浅论网络信息安全中的密码学应用.doc

浅论网络信息安全中的密码学应用作者：彭晓宇（北京理工大学硕士）【文章摘要】随着信息时代的到来，网络日益成为我们工作、生活的重要组成部分，网络信息安全对于国家、企业和个人来说已变得十分重要。网络的日益繁荣，对网络信息安全不断提出了新的课题。本文将从密码学与信息技术相结合的角度，详细阐述密码学在网络信息安全技术中的应用，及其解决当前网络信息安全所面临问题的具体机制。【关键词】信息安全；密码学；密码体制；认证；访问控制一、信息安全的重要性二十一世纪有三种战略资源物质资源、能源资源和信息资源。在信息时代里，信息技术在人类生产、生活中日益发挥着至关重要的作用，信息作为一种特殊的战略资源，其安全问题也随之成为关系国家安全、经济发展和社会稳定的战略性问题。近年来，随着网络活动的日益频繁，网络安全事故不断发生，人们对网络安全的重视程度也越来越高。2012年，十一届全国人民代表大会常务委员会第三十次会议表决通过了关于加强网络信息保护的决定，这标志着我国网络信息安全进入有法可依的时代，政府、企业以及公民个人的信息保护得到了法律强有力的保护。因此，政府、企业以及公民个人应当明确信息活动中的权利和义务，提升自身信息安全保护的认识，合法维护自身的信息安全。二、信息安全所面临的攻击依据美国国家标准与技术研究院（NIST）颁布的定义，信息安全是对信息和信息系统进行保护，防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。由此，可以看出：不论是传统的还是现代的信息安全所面临的威胁主要就是“未授权的访问、使用、泄露、中断、修改、破坏”，从而损害了信息的保密性、完整性和可用性。常见的安全攻击表现如下：1.被动攻击：第三方对信息在传输的过程中进行窃听和检测，其目的是获取传输的信息，不对信息作任何改动，通过获取机密获取非法利益，破坏信息的保密性。常见的被动攻击包括信息内容的泄露和流量分析等。2.主动攻击：第三方通过信道对信息进行截取，获取机密信息后对信息进行篡改或者伪造信息，也可以是改变系统的状态和操作等，其主要是破坏信息的完整性、可用性和真实性。常见的主动攻击包括信息的伪装、篡改、重放和拒绝服务等。3.病毒袭击：计算机病毒是一段具有独特复制能力的可执行代码，病毒通过非法手段进入其他电脑系统中破坏系统的正常工作，病毒一旦发作将造成系统瘫痪和信息泄露等严重后果。三、密码学在信息安全中的应用密码学包括密码编码学和密码分析学。密码编码学是研究加密原理与方法，使消息得以保密的技术和科学，其目的是掩盖信息内容。密码分析学则是研究破解密文原理与方法的技术和科学，其目的是破解加密后的信息内容。在密码学中被伪装的原始信息（Message）称为明文（Plaintext）,将明文转换为密文的过程为加密（Encryption）,加了密的信息称为密文（Ciphertext），把密文转换为明文的过程叫做解密（Decryption），而从明文到密文转换的算法称为密码（Cipher）。信息正是通过算法（也称为密码体制）实现加密、解密，保护信息的安全性的。1.对称密码体制与公钥密码体制对称密码体制也称为传统密码体制，在此模型中，信息发送方与接受方共享一个密钥。也就是说，发送方将明文M用密钥K使用加密算法E进行加密后传输，接收者同样使用密钥K以解密算法D将密文破解得到明文M。对称密码体制主要使用代换或者置换技术，将明文字母替换成其他字母、数字、符号（代换），或者保持字母不变打乱明文字母位置和次序（置换）。公钥密码体制也称为非对称密码体制或双钥密码体制，其算法是基于数学函数（而不是代换和置换），使用两个独立的密钥，即公钥和私钥。在公钥密码体制中，公钥和私钥中的任何一个都可以用来进行加密，另一个用来解密，公钥可以被任何人知道，而私钥只能自己知道。公钥密码体制分为加密模型和认证模型。在加密模型中，发送方使用接收方的公钥作为加密密钥，用接收方的私钥作为解密密钥，因此信息只有接收者才能解密得到明文。在认证模型中，发送方用自己的私钥对信息进行变换产生签名，接收者用发送者的公钥进行验证签名是否有效。2.公钥密码体制在信息安全领域的应用信息技术的飞速发展使得传统加密技术已经不能有效对信息资源实施保护，因此，公钥加密技术成为密码学在网络信息安全的主要应用手段。认证正是防止未授权第三方对信息进行伪装、内容修改、顺序修改、计时修改等主动攻击的重要技术。常用的公钥密码体制应用如下：（1）消息认证与数字签名数字签名正是一种认证机制，信息发送方使用自己的私钥对数据校验或其他与数据内容有关的信息进行处理，完成对数据的合法签名，接收方则利用发送方的公钥对收到信息上的签名进行验证，以确认签名的合法性，从而确定信息的真伪。在这种模式中，信息如果被第三方篡改，那么接收方将利用公钥验证检验出来。（2）身份认证身份认证主要是用于鉴别用户身份，明确并区分访问者的身份，并且对访问者声称的身份进行认证。其目的主要是防止未授权的访问者进入数据库或者访问权限较低的用户超越权限访问高级限制的数据。身份认证的主要方法有：IC卡认证方式；用户名/密码方式；动态口令方式；生物特征认证方式；USB Key认证方式等。（3）访问控制访问控制是规定主体对客体访问的限制，并在身份识别的基础上，依据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。访问控制包含两个重要过程，即通过“鉴别”来验证主体的合法身份，通过“授权”来限制用户可以对某一类型的资源进行何种类型的访问。常见的访问控制有：自主访问控制（DAC）：对某个客体具有拥有权（控制权）的主体能够将对该客体的一种访问权或多种访问权自主的授予其他主体，并在随后的任何时刻将这些权限回收。自主访问控制具有灵活性、易用性和可扩展性，但是这种基于自主的控制容易带来严重的安全隐患。强制访问控制（MAC）：计算机系统根据使用系统的机构事先确定的安全策略，对用户的访问权限进行强制性的控制。也就是说，系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性，其进行了很强的等级划分，在自主访问控制的基础上增加了对网络资源的属性划分，规定了不同属性下的访问权限。强制访问控制的安全性较自主访问控制有所提高，但是灵活性差一些。基于角色的访问控制（RBAC）：在用户和访问权限之间引入角色概念，将用户和角色联系起来，通过对角色的授权来控制用户对系统资源的访问。这种方法根据用户的工作职责设置若干角色，不同用户可以有相同的角色，在系统中享有相同的权限，同一个用户又可以同时具备多个不同的角色，在系统中行使多个角色的权力。RBAC通过对一组用户的授权，大大简化了系统的授权机制，降低了管理者的工作量，同时，RBAC能够明确的反映组织内部人员之间的职责关系，实现最小特权原则，灵活的支持企业的安全策略，并对企业的变化有很大的伸缩性。因此，基于角色的访问控制已经成为大型组织中系统安全管理的一种非常重要的信息安全控制手段。四、结论随着网络通信技术的不断发展，网络信息安全经历了信息保密、信息保护、信息保障三个阶段。人们通过防火墙、漏洞扫描、防病毒、访问控制、VPN、入侵检测、安全路由器等多种措施来保护信息安全。现在，对于信息安全的保护不仅要求内部网络免受攻击，而且要求在受到攻击后系统还能够维持有效的服务能力，即信息保障。就信息安全而言，最重要的是实现“进不来、拿不走、看不懂、改不了、逃不掉、打不垮”，也就是说，非法用户不能进入系统，进来后信息资源无法获取，信息数据无法破译，破译后无法篡改，篡改后无法逃离，系统遭受破坏后不会瘫痪。在这一要求下，网络信息安全保障形成了以策略为核心，保护、检测、响应动态循环模式，有效的提升了系统的安全保护能力。信息安全保护的