加密協議完全數字化服務

1. 數字對講機語音數字化加密的方法

數字對講機真正實現保密高可靠度，可有在語言數字化解決後才能實現。將話音信號數字化後再進行加密處理，主要有3種方法：
1. 替代法

在保持明文碼元位置不變的情況下，用密文碼元（字元或比特），將明文中消息中字元換成密鑰所規定的字元。舉一例說明：某密鑰規定明文消息中每個英文字母用其第5個字母替代，那末a用f、b用g、c用h.....,對明文中「today」經加密後就變成了「ytifd」，達到了保密。
2. 換位法：

雖然明文中友元（字元或比特不變，但其排列次序則按密鑰進行擾亂排列，通常把消息分成長度有限的碼元組。每組內碼元位置，按密鑰擾亂重排，達到保密。例如：消息分組長度為6個字元，規定重排密鑰次序是362451，如果明文消息：
M=a1a2a3a4a5a61b2b3b4b5b6\c1c2c3c4c5c6.....,加密後消息E=a1a2a3a4a5a61b2b3b4b5b6\c1c2c3c4c5c6.....,實現了消息加密。
3. 連續加密演算法：
它是將每個明文符號用隨機密鑰函數通過數學運算變換成另一個密文符號。在實際運用中，通信系統的密鑰不固定，由密鑰分配中心隨機來分配，這樣的加密通信其保密可靠度更高。

2. 加密技術

對稱加密就是指，加密和解密使用同一個密鑰的加密方式。需要用到的有加密演算法和加密秘鑰。例如加密演算法可以類似這樣的加密規則(a ->b，b->w，c->a)

發送方使用密鑰將明文數據加密成密文，然後發送出去，接收方收到密文後，使用同一個密鑰將密文解密成明文讀取。

優點：加密計算量小、速度快，效率高，適合對大量數據進行加密的場景。
缺點：（1）密鑰不適合在網上傳輸（容易被截取），（2）密鑰維護麻煩

DES 、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES。

數據加密標准DES屬於常規密鑰密碼體制，是一種分組密碼。加密前，先對整個明文進行分組，每一組長為64位，然後對每一個64位二進制數據進行加密處理，產生一組64位密文數據。最後將各組密文串接起來，即得出整個的密文。使用的密鑰為64位（實際密鑰長度為56位，有8位用於奇偶檢驗）

DES的保密性取決於密鑰的保密，而演算法是公開的。盡管人們在破譯DES方面取得了許多進展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES是世界上第一個公認的實用密碼演算法標准，它曾對密碼學的發展做出了重大貢獻。目前較為嚴重的問題是DES的密鑰長度，現在已經設計出搜索DES密鑰的專用晶元。

DES演算法安全性取決於密鑰長度，56位密鑰破解需要3.5到21分鍾，128位密鑰破解需要5.4 * 10^18次方年

注意的是：這里是沒有密鑰的情況下，直接窮舉密鑰嘗試破解。如果密鑰在傳送過程中被人截取了，就相當於直接知道加密規則了，根本不需要破解，因此密鑰在網路中傳送還是不安全。

與對稱加密演算法不同，非對稱加密演算法需要密鑰對，即兩個密鑰：公開密鑰（公鑰）和私有密鑰（私鑰）。

公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種演算法叫作非對稱加密演算法。

公鑰和私鑰是怎麼來的？
操作系統隨機生成一個隨機數，將這個隨機數通過某個函數進行運算，分成兩部分，公鑰和私鑰

優點：安全性高
缺點：加密與解密速度慢。

RSA、ECC（移動設備用）、Diffie-Hellman、El Gamal、DSA（數字簽名用）。

答案是不能
鑒於非對稱加密的機制，我們可能會有這種思路：伺服器先把公鑰直接明文傳輸給瀏覽器，之後瀏覽器向伺服器傳數據前都先用這個公鑰加密好再傳，這條數據的安全似乎可以保障了！ 因為只有伺服器有相應的私鑰能解開這條數據 。
然而 由伺服器到瀏覽器的這條路怎麼保障安全？ 如果伺服器用它的的私鑰加密數據傳給瀏覽器，那麼瀏覽器用公鑰可以解密它，而這個公鑰是一開始通過明文傳輸給瀏覽器的，這個公鑰被誰劫持到的話，他也能用該公鑰解密伺服器傳來的信息了。所以 目前似乎只能保證由瀏覽器向伺服器傳輸數據時的安全性 （其實仍有漏洞，下文會說）。

1、先通過非對稱加密技術，把對稱加密的密鑰X傳給對方，使得這個對稱加密的密鑰X是安全的
2、後面再通過對稱加密技術進行數據傳輸

詳細流程
（1）伺服器端擁有用於非對稱加密的 公鑰A 、 私鑰A』 。
（2）客戶端向網站伺服器請求，伺服器先把 公鑰A 明文給傳輸瀏客戶端
（3）客戶端隨機生成一個用於對稱加密的 密鑰X ，用 公鑰A 加密後傳給伺服器端。
（4）伺服器端拿到後用 私鑰A』 解密得到 密鑰X 。
（5）這樣雙方就都擁有 密鑰X 了，且別人無法知道它。之後雙方所有數據都用 密鑰X 加密解密。

數字簽名是基於公鑰密碼體制（非對稱密鑰密碼體制）的。

數字簽名必須保證以下三點：

上圖位用戶A使用數字簽名向用戶B傳輸一份文件的過程：

什麼時候使用這種不對文件加密，而對文件的摘要加密（對文件進行簽名）的技術呢？

注意： 這里強調的是只有「A公鑰」 上有認證機構CA的數字簽名，意思是CA用它的私鑰對「A公鑰」的內容進行單向散列函數得到的 加密摘要（數字簽名） ，該簽名放在「A公鑰」中（左上角那個），對於B用戶來說，它從可靠的路徑拿到CA的公鑰，使用CA的公鑰解密「A公鑰」的內容得到的128位的摘要 和 「A公鑰」的內容通過單向散列函數計算出來的是否一致，如果是表示認可這個「A公鑰」

當用戶A遺失或泄露了CA頒發的證書後，為了避免他人使用該證書冒充用戶A，用戶A向認證機構CA "掛失" 該證書。於是認證機構CA把該證書放入該認證機構的證書吊銷列表（CRL）中，並在網上公示。

用戶B在收到用戶A的公鑰時，除了要驗證該公鑰是否位認證機構頒發的，還要登錄認證機構的網站查看該公鑰是否已被認證機構吊銷變為無效證書。

認證機構CA的作用：

1、http連接很簡單，是無狀態的，明文傳輸。https協議 = http協議 + SSL，可以進行加密傳輸，身份認證
2、http連接的是80埠，https連接的是443埠
3、https協議需要伺服器端到CA申請SSL證書，即客戶端請求的時候，伺服器端發送SSL證書給客戶端，SSL證書內容包括公鑰、CA機構的數字簽名。驗證了伺服器端的身份以及公鑰的可靠性。 （注意：混合加密那裡「將公鑰A給客戶端」，嚴格的來說是把SSL證書給客戶端）

SSL提供以下三個功能
1、 SSL伺服器鑒別。允許用戶證實伺服器的身份。 具有SSL功能的瀏覽器維持一個表，上面有一些可信賴的認證中心CA和它們的公鑰
2、 SSL客戶鑒別。允許伺服器證實客戶的身份。
3、 加密的SSL會話，通過混合加密實現的 。客戶和伺服器交互的所有數據都是發送方加密，接受方解密

SSL的位置

（1）方法：get，post，head，put，delete，option，trace，connect
（2）URL欄位
（3）HTTP協議版本

User-Agent：產生請求的瀏覽器類型
Aceept：客戶端可識別的內容類型列表
Host：主機地址

200：請求被成功處理
301：永久性重定向
302：臨時性重定向
403：沒有訪問許可權
404：沒有對應資源
500：伺服器錯誤
503：伺服器停機

HTTP協議的底層使用TCP協議，所以HTTP協議的長連接和短連接在本質上是TCP層的長連接和短連接。由於TCP建立連接、維護連接、釋放連接都是要消耗一定的資源，浪費一定的時間。所對於伺服器來說，頻繁的請求釋放連接會浪費大量的時間，長時間維護太多的連接的話又需要消耗資源。所以長連接和短連接並不存在優劣之分，只是適用的場合不同而已。長連接和短連接分別有如下優點和缺點：

注意： 從HTTP/1.1版本起，默認使用長連接用以保持連接特性。 使用長連接的HTTP協議，會在響應消息報文段加入: Connection: keep-alive。TCP中也有keep alive，但是TCP中的keep alive只是探測TCP連接是否活著，而HTTP中的keep-alive是讓一個TCP連接獲得更久一點。

3. 商用密碼核心技術主要包括

商用密碼是指在商業領域中使用的密碼技術，通常被用於保護機密信息、確保數據安全性和保護隱私。商用密碼涉及許多核心技術，包括對稱密碼演算法、公鑰密碼演算法、哈希函數、數字簽名、加密協議等。

4. 主要用於加密機制的協議是

主要用於加密機制的協議是SSL。SSL記錄協議層的作用是為高層協議提供基本的安全服務。SSL記錄協議針對HTTP協議進行了特別的設計，使得超文本的傳輸協議HTTP能夠在SSL運行。記錄封裝各種高層協議，具體實施壓縮解壓縮、加密解密、計算和校驗MAC等與安全有關的操作。

SSL記錄協議（Record Protocol）為SSL連接提供兩種服務。

（1）保密性：利用握手協議所定義的共享密鑰對SSL凈荷（Payload）加密。

（2）完整性：利用握手協議所定義的共享的MAC密鑰伍晌來生成報文的鑒別碼（MAC）。

(4)加密協議完全數字化服務擴展閱讀

會話（Session）和連接（Connection）是SSL中兩個重要的概念，在規范中定義如下。

（1）SSL連接：用於提供某種類型的服務數據的傳派游輸，是一種點對點的關系。一般來說，連接的維持時間比較短暫，並且每個連接一定與某一個會話相關聯。

（2）SSL會話：是指客戶和伺服器之間的一個關聯關系。會話通過握手協議來創建。它定義了一組安全參數。

一次會話過程通腔羨鋒常會發起多個SSL連接來完成任務，例如一次網站的訪問可能需要多個HTTP/SSL/TCP連接來下載其中的多個頁面，這些連接共享會話定義的安全參數。這種共享方式可以避免為每個SSL連接單獨進行安全參數的協商，而只需在會話建立時進行一次協商，提高了效率。

5. 無線網路中的TKIP和AES有區別么

1、傳輸速度不同

AES比TKIP採用更高級的加密技術，如採用TKIP，網路的傳輸速度就會被限制在54Mbps以下。

2、安全性能不同

AES安全性比 TKIP 好。

TKIP在設計時考慮了當時非常苛刻的限制因素：必須在現有硬體上運行，因此不能使用計算先進的加密演算法。而且在使用TKIP演算法時路由器的吞吐量會下降3成至5成，大大地影響了路由器的性能。

3、適用情況不同

TKIP加密演算法經常在老的無線網卡上使用，適用於802.1x無線傳輸協議，TKIP中密碼使用的密鑰長度為128位；

AES加密演算法是在新無線網卡上使用，適用於802.11n無線傳輸協議，AES加密數據塊和密鑰長度可以是128比特、192比特、256比特中的任意一個。