现在已有多种实现各种数字签名的方法,但采用公开密钥算法要比常规算法更容易实现。其具体方法是:
发送者A用其私人密钥对报文摘要进行加密(即签字),将原始报文与签名的摘要一同传送给接收者B。B用已知A的公开密钥对签名摘要解密,并将结果与原始报文的摘要比较。因为只有A的公开密钥能对此报文进行解密,而除A外没有别人具有A的私人密钥,即没有别人能产生这样的报文,所以此报文一定是由A加密的。这样,报文就被签名了(图3)。
图3 数字签名
●认证字
由上可知,采用公开密钥法进行通信时,通信的一方需要有另外一方的公开密钥。公开密钥是很容易得到的,如:从签了名的邮件。但如何确定你所获得的公开密钥是真的属于对方?
在认证系统中,这个问题是通过认证字(Certificate)来解决的。一个认证字包括用户的信息(如:用户名、国家、单位等)、用户的公钥、以及一个认证机构(CA)的签名。由认证机构担保认证字中的信息是属于该用户的。在建立SSL连接和给邮件签名时,用户需出示自己的认证字,使对方相信所得到的公开密钥是正确的。
●强制用户认证
常见的强制用户认证方式有:加密口令、一次性口令系统、令牌认证和其它的基于双因素的认证方式。
用户身份认证是网络操作系统安全保密的第一道设防。如果非法入侵者攻破了这一道防线,则许多其它保护措施将被瓦解。目前,多数网络操作系统对用户的身份认证采用口令方式,然而许多口令系统是不安全的。采用单向函数和数据签名技术可以提高口令系统的安全性。完善的身份认证应该是用户身份和系统身份的对等相互认证。基于用户生理特征的身份认证是安全性极高的认证方法。然而由于技术复杂、成本高而不能普遍应用。一种安全性和成本都较适合的身份认证是基于智能卡的身份认证,它可实现一种基于零知识证明的人机交互认证。
3.2.防火墙技术
防火墙(Firewall)技术假设被保护网络具有明确定义的边界和服务。它通过监测、限制、更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“贼人放火”,另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中统一的互联网络系统。
在建立与Internet互联的单位内部网络系统中,Firewall已经得到广泛的应用。通常为了维护内部的信息系统安全,单位内部网安全系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一系列具体IP地址站点的访问,也可以接收或拒绝互联网络某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用Firewall过滤掉从该主机发出的IP包。如果内部用户只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在Firewall上设置只有这两类应用的数据包通过。这对于路由器来说,不仅要分析IP层的信息,而且还要进一步了解ICP传输层甚至应用层的信息以进行取舍。Firewall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。建立Firewall主要技术有:数据包过滤、应用层网关和代理服务器等。在此基础上合理的网络拓扑结构及有关技术的适度使用也是保证防火墙有效使用的重要手段。防火墙是连接内部网络和外部网络的桥梁。内部网络和外部网络都可以访问这台主机,但内部网络上的主机不可以直接和外部网络通信。
防火墙使用的主要的技术:
●包过滤技术
包过滤技术,即在网络的适当位置对数据包实施有选择的通过。 可以防止黑客利用不安全的服务对内部网络进行攻击。
●应用网关技术
应用网关技术是建立在网络应用层上的协议过滤、转发技术,针对特别的网络应用协议指定数据过滤逻辑,并可以将数据包分析结果和采取措施进行登记和统计,形成报告。
●代理服务技术
代理服务是设置在Internet防火墙网关的专用应用级编码。包过滤和应用网关技术仅仅依据特定的逻辑检查。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统直接了解内部网络结构和运行状态的可能。代理服务是针对该缺陷的挽救措施。防火墙内外计算机系统的“连接”由两个终止于代理服务的“连接”来实现。外部计算机系统的隔离。代理服务的优点是,将被保护网络的内部结构屏蔽起来,同时实现较强的数据流监控、过滤、记录和报告功能。缺点是需要专门开发代理服务软件和相应的监控、过滤程序。
各种技术均有优缺点,现在的防火墙成熟产品大多是将各种技术结合起来,生成高效、通用、安全的防火墙。
存在的问题:
●限制服务类型和灵活性
防火墙最明显的缺点是可能封锁用户所需的某些服务,如,Telnet、FTP、NFS等。
●后门服务的可能性
防火墙不能防备从后门进入Intranet,如不加限制的调制解调器仍然许可对防火墙禁止网点的服务,那么攻击者可以跳过防火墙。在Intranet内的SliP或PPP连接在本质上是其他网络的连接点和潜在后门。
●其他如人们不熟悉的软件、硬件、应用程序等,里面可能潜藏危险电路、致病模块、特洛衣木马等,不仅不能实施防火墙策略,而且破坏安全设施。还有上载和下载软件和文档中的病毒,防火墙不能扫描病毒特征。防火墙还是一个潜在的瓶颈,即制约信息传输的速度。还有防火墙不能防备内部人员的攻击。