網(wǎng)絡安全技術論文

在了解網(wǎng)絡面臨來自哪些方面的威脅后，更應該了解針對不同網(wǎng)絡威脅的一些應對技術和措施，掌握它們的工作原理以及對應的安全產(chǎn)品的使用方法，并能結合不同的網(wǎng)絡環(huán)境和網(wǎng)絡安全需求，制定一套科學合理的網(wǎng)絡系統(tǒng)安全解決方案。本章將結合目前常見的網(wǎng)絡安全技術，較為詳細地分別介紹這些安全技術的工作原理，并結合一些實際網(wǎng)絡安全產(chǎn)品的配置過程實例，更為直觀地介紹安全產(chǎn)品的使用方法。7.1防火墻7.1.1防火墻的概念7.1.2防火墻的主要功能7.1.3防火墻技術7.1.4防火墻的選購7.1.1防火墻的概念現(xiàn)在通常所說的網(wǎng)絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它是指隔離在內(nèi)部（本地）網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)，是這一類防范措施的總稱。通過它可以隔離風險區(qū)域（如Internet或有一定風險的網(wǎng)絡）與安全區(qū)域（如局域網(wǎng)，也就是內(nèi)部網(wǎng)絡）的連接，同時不會妨礙人們對風險區(qū)域的訪問。它是一種設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。一般由計算機硬件和軟件組成的一個或一組系統(tǒng)，用于增強內(nèi)部網(wǎng)絡和外部網(wǎng)之間的訪問控制。7.1.3防火墻的主要功能1．防火墻是網(wǎng)絡安全的屏障2．防火墻能控制對特殊站點的訪問3．對網(wǎng)絡存取訪問進行記錄和統(tǒng)計4．防止內(nèi)部網(wǎng)絡信息的外泄5．地址轉(zhuǎn)換(NAT)7.1.4防火墻技術目前在實際應用中所使用的防火墻產(chǎn)品有很多,但從其采用的技術來看主要包括兩類:包過濾技術和應用代理技術,實際的防火墻產(chǎn)品往往由這兩種技術的演變擴充或復合而形成的。具體來說主要包括：簡單包過濾防火墻、狀態(tài)檢測包過濾防火墻、應用代理防火墻和復合型防火墻。1．簡單包過濾防火墻包過濾防火墻工作在網(wǎng)絡層，對數(shù)據(jù)包的源及目的IP具有識別和控制作用，對于傳輸層，只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。它對所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報文的源端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志位等參數(shù)，與網(wǎng)絡管理員預先設置的訪問控制表進行比較，確定是否符合預定義的安全策略，并決定數(shù)據(jù)包的通過或丟棄。比如：如果防火墻已設置拒絕telnet連接，這時當數(shù)據(jù)包的目的端口是23時，則該數(shù)據(jù)包就會被丟棄；如果允許進行Web訪問，這時目的端口為80時則數(shù)據(jù)包就會被放行。由于這類防火墻只對數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進行分析，因此它的處理速度較快，并且易于配置。簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果內(nèi)部網(wǎng)絡已經(jīng)配有邊界路由器，那么完全沒有必要購買一個簡單包過濾的防火墻產(chǎn)品。由于這類技術不能跟蹤TCP的狀態(tài)，所以對TCP層的控制是有漏洞的。單純簡單包過濾的產(chǎn)品由于其保護的不完善，在1999年以前國外的網(wǎng)絡防火墻市場上就已經(jīng)不存在了。2．應用代理防火墻應用代理防火墻，也叫應用代理網(wǎng)關防火墻。所謂網(wǎng)關是指在兩個設備之間提供轉(zhuǎn)發(fā)服務的系統(tǒng)。這種防火墻能徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，外網(wǎng)的訪問應答先由防火墻處理，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務器建立直接的TCP連接，應用層的協(xié)議會話過程必須符合代理的安全策略要求。由于針對各種應用協(xié)議的代理防火墻提供了豐富的應用層的控制能力，使應用代理型防火墻具有了極高的安全性。但是代理型防火墻是利用操作系統(tǒng)本身的socket接口傳遞數(shù)據(jù)，從而導致性能比較差，不能支持大規(guī)模的并發(fā)連接；另外對于代理型防火墻要求防火墻核心預先內(nèi)置一些已知應用程序的代理后防火墻才能正常工作，這樣的后果是一些新出現(xiàn)的應用在代理型防火墻上往往不能使用，出現(xiàn)了防火墻不支持很多新型應用的局面。在IT領域中，新的應用和新的技術不斷出現(xiàn)，甚至每一天都有新的應用方式和新的協(xié)議出現(xiàn)，代理型防火墻很難適應這種局面，使得在一些重要的領域和行業(yè)的核心業(yè)務應用中，代理型防火墻被漸漸地被拋棄。3．狀態(tài)檢測包過濾防火墻狀態(tài)檢測包過濾防火墻是在簡單包過濾上的功能擴展，最早是CheckPoint公司提出的，現(xiàn)在已經(jīng)成為防火墻的主流技術。狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網(wǎng)絡會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優(yōu)化技術的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復雜的大型網(wǎng)絡上。前面介紹的簡單包過濾只是一種靜態(tài)包過濾，靜態(tài)包過濾將每個數(shù)據(jù)包單獨分析，固定根據(jù)其包頭信息（如源地址、目的地址、端口號等）進行匹配，這種方法在遇到利用動態(tài)端口應用協(xié)議時會發(fā)生困難。可以這樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。目前業(yè)界很多優(yōu)秀的防火墻產(chǎn)品采用了狀態(tài)檢測型的體系結構，比如CheckPoint的Firewall-1，Cisco的PIX防火墻，NetScreen防火墻等等。4．復合型防火墻復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代防火墻，它基于專用集成電路（ASIC，ApplicationSpecificIntegratedCircuit）架構，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡流量里的攻擊。復合型防火墻在網(wǎng)絡邊界實施OSI第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡邊緣部署病毒防護、內(nèi)容過濾等應用層服務措施，體現(xiàn)出網(wǎng)絡與信息安全的新思路。7.1.6防火墻的選購目前國內(nèi)外防火墻產(chǎn)品品種繁多、特點各異，有硬件的防火墻，也有軟件防火墻。硬件防火墻采用專用的硬件設備，然后集成生產(chǎn)廠商的專用防火墻軟件。從功能上看，硬件防火墻內(nèi)建安全軟件，使用專屬或強化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，基本上可以達到線性。而軟件防火墻一般是基于某個操作系統(tǒng)平臺開發(fā)的，直接在計算機上進行軟件的安裝和配置。由于用戶平臺的多樣性，使得軟件防火墻需支持多操作系統(tǒng)，如：Unix、Linux、SCO-Unix、Windows等，代碼龐大、安裝維護成本高、效率低，同時還受到操作系統(tǒng)平臺穩(wěn)定性的影響。顯然，硬件防火墻總體性能上來說是優(yōu)于軟件防火墻的，但其價格也要高些。1．關系到防火墻性能的幾個指標和概念（1）防火墻端口數(shù)（2）防火墻吞吐量（3）防火墻會話數(shù)（4）防火墻策略（5）DMZ區(qū)（6）防火墻的通信模式2．防火墻的選購下面從幾個方面探討選購防火墻時應該注意的問題。（1）防火墻自身是否安全（2）系統(tǒng)是否穩(wěn)定（3）是否高效（4）是否可靠（5）功能是否靈活（6）配置是否方便（7）管理是否簡便（8）是否可以抵抗拒絕服務攻擊（9）是否可以針對用戶身份進行過濾（10）是否具有可擴展、可升級性7.2入侵檢測系統(tǒng)7.2.1入侵檢測系統(tǒng)概述7.2.2入侵檢測系統(tǒng)技術7.2.3入侵檢測系統(tǒng)的工作流程7.2.4IDS與防火墻對比入侵檢測系統(tǒng)：IntrusionDetectionSystem,簡稱IDS。入侵檢測是指：“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測系統(tǒng)是一個典型的“窺探設備”。入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下，可以與防火墻聯(lián)動，可以記錄和禁止網(wǎng)絡活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻和路由器配合工作。7.2.2入侵檢測系統(tǒng)技術入侵檢測技術通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應。入侵檢測系統(tǒng)從分析方式上主要可分為兩種：（1）模式發(fā)現(xiàn)技術（模式匹配）（2）異常發(fā)現(xiàn)技術（異常檢測）模式發(fā)現(xiàn)技術的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，而且知識庫必須不斷更新。對所有已知入侵行為和手段（及其變種）都能夠表達為一種模式或特征，所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)，把真正的入侵與正常行為區(qū)分開來。模式發(fā)現(xiàn)的優(yōu)點是誤報少，局限是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。異常發(fā)現(xiàn)技術先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。異常發(fā)現(xiàn)技術的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的“正常”標準難于計算和更新，并無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。目前，國際頂尖的入侵檢測系統(tǒng)IDS主要以模式發(fā)現(xiàn)技術為主，并結合異常發(fā)現(xiàn)技術。IDS一般從實現(xiàn)方式上分為兩種：（1）基于主機的IDS（2）基于網(wǎng)絡的IDS基于網(wǎng)絡的IDS使用原始的網(wǎng)絡分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用網(wǎng)絡適配器（探測器）來實時監(jiān)視和分析所有通過網(wǎng)絡進行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，IDS應答模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應?；诰W(wǎng)絡的入侵檢測系統(tǒng)的主要優(yōu)點有：（1）成本低。（2）攻擊者消除證據(jù)很困難。（3）實時檢測和應答一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡的IDS檢測可以隨時發(fā)現(xiàn)它們，因此能夠更快地做出反應。從而將入侵活動對系統(tǒng)的破壞減到最低。（4）能夠檢測未成功的攻擊企圖。（5）操作系統(tǒng)獨立?；诰W(wǎng)絡的IDS并不依賴主機的操作系統(tǒng)作為檢測資源，而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用?；谥鳈C的IDS一般監(jiān)視WindowsNT上的系統(tǒng)、事件、安全日志以及UNIX環(huán)境中的syslog文件。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化，IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配的話，檢測系統(tǒng)就向管理員發(fā)出入侵報警并且發(fā)出采取相應的行動。基于主機的IDS的主要優(yōu)勢有：（1）非常適用于加密和交換環(huán)境。（2）近實時的檢測和應答。（3）不需要額外的硬件。（4）確定攻擊是否成功。（5）監(jiān)測特定主機系統(tǒng)活動。以上兩種實現(xiàn)方式的集成化是IDS的發(fā)展趨勢?；诰W(wǎng)絡和基于主機的IDS都有各自的優(yōu)勢，兩者可以相互補充。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為?；诰W(wǎng)絡的IDS可以研究負載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的IDS迅速識別。而基于主機的IDS無法看到負載，因此也無法識別嵌入式的負載攻擊。聯(lián)合使用基于主機和基于網(wǎng)絡這兩種方式能夠達到更好的檢測效果。7.2.3入侵檢測系統(tǒng)的工作流程1．信息收集2．信號分析3．實時記錄、報警或有限度反擊7.3虛擬專用網(wǎng)（VPN）技術VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網(wǎng)絡”。顧名思義，我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通信協(xié)議為連接在Internet上位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路，如圖所示。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或WINDOWS2000等軟件里也都支持VPN功能，VPN的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。7.3.1VPN的特點7.3.2VPN安全技術7.3.3VPN技術的實際應用7.3.1VPN應具備的特點1．安全保障2．服務質(zhì)量保證（QoS）3．可擴充性和靈活性4．可管理性7.3.2由于傳輸?shù)氖撬接行畔ⅲ琕PN用戶對數(shù)據(jù)的安全性都比較關心。目前VPN主要采用四項技術來保證安全，這四項技術分別是：（1）隧道技術（Tunneling）、（2）加解密技術（Encryption&Decryption）、（3）密鑰管理技術（KeyManagement）、（4）使用者與設備身份認證技術（Authentication）。7.3.3VPN技術的實際應用在實際應用中VPN技術針對不同的用戶有不同的解決方案，用戶可以根據(jù)自己的情況進行選擇。這些解決方案主要分為三種：遠程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN）。這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構成的Extranet相對應。7.4網(wǎng)絡病毒與防范7.4.1概述7.4.2網(wǎng)絡病毒的傳播途徑與網(wǎng)絡防毒7.4.3防病毒技術的發(fā)展趨勢7.4.1概述1．什么是網(wǎng)絡病毒網(wǎng)絡病毒是一個新興的概念，在傳統(tǒng)的病毒分類里基本上沒有網(wǎng)絡病毒這個概念的，隨著網(wǎng)絡的廣泛應用，計算機病毒種類越來越多、傳染速度也越來越快、危害更是越來越大。病毒也有了一些網(wǎng)絡的特性。如今網(wǎng)絡病毒是一個廣義的概念，一般只要是利用網(wǎng)絡來進行傳染、破壞的都可以被稱為網(wǎng)絡病毒。2．網(wǎng)絡病毒具有以下特點：（1）自動傳播和主動攻擊，如：蠕蟲病毒；（2）攻擊系統(tǒng)后門，如：特洛伊木馬；（3）多種傳播方式多樣化，如：通過郵件、網(wǎng)絡共享，利用IIS、IE、SQL的漏洞進行傳播等；（4）爆發(fā)速度快、影響面廣，如：以郵件為載體進行傳播的病毒危害十分巨大；（5）來自Internet網(wǎng)頁的威脅，如：網(wǎng)頁中包含惡意有毒編碼。3．網(wǎng)絡病毒的危害計算機病毒的主要危害有：（1）病毒激發(fā)對計算機數(shù)據(jù)信息有直接破壞作用，數(shù)據(jù)的安全性得不到保障；（2）占用磁盤空間和對信息的破壞；（3）搶占系統(tǒng)資源，降低系統(tǒng)運行性能；（4）嚴重影響計算機和網(wǎng)絡運行速度，甚至導致計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的癱瘓；（5）由于網(wǎng)絡病毒可能存在多種變種，從而造成許多不可預見的危害；（6）網(wǎng)絡病毒造成巨大的經(jīng)濟損失。4．網(wǎng)絡病毒的類型隨著網(wǎng)絡越來越發(fā)達，網(wǎng)絡病毒的種類也就越來越多，迄今為止計算機病毒已有近9萬種，計算機病毒大體上可歸納為以下幾類：（1）按照病毒存在的載體分類，一般可分為4類：導區(qū)病毒、文件型病毒、蠕蟲病毒、混合類的病毒：（2）按照病毒傳染的方法分類可分為4類：入侵型病毒、嵌入式病毒、加殼型病毒、病毒生產(chǎn)機（3）按照病毒自身特征分類可以分為2類：伴隨型病毒、變型病毒。7.4.2網(wǎng)絡病毒的傳播途徑與網(wǎng)絡防毒網(wǎng)絡病毒的傳播主要有以下五種途徑：郵件傳播、點擊網(wǎng)頁、用戶下載、其它人植入、通過計算機漏洞植入，所以我們只要守住了這五個要道，就能較好地防住網(wǎng)絡病毒。網(wǎng)絡防毒的主要方法：1.建立好的安全習慣2.對計算機應該經(jīng)常打補丁3.掌握一些病毒知識4.安裝專業(yè)的防毒軟件進行全面控制5．利用可網(wǎng)管交換機進行控制7.4.3防病毒技術的發(fā)展趨勢1．防范未知病毒技術期待突破2．反病毒體系趨向于立體化7.5信息加密技術隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡安全也就成為當今網(wǎng)絡社會的焦點中的焦點。由于信息的傳輸通過的是脆弱的公共信道，信息儲存于“不設防”的計算機系統(tǒng)中，如何保護信息的安全使之不被竊取、篡改或破壞，也就是信息內(nèi)容的保密性問題，已成為當今被普遍關注的重大問題。加密技術是有效而且可行的辦法。在計算機網(wǎng)絡廣泛應用的影響下，近代密碼學在一些算法理論的基礎上建立起來，尤其在利用網(wǎng)絡進行文件傳輸、電子郵件往來和進行合同文本的簽署中得到廣泛應用，為我們的網(wǎng)絡活動提供了安全保障，是網(wǎng)絡安全技術中的核心技術。7.5.1加密技術的基本概念7.5.2數(shù)據(jù)加密的基本原理7.5.3對稱密鑰體制和非對稱密鑰體制7.5.4數(shù)據(jù)加密算法7.5.5數(shù)據(jù)傳輸過程中的加密方式7.5.6基于加密技術的安全認證7.5.7加密技術的應用實例7.5.1加密技術的基本概念密碼學是以研究數(shù)據(jù)保密為目的，對存儲或傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對信息的竊取。密碼是實現(xiàn)秘密通訊的主要元素（手段），是隱蔽語言、文字、圖像的特種符號。凡是用特種符號按照通訊雙方約定的方法把數(shù)據(jù)（明文）的原形隱蔽起來，不為第三者所識別的通訊方式稱為密碼通訊。在計算機通訊中，采用密碼技術將信息隱蔽起來，再將隱蔽后的信息傳輸出去，使信息在傳輸過程中即使被竊取或截獲，竊取者也不能了解信息的內(nèi)容，從而保證信息傳輸?shù)陌踩?。加密過程中的幾個名詞概念：（密碼學中的幾個名詞）（1）明文：被變換的信息，其可以是一段有意義的文字或數(shù)據(jù)；（2）密文：信息變換后的一串雜亂排列的數(shù)據(jù)，從字面上無任何含義；（3）加密：從明文到密文的變換過程為加密；（4）解密：將密文還原為明文的變換過程；（5）密鑰：對加密與解密過程進行控制的參數(shù)。（6）Ek（m）：以加密密鑰k為參數(shù)的函數(shù)，是一個加密變換。其中，參數(shù)k稱之為密鑰。對于明文m，加密算法（將明文變成密文的一種編碼）E確定之后，由于密鑰k不同，密文也不同。（7）Dk’（C）：以解密密鑰k’為參數(shù)的函數(shù)。是一個解密變換。其中，C密文。7.5.2數(shù)據(jù)加密的基本原理在保障信息安全的多種技術中，密碼技術是信息安全的核心和關鍵技術。通過數(shù)據(jù)加密技術，可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩?，保證傳輸數(shù)據(jù)的完整性。在數(shù)據(jù)加密系統(tǒng)中，密鑰控制加密和解密過程，一個加密系統(tǒng)的全部安全性是基于密鑰的，而不是基于算法，所以加密系統(tǒng)的密鑰管理是一個非常重要的問題。7.5.3對稱密鑰體制和非對稱密鑰體制對稱密鑰體制是指加密密鑰（Pk）和解密密鑰（Sk）是相同的，也就是說數(shù)據(jù)在加密和解密過程中使用相同的密鑰。對稱密鑰體制也可稱為單鑰體制。非對稱密鑰體制是指在對數(shù)據(jù)進行加密和解密過程中使用不同的密鑰，這兩個密鑰分別稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有人一個人知道。因此這種密鑰體制有時也稱為公開密鑰體制（公鑰體制）或雙鑰體制。對稱加密的特點：對稱加密速度快，但密鑰不便于管理。非對稱加密的特點：可以適應網(wǎng)絡開放性要求，且密鑰管理問題也較為簡單，尤其可方便實現(xiàn)數(shù)字簽名和驗證。但由于其需要很復雜的數(shù)學算法，故其加密速度較低。7.5.4數(shù)據(jù)加密算法數(shù)據(jù)加密算法有很多種，密碼算法標準化是信息化社會發(fā)展的必然趨勢，是世界各國保密通信領域的一個重要課題。按照發(fā)展進程來看，密碼經(jīng)歷了古典密碼算法、對稱密鑰密碼算法和公開密鑰密碼算法三個階段。古典密碼算法有替代加密、置換加密、凱撒密碼；對稱加密算法包括DES和AES；公開密鑰密碼算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線等。目前在數(shù)據(jù)通信中使用最普遍的算法有DES算法、RSA算法等。1．DES（DataEncryptionStandard，數(shù)據(jù)加密標準）加密算法數(shù)據(jù)加密標準（DES）是美國經(jīng)長時間征集和篩選后，于1977年由美國國家標準局頒布的一種加密算法。它主要用于民用敏感信息的加密，后來被國際標準化組織接受作為國際標準。DES主要采用替換和移位的方法加密。它用56位密鑰對64位二進制數(shù)據(jù)塊進行加密，每次加密可對64位的輸入數(shù)據(jù)進行16輪編碼，經(jīng)一系列替換和移位后，輸入的64位原始數(shù)據(jù)轉(zhuǎn)換成完全不同的64位輸出數(shù)據(jù)。DES算法僅使用最大為64位的標準算術和邏輯運算，運算速度快，密鑰生產(chǎn)容易，適合于在當前大多數(shù)計算機上用軟件方法實現(xiàn)，同時也適合于在專用芯片上實現(xiàn)。DES算法的弱點是不能提供足夠的安全性，因為其密鑰容量只有56位。由于這個原因，后來又提出了三重DES或3DES系統(tǒng)，使用3個不同的密鑰對數(shù)據(jù)塊進行（兩次或）三次加密，該方法比進行普通加密的三次快。其強度大約和112比特的密鑰強度相當。2．RSA算法RSA算法以它的三位發(fā)明者的名字命名（RonRivest、AdiShamir和LeonardAdleman）。適用于數(shù)字簽名和密鑰交換。RSA加密算法是目前應用最廣泛的公鑰加密算法，特別適用于通過Internet傳送的數(shù)據(jù)。RSA的理論依據(jù)為：尋找兩個大素數(shù)比較簡單，而將它們的乘積分解開則異常困難。RSA算法既能用于數(shù)據(jù)加密，也能用于數(shù)字簽名，在RSA算法中，包含兩個密鑰，加密密鑰和解密密鑰，加密密鑰是公開的。RSA算法的優(yōu)點是密鑰空間大（500位，一般推薦使用1024位），缺點是加密速度慢，如果RSA和DES結合使用，則正好彌補RSA的缺點。即DES用于明文加密，RSA用于DES密鑰的加密。由于DES加密速度快，適合加密較長的報文，而RSA可解決DES密鑰分配的問題。7.5.5數(shù)據(jù)傳輸過程中的加密方式數(shù)據(jù)加密技術主要分為數(shù)據(jù)存儲加密和數(shù)據(jù)傳輸加密。采用數(shù)據(jù)存儲加密技術的目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實現(xiàn)；后者則是對用戶資格、權限加以