信息安全技術綜述

文/張瑜

（云南大學旅游文化學院信息學院 云南省麗江市 674100）

1 引言

隨著信息技術的發展，人們的工作與生活與信息技術息息相關，隨著網上購物與手機支付普及，手機銀行的使用，信息安全的問題無處不在，時常聽到有人說QQ 號被盜，銀行卡里的錢被轉走了等，這些都是由于個人的重要信息的泄露原因，因此信息安全問題也越來越備受關注，信息安全問題不僅威脅到個人，同時已經威脅到國家的政治，經濟，軍事等眾多領域。

信息安全是指保護信息系統的軟硬件和數據資源，不要因為偶然的或者惡意的行為受到篡改、泄露或破壞。這里的信息系統從廣義上說：凡是提供信息服務的系統；而從狹義上說是指計算機系統。信息系統的基本要素分為三部分：人、信息、系統。系統安全主要對應物理安全和運行安全；信息安全主要指數據安全和內容安全；人的安全主要是通過管理來保證。系統和信息兩部分的安全需要信息安全的重要技術來保證。

2 系統安全技術

系統安全主要由物理安全和運行安全兩部分組成。物理安全主要是指實體安全與環境安全，目的是研究如何保護物理設備的安全和環境的安全。主要的物理安全技術包括防偷盜、防火災、防靜電、防雷擊、防泄漏和物理隔離等安全技術。信息安全的基礎和前提是物理安全，如果不能保證物理安全，那么談其他安全均沒有意義的。

運行安全是信息系統的運行過程和狀態的保護。運行安全主要安全技術包括身份認證、訪問控制、防火墻、入侵檢測和容侵技術、容錯技術等。

2.1 身份認證技術

在安全信息系統的設計中，身份認證是第一道關卡，用戶在訪問系統前，起先經過身份認證來識別身份，系統再由用戶的身份和授權決定用戶是否有權限訪問資源。

身份認證是信息系統對登錄者身份進行辨認的過程，即系統證實用戶真實身份與自己所聲稱的身份是否一致的過程。

經常使用的身份認證主要包括基于用戶口令的認證、基于密碼系統的認證和基于生物特征的認證。

基于口令認證的原理是通過比較用戶輸入的口令與系統內部儲存的口令是否一致來判斷用戶的身份。基于口令認證是最簡單、最常用的認證技術。由于口令認證容易受黑客攻擊，因此安全性較差。

基于密碼系統的認證主要包括基于對稱密鑰密碼的認證和基于公鑰密碼的認證技術。基于對稱密鑰的認證主要有基于挑戰-應答方式的認證，Needham-schroeder 認證和Kerberos 認證，而后兩種認證必須依賴可信的第三方認證服務來分發共享密鑰。而基于挑戰-應答方式的認證，因為共享的對稱密鑰只有信息交換的雙方才知道，所以發起的挑戰信息加密后也只有他們雙方能解密。基于公鑰的認證主要有Needham-schroeder 公鑰認證和CA 數字證書的認證。CA是權威可信的第三方認證中心，是用來分發共鑰的和簽發數字證書。數字證書是經過CA 簽名的包含擁有者身份信息和公開密鑰的電子文檔。Needham-schroeder 公鑰認證是發送者用私鑰加密挑戰信息，接收者用發送者的公鑰解密，由于只有發送者知道私鑰，于是驗證了發送者的身份。

基于生物特征的認證是指計算機通過使用人固有的生理或行為特征識別用戶的身份。因為生理特征多為先天性的，不易改變；而行為習慣大部分是后天養成的，稱為行文特征，因此將生理與行為特征統稱為生物特征。常見的生物特征認證主要有指紋、臉形、聲音、紅膜、筆跡等。生物特征認證與之前的認證相比，具有不易偽造、不易復制的特點，故此認證方式安全性更高。生物特征的認證方式對現在的人并不陌生，因為指紋識別和人臉識別的認證技術在手機中使用比較普遍。圖1 是生物特征認證系統的結構。

2.2 訪問控制技術

訪問控制策略是保證信息系統安全的重要技術。訪問控制技術是管控用戶對資源進行訪問。訪問控制由主體、客體和訪問控制策略三者構成。實現訪問控制模型有自主訪問控制、強制訪問控制和基于角色的訪問控制模型。自主訪問控制是允許授權者訪問系統控制策略許可的資源，同時阻止非授權者訪問資源，某些時候授權者還可以自主把自己擁有的某些權限授予其他授權者的一種訪問控制模型，該模型的不足就是人員發生較大變化時，需要大量的授權工作，因此系統容易造成信息泄露。強制訪問控制是一種多級訪問控制策略，系統首先給訪問主體和資源賦予不同的安全屬性，在實現訪問控制時，系統先對訪問主體和受控制資源的安全級別進行比較，再決定訪問主體能否訪問客體。強制訪問控制的優點是授權形式相對簡單，工作量小，但不適合訪問策略復雜的系統。角色訪問控制模型是將訪問權限分配給特定角色，授權用戶通過扮演不同身份角色取得角色擁有的訪問控制權。角色訪問控制模型剛好解決了自主訪問控制模型和強制訪問控制模型的不足。文件系統的安全策略就是使用基于角色訪問控制模型，針對系統管理員和普通用戶的訪問權限不同。

2.3 防火墻技術

防火墻是在內網和外網之間，實施訪問控制規則的一個程序，從外網流入所有信息流都必須經過防火墻，只有與安全規則策略相符的信息包才能通過防火墻，不相符信息包則選擇丟棄。防火墻是保護內網不受外來非法用戶的入侵。防火墻是網絡防御體系中的第一道防線。防火墻的主要作用：

（1）網絡流量過濾，只有與安全規則策略相符的數據包才能通過，這明顯加強了內網的安全性。

（2）網絡審計監控，防火墻監視控制了所有外來訪問信息包，并記錄了所有的數據訪問并生成訪問日志。當發現有可疑信息包時，防火墻就會發出警報，并提供可疑信息包的內容。

（3）支持NAT 的部署，大多數防火墻都會支持NAT 技術。NAT 是網絡地址翻譯，是用來緩解網絡地址短缺問題。但使用IPv6 協議后網絡地址短缺問題就不存在了。

（4）支持隔離區DMZ 部署，DMZ 是一個放置了服務器的緩沖區，DMZ 提供了外部網想要訪問內部網絡服務器的問題，在這緩沖區上放置了公共的服務器。如企業Web 服務器,FTP 服務器等。常見的防火墻有包過濾防火墻，代理防火墻、個人防火墻。

2.4 入侵檢測技術

入侵檢測系統是一種網絡安全防御系統，它對數據包傳輸進行實時監控，在發現可疑數據包時立即發出警報或采取積極地響應措施。有人形象地把防火墻比喻成一幢樓的大門，那么入侵檢測系統就相當于樓里的監視系統。入侵檢測系統的檢測技術主要有基于誤用檢測和基于異常檢測。誤用檢測是事前定義出已知的攻擊行為的攻擊特征，將實際入侵數據與攻擊特征匹配，依據匹配情況來判斷是不是發生了誤用攻擊。誤用檢測的不足是只能檢測已知的攻擊，對于新的攻擊無法檢測。并且把具體的攻擊抽象成為入侵特征也具有一定的困難性。誤用檢測的長處是由于依據入侵特征判斷的，檢測的準確度很高，錯誤報警率低。異常檢測是依據使用者的行為以及對資源的使用狀況水平與正常狀態下的特征輪廓之間的偏差確定了一個閾值來判斷是否遭到入侵，如果偏差高于閾值則發生異常侵入。異常檢測的缺點是由于比較難以確定閾值，因為合法用戶的某些錯誤操作，這樣的行為可能偏離正常的標準，而發生報警，因此遺漏報警率低，錯誤報警率高。優點是既能檢測已知入侵，又能檢測新的入侵。

容錯的基本思想是系統出現了錯誤也能執行完一組程序；程序不會因為故障而中斷或被修改，并且系統也不會引起運行錯誤，總之，容錯是讓系統有抗抵錯的能力。容侵技術是指即使系統受到了攻擊，系統還是保證正常運行。因此從思想上，容錯與容侵技術是相同的，二者根據入侵攻擊和發生故障的不同來區分。

3 信息部分的安全技術

信息部分的安全主要指數據安全和內容安全；數據安全是指保護數據在傳輸、儲存過程中的不被泄露、竊取、篡改、破壞等。主要的技術有加密、數字簽名、VPN 等。

3.1 加密技術

加密主要是使用密碼學的加密來保證數據安全。經典的密碼體制有對稱密碼和公鑰密碼。

對稱密碼是指信息交換的雙方共享一個密鑰，加密和解密的密鑰相同，而安全性取決于這個共享密鑰。對稱密碼算法有數據加密標準DES、三重DES、RC5、國際加密算法IDEA、高級加密標準AES。

最早、最經典的對稱密碼算法就是美國IBM 公司提出的數據加密標準DES。圖2 是DES 算法的流程圖。

DES 是針對二進制數據塊進行加密的一種分組算法。數據每個分組有64 位，使用加密的有效密鑰長度為56 位。DES 首先對64位明文分組進行初始置換IP，目的是為打亂64 位明文分組順序，然后64 位明文分組分為前32 位后32 位，進入16 輪的迭代運算，其中擴張置換將后32 位進行擴展置換成48 位，再與48 位子密鑰進行異或運算。擴張置換是通過重復某些為數位來達到擴展的目的。之后進入S 盒代換：將48 位輸入壓縮成32 位的輸出，S 盒稱為壓縮代換。實際上DES 算法到現在都沒有完全公開S 盒，其隱藏了DES 的安全性。S 盒代換后進入P 盒置換，P 盒置換主要是對數據交換位置，主要為了打亂32 位順序。這是一輪的迭代，經過16 輪迭代之后最后將生成的64 位在經過初始逆置換，生成64 位密文。56 位有效密鑰經過移位，壓縮置換生成48 位16 輪的子密鑰，16輪迭代每輪使用的子密鑰都不同。

公鑰密碼是指加密解密有兩個不同的密鑰，公鑰是公開的，私鑰是保密的。常用的公鑰密碼算法：RSA、Rabin 密碼算法、ElGamal 和ECC 等。

RSA 是使用最廣的公鑰密碼體制，該算法的是基于歐拉定理和大整數因子分解困難的問題，在算法中設計了一個單向陷門函數，由于單向函數中已知自變量求函數值是簡單的，但反過來就很難求，這就是單向函數的不可逆性。這就保證算法的安全性，此外RSA安全性是基于大整數因子分解問題和離散對數這難題。RSA 通常用于加密會話密鑰，以保證密鑰傳遞安全，通常不用于數據量大時加密的傳輸，因為RSA 是加密速度慢，特別是在隨機選取大素數時和通過公鑰推算模運算下的乘法逆元即就是私鑰時速度都慢。

3.2 數字簽名

數字簽名主要是為了避免信息發送者的否認性和數據的完整性。數字簽名分為簽名和驗證過程。而簽名過程可以理解為加密過程，驗證過程則是解密過程。數字簽名常用的有基于公鑰密碼的簽名，數字簽名是通過對發送的信息文件使用哈希函數進行散列計算，并用發送者的私鑰對散列值加密，加密后的散列值稱為數字簽名，將數字簽名作為原消息的附件一起發送給接收者，當接收者收到消息后，對原消息進行同樣的散列計算，得到散列值，再使用發送者的公鑰對數字簽名進行解密，解密后得到發送者的散列值，將這兩個散列值比較，如果相同則可驗證消息發送者的身份和數據的完整性。

4 結束語

本文介紹了信息安全的相關技術。保證信息系統安全的技術：身份認證、訪問控制、防火墻、入侵檢測。能保證信息數據安全的技術：加密技術和數字簽名。