网络安全关键技术：云计算提供的解决方案

网络所带来的诸多不安全因素使得网络使用者不得不采取相应的网络安全对策。为了堵塞安全漏洞和提供安全的通信服务，必须运用一定的技术来对网络进行安全建设。网络安全技术涉及的技术面非常广，主要的技术包括认证技术、防火墙技术、加密技术及入侵检测技术等，这些都是网络安全的重要防线。

1）认证技术

网络安全认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份，以保证通信的安全。认证技术一般可以分为两种：身份认证技术和消息认证技术。

（1）身份认证技术

身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息（包括用户的身份信息）都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，即保证操作者的物理身份与数字身份相对应，这就要用到身份认证技术。作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。目前，常用的身份认证方法包括基于口令的认证方法、双因素认证、一次口令机制、生物特征认证以及USB Key认证等。

（2）消息认证技术

消息认证技术用于保证信息的完整性和抗否认性。在很多情况下，用户要确认网上信息是不是假的，信息是否被第三方修改或伪造，这就需要消息认证。消息认证实际上是对消息本身产生一个冗余的信息——MAC（消息认证码），消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的。它对于要保护的信息来说是唯一的，因此可以有效地保护消息的完整性，以及实现发送方消息的不可抵赖和不能伪造。

消息认证技术可以防止数据的伪造和被篡改，以及证实消息来源的有效性，已广泛应用于信息网络。随着密码技术与计算机计算能力的提高，消息认证码的实现方法也在不断改进和更新之中，多种实现方式会为更安全的消息认证码提供保障。

2）防火墙技术

“防火墙”是一种形象的说法，其实它是计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关（Security Gateway），保护内部网免受非法用户的侵入（图8-2）。

图8-2　防火墙的功能

防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、检视和入侵检测技术。

防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他安全机制（如访问控制）集成使用；另外，防火墙难于管理和配置，由多个系统（路由器、过滤器、代理服务器、网关、堡垒主机）组成的防火墙，管理上难免有所疏忽。(www.xing528.com)

3）数据加密技术

与防火墙配合使用的安全技术还有数据加密技术。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

（1）数据传输加密技术

其目的是对传输中的数据流加密，常用的方法有线路加密和端-端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密，并进入TCP／IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，被将自动重组、解密，成为可读数据。

（2）数据存储加密技术

其目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、格限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

（3）数据完整性鉴别技术

其目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证，达到保密的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

（4）密钥管理技术

为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。

4）入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。校园网络采用入侵检测技术，最好采用混合入侵检测，即同时采用基于网络和基于主机的入侵检测系统，构架成一套完整立体的主动防御体系。