第四章網(wǎng)絡(luò)安全技術(shù)-加密保護技術(shù)計算機系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)加密技術(shù)文件保護技術(shù)內(nèi)網(wǎng)監(jiān)管技術(shù)VPN技術(shù)

加密保護技術(shù)典型的網(wǎng)絡(luò)安全保護技術(shù)加密技術(shù)本質(zhì)上是一種秘密變換技術(shù)，它是保障信息安全的最基本、最核心的技術(shù)，是所有通信安全的基石。對信息進行重新編碼，從而隱藏信息內(nèi)容，防止秘密數(shù)據(jù)的泄漏。加密技術(shù)加密保護技術(shù)加密技術(shù)數(shù)據(jù)傳輸加密技術(shù)于對傳輸中的數(shù)據(jù)流進行加密，有鏈路加密、節(jié)點加密和端到端加密三種數(shù)據(jù)傳輸加密應(yīng)用模式。數(shù)據(jù)存儲加密技術(shù)防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種應(yīng)用方式數(shù)據(jù)完整性鑒別技術(shù)對信息內(nèi)容的完整性以及介入信息傳送、存取、處理等環(huán)節(jié)的人的身份真實性進行驗證。加密技術(shù)的分類加密保護技術(shù)對稱加密算法數(shù)據(jù)加密標準（DES）和高級數(shù)據(jù)加密標準（AES）非對稱加密算法RSA和橢圓曲線加密算法（ECC）流密碼算法RC4典型的密碼算法哈希算法MD5，SHA-1簽名算法DSA加密保護技術(shù)加密算法的選擇不同的加密算法有其特性和應(yīng)用環(huán)境對稱加密算法適合于對大數(shù)據(jù)量進行加密非對稱加密算法適合于對小數(shù)據(jù)進行加密流密碼算法一般用于無線通信加密加密保護技術(shù)密鑰的類型主要有根密鑰、主密鑰、密鑰加密密鑰和會話密鑰。根密鑰是密碼系統(tǒng)中最高層次的密鑰，極少數(shù)用來加密，主要用來作為生成其它密鑰的密鑰素材。主密鑰是用戶之間長期共享的秘密密鑰，它存儲在安全區(qū)域，并主要用來作為生成其它低級別密鑰的密鑰素材。密鑰加密密鑰是密鑰交換中用來加密其它密鑰的密鑰。會話密鑰是用來在用戶之間對數(shù)據(jù)進行加密的密鑰。在二級密鑰管理體制中，存儲在安全區(qū)域的一級密鑰既是主密鑰也是密鑰加密密鑰，用它對二級密鑰信息加密生成二級密鑰（也稱會話密鑰、工作密鑰），再用會話密鑰對數(shù)據(jù)加密。加密保護技術(shù)會話密鑰是用來直接加密通信數(shù)據(jù)的一次性密鑰。鏈路加密保護通信鏈路中所有節(jié)點之間的鏈路信息安全。節(jié)點加密保護明文不在節(jié)點中出現(xiàn)的加密技術(shù)。端到端加密用于向源節(jié)點到目的節(jié)點的數(shù)據(jù)提供端到端加密保護。數(shù)據(jù)傳輸加密的模式加密保護技術(shù)鏈路加密技術(shù)鏈路，就是網(wǎng)絡(luò)中兩個相鄰節(jié)點之間的通信信道。假如節(jié)點S到節(jié)點D之間需要經(jīng)過P1，P2，……，Pk個節(jié)點則從S到D的鏈路包含S→P1，P1→P2，P2→P3，……，Pk→D共k+1條鏈路鏈路加密（又稱在線加密）是傳輸數(shù)據(jù)僅在物理層前的數(shù)據(jù)鏈路層進行加密。加密保護技術(shù)信息在每個節(jié)點都要被解密和再加密依次進行，直至到達目的地鏈路加密技術(shù)（續(xù)1）鏈路加密的優(yōu)點可以提供不安全信道上的安全傳輸服務(wù)可以隱藏通信的信源和信宿加密保護技術(shù)可以抵御業(yè)務(wù)流分析攻擊鏈路加密技術(shù)（續(xù)2）鏈路加密的缺點只適合于專用信道，每個節(jié)點均必須配置密碼裝置，因此成本高，實用性差需要在專用鏈路上進行同步，因此會帶來額外的網(wǎng)絡(luò)開銷加密保護技術(shù)消息在鏈路節(jié)點以明文行形式存在，必須依賴網(wǎng)絡(luò)中每個節(jié)點的可信性密鑰管理復(fù)雜節(jié)點加密技術(shù)節(jié)點，就是網(wǎng)絡(luò)中的通信主機節(jié)點加密方是在節(jié)點處采用一個與節(jié)點相連的被保護密碼裝置，密文在該裝置中被解密并用另外一個不同的密鑰被重新加密。加密保護技術(shù)節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。在通信鏈路上為傳輸?shù)南⑻峁┍Ｃ苄?；都在中間節(jié)點先對消息進行解密，然后進行加密。節(jié)點的解密和再加密是在同一個密碼裝置中完成，因此在節(jié)點上不會出現(xiàn)明文。節(jié)點加密技術(shù)（續(xù)1）節(jié)點加密的優(yōu)點提供不安全信道上的安全傳輸服務(wù)避免了中間節(jié)點易受攻擊的問題，安全性較高加密保護技術(shù)不需要每個節(jié)點均配備密碼裝置，因此成本相對較低節(jié)點加密技術(shù)（續(xù)2）節(jié)點的缺點存在業(yè)務(wù)流分析安全威脅：要求報頭和路由信息以明文形式傳輸需要中間交換節(jié)點配備密碼裝置加密保護技術(shù)端到端加密技術(shù)端節(jié)點是指網(wǎng)絡(luò)系統(tǒng)中發(fā)送數(shù)據(jù)和接收數(shù)據(jù)的節(jié)點加密保護技術(shù)發(fā)送數(shù)據(jù)的端節(jié)點稱之為源端節(jié)點接收數(shù)據(jù)的端節(jié)點稱之為目的端節(jié)點數(shù)據(jù)在發(fā)送端被加密，在最終目的地（接收端）解密，鏈路及中間節(jié)點處不以明文的形式出現(xiàn)。除報頭外的的報文均以密文的形式貫穿于全部傳輸過程，而路由信息則是明文傳送的端到端加密是為數(shù)據(jù)從源端節(jié)點傳送到目的端節(jié)點提供的加密方式。端到端加密技術(shù)（續(xù)1）端到端加密的優(yōu)點加密保護技術(shù)實現(xiàn)成本低，更容易設(shè)計、實現(xiàn)和維護，實用性強避免了鏈路加密模式和節(jié)點加密模式的同步問題端到端加密技術(shù)（續(xù)2）端到端加密的缺點加密保護技術(shù)端到端加密存在竊聽安全威脅：端到端加密只能加密報文，而不能對報頭加密端到端加密無法抵御業(yè)務(wù)流分析攻擊：分析端到端加密系統(tǒng)中密文量、密文長度、發(fā)送頻率加密技術(shù)的比較從機密性來看加密保護技術(shù)鏈路加密對用戶來說比較容易，但需要依賴所有用戶的可信和安全，因此存在一定的泄露風(fēng)險節(jié)點加密和端到端加密不需要所有節(jié)點均可信，因此安全性較高加密技術(shù)的比較（續(xù)1）加密保護技術(shù)從使用的密鑰數(shù)量來看鏈路加密：密鑰的數(shù)目最多n(n-1）/2個（n是節(jié)點數(shù)）端到端加密：共需密鑰n(n-1）/2個，其中每個用戶需（n-1）節(jié)點加密：密鑰使用量介于鏈路加密和端到端加密之間加密技術(shù)的比較（續(xù)2）加密保護技術(shù)從身份認證的角度看鏈路加密和節(jié)點加密只能認證節(jié)點，而不是用戶即使用某個密鑰對報文進行加密，也僅能保證它來自節(jié)點而不能確