網際網路持續加熱,隨著應用範圍擴大與資料傳輸量的提昇,安全問題也較以往更形重要,傳統軟體加解密的方式已逐漸不敷所需,而經由硬體直接進行高速資料處理的協同晶片,已成為新一代網路晶片開發焦點...
網際網路持續加熱,隨著應用範圍擴大與資料傳輸量的提昇,安全問題也較以往更形重要,傳統軟體加解密的方式已逐漸不敷所需,而經由硬體直接進行高速資料處理的協同晶片,已成為新一代網路晶片開發焦點。
根據市場研究公司In-Stat/MDR的報告指出,隨著市場需求的出現以及相關低成本、有效的解決方案問世,加密IC或安全處理器市場在未來五年中的表現將優於其它多數晶片市場。由於網際網路面臨大規模攻擊的威脅,且市場對於安全的線上交易條件不斷成長,因此對於網路安全的需求更勝以往。由於可用性的改善,且成本效益比利用通用處理器執行複雜的軟體安全演算法更高,安全處理器有相當的條件可以滿足上述需求。因此預估2007年安全晶片的市場將由2002年的3,000萬美元成長至2.8億美元。
目前安全處理器市場是個剛起飛的市場,充滿著許多新興公司。根據過去的經驗,公司經營此起彼落屢見不鮮,有些經營不善,有些則被強大的對手給收購,當然也有最終獲得成功的公司。2007年底,該市場中將近五分之一的銷售額將來自葉刀式伺服器。雖然高階安全處理器市場的成長速度略高於中階市場,但預估到2007年,中階市場所占整體市場比例將超過一半。
網路安全晶片運用在加密解密卡與防火牆設備之加解密、認證加速器上,目前電子商務多採用SSL (Secure Sockets Layer)技術,SSL係由網景(Netscape)公司所提出,係以傳輸過程為基礎的安全機制,解決了網路通訊的保密、身分鑑別與竊取、偽造及竄改等問題,但無法完善地保護使用者的隱私。
且系統安全主要依賴適當的金鑰保護措施。SSL已被Web Server與Browser廣泛用來保護線上交易的資料。
網路安全晶片在虛擬私人網路(Virtual Private Network;簡稱VPN)有較高的揮灑空間,可降低電腦CPU的loading,VPN專指建構在Internet上,使用密道及加密建立一個虛擬的、安全的、方便的及擁有自主權的私人數據網路,公眾的網路上透過這個虛擬的安全網路,可以用來傳輸公司或是企業內部的資料而不怕被竊取(表1)。
對稱式系統又稱為祕密金鑰(Secret Key)密碼系統,使用相同的金鑰進行訊息的加密與解密,訊息的傳送與接收兩方必須共同分享一個祕密,亦即金鑰。DES(Data Encryption Standard)被拿來用於金融訊息的加密上。對稱式的加解密技術,加密與解密均使用同一把鑰匙。舉凡DES、3-DES、RC2、RC4、AES(Advanced Encryption Standard)與IDEA(International Data Encryption Algorithm)等即為對稱式的加密技術。
由於對稱式密碼演算法的運算速度較非對稱式密碼演算法快約100-1000倍,所以對稱式的加解密技術都使用在實際資訊傳遞加密上。
公開金鑰密碼系統又稱為非對稱式密碼系統,最著名的例子有RSA與Diffie-Hellman密碼法等。這類系統內使用了兩把金鑰,一把金鑰用於訊息加密,另一把金鑰用於訊息解密。這兩把金鑰稱為公開金鑰與秘密金鑰,它們之間存在數學關係,此種關係使得加密後的密文得以還原。而將金鑰公開並不妨害秘密金鑰的機密性,也就是說,由公開金鑰無法推導獲得到秘密金鑰。有鑑於兩把金鑰間的關係,秘密金鑰的擁有者必須確保秘密金鑰沒有向任何人揭露,才能確保系統的安全。因此,這一對金鑰應由使用者自已產生或由被信賴的權責機構來產生並分發。
電子化付款協定中訊息交換採用非對稱性密碼與對稱性密碼並用的技術。為了提供更高層次的安全防護,在訊息交換前顧客端利用對稱性密碼技術將訊息加密;這種在通訊期間隨機產生的對稱金鑰稱為通訊金鑰(session key)。
使用商店的公開金鑰將這把通訊期間金鑰加密,稱為數位信封(digital envelope)。最後將密文及數位信封一併傳送給商店,如此可確保金鑰不容易藉由演算法或環境等相關資訊重新製造。目前電子化付款係使用對稱性密碼法及非對稱性的公開金鑰密碼法二者。
此演算法係雜湊函數將接收到的輸入資料壓縮之後,產生一組固定長度的字串。對於一個密碼安全雜湊函數,將不可能找到下列兩種的情況:
‧由計算找出兩個輸入值產生同樣的輸出(防止輸出碰撞產生)。
‧已知某個輸入值產生某輸出狀況下,能找到另外一輸入值產生同樣的輸出結果。
目前網路安全晶片提供的安全雜湊演算法計有MD-5(訊息摘要;Message Digest)或Secure Hash(SHA/SHA-1)等。訊息摘要是利用數學的單向赫序函數(one-way hash function)來達成。單向赫序函數具有兩個特質,一是從已知的訊息摘要找到相對應的訊息,計算上不可行;另一是找出兩份不同的訊息但有相同的摘要,計算上不可行。赫序函數有一個好處,就是它能夠產生一固定長度的摘要,使得演算法的設計變得較容易且速度較快。
安全功能決定產品價值
隨著寬頻上網用戶數以及網際網路商業應用的比例持續攀升,維護網際網路安全的議題已成為目前通訊產業的顯學,幾乎所有的網路產品均必須具備相當的網路安全功能,這些網路安全功能包括Firewall、NAT、VPN、Content/Traffic Filtering及Anti DoS 等。近年來Anti-Virus功能也已出現在通訊產品中,網路安全功能已成為決定網路產品附加價值的重要指標。
根據In-Stat/MDR 的報告顯示,迄2007年,全球會有超過40億美元的市場規模。隨著網路安全協定標準的逐漸成熟、網路安全晶片以及軟體開發工具的易於使用,具備網路安全功能的設備會越來越多,網路安全也將成為基本需求。