信息网络安全机制研究与应用.docVIP

信息网络安全机制的研究与应用 　　摘要:网络信息安全问题的重要性日益凸现。全文首先介绍了以信息为中心的网络安全策略,指出其与传统的网络安全侧重点的不同。随后从四个方面介绍了如何建设信息网络安全机制:网络信息加密与解密,登陆认证控制,多级访问控制,信息网络安全技术措施等。 　　关键词:网络信息 信息安全 安全机制 　　 　　0 引言 　　信息安全不仅要保证其在本地的存储安全,还需要保证其在网络传输中的安全。因此设计一套完整的安全机制,如登录认证、多级访问控制、密钥管理、审计等机制实现信息从储存、传输、接收各个环节的安全控制具有非常的现实意义。 　　1 以信息为中心的网络安全策略 　　网络作为信息传递的重要途径,使得网络安全已经从传统的系统安全转移到信息本身的安,因为前者更多的关注整个网络系统及子系统、计算机或应用系统的安全性,即系统以及所提供服务的稳定性和可靠性,而后者则以涉及到对个人、家庭、企业、国家等具有重要意义的数据层面上,它强调更细粒度的控制。伴随着TCP/IP协议群在互联网上的广泛采用,计算机、通信、网络技术的发展,因特网的互联性、开放性、国际性、自由性、共享性在带给人们生活巨大便利的同时,也让信息暴露在人们面前,因为开放性的网络其技术必然是全开放的,它所面临的破坏和攻击也是多方面的[1]。因此,建立以信息为中心的网络安全机制是业界普遍关注的问题,它涉及到信息传输(如数据加密、信息完整性鉴别)、存储(如数据库和终端安全)以及对网络传输信息内容的审计、用户识别(如内容审计、密钥、口令、指纹、视网膜、声音、智能卡、令牌卡)等方面,其目的是保证信息的保密性、完整性、可用性、可控性,让有可能被侵犯或破坏的机密信息不被外界非法操作者的控制。 　　2 信息网络安全机制建设 　　信息网络安全机制建设可以从以下几方面进行: 　　2.1 网络信息加密与解密 网络信息在传递过程中,要经过众多网络安全节点,如防火墙、路由器、交换机、终端机等,在存储转发的过程中容易造成信息泄露、失真等,因此对网络信息进行加密是保证网络通信安全的基础。①RC4流密码算法。它由两部分组成,KSA和PRGA。前者用于完成对大小为256的字节数组的初始化及替换,其密钥长度一般取5~16个字节,即40~128位。如对于数组S,它可以通过对j的赋值,即重复使用密钥j=(j+S[i]+key[i%keylength])%256,以及swap(s[i],s[j]实现两者的信息交换。但是这并不足以保证信息安全,因此继续使用PRGA(伪随机密钥产生算法),对每个s[i],根据当前的s值,将S[i]与S中的另一字节置换,如此循环。②RSA算法,该算法是第一个能同时用于加密和数字签名的算法,它被认为是目前最优秀的公钥方案之一。其过程如下:a选取两个长度一样的大素数p和q,且n=p*q,其中n为模。b计算欧拉函数φ(n)=(p-l)*(q-l),选取加密密钥e,其与φ(n)互素,常用的e值为3、17、65537等。c使用扩展欧几里德算法求出e模φ(n)的逆元d,即ed=1modφ(n)。由此公钥为e和n,私钥为d,p和q可以丢弃,但是必须保密。d对S信息加密时,将其看成一个大整数,并把它分成比n小的数据分组,按公式ci=siemodn,解密时针对Ci,且mi=cidmodn[2]。由此可见,该算法比较依赖于大整数因子分解,如果密钥位数不够长,那么通过计算机技术进行解密的时间会随着技术的提高而缩短,威胁性也就越大。 　　2.2 登陆认证控制 传统上的登录认证都采取以下几种方式:“用户名+密码”认证,通过提问认证,根据用户的生物特征认证(如指纹、视网膜、声音等),根据用户拥有什么认证(如银行系统采用的口令卡、U盾,门禁系统的准入卡等)。各种方法各有优劣,但是根据用户所有进行认证的方式相对更加安全,而且通过电子系统使用多种方式实现。本文提出将“用户名+密码”认证与动态口令认证相结合的方式作为网络信息登录认证的控制机制。其基本思想是:让系统在每次认证过程中获得一个随机数,并根据随机数生成动态口令。具体实现过程如下:系统首先为每个用户生成一套RSA加密算法的公钥和私钥,公钥存储在存储卡上,用户则掌管自己的私钥,登陆时,系统会按照一定的加密算法将公钥发给用户,而用户则通过一定的手持设备,对公钥进行解密,然后实现登陆。这种方法有以下优点:口令是动态的,极大的增加了被截取的难度;存储在系统中的只是公钥,要登陆系统必须获取到相关的私钥信息,而私钥设备一般有持有人所保持。 　　2.3 多级访问控制 网络信息的重要程度是不同的,访问信息的主体其权限也是不相同的,因此设定多级访问控制权限是非常必要的。本文提出两种多级访问控制体系:①基于数据库的多级权限限制,其基本思想是将人的权限分