第6章数据加密与认证技术1.ppt

6．4 网络通信加密 6.4.1 保密通信 1．TCP/IP协议的脆弱性 （1） SMTP服务漏洞：电子邮件附件中带有病毒，邮箱被塞满，电子邮件炸弹，邮件溢出等。 （2）TFTP服务漏洞：TFTP用于LAN，它没有任何安全认证，且安全性极差，常被人用来窃取密码文件。 （3）FTP服务漏洞：有些匿名FTP站点为用户提供一些可写的区域，用户可上传一些信息到站点上，造成“拒绝服务”攻击。 （4） Finger服务漏洞：Finger服务可查询用户信息，包括网上成员姓名、用户名、最近的登录时间、地点和当前登录的所有用户名等。 2．线路安全 在通信线路上搭线可以截获(窃听)传输信息或使用相应设施接收线路上辐射的信息，这些就是通信中的线路安全问题。 保护：塑料套；报警器；深埋地下等 3．通信加密 网络中的数据加密可分为两个途径： 一种是通过硬件实现数据加密；（加密快速 ；安全；更新慢，成本 高，） 一种是通过软件实现数据加密。 6.4.2 网络加密方式 1．链路加密 链路加密（Link Encryption）是传输数据仅在数据链路层上进行加密。 链路加密是为保护两相邻节点之间链路上传输的数据而设立的。 把两个密码设备安装在两个节点间的线路上，并装有同样的密钥即可 被加密的链路可以是微波、卫星和有线介质。 2．节点加密 节点加密(Node Encryption)是为解决数据在节点中是明文的缺点而采取的加密方式。 节点加密是在中间节点装有加密和解密装置，由该装置完成一个密钥向另一个密钥的变换。 3．端--端加密 端--端加密（End-to-End Encryption）是传输数据在应用层上完成的加密方式。 端--端加密可为两个用户之间传输的数据提供连续的安全保护。数据在初始节点上被加密，直到目的节点时才被解密，在中间节点和链路上数据均以密文形式传输。 4．通信加密方式的比较 （1） 链路加密的特点 加密方式比较简单，实现也较容易。 可防止报文流量分析的攻击。 一条链路被攻破，而不影响其它链路上的信息 一个中间节点被攻破时，通过该节点的所有信息将被泄露。 加密和维护费用大，用户费用很难合理分配。 （2）端--端加密特点 加密在网络应用层实现，可提高网络加密功能的灵活性。 加密可采用软件实现，使用起来很方便。 加密费用低，加密费用能准确分摊。 不能防止对信息流量分析的攻击。 整个通信过程中各分支相互关联，任何局部受到破坏都将影响整个通信过程。 （3）加密方式的选择 在需要保护的链路数少，且要求实时通信、不支持端--端加密远程调用等场合，选用链路加密方式 在需要保护的链路数较多，或在文件保护、邮件保护、支持端--端加密的远程调用等通信场合，宜采用端--端加密方式，既降低成本，又支持高灵活性、高保密性通信。 在多个网络互联的环境中，宜采用端--端加密方式 在需要抵御信息流量分析场合，可考虑采用链路加密和端--端加密相结合的方式。对路由信息采用链路加密方式，对端到端传输的报文采用端--端加密方式。 6.5 数据加密技术应用实例 6.5.1 加密软件PGP及其应用 1．PGP介绍 PGP（Pretty Good Privacy，完美隐私）是一个采用公开密钥加密与对称密钥加密相结合加密体制的、可对邮件和文件加密的软件。 PGP把公开密钥体系的密钥管理方便和对称密钥体系的高速度结合起来。在PGP系统中，主要使用IDEA算法对数据进行加密(IDEA速度快、安全性好)；使用RSA算法对IDEA的密钥进行加密(RSA的密钥管理方便)。 * 1．PGP介绍 PGP还使用MD5作为散列函数，对数据的完整性进行保护，并与加密算法结合，提供签名功能。 PGP兼有数据加密和数字签名两种功能，其加密功能和签名功能可以单独使用，也可以同时使用，由用户自定。 * PGP加密的执行过程 ?????????????? ?????????????? ?????????????? ?????????????? Bob’s computer + Alice’s computer Hash Total Hash Function 53261 53261 Hash Total Alice’s Private Key Alice’s Digital Signture Symmetric Key Alice’s Digital Signture + + Alice’s Certificate Bob’s Public Key * PGP解密的执行过程 ?????????????? ?????????????? Bob’s computer Symmetric Key Bob’s Private Key + Alice’s Digital Signture + +