|
||||
|
||||||||
关于计算机网络安全通讯的几点体会 杜昌钰 贵州省电子工业学校 |
|
杜昌钰 贵州省电子工业学校 计算机网络通讯是网络中的重要组成部分。怎样保证计算机网络通讯的安全,是广 大计算机技术人员及用户所关心的问题。本文将从物理设备安全、数据传输安全、用户识 别等方面对这一问题进行阐述。 一、物理安全 物理安全主要是指计算机及网络设备的安全,即为保证数据不会从物理设备上被窃取 所采取的保护措施。 对于早期的计算机系统来说,只要在计算机中心房屋的门口站上几个警卫值班人员, 就可以解决问题,除非得到许可,任何人都不能从房里带走设备、磁盘和资料等。 而网络的出现,打破了这一原始的安全措施。首先你无法每时每刻监视网络中各台计 算机之间传输的数据,并且各种组织机构也不能保证数据在传输过程中不被窃听或截取、 复制。网络系统连接在不同的房间之间、楼房之间、各单位及各部门之间,窃密者只要设 法找到计算机之间的连接线,就可以进行窃密。 解决的办法可使用一些简单的技术,如密封电缆等,但代价较高;在密封电缆上加检 测器和报警器,如果电压等参数发生变化,那么很可能在某处被插入了新的电缆,当然也 可能是自然事故,但更可能是窃密事故。另外,在网络进行工作时,及时断开本计算机的 连线,也是防范窃密的手段之一。 更进一步的物理安全是在调制解调器上完成,通过对口令进行验证,再挂上相应的联 系。它无须对保护系统本身做任何改进,但这种方法不能保证有人会通过其它途径非法进 入你的系统。 使用光导纤维进行通信是一个较好的选择。光纤没有电磁辐射,虽然有一个最大长度 的限制,但可以不使用最大限制的光纤,而用带有密封机壳、报警防护装置的转发器等解 决问题。 微波和卫星通信有直接、快捷、清晰的优点,是计算机网络常用的传输手段。但是通 过空间介质传送的信息容易被窃取,窃者只需装上个卫星接收天线即可。解决办法是对传 输数据进行加密,增加窃者获取正确数据的难度。另外,通信安全需要注意的是防电磁辐 射问题,通常这种泄密来源于磁介质读写、刷新、打印及电路转换等。防止电磁信息辐射 的有效技术是进行电磁屏蔽。 由于物理上的安全受技术、资金等各方面的限制。不能完全杜绝采取入侵手段。所以 ,对网络传输的加密是保证网络通讯安全的一个十分重要的手段。 二、数据加密 1.加密、解密和密钥 通常把待加密的正常数据报文称为“明文”,它是一个以密钥(key)为参数的函 数转换。加密处理的输出称为“密文”或“密码”,它常由邮差或无线电发送数据加密的 基本模型如图1所示。 @@482107T1.PCX;图一@@ 明码变为密码称为正变换,执行加密算法e;反之把密码变为明码执行反变换,执行 算法d。对算法e、d,一般并不保密,但执行过程必须加入密钥参数e、d才获得正确 的结果。所以,数据保密的安全性,是由密钥值k的保密程度决定的。 2.加密的基本类型 (1)移位密码:改变明文中每个字符或代码的相对位置获得密码,如交换字符、代 码的前后位置、串行循环移位(如cfgh变换为hefg)等。 (2)代替密码:用其它字符或代码代替明文字符,从而获取密码,如hefg用d ahc代替。 (3)乘积密码:通过混和代替法使明文变成难以破译的方法。 从本世纪历次大战争来看,乘积密码是较为可靠的加密方法。但一般实际的加密过程 ,都是上述三种密码经过多次变换迭代生成的,单用一种很易破译。 3.具体的加密体制介绍 DES体制: DES(Date Encryption Standard)是 美国国家标准局的数据加密标准,由IBM公司的W·Tuchman和C·Meyer s于1971~1972年研制成功,1971年7月15日生效。由于采用标准算法x 3.92,已用大规模集成电路实现了这种复杂算法。 DES算法首尾采用代替密码,中间步骤进行加密变换,是本算法的核心。明文以6 4位为块进行加密,产生64位密文,它实行16次循环迭代后输出密码。每一次迭代均 选用不同的密钥k,实行乘积密码变换,形成乘积密码,经过处理后得到乘积函数(密码 函数)。 该算法要求解密过程必须是上述变换的逆过程。 在主密钥的64bit中,8bit作为奇偶检码,56bit作为有效密钥,因此 ,有2种密码输出,保密性能是比较可靠的。 (2)RSA体制:RSA是Riverst、Shamir、Adleman三个 字的缩写。基本思想是公开密钥密码。所谓“公开”就是加密密钥公开,而对解密密钥进 行保密。假设a报文发给b,那么a只要查一下钥本上有关b的加密密钥,然后用这个公 开密钥对明文进行加密后发给b,b收到后用自己的解密密钥即可解密。 4.计算机网络中数据通信的安全 实际的网络密设施主要有链路加密和端一端加密。 (1)链路加密:链路加密是在网络的两个节点之间把数据译成密码。例如在不同地 方的计算中心,构成一个网络,各计算中心有几个系统连接到该网络上,那么,加密可以 在数据离开一个中心时进行加密,到达另一中心时进行解密。而对每个中心之间的传输线 可以使用不同的密钥(key)。同时,各中心的诸用户也只能有一个密钥(假设只有一 条链路)。通常的做法是,采用密码调制解调器,加密后作为硬件附设在调制解调器内, 使用灵活、方便。 (2)端一端加密:端-端加密是当数据进入网络时进行加密,当数据离开网络时立 刻解密,网络本身并不知道它传输的数据是加密的。其优点是网络上的每个用户可以有不 同的密钥,并且网络自身不必为加密作特殊准备;缺点是必须为每个系统设置一个加密的 名和专门的软件模块接口。 对于计算机网络来说,DES加密算法和RSA加密算法都同样适用,只不过DES 作为一个块置换密码,对错误丢失、改动数据、注册会话、密钥管理、分配和更新等问题 不能满足这么多的要求。 RSA公开密钥密码体制较好地解决了通信用户数量及其庞大的密钥的分发问题,可 以与数量不确定的大量用户进行保密通信,但在公开密钥的管理和使用以及能否有公正可 依赖的第三者方面也存在着问题,还需要在实际使用过程中获得满意的答案。 三、用户识别 为了使系统能判别是否允许用户存取数据,避免通过传输线进行非法的数据传送以及 防复制、篡改等,系统需要对第一个用户进行识别,常用的识别方法有: (1)口令:口令是常用的识别用户的手段。一个口令字应做到不易猜到;对合法用 户易于记忆;随时可以改变;保密性强。 口令字的选择最好不要选个人有意义的字或数(如生日、电话号码等),而是由计算 机系统来随机产生,这样较安全,但难记忆。 对口令字实行有效期使用也是一种好方法,如设置固定有效期、不固定有效期及一次 性口令等。 (2)唯一标识符(唯一ID);高度安全系统需要在存取控制和进行管理时精确而 唯一地标识用户。 较理想的是,每个用户的唯一id是由系统在用户建立是时生成的一个数字,而且该 数字在系统周期内不会被别的用户再使用。 产生唯一id的方法可利用计数器的值,但一般计数器和规律容易破译,所以,利用 实时时钟来确定唯一id比较合适。但需解决时钟设置错误所带来的id重复问题。 (3)标记(token)识别:一个标记是一个口令的物理实现,多数标记识别系 统一般是使用一些包括一个随机精确码卡片的形式(如磁卡)代替系统打入一个口令。一 个用户必须具有一个卡片,但可用于多个口令的使用,以增强安全性。 (4)特征识别(charactenistics) 人的很多物理特征,如指纹、签名、声波和视网膜识别都可以作为识别用户的手段。 但这些方法还不十分完善,并且价格昂贵,也不是100%的可靠。 四、结束语 计算机网络在我国正处于蓬勃发展时期。计算机、半导体、集成电路及其它新技术的 发展,必然会对计算机网络安全带来新的挑战。 因此,所谓的“安全”都不是永久性的,我们对计算机系统安全所做的努力也是不会 停止的。 @@482107T2.PCX;图二@@ @@482107T3.PCX;图三@@ (计算机世界报 1994年 第10期) |
周报全文频道联系方式:010-68130909 |
||||||
| 【关于我们】 【广告服务】 【周报发行】 【投稿指南】 【投稿声明】 【联系方式】 【法律声明】 【媒体手册】 【编读往来】 |
||||||
| Copyright© ccw.com.cn,All rights reserved | ||||||
| 中国计算机世界出版服务公司版权所有 | ||||||