加密算分

『壹』 加密技術分為兩類即什麼和什麼

對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。

加密技術是電子商務採取的主要安全保密措施，是最常用的安全保密手段，利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。加密技術的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，深受廣大用戶的喜愛。

對稱加密以數據加密標准（DES，Data Encryption Standard）演算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Adleman）演算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

『貳』 加密演算法的分類

加密技術通常分為兩大類：「對稱式」和「非對稱式」。 非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為「公鑰」和「私鑰」，它們兩個必需配對使用，否則不能打開加密文件。這里的「公鑰」是指可以對外公布的，「私鑰」則不能，只能由持有人一個人知道。它的優越性就在這里，因為對稱式的加密方法如果是在網路上傳輸加密文件就很難不把密鑰告訴對方，不管用什麼方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰，且其中的「公鑰」是可以公開的，也就不怕別人知道，收件人解密時只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性問題。

『叄』 密碼體制中，加密演算法一般分為哪幾種

古典加密演算法分為替代演算法和置換移位法。

1、替代演算法

替代演算法用明文的字母由其他字母或數字或符號所代替。最著名的替代演算法是愷撒密碼。凱撒密碼的原理很簡單，其實就是單字母替換。

例子：

明文：abcdefghijklmnopq

密文：defghijklmnopqrst

2、置換移位法

使用置換移位法的最著名的一種密碼稱為維吉尼亞密碼。它以置換移位為基礎的周期替換密碼。

在維吉尼亞密碼中，加密密鑰是一個可被任意指定的字元串。加密密鑰字元依次逐個作用於明文信息字元。明文信息長度往往會大於密鑰字元串長度，而明文的每一個字元都需要有一個對應的密鑰字元，因此密鑰就需要不斷循環，直至明文每一個字元都對應一個密鑰字元。

其他常見的加密演算法

1、DES演算法是密碼體制中的對稱密碼體制，把64位的明文輸入塊變為64位的密文輸出塊，它所使用的密鑰也是64位。

2、3DES是基於DES的對稱演算法，對一塊數據用三個不同的密鑰進行三次加密，強度更高。

3、RC2和RC4是對稱演算法，用變長密鑰對大量數據進行加密，比DES快。

4、IDEA演算法是在DES演算法的基礎上發展出來的，是作為迭代的分組密碼實現的，使用128位的密鑰和8個循環。

5、RSA是由RSA公司發明，是一個支持變長密鑰的公共密鑰演算法，需要加密的文件塊的長度也是可變的，非對稱演算法。

6、DSA，即數字簽名演算法，是一種標準的 DSS（數字簽名標准），嚴格來說不算加密演算法。

7、AES是高級加密標准對稱演算法，是下一代的加密演算法標准，速度快，安全級別高，在21世紀AES 標準的一個實現是 Rijndael演算法。

『肆』 數據加密技術及其相關演算法

數據加密技術 所謂數據加密（Data Encryption）技術是指將一個信息（或稱明文，plain text）經過加密鑰匙（Encryption key）及加密函數轉換，變成無意義的密文（cipher text），而接收方則將此密文經過解密函數、解密鑰匙（Decryption key）還原成明文。加密技術是網路安全技術的基石。
數據加密技術要求只有在指定的用戶或網路下，才能解除密碼而獲得原來的數據，這就需要給數據發送方和接受方以一些特殊的信息用於加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。
專用密鑰，又稱為對稱密鑰或單密鑰，加密和解密時使用同一個密鑰，即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式，通信雙方必須交換彼此密鑰，當需給對方發信息時，用自己的加密密鑰進行加密，而在接收方收到數據後，用對方所給的密鑰進行解密。當一個文本要加密傳送時，該文本用密鑰加密構成密文，密文在信道上傳送，收到密文後用同一個密鑰將密文解出來，形成普通文體供閱讀。在對稱密鑰中，密鑰的管理極為重要，一旦密鑰丟失，密文將無密可保。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜，而且密鑰本身的安全就是一個問題。
對稱密鑰是最古老的，一般說「密電碼」採用的就是對稱密鑰。由於對稱密鑰運算量小、速度快、安全強度高，因而目前仍廣泛被採用。
DES是一種數據分組的加密演算法，它將數據分成長度為64位的數據塊，其中8位用作奇偶校驗，剩餘的56位作為密碼的長度。第一步將原文進行置換，得到64位的雜亂無章的數據組；第二步將其分成均等兩段；第三步用加密函數進行變換，並在給定的密鑰參數條件下，進行多次迭代而得到加密密文。
公開密鑰，又稱非對稱密鑰，加密和解密時使用不同的密鑰，即不同的演算法，雖然兩者之間存在一定的關系，但不可能輕易地從一個推導出另一個。有一把公用的加密密鑰，有多把解密密鑰，如RSA演算法。
非對稱密鑰由於兩個密鑰（加密密鑰和解密密鑰）各不相同，因而可以將一個密鑰公開，而將另一個密鑰保密，同樣可以起到加密的作用。
在這種編碼過程中，一個密碼用來加密消息，而另一個密碼用來解密消息。在兩個密鑰中有一種關系，通常是數學關系。公鑰和私鑰都是一組十分長的、數字上相關的素數（是另一個大數字的因數）。有一個密鑰不足以翻譯出消息，因為用一個密鑰加密的消息只能用另一個密鑰才能解密。每個用戶可以得到唯一的一對密鑰，一個是公開的，另一個是保密的。公共密鑰保存在公共區域，可在用戶中傳遞，甚至可印在報紙上面。而私鑰必須存放在安全保密的地方。任何人都可以有你的公鑰，但是只有你一個人能有你的私鑰。它的工作過程是：「你要我聽你的嗎？除非你用我的公鑰加密該消息，我就可以聽你的，因為我知道沒有別人在偷聽。只有我的私鑰（其他人沒有）才能解密該消息，所以我知道沒有人能讀到這個消息。我不必擔心大家都有我的公鑰，因為它不能用來解密該消息。」
公開密鑰的加密機制雖提供了良好的保密性，但難以鑒別發送者，即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等問題。
數字簽名一般採用非對稱加密技術（如RSA），通過對整個明文進行某種變換，得到一個值，作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算，如其結果為明文，則簽名有效，證明對方的身份是真實的。當然，簽名也可以採用多種方式，例如，將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。
數字簽名不同於手寫簽字：數字簽名隨文本的變化而變化，手寫簽字反映某個人個性特徵，是不變的；數字簽名與文本信息是不可分割的，而手寫簽字是附加在文本之後的，與文本信息是分離的。
值得注意的是，能否切實有效地發揮加密機制的作用，關鍵的問題在於密鑰的管理，包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。

『伍』 加密演算法若按照密鑰的類型劃分可以分為____________兩種.

應該選A吧
數據加密技術可分為三類：對稱加密，非對稱加密和不可逆加密
對稱加密用的是一個共享密鑰。
非對稱加密需要兩密鑰：分開密鑰和私有密鑰。這兩個密鑰是一對如果用公開密鑰加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。

『陸』 常用的數字簽名、鑒別、加密演算法分別有哪些這幾種機制分別保障了信息的哪種安全屬性

常見的數字簽名有RSA,DSA,ECDSA
加密演算法一般分為對稱加密和非對稱加密，消息摘要演算法。
對稱加密中，DSE最為典型，還要ASE,IDEA,PBE等，一般用於數據加密
非對稱加密中，當然是RSA最為基礎，還有ECC,ElGamal等，一般用於密鑰加密，安全性高，
但若數據加密效率相對對稱加密，就比較低了。
消息摘要有MD,SHA,MAC等，用於數據完整性驗證。

『柒』 目前常用的加密解密演算法有哪些

加密演算法

加密技術是對信息進行編碼和解碼的技術，編碼是把原來可讀信息（又稱明文）譯成代碼形式（又稱密文），其逆過程就是解碼（解密）。加密技術的要點是加密演算法，加密演算法可以分為對稱加密、不對稱加密和不可逆加密三類演算法。

對稱加密演算法 對稱加密演算法是應用較早的加密演算法，技術成熟。在對稱加密演算法中，數據發信方將明文（原始數據）和加密密鑰一起經過特殊加密演算法處理後，使其變成復雜的加密密文發送出去。收信方收到密文後，若想解讀原文，則需要使用加密用過的密鑰及相同演算法的逆演算法對密文進行解密，才能使其恢復成可讀明文。在對稱加密演算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密，這就要求解密方事先必須知道加密密鑰。對稱加密演算法的特點是演算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密演算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發收信雙方所擁有的鑰匙數量成幾何級數增長，密鑰管理成為用戶的負擔。對稱加密演算法在分布式網路系統上使用較為困難，主要是因為密鑰管理困難，使用成本較高。在計算機專網系統中廣泛使用的對稱加密演算法有DES和IDEA等。美國國家標准局倡導的AES即將作為新標准取代DES。

不對稱加密演算法不對稱加密演算法使用兩把完全不同但又是完全匹配的一對鑰匙—公鑰和私鑰。在使用不對稱加密演算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。加密明文時採用公鑰加密，解密密文時使用私鑰才能完成，而且發信方（加密者）知道收信方的公鑰，只有收信方（解密者）才是唯一知道自己私鑰的人。不對稱加密演算法的基本原理是，如果發信方想發送只有收信方才能解讀的加密信息，發信方必須首先知道收信方的公鑰，然後利用收信方的公鑰來加密原文；收信方收到加密密文後，使用自己的私鑰才能解密密文。顯然，採用不對稱加密演算法，收發信雙方在通信之前，收信方必須將自己早已隨機生成的公鑰送給發信方，而自己保留私鑰。由於不對稱演算法擁有兩個密鑰，因而特別適用於分布式系統中的數據加密。廣泛應用的不對稱加密演算法有RSA演算法和美國國家標准局提出的DSA。以不對稱加密演算法為基礎的加密技術應用非常廣泛。

不可逆加密演算法 不可逆加密演算法的特徵是加密過程中不需要使用密鑰，輸入明文後由系統直接經過加密演算法處理成密文，這種加密後的數據是無法被解密的，只有重新輸入明文，並再次經過同樣不可逆的加密演算法處理，得到相同的加密密文並被系統重新識別後，才能真正解密。顯然，在這類加密過程中，加密是自己，解密還得是自己，而所謂解密，實際上就是重新加一次密，所應用的「密碼」也就是輸入的明文。不可逆加密演算法不存在密鑰保管和分發問題，非常適合在分布式網路系統上使用，但因加密計算復雜，工作量相當繁重，通常只在數據量有限的情形下使用，如廣泛應用在計算機系統中的口令加密，利用的就是不可逆加密演算法。近年來，隨著計算機系統性能的不斷提高，不可逆加密的應用領域正在逐漸增大。在計算機網路中應用較多不可逆加密演算法的有RSA公司發明的MD5演算法和由美國國家標准局建議的不可逆加密標准SHS(Secure Hash Standard:安全雜亂信息標准)等。

加密技術

加密演算法是加密技術的基礎，任何一種成熟的加密技術都是建立多種加密演算法組合，或者加密演算法和其他應用軟體有機結合的基礎之上的。下面我們介紹幾種在計算機網路應用領域廣泛應用的加密技術。

非否認（Non-repudiation）技術 該技術的核心是不對稱加密演算法的公鑰技術，通過產生一個與用戶認證數據有關的數字簽名來完成。當用戶執行某一交易時，這種簽名能夠保證用戶今後無法否認該交易發生的事實。由於非否認技術的操作過程簡單，而且直接包含在用戶的某類正常的電子交易中，因而成為當前用戶進行電子商務、取得商務信任的重要保證。

PGP（Pretty Good Privacy）技術 PGP技術是一個基於不對稱加密演算法RSA公鑰體系的郵件加密技術，也是一種操作簡單、使用方便、普及程度較高的加密軟體。PGP技術不但可以對電子郵件加密，防止非授權者閱讀信件；還能對電子郵件附加數字簽名，使收信人能明確了解發信人的真實身份；也可以在不需要通過任何保密渠道傳遞密鑰的情況下，使人們安全地進行保密通信。PGP技術創造性地把RSA不對稱加密演算法的方便性和傳統加密體系結合起來，在數字簽名和密鑰認證管理機制方面採用了無縫結合的巧妙設計，使其幾乎成為最為流行的公鑰加密軟體包。

數字簽名（Digital Signature）技術 數字簽名技術是不對稱加密演算法的典型應用。數字簽名的應用過程是，數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變數進行加密處理，完成對數據的合法「簽名」，數據接收方則利用對方的公鑰來解讀收到的「數字簽名」，並將解讀結果用於對數據完整性的檢驗，以確認簽名的合法性。數字簽名技術是在網路系統虛擬環境中確認身份的重要技術，完全可以代替現實過程中的「親筆簽字」，在技術和法律上有保證。在公鑰與私鑰管理方面，數字簽名應用與加密郵件PGP技術正好相反。在數字簽名應用中，發送者的公鑰可以很方便地得到，但他的私鑰則需要嚴格保密。

PKI（Public Key Infrastructure）技術 PKI技術是一種以不對稱加密技術為核心、可以為網路提供安全服務的公鑰基礎設施。PKI技術最初主要應用在Internet環境中，為復雜的互聯網系統提供統一的身份認證、數據加密和完整性保障機制。由於PKI技術在網路安全領域所表現出的巨大優勢，因而受到銀行、證券、政府等核心應用系統的青睞。PKI技術既是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由於通過網路進行的電子商務、電子政務等活動缺少物理接觸，因而使得利用電子方式驗證信任關系變得至關重要，PKI技術恰好能夠有效解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系還必須充分考慮互操作性和可擴展性。PKI體系所包含的認證中心（CA）、注冊中心（RA）、策略管理、密鑰與證書管理、密鑰備份與恢復、撤銷系統等功能模塊應該有機地結合在一起。

加密的未來趨勢

盡管雙鑰密碼體制比單鑰密碼體制更為可靠，但由於計算過於復雜，雙鑰密碼體制在進行大信息量通信時，加密速率僅為單鑰體制的1/100，甚至是 1/1000。正是由於不同體制的加密演算法各有所長，所以在今後相當長的一段時期內，各類加密體制將會共同發展。而在由IBM等公司於1996年聯合推出的用於電子商務的協議標准SET（Secure Electronic Transaction）中和1992年由多國聯合開發的PGP技術中，均採用了包含單鑰密碼、雙鑰密碼、單向雜湊演算法和隨機數生成演算法在內的混合密碼系統的動向來看，這似乎從一個側面展示了今後密碼技術應用的未來。

在單鑰密碼領域，一次一密被認為是最為可靠的機制，但是由於流密碼體制中的密鑰流生成器在演算法上未能突破有限循環，故一直未被廣泛應用。如果找到一個在演算法上接近無限循環的密鑰流生成器，該體制將會有一個質的飛躍。近年來，混沌學理論的研究給在這一方向產生突破帶來了曙光。此外，充滿生氣的量子密碼被認為是一個潛在的發展方向，因為它是基於光學和量子力學理論的。該理論對於在光纖通信中加強信息安全、對付擁有量子計算能力的破譯無疑是一種理想的解決方法。

由於電子商務等民用系統的應用需求，認證加密演算法也將有較大發展。此外，在傳統密碼體制中，還將會產生類似於IDEA這樣的新成員，新成員的一個主要特徵就是在演算法上有創新和突破，而不僅僅是對傳統演算法進行修正或改進。密碼學是一個正在不斷發展的年輕學科，任何未被認識的加/解密機制都有可能在其中佔有一席之地。

目前，對信息系統或電子郵件的安全問題，還沒有一個非常有效的解決方案，其主要原因是由於互聯網固有的異構性，沒有一個單一的信任機構可以滿足互聯網全程異構性的所有需要，也沒有一個單一的協議能夠適用於互聯網全程異構性的所有情況。解決的辦法只有依靠軟體代理了，即採用軟體代理來自動管理用戶所持有的證書（即用戶所屬的信任結構）以及用戶所有的行為。每當用戶要發送一則消息或一封電子郵件時，代理就會自動與對方的代理協商，找出一個共同信任的機構或一個通用協議來進行通信。在互聯網環境中，下一代的安全信息系統會自動為用戶發送加密郵件，同樣當用戶要向某人發送電子郵件時，用戶的本地代理首先將與對方的代理交互，協商一個適合雙方的認證機構。當然，電子郵件也需要不同的技術支持，因為電子郵件不是端到端的通信，而是通過多個中間機構把電子郵件分程傳遞到各自的通信機器上，最後到達目的地。

『捌』 密碼加密的演算法有哪些

主要分為 對稱加密演算法 和 非對稱加密演算法兩類

對稱加密演算法:使用單個密鑰對數據進行加密或解密,其特點是計算量小,加密效率高.
代表 DES 演算法

非對稱加密演算法:此演算法均有兩個密鑰(公用密鑰和私有密鑰),只有二者搭配使用才能完成加密和解密的全過程.
代表 DSA演算法, 數字簽名演算法(DSA) , MD5演算法 , 安全散列演算法(SHA)

『玖』 網路加密

信息安全包括 系統安全 和 數據安全 。
系統安全一般採用防火牆、病毒查殺等被動措施；數據安全主要採用現代密碼技術對數據進行主動保護，如數據保密、數據完整性、數據不可否認與抵賴、雙向身份認證等。
密碼技術是保證信息安全的核心技術。
名詞解釋
明文（plaintext）：未被加密的消息；
密文（ciphertext）：被加密的消息；
密碼演算法：也叫密碼（cipher），適用於加密和解密的數學函數。通常有兩個相關函數：一個用於加密，一個用於解密。
加密系統：由演算法以及所有可能的明文，密文和密鑰組成。
加密（encrypt）：通過密碼演算法對數據進行轉化，使之成為沒有正確密鑰的人都無法讀懂的報文。
解密（decrypt）：加密的相反過程。
密鑰（key）：參與加密與解密演算法的關鍵數據。

一個加密網路不但可以防止非授權用戶的搭線竊聽和入網，保護網內數據、文件、口令和控制信息，也是對付惡意軟體的有效方法之一。

鏈路加密保護網路節點之間的鏈路信息安全，節點加密對源節點到目的節點之間的傳輸鏈路提供加密保護，端點加密是對源端點到目的端點的數據提供加密保護。
鏈路加密 又稱為在線加密，在數據鏈路層對數據進行加密，用於信道或鏈路中可能被截獲的那一部分數據進行保護。鏈路加密把報文中每一比特都加密，還對路由信息、校驗和控制信息加密。所以報文傳輸到某節點時，必須先解密，然後再路徑選擇，差錯控制，最後再次加密，發送到下一節點。
鏈路加密的優點 ：實現簡單，在兩個節點線路上安裝一對密碼設備，安裝在數據機之間；用戶透明性。
鏈路加密的缺點 ：1.全部報文以明文形式通過各節點；2.每條鏈路都需要一對設備，成本高。
節點加密 除具有鏈路加密的優勢外，還不允許報文在節點內以明文存在，先把收到的報文進行解密，然後採用另一個密鑰進行加密，克服了節點處易受非法存取的缺點。
優點是比鏈路加密成本低，且更安全。缺點是節點加密要求報頭和路由信息以明文傳輸，以便中間節點能得到如何處理消息的信息，對防止攻擊者分析通信業務仍是脆弱的。
端對端加密 又稱脫線加密或包加密、面向協議加密運行數據從源點到終點的傳輸過程中始終以密文形式存在，報文在到達終點前不進行解密。
端對端加密在傳輸層或更高層中實現。若在傳輸層加密，則不必為每個用戶提供單獨的安全保護機制；若在應用層加密，則用戶可根據自己特定要求選用不同加密策略。鏈路是對整個鏈路通信採取加密，端對端則是對整個網路系統採取保護措施。
優點：成本低，可靠性高，易設計、易實現、易維護。

目前已公開發表的各種加密演算法有200多種。
根據對明文的加密方式不同進行分類，加密演算法分為分組加密演算法和序列加密演算法。
如果經過加密所得到的密文僅與給定的密碼演算法和密鑰有關，與被處理的明文數據段在整個明文中所處的位置無關，就稱為分組加密演算法。
如果密文不僅與最初給定的密碼演算法和密鑰有關，同時也是被處理的數據段在明文中所處的位置的函數，就成為序列加密演算法。
按照收發雙方的密鑰是否相同分為對稱加密演算法（私鑰加密演算法）和非對稱加密演算法（公鑰加密演算法）。

一個加密系統的加密和解密密鑰相同，或者雖不同，但是由其中一個可以容易的推導出另一個，則該系統採用的是對稱加密演算法。

1976年美國Diffe和Hallman提出非對稱加密演算法。
主要特點是對數據進行加密和解密時使用不同的密鑰。每個用戶都保存一對密鑰，每個人的公開密鑰都對外開放。加入某用戶與另一用戶通信，可用公開密鑰對數據進行加密，而收信者則用自己的私有密鑰進行解密，加密解密分別使用不同的密鑰實現，且不可能由加密密鑰推導出解密密鑰。
著名的非對稱加密演算法有RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-FiatShamir、零知識證明的演算法、橢圓曲線、EIGamal密碼演算法等。最有影響力的是RSA，能抵抗目前為止已知的所有密碼攻擊。

『拾』 什麼叫網路加密演算法其分為哪幾類分別舉例。

很負責告訴你，拷貝過來的，關鍵看你能不能看明白了

由於網路所帶來的諸多不安全因素使得網路使用者不得不採取相應的網路安全對策。為了堵塞安全漏洞和提供安全的通信服務，必須運用一定的技術來對網路進行安全建設，這已為廣大網路開發商和網路用戶所共識。

現今主要的網路安全技術有以下幾種：

一、加密路由器(Encrypting Router)技術

加密路由器把通過路由器的內容進行加密和壓縮,然後讓它們通過不安全的網路進行傳輸,並在目的端進行解壓和解密。

二、安全內核(Secured Kernel)技術

人們開始在操作系統的層次上考慮安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。如S olaris操作系統把靜態的口令放在一個隱含文件中, 使系統的安全性增強。

三、網路地址轉換器(Network Address Translater)

網路地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,初衷是為了解決IP 地址不足,現多用於網路安全。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網路看不到內部網路, 從而隱藏內部網路，達到保密作用。

數據加密(Data Encryption)技術

所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數、解密鑰匙(Decryti on key)還原成明文。加密技術是網路安全技術的基石。

數據加密技術要求只有在指定的用戶或網路下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用於加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。

專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據後,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。

DES是一種數據分組的加密演算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,並在給定的密鑰參數條件下,進行多次迭代而得到加密密文。

公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的演算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA演算法。

在計算機網路中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)。通信加密又有節點加密、鏈路加密和端--端加密3種。

①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。

②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。

③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體泄漏也很有效。

在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。

值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。

(1)數字簽名

公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。

數字簽名一般採用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。

數字簽名不同於手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之後的,與文本信息是分離的。

(2)Kerberos系統

Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法。

它的安全機制在於首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。

Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:

①安全性高,Kerberos系統對用戶的口令進行加密後作為用戶的私鑰,從而避免了用戶的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令信息;

②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對於合法用戶來說是透明的;

③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全。

Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,並且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配伺服器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示。

Kerberos有其優點，同時也有其缺點，主要如下：

①、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。

②、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。

③、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴於AS和TGS的性能和安全。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。

④、隨用戶數增加,密鑰管理較復雜。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰

（ 3 ）、PGP演算法

PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的。公開密鑰和分組密鑰在同一個系統中,公開密鑰採用RSA加密演算法,實施對密鑰的管理;分組密鑰採用了IDEA演算法,實施對信息的加密。

PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平台上運行。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等。

(4)、PEM演算法

保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基於RSA和DES演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:

對所有報文都提供諸如:驗證、完整性、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等。

PEM對報文的處理經過如下過程:

第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;

第二步,MIC(Message Integrity Code)計算;

第三步,把處理過的報文轉化為適於SMTP系統傳輸的格式。

身份驗證技術

身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節。

Web網上採用的安全技術

在Web網上實現網路安全一般有SHTTP/HTTP和SSL兩種方式。

（一）、SHTTP/HTTP

SHTTP/HTTP可以採用多種方式對信息進行封裝。封裝的內容包括加密、簽名和基於MAC 的認證。並且一個消息可以被反復封裝加密。此外,SHTTP還定義了包頭信息來進行密鑰傳輸、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境。

SHTTP並不依賴於特定的密鑰證明系統,它目前支持RSA、帶內和帶外以及Kerberos密鑰交換。

（二）、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標准。SSL廣泛應用於Intranet和Internet 網,其產品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器,以及諸如Apa che-SSL等產品。

SSL提供三種基本的安全服務,它們都使用公開密鑰技術。

①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL伺服器之間的所有業務使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯。 ②信息完整性,確保SSL業務全部達到目的。如果Internet成為可行的電子商業平台,應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,並在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一台支持SSL的典型網路主機接受SSL連接的默認埠是443而不是80。

當客戶機連接該埠時,首先初始化握手協議,以建立一個SSL對話時段。握手結束後,將對通信加密,並檢查信息完整性,直到這個對話時段結束為止。每個SSL對話時段只發生一次握手。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低。一次SSL握手將發生以下事件:

1.客戶機和伺服器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。

2.客戶機隨機地產生一組密鑰,它們用於信息加密和MAC計算。這些密鑰要先通過伺服器的公開密鑰加密再送往伺服器。總共有四個密鑰分別用於伺服器到客戶機以及客戶機到伺服器的通信。

3.信息加密演算法(用於加密)和hash函數(用於確保信息完整性)是綜合在一起使用的。Netscape的SSL實現方案是:客戶機提供自己支持的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。

代理服務

在 Internet 中廣泛採用代理服務工作方式, 如域名系統(DNS), 同時也有許多人把代理服務看成是一種安全性能。

從技術上來講代理服務(Proxy Service)是一種網關功能,但它的邏輯位置是在OSI 7層協議的應用層之上。

代理(Proxy)使用一個客戶程序,與特定的中間結點鏈接,然後中間結點與期望的伺服器進行實際鏈接。與應用網關型防火牆所不同的是,使用這類防火牆時外部網路與內部網路之間不存在直接連接,因此 ,即使防火牆產生了問題,外部網路也無法與被保護的網路連接。

防火牆技術

(1)防火牆的概念

在計算機領域,把一種能使一個網路及其資源不受網路"牆"外"火災"影響的設備稱為"防火牆"。用更專業一點的話來講,防火牆(FireW all)就是一個或一組網路設備(計算機系統或路由器等),用來在兩個或多個網路間加強訪問控制,其目的是保護一個網路不受來自另一個網路的攻擊。可以這樣理解,相當於在網路周圍挖了一條護城河,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查。

防火牆的組成可以這樣表示:防火牆=過濾器+安全策略(+網關)。

(2)防火牆的實現方式

①在邊界路由器上實現;
②在一台雙埠主機(al-homed host)上實現;
③在公共子網(該子網的作用相當於一台雙埠主機)上實現,在此子網上可建立含有停火區結構的防火牆。

(3)防火牆的網路結構

網路的拓撲結構和防火牆的合理配置與防火牆系統的性能密切相關,防火牆一般採用如下幾種結構。
①最簡單的防火牆結構
這種網路結構能夠達到使受保護的網路只能看到"橋頭堡主機"( 進出通信必經之主機), 同時,橋頭堡主機不轉發任何TCP/IP通信包, 網路中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持。但它把整個網路的安全性能全部託付於其中的單個安全單元,而單個網路安全單元又是攻擊者首選的攻擊對象,防火牆一旦破壞,橋頭堡主機就變成了一台沒有尋徑功能的路由器,系統的安全性不可靠。

②單網端防火牆結構

其中屏蔽路由器的作用在於保護堡壘主機(應用網關或代理服務) 的安全而建立起一道屏障。在這種結構中可將堡壘主機看作是信息伺服器,它是內部網路對外發布信息的數據中心,但這種網路拓撲結構仍把網路的安全性大部分託付給屏蔽路由器。系統的安全性仍不十分可靠。

③增強型單網段防火牆的結構

為增強網段防火牆安全性,在內部網與子網之間增設一台屏蔽路由器,這樣整個子網與內外部網路的聯系就各受控於一個工作在網路級的路由器,內部網路與外部網路仍不能直接聯系,只能通過相應的路由器與堡壘主機通信。

④含"停火區"的防火牆結構

針對某些安全性特殊需要, 可建立如下的防火牆網路結構。 網路的整個安全特性分擔到多個安全單元, 在外停火區的子網上可聯接公共信息伺服器,作為內外網路進行信息交換的場所。

網路反病毒技術

由於在網路環境下,計算機病毒具有不可估量的威脅性和破壞力, 因此計算機病毒的防範也是網路安全性建設中重要的一環。網路反病毒技術也得到了相應的發展。

網路反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。(1) 預防病毒技術,它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術是:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒卡)等。(2)檢測病毒技術,它是通過對計算機病毒的特徵來進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。(3)消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟體。

網路反病毒技術的實施對象包括文件型病毒、引導型病毒和網路病毒。

網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和監測;在工作站上採用防病毒晶元和對網路目錄及文件設置訪問許可權等。

隨著網上應用不斷發展,網路技術不斷應用,網路不安全因素將會不斷產生，但互為依存的，網路安全技術也會迅速的發展,新的安全技術將會層出不窮，最終Internet網上的安全問題將不會阻擋我們前進的步伐