数据加密技术-PPT课件.ppt

1、第二章 数据加密技术1数据加密技术实现的安全目标v 机密性（confidentiality）v 完整性（integrity）v 真实性（authenticity）v 不可抵赖（nonrepudiation）2内容目录v 密码学历史密码学历史v 密码学基本概念v 对称加密与非对称加密v 信息的完整性v 公钥基础设施概念和机制v 密码的应用和分析v密码学是数学的分支 密码学是数据存储和传输编码格式，只有特定的人才能阅读 密码学应保证破解数据无论是空间还是时间上都是不可行的 密码学起源于军事和政治应用现代密码学依赖于计算机科学密码学引言4例如：明文security 密文hvxfirgb解密：xrhh

2、kv 密码学诞生于4000年前，古典密码学被认为是艺术v 希伯来人（Hebrew ）使用密码术将原始字母转化为另一个字母，这是典 型的“替代加密”（substitution cipher）v 单字母替代ABCDEFGH I J KLMNOPQRSTUVWXYZZYXWVUTSRQPONMLKJ IHGFEDCBA密码学历史5公元前400年Spartans“轴棒密码”（scytale cipher）密码学历史6密码学历史v 著名的恺撒（Caesar）密码加密时它的每一个明文字符都由其右边第3个字符代替, 即A由D代替，B由E代替,W由Z代替,X由A代替，Y由B代替， Z由C代替；解密就是逆代换。

3、716世纪，法国人Vigenere为亨利三世发明了多字母替代密码密码学历史8第二次世界大战期间，由于电子和无线通信的发展，古典密码学发展到了巅峰。“轮密码”（rotor cipher，仍然是替代密码，但使用了复杂的转轮）出现了有名的Enigma：它包含多个独立转轮、一个附加版、一个反射轮。其密钥就是转轮的初始设置和转轮的前进档位。波兰的破译小组（雷耶夫斯基等人）在德国进攻波兰之前曾破译了Enigma，破译技术对日后图灵的工作提供了帮助。密码学历史9v 16世纪，苏格兰女王Mary因密谋叛乱的密文被破解而丧命，Mary当时被认为参与了许多有关于企图协助天主教夺权以及推翻英格兰伊丽莎白的计划。v

4、美国独立战争时期Benedict Arnold使用密码本传递情报和调度军队。v 1920年，美国密码学家William Frederick Friedman发表 论文”The index of Coincidence and Its Application in Cryptography”。v 1976年，IBM的“Lucifer ”项目被NSA吸收为美国的加密标准DES。密码学历史10内容目录v 密码学历史v 密码学基本概念密码学基本概念v 对称加密与非对称加密v 信息的完整性v 公钥基础设施概念和机制v 密码的应用和分析11密码学定义和概念提供加/解密的对象称为密码系统（cryptosys

5、tem），是一套软件或硬件v 明文（Plaintext/Cleartext）：a message in clear text.v 密文（Ciphertext/Cryptogram） ：unintelligible messagev 加密（Encipher/Encrypt/Encode）：to make a messageunintelligible to all except recipientv 解密（Decipher/Decrypt/Decode）：to undo ciphermentprocessv 数学表示 加密函数E作用于M得到密文C：E（M）= C 相反地，解密函数D作用于C产生M

6、： D（C）= M 先加密后再解密消息：D（E（M）= M12v 密码算法Cryptographic Algorithm如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的算法需要密钥的加密算法，其安全性基于密钥的安全性，而不是算法细节的安全性（算法公开）包含密钥空间keyspascev 密钥Key 控制着加密和解密过程的一大串随机数 密钥空间越大，生成的密钥越可能不一样v 密钥由一串随机2进制位组成 密钥空间（key space）：由密钥的长度决定，例如64位长密钥，空间是264 弱密钥（weak key）：在密钥空间里不适合作密钥的位串，例如，0000，1111，00001111等

7、密钥生成（key generation）：密钥由伪随机或真随机系统生成，密钥越随机越好v 密钥的使用个数 单钥： KA = KB。对称密码算法，又称秘密密钥算法或单密钥算法 双钥： KAKB。非对称密钥算法，又称公开密钥算法密钥和算法Kerckhoff原则v 1883年，Auguste Kerckhoff 发表论文认为 “密码系统中唯一需要保密的是密钥” “算法应该公开” “太多的秘密成分会引入更多的弱点”v 密码系统组成 软件、协议、算法、密钥赞成算法公开意味着更多的人可以分析密码系统，有助于发现其弱点，并进一步改进。反对政府、军队使用不公开的算法14密码系统的强度v密码系统强度取决于： 密

8、码算法 密钥的长度 密钥的保密 初始化向量 以上协同运算的机制v破坏密码系统的终极目标是：获得密钥 密码系统强度=破解密码需要的计算能力、资源、和需要时间 理论上，任何密码系统可以通过蛮力（brute force）攻击破解：试探每一个密钥 如果用PC机蛮力搜索1个星期就能找到密钥，那么密码系统弱 如果用全世界的计算能力搜索1万年才能找到密钥，那么密码系统叫强v 保护密钥在使用过程中不泄露是需要长抓不懈的工作重点15一次性密码本（One-Time Pad）v 1917年Gilbert Vernam提出的，被认为不可破译，使用随机的替换值加密，在计算机中，使用随机的二进制位串和明文位串进行异或操作

9、v 密文接收者必须有相同的一次性密码本v “密码本只使用一次”v “密码本与明文消息长度一样”v “密码本必须要安全的分发并在发送端和接收端都高度保护”v “密码本必须由真随机值组成”16一次性密码本（One-Time Pad)17Running Key Ciphers(运动密钥加密)v 没有复杂的算法v 利用双方约定的某个秘密例如双方约定使用某本书的某页、某行、某列作为秘密消息；14916C7. 299L3C7 . 911L5C8 表示：第一个字符是第1本书、第49页、第16行、第7列；第二个字符是第2本书、第99页、第3行、第7列；第三个字符是第9本书、第11页、第5行、第8列。18Con

10、cealment Ciphersv 没有复杂的算法v 利用双方约定的方式提取公开消息中的秘密信息v 例如双方约定取消息中每第3个单词作为秘密消息；The saying, “The time is right is not cow language, sois now a dead subject” The right cow is deadThe right cow is dead19隐写术（Steganography）v 在其它媒体中隐藏数据，只有发送者和接收者能获得此数据，因为其被秘密嵌入在波形、视频、音频、图像等文件中；v 其特点是不引起注意。v 隐藏术的要素：载体（carrier）：承

11、载秘密信息的文件伪装媒介（stego-medium）：载体的表现形式载荷（payload）：传递的秘密信息隐写墨水隐藏密码20数字水印（Digital watermark）v 在媒体中嵌入的、可以被看见的标记v 通常用于数字版权管理（digital rights management）21内容目录v 密码学历史v 密码学基本概念v 对称加密与非对称加密对称加密与非对称加密v 信息的完整性v 公钥基础设施概念和机制v 密码的应用和分析22 对称加密（symmetric cryptography）v 对称算法 发件人和收件人使用共同拥有的单个密钥，加密和解密使用同一个密钥 秘密密钥（Secret

12、Keys）、对称密钥、会话密钥23 对称加密（symmetric cryptography）v 对称加密发送者和接收者使用同一个密钥，此密钥不能被第三个人获得N个人进行两两秘密通信，需要的密钥数是：N * ( N 1 ) / 2v缺点 密钥数随着人数的增加呈指数级增长 密钥的安全分发很困难 不能提供真实性和不可否认性v优点 运算速度快 强度高，使用大密钥空间不易被破解v 典型的对称算法包括Rijndael（AES）、DES、Triple DES、 Blowfish、IDEA、RC4、SAFER等24 对称加密类型v 替换（substitution）使用新字符代替原来字符Caesar ciphe

13、r：算法是替换的表， 密钥则是“位移数为3”v 置换(transposition, permutation）对原来字符串进行重新排列密钥是重新排列的位置现代对称密码学既使用替换也使用置换25替换和置换密码混合v 混合使用替换和置换的优势：抵御频率分析（Frequency analysis）26密钥导出函数（Key Derivation Functions）v 使用主密钥（master key）生成一系列子密钥（sub-keys）v 子密钥生成函数（key derivation functions）v 特点:主密钥需要保密生成函数越强、其它密钥材料越随机，子密钥越好避免长期使用一个主密 钥带来的

14、安全风险27对称算法的两种分类v 分组加密（block cipher）：对一组组位串进行加密分组加密使用混淆（confusion）和扩散（diffusion）技术替换达到混淆：明文和密钥充分混合，使得密文极度随机置换达到扩散：明文的一位变化导致密文每位产生变化的概率是50%v 流加密（stream cipher）：一次对一个位进行加密需要一个密钥流生成器，产生随机密钥位与明文进行异或发送者和接收者必须有相同的密钥流生成器分组加密（Block Cipher） 和流加密（Block Cipher）28分组加密（Block Cipher）29流加密（Block Cipher）v 采用比特（bits）

15、 流的方式处理信息v 采用数学算法作用于每个比特（Bits）v 密钥流的周期必须足够长v 密钥流是统计上不可预测的v 密钥流与密钥线性无关v 密钥流是统计上无偏的（0和1的个数几乎相等）vStream ciphers use keystream generators30对称加密- DES（Data Encryption Standard）v IBM设计Lucifer，原始算法是128位密钥和分组v 美国国家安全局（NSA）将其修改为64位分组v 1978年美国国家标准委员会（ANSI）采纳为商用标准v DES的密钥64位，有效密钥56位，加密16轮（看起来是8个字节 64bit，但每个字节最高

16、位被忽略）v 1988年ANSI宣布不再支持DES为标准v 1998年，耗资25万美元的计算机在3天之内可以蛮力破解DESv 由于计算性能的持续增加，DES完全不能保护商业秘密v 3DES成为DES新标准出现之前的替代算31对称加密-Double/Triple DESv Double DES有效的密钥长度112bit工作因素和简单DES大致一样并不比DES安全v Triple DESDES-EEE3：3DES用3个不同密钥加密DES-EDE3：3DES操作（加密-解密-加密）使用3个不同的密钥DES-EEE2、DES-EDE2：与前一个相同，除了第一和第三个操作使用相同密钥没有报告成功的攻击缺

17、点是用软件实现时速度慢EncryptDecryptEncryptPlaintextCiphertextKey1Key 2Key 3DES-EDE332对称加密-AES（高级加密标准）v 1997年NIST开始征集AES算法，要求是分组算法，支持128、192、256密钥长度v 最终对决的5个算法是:MARS：IBM设计RC6：RSA设计Serpent：Ross Anderson等设计Twofish： Bruce Schneier 等设计Rijindael：Joan Daemen和Vincent Rijmen设计v 最终Rijindael中选，它支持128、192、256位分组128位分租，10

18、轮运算192位分组，12轮运算256位分组，14轮运算33其他对称加密算法v IDEA：64位分组算法， 128位密钥， 64位分组分为16个小块，每小块进行8轮运算，比DES快且安全vBlowfish：64位分组算法，密钥可选32-448位内的任意长度，16轮运算vRC4：流密码，密钥长度可变，应用SSL和802.11 WEP协议vRC5：32、64、或128位分组算法，密钥长度最高2048位，最大加密轮数 255v 算法表示为rc5-w/r/bw：字长度，16、32、或64位r：轮数，0255b：密钥字节数vrc5-32/12/16表示32位分组、12轮运算、128位密钥34非对称加密（A

19、symmetric Cryptography）A应该如何把东西安全递交给BA、B两人分别在两座岛上。B生病了，A有B所需要的药。C有一艘小船和一个可以上锁的箱子。C愿意在A和B之间运东西，但东西只能放在箱子里。只要箱子没被上锁，C都会偷走箱子里的东西，不管箱子里有什么。如果A和B各自有一把锁和只能开自己那把锁的钥匙.35非对称算法（asymmetric cryptography）v 非对称算法 加密和解密使用不同的但是紧密关联的两个密钥 公钥和私钥（Public and Private keys）36非对称加密（Asymmetric Cryptography）v 每个实体有两个不同的密钥：公钥

20、和私钥公钥（public key）是公开的，为其他实体所知私钥（private key）是保密的，只有所属实体自己知道公钥一般通过公开目录下载或电子邮件地址被使用37非对称加密（Asymmetric Cryptography）v 每个实体有两个不同的密钥：公钥和私钥数学上两者紧密关联，互相唯一确定知道公钥不能推导出私钥知道公钥和密文不能推导出私钥v 非对称机密的原理Alice要给Bob发送秘密消息，使用Bob的公钥加密。这称为安全消息格式（secure message format）Bob使用自己的私钥解密Alice要给Bob发送真实的一封邮件，使用自己的私钥签名。这称为开放消息格式（open

21、 message format）Bob只能使用Alice的公钥验证她的签名Bob使用Alice的公钥和签名邮件不能导出Alice的私钥38非对称加密（Asymmetric Cryptography）v 缺点：运算速度慢大量复杂的数学函数v 优点：密钥分发更容易更大的灵活性能提供认证和不可否认性v 典型的公钥算法：RSA（Rivest-Shamir-Adleman）ECC（椭圆曲线Elliptic curve cryptosystem）Diffie-HellmanEL GamalDSA（digital signature algorithm）Merkle-Hellman Knapsack39非对

22、称加密- Diffie-Hellmanv 第一个非对称加密算法，重点解决密钥分发问题v 基于“有限域上的离散对数计算困难”的难题v Alice和Bob可以各自选择一个私有随机数，以离散指数的形式发给对 方，然后双方能运算出一个相同的对称密钥原始Diffie-Hellman算法存在中间人攻击40非对称加密- RSA算法v 1978年Ron Rivest，Adi Shamir，Leonard Adleman设计，可用于加 密和签名v 基于“大整数素因子分解困难”的难题v 工作原理：任意选取两个不同的大质数p和q，计算乘积n=p*q；任意选取一个大整数e，e与(p-1)*(q-1)互质，整数e用做加

23、密密钥；注意：e的选取是很容易的，例如，所有大于p和q的质数都可用；确定解密密钥d： d * e = 1 modulo（p - 1）*（q - 1） 根据e、p和q可以容易地计算出d；公开整数n和e，但是不公开d；将明文P (假设P是一个小于r的整数)加密为密文C，计算方法为：C = Pe modulo n将密文C解密为明文P，计算方法为：P = Cd modulo n41非对称加密- ECC（Elliptic Curve Cryptosystem）v 椭圆曲线密码技术（Elliptic cruvecryptography，ECC）于1985年被N.Koblitz和V.Miller分别独立提出

24、。v 其依据是定义在椭圆曲线点群上的离散对数问题的难解性。v ECC是代替RSA的强有力的竞争者，相比RSA，ECC安全性能更高，计算量小，处理速度快，存储空间占用小，带宽要求低。v SET协议制定者已将ECC定为下一代SET协议缺省的公钥算法。v 无线通信WAP 协议中的WTLS 层也可以选择使用ECC。42非对称加密- El Gamal和LUCv El Gamal可用于加密、数字签名和密钥交换是Diffie-Hellman算法的扩展在公钥算法中，速度是最慢的v LUC基于“Lucas序列”的有限域上的离散对数问题计算速度较El Gamal快43对称加密和非对称加密的不同点44混合加密方法（

25、Hybrid Encryption Methods）v 混合加密的目标是利用对称算法和非对称算法的各自优点对称算法加密较大的消息：速度快，强度高非对称算法加密上面的对称密钥：分发密钥方便45数字信封（digital envelope）46回答下面的问题1. If a symmetric key is encrypted with a receivers public key,what security service(s) is provided?2. If data are encrypted with the senders private key, what securityservic

26、e(s) is provided?3. If the sender encrypts data with the receivers private key, whatsecurity services(s) is provided?Answer：Confidentiality, because only the receivers private keycan be used to decrypt the symmetric key, and only the receivershould have access to this private key.Answer: Authenticit

27、y of the sender and nonrepudiation. If thereceiver can decrypt the encrypted data with the senders publickey, then she knows the data was encrypted with the sendersprivate key.Answer: None, because no one but the owner of the private keyshould have access to it. Trick question.47回答下面的问题4. Why do we

28、encrypt the message with the symmetric key?Answer: Because the asymmetric key algorithm is too slow5. Why dont we encrypt the symmetric key with another symmetric key?Answer: We need to get the necessary symmetric key to thedestination securely, which can only be carried out throughasymmetric crypto

29、graphy through the use of public and privatekeys to provide a mechanism for secure transport of thesymmetric key.48内容目录v 密码学历史v 密码学基本概念v 对称加密与非对称加密v 信息的完整性信息的完整性v 公钥基础设施概念和机制v 密码的应用和分析49哈希函数v哈希函数可用于消息验证，类似于LRC或CRC校验v哈希函数：把可变输入长度串转换成固定长度（经常更短） 输出串（叫做hash，或message digest）的一种函数 h=H(M) （M变长，h定长）v 用于消息验证

30、的哈希函数应具有以下性质：H能用于任意大小的消息H产生定长输出对任何给定的x，H(x)的计算相对容易对任何给定的码h，寻找x使得H(x)=h在计算上是不可行的，即单向性对任何给定分组x，寻找不等于x的y，使得H(y)=H(x)在计算上不可行 （弱无碰撞）寻找任何(x,y)对使得H(x)=H(y)在计算上不可行（强无碰撞，抗“生 日攻击”）50 消息的完整性v 奇偶校验和循环冗余校验码具备一定的完整性保护能力，但是只能应对传输中的少数位错误。不能预防故意的消息篡改 。v 消息验证码MAC（ Message Authentication Code）以一个消息的公共函数和一个密钥作用于消息，产生一个

31、定长数据分组，即消息验证码，并将其附加在报文中。v 通信双方共享一个密钥K，如果A有消息要送给B，他会计算出消息验证 码，它是消息和密钥的函数：MACM=F(K, M)。消息和验证码传给接收方。 接收方对收到的消息进行同样的计算，用同样的密钥生成新的验证码， 并与接收的验证码比较，如果二者相同，则：接收方能够确信消息没有被改动接收方能够确信消息确实来自其声称的来源如果消息含序列号，接收方则能确信序列是正确的v MAC消息验证与加密过程相似，唯一区别是验证算法不需要是可逆的51常用的哈希函数v MD5：是由Ron Rivest设计的可产生一个128位的散列值的散列算法。MD5设计经过优化，以用于

32、Intel处理器。v SHA-1：与DSA公钥算法相似，安全散列算法也是NSA设计的，并由NIST将其收录到FIPS中，作为散列数据的标准。它可产生一个160位的散列值。SHA-1是流行的用于创建数字签名的单向散列算法。52数字签名（digital signature）v 数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。v 信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要。通过与自己用收到的原始数据产生的哈希摘要对照，以确认以下两点：信息是由签名者发送的信息自签发后到收到为止未曾信得过任何修改v 数字签名的主要目的：数据的完整性身份鉴别不可抵赖

33、性53数字签名模型54内容目录v 密码学历史v 密码学基本概念v 对称加密与非对称加密v 信息的完整性v 公钥基础设施概念和机制公钥基础设施概念和机制v 密码的应用和分析55 PKI（Public Key Infrastructure）的动机v 朴素的公钥系统存在中间 人攻击v 公钥必须和个人身份关 联才能杜绝此攻击v 公钥技术如何提供数字签名功能如何实现不可否认服务 v 公钥和身份如何建立联系v 为什么要相信这是某个人的公钥v 公钥如何管理v 方案：引入证书(certificate)通过证书把公钥和身份关联起来56 PKI核心概念vIETF PKIX工作组的PKI系统结构模型数字证书Cert

34、ificateCA，CertificationAuthorityRA，RegistrationAuthority证书撤销CRL终端实体End EntityRA注册机构CRL IssuerCRL签发者CA认证机构PKI综合了对称密码和非对称密码算法的平台证书/CRL资料库PKI用户PKI userCA认证机构57CAv CA是可信的发布并维护数字证书的组织v CA保证数字证书的合法性v CA是PKI的信任基础，因为每个人信任CA，所以信任CA发布的证书v CA由公信的社会职能部门、大的通信商设立v 组织可建立自己的内部PKI和CAv 典型的CA有Entrust、VeriSign，浏览器中有默认的

35、CA证书58数字证书及撤销v 证书将公钥和个人身份紧密绑定在一起，每个证书有对应的私钥，目前 证书标准是X.509V5v 证书是一个计算机文件，经过CA的数字签名，其完整性、真实性、不可 否认性得到保护v 证书作废、私钥泄露、证书内容错误等都将引起证书撤销v 撤销的证书由CA维护在证书撤销列表（Certificate Revocation List） 中， CRL定期更新v 在线证书状态协议（Online Certificate Status Protocols）执行 实时的CRL检查CA证书59 PKI步骤实例 John向RA请求证书 RA要求John提供个人身份信息，例如驾照、住址、电话、

36、身份证等 RA验证信息正确后发给CA CA创建John的证书。（私钥/公钥对可有CA生成，严格意义上应由John自己生成） John从公共目录中请求Diane的公钥 公共目录发送Diane的证书给John John通过CA验证证书的有效性后，抽出Diane的公钥加密一个会话密钥，连同自己的证书一起发给Diane Diane也通过CA验证John的证书有效性后，可解密出会话密钥双方进行机密通信60PKI基本功能和服务v 签发数字证书并发布，包括：生成公私密钥对认证用户信息签发数字证书发布证书维护证书状态v 为达到以上目标，如何很好地进行功能分配、由不同的部件来 协同工作。v PKI须维护一定的历

37、史证书和私钥v PKI提供基本服务机密性完整性访问控制真实性不可否认性61密钥管理v 密钥管理是密码体系内非常重要的方面，密码系统无论算法多么完美， 归根结底是密钥必须安全的生成、存储、使用和销毁v 历史上，对称密钥放在安全盒子内由特使递送；或者，用主密钥二次生 成密钥v 现代密码学普遍使用安全协议（密码协议）（例如Kerberos）协商密钥 分配。v理论上，密钥使用越多，越可能导致泄露，因此密钥管理越复杂v 密钥管理是现代密码学最具挑战性、最需要谨慎处理的领域62 密钥管理原则 在密码系统之外，密钥不能以明文的形式存在 密钥的分配和维护应尽量自动化并与使用者隔离，以减小人为的错误和窃取 密钥

38、应有备份或托管，以应付密钥丢失、人员离职或伤亡情况下的紧急需要 备份密钥最好采用秘密共享的方式，即多人同时参与才能恢复密钥，以避免共谋风险 密钥长度必须达到足够的强度要求 密钥必须以安全的方式存储和传输 密钥应足够随机 密钥的生命期应和保护的数据的安全级别想适应 密钥使用越多，生命期越短 密钥生命期结束应恰当的销毁63密文用户B明文明文hash数字签名A证书加密B证书用户B的公钥 数字信封摘要 数字签名用户A的私钥对称密钥密文用户B的私钥解密数字签名A证书数字签名解密用户A的公钥摘要用户A对称密钥明文应用系统对加密体系的使用1.1.2.2.3.3.4.4.5.5.6.6.7.7.64内容目录v

39、 密码学历史v 密码学基本概念v 对称加密与非对称加密v 信息的完整性v 公钥基础设施概念和机制v 密码的应用和分析密码的应用和分析65加密技术在OSI协议中的应用v 除了物理层之外，加密可以用在OSI模型的七层架构中的任何一层中。在应用层，加密最容易实现，这给用户提供了极大的灵活度，因为保护的范围和强度可以根据应用的特殊需要而加以调整；在网络层和传输层的加密对于大多应用来说是透明的，能为系统在目前不安全的互联网上传输信息提供安全保证，这两层的加密相对来说成本较高，但影响到所有应用系统间的通信；在数据链路层的加密主要用于保护信息在局域网上的传输，但报文在通过其他的线路传输时仍然容易遭受攻击。6

40、6Internet Protocol Security(IPSec)v IPSec协议在网络层提供安全信道v IPSec是开放的、模块化框架，提供非常灵活的安全保护功能v IPSec被广泛应用于构造VPN网关v IPSec两种协议：认证头（Authentication Header）：AH插到标准IP包头后面，没有对用户数据进行加密，实现了完整性、真实性保护。封装安全载荷（Encapsulating Security Payload）：ESP将需要保护的用户数据进行加密后再封装到IP包中，实现了完整性、真实性、机密性保护。v IPSec两种模式：传输模式（Transport Mode）：只有传

41、输层数据被用来计算ESP头，ESP头和被加密的传输层数据被放置在原IP报头后面。隧道模式（Tunnel Mode）：用户的整个IP数据包被用来计算ESP头，且被加密，ESP头和加密用户数据被封装在一个新的IP数据包中。v 当IPSec通信的一端为安全网关时，必须采用隧道模式。67 v HTTP SecureHttp secure（https）表示“Hypertext Transfer Protocol over SecureSocket Layer”，是运行于SSL之上的httpSSL（Secure Sockets Layer）是嵌入在传输层上的安全协议，支持服务器 和客户端的双向认证，保护数

42、据机密性、完整性TLS（Transport Layer Security）是SSL开源等价协议v Secure HTTPSecure Http（S-Http） 表示“Secure Hypertext Transfer Protocol”， 是应用层协议上的http。Internet安全68Cookiesv Cookies是用户浏览器中保存的文本文件v Cookies可以用来记录用户的浏览习惯、或记录用户的选择，例如， 购物网站普遍利用Cookie保存购物车内的数据v Cookies可能在线保存电子银行的认证信息，供服务器定时查询，以 确保没有中间人攻击v Cookie可能离线保存用户的账号和口

43、令，此类信息最好由服务器加 密后推送到浏览器，以保证安全v 对待Cookies应科学分析，盲目禁用会降低Web服务的便捷性69Secure Shell(SSH)v SSH是一种隧道机制（协议），保护终端和远端通信信道的安全v 两台计算机通过握手和Diffie-Hellman算法生成会话密钥用于随后的通信v SSH应该代替Telnet、FTP、rlogin、rexec、rsh，以保证安全性70 电子邮件标准安全MIME（secure MIME， S/MIME）加密并签名电子邮件；支持附件的保护；遵循公钥密码学标准（PKCS）；用户可说明算法类型；保护邮件的机密性、完整性、真实性和不可否认性隐私增

44、强型邮件（privacy-enhanced mail， PEM） 机构内邮件通信的Internet标准； 提供完整性、机密性、不可否认性和密钥管理； 遵循公钥密码学标准（PKCS）；消息安全协议（messagesecurityprotocol， MSP） 军方的PEM； NSA开发； 签名和加密信息 X.400兼容的应用层协议隐私保护精灵（pretty good privacy， PGP） Phil Zimmerman设计,1991； 开源系统； 支持多种公钥和对称算法； 使用可信Web的方式信任数字证书，即Web互相签名证书，形成一个信任社区； 用户保存一个密钥环（key ring）文件，其

45、中存储其他可信用户的公钥；电子邮件安全标准71密码学分析模式v 被动攻击：Passive Attack，监听或嗅探的方式窃取信息，此攻击不破坏 协议、算法、密钥、消息；难以被发现v 主动攻击：Active Attack，攻击者介入密码系统，可能会破坏协议、密钥等v 典型的被动攻击唯密文攻击：cipher-only attack，攻击者收集大量的密文，试图以密码分析破解出密钥，是最难的攻击；已知明文攻击：known-plaintext attack，攻击者有明文-密文对，例如某些文本有固定的格式、起始和结束语句，二战时盟国使用此方法破解德国和日本的密码；选择明文攻击：chosen-plaintext attack，攻击者选择特定明文发给受害者，待受害者加密此明文发送出去后，再截获之。有意选择的明文有助于破解密钥；72