【正文】 ；從邏輯空間坐標(biāo)來講，它在第一層、第二層之間進(jìn)行；從實(shí)施對(duì)象來講，是對(duì)相鄰兩節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密，不過它僅對(duì)報(bào)文加密，而不對(duì)報(bào)頭加密，以便于傳輸路由根據(jù)其報(bào)頭的標(biāo)識(shí)進(jìn)行選擇。一般的節(jié)點(diǎn)加密使用特殊的加密硬件進(jìn)行解密和重加密，而且該硬件通常放置在安全的保險(xiǎn)箱中。 2. 鏈路加密 它在 OSI七層參考模型的第二層，即數(shù)據(jù)鏈路層進(jìn)行，是對(duì)相鄰節(jié)點(diǎn)之間的鏈路上所傳輸?shù)臄?shù)據(jù)進(jìn)行加密。鏈路加密側(cè)重與在通信鏈路上而不考慮信源和信宿，是對(duì)保密信息通過各鏈路采用不同的加密密鑰提供安全保護(hù)，即不同節(jié)點(diǎn)對(duì)之間用不同的密碼。鏈路加密是面向節(jié)點(diǎn)的，對(duì)于網(wǎng)絡(luò)高層主體是透明的，它不僅對(duì)數(shù)據(jù)加密而且還對(duì)高層的協(xié)議信息（地址、檢錯(cuò)、幀頭幀尾）也加密，因此數(shù)據(jù)在傳輸中是密文的，但在中央節(jié)點(diǎn)必須解密得到路由信息。 2022年 3月 13日星期日 3. 端到端加密 它在 OSI七層參考模型的第六層或第七層進(jìn)行，是為用戶之間傳送數(shù)據(jù)而提供的連續(xù)的保護(hù)。信息由發(fā)送端自動(dòng)加密，并進(jìn)入 TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，將自動(dòng)重組、解密，成為可讀數(shù)據(jù)。端到端加密是面向網(wǎng)絡(luò)高層主體的，它不對(duì)下層協(xié)議進(jìn)行信息加密，協(xié)議信息以明文形式傳輸，用戶數(shù)據(jù)在中央節(jié)點(diǎn)不需解密。由于網(wǎng)絡(luò)本身并不會(huì)知道正在傳送的數(shù)據(jù)是加密數(shù)據(jù)，這對(duì)防止拷貝網(wǎng)絡(luò)軟件和軟件泄漏也很有效。而且網(wǎng)絡(luò)上的每個(gè)用戶可以擁有不同的加密密鑰，而且網(wǎng)絡(luò)本身不需要增添任何專門的加解密設(shè)備，但每個(gè)系統(tǒng)要具備加解密設(shè)備與軟件，其中的加解密運(yùn)算量也是相當(dāng)大。 2022年 3月 13日星期日 ?加密和驗(yàn)證協(xié)議 1. S/MIME 解決電子郵件安全問題的首要辦法就是對(duì)電子郵件的加密，即在發(fā)送電子郵件之前將郵件加密，然后將電子郵件通過互聯(lián)網(wǎng)送出；郵件到達(dá)收件人的時(shí)候解密。這樣就可以達(dá)到保護(hù)郵件在傳輸過程中的基本安全。提到加密，我們不得不考慮這樣一個(gè)問題；通過什么加密方法和手段加密郵件。安全的 Email軟件通常提供的服務(wù)： 保密 /加密 ── 保證只有希望的接收方能夠閱讀信息。 信息完整性 ── 保證發(fā)出的信息與接收到的完全一樣，一個(gè)字符一個(gè)比特都不差。要說明的是發(fā)送一條信息并保證其完整性并不一定需要加密。 驗(yàn)證 ── 保證信息的發(fā)起者不是冒名頂替的。它同信息完整性一起可防止偽造。 抗否認(rèn) ── 證實(shí)發(fā)送者確實(shí)發(fā)送了信息而不管他是否承認(rèn)。 2022年 3月 13日星期日 常用的 Email標(biāo)準(zhǔn)有 MOSS、 PEM、 PGP、 PGP/MIME和 S/MIME等，其中 MIME對(duì)象安全服務(wù)（ MOSS）和保密增強(qiáng)郵件（ PEM）是沒有被廣泛實(shí)現(xiàn)的標(biāo)準(zhǔn)?，F(xiàn)在許多軟件廠商都使用 S/MIME作為安全 Email的標(biāo)準(zhǔn)。 S/MIME是在 PEM的基礎(chǔ)上建立起來的，但是它發(fā)展的方向與 MOSS不同。它選擇使用 RSA的 PKCS7標(biāo)準(zhǔn)同 MIME一起使用來保密所有的 Inter Email信息。 S/MIME的標(biāo)準(zhǔn)化工作是由一個(gè)由 RSA數(shù)據(jù)安全公司協(xié)調(diào)的工業(yè)聯(lián)合會(huì)進(jìn)行的。 S/MIME即安全 /通用互聯(lián)網(wǎng)郵件擴(kuò)充服務(wù)，是一個(gè)用于保護(hù)電子郵件的規(guī)范，包括有認(rèn)證、抗抵賴、數(shù)據(jù)完整性和消息保密性等。 S/MIME已經(jīng)發(fā)展到了 V3版，提供如下的安全性增強(qiáng)： 封裝的數(shù)據(jù) ：允許用對(duì)稱密碼加密任何類型的 MIME消息，從而支持保密性服務(wù)。然后用一個(gè)或多個(gè)接收者的公鑰加密對(duì)稱密鑰。接著，將加密的數(shù)據(jù)和相應(yīng)的加了密的對(duì)稱密鑰以及必要的接收者標(biāo)識(shí)符一起附在數(shù)據(jù)后面。 簽名的數(shù)據(jù) ：提供數(shù)據(jù)完整性服務(wù)，發(fā)送者對(duì)選定的內(nèi)容計(jì)算消息摘要，如何用私鑰加密 。 2022年 3月 13日星期日 凈簽名數(shù)據(jù) ：允許與 S/MIME不兼容的閱讀器閱讀附加了完整性功能的原始數(shù)據(jù)，處理過程與上一條相同。 簽名且封裝的數(shù)據(jù) ：同時(shí)提供簽名和加密來提供完整性和保密性服務(wù)。 S/MIMEv3支持多種對(duì)稱加密算法，它自身集成了帶有 40位密鑰的 RC2， RC2是 RSA公司開發(fā)出來用于代替 DES的對(duì)稱分組加密算法。同樣 S/MIMEv3支持 MD5和 SHA1，默認(rèn)使用 SHA1，在 S/MIMEv3協(xié)議中，發(fā)送方和接收方都支持 DSA和 RSA作為數(shù)字簽名算法；對(duì)于密鑰交換而言，則要求發(fā)送方和接收方支持 Diffie－ Hellman和 RSA；會(huì)話密鑰在發(fā)送方是要求 40位或者 128位的 RC2或 3重 DES，接收方支持 128位的 RC2或 3重 DES。 2022年 3月 13日星期日 2. PGP PGP是一個(gè)基于 RSA公鑰加密體系的郵件加密軟件，也是個(gè)雜合算法，所謂“雜合”體現(xiàn)在它包含：一個(gè)對(duì)稱加密算法（ IDEA）、一個(gè)非對(duì)稱加密算法（ RSA）、一個(gè)單向散列算法（ MD5）以及一個(gè)隨機(jī)數(shù)產(chǎn)生器。 PGP 的創(chuàng)始人是美國(guó)的 Phil Zimmermann。他的創(chuàng)造性在于他把 RSA公鑰體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來，并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì)。因此 PGP成為幾乎最流行的公鑰加密軟件包。 當(dāng)使用者使用 PGP來對(duì)明文加密的時(shí)候， PGP首先會(huì)壓縮這段明文。數(shù)據(jù)壓縮能夠節(jié)省網(wǎng)絡(luò)傳輸時(shí)間以及磁盤空間，還有更重要的是強(qiáng)化保密程度。大部分的密碼分析技術(shù)利用偽明文攻擊來破解密碼。壓縮后可以提高了對(duì)密碼分析的抵抗力。 2022年 3月 13日星期日 2022年 3月 13日星期日 然后 PGP會(huì)產(chǎn)生一個(gè)會(huì)話密鑰，這把會(huì)話密鑰是一種只有當(dāng)時(shí)有效的密鑰，是利用任意的鼠標(biāo)移動(dòng)以及鍵盤輸入通過隨機(jī)數(shù)產(chǎn)生器所產(chǎn)生的隨機(jī)數(shù)。它以非常秘密而快速的傳統(tǒng)加密算法來加密明文，即使用 IDEA和會(huì)話密鑰產(chǎn)生出密文。當(dāng)數(shù)據(jù)加密完成后，這把會(huì)話密鑰接著就會(huì)開始以收信者的公鑰被加密。這個(gè)被公鑰加密過的會(huì)話密鑰將會(huì)與密文一并交付給收信者。 解密的過程就是反向運(yùn)作了。收信者的 PGP會(huì)利用他的私鑰來還原那把暫時(shí)的會(huì)話密鑰，然后 PGP再利用這把會(huì)話密鑰來將 IDEA加密過的密文解密。 2022年 3月 13日星期日 2022年 3月 13日星期日 兩種加密方法的結(jié)合匯聚了公鑰加密算法的便利以及傳統(tǒng)加密法的迅速。傳統(tǒng)加密算法大約比公鑰加密算法要快上 1,000 倍；而公鑰加密算法則解決了密鑰傳遞和數(shù)據(jù)傳輸?shù)膯栴}。雙管齊下，效率和密鑰傳遞兩者同時(shí)改善了，而且不會(huì)有任何安全上的犧牲。 PGP還可以只簽名而不加密，這適用于公開發(fā)表聲明時(shí)，聲明人為了證實(shí)自己的身份（在網(wǎng)絡(luò)上只能如此了），可以用自己的私鑰簽名。這樣就可以讓收件人能確認(rèn)發(fā)信人的身份，也可以防止發(fā)信人抵賴自己的聲明。這一點(diǎn)在商業(yè)領(lǐng)域有很大的應(yīng)用前途，它可以防止發(fā)信人抵賴和信件被途中篡改。 2022年 3月 13日星期日 2022年 3月 13日星期日 平常的時(shí)候用戶的私鑰用 IDEA加密后存放在 文件中，加密所用的密鑰是由用戶口令經(jīng)過 MD5變換而成的。簽名時(shí)，用戶提供口令，經(jīng) MD5單向散列函數(shù)輸出加密自己RSA私鑰的 IDEA密鑰。 PGP密鑰管理模塊取出加密后的 RSA私鑰，經(jīng)過 IDEA解密算法和 IDEA密鑰，恢復(fù)出明文的 RSA私鑰。另一方面， PGP讀出被簽名的文件內(nèi)容，計(jì)算其 MD5碼。該碼經(jīng)過明文的 RSA私鑰和 RSA加密算法加密以后，變成了被加密的 MD5碼，形成數(shù)字簽名。然后再附加到原文件之后，合并為可以向外發(fā)送的傳輸文件。在上述操作之前，原文件可以經(jīng)過或不經(jīng)過壓縮處理。 收件人得到帶有數(shù)字簽名的傳輸文件以后，需對(duì)數(shù)字簽名進(jìn)行鑒別。鑒別過程與簽名過程類似。 PGP的密鑰管理模塊首先取出簽字人的 RSA公鑰，數(shù)字簽名經(jīng)過 RSA公鑰和解密算法，恢復(fù)出被加密的 MD5碼。然后， PGP重新計(jì)算文件的 MD5碼，與前者對(duì)比。如果相同，宣布該文件屬實(shí)；否則警告用戶，文件或簽名已經(jīng)過改動(dòng)。 2022年 3月 13日星期日 2022年 3月 13日星期日 PGP加密技術(shù)創(chuàng)造性地把 RSA公鑰體系和傳統(tǒng)加密體系結(jié)合起來，并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì)，因此 PGP成為目前幾乎最流行的公鑰加密軟件包。 由于 RSA算法計(jì)算量極大，在速度上不適合加密大量數(shù)據(jù)，所以 PGP實(shí)際上用來加密的不是 RSA本身，而是采用傳統(tǒng)加密算法 IDEA， IDEA加解密的速度比 RSA快得多。 PGP隨機(jī)生成一個(gè)密鑰，用 IDEA算法對(duì)明文加密，然后用 RSA算法對(duì)密鑰加密。收件人同樣是用 RSA解出隨機(jī)密鑰，再用 IEDA解出原文。這樣的鏈?zhǔn)郊用芗扔?RSA算法的保密性和認(rèn)證性，又保持了 IDEA算法速度快的優(yōu)勢(shì)。 2022年 3月 13日星期日 小 結(jié) ? 本章介紹了密碼學(xué)的發(fā)展歷史 ， 常見的加密類型以及常用的加密算法 ， 代表性的介紹了兩種經(jīng)典的算法 DES和 RSA算法 ， 其他的一些算法并沒有展開 。 ? 詳細(xì)介紹了密碼分析與攻擊方法以及一些攻擊實(shí)例 ， 并介紹了密碼學(xué)的基本應(yīng)用 。