数据加密可以使人们在因特网上进行安全的会话,而不必担心会被人偷听。随处可见的虚拟私用网和最新的加密和鉴别技术都是很好的数据加密技术的应用。
1.身份认证
网络身份认证技术的代表是Kerberos网络用户认证系统,该系统基于对称密钥(通常采用DES),采用可信任的第三方密钥分配中心(KDC)保存与所有密钥持有者通信的密钥,其认证过程可以简化如下:客户方(C)向KDC申请访问服务器(S)的许可证;KDC确认C合法后,临时生成一个C与S通信的密钥Kc,s,并用C的密钥Kc加密Kc,s后发给C,附上用S的密钥Ks加密的访问S的许可证Ts(内含Kc,s);C收到信息后,解密得到Kc,s,再把Ts照原样传给S,并附上用Kc,s加密的C的身份和时间;当S收到信息后,解密Ts得到Kc,s,再用Kc,s解密附件,得到C的身份和时间;之后,C和S用Kc,s加密通信信息。其他的认证技术还有一次性口令、数字凭证等。
数字凭证就像个人信用卡,由认证机构发放管理。一张数字凭证包括持有者的名字、公钥、发行者的数字签名等,其标准在ITU制定的X.509中。
2. 数字签名
数字签名既是一种信息接收者对信息发送者进行身份认证的手段,也是一种反抵赖的手段。签名是由一
方发出的,事后不但发方不能否认,而且收方也不能伪造、篡改签名或信息内容,同时这一切均可由可信任的第三方仲裁。常使用公钥算法,也可用Hash签名。简单的签名是,发送者(A)使用其私钥加密消息进行签名,接收方用 A 的公钥解密,从而验证 A 的签名,但为了防范重播攻击,签名中应包含日期和时间。可信任的第三方拥有A的私钥,为更好地发挥数字签名的作用,可以把数字签名与消息摘要MD结合起来,来证明发送者的信息和保证信息的完整性。
3.PGP加密系统
PGP(Pretty Good Privacy)即免费保密电子邮件程序,采用IDEA进行数据加密,采用RSA进行密钥管理和数字签名,采用 MD5 作为单向散列函数。PGP最令人感兴趣的是密钥管理中的分发方法,它没有密钥
证书管理机构,所有用户产生并分发他们自己的公钥。用户可通过相互对公钥签名以创建一个所有PGP的用户互连组,用户可以自由决定信任谁。
4.数据加密在电子商务上的综合应用
电子商务(E-business)的最大特点就是顾客可以在网上进行支付,不必担心自己的信用卡会被人盗用。
在过去,用户的号码可能会被窃贼得到,他就可以通过电话订货,而且使用用户的信用卡进行付款。这种交易的高风险性长期阻碍着电子商务的发展,于是人们开始用 RSA 提高信用卡交易的安全性,从而使电子商务走向实用成为可能。
许多人认为Netscape公司是Internet商业中领先技术的提供者,该公司提供了一种基于RSA和保密密钥
的应用于因特网的技术,被称为安全套接字层(Secure Sockets Layer,SSL)。也许很多人知道Socket,它是一个编程界面,并不提供任何安全措施,而SSL不但提供编程界面,而且向上提供一种安全的服务,SSL3.0现在已经应用到了服务器和浏览器上,SSL2.0 则只能应用于服务器端。SSL3.0 用一种电子证书(electriccertificate)来实行身份进行验证后,双方就可以用保密密钥进行安全的会话了。
基于 SSL3.0 提供的安全保障,用户就可以自由订购商品并且给出信用卡号了,也可以在网上和合作伙
伴交流商业信息并且让供应商把订单和收货单从网上发过来,这样可以节省大量的纸张,为公司节省大量的电话、传真费用。在过去,电子信息交换(Electric Data Interchange,EDI)、信息交易和金融交易都是在专用网络上完成的,使用专用网的费用大大高于因特网。正是这样巨大的诱惑,才使人们开始发展因特网上的电子商务,但不要忘记数据加密。
现在,越多越多的公司走向国际化,一个公司可能在多个国家都有办事机构或销售中心,每一个机构都有自己的LAN(Local Area Network),但人们不会只满足于此。用户可能会想如果将这些LAN连结在一起
组成一个公司的广域网,那该多好啊。事实上,很多公司都已经这样做了,但他们一般使用租用线路(leasedline)来连结这些局网成为可能,这被称为虚拟私用网络VPN(Virtual Private Network)。当数据离开发送者所在的局域网时,该数据数据被连接到因特网上的路由器加密,数据在因特网上是以加密的形式传送的,当达到目的LAN的路由器时,该路由器就会对数据进行解密,这样目标LAN中的用户就可以看到真正的信息了。
事实上,所有的网络通信数据都可能被攻击者截取并解密。如果他们入侵了网络中的一台计算机,并安装口令窃听器,那么整个网络可能会在几小时内被完全控制。许多ISP或网络供应商常常将客户的计算机通过以太网hub连接,这将导致该网络上所有计算机都可以截取到网络中的所有通信,如收发E-mail、Telnet会话等,这就是需要加密网络通信数据的主要原因。
在加密网络数据方面,不同的网络结构层次上有各种各样的实现机制。有些仅加密内容数据(如用PGP加密 E-mail),有些加密会话(SSL),还有些加密数据包中的有效数据(IPSec 和某些 VPN)。最好的解决方案应该是 IPSec,因为它不需对应用程序作任何改动,而且能够为计算机的连接提供很高的安全性。但目前IPSec尚未被广泛采用,其中的一个原因是微软在这方面的支持很不完善;另一个原因是美国安全法规限制它只能在北美地区应用。因此目前应用得最多的是由Netscape公司提出的SSL (Secure Sockets Layer 安全套接字层)。SSL在会话层上加密数据,现在大多数WWW浏览器、E-mail/news阅读器和一些FTP、Telnet客户软件都支持SSL。LINUX服务器的大多数服务也都支持SSL加密。然而SSL要求客户端也必须支持SSL,因此它更多地被应用于组织和公司的内部网络。
总之,数据加密技术应用的非常广泛,已不仅仅局限于对网上传输数据的加解密,离开它,当今的网络就没有安全可言。