发信人: bali()
整理人: williamlong(1999-12-13 19:09:20), 站内信件
|
发信人: [email protected] (邂逅), 信区: hacker
标 题: 网络安全(11)
发信站: cs3 BBS (Mon Jun 16 14:50:45 1997)
转信站: sjtubbs!sjtunews!cs3
Origin: cs3.xmu.edu.cn
(2)加密
加密也可提高终端和网络通讯的物理安全,有三种方法加密传输数据:
. 链接加密:在网络节点间加密,在节点间传输加密,传送到节点后解密,
不同节点对间用不同的密码.
. 节点加密:与链接加密类似,不同的只是当数据在节点间传送时,不用明
码格式传送,而是用特殊的加密硬件进行解密和重加密,这种
专用硬件通常旋转在安全保险箱中.
. 首尾加密:对进入网络的数据加密,然后待数据从网络传送出后再进行
解密.网络本身并不会知道正在传送的数据是加密数据.这一
方法的优点是,网络上的每个用户(通常是每个机器的一个用
户)可有不同的加密关键词,并且网络本身不需增添任何专门
的加密设备.缺点是每个系统必须有一个加密设备和相应的
软件(管理加密关键词).或者每个系统必须自己完成加密工
作(当数据传输率是按兆位/秒的单位计算时,加密任务的计
算量是很大的).
终端数据加密是一特殊情况,此时链接加密法和首尾加密法是一样的方
法,终端和计算机都是既为节点又为终止端点.
通讯数据加密常常不同于文件加密,加密所用的方法不应降低数据的传送
速度.丢失或被歪曲了的数据不应当引起丢失更多的数据位,即解密进程应当
能修复坏数据,而不能由于坏数据对整个文件或登录进行不正确地解密.对于
登录会话,必须一次加密一个字节,特别是在UNIX系统的情况下,系统要将字所
返回给用户,更应一次加密一个字节.在网络中,每一链可能需要不同的加密关
键字,这就提出了对加密关键词的管理,分配和替换问题.
DES传送数据的一般形式是以代入法密码格式按块传送数据,不能达到上
述的许多要求.DES采用另一加密方法,一次加密一位或一个字节,形成密码流.
密码流具有自同步的特点,被传送的密码文本中发生的错误和数据丢失,将只
影响最终的明码文本的一小段(64位).这称为密码反馈.在这种方法中,DES被
用作虚拟随机数发生器,产生出一系列用于对明码文本的随机数.明码文本的
每n位与一个DESn位的加密输出数进行异或,n的取值为1-64,DES加密处理的输
入是根据前边传送的密码文本形成的64位的数值.
发n为1时,加密方法是自同步方式:错一位或丢失1位后,64位的密码文本
将不能被正确地解密,因为不正确的加密值将移入DES输入的末端.但是一旦接
收到正确的64位密码,由于DES的加密和解密的输入是同步的,故解密将继续正
确地进行.
DES的初始输入称为种子,是一个同时由传输器和接收器认可的随机数.通
常种子由一方选择,在加密前给另一方.而加密关键词不能以明码格式通过网
络传送,当加密系统加电时在两边都写入加密关键词,并且在许多阶段期间加
密关键词都保持不变,用户可以选择由主关键词加密的阶段关键词,发送到数
据传送的另一端,当该阶段结束后,阶段关键词就不再使用了.主关键词对用户
是不可见的,由系统管理员定期改变,选择哪一种关键词管理方法,常由所用的
硬件来确定.如果加密硬件都有相应的设备,则用种子还是用主关键词阶段关
键词是无关紧要的.
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: [email protected].]
--
大果子
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.97.225.207]
|
|