计算机网络安全现状及相关技术 - 电子商务安全论文

计算机网络安全现状及相关技术-电子商务安全论文计算机网络平安现状及相关技术简述 姓名：程敏

2008年4月22日

目录

1.概述3

1.1.网络的转型3

1.2.平安的重要性3

1.3.网络平安所面临的威胁4

1.4.破坏网络平安的行为4

2.网络平安体系结构4

2.1.物理平安5

2.2.网络平安5

2.3.网络系统平安6

2.3.1.访问控制及内外网的隔离6

2.3.2.网络平安检测6

2.3.3.审计与监控7

2.3.4.网络防病毒7

2.3.5.网络备份系统8

2.4.系统平安8

2.5．平安连接8

2.6．应用平安9

2.7．平安管理9

3. 相关技术简介10

3.1．防火墙10

3.2．IDS--入侵检测技术12

3.3．加密技术14

3.4．PKI技术15

1.概述

早在20世纪90年代，如果企业和政府机构希望能具有竞争力，他们就必须对市场需求作出强有力的响应。这就引发了依靠互联网来获取和共享信息的趋势。然而，随着经济状况在近年来所发生的转变，市场的焦点又返回到了根本的原那么。目前，企业和政府领导者们都认识到，对未来增长和生产效率产生最大约束的因素就是网络平安性和可用性。

生产效率为什么如此重要呢？生产效率的提高与营业收入的增长是直接相关的：如果生产效率增长率为2.5%，则营业收入每隔三十年就能翻一番。如果生产效率增长率为10%，则营业收入每隔七年就能翻一番。

1.1.网络的转型

在过去，网络大多是封闭式的，因此比拟容易确保其平安性。那时的平安性是取决于周边环境的，因为网络本身是一个静态的环境。周边环境是很容易定义的，网络智能是不需要的，而简单的平安性设备足以承当封堵平安性漏洞的任务。

然而，网络已经发生了变化，时至今日，确保网络平安性和可用性已经成为更加复杂的任务。在今天的情况下，用户每一次连接到网络之后，原有的平安状况就会发生变化。所以，很多企业频繁地成为网络犯罪的牺牲品，因为他们的业务不断增长，目前所使用的针对早期、不很复杂的网络而设计的平安设备都已经无能为力了。

目前市场中所部署的多数平安解决计划都要求客户将平安功能与联网战略别离开来，这样才能应用不能辨认网络的、不是针对与网络效劳合

作而设计的工具。这就使得此类网络极其脆弱，在现代黑客所发起的狡猾的攻击面前不堪一击。1.2.平安的重要性互联网是迄今为止全球最大的公共数据网络，它让全世界的个人和企业可以方便地互通信息。它直接影响了地球上几乎每个人的生活--而且它的规模还在日益扩大。 越来越多的通信现在都是通过电子邮件进行。越来越多的移发动工、远程办公人员和分支机构开始利用互联网从远程连接到他们的企业网络--而一些企业的很大一局部收入都来自于通过互联网达成的商业交易。

当然这些都是好消息。但是这个庞大的网络及其相关的技术也给越来越多的平安攻击敞开了大门，而企业必须设法防止受到这种攻击的威胁。

这种攻击的后果是灾难性的--示例可能会丧失非常敏感的信息或者个人数据。对企业或者个人的任何攻击都可能会产生非常严重的影响：数据丧失，隐私权受到侵犯，可能还会造成系统瘫痪。即使没有上面所说的则严重，对网络的攻击也会给企业带来某种原先可以防止的不便。

1.3.网络平安所面临的威胁

与其他任何犯罪行为一样，对您的数据的隐私权和完整性的威胁都来自于一小局部人。但是它与其他犯罪的关键区别在于：一个偷车贼一次可能只能盗窃一辆汽车，而一个网络黑客只需用一台普通的电脑，独身一人就可以导致大范围的--甚至全球范围的--严重破坏。

但是对黑客的单枪匹马的形象报导并不总是十分准确。通常对数据的最严重的威胁都来自于我们认识的人。很多网络平安专家都认为，大局部攻击都是由员工发起的。

无论是由于无意的恶作剧、蓄意攻击还是单纯的失误，经常会有员工设法破坏他们自己的公司的网络，摧毁其中的数据。随着远程办公人员的日益增多，需要爱护和监控的网络访问点的个数也会随之不断增加。

1.4.破坏网络平安的行为

网络面临的平安威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能获、抗电磁干扰及电源爱护等；媒体平安：包括媒体数据的平安及媒体本身的平安。在网络的平安方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统的平安。2.2.网络平安 平安系统是建立在网络系统之上的，网络结构的平安是平安系统成功建立的根底。在整个网络结构的平安方面，主要考虑网络结构、系统和路由的优化。

网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、规范化、可靠性、先进性和实用性，并且应该有结构化的设计，充沛利用现有资源，具有运营管理的简便性，完善的平安保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的平安控制和业务开展。

网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。

2.3.网络系统平安

2.3.1.访问控制及内外网的隔离

*访问控制

访问控制可以通过如下几个方面来实现：

1)制订严格的管理制度:可制定的相应：?用户授权实施细那么》、?口令字及帐户管理标准》、?权限管理制度》。

2)配备相应的平安设备：在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是爱护内部网平安的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络平安域之间信息的唯一出入口。

防火墙具有下列五大根本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。

*内部网不同网络平安域的隔离及访问控制

在这里，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的播送域，实现内部一个网段与另一个网段的物理隔离。这样，就能避免影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制部分网络平安问题对全局网络造成的影响。

2.3.2.网络平安检测

网络系统的平安性取决于网络系统中最单薄的环节。如何及时发现网络系统中最单薄的环节？如何最大限度地保证网络系统的平安？最有效的办法是定期对网络系统进行平安性分析，及时发现并修正存在的弱点和漏洞。

*网络平安检测工具通常是一个网络平安性评估分析软件，其功能是用实践性的办法扫描分析网络系统，检查报告系统存在的弱点和漏洞，倡议补救措施和平安策略，到达增强网络平安性的目的。

认证和趋势分析

具体体现在下列方面：

*防火墙得到合理配置

*内外WEB站点的平安漏洞减为最低

*网络体系到达强壮的耐攻击性

*各种效劳器操作系统，如E_MIAL效劳器、WEB效劳器、应用效劳器、，将受黑客攻击的可能降为最低

*对网络访问做出有效响应，爱护重要应用系统数据平安不受黑客攻击和内部人员误操作的侵害

2.3.3.审计与监控

审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高平安性的重要工具。它不仅能够辨认谁访问了系统，还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于去定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地辨认问题，并且它是后面阶段事故处理的重要依据。另外，通过对平安事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。

因此，除使用一般的网管软件和系统监控管理系统外，还应使用目前较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常

见操作进行实时检查、监控、报警和阻断，从而避免针对网络的攻击与犯罪行为。2.3.4.网络防病毒由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。在网络环境中对计算机病毒的防备是网络平安性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和杀毒三种技术：

1)预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区爱护、系统监控与读写控制。

2)检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。

3)去除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢还原文件的软件。

网络反病毒技术的具体实现办法包括①对网络效劳器中的文件进行频繁地扫描和监测；②在工作站上用防病毒芯片；③对网络目录及文件设置访问权限等。

所选的防毒软件应该能够构造全网统一的防病毒体系。主要面向MAIL、Web效劳器，以及办公网段的PC效劳器和PC机等。①支持对网络、效劳器、和工作站的实时病毒监控；能够在中心控制台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治情况；②支持多种平台的病毒防备；能够辨认广泛的已知和未知病毒，包括宏病毒；支持对Internet/Intranet效劳器的病毒防治，能够阻止歹意的Java或ActiveX小程序的破坏；③支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持对压缩文件的病毒检测；④支持广泛的病毒处理选项，如对染毒文件进行实时杀毒、移出。重新命名等；⑤支持病毒隔离，当客户机试图上载一个染毒文件时，效劳器可自动关闭对该工作站的连接；提供对病毒特征信息和检测引擎的定期在线更新效劳；⑥支持日志记录功能；支持多种方式的告警功能等。

2.3.5.网络备份系统

备份系统的一个指导思想就是当计算机系统出现故障而崩溃时能够尽可能快速地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：①场点内高速度、大容量自动的数据存储、备份与恢复；②场点外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到爱护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到爱护作用，同时亦是系统灾难恢复的前提之一。

在确定备份的指导思想和备份计划之后，就要选择平安的存储媒介和技术进行数据备份，主要有"冷备份"和"热备份"两种。热备份是指"在线"的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中寄存。"冷备份"是指"不在线"的备份，下载的备份寄存到平安的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一局部原始的数据长期保留并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运行空间，专门寄存备份数据，即分区备份；另一种办法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比拟昂贵。冷备份弥补了热备份的一些缺乏，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。

2.4.系统平安

系统的平安主要是指操作系统、应用系统的平安性以及网络硬件平台的可靠性。对于操作系统的平安防备可以采取如下策略：

1)对操作系统进行平安配置，提高系统的平安性；系统内部调用不对Internet公开；关键性信息不直接公开，尽可能采用平安性高的操作系统。

2)应用系统在开发时，采用标准化的开发过程，尽可能的减少应用系统的漏洞；

3)网络上的效劳器和网络设备尽可能不采取同一家的产品；

4)通过专业的平安工具定期对网络进行平安评估。&nbs

p;2.5．平安连接虚拟专用网是公共网络上的专用连接。它们让用户可以在远离物理网络的地方，以与在企业内部工作时相同的平安等级与企业网络进行通信。如果我们继续用建筑物来比喻网络，则就是一种装甲汽车，它可以沿着公共高速公路将机密信息从外界送到我们所在的建筑物。

所有软件和硬件都采用了加密技术，这确保了所传输的消息不会被除了接收者以外的任何人读取。它利用先进的数据算法来"扰乱"消息及其附件。

2.6．应用平安

在应用平安上，主要考虑通信的授权，传输的加密和审计记录。这必须加强登录过程的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。另外，在加强主机的管理上，除了上面谈的访问控制和系统漏洞检测外，还可以采用访问存取控制，对权限进行分割和管理。应用平安平台要加强资源目录管理和授权管理、传输加密、审计记录和平安管理。对应用平安，主要考虑确定不同效劳的应用软件并紧密注视其Bug；对扫描软件不断升级。

2.7．平安管理

为了爱护网络的平安性，除了在网络设计上增加平安效劳功能，完善系统的平安保密措施外，平安管理标准也是网络平安所必须的。平安管理策略一方面从纯正的管理上即平安管理标准来实现，另一方面从技术上建立高效的管理平台。平安管理策略主要有：①定义完善的平安管理模型；②建立长远的并且可实施的平安策略；彻底贯彻标准的平安防备措施；③建立恰当的平安评估尺度，并且进行经常性的规那么审核。当然，还需要建立高效的管理平台。

3.相关技术简介

3.1．防火墙

网络防火墙技术是一种用来加强网络之间访问控制，避免外部网络用户以非法伎俩通过外部网络进入内部网络，访问内部网络资源，爱护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的平安策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。《

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理效劳器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

虽然防火墙是目前爱护网络免遭黑客袭击的有效伎俩，但也有明显缺乏：无法防备通过防火墙以外的其它途径的攻击，不能避免来自内部变节者和不经心的用户们带来的威胁，也不能完全避免传送已感染病毒的软件或文件，以及无法防备数据驱动型的攻击。

根据防火墙所采用的技术不同,我们可以将它分为四种根本类型:包过滤型、网络地址转换-NAT、代理型和监测型。

包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的平安站点，一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规那么。

包过滤技术的优点是简单实用,实现本钱较低,在应用环境比拟简单的情况下,能够以较小的代价在一定程度上保证系统的平安。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的平安技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法辨认基于应用层的歹意侵入,如歹意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

网络地址转化-NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址规范。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的I

P地址。NAT的工作过程如下图：在内部网络通过平安网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非平安网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非平安网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规那么来判断这个访问是否平安。当合乎规那么时，防火墙认为访问是平安的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不合乎规那么时，防火墙认为该访问是不平安的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

代理型

代理型防火墙也可以被称为代理效劳器,它的平安性要高于包过滤型产品,并已经开始向应用层开展。代理效劳器位于客户机与效劳器之间,完全阻挡了二者间的数据交流。从客户机来看,代理效劳器相当于一台真正的效劳器;而从效劳器来看,代理效劳器又是一台真正的客户机。当客户机需要使用效劳器上的数据时,首先将数据请求发给代理效劳器,代理效劳器再根据这一请求向效劳器索取数据,然后再由代理效劳器将数据传输给客户机。由于外部系统与内部效劳器之间没有直接的数据通道,外部的歹意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是平安性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理效劳器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的根底上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用效劳器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的歹意破坏也有极强的防备作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在平安性上也超越了前两代产品。

3.2．IDS--入侵检测技术

入侵检测技术是为保证计算机系统的平安而设计与配置的一种能够及时发现并报告系统中未授权行为或异常现象的技术，是一种用于检测计算机网络中违反平安策略行为的技术。入侵检测系统能够辨认出任何不希望有的活动，这种活动可能来自于网络外部和内部。入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统避免入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防备系统的知识，添参加知识库内，以增强系统的防备能力。

典型的IDS系统模型包括三个功能部件：

1．提供事件记录流的信息源

2．发现入侵迹象的分析引擎

3．基于分析引擎的分析结果产生反映的响应部件

目前的IDS作为只能是网络平安整体解决计划的一个重要局部，需要与其他平安设备之间进行紧密的联系，共同解决网络平安问题。也许未来的IDS需要一种新的系统体系来克服自身的缺乏，但目前只能同过将IDS的各个功能模块与其他平安产品有机地融合起来，才能共同解决网络的平安问题，这就对引入协同提出了要求。

数据采集协同

入侵检测需要采集动态数据和静态数据。基于网络的IDS，仅在网络层通过原始的IP包进行检测，已不能满足日益增长的平安需求。基于主机的IDS，通过直接查看用户行为和操作系统日志数据来寻找入侵，却很难发现来自底层的网络攻击。

>目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来，即使是综合基于网络和基于主机的IDS也不例外，没有在这两类原始数据的相关性上作考虑。此外，在网络数据包的采集上，IDS一直是通过嗅探这种被动方式来获取数据，一旦某个数据包丢了就无法挽回。而且，将来的网络是全交换的网络，网络速度越来越快，许多重要的网络还是加密的。在这种情况下，对网络数据包这种动态数据的采集就显得更加困难了。因此，在数据采集上进行协同并充沛利用各层次的数据，是提高入侵检测能力的首要条件。

数据分析协同

入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据，以发现一些简单的入侵行为，还需要在此根底上利用数据挖掘技术，分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。

传统数据挖掘技术的检测模型是离线产生的，就像完整性检测技术一样，这是因为传统数据挖掘技术的学习算法必须要处理大量的审计数据，十分耗时。但是，有效的IDS必须是实时的。而且，基于数据挖掘的IDS仅仅在检测率方面高于传统办法的检测率是不够的，只有误报率也在一个可接受的范围内时，才是可用的。

响应协同

前面已经论述，由于IDS在网络中的位置决定了其本身的响应能力相当有限，响应协同就是IDS与有充沛响应能力的网络设备或网络平安设备集成在一起，构成响应和预警互补的综合平安系统。响应协同主要包含下面的几个方面。

1．IDS与防火墙的协同：

防火墙与IDS可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是IDS可以通过了解防火墙的策略，对网络上的平安事件进行更有效的分析，从而实现准确的报警，减少误报；动态的方面是当IDS发现攻击行为时，可以通知防火墙对已经建立的连接进行有效的阻断，同时通知防火墙修改策略，避免潜在的进一步攻击的可能性。

2．IDS与路由器、交换机的协同

 由于交换机和路由器防火墙一样，一般串接在网络上。同时都有预定的策略，可以决定网络上的数据流，所以IDS与交换机、路由器的协同与IDS同防火墙的协同非常相似，都有动态和静态两个方面，过程也大致相同，这里不作详细的论述。

3．IDS与防病毒系统的协同

IDS与防病毒系统的协同在数据采集协同中已经进行过论述，但实际上对防病毒系统来讲，查和杀是不可或缺的两个方面，在查的层面有数据采集协同，在杀的层面有响应协同。如果说IDS还可以通过发送大量RST报文阻断已经建立的连接，某种程度上代替防火墙的响应机制的话，在避免计算机遭受病毒袭击的方面简直是无能为力，目前由于网络病毒攻击占所有攻击的比例不断增加，IDS与防病毒系统的协同也变得越来越重要。

4．IDS与蜜罐和填充单元系统协同

有一些工具可以作为IDS的补充，由于它们的功能相似，销售商常把它们也表示为IDS。但实际上这些工具的功能是相当独立的，所以这里不把它们当作IDS的组成局部讨论。而是通过对其功能进行简单介绍，同时介绍这些工具如何与IDS协同，共同增强一个组织的入侵检测能力。

蜜罐：是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充斥了看起来很有用的信息，但是这些信息实际上是捏造的，老实的用户是访问不到它们的。因此，当检测到对"蜜罐"的访问时，很可能就有攻击者闯入。"蜜罐"上的监控器和事件日志器检测这些未经授权的访问并收集攻击者活动的相关信息。"蜜罐"的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。

利用"蜜罐"的这种能力，一方面可以为IDS提供附加数据，另一方面，当IDS发现有攻击者时，可以把攻击者引入"蜜罐"，避免攻击者造成危害，并收集攻击者的信息。

&nb

sp;"填充单元"采取另一种不同的办法。"填充单元"不试图用引诱性的数据吸引攻击者，它等待传统的IDS来检测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情，但是攻击者会处于一个模拟环境中而不会造成任何伤害。与"蜜罐"相似，这种模拟环境会充斥使人感兴趣的数据，从而会使攻击者相信攻击正按方案进行。"填充单元"为监测攻击者的行为提供了独特的时机。

3.3．加密技术

信息交换加密技术分为两类：即对称加密和非对称加密。

对称加密技术

在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种