![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 安全技術 > 網絡 > 正文 |
 |
| 網路安全--2.資料加密 |
| http://www.study-area.net/menu1.htm (2001-06-04 16:10:01) |
再看封包內容
在上一章我使用過netxray擷取過一些封包。下面讓我們再擷取兩個封包看看您能發現什麼
沒錯啦就是使用者名稱和密碼哇那還了得那還有保密可言嗎
的確如此假如您使用純文字(paint text)方式來傳送密碼的話雖然在您的螢幕上看到的是“******”但使用網路封包擷取工具來看的卻是原原本本的文字。雖然這裡使用的例子是擷取本機的封包但其實大部份的封包擷取工具都可以擷取所有流經本地網路的封包。假如駭客成功的登錄了網路中的其中一台工作站那麼所有資料都無所遁形了。這情形在internet上面也非常普遍。之所以現在的網頁流覽器都會在您提交資料的時候提出警告讓您認知到您的資料隨時可能被別人截獲。那麼有沒有方法避免或量減少資料被竊聽的風險呢
資料加密的手段
在沒有使用資料加密之前在網路中傳遞的email或商業資料甚至任何文字資料都有如“網路明信片”一般有心人士隨手可得一覽無遺。有鑒於此人們在傳送資料之前都會將資料進行加密處理(Encode)然後在接收到資料後再進行解密處理(Decode)而將資料還原。而在傳送過程中的資料除非您有能力進行decode否則您看到的只是一些雜亂無章的文字而已。
那麼這個加密和解密是怎樣合作的呢如果您喜歡看二次世界大戰間諜片的話應該知道什麼叫密碼電報和公碼電報吧公碼電報就是使用一套公認的規則將資料轉換成特定的電波信號發送出去然後接收到信號的那一端也使用公認的規則將信號還原成資料。而密碼電報呢是使用一套只有發送者和接收者才知道的規則來發送信號和將信號還原。雖然發送出去的電波任何人都接收得到但如何還原資料也就是如何破解這個秘密的規則就成了反間諜的一項重要任務了。聞說日本偷襲珍珠港之前任何飛機都不能發送通訊也就是為了避免遭美軍攔截到信號從而破解因而偷襲相當成功。不過其策劃者山本五十六後來也是因為美軍破解了日方的密碼電報獲知其行蹤在太平洋上空將其飛機擊落。
那麼我們在網路傳遞資料的時候如果沒有加密的話就好比是公碼電報。不過我們也可以和接收者擬定自己的一套“密碼電報”我們可以用自己的規則將資料加密後才傳遞出去然後利用秘密的管道將規則傳遞給對方這樣資料的保密性就大大提高了。我們稱這樣的加密方法為“單一鍵值加密”。
不過這又有另外應一個問題出現了假如我們要將資料傳遞給上萬個客戶呢要維持好這樣的一套規則恐怕是件非常耗時耗量的工作是非常不符合效益的。
不過正所謂路不轉人轉聰明的人們在剛才的“單一鍵值加密”方法的基礎上開發出另一套更靈活的加密方法叫做“公用鍵值加密”。在使用“公用鍵值加密”的時候任何人都可以使用公開的鍵值進行加密但需要配合另一個私有鍵值同時工作才能將資料解密。其情形就好像這樣
我打制了一把只有自己才擁有的鎖匙另外再打制另外一把鎖匙掛在門口任何人都可以拿去。
然後郵局提供一個標準鐵罐來傳遞資料這鐵罐本來是沒有上鎖的。
如果朋友想傳遞資料給我他就先把我掛在門口的鎖匙拿去然後用好的鎖匙將鐵罐鎖上。
一但鐵罐鎖上了只有用我的私有鎖匙才能夠打得開。除非是開鎖專家別人休想看到裡面的東西。
這樣傳送者和接收者就無需事先約定好加密的鍵值了任何人都可以將公用鍵值公在網路上任人下載然後用之加密資料送來也只有知道私有鍵值的人才能夠將資料還原。不過這個時候保護好私有鍵值不被盜竊就成了最重要的保密工作了。
數位簽名
無需再花費太多的時間來解釋相信您也知道資料加密的重要性和用途之廣了吧。除了可以用來做公司內部的資料傳遞也可以用來和客戶進行保密交易。
在網路上我們還可以使用“數位簽名(Digital Sinature)”來進行身份確認。數位簽名可以說是一個獨一無二的數值它由使用者的私有鍵值進行加密然後利用公用鍵值進行確認。
時至今天網路的廣泛應用傳統的手寫簽名顯然派不上用場。但有過網上購物經驗的朋友有幾何使用到“電子數位簽名”呢可以說今天的網上購物還是極俱風險的既沒有簽名也沒有電話銀行就照樣從您的信用卡帳戶中過數給網路商店都不知道他們憑什麼居然這樣兒戲的不過如果引入了數位簽名系統由於它目前還被認為是“幾乎無法偽造”的特性網上購物才會顯得是安全的您使用您的信用卡和數位簽名進行購物然後商店必須將付款資料連同您電子認資料一起送給銀行請求授權待核實無誤之後銀行才會進行轉帳。這樣既保障信用卡不會被冒用同時還可以減少錯帳的出現。只可惜的是現今的人們還普遍缺乏網路安全意識就連銀行本身也只顧賺錢不理顧客利益實在是有點可悲的。
網路認的取得
現在的許多網站為保護流覽者的資料保密性大多會使用由Netscape公司開發SSL(Security Socket layer)技術來進行資料加密它工作於OSI的應用層和傳送層之間所以不局限於特定的網路協定之上。不過要提供SSL連結服務網路伺服器和和流覽器雙方都必須支援才可。而SSL數位認的簽發目前由美國的VeriSing (http://www.verisign.com)受理伺服器如果要提供SSL服務都必須到該公司冊才可以。
如果您使用網路購物SSL技術可以保障您的信用卡號碼不會被除了商店之外的人獲得如果再配合數位認的話其安全性就更高了。
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
網路安全--3.火牆 (2001-06-04 17:04:00)
網路安全--2.資料加密 (2001-06-04 16:10:01)
網路安全--1.保護密碼 (2001-06-04 15:00:00)
|
|
|
|
|
★ 樊強制作 歡迎分享 ★ |