网络信息安全_第七次课解读.ppt

* A和B得到KDC加密过的信息后，分别解密之，得到会话密钥Ks ； 至此，A与B即可用进行通信了。通信结束后， Ks随即被销毁。 KDC可以看作一个密钥源，它可以与DES 一起使用，也可以是一个公开密钥源。 * 5 . 6 网络必威体育官网网址通信 5.6.1 通信安全 要保证系统的通信安全，就要充分认识到网络系统的脆弱性，特别是网络通信系统和通信协议的弱点，估计到系统可能遭受的各种威胁，采取相应的安全策略，尽可能地减少系统面临的各种风险，保证计算机网络系统具有高度的可靠性、信息的完整性和必威体育官网网址性。 * 网络通信系统可能面临各种各样的威胁，如来自各种自然灾害、恶劣的系统环境、人为破坏和误操作等。所以，要保护网络通信安全，不仅必须要克服各种自然和环境的影响，更重要的是要防止人为因素造成的威胁。 * 线路安全： 通信过程中，通过在通信线路上搭线可以窃取（窃听）传输信息，还可以使用相应设施接收线路上辐射的信息，这些就是通信中的线路安全问题。可以采取相应的措施保护通信线路安全。采用电缆加压技术可保护通信电缆安全。 * TCP/IP服务的脆弱性： 基于TCP/IP协议的服务很多，常用的有Web服务、FTP服务、电子邮件服务等;人们不太熟悉的有TFTP服务、NFS服务、Finger服务等。这些服务都在不同程度上存在安全缺陷。 * 5.6.2 通信加密 (1) 硬件加密和软件加密 网络中的数据加密可分为两个途径，一种是通过硬件实现数据加密，一种是通过软件实现数据加密。 通过硬件实现网络数据加密主要方式：链路加密和端--端加密； 软件数据加密就是指使用前述的加密算法进行的加密。 * 硬件加密：所有加密产品都有特定的硬件形式。这些加、解密硬件被嵌入到通信线路中，然后对所有通过的数据进行加密。选用硬件加密的原因有： 快速。加密算法中含有许多复杂运算，采用硬件措施将提高速度，而用软件实现这些复杂运算将影响速度； 安全。使用硬件加密设备可将加密算法封装保护，以防被修改。 易于安装。将专用加密硬件放在电话、传真机中比设置在微处理器中更方便。安装一个加密设备比修改配置计算机系统软件更容易。 * 软件加密： 任何加密算法都可用软件实现。软件实现的劣势是速度、开销和易于改动，而优势是灵活性和可移植性，易使用，易升级。 * (2) 通信加密方式 链路加密：是传输数据仅在数据链路层上进行加密。链路加密是为保护两相邻节点之间链路上传输的数据而设立的。只要把两个密码设备安装在两个节点间的线路上，并装有同样的密钥即可。被加密的链路可以是微波、卫星和有线介质。 * 在链路上传输的信息是密文(包括信息正文、路由及检验码等控制信息)，而链路间节点上必须是明文。因为在各节点上都要进行路径选择，而路由信息必须是明文，否则就无法进行选择了。 * 这样，信息在中间节点上要先进行解密，以获得路由信息和检验码，进行路由选择、差错检测，然后再被加密，送至下一链路。同一节点上的解密和加密密钥是不同的。 * P P 节点1 节点2 节点3 节点n L2 Ln-1 L1 E1 Dn P P D1 E2 D2 E3 C1 C2 Cn-1 链路加密 * 端--端加密：是传输数据在应用层上完成加密的。端--端加密是对两个用户之间传输的数据提供连续的安全保护。数据在初始节点上被加密，直到目的节点时才能被解密，在中间节点和链路上数据均以密文形式传输。 * 只有在发送端和接收端才有加密和解密设备，中间各节点不需要有密码设备。 因为信息的报头为路径选择信息，各中间节点虽不进行解密，但必须检查报头信息，所以路径选则信息不能被加密，必须是明文。 所以，端--端加密只能对信息的正文(报文)进行加密，而不能对报头加密。 * P P L1 L2 Ln-1 节点2 节点3 节点n 节点1 E D C C C 端-端加密 * 通信加密方式的比较：常用的通信加密方式是链路加密和端—端加密。链路加密是对整个链路的通信采取保护措施，而端—端加密则是对整个网络系统采取保护措施。 * 链路加密： 方式比较简单，实现也较容易，只要把两个密码设备安装在两个节点间的线路上，并装有同样的密钥即可； 链路加密时由于报头在链路上均被加密，因此可防止报文流量的分析攻击。链路加密可屏蔽掉报文的频率、长度等特征，从而使攻击者得不到这些特征值； * 一个链路被攻破，而不影响其它链路上的信息； 一个中间节点被攻破时，通过该节点的所有信息将被泄露； 加密和维护费用大，用户费用很难合理分配。 * 端—端加密： 可提供灵活的必威体育官网网址手段，如主机到主机、主机到终端、主机到进程的保护； 并非所有用户发送的所有信息都需要加密。只有需要保护的信息的发收方才需设置加密，个人用户可选择安装所需设备，因此加密费用低，