第四章-數(shù)據(jù)加密與身份認(rèn)證

第四章保障網(wǎng)絡(luò)安全2本講概要

密碼學(xué)是整個(gè)信息安全技術(shù)的基石，只有對(duì)數(shù)據(jù)加密技術(shù)有一定的了解學(xué)員才可能對(duì)信息安全體系所涉及的各項(xiàng)技術(shù)有較好的掌握。身份認(rèn)證是信息安全的一個(gè)重要領(lǐng)域，它和數(shù)據(jù)加密有著密切的關(guān)聯(lián)，所以本講將就數(shù)據(jù)加密與身份認(rèn)證技術(shù)展開(kāi)闡述，本講主要內(nèi)容如下：數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)原理數(shù)據(jù)傳輸?shù)募用艹Ｓ眉用軈f(xié)議身份認(rèn)證方法3本講學(xué)習(xí)目標(biāo)通過(guò)學(xué)習(xí)，同學(xué)應(yīng)該掌握：數(shù)據(jù)加密的概念對(duì)稱加密算法、非對(duì)稱加密算法與混合加密算法原理常見(jiàn)的數(shù)據(jù)加密協(xié)議身份認(rèn)證的概念和方法對(duì)SSL協(xié)議有初步的認(rèn)識(shí)（一）認(rèn)識(shí)加密與認(rèn)證技術(shù)5數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)原理數(shù)據(jù)傳輸?shù)募用艹Ｓ眉用軈f(xié)議本部分涉及以下內(nèi)容：6數(shù)據(jù)加密的概念數(shù)據(jù)加密模型密文網(wǎng)絡(luò)信道明文明文三要素：信息明文、密鑰、信息密文加密密鑰信息竊取者解密密鑰加密算法解密算法7數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的概念

數(shù)據(jù)加密(Encryption)是指將一個(gè)信息（明文）經(jīng)過(guò)加密密鑰及加密函數(shù)轉(zhuǎn)換為沒(méi)有意義的另一個(gè)信息（密文）的過(guò)程。該過(guò)程的逆過(guò)程稱為解密。明文(Plaintext)：加密前的原始信息；密文(Ciphertext)：明文被加密后的信息；密鑰(Key)：控制加密算法和解密算法得以實(shí)現(xiàn)的關(guān)鍵信息，分為加密密鑰和解密密鑰；加密(Encryption)：將明文通過(guò)數(shù)學(xué)算法轉(zhuǎn)換成密文的過(guò)程；解密(Decryption)：將密文還原成明文的過(guò)程。8數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的概念密碼技術(shù)是解決信息安全的最有效的手段，是解決信息安全的核心技術(shù)。數(shù)據(jù)加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息，使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。

使用密碼技術(shù)的目的是為了保護(hù)信息的保密性、完整性和可用性。

密碼體制是指一個(gè)系統(tǒng)所采用的基本工作方式及其兩個(gè)基本要素，即加密/解密算法和密鑰。

9數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的應(yīng)用數(shù)據(jù)保密；身份驗(yàn)證；保持?jǐn)?shù)據(jù)完整性；確認(rèn)事件的發(fā)生。10數(shù)據(jù)加密技術(shù)原理對(duì)稱密鑰加密（保密密鑰法）非對(duì)稱密鑰加密（公開(kāi)密鑰法）哈希（Hash）算法數(shù)據(jù)加密技術(shù)原理11數(shù)據(jù)加密技術(shù)原理對(duì)稱密鑰加密（保密密鑰法）加密算法解密算法密鑰網(wǎng)絡(luò)信道明文明文密文加密密鑰解密密鑰兩者相等12加法密碼對(duì)稱密碼是一種傳統(tǒng)的密碼體制，也稱私鑰密碼體制，對(duì)稱密碼算法可分為兩類：序列算法：對(duì)明文中的單個(gè)位（或字節(jié)）運(yùn)算的算法。典型代表：凱撒密碼。

分組算法：把明文信息分割成塊結(jié)構(gòu)，逐塊予以加密和解密。典型代表：DES13加法密碼A和B是有n個(gè)字母的字母表。定義一個(gè)由A到B的映射：f:A→Bf(ai)=bi=aj

j=i+kmodn加法密碼是用明文字母在字母表中后面第k個(gè)字母來(lái)代替。K=3時(shí)是著名的凱撒密碼。14K=3加密的方法：26個(gè)英文字母循環(huán)后移3位；解密的方法：26個(gè)英文字母循環(huán)前移3位。例：愷撒密碼是對(duì)英文26個(gè)字母進(jìn)行移位代換的密碼，若明文m=Caesarcipherisashiftsubstitution。運(yùn)算得出密文。由題知：q=26，密鑰k=3，則可得明文和密文代換表P：abcdefghijklmnopqrstuvwxyzC:DEFGHIJKLMNOPQRSTUVWXYZABC明文：Caesarcipherisashiftsubstitution密文：FDHVDUFLSKHULVDVKLIWVXEVWLWXWLRQ（凱撒密碼算法）愷撒密碼15數(shù)據(jù)加密技術(shù)原理非對(duì)稱密鑰加密（公開(kāi)密鑰加密）加密算法解密算法公開(kāi)密鑰網(wǎng)絡(luò)信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導(dǎo)不相等16數(shù)據(jù)加密技術(shù)原理非對(duì)稱密鑰加密（公開(kāi)密鑰加密）特點(diǎn):a.加密和解密使用兩個(gè)不同的密鑰b.加密和解密不可推導(dǎo)c.算法復(fù)雜,效率低d.特別適用于開(kāi)放網(wǎng)絡(luò)中e.可用于數(shù)字簽名17數(shù)據(jù)加密技術(shù)原理非對(duì)稱密鑰加密（公開(kāi)密鑰加密）典型代表：RSA18例假設(shè)明文為cryptographyisanappliedscience，密鑰為encry，請(qǐng)用置換技術(shù)將明文轉(zhuǎn)換成密文。Ency：在英文字母表中出現(xiàn)的次序可以確定為23145我們把明文也按這樣的順序列出23145cryptographyisanappliedscience古典數(shù)據(jù)加密技術(shù)19先寫(xiě)標(biāo)號(hào)為1的這一列yripdn，接著寫(xiě)2、3、4、5列得出密文：yripdncohniirgyaeepaspsctpalce單純置換密碼容易被破解，所以經(jīng)常進(jìn)行多步置換，其方法與單步相同古典數(shù)據(jù)加密技術(shù)20數(shù)據(jù)加密技術(shù)原理

單向散列算法（哈希算法）

哈希算法將任意長(zhǎng)度的二進(jìn)制值映射為較短的固定長(zhǎng)度的二進(jìn)制值，這個(gè)小的二進(jìn)制值稱為哈希值。哈希值是一段數(shù)據(jù)唯一且極其緊湊的數(shù)值表示形式。如果散列一段明文而且哪怕只更改該段落的一個(gè)字母，隨后的哈希都將產(chǎn)生不同的值。要找到散列為同一個(gè)值的兩個(gè)不同的輸入，在計(jì)算上是不可能的，所以數(shù)據(jù)的哈希值可以檢驗(yàn)數(shù)據(jù)的完整性。一般用于快速查找和加密算法。

21數(shù)據(jù)加密技術(shù)原理

單向散列算法（哈希算法）

單向散列算法又稱哈希算法（hashalgorithm），可以提供數(shù)據(jù)完整性方面的判斷依據(jù)。

哈希(Hash)算法,即散列函數(shù)。它是一種單向密碼體制,即它是一個(gè)從明文到密文的不可逆的映射,只有加密過(guò)程,沒(méi)有解密過(guò)程。同時(shí),哈希函數(shù)可以將任意長(zhǎng)度的輸入經(jīng)過(guò)變化以后得到固定長(zhǎng)度的輸出。哈希函數(shù)的這種單向特征和輸出數(shù)據(jù)長(zhǎng)度固定的特征使得它可以生成消息或者數(shù)據(jù)。22數(shù)據(jù)加密技術(shù)原理

單向散列算法（哈希算法）信息加密解密網(wǎng)絡(luò)信道信息密文哈希算法

結(jié)果相同，則數(shù)據(jù)未被篡改比較

結(jié)果不同，則數(shù)據(jù)已被篡改信息標(biāo)記（digest）常用的哈希算法：MD5(消息摘要算法第五版)SHA-1(安全散列算法)哈希算法23數(shù)據(jù)加密技術(shù)原理規(guī)則：保證規(guī)則不能與其他組相同通過(guò)紙條上的信息能識(shí)別本組成員紙條上的信息只能本組成員能識(shí)別理解各組組員按照本組規(guī)則獨(dú)立書(shū)寫(xiě)一句祝福本組成員的話后將紙條傳遞給主管，要求書(shū)寫(xiě)時(shí)不能相互商量，相互查看24三、認(rèn)證技術(shù)在信息安全領(lǐng)域中，一方面是保證信息的保密性，防止通信中的機(jī)密信息被竊取和破譯，防止對(duì)系統(tǒng)進(jìn)行被動(dòng)攻擊；另一方面是保證信息完整性、有效性，即要搞清楚通信對(duì)象的身份是否真實(shí)，證實(shí)信息在通信過(guò)程中是否被篡改、偽裝和否認(rèn)，防止對(duì)系統(tǒng)進(jìn)行的主動(dòng)攻擊。認(rèn)證是指核實(shí)真實(shí)身份的過(guò)程，是防止主動(dòng)攻擊的重要技術(shù)。25三、認(rèn)證技術(shù)1、消息認(rèn)證消息認(rèn)證是一個(gè)過(guò)程，它使得通信的接收方能夠驗(yàn)證所收到的報(bào)文在傳輸過(guò)程中是否被假冒、偽造和篡改，即保證信息的完整性和有效性。它也可驗(yàn)證消息的順序和及時(shí)性，即消息是否有順序的修改，消息是否延時(shí)或重放。消息認(rèn)證可以使用不同方法來(lái)實(shí)現(xiàn)（1）使用MAC（消息認(rèn)證碼）的消息認(rèn)證。（2）使用HASH（哈希）算法的消息認(rèn)證。26三、認(rèn)證技術(shù)2、數(shù)字簽名數(shù)字簽名，是利用數(shù)據(jù)加密技術(shù)，根據(jù)某種協(xié)議產(chǎn)生一個(gè)反映被簽署文件的特征和簽署人的特征，以保證文件的真實(shí)性和有效性。數(shù)字簽名的方法有多種，這些方法可分為三種：（1）基于公鑰的數(shù)字簽名（2）使用消息摘要的數(shù)字簽名（3）基于私鑰的數(shù)字簽名27三、認(rèn)證技術(shù)3、身份認(rèn)證身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程所應(yīng)用的技術(shù)手段。驗(yàn)證一個(gè)人的身份主要通過(guò)三種方式判定。（1）根據(jù)個(gè)人所知的信息，如用戶名、密碼等（2）根據(jù)個(gè)人所擁有的東西，如身份證、工作證等（3）根據(jù)個(gè)人獨(dú)一無(wú)二的身體特征，如指紋、視網(wǎng)膜等28三、認(rèn)證技術(shù)3、身份認(rèn)證常用的身份認(rèn)證技術(shù)有：（1）密碼認(rèn)證：最簡(jiǎn)單、最常用的身份認(rèn)證的方法（2）IC卡認(rèn)證（3）個(gè)人特征認(rèn)證：最可靠的身份認(rèn)證方式29數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的工作原理非對(duì)稱加密算法非對(duì)稱解密算法Alice的私有密鑰網(wǎng)絡(luò)信道合同Alice的公開(kāi)密鑰哈希算法標(biāo)記標(biāo)記-2合同哈希算法比較標(biāo)記-1如果兩標(biāo)記相同，則符合上述確認(rèn)要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認(rèn)：合同的確是Alice發(fā)送的合同在傳輸途中未被修改30數(shù)字簽名數(shù)字簽名就是為了防止在通話結(jié)束后，發(fā)生抵賴事件。數(shù)字簽名的性質(zhì)：1）能夠驗(yàn)證簽名者的的身份，以及產(chǎn)生簽名的日期和時(shí)間。2）能用于證實(shí)被簽消息的內(nèi)容。3）數(shù)字簽名可以由第三方驗(yàn)證，從而能夠解決通信雙方的爭(zhēng)議。數(shù)字簽名應(yīng)該滿足的要求：1）簽名的產(chǎn)生必須使用發(fā)送方獨(dú)有的一些信息以防偽造和否認(rèn)。312）簽名的產(chǎn)生應(yīng)較為容易。3）簽名的識(shí)別和驗(yàn)證應(yīng)較為容易。4）對(duì)已知的數(shù)字簽名構(gòu)造一新的消息或?qū)σ阎南?gòu)造一假冒的數(shù)字簽名在計(jì)算上都是不可行的。數(shù)字簽名可以驗(yàn)證消息的完整性，有效地對(duì)抗冒充、抵賴等威脅。數(shù)字簽名的分類：直接數(shù)字簽名和仲裁數(shù)字簽名32直接數(shù)字簽名直接數(shù)字簽名涉及通信雙方，也就是用接收方的公鑰和共享的密鑰再對(duì)整個(gè)消息和簽名加密，則可以獲得保密性，但弱點(diǎn)是這個(gè)方法的有效性依賴于發(fā)送方私鑰的案例性。直接數(shù)字簽字只有通信雙方參與，并假定接收方知道發(fā)送方的公開(kāi)鑰?；谥俨玫臄?shù)字簽名仲裁數(shù)字簽名是從發(fā)送方到接收方的每條已簽名的消息都先發(fā)送給仲裁者，仲裁者對(duì)消息及其簽名進(jìn)行檢查以驗(yàn)證消息源及其內(nèi)容，然后給消息加上日期并發(fā)送給接收方，同時(shí)指明該消息已通過(guò)仲裁的檢驗(yàn)。仲裁數(shù)字簽名可以用來(lái)解決直接數(shù)字簽名中所遇到的問(wèn)題。33數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的作用唯一地確定簽名人的身份；對(duì)簽名后信件的內(nèi)容是否又發(fā)生變化進(jìn)行驗(yàn)證；發(fā)信人無(wú)法對(duì)信件的內(nèi)容進(jìn)行抵賴。

當(dāng)我們對(duì)簽名人同公開(kāi)密鑰的對(duì)應(yīng)關(guān)系產(chǎn)生疑問(wèn)時(shí)，我們需要第三方頒證機(jī)構(gòu)（CA:CertificateAuthorities）的幫助。34

認(rèn)證能使別的成員（驗(yàn)證者）獲得對(duì)聲稱者所聲稱的實(shí)體的信任。其認(rèn)證方法可能是基于下列原因中的任何一種：1）聲稱者證明他知道某事或某物，例如口令；2）聲稱者證明他擁有某事或某物，例如物理密碼或卡；3）聲稱者展示某些必備的不變特性，例如指紋；4）聲稱者在某一特定場(chǎng)所（也可能在某一特定時(shí)間）提供證據(jù)；5）驗(yàn)證者認(rèn)可某一已經(jīng)通過(guò)認(rèn)證的可信方。35消息認(rèn)證基于消息鑒別碼（MAC）的認(rèn)證消息鑒別碼又稱消息認(rèn)證碼，是指消息被一密鑰控制的公開(kāi)函數(shù)作用后產(chǎn)生的、用作認(rèn)證符的、固定長(zhǎng)度的數(shù)值，也稱為密碼校驗(yàn)和。消息認(rèn)證系統(tǒng)實(shí)現(xiàn)的功能：1）接收方向發(fā)送方發(fā)來(lái)的消息未被篡改，這是因?yàn)楣粽卟恢烂荑€，所以不能夠在篡改消息后相應(yīng)的篡改MAC，而如果僅篡改消息，則接收方計(jì)算的新MAC將與接收到的MAC不同。362）接收方相信發(fā)送方不是冒充的，這是因?yàn)槌邮针p方外再無(wú)其他人知道密鑰，因此其他人不可能對(duì)自己發(fā)送的消息計(jì)算出正確的MAC。3）如果消息中有序列號(hào)，則由于發(fā)送方不能成功的篡改序列號(hào)，所以接收者相信所收消息的序列號(hào)。在以下集中情況下，使用MAC更為方便：1）同一消息以明文形式并附加MAC廣播給很多接收者，只讓一個(gè)接收者負(fù)責(zé)對(duì)消息進(jìn)行認(rèn)證，則代價(jià)小并且可靠。2）在消息交換時(shí)，可以在接收到的眾多消息中隨機(jī)選取一部分進(jìn)行驗(yàn)證。373）用戶得到計(jì)算機(jī)程序以明文形式存在，但在其后附加一個(gè)消息認(rèn)證碼，則既可以保證程序的完整性，又能節(jié)省計(jì)算機(jī)處理器資源。4）某些應(yīng)用中，只關(guān)心消息是否被認(rèn)證，而不關(guān)心消息是否保密。5）用戶在收到數(shù)據(jù)后，一方面希望可對(duì)數(shù)據(jù)進(jìn)行處理，另一方面還希望數(shù)據(jù)仍受到保護(hù)。安全分析針對(duì)MAC的攻擊可分為兩類：強(qiáng)行攻擊和密碼分析。38身份認(rèn)證身份認(rèn)證是指用戶必須提供他自身的證明，是與密碼技術(shù)密不可分的。密鑰是密碼體制安全的關(guān)鍵。身份認(rèn)證可以基于如下一個(gè)或幾個(gè)因素：1）用戶所知道的東西，如口令；2）用戶所擁有的東西，如智能卡；3）用戶所具有的生物特征，如指紋、聲音、視網(wǎng)膜掃描等。39非密碼形式的認(rèn)證（1）基于口令的認(rèn)證方式這是一種最常用的技術(shù)，它是一種單因素的認(rèn)證，安全性僅依賴于口令。（2）基于生物特征的認(rèn)證方式生物特征認(rèn)證基于生物識(shí)別技術(shù)。密碼形式的身份認(rèn)證使驗(yàn)證者信服聲稱是聲稱者多聲稱的，因?yàn)槁暦Q者知道某有秘密密鑰。40X.509證書(shū)及認(rèn)證框架X.509提供了3種使用證書(shū)列表的認(rèn)證過(guò)程：?jiǎn)蜗蛘J(rèn)證、雙向認(rèn)證和三向認(rèn)證。

（1）單向認(rèn)證它只保護(hù)消息的完整性和原創(chuàng)性。當(dāng)有人使用用戶簽名（私鑰）簽署了時(shí)間戳、現(xiàn)實(shí)值和目標(biāo)身份時(shí)，就實(shí)行單向認(rèn)證。（2）雙向認(rèn)證雙向認(rèn)證允許發(fā)送者對(duì)接收者或目標(biāo)進(jìn)行驗(yàn)證。（3）三向認(rèn)證當(dāng)目標(biāo)和發(fā)送者沒(méi)有同步的時(shí)鐘或不希望信任時(shí)鐘時(shí)，則采用三向認(rèn)證。41數(shù)據(jù)加密技術(shù)原理數(shù)字證書(shū)

數(shù)字證書(shū)相當(dāng)于電子化的身份證明，應(yīng)有值得信賴的頒證機(jī)構(gòu)（CA機(jī)構(gòu)）的數(shù)字簽名，可以用來(lái)強(qiáng)力驗(yàn)證某個(gè)用戶或某個(gè)系統(tǒng)的身份及其公開(kāi)密鑰。

數(shù)字證書(shū)既可以向一家公共的辦證機(jī)構(gòu)申請(qǐng)，也可以向運(yùn)轉(zhuǎn)在企業(yè)內(nèi)部的證書(shū)服務(wù)器申請(qǐng)。這些機(jī)構(gòu)提供證書(shū)的簽發(fā)和失效證明服務(wù)。42數(shù)據(jù)加密技術(shù)原理數(shù)字證書(shū)中的常見(jiàn)內(nèi)容發(fā)信人的公開(kāi)密鑰；發(fā)信人的姓名；證書(shū)頒發(fā)者的名稱；證書(shū)的序列號(hào)；證書(shū)頒發(fā)者的數(shù)字簽名；證書(shū)的有效期限。如:目前通用的X.509證書(shū)43數(shù)據(jù)加密技術(shù)原理認(rèn)證中心(CertificationAuthority)開(kāi)放網(wǎng)絡(luò)上電子商務(wù)要求可靠、有效的保護(hù)機(jī)制：機(jī)密性、身份驗(yàn)證特性、不可否認(rèn)性CA中心作為電子商務(wù)中受信任的第三方，專門(mén)解決公鑰體系中公鑰的合法性問(wèn)題。RA(RegistrationAuthority注冊(cè)審批)系統(tǒng)負(fù)責(zé)證書(shū)申請(qǐng)者的信息錄入、審核及證書(shū)發(fā)放等工作。44數(shù)據(jù)加密技術(shù)原理申請(qǐng)數(shù)字證書(shū)，并利用它發(fā)送電子郵件用戶向CA機(jī)構(gòu)申請(qǐng)一份數(shù)字證書(shū)，申請(qǐng)過(guò)程會(huì)生成他的公開(kāi)/私有密鑰對(duì)。公開(kāi)密鑰被發(fā)送給CA機(jī)構(gòu)，CA機(jī)構(gòu)生成證書(shū)，并用自己的私有密鑰簽發(fā)之，然后向用戶發(fā)送一份拷貝。用戶的同事從CA機(jī)構(gòu)查到用戶的數(shù)字證書(shū)，用證書(shū)中的公開(kāi)密鑰對(duì)簽名進(jìn)行驗(yàn)證。用戶把文件加上簽名，然后把原始文件同簽名一起發(fā)送給自己的同事。證書(shū)申請(qǐng)簽發(fā)的數(shù)字證書(shū)文件和數(shù)字簽名數(shù)字證書(shū)的驗(yàn)證用戶同事CA45數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式SH：會(huì)話層包頭；TH：傳輸層包頭；NH：網(wǎng)絡(luò)層包頭；LH：鏈路層包頭；E：鏈路層包尾；應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEE：明文信息：密文信息46數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式

用于保護(hù)通信節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)，通常用硬件在物理層或數(shù)據(jù)鏈路層實(shí)現(xiàn)。優(yōu)點(diǎn)由于每條通信鏈路上的加密是獨(dú)立進(jìn)行的，因此當(dāng)某條鏈路受到破壞不會(huì)導(dǎo)致其它鏈路上傳輸?shù)男畔⒌陌踩?。?bào)文中的協(xié)議控制信息和地址都被加密，能夠有效防止各種流量分析。不會(huì)減少網(wǎng)絡(luò)有效帶寬。只有相鄰節(jié)點(diǎn)使用同一密鑰，因此，密鑰容易管理。加密對(duì)于用戶是透明的，用戶不需要了解加密、解密過(guò)程。47數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式缺點(diǎn)在傳輸?shù)闹虚g節(jié)點(diǎn)，報(bào)文是以明文的方式出現(xiàn)，容易受到非法訪問(wèn)的威脅。每條鏈路都需要加密/解密設(shè)備和密鑰，加密成本較高。48數(shù)據(jù)傳輸?shù)募用?/p>

端對(duì)端加密方式應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEESH：會(huì)話層包頭；TH：傳輸層包頭；NH：網(wǎng)絡(luò)層包頭；LH：鏈路層包頭；E：鏈路層包尾；：明文信息：密文信息49數(shù)據(jù)傳輸?shù)募用?/p>

端對(duì)端加密方式

在源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)對(duì)傳輸?shù)膱?bào)文進(jìn)行加密和解密，一般在應(yīng)用層或表示層完成。優(yōu)點(diǎn)在高層實(shí)現(xiàn)加密，具有一定的靈活性。用戶可以根據(jù)需要選擇不同的加密算法。缺點(diǎn)報(bào)文的控制信息和地址不加密，容易受到流量分析的攻擊。需要在全網(wǎng)范圍內(nèi)對(duì)密鑰進(jìn)行管理和分配。50常用加密協(xié)議

SSL協(xié)議:安全套接層協(xié)議（SecureSocketLayer）。SSL是建立安全通道的協(xié)議，位于傳輸層和應(yīng)用層之間，理論上可以為任何數(shù)量的應(yīng)用層網(wǎng)絡(luò)通信協(xié)議提供通信安全。SSL協(xié)議提供的功能有安全（加密）通信、服務(wù)器（或客戶）身份鑒別、信息完整性檢查等。SSL協(xié)議最初由Netscape公司開(kāi)發(fā)成功，是在Web客戶和Web服務(wù)器之間建立安全通道的事實(shí)標(biāo)準(zhǔn)。SSL協(xié)議的版本。51常用加密協(xié)議

數(shù)據(jù)鏈路層和物理層網(wǎng)絡(luò)層（IP）傳輸層（TCP）安全套接層（SSL）Telnt,mail,news,ftp,nntp,dns等S/MIMEHTTPS-HTTP

SSL協(xié)議:安全套接層協(xié)議所在層次52常用加密協(xié)議

TLS協(xié)議:傳輸層安全協(xié)議（TransportLayerSecurity）。

TLS協(xié)議由IETF（InternetEngineeringTaskForce）組織開(kāi)發(fā)。TLS協(xié)議是對(duì)SSL3.0協(xié)議的進(jìn)一步發(fā)展。同SSL協(xié)議相比，TLS協(xié)議是一個(gè)開(kāi)放的、以有關(guān)標(biāo)準(zhǔn)為基礎(chǔ)的解決方案，使用了非專利的加密算法。包括TLS記錄協(xié)議和TLS握手協(xié)議53常用加密協(xié)議

IP-Sec協(xié)議(VPN加密標(biāo)準(zhǔn)):InternetInternal

NetworkEncryptedIP

與SSL協(xié)議不同，IP-Sec協(xié)議試圖通過(guò)對(duì)IP數(shù)據(jù)包進(jìn)行加密，從根本上解決因特網(wǎng)的安全問(wèn)題。IP-Sec是目前遠(yuǎn)程訪問(wèn)VPN網(wǎng)的基礎(chǔ)，可以在Internet上創(chuàng)建出安全通道來(lái)。

54常用加密協(xié)議

IP-Sec協(xié)議:IPHDRMayBeEncryptedIPHDRDataIPsecHDRDataIPHDRDataIPsecHDRIPHDRNewIPHDRMayBeEncryptedData信道模式透明模式IP-Sec協(xié)議有兩種模式：透明模式：把IP-Sec協(xié)議施加到IP數(shù)據(jù)包上，但不改變數(shù)據(jù)包原來(lái)的數(shù)據(jù)頭；信道模式：把數(shù)據(jù)包的一切內(nèi)容都加密（包括數(shù)據(jù)頭），然后再加上一個(gè)新的數(shù)據(jù)頭。55常用加密協(xié)議

其它加密協(xié)議與標(biāo)準(zhǔn):SSH：SecureShell。DNSSEC：DomainNameServerSecurity。GSSAPI：GenericSecurityServicesAPI。PGP協(xié)議：PrettyGoodProtocol。(二）身份認(rèn)證與識(shí)別57身份鑒別技術(shù)IsthatAlice?Hi,thisisAlice.Pleasesendmedata.Internet身份鑒別技術(shù)的提出

在開(kāi)放的網(wǎng)絡(luò)環(huán)境中，服務(wù)提供者需要通過(guò)身份鑒別技術(shù)判斷提出服務(wù)申請(qǐng)的網(wǎng)絡(luò)實(shí)體是否擁有其所聲稱的身份。58身份鑒別技術(shù)常用的身份鑒別技術(shù)基于用戶名和密碼的身份鑒別基于對(duì)稱密鑰密碼體制的身份鑒別技術(shù)基于KDC（密鑰分配中心）的身份鑒別技術(shù)基于非對(duì)稱密鑰密碼體制的身份鑒別技術(shù)基于證書(shū)的身份鑒別技術(shù)59身份鑒別技術(shù)Yes.Ihaveausernamed“Alice”whosepasswordis“byebye”.Ic