现今主要的网络安全技术有以下几种:
一、加密路由器(Encrypting Router)技术
加密路由器把通过路由器的内容进行加密和压缩,然后让它们通过不安全的网络进行传输,并在目的端进行解压和解密。
二、安全内核(Secured Kernel)技术
人们开始在 *** 作系统的层次上考虑安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。如S olaris *** 作系统把静态的口令放在一个隐含文件中, 使系统的安全性增强。
三、网络地址转换器(Network Address Translater)
网络地址转换器也称为地址共享器(Address Sharer)或地址映射器,初衷是为了解决IP 地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址;相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络, 从而隐藏内部网络,达到保密作用。
数据加密(Data Encryption)技术
所谓加密(Encryption)是指将一个信息(或称明文--plaintext) 经过加密钥匙(Encrypt ionkey)及加密函数转换,变成无意义的密文( ciphertext),而接收方则将此密文经过解密函数、解密钥匙(Decryti on key)还原成明文。加密技术是网络安全技术的基石。
数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。
专用密钥,又称为对称密钥或单密钥,加密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。
DES是一种数据分组的加密算法,它将数据分成长度为6 4位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到6 4位的杂乱无章的数据组;第二步将其分成均等两段 ;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。
公开密钥,又称非对称密钥,加密时使用不同的密钥,即不同的算法,有一把公用的加密密钥,有多把解密密钥,如RSA算法。
在计算机网络中,加密可分为"通信加密"(即传输过程中的数据加密)和"文件加密"(即存储数据加密)。通信加密又有节点加密、链路加密和端--端加密3种。
①节点加密,从时间坐标来讲,它在信息被传入实际通信连接点 (Physical communication link)之前进行;从OSI 7层参考模型的坐标 (逻辑空间)来讲,它在第一层、第二层之间进行; 从实施对象来讲,是对相邻两节点之间传输的数据进行加密,不过它仅对报文加密,而不对报头加密,以便于传输路由的选择。
②链路加密(Link Encryption),它在数据链路层进行,是对相邻节点之间的链路上所传输的数据进行加密,不仅对数据加密还对报头加密。
③端--端加密(End-to-End Encryption),它在第六层或第七层进行 ,是为用户之间传送数据而提供的连续的保护。在始发节点上实施加密,在中介节点以密文形式传输,最后到达目的节点时才进行解密,这对防止拷贝网络软件和软件泄漏也很有效。
在OSI参考模型中,除会话层不能实施加密外,其他各层都可以实施一定的加密措施。但通常是在最高层上加密,即应用层上的每个应用都被密码编码进行修改,因此能对每个应用起到保密的作用,从而保护在应用层上的投资。假如在下面某一层上实施加密,如TCP层上,就只能对这层起到保护作用。
值得注意的是,能否切实有效地发挥加密机制的作用,关键的问题在于密钥的管理,包括密钥的生存、分发、安装、保管、使用以及作废全过程。
(1)数字签名
公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者, 即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。
数字签名一般采用不对称加密技术(如RSA),通过对整个明文进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。当然,签名也可以采用多种方式,例如,将签名附在明文之后。数字签名普遍用于银行、电子贸易等。
数字签名不同于手写签字:数字签名随文本的变化而变化,手写签字反映某个人个性特征, 是不变的;数字签名与文本信息是不可分割的,而手写签字是附加在文本之后的,与文本信息是分离的。
(2)Kerberos系统
Kerberos系统是美国麻省理工学院为Athena工程而设计的,为分布式计算环境提供一种对用户双方进行验证的认证方法。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户;如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其验证是建立在对称加密的基础上的。
Kerberos系统在分布式计算环境中得到了广泛的应用(如在Notes 中),这是因为它具有如下的特点:
①安全性高,Kerberos系统对用户的口令进行加密后作为用户的私钥,从而避免了用户的口令在网络上显示传输,使得窃听者难以在网络上取得相应的口令信息;
②透明性高,用户在使用过程中,仅在登录时要求输入口令,与平常的 *** 作完全一样,Ker beros的存在对于合法用户来说是透明的;
③可扩展性好,Kerberos为每一个服务提供认证,确保应用的安全。
Kerberos系统和看的过程有些相似,不同的是只有事先在Ker beros系统中登录的客户才可以申请服务,并且Kerberos要求申请到入场券的客户就是到TGS(入场券分配服务器)去要求得到最终服务的客户。
Kerberos的认证协议过程如图二所示。
Kerberos有其优点,同时也有其缺点,主要如下:
①、Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
②、Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
③、AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全。在AS和TGS前应该有访问控制,以增强AS和TGS的安全。
④、随用户数增加,密钥管理较复杂。Kerberos拥有每个用户的口令字的散列值,AS与TGS 负责户间通信密钥的分配。当N个用户想同时通信时,仍需要N(N-1)/2个密钥
( 3 )、PGP算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 从80年代中期开始编写的。公开密钥和分组密钥在同一个系统中,公开密钥采用RSA加密算法,实施对密钥的管理;分组密钥采用了IDEA算法,实施对信息的加密。
PGP应用程序的第一个特点是它的速度快,效率高;另一个显著特点就是它的可移植性出色,它可以在多种 *** 作平台上运行。PGP主要具有加密文件、发送和接收加密的E-mail、数字签名等。
(4)、PEM算法
保密增强邮件(Private Enhanced Mail,PEM),是美国RSA实验室基于RSA和DES算法而开发的产品,其目的是为了增强个人的隐私功能, 目前在Internet网上得到了广泛的应用,专为E-mail用户提供如下两类安全服务:
对所有报文都提供诸如:验证、完整性、防抵 赖等安全服务功能; 提供可选的安全服务功能,如保密性等。
PEM对报文的处理经过如下过程:
第一步,作规范化处理:为了使PEM与MTA(报文传输代理)兼容,按S MTP协议对报文进行规范化处理;
第二步,MIC(Message Integrity Code)计算;
第三步,把处理过的报文转化为适于SMTP系统传输的格式。
身份验证技术
身份识别(Identification)是指定用户向系统出示自己的身份z明过程。身份认证(Authertication)是系统查核用户的身份z明的过程。人们常把这两项工作统称为身份验证(或身份鉴别),是判明和确认通信双方真实身份的两个重要环节。
Web网上采用的安全技术
在Web网上实现网络安全一般有S>1〉baiducom就是域名!!
2〉域名就是网址,通俗地讲就是企事业单位和公司在因特网上的名称。域名的英文为Domain Name,是互联网上一个企业或机构的名字,是互联网上企事业间相互联系的地址。就象我们门牌号码一样。域名的形式是以若干个英文字母和数字组成,由“”分隔成几份。
具体的可以到中国互联网信息中心去查看一下 网站是cnniccn
3〉一、什么是国际域名
域名是连在因特网上的电脑易记的名字, 相当于因特网上所谓的IP地址。域名通常用作在因特网查寻信息及互相联系的捷径。下面是一些你们或许已经很熟悉的域名的例子: yahoocom(属于雅虎公司) AOLcom(属于美国在线公司)
二、国际域名和国内域名两者之间有什么区别?
国际域名是用户可注册的通用顶级域名的俗称。它的后缀为com、net或org。国内域名不同于中文域名,国内域名也称CN域名,是后缀为cn的域名,它比国际域名低一个层次。二者注册机构不同,在使用中基本没有区别。 只是目前个人还不能注册国内域名。在注册时,如果您申请的是govcn,域名申请后还需要提交一些材料(申请域名表和申请单位的机构代码证书),需要把以上材料邮寄给我们后域名才能成功。
三、国内域名注册条件是什么?
1)域名注册申请人必须是依法登记并且能够独立承担民事责任的组织,个人不能申请注册域名。域名注册申请表中的各类联系人都是代表组织来办理域名注册申请的各项事宜。域名承办人并不是以个人身份来办理域名注册申请,而是代表组织。
2)外国企业或机构在CN的二级域名下注册域名需要什么条件?
其主域名服务器设在中国境内。
四域名所有人与域名管理联系人有什么区别?
域名所有人与域名管理联系人是不同的概念。任何一级注册商提供的域名WHOIS检索结果中,第一项是Registrant,即域名注册者,也是域名所有人。第二项是域名管理联系人,然后依次是域名技术和付费联系人。域名所有人在登记注册的时候可以要求把这些联系人都填成自己,并留下自己的电子信箱地址。但这反而给安全留下了隐患,原因如次: 域名所有者可以通过域名管理联系人或技术联系人来申请对除域名本身和域名所有人之外的注册信息进行修改。一级域名注册商凭什么来判断某个修改申请是否真实或是否来自于域名所有人呢?判断的标准是请求发出的邮件地址是否与注册信息中的域名管理联系人邮箱吻合。由于存在伪造,这种方法最不可靠。为提高安全性,NSI等提倡用户采用PGP加密,即它要求有关联系人事先将自己的公共密钥(public key)发给NSI,然后在每次发出的信息上进行电子签名以示真伪。鉴于中国的多数域名注册者对PGP或其它口令加密并不熟悉,第一主机本着为用户解难的宗旨,自己充当域名管理联系人和技术联系人,代表客户完成一切上述请求。 而作为付款联系人,网络公司替域名消费者解决了币值转换和银行汇兑的诸多麻烦。 还有,多数中国域名消费者不擅外文,由网络公司居中联系,省却了他们沟通障碍。如您要将域名管理联系人改为您自己也是可以的,但我们将不再负责此域名的安全问题,如您对此事有任何疑问,可直接与我们联系。 总而言之,您注册的域名将完全属于您,这一点毫无问题。此域名的域名管理联系人是我公司,我们只是为您管理域名。
五、注册国际域名可以使用哪些字符?
答:英文26个字母和10个阿拉伯数字以及横杠“-”(减号)可以用作域名。字母的大小写没有区别。 但域名最长不能超过63个字符,且“-”(减号)不能出现在字符串的最前或最后。
六、注册域名后什么时候可以正式生效?
答:您在线预注册的国际域名,在我们收到您的注册费或传真交费确认后,即可以生效,但在您在线预注册后到您付费期间您所选择的域名有可能被其他注册机构抢先付费注册成功,所以我们建议您尽快交费,以免丢失您的宝贵域名。
七、注册域名后什么时候可以正式生效?
每台电脑在因特网上都有一个或多个用于标志电脑的位置其数字地址,称为IP地址 IP地址的例子如:2042342121。这种定位系统对于人类来说较为厌烦并且难以记忆, 有域名就可以不用记IP地址了。
八、谁是国际域名管理机构
ICANN是一个近年成立的、代替NSI公司的的非盈利机构,其主要职能包括管理因特网域名及地址系统。有关ICANN的信息可在网址: ICANN中查询
九、什么是域名地址服务器(即DNS)
域名服务器用于把域名翻译成电脑能识别的IP地址。例如,如果有人要访问“第一主机”的网站 (>Web服务器向浏览器/服务器发送其SSL证书的副本。浏览器/服务器检查它是否信任SSL证书。如果是,它会向Web服务器发送一条消息。Web服务器发回经过数字签名的确认以启动SSL加密会话。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)