信道加密
1、信道加密的概念
信道是指通信的通道,是信号的传输媒介,信道加密就是通过一定技术手段对信道进行加密的过程。
信道加密是采用链路和网络加密技术为各通信节点间传输的群路信息进行加密,例如SDH加密机、ATM加密机和IP网络加密机等。信道加密需要系统传输加密的同步信息,占用信道一定的信息资源,对于资源有限、信息传输不连贯的系统来说,必须和系统紧密结合,充分利用系统信道资源。
2、信道加密目的
信息在网络传输和使用过程中,因为不提供加密服务,在网络上是以明文的方式传输的,可以轻松地被网络攻击者截获,并且其中的文本格式、非文本格式的二进制数据都可轻松地还原。因此,建立一个安全便捷的网络运行环境,对信息提供足够的保护,对信道进行加密处理是十分重要的。
3、信道加密技术类型
对称密钥(私钥加密)
对称密钥应该是相当强壮的信息加密算法。简单地说就是:加密与解密都用同一个密钥。
下面是一些最普通的对称密钥算法:
DES:DES(数据加密标准)是由IBM于上世纪70年代发明的,美国*将其采纳为标准,使用56位的密钥。
3-DES(TripleDES):该算法被用来解决使用DES技术的56位时密钥日益减弱的强度,其方法是:使用两个密钥对明文运行DES算法三次,从而得到112位有效密钥强度。TripleDES有时称为DESede(表示加密、解密和加密这三个阶段)。
RC2和RC4:可以使用2048位的密钥并且提供了一个十分安全的算法。他们都来自于领先的加密安全性公司RSASecurity。
RC5:使用了一种可配置的密钥大小。也来自领先的加密安全性公司RSASecurity。
AES:2000年AES(高级加密标准)取代DES成为美国标准。它是由JoanDaemen和VincentRijmen发明的,也被称为Rinjdael算法。它是128位分组密码,密钥长度为128位、192位或256位。
Blowfish:这种算法是由BruceSchneier开发的,它是一种具有从32位到448位(都是8的整数倍)可变密钥长度的分组密码,被设计用于在软件中有效实现微处理器。
PBE。PBE(基于密码的加密)可以与多种消息摘要和私钥算法结合使用。
非对称密钥(公共密钥)
例如你有个信箱(物理信箱),开着一个缝隙(公钥),大家都能往里塞东西,但是一旦塞进去,那可不是大家都能取到的,只有拥有信箱钥匙(私钥)才能得到。当然当我们反过来理解的时候就有些和信箱不同的地方。也就是用私钥加密的东西只有对应的公钥才能进行解密,这种算法经常被应用在数字签名上。其实在现实中你可以将公钥技术和私钥技术结合起来完成信息保密,因为公钥的计算速度相当慢,比私钥慢大约100-1000倍。
下面是一些非对称密钥算法:
RSA:这个算法是最流行的公钥密码算法,使用长度可以变化的密钥。1978年提出。
Diffie-Hellman:技术上将这种算法称为密钥协定算法。它不能用于加密,但可以用来允许双方通过在公用通道上共享信息来派生出秘钥。然后这个密钥可以用于私钥加密。
ECC(EllipricCurvesCryptography):椭圆曲线密码便码学。
需要注意的是私钥和密钥是成对的,并且不能用一个生成另外一个,特别是不能用公钥生成私钥,否则就麻烦了。
认证和不可抵赖
我们经常在论坛中见到管理员、斑竹等身份标识,并且我们更明白拥有不同的身份它们的权限也同样有差别。
认证的实现方法多种多样。但其基础技术有如下项:
- 基于口令的身份认证
- 基于令牌的物理标识和认证(很前沿的技术,目前实际应用较少)
- 基于生物测定学的认证(很前沿的技术,目前实际应用较少)
- 基于证书的认证
下面就分别将这些认证做一介绍:
(1)基于口令的身份认证
基于口令的身份认证在生活中十分普遍,我们通常见到的口令认证方式是在传输过程中口令完全暴露,并且在服务器端的口令存储上也完全是明文的形式,造成的后果是口令完全被暴露,很容易被监听。为了保护这些过程中的口令不被窃取,目前可以将其建立在安全传输层的基础上,内部口令不以明文形式出现。
(2)基于证书的认证
近年来相当流行的认证技术应该是基于证书的认证。其实证书就是一个数据块,主要包括公开密钥、主体相关的信息、证书有效的日期、证书发行者的信息和证书发行者生成的签名。
其实整个过程很简单,就是二次数字签名。第一次首先需要证书的实体将自己的信息和公钥提交给CA,CA确认该组织的可信赖之后,就用自己的密钥对该实体的信息和公钥进行签名。最后被签名的信息就成为证书。站在用户的角度,用户首先接到一个证书,当然会根据CA(可信)提供的公钥进行解密,如果能解密,当然就可以获得可信赖的信息和实体公钥。然后由实体公钥再进行数字签名解密步骤。
安全套接字层
安全套接字层(SSL)和取代它的传输层安全性(TLS)是用于在客户机和服务器之间构建安全的通信通道的协议。它也用来为客户机认证服务器,以及为服务器认证客户机。该协议在浏览器应用程序中比较常见,浏览器窗口底部的锁表明SSL/TLS有效。
SSL/TLS使用三种密码术构件的混合体,但这一切都是对用户透明的。以下是该协议的简化版本:
当使用SSL/TLS(通常使用https://URL)向站点进行请求时,从服务器向客户机发送一个证书。客户机使用已安装的公共CA证书通过这个证书验证服务器的身份,然后检查IP名称(机器名)与客户机连接的机器是否匹配。
客户机生成一些可以用来生成对话的私钥(称为会话密钥)的随机信息,然后用服务器的公钥对它加密并将它发送到服务器。服务器用自己的私钥解密消息,然后用该随机信息派生出和客户机一样的私有会话密钥。通常在这个阶段使用RSA公钥算法。
然后,客户机和服务器使用私有会话密钥和私钥算法(通常是RC4)进行通信。使用另一个密钥的消息认证码来确保消息的完整性。
4、电子邮件加密产品
GnuPG
GnuPG(GNUPrivacyGuard)是保证数据传输和存储安全的GNU工具,它可以用于加密数据和创建数字签名。GnuPG包括了高级的密匙管理工具而且遵循RFC2440中描述的OpenPGP的国际标准。GnuPG是基于RSA非对称密钥体系的电子邮件加密软件,建议下载Gpg4win,GPG4Win(GnuPGforWindows)是一个包含了GnuPG、WinPT、GPA等实用工具软体的安装程序。
MailCloak
MailCloak是一家新加坡公司研发的电子邮件加密软件,中文名称叫电子邮封,它是一个创新的电子邮件内容加密安全组件。这款软件出人意料的能够支持IE及IE内核浏览器、火狐浏览器,对于习惯使用Webmail方式收发电子邮件的用户来说绝对是个好消息,电子邮封对于Webmail的支持比较广泛,既支持Gmail、Yahoo!Mail以及LiveMail,还支持126、163、Sina、Sohu、Tom、21cn、QQ等电子邮箱,此外,电子邮封还支持众多的电子邮件客户端,如MicrosoftOutlook、OutlookExpress、Foxmail等,使用起来很方便。
电子邮封应该也是源于GnuPG的非对称密钥加密体系,但是比GnuPG和PGP使用起来方便的多,尤其适合非IT专业人士使用。
PGP
PGP(PrettyGoodPrivacy),是一个基于RSA公匙加密体系的邮件加密软件,源于GnuPG。可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。它可以可以提供一种安全的通讯方式,而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法,用于数字签名的邮件文摘算法,加密前压缩等,还有一个良好的人机工程设计。它的功能强大,有很快的速度。
可惜的是,目前的PGP产品是完全商业化的产品,要想使用这个产品,需要支付昂贵的使用费,另外由于此类产品属于美国对华出口限制类产品,因此也不容易购买。最重要的一点,PGP软件还是非常专业和复杂的,如果您不是IT专业人士,用起来还是相当困难的。
FireGPG
FireGPG是一个火狐浏览器的插件,支持对Gmail邮箱加密。FireGPG基于GnuPG技术,因此兼容OpenPGP和GnuPG,同时FireGPG还支持数字身份认证以及加密API接口等。总体感觉FireGPG使用起来还是比较方便的,但是只支持Gmail邮箱显得不是很方便。
GmailS/MIME
GmailS/MIME也是一个火狐浏览器的插件,基于个人数字证书实现对Gmail邮箱的加密保护。因此需要首先申请自己的个人电子邮件证书,GmailS/MIME也只支持Gmail邮箱,如果有其他邮箱也需要加密,就显得不是很方便了。
Omail
奥邮Omail是一个专用的电子邮件加密客户端,Omail使用了基于身份标识(IBC/IBE)加密体系的电子邮件加密体系。也提供专用的MicrosoftOutlook和Foxmail加密插件。用户使用Omail需要到奥联的MYIBC中心注册用户并下载自己的公私钥,用户的公钥交换也通过MYIBC中心进行交换。这也就意味着所有用户的公私钥都是在奥联的服务器上的,虽然很方便,但是安全性还是打了折扣的。