好经验 揭密网络数据加密的三种技术.docxVIP

PAGE 1 PAGE 1 好经验 揭密网络数据加密的三种技术  加密网络可以有效的防止非授权用户的入网和窃听，它是通信安全的基石。通过链路加密、节点加密和端到端加密可以实现一般意义上的数据加密  数据加密作为一项基本技术是全部通信安全的基石。数据加密过程是由形形色色的加密算法来详细实施，它以很小的代价供应很大的安全保护。在多数状况下，数据加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。假如根据收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。　  在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较闻名的常规密码算法有：美国的DES及其各种变形，比如TripleDES、GDES、NewDES和DES的前身Lucifer；欧洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。　  　　常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必需通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。　  　　在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较闻名的公钥密码算法有：RSA、背包密码、McEliece密码、DiffeHellman、Rabin、OngFiatShamir、零学问证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能反抗到目前为止已知的全部密码攻击。　  　　公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简洁，尤其可便利的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。　  　　当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。假如根据每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。　  　　密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是应付恶意软件的有效方法之一。　  　　一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。　  　　链路加密　  　　对于在两个网络节点间的某一次通信链路,链路加密能为网上传输的数据供应安全保证。对于链路加密(又称在线加密),全部消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过很多通信链路的传输。　  　　由于在每一个中间传输节点消息均被解密后重新进行加密,因此,包括路由信息在内的链路上的全部数据均以密文形式出现。这样,链路加密就掩盖了被传输消息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的状况下就可以进行加密,这使得消息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。　  　　尽管链路加密在计算机网络环境中使用得相当普遍,但它并非没有问题。链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。 　　在线路/信号经常不通的海外或卫星网络中,链路上的加密设备需要频繁地进行同步,带来的后果是数据丢失或重传。另一方面,即使仅一小部分数据需要进行加密,也会使得全部传输数据被加密。　  　　在一个网络节点,链路加密仅在通信链路上供应安全性,消息以明文形式存在,因此全部节点在物理上必需是安全的,否则就会泄漏明文内容。然而保证每一个节点的安全性需要较高的费用,为每一个节点供应加密硬件设备和一个安全的物理环境所需要的费用由以下几部分组成:保护节点物理安全的雇员开销,为确保安全策略和程序的正确执行而进行审计时的费用,以及为防止安全性被破坏时带来损失而参与保险的费用。　  　　在传统的加密算法中,用于解密消息的密钥与用于加密的密钥是相同的,该密钥必需被隐秘保存,并按一定规则进行变化。这样,密钥安排在链路加密系统中就成了一个问题,因为每一个节点必需存储与其相连接的全部链路的加密密钥,这就需要对密钥进行物理传送或者建立专用网络设施。而网络节点地理分布的宽阔性使得这一