身份認證有哪些加密演算法

① ssl用哪些加密演算法，認證機制

SSL是Netscape公司所提出的安全保密協議，在瀏覽器（如Internet Explorer、Netscape Navigator）和Web伺服器（如Netscape的Netscape Enterprise Server、ColdFusion Server等等）之間構造安全通道來進行數據傳輸，SSL運行在TCP/IP層之上、應用層之下，為應用程序提供加密數據通道，它採用了RC4、MD5以及RSA等加密演算法，使用40 位的密鑰，適用於商業信息的加密。同時，Netscape公司相應開發了HTTPS協議並內置於其瀏覽器中，HTTPS實際上就是HTTP over SSL，它使用默認埠443，而不是像HTTP那樣使用埠80來和TCP/IP進行通信。哈希簽名演算法：SHA256、SHA384、SHA512，加密位數：204、4096、8192，SSL都是統一的認證機制並且統一在webtrust執行下認證。

② 關於身份認證技術有哪幾種基本類型

身份認證的方式 大致上來講,身份認證可分為用戶與主機間的認證和主機與主機之間的認證.用戶與主機之間的認證可以基於如下一個或幾個因素: 用戶所知道的東西,例如口令,密碼等. 用戶擁有的東西,例如印章,智能卡(如信用卡等). 用戶所具有的生物特徵,例如指紋,聲音,視網膜,簽字,筆跡等. 下面對這些方法的優劣進行比較一下: 基於口令的認證方式是一種最常見的技術,但是存在嚴重的安全問題.它是一種單因素的認證,安全性依賴於口令,口令一旦泄露,用戶即可被冒充. 基於智能卡的認證方式,智能卡具有硬碟加密功能,有較高的安全性.每個用戶持有一張智能卡,智能卡存儲用戶個性化的秘密秘密信息,同時在驗證伺服器中也存放該秘密信息.進行認證時,用戶輸入PIN(個人身份識別碼),智能卡認證PIN,成功後,即可讀出秘密信息,進而利用該信息與主機之間進行認證.基於智能卡的認證方式是一種雙因素的認證方式(PIN+智能卡),即使PIN或智能卡被竊取,用戶仍不會被冒充. 基於生物特徵的認證方式是以人體惟一的,可靠的,穩定的生物特徵(如指紋,虹膜,臉部,掌紋等)為依據,採用計算機的強大功能和網路技術進行圖像處理和模式識別.該技術具有很好的安全性,可靠性和有效性,與傳統的身份確認手段相比,無疑產生了質的飛躍. 當然,身份認證的工具應該具有不可復制及防偽等功能,使用者應依照自身的安全程度需求選擇一種或多種工具進行.在一般的觀念上,認為系統需要輸入密碼,才算是安全的,但是重復使用的單一密碼就能確保系統的安全嗎?答案是否定的.常用的單一密碼保護設計,使無法保障網路重要資源或機密的.主要是由於傳統所用的密碼很容易被猜測出來因為在一般人的習性上,為了記憶方便通常都採用簡單易記的內容,例如單一字母,帳號名稱,一串相容字母或是有規則變化的字元串等,甚至於採用電話號碼,或者生日,身份證號碼的內容.雖然很多系統都都會設計登錄不成功的限制次數,但不足以防止長時間的嘗試猜測,只要經過一定的時間總會被猜測出來.另外有些系統會使用強迫更改密碼的方法,防止這種入侵,但是依照習性及好記的原則下選擇的密碼,仍然很容易被猜測出來. 生物認證技術應該是最安全的了。

③ 如何利用加密技術進行身份認證

引言

隨著互聯網的不斷發展，越來越多的人們開始嘗試在線交易。然而病毒、黑客、網路釣魚以及網頁仿冒詐騙等惡意威脅，給在線交易的安全性帶來了極大的挑戰。據調查機構調查顯示，去年美國由於網路詐騙事件，使得銀行和消費者遭受的直接損失總計達24億美元，平均每位受害者付出了約1200美元的代價。另據香港明報消息，香港去年由於網路詐騙導致的直接損失達140萬港元。

層出不窮的網路犯罪，引起了人們對網路身份的信任危機，如何證明「我是誰？」及如何防止身份冒用等問題又一次成為人們關注的焦點。

主要的身份認證技術分析

目前，計算機及網路系統中常用的身份認證方式主要有以下幾種：

用戶名/密碼方式

用戶名/密碼是最簡單也是最常用的身份認證方法，是基於「what you know」的驗證手段。每個用戶的密碼是由用戶自己設定的，只有用戶自己才知道。只要能夠正確輸入密碼，計算機就認為操作者就是合法用戶。實際上，由於許多用戶為了防止忘記密碼，經常採用諸如生日、電話號碼等容易被猜測的字元串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由於密碼是靜態的數據，在驗證過程中需要在計算機內存中和網路中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內存中的木馬程序或網路中的監聽設備截獲。因此，從安全性上講，用戶名/密碼方式一種是極不安全的身份認證方式。

智能卡認證

智能卡是一種內置集成電路的晶元，晶元中存有與用戶身份相關的數據， 智能卡由專門的廠商通過專門的設備生產，是不可復制的硬體。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。智能卡認證是基於「what you have」的手段，通過智能卡硬體不可復制來保證用戶身份不會被仿冒。然而由於每次從智能卡中讀取的數據是靜態的，通過內存掃描或網路監聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

動態口令

動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。它採用一種叫作動態令牌的專用硬體，內置電源、密碼生成晶元和顯示屏，密碼生成晶元運行專門的密碼演算法，根據當前時間或使用次數生成當前密碼並顯示在顯示屏上。認證伺服器採用相同的演算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機，即可實現身份認證。由於每次使用的密碼必須由動態令牌來產生，只有合法用戶才持有該硬體，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。

動態口令技術採用一次一密的方法，有效保證了用戶身份的安全性。但是如果客戶端與伺服器端的時間或次數不能保持良好的同步，就可能發生合法用戶無法登錄的問題。並且用戶每次登錄時需要通過鍵盤輸入一長串無規律的密碼，一旦輸錯就要重新操作，使用起來非常不方便。

USB Key認證

基於USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它採用軟硬體相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB介面的硬體設備，它內置單片機或智能卡晶元，可以存儲用戶的密鑰或數字證書，利用USB Key內置的密碼演算法實現對用戶身份的認證。基於USB Key身份認證系統主要有兩種應用模式：一是基於沖擊/響應的認證模式，二是基於PKI體系的認證模式。

技術的回歸

傳統的身份認證技術，一直游離於人類體外，有關身份驗證的技術手段一直在兜圈子，而且兜得越來越大，越來越復雜。以「用戶名＋口令」方式過渡到智能卡方式為例，首先需要隨時攜帶智能卡，其次容易丟失或失竊，補辦手續繁瑣冗長，並且仍然需要你出具能夠證明身份的其它文件，使用很不方便。

直到生物識別技術得到成功的應用，這個圈子才終於又兜了回來。這種「兜回來」，意義不只在技術進步，站在「體驗經濟」和人文角度，它真正回歸到了對人類最原始生理性的貼和，並通過這種終極貼和，回歸給了人類「絕對個性化」的心理感受，與此同時，還最大限度釋放了這種「絕對個性化」原本具有的，在引導人類自身安全、簡約生活上的巨大能量。

生物識別技術主要是指通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動識別和驗證的生理特徵或行為方式。生物特徵分為身體特徵和行為特徵兩類。身體特徵包括：指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特徵包括：簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術；將血管紋理識別、人體氣味識別、DNA識別等歸為「深奧的」生物識別技術。

與傳統身份認證技術相比，生物識別技術具有以下特點：

（1） 隨身性：生物特徵是人體固有的特徵，與人體是唯一綁定的，具有隨身性。

（2） 安全性：人體特徵本身就是個人身份的最好證明,滿足更高的安全需求。

（3） 唯一性：每個人擁有的生物特徵各不相同。

（4） 穩定性：生物特徵如指紋、虹膜等人體特徵不會隨時間等條件的變化而變化。

（5） 廣泛性：每個人都具有這種特徵。

（6） 方便性：生物識別技術不需記憶密碼與攜帶使用特殊工具(如鑰匙)，不會遺失。

（7） 可採集性：選擇的生物特徵易於測量。

（8） 可接受性：使用者對所選擇的個人生物特徵及其應用願意接受。

基於以上特點，生物識別技術具有傳統的身份認證手段無法比擬的優點。採用生物識別技術，可不必再記憶和設置密碼，使用更加方便。

展望

就目前趨勢來看，將生物識別在內的幾種安全機制整合應用正在成為新的潮流。其中，較為引人注目的是將生物識別、智能卡、公匙基礎設施（PKI）技術相結合的應用，如指紋KEY產品。PKI從理論上，提供了一個完美的安全框架，其安全的核心是對私鑰的保護；智能卡內置CPU和安全存儲單元，涉及私鑰的安全運算在卡內完成，可以保證私鑰永遠不被導出卡外，從而保證了私鑰的絕對安全；生物識別技術不再需要記憶和設置密碼，個體的絕對差異化使生物識別樹立了有始以來的最高權威。三種技術的有機整合，正可謂是一關三卡、相得益彰，真正做到使人們在網上沖浪時，不經意間，享受便捷的安全。

④ 目前的數字認證和加密演算法的主要技術及其應用

1. 什麼是數字證書？
數字證書就是網路通訊中標志通訊各方身份信息的一系列數據，其作用類似於現實生活中的身份證。它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份。
最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標准。
一個標準的X.509數字證書包含以下一些內容：
證書的版本信息；
證書的序列號，每個證書都有一個唯一的證書序列號；
證書所使用的簽名演算法；
證書的發行機構名稱，命名規則一般採用X.500格式；
證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時范圍為1950-2049；
證書所有人的名稱，命名規則一般採用X.500格式；
證書所有人的公開密鑰；
證書發行者對證書的簽名。
使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。
2. 為什麼要使用數字證書？
由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須保證在網際網路上進行的一切金融交易運作都是真實可靠的，並且要使顧客、商家和企業等交易各方都具有絕對的信心，因而網際網路電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網路安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。
信息的保密性
交易中的商務信息均有保密的要求，如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，商家要考慮客戶端是不是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。
不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
由於商情的千變萬化，交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。
我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。
3. 數字認證原理
數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。
在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私有密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前採用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然後由商戶用自己的私有密鑰進行解密。
如果用戶需要發送加密數據，發送方需要使用接收方的數字證書（公開密鑰）對數據進行加密，而接收方則使用自己的私有密鑰進行解密，從而保證數據的安全保密性。
另外，用戶可以通過數字簽名實現數據的完整性和有效性，只需採用私有密鑰對數據進行加密處理，由於私有密鑰僅為用戶個人擁有，從而能夠簽名文件的唯一性，即保證：數據由簽名者自己簽名發送，簽名者不能否認或難以否認；數據自簽發到接收這段過程中未曾作過任何修改，簽發的文件是真實的。
4. 數字證書是如何頒發的？
數字證書是由認證中心頒發的。根證書是認證中心與用戶建立信任關系的基礎。在用戶使用數字證書之前必須首先下載和安裝。
認證中心是一家能向用戶簽發數字證書以確認用戶身份的管理機構。為了防止數字憑證的偽造，認證中心的公共密鑰必須是可靠的，認證中心必須公布其公共密鑰或由更高級別的認證中心提供一個電子憑證來證明其公共密鑰的有效性，後一種方法導致了多級別認證中心的出現。
數字證書頒發過程如下：用戶產生了自己的密鑰對，並將公共密鑰及部分個人身份信息傳送給一家認證中心。認證中心在核實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然後，認證中心將發給用戶一個數字證書，該證書內附了用戶和他的密鑰等信息，同時還附有對認證中心公共密鑰加以確認的數字證書。當用戶想證明其公開密鑰的合法性時，就可以提供這一數字證書。
5. 加密技術
由於數據在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術是電子商務採取的主要保密安全措施，是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。
加密包括兩個元素：演算法和密鑰。一個加密演算法是將普通的文本（或者可以理解的信息）與一竄數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰和演算法對加密同等重要。
密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中，可通過適當的密鑰加密技術和管理機制，來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。
相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數據加密標准（DES，Data Encryption Standard）演算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）演算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

⑤ 目前常用的加密解密演算法有哪些

加密演算法

加密技術是對信息進行編碼和解碼的技術，編碼是把原來可讀信息（又稱明文）譯成代碼形式（又稱密文），其逆過程就是解碼（解密）。加密技術的要點是加密演算法，加密演算法可以分為對稱加密、不對稱加密和不可逆加密三類演算法。

對稱加密演算法 對稱加密演算法是應用較早的加密演算法，技術成熟。在對稱加密演算法中，數據發信方將明文（原始數據）和加密密鑰一起經過特殊加密演算法處理後，使其變成復雜的加密密文發送出去。收信方收到密文後，若想解讀原文，則需要使用加密用過的密鑰及相同演算法的逆演算法對密文進行解密，才能使其恢復成可讀明文。在對稱加密演算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密，這就要求解密方事先必須知道加密密鑰。對稱加密演算法的特點是演算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密演算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發收信雙方所擁有的鑰匙數量成幾何級數增長，密鑰管理成為用戶的負擔。對稱加密演算法在分布式網路系統上使用較為困難，主要是因為密鑰管理困難，使用成本較高。在計算機專網系統中廣泛使用的對稱加密演算法有DES和IDEA等。美國國家標准局倡導的AES即將作為新標准取代DES。

不對稱加密演算法不對稱加密演算法使用兩把完全不同但又是完全匹配的一對鑰匙—公鑰和私鑰。在使用不對稱加密演算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。加密明文時採用公鑰加密，解密密文時使用私鑰才能完成，而且發信方（加密者）知道收信方的公鑰，只有收信方（解密者）才是唯一知道自己私鑰的人。不對稱加密演算法的基本原理是，如果發信方想發送只有收信方才能解讀的加密信息，發信方必須首先知道收信方的公鑰，然後利用收信方的公鑰來加密原文；收信方收到加密密文後，使用自己的私鑰才能解密密文。顯然，採用不對稱加密演算法，收發信雙方在通信之前，收信方必須將自己早已隨機生成的公鑰送給發信方，而自己保留私鑰。由於不對稱演算法擁有兩個密鑰，因而特別適用於分布式系統中的數據加密。廣泛應用的不對稱加密演算法有RSA演算法和美國國家標准局提出的DSA。以不對稱加密演算法為基礎的加密技術應用非常廣泛。

不可逆加密演算法 不可逆加密演算法的特徵是加密過程中不需要使用密鑰，輸入明文後由系統直接經過加密演算法處理成密文，這種加密後的數據是無法被解密的，只有重新輸入明文，並再次經過同樣不可逆的加密演算法處理，得到相同的加密密文並被系統重新識別後，才能真正解密。顯然，在這類加密過程中，加密是自己，解密還得是自己，而所謂解密，實際上就是重新加一次密，所應用的「密碼」也就是輸入的明文。不可逆加密演算法不存在密鑰保管和分發問題，非常適合在分布式網路系統上使用，但因加密計算復雜，工作量相當繁重，通常只在數據量有限的情形下使用，如廣泛應用在計算機系統中的口令加密，利用的就是不可逆加密演算法。近年來，隨著計算機系統性能的不斷提高，不可逆加密的應用領域正在逐漸增大。在計算機網路中應用較多不可逆加密演算法的有RSA公司發明的MD5演算法和由美國國家標准局建議的不可逆加密標准SHS(Secure Hash Standard:安全雜亂信息標准)等。

加密技術

加密演算法是加密技術的基礎，任何一種成熟的加密技術都是建立多種加密演算法組合，或者加密演算法和其他應用軟體有機結合的基礎之上的。下面我們介紹幾種在計算機網路應用領域廣泛應用的加密技術。

非否認（Non-repudiation）技術 該技術的核心是不對稱加密演算法的公鑰技術，通過產生一個與用戶認證數據有關的數字簽名來完成。當用戶執行某一交易時，這種簽名能夠保證用戶今後無法否認該交易發生的事實。由於非否認技術的操作過程簡單，而且直接包含在用戶的某類正常的電子交易中，因而成為當前用戶進行電子商務、取得商務信任的重要保證。

PGP（Pretty Good Privacy）技術 PGP技術是一個基於不對稱加密演算法RSA公鑰體系的郵件加密技術，也是一種操作簡單、使用方便、普及程度較高的加密軟體。PGP技術不但可以對電子郵件加密，防止非授權者閱讀信件；還能對電子郵件附加數字簽名，使收信人能明確了解發信人的真實身份；也可以在不需要通過任何保密渠道傳遞密鑰的情況下，使人們安全地進行保密通信。PGP技術創造性地把RSA不對稱加密演算法的方便性和傳統加密體系結合起來，在數字簽名和密鑰認證管理機制方面採用了無縫結合的巧妙設計，使其幾乎成為最為流行的公鑰加密軟體包。

數字簽名（Digital Signature）技術 數字簽名技術是不對稱加密演算法的典型應用。數字簽名的應用過程是，數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變數進行加密處理，完成對數據的合法「簽名」，數據接收方則利用對方的公鑰來解讀收到的「數字簽名」，並將解讀結果用於對數據完整性的檢驗，以確認簽名的合法性。數字簽名技術是在網路系統虛擬環境中確認身份的重要技術，完全可以代替現實過程中的「親筆簽字」，在技術和法律上有保證。在公鑰與私鑰管理方面，數字簽名應用與加密郵件PGP技術正好相反。在數字簽名應用中，發送者的公鑰可以很方便地得到，但他的私鑰則需要嚴格保密。

PKI（Public Key Infrastructure）技術 PKI技術是一種以不對稱加密技術為核心、可以為網路提供安全服務的公鑰基礎設施。PKI技術最初主要應用在Internet環境中，為復雜的互聯網系統提供統一的身份認證、數據加密和完整性保障機制。由於PKI技術在網路安全領域所表現出的巨大優勢，因而受到銀行、證券、政府等核心應用系統的青睞。PKI技術既是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由於通過網路進行的電子商務、電子政務等活動缺少物理接觸，因而使得利用電子方式驗證信任關系變得至關重要，PKI技術恰好能夠有效解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系還必須充分考慮互操作性和可擴展性。PKI體系所包含的認證中心（CA）、注冊中心（RA）、策略管理、密鑰與證書管理、密鑰備份與恢復、撤銷系統等功能模塊應該有機地結合在一起。

加密的未來趨勢

盡管雙鑰密碼體制比單鑰密碼體制更為可靠，但由於計算過於復雜，雙鑰密碼體制在進行大信息量通信時，加密速率僅為單鑰體制的1/100，甚至是 1/1000。正是由於不同體制的加密演算法各有所長，所以在今後相當長的一段時期內，各類加密體制將會共同發展。而在由IBM等公司於1996年聯合推出的用於電子商務的協議標准SET（Secure Electronic Transaction）中和1992年由多國聯合開發的PGP技術中，均採用了包含單鑰密碼、雙鑰密碼、單向雜湊演算法和隨機數生成演算法在內的混合密碼系統的動向來看，這似乎從一個側面展示了今後密碼技術應用的未來。

在單鑰密碼領域，一次一密被認為是最為可靠的機制，但是由於流密碼體制中的密鑰流生成器在演算法上未能突破有限循環，故一直未被廣泛應用。如果找到一個在演算法上接近無限循環的密鑰流生成器，該體制將會有一個質的飛躍。近年來，混沌學理論的研究給在這一方向產生突破帶來了曙光。此外，充滿生氣的量子密碼被認為是一個潛在的發展方向，因為它是基於光學和量子力學理論的。該理論對於在光纖通信中加強信息安全、對付擁有量子計算能力的破譯無疑是一種理想的解決方法。

由於電子商務等民用系統的應用需求，認證加密演算法也將有較大發展。此外，在傳統密碼體制中，還將會產生類似於IDEA這樣的新成員，新成員的一個主要特徵就是在演算法上有創新和突破，而不僅僅是對傳統演算法進行修正或改進。密碼學是一個正在不斷發展的年輕學科，任何未被認識的加/解密機制都有可能在其中佔有一席之地。

目前，對信息系統或電子郵件的安全問題，還沒有一個非常有效的解決方案，其主要原因是由於互聯網固有的異構性，沒有一個單一的信任機構可以滿足互聯網全程異構性的所有需要，也沒有一個單一的協議能夠適用於互聯網全程異構性的所有情況。解決的辦法只有依靠軟體代理了，即採用軟體代理來自動管理用戶所持有的證書（即用戶所屬的信任結構）以及用戶所有的行為。每當用戶要發送一則消息或一封電子郵件時，代理就會自動與對方的代理協商，找出一個共同信任的機構或一個通用協議來進行通信。在互聯網環境中，下一代的安全信息系統會自動為用戶發送加密郵件，同樣當用戶要向某人發送電子郵件時，用戶的本地代理首先將與對方的代理交互，協商一個適合雙方的認證機構。當然，電子郵件也需要不同的技術支持，因為電子郵件不是端到端的通信，而是通過多個中間機構把電子郵件分程傳遞到各自的通信機器上，最後到達目的地。

⑥ 簡述在互聯網中如何讓實現身份認證,主要有哪些身份認證技術

目前互聯網實現身份認證主要是以個人證書，還有就是口令密碼等等形式來實現。

常見的身份認證安全技術有：
PKI技術。PKI技術是基於公私鑰密碼體系的一種身份認證技術，通過為每一個用戶分配一個私鑰和一個公鑰證書，實現安全的身份認證和數據加密功能。

動態口令技術。在傳統的靜態口令技術上進行調整，把用戶記憶的口令變成用戶持有的設備生成的口令，並且不斷變化。這樣可以有效避免由於木馬病毒等惡意程序引發的密碼丟失問題，因為口令是一次性的，用過之後即使被竊取也沒有用了。

矩陣卡技術。這種技術可以說是動態口令技術的一種簡化，其基本原理是在一張卡片上預先印刷好一些隨機的數字，用戶在每次登錄時，系統會隨機要求用戶輸入卡片上的部分數字，而不是全部。這樣，就達到了用戶這次和下次登錄輸入的密碼內容不一樣的效果。

一次性密碼卡技術。這種技術可以說是最完美也是最難實際應用的技術。卡上預先印刷好一些隨機的數字密碼，用戶登錄時拿出一個來使用，使用過一次這個密碼就作廢，下次登錄就必須使用另外一個，等到一張卡上全部的密碼都使用完了，就再去換一張卡。這種方式在實際使用中最大的問題就是麻煩，用戶需要經常去換卡，雖然這種方式安全性很好，符合密碼學里「一次一密」的思想。

不知道這樣的答案符合你的要求嗎？

⑦ 身份認證與加密有何區別與聯系

加密和身份驗證演算法
由於對安全性的攻擊方法多種多樣，設計者很難預計到所有的攻擊方法，因此設計安全性演算法和協議非常困難。普遍為人接受的關於安全性方法的觀點是，一個好的加密演算法或身份驗證演算法即使被攻擊者了解，該演算法也是安全的。這一點對於Internet安全性尤其重要。在Internet中，使用嗅探器的攻擊者通過偵聽系統與其連接協商，經常能夠確切了解系統使用的是哪一種演算法。
與Internet安全性相關的重要的密碼功能大致有5類，包括對稱加密、公共密鑰加密、密鑰交換、安全散列和數字簽名。
1. 對稱加密
大多數人都熟知對稱加密這一加密方法。在這種方法中，每一方都使用相同的密鑰來加密或解密。只要掌握了密鑰，就可以破解使用此法加密的所有數據。這種方法有時也稱作秘密密鑰加密。通常對稱加密效率很高，它是網路傳送大量數據中最常用的一類加密方法。
常用的對稱加密演算法包括：
• 數據加密標准( DES )。DES首先由IBM公司在7 0年代提出，已成為國際標准。它有5 6位密鑰。三重DES演算法對DES略作變化，它使用DES演算法三次加密數據，從而改進了安全性。
• RC2 、RC4和RC5。這些密碼演算法提供了可變長度密鑰加密方法，由一家安全性動態公司，RSA數據安全公司授權使用。目前網景公司的Navigator瀏覽器及其他很多Internet客戶端和伺服器端產品使用了這些密碼。
• 其他演算法。包括在加拿大開發的用於Nortel公司Entrust產品的CAST、國際數據加密演算法( IDEA )、傳聞由前蘇聯安全局開發的GOST演算法、由Bruce Schneier開發並在公共域發表的Blowfish演算法及由美國國家安全局開發並用於Clipper晶元的契約密鑰系統的Skipjack 演算法。
安全加密方法要求使用足夠長的密鑰。短密鑰很容易為窮舉攻擊所破解。在窮舉攻擊中，攻擊者使用計算機來對所有可能的密鑰組合進行測試，很容易找到密鑰。例如，長度為4 0位的密鑰就不夠安全，因為使用相對而言並不算昂貴的計算機來進行窮舉攻擊，在很短的時間內就可以破獲密鑰。同樣，單DES演算法已經被破解。一般而言，對於窮舉攻擊，在可預測的將來，1 2 8位還可能是安全的。
對於其他類型的攻擊，對稱加密演算法也比較脆弱。大多數使用對稱加密演算法的應用往往使用會話密鑰，即一個密鑰只用於一個會話的數據傳送，或在一次會話中使用幾個密鑰。這樣，如果會話密鑰丟失，則只有在此會話中傳送的數據受損，不會影響到較長時期內交換的大量數據。
2. 公共密鑰加密
公共密鑰加密演算法使用一對密鑰。公共密鑰與秘密密鑰相關聯，公共密鑰是公開的。以公共密鑰加密的數據只能以秘密密鑰來解密，同樣可以用公共密鑰來解密以秘密密鑰加密的數據。這樣只要實體的秘密密鑰不泄露，其他實體就可以確信以公共密鑰加密的數據只能由相應秘密密鑰的持有者來解密。盡管公共密鑰加密演算法的效率不高，但它和數字簽名均是最常用的對網路傳送的會話密鑰進行加密的演算法。
最常用的一類公共密鑰加密演算法是RSA演算法，該演算法由Ron Rivest 、Adi Shamir 和LenAdleman開發，由RSA數據安全公司授權使用。RSA定義了用於選擇和生成公共/秘密密鑰對的機制，以及目前用於加密的數學函數。
3. 密鑰交換
開放信道這種通信媒體上傳送的數據可能被第三者竊聽。在Internet這樣的開放信道上要實現秘密共享難度很大。但是很有必要實現對共享秘密的處理，因為兩個實體之間需要共享用於加密的密鑰。關於如何在公共信道上安全地處理共享密鑰這一問題，有一些重要的加密演算法，是以對除預定接受者之外的任何人都保密的方式來實現的。
Diffie-Hellman密鑰交換演算法允許實體間交換足夠的信息以產生會話加密密鑰。按照慣例，假設一個密碼協議的兩個參與者實體分別是Alice和Bob，Alice使用Bob的公開值和自己的秘密值來計算出一個值；Bob也計算出自己的值並發給Alice，然後雙方使用自己的秘密值來計算他們的共享密鑰。其中的數學計算相對比較簡單，而且不屬於本書討論的范圍。演算法的概要是Bob和Alice能夠互相發送足夠的信息給對方以計算出他們的共享密鑰，但是這些信息卻不足以讓攻擊者計算出密鑰。
Diffie-Hellman演算法通常稱為公共密鑰演算法，但它並不是一種公共密鑰加密演算法。該演算法可用於計算密鑰，但密鑰必須和某種其他加密演算法一起使用。但是，Diffie-Hellman演算法可用於身份驗證。Network Associates公司的P G P公共密鑰軟體中就使用了此演算法。
密鑰交換是構成任何完整的Internet安全性體系都必備的。此外，IPsec安全性體系結構還包括Internet密鑰交換( I K E )及Internet安全性關聯和密鑰管理協議( ISAKMP )。
4. 安全散列
散列是一定量數據的數據摘要的一種排序。檢查數字是簡單的散列類型，而安全散列則產生較長的結果，經常是1 2 8位。對於良好的安全散列，攻擊者很難顛倒設計或以其他方式毀滅。安全散列可以與密鑰一起使用，也可以單獨使用。其目的是提供報文的數字摘要，用來驗證已經收到的數據是否與發送者所發送的相同。發送者計算散列並將其值包含在數據中，接收者對收到的數據進行散列計算，如果結果值與數據中所攜帶的散列值匹配，接收者就可以確認數據的完整性。

⑧ 常用的加密演算法有哪些

對稱密鑰加密

對稱密鑰加密 Symmetric Key Algorithm 又稱為對稱加密、私鑰加密、共享密鑰加密：這類演算法在加密和解密時使用相同的密鑰，或是使用兩個可以簡單的相互推算的密鑰，對稱加密的速度一般都很快。

• 分組密碼

分組密碼 Block Cipher 又稱為「分塊加密」或「塊加密」，將明文分成多個等長的模塊，使用確定的演算法和對稱密鑰對每組分別加密解密。這也就意味著分組密碼的一個優點在於可以實現同步加密，因為各分組間可以相對獨立。

與此相對應的是流密碼：利用密鑰由密鑰流發生器產生密鑰流，對明文串進行加密。與分組密碼的不同之處在於加密輸出的結果不僅與單獨明文相關，而是與一組明文相關。

• DES、3DES

數據加密標准 DES Data Encryption Standard 是由IBM在美國國家安全局NSA授權下研製的一種使用56位密鑰的分組密碼演算法，並於1977年被美國國家標准局NBS公布成為美國商用加密標准。但是因為DES固定的密鑰長度，漸漸不再符合在開放式網路中的安全要求，已經於1998年被移出商用加密標准，被更安全的AES標准替代。

DES使用的Feistel Network網路屬於對稱的密碼結構，對信息的加密和解密的過程極為相似或趨同，使得相應的編碼量和線路傳輸的要求也減半。

DES是塊加密演算法，將消息分成64位，即16個十六進制數為一組進行加密，加密後返回相同大小的密碼塊，這樣，從數學上來說，64位0或1組合，就有2^64種可能排列。DES密鑰的長度同樣為64位，但在加密演算法中，每逢第8位，相應位會被用於奇偶校驗而被演算法丟棄，所以DES的密鑰強度實為56位。

3DES Triple DES，使用不同Key重復三次DES加密，加密強度更高，當然速度也就相應的降低。

• AES

高級加密標准 AES Advanced Encryption Standard 為新一代數據加密標准，速度快，安全級別高。由美國國家標准技術研究所NIST選取Rijndael於2000年成為新一代的數據加密標准。

AES的區塊長度固定為128位，密鑰長度可以是128位、192位或256位。AES演算法基於Substitution Permutation Network代換置列網路，將明文塊和密鑰塊作為輸入，並通過交錯的若干輪代換"Substitution"和置換"Permutation"操作產生密文塊。

AES加密過程是在一個4*4的位元組矩陣（或稱為體State）上運作，初始值為一個明文區塊，其中一個元素大小就是明文區塊中的一個Byte，加密時，基本上各輪加密循環均包含這四個步驟：



• ECC

ECC即 Elliptic Curve Cryptography 橢圓曲線密碼學，是基於橢圓曲線數學建立公開密鑰加密的演算法。ECC的主要優勢是在提供相當的安全等級情況下，密鑰長度更小。

ECC的原理是根據有限域上的橢圓曲線上的點群中的離散對數問題ECDLP，而ECDLP是比因式分解問題更難的問題，是指數級的難度。而ECDLP定義為：給定素數p和橢圓曲線E，對Q＝kP，在已知P，Q 的情況下求出小於p的正整數k。可以證明由k和P計算Q比較容易，而由Q和P計算k則比較困難。

• 數字簽名

數字簽名 Digital Signature 又稱公鑰數字簽名是一種用來確保數字消息或文檔真實性的數學方案。一個有效的數字簽名需要給接收者充足的理由來信任消息的可靠來源，而發送者也無法否認這個簽名，並且這個消息在傳輸過程中確保沒有發生變動。

數字簽名的原理在於利用公鑰加密技術，簽名者將消息用私鑰加密，然後公布公鑰，驗證者就使用這個公鑰將加密信息解密並對比消息。一般而言，會使用消息的散列值來作為簽名對象。

⑨ 身份驗證的基於公開密鑰加密演算法

基於公開密鑰加密演算法的身份驗證是指通信中的雙方分別持有公開密鑰和私有密鑰，由其中的一方採用私有密鑰對特定數據進行加密，而對方採用公開密鑰對數據進行解密，如果解密成功，就認為用戶是合法用戶，否則就認為是身份驗證失敗。
使用基於公開密鑰加密演算法的身份驗證的服務有：SSL、數字簽名等等。

⑩ 一種身份認證系統中數據加密演算法的設計 要求：用於身份認證的ID和口令都要進行加密，設計出一種加密演算法。

l iceEncryptText 文本加密解密
http://dl.icese.net/src.php?f=iceEncryptText.src.rar