数据传输层加密

网络数据传输安全

传输安全要求保护网络上被传输的信息，以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施：

1. 加密与数字签名

任何良好的安全系统必须包括加密！这已成为既定的事实。网络上的加密可以分为三层：第一层为数据链路层加密，即将数据在线路传输前后分别对其进行加密和解密，这样可以减少在传输线路上被窃取的危险；第二层是传输层的加密，使数据在网络传输期间保持加密状态；第三层是应用层上的加密，让网络应用程序对数据进行加密和解密。当然可以对这三层进行综合加密，以增强信息的安全性和可靠性。

数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法，它主要通过加密算法和证实协议而实现。

2. 防火墙

防火墙（Firewall）是Internet上广泛应用的一种安全措施，它可以设置在不同网络或网络安全域之间的一系列部件的组合。它能通过监测、限制、更改跨越防火墙的数据流，尽可能地检测网络内外信息、结构和运行状况，以此来实现网络的安全保护。

3. User Name/Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet（远程登录）、rlogin （远程登录）等，但此种认证方式过程不加密，即password容易被监听和解密。

4. 使用摘要算法的认证

Radius（远程拨号认证协议）、OSPF（开放路由协议）、SNMP Security Protocol等均使用共享的Security Key（密钥），加上摘要算法（MD5）进行认证，但摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。

5. 基于PKI的认证

使用PKI（公开密钥体系）进行认证和加密。该种方法安全程度较高，综合采用了摘要

算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。

6. 虚拟专用网络（VPN）技术

VPN技术主要提供在公网上的安全的双向通讯，采用透明的加密方案以保证数据的完整性和保密性。

VPN技术的工作原理：VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程大体是这样：

①要保护的主机发送明文信息到连接公共网络的VPN设备；

② VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。

③对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。④ VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。

⑤ VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。

⑥当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。

对于计算机网络传输的安全问题，我们必须要做到以下几点。第一，应严格限制上网用户所访问的系统信息和资源，这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二，应加强对上网用户的身份认证，使用RADIUS等专用身份验证服务器。一方面，可以实现对上网用户帐号的统一管理；另一方面，在身份验证过程中采用加密的手段，避免用户口令泄露的可能性。第三，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是使用PGP for Business Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时，也提供了针对单机用户的加密客户端软件，即采用软件加密的技术来保证数据传输的安全性。

7. 网络数据传输的保护措施

在当今网络化的世界中，网络的开放性和共享性在方便了人们使用的同时，也使得网络很容易遭受到攻击，而攻击的后果是严重的，诸如数据被人窃取、服务器不能提供服务等等。随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了物理措施、防火墙、访问控制、数据加密、病毒的防护等各种网络安全的防护措施蓬勃发展。

物理措施：比如，保护网络关键设备，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源等措施。

防火墙：目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访

问，同时阻止了外部未授权访问对专用网络的非法访问。

访问控制：对用户访问网络资源的权限进行严格的认证和控制。

数据加密：对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。

病毒的防护：在企业培养集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的入侵。

其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近几年来，都是围绕网络安全问题提出了许多解决办法，例如数据加密技术、防火墙技术安、安全审计技术、安全管理技术、系统漏洞检测技术等等。

目前市场普遍被采用的网络安全技术有：主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术。但是，有了安全技术还是远远不够，许多网络安全事件的发生都与缺乏安全防范意识有关，所以，我们要有网络安全防范意识并建立起相应的安全机制就可以使网络安全得到保障。