數(shù)據(jù)加密可以使人們?cè)谝蛱鼐W(wǎng)上進(jìn)行安全的會(huì)話，而不必?fù)?dān)心會(huì)被人偷聽(tīng)。隨處可見(jiàn)的虛擬私用網(wǎng)和最新的加密和鑒別技術(shù)都是很好的數(shù)據(jù)加密技術(shù)的應(yīng)用。

1.身份認(rèn)證

網(wǎng)絡(luò)身份認(rèn)證技術(shù)的代表是Kerberos網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)，該系統(tǒng)基于對(duì)稱密鑰(通常采用DES)，采用可信任的第三方密鑰分配中心(KDC)保存與所有密鑰持有者通信的密鑰，其認(rèn)證過(guò)程可以簡(jiǎn)化如下：客戶方(C)向KDC申請(qǐng)?jiān)L問(wèn)服務(wù)器(S)的許可證;KDC確認(rèn)C合法后，臨時(shí)生成一個(gè)C與S通信的密鑰Kc，s，并用C的密鑰Kc加密Kc，s后發(fā)給C，附上用S的密鑰Ks加密的訪問(wèn)S的許可證Ts(內(nèi)含Kc，s);C收到信息后，解密得到Kc，s，再把Ts照原樣傳給S，并附上用Kc，s加密的C的身份和時(shí)間;當(dāng)S收到信息后，解密Ts得到Kc，s，再用Kc，s解密附件，得到C的身份和時(shí)間;之后，C和S用Kc，s加密通信信息。其他的認(rèn)證技術(shù)還有一次性口令、數(shù)字憑證等。

數(shù)字憑證就像個(gè)人信用卡，由認(rèn)證機(jī)構(gòu)發(fā)放管理。一張數(shù)字憑證包括持有者的名字、公鑰、發(fā)行者的數(shù)字簽名等，其標(biāo)準(zhǔn)在ITU制定的X.509中。

2. 數(shù)字簽名

數(shù)字簽名既是一種信息接收者對(duì)信息發(fā)送者進(jìn)行身份認(rèn)證的手段，也是一種反抵賴的手段。簽名是由一

方發(fā)出的，事后不但發(fā)方不能否認(rèn)，而且收方也不能偽造、篡改簽名或信息內(nèi)容，同時(shí)這一切均可由可信任的第三方仲裁。常使用公鑰算法，也可用Hash簽名。簡(jiǎn)單的簽名是，發(fā)送者(A)使用其私鑰加密消息進(jìn)行簽名，接收方用 A 的公鑰解密，從而驗(yàn)證 A 的簽名，但為了防范重播攻擊，簽名中應(yīng)包含日期和時(shí)間?？尚湃蔚牡谌綋碛蠥的私鑰，為更好地發(fā)揮數(shù)字簽名的作用，可以把數(shù)字簽名與消息摘要MD結(jié)合起來(lái)，來(lái)證明發(fā)送者的信息和保證信息的完整性。

3.PGP加密系統(tǒng)

PGP(Pretty Good Privacy)即免費(fèi)保密電子郵件程序，采用IDEA進(jìn)行數(shù)據(jù)加密，采用RSA進(jìn)行密鑰管理和數(shù)字簽名，采用 MD5 作為單向散列函數(shù)。PGP最令人感興趣的是密鑰管理中的分發(fā)方法，它沒(méi)有密鑰

證書(shū)管理機(jī)構(gòu)，所有用戶產(chǎn)生并分發(fā)他們自己的公鑰。用戶可通過(guò)相互對(duì)公鑰簽名以創(chuàng)建一個(gè)所有PGP的用戶互連組，用戶可以自由決定信任誰(shuí)。

4.數(shù)據(jù)加密在電子商務(wù)上的綜合應(yīng)用

電子商務(wù)(E-business)的最大特點(diǎn)就是顧客可以在網(wǎng)上進(jìn)行支付，不必?fù)?dān)心自己的信用卡會(huì)被人盜用。

在過(guò)去，用戶的號(hào)碼可能會(huì)被竊賊得到，他就可以通過(guò)電話訂貨，而且使用用戶的信用卡進(jìn)行付款。這種交易的高風(fēng)險(xiǎn)性長(zhǎng)期阻礙著電子商務(wù)的發(fā)展，于是人們開(kāi)始用 RSA 提高信用卡交易的安全性，從而使電子商務(wù)走向?qū)嵱贸蔀榭赡堋?/p>

許多人認(rèn)為Netscape公司是Internet商業(yè)中領(lǐng)先技術(shù)的提供者，該公司提供了一種基于RSA和保密密鑰

的應(yīng)用于因特網(wǎng)的技術(shù)，被稱為安全套接字層(Secure Sockets Layer，SSL)。也許很多人知道Socket，它是一個(gè)編程界面，并不提供任何安全措施，而SSL不但提供編程界面，而且向上提供一種安全的服務(wù)，SSL3.0現(xiàn)在已經(jīng)應(yīng)用到了服務(wù)器和瀏覽器上，SSL2.0 則只能應(yīng)用于服務(wù)器端。SSL3.0 用一種電子證書(shū)(electriccertificate)來(lái)實(shí)行身份進(jìn)行驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

基于 SSL3.0 提供的安全保障，用戶就可以自由訂購(gòu)商品并且給出信用卡號(hào)了，也可以在網(wǎng)上和合作伙

伴交流商業(yè)信息并且讓供應(yīng)商把訂單和收貨單從網(wǎng)上發(fā)過(guò)來(lái)，這樣可以節(jié)省大量的紙張，為公司節(jié)省大量的電話、傳真費(fèi)用。在過(guò)去，電子信息交換(Electric Data Interchange，EDI)、信息交易和金融交易都是在專用網(wǎng)絡(luò)上完成的，使用專用網(wǎng)的費(fèi)用大大高于因特網(wǎng)。正是這樣巨大的誘惑，才使人們開(kāi)始發(fā)展因特網(wǎng)上的電子商務(wù)，但不要忘記數(shù)據(jù)加密。

現(xiàn)在，越多越多的公司走向國(guó)際化，一個(gè)公司可能在多個(gè)國(guó)家都有辦事機(jī)構(gòu)或銷(xiāo)售中心，每一個(gè)機(jī)構(gòu)都有自己的LAN(Local Area Network)，但人們不會(huì)只滿足于此。用戶可能會(huì)想如果將這些LAN連結(jié)在一起

組成一個(gè)公司的廣域網(wǎng)，那該多好啊。事實(shí)上，很多公司都已經(jīng)這樣做了，但他們一般使用租用線路(leasedline)來(lái)連結(jié)這些局網(wǎng)成為可能，這被稱為虛擬私用網(wǎng)絡(luò)VPN(Virtual Private Network)。當(dāng)數(shù)據(jù)離開(kāi)發(fā)送者所在的局域網(wǎng)時(shí)，該數(shù)據(jù)數(shù)據(jù)被連接到因特網(wǎng)上的路由器加密，數(shù)據(jù)在因特網(wǎng)上是以加密的形式傳送的，當(dāng)達(dá)到目的LAN的路由器時(shí)，該路由器就會(huì)對(duì)數(shù)據(jù)進(jìn)行解密，這樣目標(biāo)LAN中的用戶就可以看到真正的信息了。

事實(shí)上，所有的網(wǎng)絡(luò)通信數(shù)據(jù)都可能被攻擊者截取并解密。如果他們?nèi)肭至司W(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)，并安裝口令竊聽(tīng)器，那么整個(gè)網(wǎng)絡(luò)可能會(huì)在幾小時(shí)內(nèi)被完全控制。許多ISP或網(wǎng)絡(luò)供應(yīng)商常常將客戶的計(jì)算機(jī)通過(guò)以太網(wǎng)hub連接，這將導(dǎo)致該網(wǎng)絡(luò)上所有計(jì)算機(jī)都可以截取到網(wǎng)絡(luò)中的所有通信，如收發(fā)E-mail、Telnet會(huì)話等，這就是需要加密網(wǎng)絡(luò)通信數(shù)據(jù)的主要原因。

在加密網(wǎng)絡(luò)數(shù)據(jù)方面，不同的網(wǎng)絡(luò)結(jié)構(gòu)層次上有各種各樣的實(shí)現(xiàn)機(jī)制。有些僅加密內(nèi)容數(shù)據(jù)(如用PGP加密 E-mail)，有些加密會(huì)話(SSL)，還有些加密數(shù)據(jù)包中的有效數(shù)據(jù)(IPSec 和某些 VPN)。最好的解決方案應(yīng)該是 IPSec，因?yàn)樗恍鑼?duì)應(yīng)用程序作任何改動(dòng)，而且能夠?yàn)橛?jì)算機(jī)的連接提供很高的安全性。但目前IPSec尚未被廣泛采用，其中的一個(gè)原因是微軟在這方面的支持很不完善;另一個(gè)原因是美國(guó)安全法規(guī)限制它只能在北美地區(qū)應(yīng)用。因此目前應(yīng)用得最多的是由Netscape公司提出的SSL (Secure Sockets Layer 安全套接字層)。SSL在會(huì)話層上加密數(shù)據(jù)，現(xiàn)在大多數(shù)WWW瀏覽器、E-mail/news閱讀器和一些FTP、Telnet客戶軟件都支持SSL。LINUX服務(wù)器的大多數(shù)服務(wù)也都支持SSL加密。然而SSL要求客戶端也必須支持SSL，因此它更多地被應(yīng)用于組織和公司的內(nèi)部網(wǎng)絡(luò)。

總之，數(shù)據(jù)加密技術(shù)應(yīng)用的非常廣泛，已不僅僅局限于對(duì)網(wǎng)上傳輸數(shù)據(jù)的加解密，離開(kāi)它，當(dāng)今的網(wǎng)絡(luò)就沒(méi)有安全可言。

ice

收藏 海報(bào)分享