貢獻力量。

5 數據加密技術前景展望

互聯網飛速發展，為人民帶來便利的同時也帶來了潛在的危機，當利用互聯網處理數據成為一種常態後，數??的安全就成為不容忽視的問題 ，計算機數據加密技術通過對網路系統和軟體等加密，使原本的信息變成一種看不懂的代碼，只用擁有密碼才能讀到原本信息，從而保護了計算機數據。這項技術已經廣泛於各個方面，應用價值很高，不僅為電商的發展帶來便利，更加保護了計算機系統和互聯網時代的個人信息，維護了重要數據，避免被黑客輕易攻擊盜取信息。相信通過不斷提升，數據加密技術會得到更加廣泛深刻的應用。

❽ 隨機事件獨立性在信息安全領域的應用舉例

咨詢記錄 · 回答於2021-12-01

❾ 畢業設計 信息加密演算法分析及在網路傳輸中的應用怎麼做

由於網路所帶來的諸多不安全因素使得網路使用者不得不採取相應的網路安全對策。為了堵塞安全漏洞和提供安全的通信服務，必須運用一定的技術來對網路進行安全建設，這已為廣大網路開發商和網路用戶所共識。

現今主要的網路安全技術有以下幾種：

一、加密路由器(Encrypting Router)技術

加密路由器把通過路由器的內容進行加密和壓縮,然後讓它們通過不安全的網路進行傳輸,並在目的端進行解壓和解密。

二、安全內核(Secured Kernel)技術

人們開始在操作系統的層次上考慮安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。如S olaris操作系統把靜態的口令放在一個隱含文件中, 使系統的安全性增強。

三、網路地址轉換器(Network Address Translater)

網路地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,初衷是為了解決IP 地址不足,現多用於網路安全。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網路看不到內部網路, 從而隱藏內部網路，達到保密作用。

數據加密(Data Encryption)技術

所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數、解密鑰匙(Decryti on key)還原成明文。加密技術是網路安全技術的基石。

數據加密技術要求只有在指定的用戶或網路下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用於加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。

專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據後,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。

DES是一種數據分組的加密演算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,並在給定的密鑰參數條件下,進行多次迭代而得到加密密文。

公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的演算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA演算法。

在計算機網路中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)。通信加密又有節點加密、鏈路加密和端--端加密3種。

①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。

②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。

③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體泄漏也很有效。

在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。

值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。

(1)數字簽名

公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。

數字簽名一般採用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。

數字簽名不同於手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之後的,與文本信息是分離的。

(2)Kerberos系統

Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法。

它的安全機制在於首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。

Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:

①安全性高,Kerberos系統對用戶的口令進行加密後作為用戶的私鑰,從而避免了用戶的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令信息;

②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對於合法用戶來說是透明的;

③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全。

Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,並且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配伺服器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示。

Kerberos有其優點，同時也有其缺點，主要如下：

①、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。

②、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。

③、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴於AS和TGS的性能和安全。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。

④、隨用戶數增加,密鑰管理較復雜。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰

（ 3 ）、PGP演算法

PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的。公開密鑰和分組密鑰在同一個系統中,公開密鑰採用RSA加密演算法,實施對密鑰的管理;分組密鑰採用了IDEA演算法,實施對信息的加密。

PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平台上運行。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等。

(4)、PEM演算法

保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基於RSA和DES演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:

對所有報文都提供諸如:驗證、完整性、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等。

PEM對報文的處理經過如下過程:

第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;

第二步,MIC(Message Integrity Code)計算;

第三步,把處理過的報文轉化為適於SMTP系統傳輸的格式。

身份驗證技術

身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節。

Web網上採用的安全技術

在Web網上實現網路安全一般有SHTTP/HTTP和SSL兩種方式。

（一）、SHTTP/HTTP

SHTTP/HTTP可以採用多種方式對信息進行封裝。封裝的內容包括加密、簽名和基於MAC 的認證。並且一個消息可以被反復封裝加密。此外,SHTTP還定義了包頭信息來進行密鑰傳輸、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境。

SHTTP並不依賴於特定的密鑰證明系統,它目前支持RSA、帶內和帶外以及Kerberos密鑰交換。

（二）、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標准。SSL廣泛應用於Intranet和Internet 網,其產品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器,以及諸如Apa che-SSL等產品。

SSL提供三種基本的安全服務,它們都使用公開密鑰技術。

①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL伺服器之間的所有業務使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯。 ②信息完整性,確保SSL業務全部達到目的。如果Internet成為可行的電子商業平台,應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,並在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一台支持SSL的典型網路主機接受SSL連接的默認埠是443而不是80。

當客戶機連接該埠時,首先初始化握手協議,以建立一個SSL對話時段。握手結束後,將對通信加密,並檢查信息完整性,直到這個對話時段結束為止。每個SSL對話時段只發生一次握手。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低。一次SSL握手將發生以下事件:

1.客戶機和伺服器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。

2.客戶機隨機地產生一組密鑰,它們用於信息加密和MAC計算。這些密鑰要先通過伺服器的公開密鑰加密再送往伺服器。總共有四個密鑰分別用於伺服器到客戶機以及客戶機到伺服器的通信。

3.信息加密演算法(用於加密)和hash函數(用於確保信息完整性)是綜合在一起使用的。Netscape的SSL實現方案是:客戶機提供自己支持的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。

代理服務

在 Internet 中廣泛採用代理服務工作方式, 如域名系統(DNS), 同時也有許多人把代理服務看成是一種安全性能。

從技術上來講代理服務(Proxy Service)是一種網關功能,但它的邏輯位置是在OSI 7層協議的應用層之上。

代理(Proxy)使用一個客戶程序,與特定的中間結點鏈接,然後中間結點與期望的伺服器進行實際鏈接。與應用網關型防火牆所不同的是,使用這類防火牆時外部網路與內部網路之間不存在直接連接,因此 ,即使防火牆產生了問題,外部網路也無法與被保護的網路連接。

防火牆技術

(1)防火牆的概念

在計算機領域,把一種能使一個網路及其資源不受網路"牆"外"火災"影響的設備稱為"防火牆"。用更專業一點的話來講,防火牆(FireW all)就是一個或一組網路設備(計算機系統或路由器等),用來在兩個或多個網路間加強訪問控制,其目的是保護一個網路不受來自另一個網路的攻擊。可以這樣理解,相當於在網路周圍挖了一條護城河,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查。

防火牆的組成可以這樣表示:防火牆=過濾器+安全策略(+網關)。

(2)防火牆的實現方式

①在邊界路由器上實現;
②在一台雙埠主機(al-homed host)上實現;
③在公共子網(該子網的作用相當於一台雙埠主機)上實現,在此子網上可建立含有停火區結構的防火牆。

(3)防火牆的網路結構

網路的拓撲結構和防火牆的合理配置與防火牆系統的性能密切相關,防火牆一般採用如下幾種結構。
①最簡單的防火牆結構
這種網路結構能夠達到使受保護的網路只能看到"橋頭堡主機"( 進出通信必經之主機), 同時,橋頭堡主機不轉發任何TCP/IP通信包, 網路中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持。但它把整個網路的安全性能全部託付於其中的單個安全單元,而單個網路安全單元又是攻擊者首選的攻擊對象,防火牆一旦破壞,橋頭堡主機就變成了一台沒有尋徑功能的路由器,系統的安全性不可靠。

②單網端防火牆結構

其中屏蔽路由器的作用在於保護堡壘主機(應用網關或代理服務) 的安全而建立起一道屏障。在這種結構中可將堡壘主機看作是信息伺服器,它是內部網路對外發布信息的數據中心,但這種網路拓撲結構仍把網路的安全性大部分託付給屏蔽路由器。系統的安全性仍不十分可靠。

③增強型單網段防火牆的結構

為增強網段防火牆安全性,在內部網與子網之間增設一台屏蔽路由器,這樣整個子網與內外部網路的聯系就各受控於一個工作在網路級的路由器,內部網路與外部網路仍不能直接聯系,只能通過相應的路由器與堡壘主機通信。

④含"停火區"的防火牆結構

針對某些安全性特殊需要, 可建立如下的防火牆網路結構。 網路的整個安全特性分擔到多個安全單元, 在外停火區的子網上可聯接公共信息伺服器,作為內外網路進行信息交換的場所。

網路反病毒技術

由於在網路環境下,計算機病毒具有不可估量的威脅性和破壞力, 因此計算機病毒的防範也是網路安全性建設中重要的一環。網路反病毒技術也得到了相應的發展。

網路反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。(1) 預防病毒技術,它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術是:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒卡)等。(2)檢測病毒技術,它是通過對計算機病毒的特徵來進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。(3)消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟體。

網路反病毒技術的實施對象包括文件型病毒、引導型病毒和網路病毒。

網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和監測;在工作站上採用防病毒晶元和對網路目錄及文件設置訪問許可權等。

隨著網上應用不斷發展,網路技術不斷應用,網路不安全因素將會不斷產生，但互為依存的，網路安全技術也會迅速的發展,新的安全技術將會層出不窮，最終Internet網上的安全問題將不會阻擋我們前進的步伐！