阅读:1252回复:0
灌水:网络通信的加密措施
网络通信的加密措施
吴韶波 于珏 摘 要 本文在分析计算机网络存在的安全威胁基础上,重点讨论了网络通信的加密措施,包括链路加密、节点加密和端到端加密,以确保网络信息的安全。 关键词 信息加密 公钥 私钥 一、 引言 随着计算机技术和通信技术的不断发展,计算机网络日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。目前,无论是局域网还是广域网,其中都存在着自然和人为等诸多因素的潜在威胁。因此,网络必须具有足够强的安全措施全方位的针对各种不同的威胁和脆弱性,才能确保网络信息的安全。 二、 网络中存在的威胁 计算机网络所面临的威胁大体可分为两种:一种是对网络中信息的威胁;一种是对网络中设备的威胁。影响计算机网络的因素很多,针对网络安全的威胁主要有以下三方面内容: 人为的无意失误 如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 人为的恶意攻击 这是计算机网络所面临的最大威胁,此类攻击又可分为主动攻击和被动攻击。主动攻击是以各种方式有选择的破坏信息的有效性和完整性;被动攻击是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。 网络软件的漏洞和“后门” 网络软件不可能无缺陷或无漏洞,而软件的“后门”是软件公司的设计人员为自便而设置的,这些都将对信息的安全带来威胁。 三、 信息加密策略 计算机网络的安全涉及到多方面的内容,各种安全策略必须相互配合才能真正起到保护作用。信息加密作为一项基本技术是所有通信安全的基石,其目的是为了防止信息被未经授权泄漏、篡改和破坏,同时防止对通信业务进行分析。 信息加密过程由各种加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。根据密钥的特点,加密算法可分为对称密码算法和非对称密码算法。 对称密码算法又称单钥或私钥或传统密码体制,其发方和收方使用相同的密钥,即加密密钥和解密密钥是相同的。比较著名的对称密钥算法有:美国的DES及其各种变形,比如Triple DES、GDES、NewDES和DES的前身Lucifer;欧洲的IDEA;日本的FFAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和置换密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。 非对称密码又称双钥或公钥密码体制,收方和发方使用的密钥不同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的非对称密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭圆曲线算法、ELGamal算法等。最有影响的非对称密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。 非对称密码的优点就是可以适应网络的开放性要求,且密钥管理相对对称密码要简单得多,尤其可以方便的实现数字签名和验证。但非对称密码的算法相对复杂,加密数据的速率较低。目前看来非对称密码算法是一种很有前途的网络安全加密体制。 在实际应用中,通常将对称密码和非对称密码结合在一起使用,利用对称密码加密信息,采用非对称密码加密会话密钥,使之具有对称密码加密速度快、非对称密码密钥管理简单的优点。 若按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码,前者每次只加密一比特,后者先将信息序列分组,每次只处理一个分组。 在网络中,数据加密可以在通信的三个层次来实现,即链路加密、节点加密和端到端加密。 1.链路加密 链路加密的目的是保护网络节点之间的链路信息的安全。对于链路加密(又称在线加密),所有消息在加密之后进行传输,每一节点对接收到的信息先进行解密,再使用下一链路的密钥对消息进行加密,继续进行传输。在到达目的地之前,一条信息可能要经过许多通信链路的传输。 由于在每一个中间传输节点消息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现。这样,链路加密就掩盖了被传输信息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密,使得消息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。 链路加密通常在点对点的同步或异步线路上进行,它要求先对链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了困难,当线路/信号经常不通时,链路上的加密设备就需要频繁地进行同步,会造成数据的丢失或重传。而且,即使只有小部分数据需要加密,也会造成所有传输数据都被加密的结果。 2.节点加密 节点加密的目的是对源节点到目的节点之间的传输链路提供保护。节点加密在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性;都在中间节点先对消息进行解密,再对所有传输的数据进行加密,加密过程对用户来说是透明的。但与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程在节点上的一个安全模块中进行。 节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。 3.端到端加密 端-端加密又称脱线加密或包加密,其目的是对源端用户到目的端用户的数据提供保护,允许数据在从源点到终点的传输过程中始终以密文形式存在。由于消息在整个传输过程中均受到保护,所以即使所有节点被破坏也不会使信息泄漏。 端到端加密价格较便宜,且比链路加密和节点加密更可靠,更易设计、实现和维护。端到端加密还避免了同步问题,由于每个报文包均是独立被加密的,所以一个报文包所发生的传输错误不会影响后续的报文包。这种加密方法适合单个用户选用,并不影响网络上的其他用户,只需要源和目的节点是保密的即可。 通常端到端加密系统不允许对消息的目的地址进行加密,因为每一个消息所经过的节点都要用该地址确定如何传输消息。由于此加密方法不能掩盖被传输消息的源点与终点,因此对于攻击者分析通信业务是脆弱的。 4.小结 三种加密方法的优缺点见下表,用户可根据网络情况酌情选择加密方式。 加密方法 优点 缺点 链 路 加 密 .包含报头和路由信息在内 的所有信息均补加密 .信息以明文形式通过每一节点 .单个密钥损坏时整个网络 不会损坏,每对网络节点可 使用不同的密钥 .因为所有节点都必须有密钥,密 钥分发和管理变得困难 .加密对用户透明 .因为每 个安全通信链路需要两 台设备,因此密码设备的费用较高 端 到 端 加 密 .使用方便;采用用户自已的协议进行加密,并非所有数 据需要加密 .每一个系统都需要完成相同类型的加密 .网络中数据从源节点到目 的节点均得到保护 .某些信息(如报头和路由信息)必须以明文形式传输 .加密对网络节点透明,在网络重构期间可使用加密技术 .需采用先进的密钥分发和管理技术 节 点 加 密 .消息的加、解密在安全模块 中进行,这使得消息内容不 会被泄漏 .某些信息(如报头和路由信息)必须以明文形式传输 .加密对用户透明 .需采用先进的密钥分发和管理技术 四、 结束语 随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,渗透到社会生活的各个领域,网上信息的安全和保密越来越受到重视。因此,了解网络的潜在威胁及脆弱性,采用强有力的安全策略,对于保障网络的安全性将变得十分重要。 作者单位:吴韶波(哈尔滨工业大学 哈尔滨 150001) 于珏(哈尔滨工业大学 哈尔滨 150001) 参考文献 [1][美]无名氏著,王锐等译,网络最高安全技术指南,机械工业出版社,北京,1998 [2]冯登国,裴定一,密码学导引,科学出版社,北京,1999 |
|
|