【正文】 這把密鑰加密后傳送給對方的。如三重DES是DES（數據加密標準）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。 非對稱加密/公開密鑰加密在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發(fā)展的必然結果。最具有代表性是RSA公鑰密碼體制。 RSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數之積。RSA算法的描述如下：公開密鑰：n=pq(p、q分別為兩個互異的大素數，p、q必須保密) e與（p1）(q1)互素 私有密鑰：d=e1 {mod(p1)(q1)} 加密：c=me(mod n),其中m為明文，c為密文。 解密：m=cd(mod n) 利用目前已經掌握的知識和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。 注冊與認證管理 認證機構CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網絡用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼學有關系，而且與整個PKI系統(tǒng)的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠家的CA產品兼容。 注冊機構RA（Registration Authority）是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設計和實現網絡化、安全的且易于操作的RA系統(tǒng)。 密鑰備份和恢復為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。 證書管理與撤消系統(tǒng)證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現一個已頒發(fā)證書不再有效的情況這就需要進行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制，隨時查詢被撤消的證書。第五章 安全技術的研究 安全技術的研究現狀和方向我國信息網絡安全研究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全研究階段，現已開發(fā)研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網絡安全的方案，目前應從安全體系結構、安全協(xié)議、現代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監(jiān)測型。 包過濾型包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統(tǒng)管理員也可以根據實際情況靈活制訂判斷規(guī)則。包過濾技術的優(yōu)點是簡單實用,實現成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。 代理型 代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器。而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發(fā)給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。 實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是基于應用的,應用網關能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協(xié)議的有效支持和對網絡整體性能的影響上。結 論互聯網現在已經成為了人民不可或缺的工具，其發(fā)展速度也快得驚人，以此而來的攻擊破壞可謂層出不窮，為了有效的防止入侵把損失降到最低，我們必須時刻注意安全問題，使用盡量多而可靠的安全工具經常維護，讓我們的網絡體系完善可靠，在INTERNET為我們提供了大量的機會的同時,。網絡安全是一項動態(tài)的、整體的系統(tǒng)工程，我們致力于結合本國家的網絡特點,制定妥善的網絡安全策略,將INTERNET的不安全性降至現有條件下的最低點,讓它為我們的工作和現代化建設更好的服務。參考文獻[1] 褚建立、劉彥舫?。嬎銠C網絡技術　北京　國防大學出版社[2] 李偉?。W絡安全實用技術標準教程 北京 清華大學出版社[3] 雷震甲 . 網絡工程師文獻 北京 清華大學出版社[4] 黎連業(yè)、張維、向東明 . 路由器及其應用技術 北京 清華大學出版社