加密通信機制

❶ 請問什麼是什麼是加密通信

您好
中國電信加密通信業務基於中國電信廣覆蓋、大容量的CDMA移動通信網路和安全管理平台，通過中國電信為客戶特別定製的，內置國家密碼管理局指配加密演算法的手機終端，利用商用密碼技術和信息安全技術，向客戶提供實現商密級的端到端手機話音通信加密功能、手機終端信息保護以及手機終端加密信息的遠程擦除等安全服務。

❷ 電信加密通信業務產品有什麼優勢

電信加密通信業務產品優勢：

國家認可
業務開展獲得國家密碼管理局批准，技術方案通過國家密碼管理局組織的專家組評審，核心加密演算法由國家密碼管理局指定
端到端加密
實現手機端到端加密，不同於傳統移動網標准中對空口信號的保護
一話一密
每次加密通話採用密鑰管理中心隨機生成的密鑰，以確保整個過程的安全性
國內首創
國內首家由政府批准，運營商提供的商密級話音加密服務
操作簡便
通過專用的定製終端，加密通話一鍵完成
集成眾多安全機制
實現隱私信息保護、密碼清空、丟失手機信息保護等，減少客戶使用的後顧之憂

❸ 讓你徹底明白：HTTPS安全通信機制

1969年11月，美國國防部 高級研究計劃管理局（ ARPA 全稱： Advanced Research Projects Agency）開始建立一個命名為ARPAnet的網路，這是就是互聯網的前身，一個軍事用途的網路。

隨著ARPAnet網路的逐漸發展，更多的主機接入，原來的架構和協議已經不夠用了，研究人員把重點投向了第二代網路協議的研究，於是TCP/IP協議簇出現了。而TCP/IP簇使用的網路參考模型就是TCP/IP參考模型，我們稱之為「五層網路模型」。

當然也有人說這個TCP/IP參考模型是四層的，不是五層的。其實這么理解也是對的，TCP/IP參考模型只是一種概念，並沒有相關的標准。TCP/IP協議里邊 只是要求能夠提供給其上層-網路互連層（Internet layer）一個訪問介面，以便在其上傳遞IP分組就可以。由於這一層次未被定義，所以其具體的實現方法將隨著網路類型的不同而不同。

全稱Open Systems Interconnection Reference Model，即「開放式系統互連參考模型」，是七層參考模型。

1978年（或1979年），為了統一網路系統的體系結構，ISO（International Standards Organization國際標准化組織）和CCITT（International Telegraph and Telephone Consultative Committee國際電報電話咨詢委員會）分別起草了定義網路模型的文檔。1983年，這兩份文檔合並，形成一個標准，稱為開放系統互連的基本參考模型（the OSI Reference Model）。它把通信系統劃分成七個不同的抽象層，每一層服務於上一層，並由下面的層提供服務。1984年，該標准分別被列入了ISO標准（ISO 7498) 和 CCITT標准（X.200）。

無論是TCP/IP四層模型還是OSI七層模型，簡單來講，發送數據的時候就是數據經過層層包裝，包裝成每一層能看得明白的信息，然後到了物理層轉化成了二進制流，發送出去，接收方再經過逆向的層層剝離，把數據拿出來，最後就完成了數據的傳輸。

無論OSI 或TCP/IP 參考模型都有成功和不足的方面。ISO本來計劃通過推動OSI參考模型與協議的研究來促進網路標准化，但是事實上這個目標沒有達到。TCP/IP 協議利用正確的策略，抓住有利的時機，伴隨著互聯網發展而成為目前公認的工業標准。在網路標准化的進程中，人們面對著的就是這樣一個事實。OSI 參考模型由於要照顧各方面的因素，使得OSI參考模型變得大而全、效率低。盡管這樣，它的很多研究結果、方法對今後網路的發展有很好的指導意義、並且經常被用於教學。TCP/IP 協議的應用非常廣泛，但是它的參考模型研究卻很薄弱。

HTTP通信，是不加密的通信。所有信息明文傳播，帶來了三大風險。

而SSL/TLS協議的誕生便是為了解決這三大風險：

HTTPS就是在TCP協議層和HTTP協議層中間架起了一層SSL/TSL協議層，這一層能夠把在網路中傳輸的數據進行有效的加密。下面是基於SSL協議的五層網路模型圖：

https支持單向認證（只驗證服務端證書的有效性），也支持雙向驗證（既驗證服務端證書的有效性也驗證客戶端證書的有效性）

SSL（Secure Sockets Layer安全套接層），是一種網路安全協議。主要依賴數字證書、非對稱加密、對稱加密、數據完整性校驗以及隨機數這5個密碼學的基礎知識，構建出一個完整可信的傳輸鏈。

TLS（Transport Layer Security傳輸層安全協議），是基於SSL協議的通用化協議，正逐步替代SSL。

SSL/TLS分為兩層，一層是記錄協議（建立在可靠的傳輸協議上（比如tcp），提供數據封裝，加密解密，數據建議等基本功能），一層是握手協議（建立在記錄協議上，在實際的數據傳輸開始前，進行加密演算法的協商，通信密鑰的交換等）。

目前，應用最廣泛的是TLS 1.0，接下來是SSL 3.0。但是，主流瀏覽器都已經實現了TLS 1.2的支持。TLS 1.0通常被標示為SSL 3.1，TLS 1.1為SSL 3.2，TLS 1.2為SSL 3.3。

SSL/TLS協議的基本思路是採用公鑰加密法，也就是說，客戶端先向伺服器端索要公鑰，然後用公鑰加密信息並發送給伺服器，伺服器收到密文後，用自己的私鑰解密。

那麼，非對稱加密的引入是否解決了數據傳輸的安全問題？這個問題大家可以思考一下，我們稍後再討論。

另外，細心的人都會發現，非對稱加密機制的安全性，必須建立在公鑰的安全發放這個大前提上。畢竟在大多數情況下，通信雙方並不是面對面的，無法通過安全可靠的物理介質交換公鑰，公鑰本身也是通過網路傳輸的，那麼，如何防止公鑰的傳輸過程被攻擊？舉個簡單的例子，A和B為了通信安全，約定使用非對稱加密進行通信，在開始加密通信前，B需要通過網路向A發放自己的公鑰B』和一段密文，但此時C截獲了B『的發放過程，將自己偽裝成B，並將自己的公鑰C『和自己的私鑰加密的一段密文發放給了A，A拿到C』後，驗證解密過程成功，就以為自己拿到的確實是B『，於是開始了加密通信，這樣，A和B都以為自己在和對方通信，但實際上他們其實各自在和C通信，此時C就可以為所欲為。

針對公鑰的安全發放問題，解決辦法就是數字證書。私鑰持有者需要向CA購買數字證書，將公鑰放在數字證書中傳輸，任何第三方只要驗證了數字證書是可信的，就可以相信該證書中的公鑰是可信的。

然而，細心的人可能又有疑問了：數字證書會不會也存在問題，換句話說，如何保證數字證書的有效安全？

數字證書的非法可能有兩種情況：

數字證書的可靠性，就要靠數字簽名來保證了。關於數字證書和數字簽名的詳細介紹，參考我的另一篇文章 《信息安全的護城河：數字證書與數字簽名技術》 ，這里不再贅述。

解決了證書的安全發放問題後，再回頭看第一個問題：非對稱加密的引入是否解決了數據傳輸的安全問題？

答案是，還不夠！

為什麼這么說？因為非對稱加密只能保證數據的傳輸單向安全。所謂非對稱加密，就是一方加密的信息，只能由另一方解密。雖然私鑰只有自己（伺服器）持有，但是公鑰卻是公開的，任何人都可以持有公鑰，那麼伺服器用私鑰加密過的信息，任何持有公鑰的人都可以解密出來，換句話說，伺服器的數據相當於是在網路上換了種方式裸奔。

※引申思考：既然私鑰加密的數據並沒有隱私性可言，是不是私鑰加密就沒有用處了？

說到這里，你可能會有疑惑：加入了SSL加密層，伺服器數據還是在裸奔，還不如直接用HTTP來的省事。

非也非也，單純的非對稱加密確實只能保證數據傳輸的單向安全。然而SSL不僅用了非對稱加密，同時還結合了對稱加密機制，來確保數據傳輸的雙向安全，而這同時也解決了非對稱加密效率過低的弊病。

概括來說，整個簡化的加密通信的流程就是：

上述過程的前4步，又稱為「握手階段」。

首先，客戶端（通常是瀏覽器）先向伺服器發出加密通信的請求，這被叫做ClientHello請求。

在這一步，客戶端主要向伺服器提供以下信息：

伺服器收到客戶端請求後，向客戶端發出回應，這叫做SeverHello。

伺服器的回應包含以下內容：

除此之外，如果伺服器需要使用雙向認證，就會再包含一項請求，要求客戶端提供"客戶端證書"。比如，金融機構往往只允許認證客戶連入自己的網路，就會向正式客戶提供USB密鑰，裡面就包含了一張客戶端證書。

客戶端收到伺服器回應以後，首先驗證伺服器證書。如果證書不是可信機構頒布、或者證書中的域名與實際域名不一致、或者證書已經過期，就會向訪問者顯示一個警告，由其選擇是否還要繼續通信。

如果證書沒有問題，客戶端就會從證書中取出伺服器的公鑰。然後，向伺服器發送下面三項信息。

上面的隨機數C，是整個握手階段出現的第三個隨機數，又稱"pre-master key"。有了它以後，客戶端和伺服器就同時有了三個隨機數，接著雙方就用事先商定的加密方法，各自生成本次會話所用的同一把"會話密鑰"。

此外，如果前一步，伺服器要求客戶端證書，客戶端會在這一步發送證書及相關信息。

伺服器收到客戶端的第三個隨機數pre-master key之後，計算生成本次會話所用的"會話密鑰"（對稱密鑰）。然後，向客戶端最後發送下面信息。
（1）編碼改變通知，表示隨後的信息都將用雙方商定的加密方法和密鑰發送。
（2）伺服器握手結束通知，表示伺服器的握手階段已經結束。這一項同時也是前面發送的所有內容的hash值，用來供客戶端校驗。

至此，整個握手階段全部結束。接下來，客戶端與伺服器進入加密通信，就完全是使用普通的HTTP協議，只不過用"會話密鑰"加密內容。

Stackoverflow 的創始人也曾經針對為什麼Stackoverflow不使用https做出了回答： Stackoverflow.com: the road to SSL « Nick Craver

關於HTTPS，經常會提到的就是中間人攻擊，即所謂的Man-in-the-middle attack(MITM)，顧名思義，就是攻擊者插入到原本直接通信的雙方，讓雙方以為還在直接跟對方通訊，但實際上雙方的通信對方已變成了中間人，信息已經被中間人獲取或篡改。

此類攻擊較為簡單常見。首先通過ARP欺騙、DNS劫持甚至網關劫持等等，將客戶端的訪問重定向到攻擊者的機器，讓客戶端機器與攻擊者機器建立HTTPS連接（使用偽造證書），而攻擊者機器再跟服務端連接。這樣用戶在客戶端看到的是相同域名的網站，但瀏覽器會提示證書不可信，用戶不點擊「繼續瀏覽」就能避免被劫持。所以這是最簡單的攻擊方式，也是最容易識別的攻擊方式。

SSL剝離，即將HTTPS連接降級到HTTP連接。假如客戶端直接訪問HTTPS的URL，攻擊者是沒辦法直接進行降級的，因為HTTPS與HTTP雖然都是TCP連接，但HTTPS在傳輸HTTP數據之前，需要進行SSL握手，並協商對稱密鑰用於後續的加密傳輸；假如客戶端與攻擊者進行SSL握手，而攻擊者無法提供可信任的證書來讓客戶端驗證通過進行連接，所以客戶端的系統會判斷為SSL握手失敗，斷開連接。

該攻擊方式主要是利用用戶並不會每次都直接在瀏覽器上輸入 https://xxx.xxx.com 來訪問網站，或者有些網站並非全網HTTPS，而是只在需要進行敏感數據傳輸時才使用HTTPS的漏洞。中間人攻擊者在劫持了客戶端與服務端的HTTP會話後，將HTTP頁面裡面所有的https://超鏈接都換成http://，用戶在點擊相應的鏈接時，是使用HTTP協議來進行訪問；這樣，就算伺服器對相應的URL只支持HTTPS鏈接，但中間人一樣可以和服務建立HTTPS連接之後，將數據使用HTTP協議轉發給客戶端，實現會話劫持。

這種攻擊手段更讓人難以提防，因為它使用HTTP，不會讓瀏覽器出現HTTPS證書不可信的警告，而且用戶很少會去看瀏覽器上的URL是https://還是http://。特別是App的WebView中，應用一般會把URL隱藏掉，用戶根本無法直接查看到URL出現異常。

下面開始講一個無聊的故事，和問題關系不大，時間緊張的看官可以到此為止了。

從前山上有座廟，廟里有個和尚......，別胡鬧了，老和尚來了。

小和尚問老和尚：ssl為什麼會讓http安全？

老和尚答道：譬如你我都有一個同樣的密碼，我發信給你時用這個密碼加密，你收到我發的信，用這個密碼解密，就能知道我信的內容，其他的閑雜人等，就算偷偷拿到了信，由於不知道這個密碼，也只能望信興嘆，這個密碼就叫做對稱密碼。ssl使用對稱密碼對http內容進行加解密，所以讓http安全了，常用的加解密演算法主要有3DES和AES等。

小和尚摸摸腦袋問老和尚：師傅，如果我們兩人選擇「和尚」作為密碼，再創造一個和尚演算法，我們倆之間的通信不就高枕無憂了？
老和尚當頭給了小和尚一戒尺：那我要給山下的小花寫情書，還得用「和尚」這個密碼不成？想了想又給了小和尚一戒尺：雖然我們是和尚，不是碼農，也不能自己造輪子，當初一堆牛人碼農造出了Wifi的安全演算法WEP，後來發現是一綉花枕頭，在安全界傳為笑談；況且小花只知道3DES和AES，哪知道和尚演算法？

小和尚問到：那師傅何解？

老和尚：我和小花只要知道每封信的密碼，就可以讀到對方加密的信件，關鍵是我們互相之間怎麼知道這個對稱密碼。你說，我要是將密碼寫封信給她，信被別人偷了，那大家不都知道我們的密碼了，也就能夠讀懂我們情書了。不過還是有解的，這里我用到了江湖中秘傳的非對稱密碼。我現在手頭有兩個密碼，一個叫「公鑰」，一個叫「私鑰」，公鑰發布到了江湖上，好多人都知道，私鑰嘛，江湖上只有我一個人知道；這兩個密鑰有數學相關性，就是說用公鑰加密的信件，可以用私鑰解開，但是用公鑰卻解不開。公鑰小花是知道的，她每次給我寫信，都要我的公鑰加密她的對稱密碼，單獨寫一張密碼紙，然後用她的對稱密碼加密她的信件，這樣我用我的私鑰可以解出這個對稱密碼，再用這個對稱密碼來解密她的信件。

老和尚頓了頓：可惜她用的對稱密碼老是「和尚為什麼寫情書」這一類，所以我每次解開密碼紙時總是悵然若失，其實我鍾意的對稱密碼是諸如「風花」「雪月」什麼的，最頭痛的是，我還不得不用「和尚為什麼寫情書」這個密碼來加密我給小花回的情書，人世間最痛苦的事莫過於如此。可我哪裡知道，其實有人比我更痛苦。山下的張屠夫，暗戀小花很多年，看著我們鴻雁傳書，心中很不是滋味，主動毛遂自薦代替香客給我們送信。在他第一次給小花送信時，就給了小花他自己的公鑰，謊稱是我公鑰剛剛更新了，小花信以為真，之後的信件對稱密碼都用張屠夫的這個公鑰加密了，張屠夫拿到回信後，用他自己的私鑰解開了小花的對稱密碼，然後用這個對稱密碼，不僅能夠看到了小花信件的所有內容，還能使用這個密碼偽造小花給我寫信，同時還能用他的私鑰加密給小花的信件。漸漸我發現信件變味了，盡管心生疑惑，但是沒有確切的證據，一次我寫信問小花第一次使用的對稱密碼，回信中「和尚為什麼寫情書」赫然在列，於是我的疑惑稍稍減輕。直到有一次去拜會嵩山少林寺老方丈才頓悟，原來由於我的公鑰沒有火印，任何人都可以偽造一份公鑰宣稱是我的，這樣這個人即能讀到別人寫給我的信，也能偽造別人給我寫信，同樣也能讀到我的回信，也能偽造我給別人的回信，這種邪門武功江湖上稱之「Man-in-the-middle attack」。唯一的破解就是使用嵩山少林寺的火印，這個火印可有講究了，需要將我的公鑰及個人在江湖地位提交給18羅漢委員會，他們會根據我的這些信息使用委員會私鑰進行數字簽名，簽名的信息凸現在火印上，有火印的公鑰真實性在江湖上無人質疑，要知道18羅漢可是無人敢得罪的。

小和尚問：那然後呢？

老和尚：從嵩山少林寺回山上寺廟時，我將有火印的公鑰親自給小花送去，可是之後再也沒有收到小花的來信。過了一年才知道，其實小花還是給我寫過信的，當時信確實是用有火印的公鑰加密，張屠夫拿到信後，由於不知道我的私鑰，解不開小花的密碼信，所以一怒之下將信件全部燒毀了。也由於張屠夫無法知道小花的對稱密碼而無法回信，小花發出幾封信後石沉大海，也心生疑惑，到處打聽我的近況。這下張屠夫急了，他使用我發布的公鑰，仿照小花的語氣，給我發來一封信。拿到信時我就覺得奇怪，信紙上怎麼有一股豬油的味道，結尾竟然還關切的詢問我的私鑰。情知有詐，我思量無論如何要找到辦法讓我知道來的信是否真是小花所寫。後來竟然讓我想到了辦法....

老和尚摸著光頭說：這頭發可不是白掉的，我托香客給小花帶話，我一切安好，希望她也擁有屬於自己的一段幸福，不對，是一對非對稱密鑰。小花委託小鎮美女協會給小花公鑰打上火印後，托香客給我送來，這樣小花在每次給我寫信時，都會在密碼紙上貼上一朵小牡丹，牡丹上寫上用她自己的私鑰加密過的給我的留言，這樣我收到自稱是小花的信後，我會先抽出密碼紙，取下小牡丹，使用小花的公鑰解密這段留言，如果解不出來，我會直接將整封信連同密碼紙一起扔掉，因為這封信一定不是小花寫的，如果能夠解出來，這封信才能確信來之於小花，我才仔細的解碼閱讀。

小和尚：難怪聽說張屠夫是被活活氣死的。您這情書整的，我頭都大了，我長大後，有想法直接扯著嗓子對山下喊，也省的這么些麻煩。不過我倒是明白了樓上的話，ssl 握手階段，就是要解決什麼看火印，讀牡丹，解密碼紙，確實夠麻煩的，所以性能瓶頸在這里，一旦雙方都知道了對稱密碼，之後就是行雲流水的解碼讀信階段了，相對輕松很多。

❹ 手機上有加密通信，這是什麼啊

您好
中國電信加密通信是基於CDMA移動通信網路，通過中國電信為客戶特別定製的，內置國家密碼管理局指配加密演算法的手機終端，利用商用密碼技術和信息安全技術，向客戶提供實現商密級的端到端手機話音通信加密功能、和基於終端的個人信息保護和丟失手機安全保護等安全服務。按照國家商用密碼管理有關規定，加密通信採用國家密碼管理局批準的密碼演算法，提供電信商密級服務，滿足客戶對移動通話過程的安全、防竊聽需求，符合企業對語音加密通信的需求；加密通信是中國電信專屬，具有樹立中國電信移動的高端品牌定位及高科技的品牌形象，建立差異化競爭優勢，提升的不可替代等特性。

❺ 開通了「加密通信」業務，如何使用加密手機撥打加密通話

使用加密手機撥打加密通話的幾種方法：
1、輸入要進行撥打加密通話的號碼，然後選擇「加密呼叫」；
2、電話本中，選中人名，然後選擇「加密呼叫」；
3、簡訊中，選中簡訊，然後選擇「加密呼叫」。
中國電信加密通信業務基於中國電信廣覆蓋、大容量的CDMA移動通信網路和安全管理平台，通過中國電信為客戶特別定製的，內置國家密碼管理委員會商用密碼管理辦公室指配加密演算法的專用手機終端，利用商用密碼技術和信息安全技術，向客戶提供實現民用級的端到端手機話音通信加密功能、基於終端的個人信息保護以及丟失手機信息保護等安全服務。
服務特點：
1、國家商密級認證，語音加密更放心； 國內獨家提供商密級語音加密業務、擁有國家密碼管理局 唯一認證資質。
2、端到端全程加密，一話一密更安全； 端到端全程密文傳送，隨機密鑰，一次通話一個密鑰。
3、專用手機功能強，資料信息可隱藏；隱藏特定聯系人的通訊錄和通話記錄等資料信息。
4、手機遺失不用急，遠程指令即擦除； 遠程指令擦除存放在手機上特定聯系人的通訊錄和通話記錄等資料信息。

❻ 加密通信是什麼

您好，加密通信業務是中國電信基於廣覆蓋、大容量的CDMA移動通信網路和安全管理平台，通過特別定製的、內置國家密碼管理局指配加密演算法的專用手機終端，利用商用密碼技術和信息安全技術，向客戶提供商密級的端到端手機通話加密，和基於終端的個人信息保護以及手機丟失安全保護等安全服務。

❼ 加密通信的語音加密功能是怎樣的

您好
語音加密功能是指通信雙方都使用加密通信終端，並且開通加密通信業務的情況下，進行兩種模式的端到端加密通信服務。1、普話轉入密話：加密通信業務用戶之間，先建立普通（明文）通話，然後經過口頭協商，通過各自按下加密通信終端上的加密通話鍵或菜單建立加密通話。2、直接發起密話：主叫方針對已知被叫有加密終端的情況下，在起呼時選擇加密通話，發起加密呼叫，被叫方直接接聽，無需按加密通話鍵，自動建立端到端加密通話。

❽ https的加密機制，怎麼加密

HTTPS加密是在簽發信任機構的SSL證書。
數字證書的作用和原理概述：https://www.gworg.com/ssl/353.html
這種加密模式比較復雜的，他產生了中介數據交易驗證。

❾ 加密通信可以實現哪些功能

您好
中國電信加密通信的功能主要有：
一、加密通話功能：
1、普話轉入密話：加密通信業務用戶之間（雙方均需辦理），先建立普通（明文）通話，然後經過口頭協商，通過各自按下加密通信終端上的加密通話鍵或菜單建立加密通話。
2、直接發起密話：主叫方針對已知被叫有加密終端的情況下，在起呼時選擇加密通話，發起加密呼叫，被叫方直接接聽，無需按加密通話鍵，自動建立端到端加密通話。
二、信息安全保護功能：
1、安全設置：客戶對手機設置安全模式，在此模式下，設定加密聯系人和安全模式密碼。加密聯系人信息在普通模式下隱藏，在安全模式下可見。
2、密碼重置：用戶忘記或連續輸錯5次安全模式密碼導致終端鎖定後，可向電信申請遠程密碼重置，KMC平台通過遠程發送指令把密碼重置為默認值。
3、丟失手機信息保護：當手機被盜或丟失後，為防止終端內隱私信息泄露，客戶可向中國電信申請丟失手機信息保護，只要手機開機入網，即可實現遠程對手機內的加密聯系人等隱私信息進行擦除操作。

❿ 量子通信是如何實現通信加密的

據報道，近年來，隨著量子的各種奇妙特性被科學家不斷認識，實用的新技術也被逐漸開發出來，量子通信就是其中之一，量子密鑰分發通過生成量子密碼來給傳統的通信加密。

據悉因為傳統通信的密鑰都基於非常復雜的數學演算法，只要是通過演算法加密的，人們就可以通過計算進行破解。而量子通信則可以做到很安全，不被破譯和竊聽，這在數學上已經獲得了嚴格的證明。

希望量子通信可以早日實施！