[ 永远的UNIX::UNIX技术资料的宝库 ]

首页 > 网络安全 > 网络 > 正文

网路安全--2.资料加密

来源:http://www.study-area.net/menu1.htm (2001-06-04 16:10:01)


再看封包内容 

在上一章我使用过netxray撷取过一些封包。下面让我们再撷取两个封包看看您能发现什麽 


 
 

没错啦就是使用者名称和密码哇那还了得那还有保密可言吗 

的确如此假如您使用纯文字(paint text)方式来传送密码的话虽然在您的萤幕上看到的是“******”但使用网路封包撷取工具来看的却是原原本本的文字。虽然这里使用的例子是撷取本机的封包但其实大部份的封包撷取工具都可以撷取所有流经本地网路的封包。假如骇客成功的登录了网路中的其中一台工作站那麽所有资料都无所遁形了。这情形在internet上面也非常普遍。之所以现在的网页流览器都会在您提交资料的时候提出警告让您认知到您的资料随时可能被别人截获。那麽有没有方法避免或量减少资料被窃听的风险呢 

资料加密的手段 

在没有使用资料加密之前在网路中传递的email或商业资料甚至任何文字资料都有如“网路明信片”一般有心人士随手可得一览无遗。有鉴於此人们在传送资料之前都会将资料进行加密处理(Encode)然後在接收到资料後再进行解密处理(Decode)而将资料还原。而在传送过程中的资料除非您有能力进行decode否则您看到的只是一些杂乱无章的文字而已。 

那麽这个加密和解密是怎样合作的呢如果您喜欢看二次世界大战间谍片的话应该知道什麽叫密码电报和公码电报吧公码电报就是使用一套公认的规则将资料转换成特定的电波信号发送出去然後接收到信号的那一端也使用公认的规则将信号还原成资料。而密码电报呢是使用一套只有发送者和接收者才知道的规则来发送信号和将信号还原。虽然发送出去的电波任何人都接收得到但如何还原资料也就是如何破解这个秘密的规则就成了反间谍的一项重要任务了。闻说日本偷袭珍珠港之前任何飞机都不能发送通讯也就是为了避免遭美军拦截到信号从而破解因而偷袭相当成功。不过其策划者山本五十六後来也是因为美军破解了日方的密码电报获知其行踪在太平洋上空将其飞机击落。 

那麽我们在网路传递资料的时候如果没有加密的话就好比是公码电报。不过我们也可以和接收者拟定自己的一套“密码电报”我们可以用自己的规则将资料加密後才传递出去然後利用秘密的管道将规则传递给对方这样资料的保密性就大大提高了。我们称这样的加密方法为“单一键值加密”。 

不过这又有另外应一个问题出现了假如我们要将资料传递给上万个客户呢要维持好这样的一套规则恐怕是件非常耗时耗量的工作是非常不符合效益的。 

不过正所谓路不转人转聪明的人们在刚才的“单一键值加密”方法的基础上开发出另一套更灵活的加密方法叫做“公用键值加密”。在使用“公用键值加密”的时候任何人都可以使用公开的键值进行加密但需要配合另一个私有键值同时工作才能将资料解密。其情形就好像这样 
我打制了一把只有自己才拥有的锁匙另外再打制另外一把锁匙挂在门口任何人都可以拿去。 
然後邮局提供一个标准铁罐来传递资料这铁罐本来是没有上锁的。 
如果朋友想传递资料给我他就先把我挂在门口的锁匙拿去然後用好的锁匙将铁罐锁上。 
一但铁罐锁上了只有用我的私有锁匙才能够打得开。除非是开锁专家别人休想看到里面的东西。 

这样传送者和接收者就无需事先约定好加密的键值了任何人都可以将公用键值公在网路上任人下载然後用之加密资料送来也只有知道私有键值的人才能够将资料还原。不过这个时候保护好私有键值不被盗窃就成了最重要的保密工作了。 

数位签名 

无需再花费太多的时间来解释相信您也知道资料加密的重要性和用途之广了吧。除了可以用来做公司内部的资料传递也可以用来和客户进行保密交易。 

在网路上我们还可以使用“数位签名(Digital Sinature)”来进行身份确认。数位签名可以说是一个独一无二的数值它由使用者的私有键值进行加密然後利用公用键值进行确认。 

时至今天网路的广泛应用传统的手写签名显然派不上用场。但有过网上购物经验的朋友有几何使用到“电子数位签名”呢可以说今天的网上购物还是极俱风险的既没有签名也没有电话银行就照样从您的信用卡帐户中过数给网路商店都不知道他们凭什麽居然这样儿戏的不过如果引入了数位签名系统由於它目前还被认为是“几乎无法伪造”的特性网上购物才会显得是安全的您使用您的信用卡和数位签名进行购物然後商店必须将付款资料连同您电子认资料一起送给银行请求授权待核实无误之後银行才会进行转帐。这样既保障信用卡不会被冒用同时还可以减少错帐的出现。只可惜的是现今的人们还普遍缺乏网路安全意识就连银行本身也只顾赚钱不理顾客利益实在是有点可悲的。 

网路认的取得 

现在的许多网站为保护流览者的资料保密性大多会使用由Netscape公司开发SSL(Security Socket layer)技术来进行资料加密它工作於OSI的应用层和传送层之间所以不局限於特定的网路协定之上。不过要提供SSL连结服务网路伺服器和和流览器双方都必须支援才可。而SSL数位认的签发目前由美国的VeriSing (http://www.verisign.com)受理伺服器如果要提供SSL服务都必须到该公司册才可以。 

如果您使用网路购物SSL技术可以保障您的信用卡号码不会被除了商店之外的人获得如果再配合数位认的话其安全性就更高了。 


(http://www.fanqiang.com)


 
 相关文章

★  感谢所有的作者为我们学习技术知识提供了一条捷径  ★
www.fanqiang.com