[第06章信息资源的安全管理陈庄.ppt

6.5.1 网络安全的涵义（3/3） 3、网络安全的目标 防止未经授权的数据访问。 防止数据的意外遗漏或重复数据。 防止利用隐含通道窃取机密信息，甚至设置“病毒”，使系统陷于瘫痪。 确保数据的发送正确无误。 确保数据的接收正确无误。 根据必威体育官网网址要求与数据来源对数据作标记。 提供可供安全审计的网络通信记录，防止对用户进行欺骗。 可对独立的第三方证明通信过程已经实现，并且通信内容已被正确接受。 在取得明确的可访问系统的授权许可后，才能与系统通信。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.5.2.1 数据加密技术（1/3） 网络数据加密是网络安全中最有效的信息保护措施。网络数据加密的方式主要有链路加密、端对端加密以及混合加密等三种方式。 1、链路加密 1）链路加密的概念 链路层处在ISO参考模型的第二层，是用于传输数据的通信信道。链路加密是对网络中两个相邻节点之间传输的数据进行加密保护。 2）链路加密的的基本原理 在受保护数据所选定的路径上，任意一对节点之间的加密是独立实现的，即每条链路所使用的加密密钥是不同的，如图6.2所示。图中，Ei(x)（i=1,2,…,n）代表第i条链路的加密密钥。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.5.2.1 数据加密技术（2/3） 1、链路加密（续） 3）链路加密的过程 网络中，传送的信息由报头和报文两部分组成。 报头是为了保证通情所必用的控制信息，如信息传送的源节点地址、目的节点的地址、路径选择信息、传送信息的长度等； 报文则是真正要传送的用户数据信息。 链路加密的加密算法常同时对报文和报头进行加密，这不仅保护传送的信息，而且还掩盖了源节点和目的节点的地址。 链路加密一般采用硬件实现。 2、端对端加密 1）原理 端对端加密是在一对用户之间的数据连续地提供保护，所以它要求各对用户采用相同的密钥，其原理如图6.3所示。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.5.2.1 数据加密技术（3/3） 2、端对端加密（续） 2）过程 端一端加密方式仅对报文信息进行加密，而报头中的控制信息部分则是以明文形式传送。 端对端加密一般采用软件实现，当然也可以用硬件实现。 3、混合加密 为了保护报头中的敏感信息，获得更好的安全性，可以采用链路加密和端对端加密结合的混合加密方式。 在该方式下，报文将被两次加密，而报头则由链路加密方式进行加密。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.5.2.2 密钥管理技术（1/4） 1、什么是密钥 密钥（Key）是一系列控制加密、解密操作的符号。 加密技术一般都采用加密算法来实现，而加密算法必须由密钥来控制。由于算法是公开的，因此明文的必威体育官网网址主要依赖于密钥的必威体育官网网址。 在网络环境下，因用户和节点很多，需要大量的密钥。因此，如果没有一套妥善的管理方法，密钥—旦丢失或出错，其危险性是可想而知的。 2、密钥管理的基本任务 密钥管理是一项复杂的工作，既包括一系列的技术问题，也包括管理人员的素质问题。密钥管理的基本任务是： 在密钥的整个生命周期中，为密钥提供生成、注册、认证、注销、分发、安装、存储、归档、撤销、衍生和销毁等管理服务。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.5.2.2 密钥管理技术（2/4） 3、各项任务的内涵 密钥生成 是指是为特定密码算法以安全的方式产生密钥。 该项服务要求：密钥产生过程不会被篡改，产生方式不可预测，分发符合指定规程；某些密钥（如主密钥）生成要求特别的安全措施，因为知道这些密钥就能访问所有相关密钥或衍生密钥。