信息加密与网络安全综述文献(附有大量参考文献).doc

信息加密与网络安全综述摘要本文从信息加密问题开始，论述了密码学及其发展、现状和应用，分析了一些加密技术。之后对网络安全问题进行了全面的描述和探讨，分析了不同的网络安全问题。最后探讨了网络安全问题的防范。关键词：密码学；公钥密码体制；主动攻击 目录1.信息加密技术11.1前言11.2密码学的发展11.2密码编码与密码分析21.2.1密码学分类21.2.2密码体制分类21.2.2.1对称密码体制21.2.2.2公钥密码体制21.2.3 密码分析学31.2.3.1强力攻击31.2.3.2线性密码分析41.2.3.3差分密码分析41.3密码协议41.3.1认证协议41.3.1.1数据源认证41.3.1.2实体认证41.3.1.3密钥建立认证协议51.3.2 协议面临的典型攻击51.4密码学的发展51.4.1标准化趋势51.4.2公理化趋势51.4.3面向社会的实用化趋52. 网络安全问题62.1计算机网络62.2计算机网络安全62.3 面临的威胁72.3.1 计算机软件设计上存在的漏洞和缺陷72.3.2外部攻击72.4 网络安全技术82.4.1操作系统安全82.4.2 防火墙82.4.3 反病毒技术82.4.4 入侵检测技术82.4.5 数据加密技术82.4.6 容灾技术82.5网络安全对策92.5.1 漏洞和缺陷方面92.5.2 外部攻击方面92.6总结9参考文献101.信息加密技术1.1前言随着计算机网络在政治、经济、生活中的广泛应用，人们对计算机的依赖性越来越强。网络在带给人们信息交流方便的同时，网络中的信息安全成为人们不得不考虑的问题。在这种背景下，密码学就应运而生了。密码学是一门编写或读取密码报文的科学，它是支持认证、数据完整性和数据私有性机制的基础。在网络通信中，发送方将称为明文的原始数据加密成密文后进行传输；接收方对收到的密文进行解密，还原成明文。1.2密码学的发展密码学是一门非常古老的学科，早期的密码技术是把人们能够读懂的消息变换成不易读懂的信息用来隐藏信息内容，使得窃听者无法理解消息的内容，同时叉能够让合法用户把变换的结果还原成能够读懂的消息。密码学的发展大致可以分为4个阶段。手工阶段的密码技术可以追溯到几千年以前，这个时期的密码技术相对来说是非常简单的。可以说密码技术是伴随着人类战争的出现而出现的。早期的简单密码主要体现在实现方式上，即通过替换或者换位进行密码变换。一个密码算法的安全性往往是就一定的时间阶段而言的，与人类当时的科技水平息息相关。随着人类计算水平的提高，针对密码的破译水平也突飞猛进，因此密码技术也必须与时俱进，不断发展。人类对于密码算法的安全性有着越来越高的要求，这往往导致所设计的密码算法的复杂度急剧增大。在实际应用中，一个密码算法效率越高越好，因此人们就采用了机械方法以实现更加复杂的密码算法，改进加解密手段。随着社会的发展，不管是政府还是普通老百姓都对信息的安全有了更多的认识，信息安全需求也不断增长。在1976年，Diffie和Hellman提出了“密码学新方向”，开辟了公钥密码技术理论，使得密钥协商、数字签名等密码问题有了新的解决方法，也为密码学的广泛应用奠定了基础。手工阶段和机械阶段使用的密码技术可以称为古典密码技术，主要采用简单的替换或置换技术。DES的公布与公钥密码技术问世标志密码学进入高速发展的现代密码学时代。密码技术不但可以用于对网上所传送的数据进行加解密，而且也可以用于认证，进行数字签名，以及关于完整性、安全套接层、安全电子交易等的安全通信标准和网络协议安全性标准中。对于密码而言，其最基本的功能在于通过变换将明文消息变换成只有合法者才可以恢复的密文。信息的加密保护涉及到传输信息和存储信息两个方面，其中存储面临的安全问题更大。1.2密码编码与密码分析1.2.1密码学分类根据目的和用途，密码学分为密码编码学和密码分析学。密码编码学是把来自信息源的可理解的原始消息变换成不可理解的消息，同时又可恢复到原消息的方法和原理的一门科学。密码分析学是在不知道关于密钥的任何信息这一情况下，利用各种技术手段，试图通过密文来得到明文或密钥的全部信息或部分信息。密码分析也称为对密码体制的攻击。1.2.2密码体制分类通常，密码体制分为对称密码体制与非对称密码体制，而非对称密码体制往往又称为公钥密码体制。图1给出了密码体制的基本模型。图1密码体制的基本模型在图1中，消息发送者从密钥源得到密钥，通过加密算法对消息进行加密得到密文，接收者收到密文后，利用从密钥源得到的密钥，通过解密算法对密文进行解密，得到原始消息。1.2.2.1对称密码体制就对称密码体制而言，除了算法公开外，还有一个特点就是加密密钥和解密密钥可以比较容易的互相推导出来。对称密码体制按其对明文的处理方式，可分为序列密码算法和分组密码算法。对称加密的流程如图2所示。图2对称加密的流程1.2.2.2公钥密码体制公钥加密体制的思想是找到一种密码体制，其加密算法与解密算法不同，同时，利用加密算法推导出解密算法在计算上是困难的，这样加密密钥就能够以一种比较容易的方法长久的公布出去(避免了对称密钥需要安全信道)。公钥密码体制不能够提供无条件安全。实际上，一个攻击者完全可以在得到一个密文后，尝试着对大量明文逐一进行加密直到出现一样的密文，此时对应的明文就是要破译的结果。就公钥密码系统而言，其主要特点在于加密密钥公开，解密密钥保密，二者具有对应关系，但是基于公开密钥很难推导或者求出解密密钥，其安全基础是“单向函数”。函数f(x)如果满足：给定输入变量x，计算f(x)容易，而给定f(x)计算x是困难的，则被称为单向函数，这里的“容易”和“困难”的含义是复杂性理论中的定义。从密码学的角度，上述两条性质已经能够用来构造密码算法。公钥密码体制解决了对称密码算法在应用中的致命缺陷，即密钥分配问题。就公钥密码体制而言，除了加密算法公开外，其具有不同的加密密钥和解密密钥，加密密钥是公开的(称作公钥)，解密密钥是保密的(称作私钥)，且不能够从公钥推出私钥，或者说从公钥推出私钥在计算上是“困难”的。然而，在效率方面，公钥密码体制远远不如对称密码体制，其处理速度比较慢。因此在实际应用中，往往是把公钥技术和私钥技术结合起来使用，即利用公开密钥实现通信双方问的对称密钥传递，而用对称密钥来加解密实际传输的数据。公钥加密的流程如图3所示。图3公钥加密的流程1.2.3 密码分析学 密码分析学主要研究在已知密码算法的条件下，不需要密钥，如何由加密得到的密文推导出明文或密钥的相关信息。随着密码算法设计技术的发展，密码分析技术也得到了深入的研究。1.2.3.1强力攻击强力攻击包括查表攻击，时间一存储权衡攻击，字典攻击以及穷举搜索攻击。对于任何一种分组密码来说，强力攻击都是适用的。1.2.3.2线性密码分析线性密码分析作为一种已知明文攻击方法，线性密码分析方法的本质思想在于，通过将一个给定的密码算法有效且线性近似地表示出来以实现破译。现有密码分析技术也得到了一定的推广。为了提高攻击效率，可以结合差分密码分析和线性密码分析技术，即差分一线性密码分析技术。1.2.3.3差分密码分析差分密码分析特别适用于迭代密码。差分密码分析的本质思想在于，通过分析相应明文对差值和密文对差值之间的相互影响关系，来得到密钥的一些比特信息。对于差分密码分析也有很多推广，其中比较常见的包括高阶差分密码分析等。1.3密码协议密码学的用途是解决人们生活遇到的许多问题。这些问题通过合理的使用密码算法来解决。密码学要解决的问题是面临第三方攻击的通信安全问题，这些问题包括信息机密性、信息来源的可靠性、信息的完整性、通信实体的完整性、通信实体的欺诈性等。利用密码算法解决这些问题，需要对密码算法采取一系列步骤进行实施，最后达到解决问题的目的，这一系列步骤就称为密码协议。可见，所谓密码协议指的是在完成某项安全通信任务的过程中，通信各主体需要采用密码技术进行的一系列步骤。1.3.1认证协议认证协议是一个认证过程，是两方或多方通信实体为达到向对方证明自己拥有某种属性进行的一系列步骤。认证协议可以分为三个子类型：数据源认证、实体认证、密钥建立的认证。1.3.1.1数据源认证数据源认证与数据完整性认证无法完全隔离开来，逻辑上来讲，被篡改过的消息可以认为不是来自最初消息源。不过，这两个概念差别很大，且用途功能不同。1.3.1.2实体认证所谓实体认证指的是依照认证协议进行通信的一个过程，基于实体认证技术，一个通信实体可以向另一个通信实体证实自己的身份并得到对方的确认。认证协议的一个重要目标就是实体认证。1.3.1.3密钥建立认证协议认证密钥建立协议_3主要实现以下功能：为参与某具体协议的若干个参与者实现身份认证，并为这些参与者建立一个新的共享密钥，用于后续的安全通信。作为应用最为广泛的网络通信协议之一，认证密钥建立协议所生成的会话密钥可以构建安全通道，保证应用层上的后续通信的安全。1.3.2 协议面临的典型攻击在密码技术领域中，认证协议会面临多种攻击方法，这就是认证协议的安全性问题难以解决的原因所在。正如毛文波博士在其书中指出：对认证协议或认证的密钥建立协议的成功攻击，通常并不是指攻破该协议的密码算法，相反，它通常是指攻击者能够以某种未授权并且不被察觉的方式获得某种密码信任证件或者破坏某种密码服务，同时不用破环某种密码算法。这是由于密码设计的错误，而不是密码算法的问题。密码协议面临的典型攻击众多。常见的攻击方法有中间人攻击，平行会话攻击，交错攻击等。在协议的攻击类型中，还有其它更多的攻击方法，比如姓名遗漏攻击、类型缺陷攻击、密码服务滥用攻击等。如何设计安全的密码协议或如何检测一个密码协议是否安全是密码技术中的一个严峻课题。1.4密码学的发展人们一方面要设计新的算法以便满足各种新应用的挑战，同时又要面对密码分析的新技术以便保证密码安全性。然而，除了编码与破译，密码学还涉及到安全协议设计和安全管理等内容。因此，密码学的研究应该紧跟时代的要求。综观全局，密码学的发展呈现出如下趋势。1.4.1标准化趋势密码的标准化是密码理论与技术不断发展的结晶和原动力，包括AES、安全哈希算法(SecureHashAlgorithm3，SHA3)、以及eSTREAM计划和NESSE计划等都极大地推动了密码学研究。1.4.2公理化趋势在设计密码算法的过程中，保证算法的可证明安全性是非常有吸引力的，密码协议的形式化分析方法、安全多方计算理论、可证明安全性理论以及零知识证明等仍将是密码协议研究中的主流方向。1.4.3面向社会的实用化趋势随着电子政务和电子商务的出现，密码技术的实际应用面临着新的机遇和挑战。基于生物特征的密码技术是目前研究的一个热点，由于实际应用的需要，它也是未来的一个重要研究方向。2. 网络安全问题随着计算机网络在各领域应用的深度和广度不断增加，越来越多的数据通过计算机网络进行传输，因此，网络安全问题变得愈发重要。2.1计算机网络计算机网络是由两台以上计算机连在一起组成的“计算机群”，再加上相应“通信设施”而组成的综合系统，可以实现资源共享和信息交换。计算机网络就是利用通信设备和通讯线路把不在一起的计算机等设备相互联起来，用相应的软件实现资源共享和信息交换的系统。计算机网络按地理位置网络可分为：局域网 LAN）。城域网（MAN）。广域网（WAN）。按传输介质网络可以分为：有线网。光纤网。无线网。信息服务是因特网的最基本功能。 它主要包括信息浏览、电子邮件、文件传输、远程登录、电子公告板、新闻组、信息搜索等这几个主要功能。2.2计算机网络安全计算机网络安全特征包括以下几点：1）保密性(secretary): 计算机中的信息只能由授予访问权限的用户读取(包括显示,打印等)。2）可利用性(availability): 具有访问权限的用户在需要时可以利用计算机系统中的信息资源。3）数据完整性：指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。4）可审查性：对出现的安全问题提供调查的依据和手段，用户不能抵赖曾做出的行为，也不能否认曾经接到对方的信息。5）可控制性(controlling):计算机系统一旦受到攻击或破坏时,具有信息自动恢复和控制的能力。6）可保护性：保护软、硬件资源不被非法占有，免受病毒的侵害。2.3 面临的威胁2.3.1 计算机软件设计上存在的漏洞和缺陷计算机网络安全主要面临的威胁首先是，在计算机软件设计上存在的漏洞和缺陷中的不合理现象为非法入侵者提供了可以攻击的角度，特别是计算机程序设计过程中留有的技术后门。现阶段，计算机引起技术条件等方面的原因，使得每一种软件在设计初始阶段，都会产生一定数量的安全问题漏洞或缺陷。这些漏洞和缺陷是计算机软件在研发过程中的必然，其后续维护过程就是对其漏洞和缺陷进行完善，这些设计上的技术缺陷和技术漏洞目前已经成为威胁网络安全的隐患问题。网络系统的安全漏洞大致可以分为以下三方面。1)网络的漏洞这些漏洞包括网络传输时对协议的信任以及网络传输的漏洞。2)服务器的漏洞利用服务进程的bug和配置错误,任何向外提供服务的主机都有可能被攻击。 这些漏洞常被获取对系统的访问权。3)操作系统的漏洞UNIX 操作系统存在许多安全漏洞,如著名的 Internet 蠕虫事件就是由 UNIX 的安全漏洞引发的。此外，在网络的管理人员管理等方面也存在一些漏洞。计算机网络的安全问题很多情况下是管理问题，许多的的网络安全威胁包括非法外联、用户非法操作等，主要是由内部人员操作失误、管理落后等引起的。2.3.2外部攻击一般认为,黑客攻击、计算机病毒和拒绝服务攻击等三个方面是计算机网络系统受到的主要的外部威胁。1)黑客攻击: 黑客非法进入网络并非法使用网络资源。 例如:通过网络监听获取网上用户的帐号和密码;非法获取网上传输的数据;通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;突破防火墙等。2) 计算机病毒: 计算机病毒侵入网络,对网络资源进行破坏,使网络不正常工作,甚至造成整个网络的瘫痪。3)拒绝服务攻击: 拒绝服务攻击是攻击者在短时间内发送大量的访问请求,而导致目标服务器资源枯竭,不能提供正常的服务。2.4 网络安全技术计算机网络安全技术包括操作系统安全、防火墙、安全认证、反病毒、入侵检测、数据加密、系统容灾技术、虚拟专用网等等。2.4.1操作系统安全操作系统是计算机和网络中的工作平台，从终端用户的程序到服务器应用服务、以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本。 除了不断增加安全补丁之外，还需要建立一套对系统的监控机制，并建立和实施有效的用户口令和访问控制等制度。2.4.2 防火墙防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。2.4.3 反病毒技术病毒扫描是当前最主要的查杀病毒方式，它主要通过检查文件、扇区和系统内存、搜索新病毒，用“标记”查找已知病毒，病毒标记就是病毒常用代码的特征，病毒除了用这些标记，也用别的方法。有的根据算法来判断文件是否被某种病毒感染，一些杀毒软件也用它来检测变形病毒。2.4.4 入侵检测技术入侵检测是能够检测到网络上不正常、不合法活动的网络技术。 入侵检测系统运行在一台主机上，监视该主机上的恶意活动被称为基于主机的入侵检测系统。 入侵检测系统运行在网络数据流上被称为基于网络的入侵检测系统。 2.4.5 数据加密技术数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。加密技术是网络安全技术的基石。加密技术在第一章已经有充分的说明，在此不再重复。2.4.6 容灾技术一个完整的网络安全体系，只有“防范”和“检测”措施是不够的, 还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失。 一旦发生漏防漏检事件，其后果将是灾难性的。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络系统的安全。要有基于数据备份和基于系统容错的系统容灾技术。2.5网络安全对策2.5.1 漏洞和缺陷方面完善操作系统，安装杀毒软件和防火墙，安装IDS 入侵检测系统，利用秘钥实现网络加密，加强使用计算机网络人员的安全意识。计算机的软件是构成整个计算机安全的基础环节，通过在软件设计阶段对软件中各种面对的漏洞和缺陷进行周期性的考虑。同时，在软件推出后，开始建立后续的完善工作，对出现有问题的地方，要快速开始进行后续完善工作，及时发布相应的补丁。2.5.2 外部攻击方面常见的网络攻击方式包括特洛伊木马，邮件炸弹，过载攻击，淹没攻击。利用 ARP协议（地址解析协议）通过伪造 IP 与MAC地址进行 ARP 欺骗，既 ARP攻击也是计算机网络安全的主要威胁之一。针对特洛伊木马，一方面可以采取数字签名，判断文件是否被修改，另一方面可以通过网络扫描软件，监听主机服务，及时发现异常程序。针对邮件炸弹，可以通过配置路由器，有选择的接收邮件，删除重复邮件，来避免垃圾邮件干扰。针对过载攻击，可以通过最大进程数限制，删除耗时的进程，或者利用网络监视工具找到攻击源，还可以自动检测过载并重新启动。针对淹没攻击，可以监控 SYN 等待状态的数量，当数量超过阈值时及时将其关闭。针对 ARP 攻击隐蔽性、堵塞性、难除性的特征，可以采取重启计算机、恢复网络设备默认设置、禁用网卡、安装杀毒软件等初步防范措施，进一步的，可以采用双向地址绑定、安装 ARP防火墙、开发 socket 软件防范 ARP 攻击。2.6总结计算机技术是一个不断深化发展的技术，需要在安全策略中提高自身预防机制的前提下，加强相关技术的改进和创新。可以有效的合理面对互联网安全问题，通过多种方法的协调，带来计算机网络安全的有效提高。 参考文献1吕金刚,王永杰,鲜明.计算机网络信息安全技术分析J.中国新通信（技术版）,2006,8:21-25.2孟江涛,冯登国,薛锐,等.分布式拒绝服务攻击的原理与防范J.中国科学院研究生院学报,2004,21(1):90-94.3李炅,山秀明,任勇.网络安全概述J.中国工程科学,2004,6(1):10-73.4金雷,谢立.网络安全综述J.计算机工程与设计,2003,24(2):19-32.5曹君.我国计算机网络安全问题及防范措施J.网络安全技术与应用,2005,4:55-57.6王华浅谈计算机网络安全技术应用J科技经济市场，2010（9）：8-87陈德军论网络环境下的计算机网络安全J科技经济市场，2009（11）：14-158丁春晖对计算机网络构建及维护措施的研究J煤炭技术，2014（1）：199-2