【正文】 程序來破譯對稱密鑰 。 用該加密方法可以一秒鐘之內(nèi)加密大量的信息 。 ? RC2是由 Ron Rivest開發(fā)的 ， 是一種塊模式的密文 ，即將信息加密成 64位的數(shù)據(jù) 。 復(fù)習(xí) 對稱加密示意圖 1. 對稱算法 ? 產(chǎn)生一個對稱密鑰可以用許多算法 ， RSA算法是最常用的商業(yè)算法 。 加密技術(shù) 對稱加密 ? 在對稱加密方法中，用于加密和解密的密鑰是相同的，接收者和發(fā)送者使用相同的密鑰，即一個秘密密鑰。 其結(jié)構(gòu)如下： HTTP SSL更改密碼說明協(xié)議 SSL 握手協(xié)議 TCP IP SSL記錄協(xié)議 SSL協(xié)議棧 SSL 警示協(xié)議 1. SSL記錄協(xié)議 ? SSL記錄協(xié)議可為 SSL連接提供保密性業(yè)務(wù)和消息完整性業(yè)務(wù)。 還可將 SSL嵌套在特定的數(shù)據(jù)包中 （ 如 IE等大多數(shù) Web服務(wù)器都裝有SSL） 。 ? SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法 、 通信密鑰的協(xié)商以及服務(wù)器認證工作 。 ?如果 SA的兩個端點中至少有一個安全網(wǎng)關(guān)，則AH或 ESP的使用模式必須是隧道模式。 ? 由于封裝了原數(shù)據(jù)報，新數(shù)據(jù)報的源地址和目標(biāo)地址都與原數(shù)據(jù)報不同，從而增加了安全性。 ? 以傳輸模式運行的 AH協(xié)議對負載及報頭中選擇的一部分進行認證。 ? 一個 SA可由三個參數(shù)惟一地表示 安全參數(shù)索引 ， 目標(biāo) IP地址 ， 安全協(xié)議標(biāo)識符 （ Security Associations） IPSec的實現(xiàn)還需要維護兩個數(shù)據(jù)庫： ? 安全關(guān)聯(lián)數(shù)據(jù)庫 SAD ? 安全策略數(shù)據(jù)庫 SPD 通信雙方如果要用 IPSec建立一條安全的傳輸通路，需要事先協(xié)商好將要采用的安全策略，包括使用的算法、密鑰及密鑰的生存期等。 IPSec體系結(jié)構(gòu)中涉及的主要概念有： 安全關(guān)聯(lián) 、 模式 、 AH、 ESP IPSec體系結(jié)構(gòu) （ Security Associations） ? SA是 IP認證和保密機制中最關(guān)鍵的概念。 ? 安全協(xié)議有： 1. 認證報頭 AH（ Authentication Header),即認證協(xié)議。 網(wǎng)絡(luò)層安全協(xié)議體系 — IPSec IP層的安全問題涉及了認證 、 保密和密鑰管理三個領(lǐng)域 。 IPSec應(yīng)用示例 用戶系統(tǒng) IPSecWANIPSec網(wǎng)絡(luò)設(shè)備 IPLAN IP 報頭 IPSec 報頭 安全 IP 負載 具有 IPSec的用戶系統(tǒng) 具有 IPSec的網(wǎng)絡(luò)設(shè)備 IPSec具有以下意義： ? IPSec用于防火墻和路由器等網(wǎng)絡(luò)設(shè)備中 ， 以提供安全的業(yè)務(wù)流 ， 而在 LAN內(nèi)則可以不必進行安全性處理 。 ? 企業(yè)可在公網(wǎng)上建立自己的虛擬專用網(wǎng)。 ? 配有 IPSec系統(tǒng)的用戶，通過 ISP獲取安全訪問。 ? IPSec用于防火墻可防止用 IP的業(yè)務(wù)流繞過防火墻 。 其安全性應(yīng)達到： ? 期望安全的用戶能夠使用基于密碼學(xué)的安全機制； ? 應(yīng)能同時適用于 IPv4和 IPv6。 2. 封裝的安全負載 ESP（ Encapsulating Security Payload),即加密與認證協(xié)議。 ? 一個關(guān)聯(lián)就是發(fā)送與接收者之間的一個單向關(guān)系。 SA就是能在其協(xié)商的基礎(chǔ)上為數(shù)據(jù)傳輸提供某種 IPSec安全保障的一個簡單連接。 原 IP報頭 TCP 數(shù)據(jù) ESP報尾 ESP認證數(shù)據(jù) ESP報頭 加密的 認證的 2. AH和 ESP的兩種使用模式 2) 隧道模式 ? 隧道模式用于對整個 IP數(shù)據(jù)報的保護，即給原數(shù)據(jù)報加一個新的報頭（網(wǎng)關(guān)地址）。 新 IP報頭 原 IP報頭 數(shù)據(jù) ESP報尾 ESP認證數(shù)據(jù) ESP報頭 加密的 認證的 6 . IPSec服務(wù)與應(yīng)用 1. SA的組合方式 ? 一個 SA能夠?qū)崿F(xiàn) AH協(xié)議或 ESP協(xié)議，但卻不能同時實現(xiàn)這兩種協(xié)議。 6 . 傳輸層安全協(xié)議 SSL SSL協(xié)議概述 ? 安全套接層協(xié)議 SSL是在 Inter上提供一種保證私密性的安全協(xié)議 。 Web安全性方法 ? 保護 Web安全性的方法有多種 ， 這些方法所提供的安全業(yè)務(wù)和使用機制都彼此類似 ， 所不同之處在于它們各自的應(yīng)用范圍和在 TCP/IP協(xié)議棧中的相對位置 。 應(yīng)用層安全實現(xiàn) 對特定應(yīng)用程序來說 ， 其安全業(yè)務(wù)可在應(yīng)用程序內(nèi)部實現(xiàn) ， 這種方法的優(yōu)點是安全業(yè)務(wù)可按應(yīng)用程序的特定需要來定制 。 ? 保密性業(yè)務(wù)是通信雙方通過握手協(xié)議建立一個共享的密鑰，用于對 SSL負載的單鑰加密。 ? 雙方必須小心翼翼地保護密鑰，不讓外人得知。 既能用于數(shù)據(jù)加密又能用于數(shù)字簽名的算法 。 ? RC4是由 Rivest 在 1987年開發(fā)的 ， 是一種流式的密文 ， 即實時的把信息加密成一個整體 ， 密鑰的長度也是可變的 。 ? 為了使信息在網(wǎng)絡(luò)上傳輸 ， 用戶必須找到一個安全傳遞口令密鑰的方法 。 （ 備注 NAT） 3. 數(shù)據(jù)加密標(biāo)準(zhǔn) ? DES最著名的對稱加密技術(shù) ， 是 IBM于 70年代為國家標(biāo)準(zhǔn)局研制的數(shù)據(jù)加密標(biāo)準(zhǔn) 。 即使按照目前的標(biāo)準(zhǔn) ， 采用該方法的加密結(jié)果也是相當(dāng)安全 。 ? DES對于推動密碼理論的發(fā)展和應(yīng)用起了重大的作用 。 復(fù)習(xí) 非對稱加密示意圖 非對稱加密示意圖 ? 例如 ， 用戶 A要向用戶 B發(fā)送一條消息 ， A就必須用 B的公鑰對信息進行加密 ， 然后再發(fā)送 。 ? 優(yōu)點：由于公鑰是公開的 ， 而私鑰則由用戶自己保存 ， 所以對于非對稱密鑰來說 ，其密鑰管理相對比較簡單 。 ? HASH加密用于不想對信息解讀或讀取而只需證實信息的正確性 。 （ Hash encryption） ? HASH算法 HASH加密使用復(fù)雜的數(shù)字算法來實現(xiàn)有效的加密 。 一個稱為 MD系列的算法集就是進行這項工作 的 。 ? 另一方面 ， 當(dāng)發(fā)送的信息變得對其不利時 ， 發(fā)送方就可能謊稱從未發(fā)過這個信息 。 l 發(fā)送者事后不能抵賴對報文的簽名 。 數(shù)字簽名有一定的處理速度 ， 能夠滿足所有的應(yīng)用需求 。 ? 例如：發(fā)送和接收 Email中加密的實現(xiàn)全部過程 1） 發(fā)送方和接收方在發(fā)送信息之前要得到對方的公鑰 。 3） 發(fā)送者將該會話密鑰和信息進行一次單向加密得到一個 HASH值 。 4） 發(fā)送者用自己的私鑰對這個 HASH值加密 。 這種加密提供了數(shù)據(jù)的保密性 。 解密的過程正好以相反的順序執(zhí)行 。 ? 這兩種協(xié)議都允許自發(fā)的進行商業(yè)交易 ， Secure HTTP和 SSL都使用對稱加密 ， 非對稱加密和單向加密 ， 并使用單向加密的方法對所有的數(shù)據(jù)包簽名 。 還使用加密及信息摘要來保證數(shù)據(jù)的可靠性 。雖然大多數(shù)的密鑰嘗試都是失敗的 ， 但最終有一個密鑰讓破譯者得到原文 ， 這個過程稱為密鑰的窮盡搜索 。該文件的擁有者是超級用戶，只有超級用戶才有寫的權(quán)力，而一般用戶只有讀取的權(quán)力。 （ 3） 如果訪問是授權(quán)的 ， 安全性系統(tǒng)構(gòu)造一個存取令牌 ，并將它傳回到 Win 32的 WinLogin進程 。 修改鎖定時間為 0 修改閥值為 3 認證機制 身份認證 （ Identification and Authentication）定義為：為了使某些授予許可權(quán)限的權(quán)威機構(gòu)滿意 ， 而提供所要求的用戶身份驗證的過程 。 認證方法 ? 生物特征認證 指紋： 唯一地識別一個人 手?。?讀取整個手而不是僅僅手指的特征 。比如 UNIX的 rlogin和 rsh程序通過源 IP地址來驗證一個