网络安全通信的核心:保密和认证
任何网络安全通信都有两个核心组件:保密和认证。认证是确保对话的另一端是自己所期望的对象,而保密是在不被窃听的情况下进行交流。没有认证,保密性几乎毫无意义。
通常而言,认证通过引入可信的第三方来提供。例如,在网络上,有几个可信实体(证书颁发机构)能够颁发与网站主机名绑定的证书。这允许浏览器验证站点提供的证书是否与用户打算访问的站点匹配。
不过,当谈论通信保密性时,我们是在谈论保护信息不被泄露给未经授权的人。因为,信息是有价值的,尤其是在当今世界,比如:银行对账单,个人信息,信用卡号码,商业机密,政府文件等等,每个人都有想要保秘的信息。保护这些信息是信息安全的重要组成部分。
对通信保密的一个非常关键组成部分是加密。加密确保只有正确的人(知道密钥的人)才能读取信息。现今,信息加密非常普遍,而且几乎在每个主要协议中都能找到。一个非常突出的例子是SSL/TLS,这是一种用于internet上通信的安全协议,已与大量internet协议一起使用,以确保安全性。
确保网络安全通信保密的其他方法包括强制执行文件权限和访问控制列表,以限制对敏感信息的访问。