人类已经进入信息化社会, 随着In ternet 在全世界日益普及, 政府、军队、企业等部门越来越需要利用网络传输与管理信息。虽然计算机与网络技术为信息的获取、传输与处理利用提供了越来越先进的手段, 但也为好奇者与侵略者提供了方便之门, 为此, 必须需要研究网络与计算机本身的安全机制和措施, 研究防范“黑客”与“入侵者”的攻击方法和对他们的防范措施。

1　信息安全概念与技术发展
随着人类社会对信息的依赖程度越来越大, 人们对信息的安全性越来越关注。随着应用与研究的深入, 信息安全的概念与技术不断得到创新。早期在计算机网络广泛使用之前主要是开发各种信息保密技术, In ternet 在全世界商业化应用之后, 信息安全进入网络信息安全阶段。近年来又发展出了“信息保障( IA - Info rmat ion A ssociat ion) ”的新概念。

信息安全的最根本的属性是防御性的, 主要目的是防止己方信息的完整性、保密性与可用性遭到破坏。信息安全的概念与技术是随着人民的需求、随着计算机、通信与网络等信息技术的发展而不断发展的。大体可分为信息保密、网络信息安全和信息保障3 个阶段。

1. 1　单机系统的信息保密阶段
信息保密技术的研究成果主要有2 类: ①发展各种密码算法及其应用; ②计算机信息系统保密模型和准则。主要开发的密码算法有: DES、RSA、ECC、SHA 等。

1. 2　网络信息安全
在该阶段中, 除了采用和研究各种加密技术外,还开发了许多针对网络环境的信息安全与防护技术, 这些防护技术是以被动防御为特征的。

1. 2. 1　安全漏洞扫描器
用于检测网络信息系统存在的各种漏洞, 并提供相应的解决方案。

1. 2. 2　安全路由器
在普通路由器的基础上增加更强的安全过滤规则, 增加认证与防瘫痪性攻击的各种措施。安全路由器完成在网络层与传输层的报文过滤功能。

1. 2. 3　防火墙
在内部与外部网的入口处安装的堡垒主机, 在应用层利用代理功能实现对信息流的过滤功能。

1. 2. 4　入侵检测系统( IDS)
根据已知的各种入侵行为的模式判断网络是否遭到入侵的一类系统, IDS 一般也同时具备告警、审计与简单的防御功能。

1. 2. 5　网络监控与审计系统监控内部网络中的各种访问信息流, 并对制定条件的事件做审计记录。各种防网络攻击技术。其中包括网络防病毒、防木马、防口令破解、防非授权访问等技术。

1. 3　信息保障阶段
信息保障的概念最初是由美国国防部长办公室提出来的。信息保障( IA ) 的定义为: 通过确保信息和信息系统的可用性、完整性、可验证性、保密性和不可抵赖性来保护信息系统的信息作战行动, 包括综合利用保护、探测和反应能力以恢复系统的功能。信息保障阶段的许多内容都是战略性的, 具有指导意义。

1. 3. 1　信息保障框架
信息保障技术框架( IA TF) , 是由IA TTF ( In2fo rmat ion A ssu rance Techn ical F ramewo rk Fo rum信息保障技术框架论坛) 定义的, 是一系列为保证信息安全和信息基础架构的指导方针。IA TF 定义了为发展带有信息保障的系统的一个过程和硬件的安全需求和在系统中的软件部件。应用这些原理导致在信息基础架构中的层保护, 也叫做深度防护战略。

1. 3. 2　信息系统安全工程( ISSE)
IA TF 定义了信息系统安全工程( ISSE) 过程,用于开发一个安全的系统。ISSE 过程定义了信息系统安全的原则、活动及其与其他过程的关系。遵循这些原则, 可以对信息基础设施进行名为“纵深防御战略”的多层防护。纵深防御战略的4 个技术焦点域分别是: 保护网络与基础设施、保护飞地边界、保护计算环境和支撑性基础设施。

纵深防御战略已经得到了广泛的采纳。例如, 美国国防部(DoD ) 的《全球信息栅格(GIG) 信息保障政策与实施指南》便围绕纵深防御战略建立。这一联邦部级的政策文档将IA TF 作为国防部信息保障的技术解决方案信息源和指南。

2　密码技术
一般来讲, 信息安全主要包括系统安全及数据安全2 方面的内容。系统安全一般采用防火墙、病毒查杀、防范等被动措施; 而数据安全则主要是指采用现代密码技术对数据进行主动保护, 如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。

2. 1　密码学与密码技术
密码学(Cryp tography) 包括密码编码学和密码分析学。密码体制设计是密码编码学的主要内容, 密码体制的破译是密码分析学的主要内容, 密码编码技术和密码分析技术是相互依存、相互支持、密不可分的2 个方面。然而密码学不仅仅只包含编码与破译, 而且包括安全管理、安全协议设计、散列函数等内容。不仅如此, 密码学的进一步发展, 涌现了大量的新技术和新概念, 如零知识证明技术、盲签名、量子密码技术、混沌密码等。

我国政府明确规定严格禁止直接使用国外的密码算法和安全产品, 这是由于: 国外禁止出口密码算法和产品, 所谓出口的安全的密码算法国外都有破译手段; 担心国外的算法和产品中存在“后门”, 关键时刻危害我国信息安全。1999 年, 国务院颁布商用密码管理条例, 对密码的管理使用进行了具体规定。

当前我国的信息安全系统由国家密码管理委员会统一管理。密码技术是保障信息安全的核心技术。密码技术在古代就已经得到应用, 但仅限于外交和军事等重要领域。随着现代计算机技术的飞速发展, 密码技术正在不断向更多其他领域渗透。它是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。密码技术不仅能够保证机密性信息的加密, 而且完成数字签名、身份验证、系统安全等功能。所以,使用密码技术不仅可以保证信息的机密性, 而且可以保证信息的完整性和确证性, 防止信息被篡改、伪造和假冒。

2. 2　对称密钥密码体制
对称密码体制是从传统的简单换位发展而来的。其主要特点是: 加解密双方在加解密过程中要使用完全相同的一个密钥。使用最广泛的是DES (DataEncryp t ion Standard) 密码算法。从1977 年美国颁布DES 密码算法作为美国数据加密标准以来, 对称密钥密码体制得到了广泛的应用。对称密钥密码体制从加密模式上可分为序列密码和分组密码2 大类。

2. 2. 1　序列密码
序列密码一直是作为军事和外交场合使用的主要密码技术之一。它的主要原理是: 通过有限状态机产生性能优良的伪随机序列, 使用该序列加密信息流, 得到密文序列。所以, 序列密码算法的安全强度完全决定于它所产生的伪随机序列的好坏。产生好的序列密码的主要途径之一是利用移位寄存器产生伪随机序列。目前要求寄存器的阶数> 100 阶, 才能保证必要的安全。序列密码的优点是错误扩展小、速度快、利于同步、安全程度高。

2. 2. 2　分组密码
分组密码的工作方式是将明文分成固定长度的组, 如64 比特一组, 用同一密钥和算法对每一块加密, 输出也是固定长度的密文。

对称密钥密码体制存在的最主要问题是: 由于加密解密双方都要使用相同的密钥, 因此在发送、接收数据之前, 必须完成密钥的分发。所以, 密钥的分发便成了该加密体系中的最薄弱, 也是风险最大的环节, 所使用的手段均很难保障安全地完成此项工作。这样, 密钥更新的周期加长, 给他人破译密钥提供了机会。在历史上, 破获他国情报不外乎2 种方式: 一种是在敌方更换“密码本”的过程中截获对方密码本; 另一种是敌人密钥变动周期太长, 被长期跟踪, 找出规律从而被破解。在对称算法中, 尽管由于密钥强度增强, 跟踪找出规律破解密钥的机会大大
减小了, 但密钥分发的困难问题几乎无法解决。例如, 设有n 方参与通信, 若n 方都采用同一个对称密钥, 一旦密钥被破解, 整个体系就会崩溃; 若采用不同的对称密钥则需n (n- 1) 个密钥, 密钥数与参与通信人数的平方数成正比, 可见, 大系统密钥的管理几乎成为不可能。

然而, 由于对称密钥密码系统具有加解密速度快和安全强度高的优点, 目前被越来越多地应用在军事、外交以及商业等领域。

2. 3　非对称密钥密码体制
非对称密钥密码体制, 即公开密钥密码体制, 是现代密码学最重要的发明和进展。一般理解密码学就是保护信息传递的机密性, 但这仅仅是当今密码学的一个方面。对信息发送与接收人的真实身份的验证, 对所发出?接收信息在事后的不可抵赖以及保障数据的完整性也是现代密码学研究的另一个重要方面。公开密钥密码体制对这两方面的问题都给出了出色的解答, 并正在继续产生许多新的思想和方案。

1976 年,D iff ie 和Hellman 为解决密钥的分发与管理问题, 在他们奠基性的工作“密码学的新方向”一文中, 提出一种密钥交换协议, 允许在不安全的媒体上通过通讯双方交换信息, 安全地传送秘密密钥。在此新思想的基础上, 很快出现了公开密钥密码体制。在该体制中, 密钥成对出现, 一个为加密密钥(即PK 公开密钥) , 另一个为解密密钥(SK 秘密密钥) , 且不可能从其中一个推导出另一个。加密密钥和解密密钥不同, 可将加密密钥公之于众, 谁都可以使用; 而解密密钥只有解密人自己知道, 用公共密钥加密的信息只能用专用密钥解密。由于公开密钥
算法不需要联机密钥服务器, 密钥分配协议简单, 所以极大地简化了密钥管理。除加密功能外, 公钥系统还可以提供数字签名。目前, 公开密钥加密算法主要有RSA、Fer tezza、E IGama 等。

迄今为止的所有公钥密码体系中, RSA 系统是最著名、使用最广泛的一种。RSA 公开密钥密码系统是由R. R ivest、A. Sham ir 和L. A dleman 三位教授于1977 年提出的, RSA 的取名就是来自于这三位发明者姓氏的第一个字母。

RSA 算法研制的最初目标是解决利用公开信道传输分发DES 算法的秘密密钥的难题。而实际结果不但很好地解决了这个难题, 还可利用RSA 来完成对电文的数字签名, 以防止对电文的否认与抵赖, 同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改, 从而保护数据信息的完整性。

公用密钥的优点就在于: 也许使用者并不认识某一实体, 但只要其服务器认为该实体的CA (即认证中心Cer t if icat ion A u tho r ity 的缩写) 是可靠的,就可以进行安全通信, 而这正是W eb 商务这样的业务所要求的。例如使用信用卡购物, 服务方对自己的资源可根据客户CA 的发行机构的可靠程度来授权。目前国内外尚没有可以被广泛信赖的CA , 而由外国公司充当CA 在我国是非常危险的。

公开密钥密码体制较秘密密钥密码体制处理速度慢, 因此, 通常把这2 种技术结合起来能实现最佳性能。即用公开密钥密码技术在通信双方之间传送秘密密钥, 而用秘密密钥来对实际传输的数据加密解密。

3　信息安全与密码技术的关系
一般来讲, 信息安全主要包括系统安全及数据安全2 方面的内容。系统安全一般采用防火墙、病毒查杀、防范等被动措施; 而数据安全则主要是指采用现代密码技术对数据进行主动保护, 如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。

密码技术是保障信息安全的核心技术。它是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。密码技术不仅能够保证机密性信息的加密, 而且完成数字签名、身份验证、系统安全等功能。

所以, 使用密码技术不仅可以保证信息的机密性, 而且可以保证信息的完整性和确证性, 防止信息被篡改、伪造和假冒。