|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
通信网络安全分层及关键技术解决
|
日期:2005年10月31日 作者: 查看:[大字体
中字体 小字体]
|
(3)故障恢复
故障恢复是指节点或者链路发生故障后经过一定时间或采取一定措施后恢复提供服务。通常故障恢复需要人工干预。例如接口板卡的更换、电缆的重新连接、设备的重新启动、软件重新运行等。也有少量故障会因时间或者随引发故障原因的消除而消除。例如当拥塞引起设备瘫痪时,如果限制接入业务,性能较好的设备可能能够恢复正常工作。
4.信息传递安全技术
(1)信息加密
信息的机密性可以用传统的加密方式完成。最早的加密标准是美国的DES(Data ENcryptIoN StaNDarD),但DES最初设计的56位密钥长度对于现在的运算能力来说已不难攻破,后来出现了三重DES算法加强了加密的强度。DES算法是对称加密算法,加密密钥也同时是解密密钥。与之相对有一些不对称的加密与解密算法,这些算法中加密与解密采用了不同的密钥,一个密钥专门用于加密,这个密钥可以让别人得到并用它对数据进行加密,而只有解密密钥持有者可以用解密密钥解开密文,并把它恢复成明文,这个加密体系称为公开密钥法。这个加密体系加密算法中最常用的是RSA算法与椭圆曲线密码算法,除此之外还有背包算法、RabIN密码算法、ElGamal密码算法、McElIece密码算法、LUC密码算法。
对称加密算法与公开密钥算法是不同的两种密码体制,分别适于解决不同的问题。对称密码算法适合加密数据,它加密与解密速度极快并且对选择密文攻击不敏感。公开密钥密码可以做对称密码所不能做的事情,最擅长密钥分配和身份认证等对用户、密钥进行管理的工作。这部分内容将在后文中涉及到。
在实际应用中,要进行保密通信的双方,先用公开密钥法交换彼此的加密密钥,得到这个加密密钥后,通信双方用对称加密法把信息加密后进行通信。
(2)信息的鉴别与签名
对数据加密可以保证信息不受到窃听,使用报文鉴别可以保证数据完整性,为保证数据的不可否认性则可以采用数字签名。报文鉴别的目的是:接收方保证这个报文没有被变动过。如果攻击者修改了报文却不知如何修改鉴别码,接收方收到报文后计算的鉴别码与收到的鉴别码不同,于是可以判定报文的内容受到破坏。
用来生成鉴别码的算法很多,实际应用中大多采用的是单向散列函数。单向散列函数接受可变长报文输入,并产生固定长度的标签作为输出。由于单向散列函数的运算过程是不可逆的,好的散列算法输入不同报文生成相同标签的概率非常小,这使得篡改过的报文不被发现的可能性微乎其微。目前最常用的单向散列算法有MD5和SHA-1。
单向散列生成固定长度的输出称为报文的摘要。报文的摘要就是要进行鉴别的内容,为了保证摘要的内容不可读取,应将报文的内容进行加密。加密时可采用公开密钥法。公开密钥法有两个优点:它不但可以对摘要进行加密,使报文可以进行鉴别,同时也提供了数字签名;而且采用公开密钥法不需要向通信各方用保密的方式传送密钥。
公开密钥法所采用的密钥长度可到1 024位,所以加密后的密文很难进行破解。公开密钥法的加密密钥持有者,用私有密钥对报文的摘要进行加密,报文的接收者收到报文后自己根据收到的报文计算出报文的摘要,再用公开密钥把发送者加密的摘要解密,如果两个结果一致就可以断定报文没有被第三方进行了篡改。
在这一过程中,加密者用私有密钥对摘要进行加密,就是对报文进行数字签名。从数学上可以证明,私有的加密密钥只可以被其公开密钥解密,只要可以通过公开密钥把加密的内容无误地恢复成明文,加密者就不可否认他曾对此报文进行签名。
(3)密钥的管理
在传统的对称加密方法中通信双方加密解密用一把密钥,如果通信双方相隔很远,密钥的安全传送会成为一个很棘手的问题。而公开密钥法的出现可以很好地解决这个问题,公开密钥法解密的密钥是公开的,不需要用任何保密手段进行传送,通信的一方得到公开密钥对报文进行加密,报文只有私钥的持有者可以解开。但公开密钥算法加密的速度远比不上对称加密算法,因此实际应用中,常用公开密钥法在要进行保密通信双方间传递共享密钥,然后用对称加密法进行数据的加密。公开密钥法另一个用途就是上文中提到的数字签名。由于公开密钥法有如此强大的功能,对公开密钥进行管理就成为现代信息安全的一个重要课题。
公开密钥的出现,对于信息安全的威胁变成了这样:当一个人声称他是A并提供了他的公开密钥,那么他真的就是A吗?目前采用的方法是通过第三方机构即认证中心(CA)对公开密钥进行认证。
5.互联网安全技术
(1)网络管理
网管系统包括配置管理、故障管理、性能管理、安全管理和计费管理这5大部分,是维护网络可靠性和服务可用性可靠性的重要手段。通过强大的网络管理,可以有效地增强网络的健壮性。有这样一种说法:网络安全三分技术七分管理,该说法即使过于粗略也足见管理的重要性。传统的电信网网管能力较强,基本上做到了网元层次和网络层次的管理。但还没有实现服务管理(SM:ServIce MaNagemeNt)和商业管理(BM:BusINessMaNagemeNt)。同时传统电信网结构上采用外置式管理网,实现“以网管网”(以管理网管理运行网)的模式。互联网基本只能实现网元层的管理。相对来说网管能力较弱。
(2)接入控制
网络服务可控的网络必须对用户接入进行控制。传统电话网终端无智能,网络只区分接入端口。在互联网,由于终端具有智能性,IP地址可以在一定范围内随意改变。因此互联网对接入控制应当加以控制。
(3)访问控制
访问控制是保证网络安全的重要措施。访问控制可以使用防火墙在一定程度上得到实现。互联网国际出入口、与国内其他运营单位的互联点和企业网络的互联点,以及接入互联网的企业网络等网络边缘,要设置防火墙作为网络边缘的安全屏障,对网络的访问进行有效控制,其作用为:
上一篇:最简便的备份MySql数据库方法
下一篇:windows 2000进程一览
|
| 通信网络安全分层及关键技术解决 相关文章: |
|
|
|
| 通信网络安全分层及关键技术解决 相关软件: |
|
|
|
|
