综合型网络安全论文

1．网络安全架构分析

1.1五层体系架构设计

随着互联网的飞速发展，城市人民的生活基本进入信息化时代，人们不管是网上购物，还是在线聊天等，或多或少了一些个人信息。甚至我国很大一部分的企业关键信息都存储于网络，因此网络是信息传递和存储的载体，它的正常运行有效地保证了用户信息的安全。网络信息安全主要涵盖网络信息安全、传输安全和内容安全三个方面，网络数据传播的渠道方式以及传播的信息内容是否真实可靠。基于我国网络安全基本情况，所谓网络安全，主要体现在从以下四个方面：网络信息数据的完整性、保密性以及共享数据的可控性和可用性。每一个安全特征都需要每个网络用户自觉维护，才能实现。本文根据网络安全要求及其特征，对目前网络安全做了体现架构分析。根据用户群体的不同将网络划分为五个层次，分别为应用和保密基础层、应用群体、用户群体、系统群体以及网络群体。目前，本文所提的五层网络安全体系在全球范围内已经得到了公认，并且也已经成功应用在网络安全产品之中，五层网络安全体系主要涵盖五层，下面针对每层的安全性问题做简要分析。

1.1.1网络层的安全性

网络信息和传输是否能得到控制是网络层安全性的核心问题，网络用户通过固定的IP地址进入网络系统，而网络则对此IP地址传输的数据进行检查，查看信息内容是否安全，安全则允许传输，否则屏蔽。目前网络安全性提高方法主要由两种：防火墙产品和VPN（虚拟专用网）。

1.1.2系统的安全性

网络系统中的安全性主要包括两个方面：第一是非法黑客对网络系统的入侵和破坏；第二是传统病毒对网络系统的入侵和破坏。病毒是一种可复制性、具有攻击型可执行文件，这些病毒的源头是非法程序员通过网络散布的、破坏正常文件的可执行文件；黑客是通过非法渠道进入网络系统窃取他人资料；这两种方式都是破坏系统安全性的渠道。

1.1.3用户操作安全性

目前，网络数据主要分为两种，一种是静态数据；一种是动态数据；而用户都是通过静态数据进行校验，登录系统，但往往由于用户操作失误或遗失账号密码，导致系统出现漏洞，给非法用户提供了侵入系统接口。

1.1.4应用程序的安全性

应用程序安全性主要涉及两个方面的问题：一是应用程序对数据的合法权限；二是应用程序对用户的合法权限。即合法用户通过应用程序操作合法数据。

1.1.5数据的安全性

数据作为整个架构层次的核心部分，其保存前、中和后都需要进行加密，充分保证数据的安全性，即使在数据被窃后。通过数据加密等措施，即使数据丢失，也可以让非法入侵者得到的是加密文件，无法了解其信息内容。上述的五层安全体系并非孤立分散。他们是有机的结合体，通过互相的数据共享和联通，形成整个网络体系架构，以上便是本文所设计及介绍的五层网络安全体系。

1.2安全技术分析

从上个世纪网络盛行时，网络安全就被世人所关注，针对网络漏洞和病毒，科学家和研究者制定出各种协议和规则，甚至研究出各种网络安全技术，下面就几种成熟的网络安全技术进行分别介绍。

（1）防火墙技术。

防火墙作为一种网络数据核查软件，很好的杜绝了网络用户通过非法渠道获取其他网络用户信息，它通过分包和IP地址并行校验机制，对外来数据进行一一检查，此种技术很好的保障了内部数据的安全性。目前，防火墙技术主要是分组过滤和服务两种类型，它们的主要宗旨是保护外来非法数据对本地数据的入侵和破坏，防火墙技术是一种真正保证本地数据的有效工具，它通过固定的网络协议对往来电子邮件进行过滤，使进出数据都得到了很好的检验。

（2）应用网关。

应用网关主要是针对网络数据传输过程中的数据包进行过滤，一般与防火墙技术组合使用，防火墙将数据包送至应用网关，应用网关可以被用来处理电子邮件，远程登录，及文件传输。

（3）虚拟私人网络。

虚拟网络主要是为一些用户专门访问而成立的技术，因此可以在Internet上建立自己的虚拟私人网络是一个安全的策略。通过路由器，虚拟链接就形成了。这样就可以由用户建立一个专内网络，进行数据交换，形成内部网络。由此可见，通过这种手段来保护数据的安全。

（4）数据加密技术。

为防止数据被外部非法用户所窃取的另外一个重要技术就是数据加密技术，它也是目前最为常用，而且安全性和可靠性非常高，数据加密技术主要包括密钥机制、数据传输、存储和完整性等。数据传输加密技术。数据存储加密技术。数据完整性鉴别技术。密钥管理技术。

（5）智能卡技术。

智能卡技术主要是对存储数据的磁盘进行管理，在存储空间设置授权机制，非授权数据和非授权的操作用户都将无法与智能卡进行交互，这种方式充分保障了智能卡总的数据安全性，适合独立和重要数据保护应用技术之一。

2．数据加密

2.1数据加密技术

加密技术是保证某些信息只有目标接收人才能读懂其含义的一种方法。所有的加密技术都要使用算法，算法是一种复杂的数字规则，被设计用来搅乱信息，以防止第三者对信息的截获。密码体制技术是研究通信安全保密的学科，它由密码编码学和密码分析学两部分组成。密码编码学是研究对信息进行变换，以保护信息在传送过程中不被第三方窃取、解读和利用的方法，它涉及对数据的保护、控制和标识。密码分析学研究如何分析和破译密码，二者既相互对立，又相互促进。加密算法的抗攻击能力可用加密强度来衡量，加密强度由三个因素组成：算法强度、密钥的保密性、密钥长度。加密技术是信息安全系统中常用的一种数据保护工具，而这种加密技术可用在交易过程中使用，加密体制无外乎分为两种，一种是对称加密，另一种是非对称加密体制。除了这两种加密体制外，还包括了哈希技术和数字签名技术。这些加密技术都在五层体系架构中发挥着重要的作用。

（1）对称加密/对称密钥加密/专用密钥加密体制。

如果使用对称加密方式，相同的密钥被使用在信息加密和解密的过程中，加密算法可以通过使用对称加密方法将其简化，每个贸易方都采用相同的加密算法并只交换共享的专用密钥，而不必彼此研究和交换专用的加密算法。

（2）非对称加密/公开密钥加密。

非对称加密和公开密钥加密同属一个意思。即在这种加密体制中，密钥被分解为一个加密密钥和一个专用的解密密钥。非对称加密算法中最著名的就是RSA算法，它的优点是加密复杂度高，不易破解，但他的缺点是运行速度慢。因此在实际加密过程中基本不采用此种加密算法。对应加密量大的应用，公开密钥加密算法通常用于对称加密方法密钥的加密。

2.2密钥安全分析

密钥是数据加密技术中的核心算法点，本文所讨论的五层架构体系中所有的数据传输和存储及访问，都基于数据加密技术的支持，随着技术的发展，加密技术不断完善，但完成安全的数据通讯，仅仅有加密和解密算法还是不够的，还需要有安全的密钥分配协议的支持。在网络数据传输过程中，采用公钥密码系统有较好的安全性，但加密解密的速度慢，而私钥虽然速度快，但不安全，因此密钥分配协议（简称KDP）是一种增强加密和解密的安全性。目前，世界存在的密钥分配协议有两种，一种是基于单一网络的密钥分配协议；一种是基于网络时钟同步的网络密钥分配协议；还有一种是基于层次的KDP。但这三种协议由于种种原因（必要前提、不可修补等）而不能长时间应用与数据加密技术中。

2.3可修补密钥分配协议

本文基于数据加密技术和网络安全的五层体系架构考虑，设计一种可替补的密钥分配协议方法，通过此协议，增加数据加密密钥的合理性和减小密钥丢失的风险性，提高网络安全性能。所谓密钥可修补分配协议的重点在于当一个密钥由于病毒、黑客或用户误操作而导致的系统漏洞，因此系统就出现各种被恶意破坏的可能存在，目前部分密钥分配协议中采用新密钥代替被泄露的密钥，但也无法保证没有了安全漏洞。而本文所设计的密钥分配协议不仅能取代泄露的密钥，而且可使系统恢复至初始，此种协议被称为可替补协议。

3．总结

随着信息时代的快速发展，信息安全问题已然成了世界关注的重点，信息传递依赖的媒体是网络，而网络安全技术就是保证信息安全的唯一手段，本文正式基于这一需求，综合分析了网络安全的五层架构体系，并柔和了数据加密技术，通过数据加密的密钥分配协议的改进设计，有效的提高的网络安全，同时也为数据加密技术提出一种可修补的KDP，为后期的网络安全提供有力的技术支持，当然此种方案还有待进一步改进和完善。

作者：白有林 单位：武汉铁路职业技术学院