第7章 网络安全的常用技术

1、第,7,章,网络安全的常用技术,在了解网络面临来自哪些方面的威胁后，更应该了解针对不同网络,威胁的一些应对技术和措施，掌握它们的工作原理以及对应的安全产品,的使用方法，并能结合不同的网络环境和网络安全需求，制定一套科学,合理的网络系统安全解决方案。,本章将结合目前常见的网络安全技术，较为详细地分别介绍这些安,全技术的工作原理，并结合一些实际网络安全产品的配置过程实例，更,为直观地介绍安全产品的使用方法。,7.1,防火墙,7.1.1,防火墙的概念,7.1.2,防火墙的主要功能,7.1.3,防火墙技术,7.1.4,防火墙的选购,7.1.1,防火墙的概念,现在通常所说的网络防火墙是借鉴了古代真正用于

2、防火的防火墙的喻,义，它是指隔离在内部（本地）网络与外界网络之间的一道防御系统，是,这一类防范措施的总称。,通过它可以隔离风险区域（如,Internet,或有一定风险的网络）与安全,区域（如局域网，也就是内部网络）的连接，同时不会妨碍人们对风险区,域的访问。,它是一种设置在不同网络（如可信任的企业内部网和不可信的公共网）,或网络安全域之间的一系列部件的组合。一般由计算机硬件和软件组成的,一个或一组系统，用于增强内部网络和外部网之间的访问控制。,路由器,Internet,防火墙,交换机,用户,内部网,外部网,网络管理平台,内网服务器群,外网服务器群,7.1.3,防火墙的主要功能,1,防火墙是网络

3、安全的屏障,2,防火墙能控制对特殊站点的访问,3,对网络存取访问进行记录和统计,4,防止内部网络信息的外泄,5,地址转换,(NAT),7.1.4,防火墙技术,目前在实际应用中所使用的防火墙产品有很多,但从其采用的技术来,看主要包括两类,:,包过滤技术和应用代理技术,实际的防火墙产品往往由这,两种技术的演变扩充或复合而形成的。,具体来说主要包括：简单包过滤防火墙、状态检测包过滤防火墙、,应用代理防火墙和复合型防火墙。,1,简单包过滤防火墙,包过滤防火墙工作在网络层，对数据包的源及目的,IP,具有识别和控,制作用，对于传输层，只能识别数据包是,TCP,还是,UDP,及所用的端口,信息。它对所收到的

4、,IP,数据包的源地址、目的地址、,TCP,数据分组或,UDP,报文的源端口号、包出入接口、协议类型和数据包中的各种标志位,等参数，与网络管理员预先设置的访问控制表进行比较，确定是否符合,预定义的安全策略，并决定数据包的通过或丢弃。,比如：如果防火墙已设置拒绝,telnet,连接，这时当数据包的目的端口,是,23,时，则该数据包就会被丢弃；如果允许进行,Web,访问，这时目的端,口为,80,时则数据包就会被放行。由于这类防火墙只对数据包的,IP,地址、,TCP/UDP,协议和端口进行分析，因此它的处理速度较快，并且易于配置。,简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这,样的功能

5、，所以如果内部网络已经配有边界路由器，那么完全没有必要,购买一个简单包过滤的防火墙产品。,由于这类技术不能跟踪,TCP,的状态，所以对,TCP,层的控制是有漏洞,的。,单纯简单包过滤的产品由于其保护的不完善，在,1999,年以前国外的,网络防火墙市场上就已经不存在了。,2,应用代理防火墙,应用代理防火墙，也叫应用代理网关防火墙。,所谓网关是指在两个设备之间提供转发服务的系统。,这种防火墙能彻底隔断内网与外网的直接通信，内网用户对外网的访,问变成防火墙对外网的访问，外网的访问应答先由防火墙处理，然后再由,防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者,任何时候都不能与服务器建立

6、直接的,TCP,连接，应用层的协议会话过程,必须符合代理的安全策略要求。,由于针对各种应用协议的代理防火墙提供了丰富的应用层的控制能,力，使应用代理型防火墙具有了极高的安全性。但是代理型防火墙是利,用操作系统本身的,socket,接口传递数据，从而导致性能比较差，不能支,持大规模的并发连接；,另外对于代理型防火墙要求防火墙核心预先内置一些已知应用程序,的代理后防火墙才能正常工作，这样的后果是一些新出现的应用在代理,型防火墙上往往不能使用，出现了防火墙不支持很多新型应用的局面。,在,IT,领域中，新的应用和新的技术不断出现，甚至每一天都有新的应用,方式和新的协议出现，代理型防火墙很难适应这种局面

7、，使得在一些重,要的领域和行业的核心业务应用中，代理型防火墙被渐渐地被抛弃。,3,状态检测包过滤防火墙,状态检测包过滤防火墙是在简单包过滤上的功能扩展，最早是,Check,Point,公司提出的，现在已经成为防火墙的主流技术。,状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个,包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因,而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，,状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复,杂的大型网络上。,前面介绍的简单包过滤只是一种静态包过滤，静态包过滤将每个数据,包单独分析，固定根据其包头信息

8、（如源地址、目的地址、端口号等）进,行匹配，这种方法在遇到利用动态端口应用协议时会发生困难。,可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而,应用代理型防火墙则是规范了特定的应用协议上的行为。,目前业界很多优秀的防火墙产品采用了状态检测型的体系结构，比如,Check Point,的,Firewall-1,，,Cisco,的,PIX,防火墙，,NetScreen,防火墙等等。,4,复合型防火墙,复合型防火墙是指综合了状态检测与透明代理的新一代防火墙，它,基于专用集成电路（,ASIC,，,Application Specific Integrated Circuit,）,架构，把防病

9、毒、内容过滤整合到防火墙里，其中还包括,VPN,、,IDS,功能，,多单元融为一体，是一种新突破。,常规的防火墙并不能防止隐蔽在网络流量里的攻击。复合型防火墙在,网络边界实施,OSI,第七层的内容扫描，实现了实时在网络边缘部署病毒防,护、内容过滤等应用层服务措施，体现出网络与信息安全的新思路。,四种典型防火墙的工作原理及特点比较,防火墙类型,工作原理及特点,简单包过滤防火墙,1,只检查报头,2,不检查数据区、不建立连接状态表、前后报文无,关,3,应用层控制很弱,应用代理防火墙,1,只检查数据,2,不检查,IP,、,TCP,报头，不建立连接状态表,3,网络层保护比较弱,状态检测包过滤防,火墙,1

10、,不检查数据区,2,建立连接状态表、前后报文相关,3,应用层控制很弱,复合型防火墙,1,可以检查整个数据包内容,2,根据需要建立连接状态表,3,网络层保护强、应用层控制细,7.1.6,防火墙的选购,目前国内外防火墙产品品种繁多、特点各异，有硬件的防火墙，也有,软件防火墙。硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用,防火墙软件。从功能上看，硬件防火墙内建安全软件，使用专属或强化的,操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，,解决了防火墙效率、性能之间的矛盾，基本上可以达到线性。而软件防火,墙一般是基于某个操作系统平台开发的，直接在计算机上进行软件的安装,和配置。

11、由于用户平台的多样性，使得软件防火墙需支持多操作系统，如：,Unix,、,Linux,、,SCO-Unix,、,Windows,等，代码庞大、安装维护成本高、,效率低，同时还受到操作系统平台稳定性的影响。显然，硬件防火墙总体,性能上来说是优于软件防火墙的，但其价格也要高些。,1,关系到防火墙性能的几个指标和概念,（,1,）防火墙端口数,（,2,）防火墙吞吐量,（,3,）防火墙会话数,（,4,）防火墙策略,（,5,）,DMZ,区,（,6,）防火墙的通信模式,2,防火墙的选购,下面从几个方面探讨选购防火墙时应该注意的问题。,（,1,）防火墙自身是否安全,（,2,）系统是否稳定,（,3,）是否高效,

12、（,4,）是否可靠,（,5,）功能是否灵活,（,6,）配置是否方便,（,7,）管理是否简便,（,8,）是否可以抵抗拒绝服务攻击,（,9,）是否可以针对用户身份进行过滤,（,10,）是否具有可扩展、可升级性,7.2,入侵检测系统,7.2.1,入侵检测系统概述,7.2.2,入侵检测系统技术,7.2.3,入侵检测系统的工作流程,7.2.4 IDS,与防火墙对比,入侵检测系统：,Intrusion Detection System,简称,IDS,。,入侵检测是指：“通过对行为、安全日志或审计数据或其他网络上可,以获得的信息进行操作，检测到对系统的闯入或闯入的企图”,。,入侵检测系统是一个典型的“窥探设

13、备”。,入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，,可以与防火墙联动，可以记录和禁止网络活动，所以入侵监测系统是防火,墙的延续。它们可以和防火墙和路由器配合工作。,7.2.2,入侵检测系统技术,入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对,入侵事件和入侵过程能做出实时响应。,入侵检测系统从分析方式上主要可分为两种：,（,1,）模式发现技术（模式匹配）,（,2,）异常发现技术（异常检测）,模式发现技术,的核心是维护一个知识库。对于已知的攻击，它可以详细、准,确的报告出攻击类型，而且知识库必须不断更新。对所有已知入侵行为和手,段（及其变种）都能够表达为一种模式或特

14、征，所有已知的入侵方法都可以,用匹配的方法发现，把真正的入侵与正常行为区分开来。模式发现的优点是,误报少，,局限,是它只能发现已知的攻击，对未知的攻击无能为力。,异常发现技术,先定义一组系统“正常”情况的数值，如,CPU,利用率、内存,利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并,用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比,较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的,“正常”情况。,异常发现技术的,局限,是并非所有的入侵都表现为异常，而,且系统的“正常”标准难于计算和更新，并无法准确判别出攻击的手法，但,它可以（至少在理论上可

15、以）判别更广范、甚至未发觉的攻击。,目前，国际顶尖的入侵检测系统,IDS,主要以模式发现技术,为主，并结合异常发现技术。,IDS,一般从实现方式上分为两种：,（,1,）基于主机的,IDS,（,2,）基于网络的,IDS,基于网络的,IDS,使用原始的网络分组数据包作为进行攻击分析的数,据源，一般利用网络适配器（探测器）来实时监视和分析所有通过网络,进行传输的通信。一旦检测到攻击，,IDS,应答模块通过,通知、报警,以及,中断连接,等方式来对攻击做出反应。,基于网络的入侵检测系统的主要优点有：,（,1,）成本低。,（,2,）攻击者消除证据很困难。,（,3,）实时检测和应答一旦发生恶意访问或攻击，基

16、于网络的,IDS,检测,可以随时发现它们，因此能够更快地做出反应。从而将入侵活动对系统,的破坏减到最低。,（,4,）能够检测未成功的攻击企图。,（,5,）操作系统独立。基于网络的,IDS,并不依赖主机的操作系统作为检,测资源，而基于主机的系统需要特定的操作系统才能发挥作用。,基于主机的,IDS,一般监视,Windows NT,上的系统、事件、安全日志以,及,UNIX,环境中的,syslog,文件。一旦发现这些文件发生任何变化，,IDS,将比,较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话，检测系,统就向管理员发出入侵报警并且发出采取相应的行动。,基于主机的,IDS,的主要优势有：,（

17、,1,）非常适用于加密和交换环境。,（,2,）近实时的检测和应答。,（,3,）不需要额外的硬件。,（,4,）确定攻击是否成功。,（,5,）监测特定主机系统活动。,以上两种实现方式的集成化是,IDS,的发展趋势。基于网络和基于主机的,IDS,都有各自的优势，两者可以相互补充。这两种方式都能发现对方无法检,测到的一些入侵行为。,基于网络的,IDS,可以研究负载的内容，查找特定攻击中使用的命令或语,法，这类攻击可以被实时检查包序列的,IDS,迅速识别。,而,基于主机的,IDS,无法看到负载，因此也无法识别嵌入式的负载攻击。,联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。,7.2.3,入

18、侵检测系统的工作流程,1,信息收集,2,信号分析,3,实时记录、报警或有限度反击,7.2.4 IDS,与防火墙对比,防火墙,入侵检测系统,设备类型,多端口主机，数据转发设备，,完成类似于交互机或路由器的功,能。,一般单接口，数据采集、,分析设备。,流量处理机制,过滤。,无处理。,对受检报文的操作,大量的读写操作。需要修改各,层报文的头或内容。,只作简单的拷贝，不修改,原来的报文。,对链路速度的影响,取决于防火墙的转发延迟。,IDS,是旁路设备，不影响原,有链中的速度。,可附加模块,可实现网络层以上加密、应用,层病毒检测、杀毒功能。,不能实现加密、杀毒功能，,但可实现病毒检测功能。,对入侵行为的

19、处理,拒绝、报警、日志记录。,报警、日志记录和有限度,反击。,入侵检测的准确性,迫于流量转发负载的压力，只对,流量作普遍检查，有可能发生漏,报、误报现象。,出了检测以外，没有任何业,务负担，而且庞大、详尽的,入侵知识库可以提供非常准,确的判断识别，漏报误报率,大大低于防火墙。,对访问日志的记录,只作条目式记录，框架较粗。,非常详细，包括访问的资源、,报文内容。,设备稳定性对网络的影响,要求非常高，否则可能造成网络,链路的阻断。,无论,IDS,工作与否，都不会影,响网络的连通性和稳定性。,应用层内容恢复,一般不提供应用层的内容恢复，,但可以据此进行过滤和替换功能。,能够完全恢复出应用层的信,息，

20、能够对网络特定的流量,进行全程监视、记录，为管,理员判断进攻者、收集证据,提供了强有力的手段。,对网络层以下各协议的支,持,由于防火墙对物理链路的隔断，,因此必须支持所有网络层以下的,协议方能维持原有网络的正常动,作，,没有跨接任何物理链路，因,此无此要求的。,7.3,虚拟专用网（,VPN,）技术,VPN,的英文全称是“,Virtual Private Network”,，翻译过来就是“虚,拟专用网络”。顾名思义，我们可以把它理解成是虚拟出来的企业内部专,线。它可以通过特殊的加密通信协议为连接在,Internet,上位于不同地方的,两个或多个企业内部网之间建立一条专有的通信线路，就好比是架设了

21、一,条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路，如图所,示。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购,买路由器等硬件设备。,VPN,技术原是路由器具有的重要技术之一，,目前在交换机，防火墙设备或,WINDOWS 2000,等软件里也都支持,VPN,功能，,VPN,的核心就是在利用公共网络建立虚拟私有网。,7.3.1 VPN,的特点,7.3.2 VPN,安全技术,7.3.3 VPN,技术的实际应用,7.3.1 VPN,应具备的特点,1,安全保障,2,服务质量保证（,QoS,）,3,可扩充性和灵活性,4,可管理性,7.3.2 VPN,安全技术,由于传输的是私有信息

22、，,VPN,用户对数据的安全性都比较关心。,目前,VPN,主要采用四项技术来保证安全，这四项技术分别是：,（,1,）隧道技术（,Tunneling,）、,（,2,）加解密技术（,Encryption & Decryption,）、,（,3,）密钥管理技术（,Key Management,）、,（,4,）使用者与设备身份认证技术（,Authentication,）。,7.3.3 VPN,技术的实际应用,在实际应用中,VPN,技术针对不同的用户有不同的解决方案，用户可,以根据自己的情况进行选择。这些解决方案主要分为三种：远程访问虚拟,网（,Access VPN,）、企业内部虚拟网（,Intrane

23、t VPN,）和企业扩展虚拟,网（,Extranet VPN,）。,这三种类型的,VPN,分别与传统的远程访问网络、企业内部的,Intranet,以及企业网和相关合作伙伴的企业网所构成的,Extranet,相对应。,7.4,网络病毒与防范,7.4.1,概述,7.4.2,网络病毒的传播途径与网络防毒,7.4.3,防病毒技术的发展趋势,7.4.1,概述,1,什么是网络病毒,网络病毒是一个新兴的概念，在传统的病毒分类里基本上没有网络,病毒这个概念的，随着网络的广泛应用，计算机病毒种类越来越多、传,染速度也越来越快、危害更是越来越大。病毒也有了一些网络的特性。,如今网络病毒是一个广义的概念，一般只要是

24、利用网络来进行传染、破,坏的都可以被称为网络病毒。,2,网络病毒具有以下特点：,（,1,）自动传播和主动攻击，如：蠕虫病毒；,（,2,）攻击系统后门，如：特洛伊木马；,（,3,）多种传播方式多样化，如：通过邮件、网络共享，利用,IIS,、,IE,、,SQL,的漏洞进行传播等；,（,4,）爆发速度快、影响面广，如：以邮件为载体进行传播的病毒危害十,分巨大；,（,5,）来自,Internet,网页的威胁，如：网页中包含恶意有毒编码。,3,网络病毒的危害,计算机病毒的主要危害有：,（,1,）病毒激发对计算机数据信息有直接破坏作用，数据的安全性得不到,保障；,（,2,）占用磁盘空间和对信息的破坏；,（

25、,3,）抢占系统资源，降低系统运行性能；,（,4,）严重影响计算机和网络运行速度，甚至导致计算机系统和网络系统,的瘫痪；,（,5,）由于网络病毒可能存在多种变种，从而造成许多不可预见的危害；,（,6,）网络病毒造成巨大的经济损失。,4,网络病毒的类型,随着网络越来越发达，网络病毒的种类也就越来越多，迄今为止计算,机病毒已有近,9,万种，计算机病毒大体上可归纳为以下几类：,（,1,）按照病毒存在的载体分类，一般可分为,4,类：,导区病毒、文件型病毒、蠕虫病毒、混合类的病毒：,（,2,）按照病毒传染的方法分类可分为,4,类：,入侵型病毒、嵌入式病毒、加壳型病毒、病毒生产机,（,3,）按照病毒自身特

26、征分类可以分为,2,类：,伴随型病毒、变型病毒。,7.4.2,网络病毒的传播途径与网络防毒,网络病毒的传播主要有以下五种途径：邮件传播、点击网页、用户下,载、其它人植入、通过计算机漏洞植入，所以我们只要守住了这五个要道，,就能较好地防住网络病毒。,网络防毒的主要方法：,1.,建立好的安全习惯,2.,对计算机应该经常打补丁,3.,掌握一些病毒知识,4.,安装专业的防毒软件进行全面控制,5,利用可网管交换机进行控制,7.4.3,防病毒技术的发展趋势,1,防范未知病毒技术期待突破,2,反病毒体系趋向于立体化,7.5,信息加密技术,随着网络技术的发展，网络安全也就成为当今网络社会的焦点中的焦,点。由于

27、信息的传输通过的是脆弱的公共信道，信息储存于“不设防”的,计算机系统中，如何保护信息的安全使之不被窃取、篡改或破坏，也就是,信息内容的保密性问题，已成为当今被普遍关注的重大问题。,加密技术是有效而且可行的办法。在计算机网络广泛应用的影响下，,近代密码学在一些算法理论的基础上建立起来，尤其在利用网络进行文件,传输、电子邮件往来和进行合同文本的签署中得到广泛应用，为我们的网,络活动提供了安全保障，是网络安全技术中的核心技术。,7.5.1,加密技术的基本概念,7.5.2,数据加密的基本原理,7.5.3,对称密钥体制和非对称密钥体制,7.5.4,数据加密算法,7.5.5,数据传输过程中的加密方式,7.

28、5.6,基于加密技术的安全认证,7.5.7,加密技术的应用实例,7.5.1,加密技术的基本概念,密码学是以研究数据保密为目的，对存储或传输的信息采取秘密的,交换以防止第三者对信息的窃取。,密码是实现秘密通讯的主要元素（手段），是隐蔽语言、文字、图,像的特种符号。凡是用特种符号按照通讯双方约定的方法把数据（明文）,的原形隐蔽起来，不为第三者所识别的通讯方式称为密码通讯。,在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信,息传输出去，使信息在传输过程中即使被窃取或截获，窃取者也不能了,解信息的内容，从而保证信息传输的安全。,加密过程中的几个名词概念：（密码学中的几个名词）,（,1,）,明

29、文,：被变换的信息，其可以是一段有意义的文字或数据；,（,2,）,密文,：信息变换后的一串杂乱排列的数据，从字面上无任何含义；,（,3,）,加密,：从明文到密文的变换过程为加密；,（,4,）,解密,：将密文还原为明文的变换过程；,（,5,）,密钥,：对加密与解密过程进行控制的参数。,（,6,）,Ek,（,m,）,：以加密密钥,k,为参数的函数，是一个加密变换。其中，参,数,k,称之为密钥。对于明文,m,，加密算法（将明文变成密文的一种编码）,E,确定之后，由于密钥,k,不同，密文也不同。,（,7,）,Dk,（,C,）,：以解密密钥,k,为参数的函数。是一个解密变换。其中，,C,密文。,7.5.

30、2,数据加密的基本原理,在保障信息安全的多种技术中，密码技术是信息安全的核心和关键,技术。通过数据加密技术，可以在一定程度上提高数据传输的安全性，,保证传输数据的完整性。,在数据加密系统中，密钥控制加密和解密过程，一个加密系统的全部,安全性是基于密钥的，而不是基于算法，所以加密系统的密钥管理是一,个非常重要的问题。,数据加密过程就是通过加密系统把原始的数据信息（明文），按照加,密算法变换成与明文完全不同的数据信息（密文）的过程，如图所示。,数据加密过程示意图,7.5.3,对称密钥体制和非对称密钥体制,对称密钥体制是指加密密钥（,Pk,）和解密密钥（,Sk,）是相同的，也,就是说数据在加密和解密

31、过程中使用相同的密钥。对称密钥体制也可称为,单钥体制。,非对称密钥体制是指在对数据进行加密和解密过程中使用不同的密钥，,这两个密钥分别称为“公钥”和“私钥”，它们两个必需配对使用，否则,不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不,能，只能由持有人一个人知道。因此这种密钥体制有时也称为公开密钥体,制（公钥体制）或双钥体制。,对称加密的特点：,对称加密速度快，但密钥不便于管理。,非对称加密的特点：,可以适应网络开放性要求，且密钥管理问题也较为简,单，尤其可方便实现数字签名和验证。但由于其需要很复杂的数学算法，,故其加密速度较低。,7.5.4,数据加密算法,数据加密算法有很多种

32、，密码算法标准化是信息化社会发展的必然,趋势，是世界各国保密通信领域的一个重要课题。按照发展进程来看，,密码经历了古典密码算法、对称密钥密码算法和公开密钥密码算法三个,阶段。,古典密码算法,有替代加密、置换加密、凯撒密码；,对称加密算法,包括,DES,和,AES,；,公开密钥密码算法,包括,RSA,、背包密码、,McEliece,密码、,Rabin,、,椭圆曲线等。,目前在数据通信中使用最普遍的算法有,DES,算法、,RSA,算法等。,1,DES,（,Data Encryption Standard,，数据加密标准）加密算法,数据加密标准（,DES,）是美国经长时间征集和筛选后，于,1977,

33、年由,美国国家标准局颁布的一种加密算法。它主要用于民用敏感信息的加密，,后来被国际标准化组织接受作为国际标准。,DES,主要采用替换和移位的方法加密。它用,56,位密钥对,64,位二进制,数据块进行加密，每次加密可对,64,位的输入数据进行,16,轮编码，经一系,列替换和移位后，输入的,64,位原始数据转换成完全不同的,64,位输出数据。,DES,算法仅使用最大为,64,位的标准算术和逻辑运算，运算速度快，,密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也,适合于在专用芯片上实现。,DES,算法的弱点是不能提供足够的安全性，因为其密钥容量只有,56,位。由于这个原因，后来又提出了

34、三重,DES,或,3DES,系统，使用,3,个不同,的密钥对数据块进行（两次或）三次加密，该方法比进行普通加密的三,次快。其强度大约和,112,比特的密钥强度相当。,2,RSA,算法,RSA,算法以它的三位发明者的名字命名（,Ron Rivest,、,Adi Shamir,和,Leonard Adleman,）。适用于数字签名和密钥交换。,RSA,加密算法是,目前应用最广泛的公钥加密算法，特别适用于通过,Internet,传送的数据。,RSA,的理论依据为：寻找两个大素数比较简单，而将它们的乘积分,解开则异常困难。,RSA,算法既能用于数据加密，也能用于数字签名，在,RSA,算法中，,包含两个密钥，加密密钥和解密密钥，加密密钥是公开的。,RSA,算法的优点是密钥空间大（,500,位，一般推荐使用,1024,位），缺,点是加密速度慢，如果,RSA,和,DES,结合使用，则正好弥补,RSA,的缺点。,即,DES,用于明文加密，,RSA,用于,DES,密钥的加密。由于,DES,加密速度快，,适合加密较长的报文，而,RSA,可解决,DES,密钥分配的问题,。,7.5.5,数据传输过程中的加密方式,数据加密技术主要分为数据存储