0 ^: j% a$ u/ D3 Z k; J- s8 [$ o 一、网络加密技术 " o/ H, d/ p; }+ Y # ^. E" ^; D% _4 u2 G4 { 网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。 + ^0 z( M1 h2 n* I% V + Y5 n- w/ Y) a2 H' i Q 信息加密过程是由形形色色的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。 : X; X+ W1 W0 y5 e6 I( X; D: w5 _! a$ d3 o
1.在常规密码算法中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES(数据加密标准)及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer;欧洲的IDEA;日本的FEAL-N、LOKI-91、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。: Y% W7 W9 L0 G( v& m
. F- X+ g. z" a4 W
常规密码算法的优点是有很强的保密强度,且能经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为网络安全的重要因素。( G/ f) i! f; D, Z4 L! p) t( n
0 e" U0 t3 s0 s: ?1 b 2.在公钥密码算法中,收信方和发信方使用的密钥互不相同,而且不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、EIGamal密码算法等。最有影响的公钥密码算法是RSA,它能抵抗目前为止已知的所有密码攻击。" H9 i0 b# a% z9 Y
3 Q+ ]. l2 `/ P. |1 F3 w 公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便地实现数字签名和身份验证。但其算法复杂,加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密机制。3 h, I! P! h8 P1 o+ e
+ n [0 |5 I1 V0 F+ D0 ^ _
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。+ p$ R; V# k8 x9 z( g% v+ o* F
5 d: a9 [ |. X6 L
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件(或病毒)的有效方法之一。% L. r) X: M" [
3 g1 r" {1 G, |- p. _# O) T+ Q+ ^ 二、防火墙技术 0 q" m* F4 F6 @( C* f0 U+ k2 q8 l0 Y! E4 p2 M1 ~/ Z
防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),它是一种非常有效的网络安全技术。在Internet上,通过它来隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网,如 : u7 Y% w/ C) R# }Intranet)的连接,但不妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。 # V1 p5 v% g" {6 i5 k' @" ?- `0 s; S" Y7 l: t9 X3 J
通常,防火墙服务于以下几个目的: & ]. r1 U. B, n' @9 t1 l ★限制他人进入内部网络,过滤掉不安全服务和非法用户; 1 V% e3 j6 G* J ★限定人们访问特殊站点;5 [$ t( e6 T( X A
★为监视Internet安全提供方便。 ! W _& \, x9 T( C8 j0 D ; L- Z1 s* t# L& Q7 ]& h6 u: N 由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制。因此,防火墙适合于相对独立的网络,例如Intranet等种类相对集中的网络。* z2 `' x" Q" a: _( O% S
$ n8 ?+ g) |+ P. j6 {/ f
防火墙的主要技术类型包括网络级数据包过滤(Network-level Packet Filter)和应用代理服务(Application-level Proxy Server)。4 Y( a, }3 m$ A" C$ u" k
4 q5 b! R3 U3 g/ J 虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择,但也存在一定的局限性: 0 i+ E: y2 O2 O2 E) p ★不能完全防范外部刻意的人为攻击;! A1 W& ?4 W" ]* r7 [& K* f6 I
★不能防范内部用户攻击;' U& m: \0 ]) c/ U
★不能防止内部用户因误操作而造成口令失密受到的攻击;7 [( X- N$ D/ m9 E
★很难防止病毒或者受病毒感染的文件的传输。% V4 w6 t+ s" Q9 ] F$ I3 N
, J/ G! ~ |2 d% n/ U6 S5 U
由于两种类型的防火墙系统各有优缺点,因而在实际的使用中常常根据实际需求结合起来使用,目前市场上的最新防火墙产品都结合了网络级数据包过滤和应用代理服务的功能。; D" j: a8 p% w `/ b
6 E1 G5 I( N; k% m% P/ j2 F
三、网络地址转换技术(NAT); N# p; K) T4 M7 t7 @$ }