计算机网络安全管理第7章.pptVIP

7.3.3　端对端加密 端对端加密又称脱线加密或包加密，它允许数据在从源节点被加密后，到终点的传输过程中始终以密文形式存在，消息在到达终点之前不进行解密，只有消息到达目的节点后才被解密。因为消息在整个传输过程中均受到保护，所以即使有节点被损坏也不会使消息泄露。 因此，端对端加密方式可以实现按各通信对象的要求改变加密密钥以及按应用程序进行密钥管理等，而且采用这种方式可以解决文件加密问题。 链路加密方式是对整个链路通信采取保护措施，而端对端加密方式则是对整个网络系统采取保护措施。端对端加密系统更容易设计、实现和维护，且成本相对较低。端对端加密还避免了其它加密系统所固有的同步问题，因为每个报文段均是独立被加密的，所以一个报文段所发生的传输错误不会影响后续的报文段。此外，端对端加密方便不依赖于底层网络基础设施，不但在局域网内部可以实施，也可以在广域网上进行实施。端对端加密系统通常不允许对消息的目的地址进行加密，这是因为每一个消息所经过的节点都要用此地址来确定如何传输消息。因此，端对端加密方式是未来的发展趋势。 由于端对端加密方法不能掩盖被传输消息的源节点与目的节点，因此它对于防止攻击者分析通信业务是脆弱的。 7.4 软件加密和硬件加密 7.4.1 软件加密 随着计算机处理能力的不断增强及新型加密标准的不断推出，原来限制软件加密的一些不利因素逐渐得到解决，软件加密技术得到了快速发展。目前，在计算机网络中使用的在大部分通用数据加密方式都通过软件加密来实现。 概念 ?软件加密一般是用户在发送信息前，先调用信息安全模块对信息进行加密处理，然后进行发送。到达接收端后，由用户用相应的解密软件进行解密处理，还原成为明文。采用软件加密方式的优点是：已有标准的安全API（信息安全应用程序模块）产品，且实现方便，兼容性好。 但是采用软件加密方式有一些安全隐患：一是密钥的管理很复杂，这也是目前安全API实现的一个难道，从目前已有的API产品来看，密钥分配协议均存在一定的缺陷；二是因为加密和解密过程都是在用户的计算机内部进行，所以容易给攻击者采用程序跟踪、反编译等手段进行攻击；三是软件加密的速度相对较慢。 。 7.4.2 硬件加密 硬件加密是采用专门的硬件设备实现消息的加密和解密处理。随着微电子技术的发展，现在许多加密产品都是特定的硬件加密形式。这些加、解密芯片被嵌入到通信线路中，然后对所有通过的数据进行加密和解密处理。虽然软件加密在今天变得很流行，但是硬件加密仍然是商业和军事应用的主要选择。 （1） 易于管理。硬件加密可以采用标准的网络管理协议（如SNMP或CMIP等）来进行管理，也可以采用统一的自定义网络管理协议进行管理，因此密钥的管理比较方便。 硬件加密的特点 （2）处理速度快。加密算法通常含有很多对明文位的复杂运算，这要求处理设备具有较强的处理能力。例如，目前常用的加密算法DES和RSA在普通用途的微处理器上的运行效率是非常低的。另外，加密通常是高强度的计算任务，微处理器显然不适合处理此类工作。如果将加密操作移值到专用芯片上，可以分担计算机微处理器的工作，使整个系统的速度加快。 （3）安全性提高。可以对加密设备进行物理隔离，使得攻击者无法对其进行直接攻击。对运行在没有物理保护的一般主机上的每个加密算法，很可能被攻击者用各种跟踪工具攻击。硬件加密设备可以安全的封装起来，以避免此类事情的发生。 （1） 1948 年 N.维纳（Norbert Wiener，1894-1964）在《控制论－动物与机器中的通信与控制问题》中指出：“信息既不是物质，又不是能量，信息就是信息”。即提出了“信息”是存在于客观世界的第三要素的著名论断。 （2） N.维纳认为：“信息是人们在适应客观世界，并使这种适应被客观世界感受的过程中与客观世界进行交换的内容的名称。” * * * * * * * * * 第7章 数据加密技术及应用 7.1 数据加密概述 在计算机网络中，我们需要一种措施来保护数据的安全性，防止被一些别有用心的人利用或破坏，这在客观上就需要一种强有力的安全措施来保护机密数据不被窃取或篡改。为此，除在法律、制度及管理手段上加强数据的安全管理外，还需要推动数据加密技术和物理防范技术的应用。 7.1.1 数据加密的必要性 信息自古有之，但处理方式、应用效果和重视程度却在随着历史的发展发生着变化，人类从工业社会进入现在的信息社会，进一步说明了信息在当今社会的重要性，信息已不仅仅关系着人们的日常生活，而且关系着国家的发展。然而，当人们越来越依赖于以计算机网络为平台的现代信息交换所带来的便利的同 时，信息的安全问题已引起了全球的普遍关注。 基于现代计算机网络平台的信息，有些