网络安全的加密技术解读.ppt

2.7 网络必威体育官网网址通信 2.7.1 通信安全 1．线路安全 通信过程中，通过在通信线路上搭线可以窃取（窃听）传输的信息，还可以使用相应设施接收线路上辐射的信息，这些都是通信中的线路安全问题。对此应该如何应对呢？ 一种简单但很昂贵的电缆加压技术可保护通信电缆安全，该技术是将通信电缆密封在塑料套里深埋于地下，并在线路的两端加压。 光纤没有电磁辐射，所以也不可能有电磁感应窃密。但遗憾的是光纤有长度限制，超过最大长度时要定期地放大信号，就要将信号转变为电脉冲，放大后再恢复为光脉冲继续通过另一条线路传输。完成这一操作的设备（复制器）是光纤通信系统安全的薄弱环节，因为信号极可能在这一环节被窃听。 2.7 网络必威体育官网网址通信 2．TCP/IP服务的脆弱性 基于TCP/IP协议的服务很多，常用的有Web服务、FTP服务、电子邮件服务等；人们不太熟悉的有TFTP服务、NFS服务、Finger服务等。这些服务都在不同程度上存在安全缺陷。 （1）电子邮件程序存在漏洞：电子邮件附着的文件中可能带有病毒，邮箱经常被塞满，电子邮件炸弹令人烦恼，还有邮件溢出等。 （2）简单文件传输协议TFTP服务用于局域网，它没有任何安全认证，安全性极差，常被人用来窃取密码文件。 （3）匿名FTP服务存在一定的安全隐患：有些匿名FTP站点为用户提供了一些可写的区域，用户可以上传一些信息到站点上，因此可能会浪费用户的磁盘空间、网络带宽等资源，还可能造成“拒绝服务”攻击。 （4）Finger服务可查询用户信息，包括网上成员姓名、用户名、最近的登录时间、地点和当前登录的所有用户名等，这也为入侵者提供了必要的信息和方便。 2.7 网络必威体育官网网址通信 2.7.2 通信加密 网络中的数据加密可分为两个途径，一种是通过硬件实现数据加密，一种是通过软件实现数据加密。通过硬件实现网络数据加密有3种方式：链路加密、节点加密和端一端加密；软件数据加密就是指使用前述的加密算法进行加密。 1．硬件加密和软件加密 （1）硬件加密 选用硬件加密的原因有：① 快速② 安全③ 易于安装 （2）软件加密 任何加密算法都可用软件实现。软件实现的不利之处就是速度慢、开销大和易于改动，有利之处是灵活性大和可移植性强，易使用、易升级。 2.7 网络必威体育官网网址通信 2．通信加密方式 （1）链路加密 链路加密（Link Encryption）是指传输数据仅在数据链路层上进行加密。如图2-17所示。 图2-17 链路加密 2.7 网络必威体育官网网址通信 （2）节点加密 为了解决数据在节点中是明文的缺点，出现了一种新的加密方式——节点加密（Node Encryption）。节点加密在中间节点装有加密/解密保护装置，由该装置完成一个密钥向另一个密钥的变换。因而，该方式使得在节点内也不会出现明文。 （3）端-端加密 端-端加密（End to End Encryption）是传输数据在应用层上完成加密的加密方式。 端-端加密时，只有在发送端和接收端才有加密和解密设备，中间各节点不需要有密码设备。因此，同链路加密相比，可减少很多密码设备。 即端-端加密只能对信息的正文（报文）进行加密，而不能对报头加密，如图2-18所示。 2.7 网络必威体育官网网址通信 图2-18 端-端加密 2.7 网络必威体育官网网址通信 （4）通信加密方式的比较和选择 ① 链路加密的特点：加密方式比较简单，实现也较容易；可防止报文流量分析的攻击；一个链路被攻破，不影响其他链路上的信息；一个中间节点被攻破时，通过该节点的所有信息将被泄露；加密和维护费用大，用户费用很难合理分配；链路加密只能认证节点，而不面向用户，因此链路加密不能提供用户鉴别。 ② 端-端加密的特点：可提供灵活的必威体育官网网址手段，例如主机到主机、主机到终端、主机到进程的保护；加密费用低，并能准确分配；加密在网络应用层实现，可提高网络加密功能的灵活性；加密可使用软件实现，使用起来很方便；不能防止信息流量分析攻击； ③ 加密方式的选择：从以上两种加密方式可知，链路加密对用户系统比较容易，使用的密钥较少，而端-端加密比较灵活。因此，用户在选择通信方式时可作如下考虑：在需要保护的链路数少，且要求实时通信，不支持端-端加密的远程调用等通信场合，宜采用端-端加密方式；在多个网络互联的环境中，宜采用端-端加密方式；在需要抵御信息系统流量分析场合，可采用链路加密和端-端加密相结合的加密方式。 总而言之，与链路加密方式相比，端-端加密具有成本低、必威体育官网网址性强、灵活性好等优点，因此应用更为广泛。 2.8 加