3.1加密技術(shù)與安全教學(xué)設(shè)計人教-中圖版高中信息技術(shù)選擇性必修2網(wǎng)絡(luò)基礎(chǔ)

第3章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)資源3.1加密技術(shù)與安全教學(xué)設(shè)計教學(xué)背景信息科技是現(xiàn)代科學(xué)技術(shù)領(lǐng)域的重要部分，主要研究以數(shù)字形式表達(dá)的信息及其應(yīng)用中的科學(xué)原理、思維方法、處理過程和工程實現(xiàn)。當(dāng)代高速發(fā)展的信息科技對全球經(jīng)濟(jì)、社會和文化發(fā)展起著越來越重要的作用。義務(wù)教育信息科技課程具有基礎(chǔ)性、實踐性和綜合性，為高中階段信息技術(shù)課程的學(xué)習(xí)奠定基礎(chǔ)。信息科技課程旨在培養(yǎng)科學(xué)精神和科技倫理，提升自主可控意識，培育社會主義核心價值觀，樹立總體國家安全觀，提升數(shù)字素養(yǎng)與技能。教材分析本節(jié)課的教學(xué)內(nèi)容選自人教/地圖出版社選擇性必修2網(wǎng)絡(luò)基礎(chǔ)第3章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)資源3.1加密技術(shù)與安全。網(wǎng)絡(luò)正在改變著社會和人們生活的方方面面，給人們帶來了豐富的網(wǎng)絡(luò)資源，帶來了各種便捷的獲取和使用資源的手段，方便著人們的工作、學(xué)習(xí)和生活。不過，網(wǎng)絡(luò)在給人們帶來驚喜和奇跡的同時，也給個人、企業(yè)、社會、國家等各方面帶來了巨大的安全挑戰(zhàn)。網(wǎng)絡(luò)空間已成為繼海、陸、空、天之外的“第五疆域”，網(wǎng)絡(luò)安全與政治安全、經(jīng)濟(jì)安全、軍事安全等傳統(tǒng)安全融合交織。教學(xué)目標(biāo)1.了解常用的加密技術(shù)，了解常用網(wǎng)絡(luò)安全協(xié)議的作用。2.能夠設(shè)置及使用簡易防火墻。3.能夠使用適當(dāng)工具對數(shù)據(jù)和終端設(shè)備進(jìn)行加密。教學(xué)重點與難點教學(xué)重點:了解常用的加密技術(shù)，了解常用網(wǎng)絡(luò)安全協(xié)議的作用。教學(xué)難點:能夠使用適當(dāng)工具對數(shù)據(jù)和終端設(shè)備進(jìn)行加密。教學(xué)方法與教學(xué)手段案例分析法、講授法、任務(wù)驅(qū)動法。教學(xué)過程問題導(dǎo)入體驗探索回顧網(wǎng)絡(luò)安全事件近年來，網(wǎng)絡(luò)安全問題層出不窮。2017年3月，在公安部的統(tǒng)一指揮下，北京、安徽、遼寧、河南等14個省、直轄市的公安機(jī)關(guān)開展集中收網(wǎng)行動，抓獲犯罪嫌疑人96名，查獲被竊的公民個人信息達(dá)50多億條，涉及交通物流、醫(yī)療、社交、銀行等多個領(lǐng)域。2016年8月，一位高中畢業(yè)生的個人信息被泄露，并被騙走了上大學(xué)的學(xué)費(fèi)。該學(xué)生報警后突然離世。數(shù)日后，案件告破，查獲被泄露的考生信息達(dá)10萬多條。2015年，我國首例黑客盜刷信用卡案告破，警方查獲160多萬條公民個人信息和銀行卡賬號，涉案金額14.98億元。你遭遇或者聽說過哪些網(wǎng)絡(luò)安全事件？這些事件給當(dāng)事人帶來了哪些影響？你覺得這些事件產(chǎn)生的原因是什么？網(wǎng)絡(luò)安全涉及的范圍非常廣，既包括計算機(jī)、路由器等硬件設(shè)備的安全，也包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等軟件的安全；既涉及國家機(jī)密信息的保護(hù)，也涉及個人隱私信息的保護(hù)；既需要規(guī)范的行為習(xí)慣，也需要穩(wěn)定可靠的安全技術(shù)......在這一節(jié)，將重點介紹通過加密技術(shù)增強(qiáng)網(wǎng)絡(luò)信息傳輸安全性的知識與方法。思考活動探討網(wǎng)絡(luò)通信面臨的威脅在網(wǎng)絡(luò)通信過程中，信息安全時時面臨各種威脅。如果進(jìn)行適當(dāng)?shù)臍w納整理會發(fā)現(xiàn)，這些威脅主要包括非法阻斷、竊聽、篡改和偽造等（圖3.1.1）（參見教材P60）。與這些威脅相對應(yīng)，網(wǎng)絡(luò)安全就是要盡量保證數(shù)據(jù)的可用性、保密性、完整性和真實性?？捎眯?，即得到授權(quán)的用戶、實體或程序能順利獲取所需的信息，而不被非法阻斷；保密性，即防止未授權(quán)的用戶、實體或程序竊取信息；完整性，即盡可能保證數(shù)據(jù)不會被未授權(quán)的一方私自修改；真實性，即確保信息不被偽造。如果把信息安全問題比作一場戰(zhàn)爭，那么維護(hù)信息安全的一方通常被視為防守方，而破壞者則被視為攻擊方。防守方無論怎樣做，也無法提前針對每一個可能存在的威脅做出相應(yīng)的對策，而攻擊方只要找到一個不起眼的漏洞，就可以攻破整個防守體系。用戶作為信息系統(tǒng)中的不可控因素，其行為會對信息安全產(chǎn)生不可預(yù)估的影響。盡管如此，研究人員仍然找到了很多可靠的技術(shù)手段來增強(qiáng)網(wǎng)絡(luò)通信的安全性。非法阻斷問題，多與網(wǎng)絡(luò)設(shè)備、通信線路、服務(wù)器設(shè)置等密切相關(guān)。本節(jié)不討論這個問題。數(shù)字摘要及網(wǎng)絡(luò)應(yīng)用情境1：王紅文件時，發(fā)現(xiàn)在鏈接的旁邊還有一串奇怪的字符串，趙明說那是文件的數(shù)字摘要，可以用來檢測文件是否被篡改過。數(shù)字摘要是什么？如何用它來檢測信息是否被篡改過呢？數(shù)字摘要數(shù)字摘要是一種認(rèn)證技術(shù)，它采用某種算法對信息中的若干重要元素進(jìn)行某種變換，最終得到固定長度的摘要值。用于生成數(shù)字摘要的算法主要有MD5、SHA等。數(shù)字摘要是根據(jù)信息生成的二進(jìn)制數(shù)，為了便于表示，常常把它轉(zhuǎn)換成字符串形式。數(shù)字摘要具有三個特征：·不同信息的數(shù)字摘要幾乎不可能重復(fù)；·無法通過數(shù)字摘要反向推導(dǎo)生成這個摘要的信息；·同一算法的數(shù)字摘要長度是固定的（圖3.1.2）（參見教材P62）。數(shù)字摘要的應(yīng)用數(shù)字摘要與文件。不同信息的數(shù)字摘要幾乎不可能相同，也就意味著，不同文件的數(shù)字摘要通常是不同的，哪怕是文件中的一個0變成了1，數(shù)字摘要也會發(fā)生變化。這個特性正好用來驗證文件的完整性（圖3.1.3）（參見教材P62）。很多網(wǎng)站提供文件服務(wù)時，往往會附上數(shù)字摘要算法和文件對應(yīng)的摘要值。了某個文件的用戶，只要驗證一下所文件的數(shù)字摘要，就能知道文件在過程中是否發(fā)生了傳輸錯誤，或者是否被篡改過。數(shù)字摘要與密碼保護(hù)。信息系統(tǒng)中的用戶密碼通常保存在數(shù)據(jù)庫中，如果直接按密碼的原樣進(jìn)行保存，那么數(shù)據(jù)庫的管理人員就可以輕松看到這些隱秘信息，從而帶來密碼泄露的隱患。這時，可以采用摘要算法對密碼進(jìn)行保護(hù)，即數(shù)據(jù)庫中存放的是密碼的數(shù)字摘要，管理人員即使看到數(shù)字摘要，也無法獲悉用戶的密碼，甚至連密碼的長度也無法知道。使用時，用戶輸入密碼后，信息系統(tǒng)根據(jù)用戶輸入的密碼計算數(shù)字摘要，然后與系統(tǒng)中已保存的數(shù)字摘要進(jìn)行比對，就能決定是否允許用戶登錄了。思考活動數(shù)字摘要技術(shù)與密碼安全1.討論使用數(shù)字摘要技術(shù)后，一個信息系統(tǒng)是如何校驗用戶密碼的，并把圖3.1.6（參見教材P63）補(bǔ)充完整。2.用戶丟失密碼后，信息系統(tǒng)A的客服人員很熱情，他表示自己雖然不能查看，但可以通過短信等方式，告知原來使用的密碼；信息系統(tǒng)B的客服人員則表示，他無法提供原來的密碼，只能幫用戶申請一個臨時密碼。這兩個信息系統(tǒng)，哪一個在密碼安全方面做得更好？為什么？數(shù)字摘要與云存儲?，F(xiàn)在，云存儲的使用已經(jīng)非常普及了，作為云存儲的運(yùn)營者，難免會遇到這樣的問題：不同的用戶上傳了同樣內(nèi)容的文件，而作為一個系統(tǒng)，其實只要存一份就夠了。如何才能快速判斷系統(tǒng)中是否已經(jīng)有相同文件了呢？這時，可以先在客戶端計算相關(guān)文件的數(shù)字摘要，并把數(shù)字摘要傳給服務(wù)器，查看系統(tǒng)中是否已有相同文件。如果有了，就無需用戶繼續(xù)上傳，只要用鏈接的技術(shù)，讓用戶的云盤中出現(xiàn)這個文件就可以了（圖3.1.7）（參見教材P64）。思考活動探討數(shù)字摘要技術(shù)的應(yīng)用數(shù)字摘要還可以用在哪些方面？數(shù)字摘要的局限與應(yīng)對首先，數(shù)字摘要只能用來驗證信息的完整性，但完整的信息不一定真實可靠。實際上，如果攻擊方同時替換了要傳輸?shù)臄?shù)據(jù)和數(shù)字摘要，那么接收方就很難察覺。其次，不同信息的數(shù)字摘要存在重復(fù)的可能。計算數(shù)字摘要，其實是把無限可能的信息，歸納為有限數(shù)字的過程，必然存在信息不同但數(shù)字摘要相同的情況（圖3.1.8）（參見教材P64）。這就意味著，攻擊者雖然不知道用戶的密碼，但他有可能用數(shù)字摘要相同的密碼登錄信息系統(tǒng)。不過也無需對此過于擔(dān)心。一方面，這種現(xiàn)象出現(xiàn)的可能性極低，如果想人為地根據(jù)一個特定的數(shù)字摘要反推出一個相應(yīng)的字符串，是一件非常困難的事情，普通攻擊者很難做到。另一方面，研究人員在不斷研制更安全的摘要算法?，F(xiàn)在，很多信息系統(tǒng)開始改用SHA1等新算法，特別敏感的部門甚至?xí)捎酶踩腟HA256或SHA512算法。當(dāng)然，更安全的算法，通常需要更多的計算資源或者更長的運(yùn)算時間。因此，確定數(shù)字摘要算法時，要根據(jù)實際需求進(jìn)行選擇，而不能一味地強(qiáng)求安全。比如，雖然MD5算法已被認(rèn)為不安全了，但由于其計算過程相對簡單，所以在不太敏感的領(lǐng)域仍廣泛使用。到目前為止，世界上還沒有絕對安全的技術(shù)。一種技術(shù)，只要能保證在相對較長的時間里不被攻破，就可以認(rèn)為是安全的。加密技術(shù)及網(wǎng)絡(luò)應(yīng)用項目實施體驗加密過程1.準(zhǔn)備4張紙板，上面有8行8列共64個空心圓。2.參照圖3.1.9（參見教材P65）中的圖a和圖b，把第1張和第2張紙板的部分空心圓涂成實心圓。3.比對第1張紙板和第2張紙板，如果某一位置的圓一個為空心圓，一個為實心圓，則把第3張紙板的對應(yīng)位置的圓涂成實心圓（圖c）。4.只把第3張紙板交給另一位同學(xué)，看看他（她）能否猜出原本的記號。5.把第2張紙板也交給那位同學(xué)，讓他（她）與第3張紙板進(jìn)行比對，并按照同樣的規(guī)則涂第4張紙板，看看最后的結(jié)果（圖d）。上面這個活動，其實展示了一個簡單的加密過程。其中圖a相當(dāng)于明文，圖b相當(dāng)于密鑰。由圖a和圖b得出圖c的過程相當(dāng)于加密過程，由圖c和圖b得出圖d的過程，相當(dāng)于解密過程。加解密過程可抽象為圖3.1.10（參見教材P65）。現(xiàn)在使用的加密技術(shù)，主要包括對稱密鑰加密和非對稱密鑰加密兩種。對稱密鑰加密對稱密鑰加密的特點是加密和解密過程使用相同的密鑰（圖3.1.11）（參見教材P66）。前面進(jìn)行的活動，可歸屬于對稱密鑰加密。目前常使用的對稱密鑰加密算法包括DES（dataencryptionstandard，數(shù)據(jù)加密標(biāo)準(zhǔn)）、AES（advancedencryptionstandard，高級加密標(biāo)準(zhǔn)）等。與數(shù)字摘要不同，密文的長度一般隨明文長度而變，明文越長，密文一般也越長。如果輸錯了密鑰，則無法解開密文。對稱密鑰加密擁有AES等可靠的加密算法，但也面臨一個棘手的問題：如何把密鑰安全地傳遞給接收方。在網(wǎng)絡(luò)通信過程中，攻擊者完全有可能通過網(wǎng)絡(luò)竊聽，獲得密鑰，從而獲取機(jī)密信息（圖3.1.12）（參見教材P67）。非對稱密鑰加密非對稱密鑰加密的特點是，加密和解密過程分別使用不同的密鑰。這一對密鑰中，一個公開發(fā)給他人，稱為公鑰，用于加密；一個自己保留，稱為私鑰，用于解密（圖3.1.13）（參見教材P68）。RSA算法是目前最常用的非對稱密鑰加密算法。非對稱密鑰加密、解密的過程，可以參見圖3.1.14（參見教材P69）。在非對稱密鑰加密技術(shù)中，公鑰原本就是要廣而告之的，任何想給A發(fā)送機(jī)密信息的人，只要用A公布的公鑰進(jìn)行加密操作就可以了，因而不害怕密鑰被竊聽的問題。不過這一技術(shù)也有弱點，比如，B收到一個號稱來自A的公鑰，B還必須想辦法驗證這確實是A的公鑰，否則傳輸過程就可能被攻擊（圖3.1.15）（參見教材P70）。在圖3.1.15演示的過程中，攻擊者C悄悄截獲了A發(fā)出的公鑰，并把自己的公鑰發(fā)給了B；B誤以為是A的公鑰，用其完成了加密操作，并發(fā)送密文；攻擊者C截獲B發(fā)出的密文，并用自己的私鑰解開，從而實現(xiàn)竊聽，甚至還可以偽造一份信息發(fā)給A，從而進(jìn)行欺詐。把公鑰交由權(quán)威的第三方，由第三方通過其他手段確認(rèn)公鑰的可靠性后，再放到網(wǎng)上供大家，可以比較好地解決公鑰認(rèn)證問題。具體過程見圖3.1.16（參見教材P70）。RSA算法原理簡介RSA算法是信息安全領(lǐng)域廣泛使用的一種非對稱密鑰加密算法，其公鑰和私鑰的生成需要事先給出兩個不同的大質(zhì)數(shù)，然后通過一系列的計算得出兩個互相關(guān)聯(lián)的數(shù)對，分別作為公鑰和私鑰（圖3.1.17）（參見教材P71）。產(chǎn)生公鑰和私鑰的過程，主要包括以下五步：第一步，找兩個質(zhì)數(shù)p和q，求這兩個數(shù)的乘積N。第二步，求數(shù)L，L是p–1和q–1的最小公倍數(shù)。第三步，找一個數(shù)E，要求E和L互質(zhì)。第四步，求數(shù)D，要求E和D的乘積除以L，余數(shù)是1。第五步，把E和N作為一組，形成公鑰；把D和N作為一組，形成私鑰。公鑰中包含了N，那是不是可以通過對N進(jìn)行質(zhì)因數(shù)分解，得到p和q，從而推導(dǎo)出私鑰呢？在實際加解密時，p和q都是非常大的質(zhì)數(shù)，可能在1024比特以上?？梢韵胂?，其乘積N將是個非常大的整數(shù)。到目前為止，人們還沒有找到能夠?qū)Υ笳麛?shù)進(jìn)行質(zhì)因數(shù)分解的高效算法。所以，即使公鑰中有N，也很難通過質(zhì)因數(shù)分解的方法獲得p和q。正是因為這個原因，RSA很難被破解。簡單地說，RSA之所以安全，其背后依賴的原理是：求兩個質(zhì)數(shù)的乘積比較容易，反過來，對一個大整數(shù)進(jìn)行質(zhì)因數(shù)分解則非常困難。加密技術(shù)的混合使用對稱加密算法，加解密速度快，但密鑰容易被竊聽；非對稱加密算法，發(fā)送的公鑰不怕被竊聽，但加解密的速度慢。在實際應(yīng)用中，人們常常混合使用這兩種加密技術(shù)。對于一般的、長的信息交由AES等對稱加密技術(shù)來處理，以適應(yīng)網(wǎng)絡(luò)交互的特點；而短的、關(guān)鍵性的信息用RSA等非對稱加密技術(shù)進(jìn)行處理（圖3.1.18）（參見教材P73）。在這個過程中，發(fā)送方利用對稱加密速度快的特點，對消息明文進(jìn)行加密操作；同時利用公鑰為對稱密鑰進(jìn)行了加密，這樣就可以利用非對稱加密系統(tǒng)的特點，解決秘鑰傳送可能被監(jiān)聽的問題。最后把兩種密文組合起來，發(fā)送出去。解密時，先按照事先的約定，把組合的信息分解成密鑰密文和消息密文；接著，用私鑰解開密鑰密文，獲取對稱密鑰；最后，用對稱加密密鑰對消息密文進(jìn)行解密操作（圖3.1.19）（參見教材P74）。思考活動分析混合加密的注意事項解密時，先按照事先的約定，把組合的信息分解成密鑰密文和消息密文；接著，用私鑰解開密鑰密文，獲取對稱密鑰；最后，用對稱加密密鑰對消息密文進(jìn)行解密操作（圖3.1.19）（參見教材P74）。1.由于混合加密的過程中，對稱加密密鑰會用公鑰進(jìn)行加密，因此可以指定非常簡單的密鑰，如全是1、全是a等，這種做法可取嗎？為什么？2.混合加密過程中，使用“隨機(jī)生成的密鑰”和使用“事先指定的密鑰”這兩種方法相比，你認(rèn)為哪一種更好？為什么？加密技術(shù)與數(shù)字簽名情境2：趙明收到了一份據(jù)稱來自王紅的加密文檔和文檔的MD5值，他用自己的私鑰解密了文檔，并重新計算MD5值進(jìn)行了比對，一切看起來都很正常。趙明正準(zhǔn)備按文檔要求行事，正好王紅打來。在聊天中，趙明驚訝地發(fā)現(xiàn)，王紅說自己沒有發(fā)送過這份文檔！這一切是怎么回事呢？在非對稱加密過程中，王紅如果想給趙明發(fā)送信息，就會用趙明公開的公鑰加密，等趙明收到后，再用他的私鑰解密（圖3.1.20）（參見教材P75）。公鑰加密保證了信息的機(jī)密性、完整性等要求，但趙明的公鑰是公開的，趙明無法確認(rèn)信息肯定來自王紅，王紅也可以隨時否認(rèn)自己發(fā)送過信息。不過，如果公鑰和私鑰反過來用，就可以起到不一樣的效果。私鑰是每個人單獨保存的，因此王紅用自己的私鑰加密，相當(dāng)于給文檔添加數(shù)字簽名；趙明用王紅的公鑰解密，相當(dāng)于驗證簽名（圖3.1.21）（參見教材P75）。數(shù)字簽名能比較好地解決網(wǎng)絡(luò)傳輸中信息的真實性問題，即能保證信息來自真實的發(fā)送者，而且發(fā)送者也沒法否認(rèn)自己發(fā)送過相關(guān)的信息。項目實施加密傳輸文稿王紅和趙明之間想通過網(wǎng)絡(luò)安全傳送比較大的文稿，通信過程既要保證機(jī)密性、完整性，同時也要保證真實性。請先判斷已有方案是否合適，然后提出自己的解決方案。假定發(fā)送方為A，接收方為B?！痉桨敢弧坎僮鳎喊l(fā)送方A用自己的私鑰加密，接收方B用A的公鑰解密。理由：加密后，密文不可閱讀，保證了機(jī)密性，改動密文會造成解密過程失敗，因而保證了完整性，同時私鑰加密可以保證數(shù)據(jù)的真實性?？尚行裕骸蹩尚小醪豢尚薪忉專骸痉桨付考用苓^程：①用接收方B的公鑰對消息進(jìn)行加密，得到密文1。②用發(fā)送方A的公鑰對密文1進(jìn)行加密，得到密文2。解密過程：①用發(fā)送方A的私鑰對消息進(jìn)行解密，得到密文1。②用接收方B的私鑰對密文1進(jìn)行解密，得到原文?？尚行裕骸蹩尚小醪豢尚薪忉專骸咀远ǖ姆桨浮考用苓^程：解密過程：解釋：加密技術(shù)與網(wǎng)絡(luò)安全協(xié)議默認(rèn)情況下，網(wǎng)絡(luò)以明文方式傳輸數(shù)據(jù)。用戶輸入的賬號、密碼等隱私信息，隨時可能被人監(jiān)聽?，F(xiàn)在主要有兩種方法用于增強(qiáng)網(wǎng)絡(luò)傳輸?shù)陌踩?。一種是在現(xiàn)有傳輸層之上插入可以安全傳輸信息的層（圖3.1.22）（參見教材P77），如SSL（securesocketlayer，安全套接字層）。信息傳輸?shù)竭@一層后，由相關(guān)軟件自動進(jìn)行加密和解密，從而實現(xiàn)安全傳輸。很多應(yīng)用層的安全協(xié)議，如HTTPS（hypertexttransferprotocolsecure，超文本傳輸安全協(xié)議）就工作在SSL的基礎(chǔ)上（圖3.1.23）（參見教材P77）。這個過程混合使用了多種安全技術(shù)。網(wǎng)站服務(wù)器會提前到管理機(jī)構(gòu)申請公鑰證書。實際運(yùn)行時，服務(wù)器把證書和公鑰發(fā)給用戶；用戶接收后，利用證書驗證公鑰是否合法，如果合法就隨機(jī)生成一個對稱密鑰，并用服務(wù)器的公鑰加密后傳回服務(wù)器；服務(wù)器用私鑰解密，獲得對稱密鑰。此后，雙方就可以利用隨機(jī)生成的密鑰實現(xiàn)加密通信了（圖3.1.24）（參見教材P77）。使用HTTP協(xié)議訪問時，會顯示無法訪問，而使用HTTPS協(xié)議時就可以訪問（圖3.1.25）（參見教材P79）。進(jìn)一步查看會發(fā)現(xiàn)，這是因為所使用的證書沒有經(jīng)過專業(yè)機(jī)構(gòu)的認(rèn)證，因此瀏覽器認(rèn)為證書存在造假的可能，不安全。但也可以看出，采用SSL，無論對于服務(wù)器端還是客戶端來說，改動都不大，能夠比較輕松地納入已有的信息系統(tǒng)。另一種方法則關(guān)注于在IP層架構(gòu)一個新的安全體系，如IPsec（internetprotocolsecurity，互聯(lián)網(wǎng)絡(luò)層安全協(xié)議）。IPsec提供了認(rèn)證和加密兩種安全機(jī)制。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改；加密機(jī)制可以用來保證數(shù)據(jù)的機(jī)密性，防止數(shù)據(jù)在傳輸過程中被竊聽。IPv6協(xié)議已經(jīng)增加了對IPsec的支持。IPsec的實現(xiàn)方式可見圖3.1.26（參見教材P79）。常用的加密工具PGP（prettygoodprivacy，頗好保密性）是目前廣泛使用的加密技術(shù)體系，它混合使用了對稱加密、非對稱加密、數(shù)字摘要、數(shù)字簽名等多種安全技術(shù)。開源運(yùn)動的軟件工程師們根據(jù)PGP的相關(guān)標(biāo)準(zhǔn)，開發(fā)出了開源的GPG（GNUprivacyguard）軟件，隨后又有人在GPG的基礎(chǔ)上，開發(fā)出了帶有操作界面的Gpg4win軟件。個人日常應(yīng)用中，對每一個文件都人為加密比較煩瑣，為此，人們開發(fā)出了很多可以自動加密硬盤的軟件，如Windows系統(tǒng)自帶的BitLocker。身份認(rèn)證日常生活中經(jīng)常要輸入各種密碼，如即時通信軟件的登錄密碼、使用時的手勢密碼、使用云服務(wù)的密碼等（圖3.1.35）（參見教材P83）。事實上，這時候輸入的密碼主要用于身份驗證。也就是說，服務(wù)器接收到密碼（通常是密碼的數(shù)字摘要）后，并不是用于加密或解密，而是與數(shù)據(jù)庫中已有的信息進(jìn)行比對，信息符合的才允許進(jìn)入系統(tǒng)，使用相應(yīng)的信息資源?；诿艽a的認(rèn)證，是使用最普遍的認(rèn)證方式。有一些信息系統(tǒng)進(jìn)行用戶認(rèn)證時，用戶光有賬號和密碼還不行，還得提供特殊的認(rèn)證文件，或者磁卡、U盾等物理設(shè)備。此外，還有一些基于生物特征的認(rèn)證方式，如指紋認(rèn)證、聲音認(rèn)證、虹膜認(rèn)證等（圖3.1.36）（參見教材P83）。防火墻防火墻這個概念來自古代。當(dāng)時人們?yōu)榉乐够馂?zāi)的發(fā)生和蔓延，會將堅固的石塊堆砌在木制房屋周圍，這種防護(hù)性的墻被稱為防火墻?，F(xiàn)在，很多機(jī)構(gòu)或單位會在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間建立一道維護(hù)安全的屏障，這個屏障的作用是阻斷來自外部網(wǎng)絡(luò)的威脅和入侵（圖3.1.37）（參見