黎成中

（廣西華南通信股份有限公司，廣西 南寧 530000）

1 網(wǎng)絡(luò)安全協(xié)議的概述

網(wǎng)絡(luò)安全協(xié)議是協(xié)議族中的一種，該協(xié)議主要作用是維護用戶網(wǎng)絡(luò)操作的安全性，保證數(shù)據(jù)信息的完整性，同時該協(xié)議會和計算機數(shù)據(jù)通信進行交互對接，明確數(shù)據(jù)信息的來源以及傳輸目的地。不僅如此，網(wǎng)絡(luò)安全協(xié)議會通過數(shù)據(jù)加密和安全審計的方式對數(shù)據(jù)信息的傳輸過程進行保護，并按照差異化的計算機網(wǎng)絡(luò)架構(gòu)，使用更為契合的用戶認(rèn)證模式，以滿足差異化的應(yīng)用場景需求，從而使用最為適宜的網(wǎng)絡(luò)安全協(xié)議認(rèn)證機制。廣泛應(yīng)用的網(wǎng)絡(luò)安全協(xié)議主要有傳輸控制協(xié)議和網(wǎng)絡(luò)協(xié)議 （Transmission Control Protocol/Internet Protocol，TCP/IP)、安全套接層協(xié)議SSL （Secure Sockets Layer，SSL）以及地址解析協(xié)議，（Address Resolution Protocol，ARP）等[1]。其中，ARP 協(xié)議全稱為地址解析協(xié)議，該協(xié)議工作原理是將物理地址映射至計算機網(wǎng)絡(luò)空間中，即根據(jù)IP 地址去獲取對應(yīng)的物理地址，ARP 協(xié)議屬于TCP/IP 協(xié)議族中的一種，在使用ARP 協(xié)議時需要謹(jǐn)防ARP 地址欺騙安全隱患。SSL 協(xié)議全稱為安全套接層協(xié)議，該協(xié)議建立在TCP／IP協(xié)議之上，能夠支持不同類型的網(wǎng)絡(luò)架構(gòu)，并提供三種不同的安全服務(wù)[2]。與ARP 協(xié)議有所不同，SSL 協(xié)議更為注重計算機網(wǎng)絡(luò)通信傳輸過程的完整性，其主要應(yīng)用公開密鑰與對稱密鑰技術(shù)對數(shù)據(jù)信息進行加密保護，同時為客戶機和服務(wù)器提供雙向認(rèn)證服務(wù)。

2 常用網(wǎng)絡(luò)安全協(xié)議類型

2.1 網(wǎng)絡(luò)認(rèn)證協(xié)議

由MIT 所提出的網(wǎng)絡(luò)認(rèn)證協(xié)議的原理及作用是在非安全網(wǎng)絡(luò)中，如外部網(wǎng)絡(luò)，對進行數(shù)據(jù)信息交換、傳輸以及共享的個人通信身份進行認(rèn)證，因此網(wǎng)絡(luò)認(rèn)證協(xié)議也被稱之為計算機網(wǎng)絡(luò)授權(quán)協(xié)議。網(wǎng)絡(luò)認(rèn)證協(xié)議基于AES 對稱加密算法為服務(wù)端與客戶端之間的數(shù)據(jù)信息提供安全可靠的身份認(rèn)證功能，以此有效實現(xiàn)在異構(gòu)網(wǎng)絡(luò)環(huán)境中通過網(wǎng)絡(luò)認(rèn)證協(xié)議對計算機身份進行認(rèn)證的效果[3]。

網(wǎng)絡(luò)認(rèn)證協(xié)議在實際應(yīng)用時具備較為明顯的優(yōu)點及缺點。優(yōu)點是該協(xié)議在應(yīng)用時安全性較高，用戶在利用該協(xié)議進行數(shù)據(jù)交換時可以保證數(shù)據(jù)信息具備較強的透明性，可以在一定程度上簡化用戶在操作過程中的難度，同時可以為系統(tǒng)賦予較強的可拓展性。缺點是該協(xié)議在執(zhí)行過程中需要中心服務(wù)器對客戶端進行持續(xù)響應(yīng)，導(dǎo)致在認(rèn)證服務(wù)完成前沒有客戶端可以正式連接到中心服務(wù)器中，在一定程度上降低了數(shù)據(jù)信息交互的效率。但隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，現(xiàn)階段可以利用缺陷認(rèn)證機制與復(fù)合認(rèn)證服務(wù)器將網(wǎng)絡(luò)認(rèn)證協(xié)議中的認(rèn)證延遲性降低，進而提高了網(wǎng)絡(luò)認(rèn)證協(xié)議的實用性和應(yīng)用價值。

2.2 安全電子交易協(xié)議

安全電子交易協(xié)議（SET）是由Master card 以及VISA 兩大信用卡企業(yè)共同制定的線上交易規(guī)范[4]。安全電子交易協(xié)議是基于X.509 數(shù)字證書以及公鑰密碼機制所構(gòu)建的。安全電子交易協(xié)議的主要作用便是有效提高線上購物、線上支付等相關(guān)操作中的信息安全性。安全電子交易協(xié)議的執(zhí)行原理是對銀行、商家以及消費者之間進行認(rèn)證，以此有效提高交易過程中所產(chǎn)生數(shù)據(jù)信息的不可否認(rèn)性、可靠性、完整性以及安全性，簡而言之便是可以確保消費者的個人信息，如銀行卡號、銀行卡密碼等數(shù)據(jù)不會被商家所讀取，這一特點使安全電子交易協(xié)議逐漸成為現(xiàn)階段借記卡線上交易與信用卡線上交易操作中的國際安全標(biāo)準(zhǔn)規(guī)范。

安全電子交易協(xié)議在實際執(zhí)行過程中主要目標(biāo)有以下幾點：（1）基于該協(xié)議可以有效提高交易過程中消費者、商家以及銀行數(shù)據(jù)信息在網(wǎng)絡(luò)環(huán)境中傳輸安全性，確保銀行卡密碼、個人信息以及購買信息等重要數(shù)據(jù)信息不會被不法分子所竊取。（2）可以有效將消費者的個人信息與購買信息進行隔離，使商家無法通過讀取購買信息對消費者個人信息進行鎖定，即商家在處理消費者訂單時進能看到消費者的訂貨信息，無法查看到消費者的賬戶信息。（3）為商家與消費者提供相互認(rèn)證機制，通過該機制可以確定雙方的身份，該認(rèn)證機制通常是由第三方機構(gòu)負責(zé)，由第三方機構(gòu)建立線上平臺為在線通信雙方提供信用擔(dān)保。

2.3 安全套接層協(xié)議

安全套接層協(xié)議（SSL）是由Netscape 企業(yè)基于Web，即網(wǎng)頁應(yīng)用所提出的安全協(xié)議。安全套接層協(xié)議的主要執(zhí)行原理是為TCP/IP 協(xié)議與各個類型的應(yīng)用程序協(xié)議，如文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP）協(xié)議、網(wǎng)絡(luò)新聞傳輸協(xié)議（Network News Transfer Protocol，NNTP）協(xié)議、超文本傳輸協(xié)議（HyperText Transfer Protocol，HTTP）協(xié)議等之間進行數(shù)據(jù)交互時提供數(shù)據(jù)安全性分層機制[5]。數(shù)據(jù)安全性分層機制可以有效提高各類應(yīng)用程序協(xié)議與TCP/IP 協(xié)議之間進行數(shù)據(jù)信息傳輸時的消息完整性、認(rèn)證性、安全性以及加密性，為兩者進行連接時提供可靠的客戶認(rèn)證服務(wù)機制。

安全套接層協(xié)議在實際應(yīng)用時具備以下特點：（1）增強客戶與應(yīng)用程序之間連接的保密性。對每一個連接會話提供唯一性的會話密鑰，該密鑰的加密機制是對稱密碼加密機制。（2）提高會話連接的可靠性。采用MAC 算法為數(shù)據(jù)信息交互過程提供認(rèn)證機制，以此確保數(shù)據(jù)信息交互的完整性與可靠性。（3）加強了對客戶終端的鑒別力度。利用非對稱性加密機制，如DSS、RSA 等加密認(rèn)證機制，確保數(shù)據(jù)流的傳輸安全性與精準(zhǔn)性。

2.4 安全超文本傳輸協(xié)議

安全超文本傳輸協(xié)議的本質(zhì)是基于超文本傳輸協(xié)議為客戶端與服務(wù)端之間提供一個安全性較強的數(shù)據(jù)傳輸通道，在實際執(zhí)行期間利用安全套接字層為客戶端與服務(wù)端提供安全服務(wù)。安全超文本傳輸協(xié)議是利用密碼通信框架（Transport Layer Security，TLS）/（Secure Socket Layer，SSL）加密機制對超文本傳輸協(xié)議進行加密，進而形成安全超文本傳輸協(xié)議（Secure Hypertext Transter Protoco，SHTTP）。HTTP 協(xié)議在對數(shù)據(jù)信息傳輸時采用明文傳輸方式，此種方式提高了數(shù)據(jù)信息被篡改、讀取或劫持的可能性，而TLS/SSL協(xié)議則可以為傳輸過程中的明文數(shù)據(jù)信息提供加密密鑰與完整性校驗功能，可以有效避免HTTP 協(xié)議在實際應(yīng)用時所存在的風(fēng)險。TLS/SSL 是安全傳輸層協(xié)議，其主要應(yīng)用位置是在HTTP 協(xié)議與TCP/IP 協(xié)議之間，為兩者在進行數(shù)據(jù)信息交互時提供較強的安全性、保密性以及完整性，TLS/SSL 在實際執(zhí)行期間并不會對數(shù)據(jù)信息內(nèi)容造成影響，也不會對HTTP 協(xié)議和TCP/IP 協(xié)議的執(zhí)行邏輯造成影響[6]。

3 計算機通信技術(shù)中網(wǎng)絡(luò)安全協(xié)議的應(yīng)用意義

3.1 增強數(shù)據(jù)保密性

在數(shù)據(jù)信息交互過程中存在大量的明文數(shù)據(jù)，若不對明文數(shù)據(jù)進行加密，則會大幅提高數(shù)據(jù)信息被讀取、篡改等風(fēng)險，從而損害了用戶隱私性和數(shù)據(jù)保密性。利用網(wǎng)絡(luò)安全協(xié)議可以有效提高通信過程中數(shù)據(jù)傳輸唯一性，即將數(shù)據(jù)信息發(fā)送給指定接收人，在數(shù)據(jù)傳輸過程中網(wǎng)絡(luò)安全協(xié)議還會對數(shù)據(jù)信息進行加密處理，以此有效防止不法分子盜取數(shù)據(jù)信息。

3.2 增強數(shù)據(jù)完整性

數(shù)據(jù)信息在實際傳輸過程中可能因各種因素而導(dǎo)致數(shù)據(jù)信息丟失或數(shù)據(jù)信息傳輸不完整，進而喪失了數(shù)據(jù)信息自身的價值和作用，為有效增強數(shù)據(jù)信息在實際傳輸過程中的完整性與自身價值，則需要利用網(wǎng)絡(luò)安全協(xié)議為數(shù)據(jù)信息傳輸過程中添加完整性校驗機制，以此確保數(shù)據(jù)信息在發(fā)送端與接收端之間傳輸?shù)耐暾訹7]?；谥付ǖ募用芩惴▽λ鑲鬏?shù)臄?shù)據(jù)信息進行加密認(rèn)證，而后賦予接收端指定的破譯機制，確保破譯機制僅能對指定數(shù)據(jù)信息進行破譯，在破譯過程中實現(xiàn)數(shù)據(jù)信息校驗行為，即確保所發(fā)出的內(nèi)容與破以后的內(nèi)容完全一致。

3.3 增強數(shù)據(jù)認(rèn)證性

在數(shù)據(jù)信息傳輸過程中可能存在數(shù)據(jù)信息被第三方讀取或更改的風(fēng)險，因此為有效避免非法通信者對數(shù)據(jù)信息內(nèi)容進行干擾或破壞，則需要利用網(wǎng)絡(luò)安全協(xié)議明確通信雙方的真實身份，可以基于MAC地址、IP 地址等相關(guān)數(shù)據(jù)信息進行明確。通過在數(shù)據(jù)信息正式交互前發(fā)送認(rèn)證信息或在數(shù)據(jù)信息交互中在數(shù)據(jù)內(nèi)添加認(rèn)證字段，從而實現(xiàn)明確發(fā)送方與接收方的身份真實性與信息在傳輸過程中的唯一性。

4 計算機通信技術(shù)中網(wǎng)絡(luò)安全協(xié)議的作用

4.1 降低網(wǎng)絡(luò)通信維護成本

網(wǎng)絡(luò)安全協(xié)議在實際應(yīng)用過程中不僅可以有效提高通信環(huán)境的安全性與可靠性，同時還能夠在一定程度上降低網(wǎng)絡(luò)通信的實際維護成本，如時間成本、資金成本以及人力成本等，其主要原因有以下幾方面。

（1）網(wǎng)絡(luò)安全協(xié)議在實際應(yīng)用時可以切實增強網(wǎng)絡(luò)安全性，有效避免因病毒或文件泄露出現(xiàn)的可能性，降低了企業(yè)中網(wǎng)絡(luò)系統(tǒng)在實際運行過程中與維護時所需投入的成本。

（2）技術(shù)人員可以結(jié)合實際情況對網(wǎng)絡(luò)系統(tǒng)以安裝補丁方式進行針對性升級與優(yōu)化，如利用設(shè)備的MAC 地址認(rèn)證機制、搭建防火墻等方式避免不法分子利用網(wǎng)絡(luò)安全協(xié)議中的漏洞對企業(yè)網(wǎng)絡(luò)系統(tǒng)造成損害，切實提高了數(shù)據(jù)信息在實際傳輸過程中的安全性與可靠性。

4.2 基于網(wǎng)絡(luò)安全協(xié)議進行安全性檢測

基于網(wǎng)絡(luò)安全協(xié)議開展網(wǎng)絡(luò)系統(tǒng)安全性檢測作業(yè)是現(xiàn)階段計算機通信行業(yè)中較為常用的安全性檢測方式之一，同時也可以結(jié)合實際情況利用安全性檢測結(jié)果構(gòu)建具備針對性的數(shù)據(jù)信息安全傳輸通道。為切實提高數(shù)據(jù)通信過程中的可靠性，則需要工作人員結(jié)合實際情況建立更加全面的網(wǎng)絡(luò)安全協(xié)議類型。因此基于網(wǎng)絡(luò)安全協(xié)議開展安全性檢測作業(yè)是有效提高計算機數(shù)據(jù)通信性能的重要舉措之一，同時該方式也可以有效檢測通信過程中所處網(wǎng)絡(luò)環(huán)境內(nèi)是否存在漏洞或安全性隱患的主要方式。在利用網(wǎng)絡(luò)安全協(xié)議進行網(wǎng)絡(luò)環(huán)境安全性檢測時，需要工作人員基于通信技術(shù)的不同選擇不同類型的網(wǎng)絡(luò)安全協(xié)議對所傳輸?shù)臄?shù)據(jù)信息進行全面跟蹤，在跟蹤過程中需要對數(shù)據(jù)包尾端數(shù)據(jù)信息丟失過程進行有效溯源，對溯源結(jié)果進行分析而后結(jié)合實際情況使用更加科學(xué)合理的網(wǎng)絡(luò)安全協(xié)議。除此之外，在安全檢測過程中技術(shù)人員還需要考慮到網(wǎng)絡(luò)硬件條件、用戶操作系統(tǒng)、計算機設(shè)備性能等相關(guān)因素的不同，確保所選擇的網(wǎng)絡(luò)安全協(xié)議具備較強兼容性，可以有效契合多樣化設(shè)備與網(wǎng)絡(luò)的安全檢測作業(yè)，以此實現(xiàn)對數(shù)據(jù)信息傳輸過程中的安全驗證與用戶認(rèn)證進行有效跟蹤及溯源的效果。不僅如此，在基于統(tǒng)一化的計算機通信環(huán)境中利用網(wǎng)絡(luò)安全協(xié)議進行安全性檢測可以有效發(fā)現(xiàn)安全性能評估過程中存在的問題，找出應(yīng)用層與網(wǎng)絡(luò)安全協(xié)議之間的兼容性問題，從而確保技術(shù)人員可以結(jié)合實際情況調(diào)整應(yīng)用層程序的架構(gòu)或數(shù)據(jù)信息接收端口類型，有效提高應(yīng)用層與網(wǎng)絡(luò)安全協(xié)議之間的契合性。

5 結(jié) 論

綜上所述，網(wǎng)絡(luò)安全是推動計算機網(wǎng)絡(luò)長期可持續(xù)發(fā)展的關(guān)鍵，亦是計算機通信技術(shù)未來發(fā)展的重點方向。網(wǎng)絡(luò)安全協(xié)議的充分應(yīng)用不僅能夠保證計算機數(shù)據(jù)通信的安全，還可以提高數(shù)據(jù)信息傳輸?shù)男阅?，使計算機網(wǎng)絡(luò)信息擁有更好的穩(wěn)定性與安全性。因此，要加大力度開發(fā)網(wǎng)絡(luò)安全協(xié)議，以便更好維護網(wǎng)絡(luò)環(huán)境。