网络加密技术的研究 毕业论文.docx

网络加密技术的研究学生姓名： xxxxxxxxxxx 学生学号： xxxxxxxxxxxxx 院（系）： 工程技术学院 年级专业：2009级计算机信息管理 指导教师： xxxxxxx xxxxxx 二一二年六月 摘 要随着网络技术的发展， internet技术的日趋成熟，人们接受信息的方式随之改变，从以前的纸质文档变成了现在的互联网信息传递。由此而来的互联网信息交互技术给人们的学习、工作和生活等带来了便捷和好处，但是在进行信息交互的同时，互联网中存在的安全问题也变得日趋严重，病毒、黑客程序、邮件炸弹、远程侦听等诸多网络攻击手段无不让人胆战心惊。特别是在一些商业，科研，国防等机构中，涉及到非常多的机密资料，这就使得保障网络安全的技术发展显得尤为重要。但是由于目前的计算机网络存在开放性与共享性，以及网络系统的复杂性、边界和路径的不确定性等问题，使得网络通讯中很容易就受到外界的攻击和破坏，同样也使众多的机密数据的保密性受到了严重影响。因此，就需要采取一定安全措施保护网络中的信息数据，其中网络加密技术是网络中最基本的安全技术，这是一种主动安全防御策略，可以用很小的代价即可为信息提供相当大的安全保护，这就使得网络加密技术就显得尤为的重要。关键词 网络安全，网络加密技术，数字签名，密钥，网络加密技术应用i iiabstractwith the development of network technology, internet technology is mature with each passing day, people accept the way information is changed, from a previous paper documents have now become the internet information transmission. the resulting internet information interactive technology to peoples study, work and life has brought convenience and benefits, but in exchange information at the same time, the internet safety problems have become increasingly serious, virus, hacker program, a mail bomb, remote sense and other network attacks means all make people tremble with fear in ones boots. especially in some commercial, scientific research, national defense and other institutions, to involve very many confidential information, which makes the network security technology development is very important.but due to the current computer network openness and sharing, as well as network system complexity, boundary and the path of the uncertainty problems in network communication, so easily by external attack and damage, and also that many of the confidentiality of confidential data has been seriously affected. therefore, it needs to take measures to protect the network security information in the data, wherein the network encryption technology in the network is the most basic security technology, it is a kind of active security defense strategy, can be used for a small price to pay for information can provide considerable protection, this makes the network encryption technology is particularly important.keywords network security, network encryption technology, digital signature, key, network encryption technology application 目 录摘 要iabstractii目 录iii1 绪论11.1 课题背景11.1.1研究背景11.1.2 课题研究意义11.2 网络安全的现状21.2.1 我国的网络应用现状21.2.2 国内网络安全现状21.3 网络加密技术的诞生31.4 论文结构32 网络加密技术基础52.1 加密技术的原理52.1.1 网络数据面临的主要威胁52.1.2 网络数据加密的基本概念52.2 网络加密技术的方式62.2.1 对称密钥加密方式62.2.2 非对称密钥加密方式82.2.3 对称密钥和非对称密钥的结合82.2.4 数字签名技术92.3密钥的管理机制102.3.1对称密钥管理112.3.2公开密钥管理以及数字证书管理113 网络数据加密技术123.1链路加密123.1.1链路加密的作用123.1.2链路加密装置123.2节点加密133.3端到端加密133.4总结144 网络加密技术的应用154.1电子邮件加密技术154.1.1电子邮件加密的产生背景154.1.2电子邮件加密方法及原理154.1.3 电子邮件加密的好处164.2电子商务中的应用164.3在vpn上的应用165结论18参考文献19致 谢2020 1 绪论 1.1 课题背景1.1.1 研究背景若要问上世纪最伟大的发明是什么，或许就要数当今已普及的计算机和网络了。在1946年，世界上的第一台计算机eniac在美国诞生，当时的计算机还是一个笨重、高耗能、低效率的半机械产物，然而在经过半个世纪的3次计算机革命后，到如今，计算机在体积、耗能以及性能上都有了巨大的飞跃，使计算机在生活中得到了普及。同样，自从上世纪60年代到现在，计算机网络也伴随着计算机的普及得到了飞速发展，使之越来越多的被应用到各行各业，成为了极其重要的通讯工具。随着网络技术的发展， internet技术的日趋成熟，人们接受信息的方式随之改变，从以前的纸质文档变成了现在的互联网信息传递。由此而来的互联网信息交互技术给人们的学习、工作和生活等带来了便捷和好处，但是在进行信息交互的同时，互联网中存在的安全问题也变得日趋严重，病毒、黑客程序、邮件炸弹、远程侦听等诸多网络攻击手段无不让人胆战心惊。特别是在一些商业，科研，国防等机构中，涉及到非常多的机密资料，这就使得保障网络安全的技术发展显得尤为重要。但是由于目前的计算机网络存在开放性与共享性，以及网络系统的复杂性、边界和路径的不确定性等问题，使得网络通讯中很容易就受到外界的攻击和破坏，同样也使众多的机密数据的保密性受到了严重影响。因此，就需要采取一定安全措施保护网络中的信息数据，其中网络加密技术是网络中最基本的安全技术，这是一种主动安全防御策略，可以用很小的代价即可为信息提供相当大的安全保护，这就使得网络加密技术就显得尤为的重要。1.1.2 课题研究意义伴随着网络技术的不断深入发展，全球信息资源共享已成为了人类发展的趋势。计算机已经被广泛应用到人们的社会生活和生产中的各个领域，网络已成为极其重要的通信手段，但由于现在的计算机网络很庞大,具有多样的连接形式、不均匀的终端分布以及网络存在的开放性和互联性等特征，导致在网络中传输的数据很容易受到监听和攻击，因此造成的损失也是巨大的，所以网络信息的安全问题是一个至关重要的问题。特别是对于诸如银行、通迅和国防等等，这些机构在利用网络传输机密数据时，其网络中数据的安全性就更加重要了。由此可见，网络急需要足够的安全措施来保障传输数据的安全，否则将严重的制约网络的应用和发展，甚至会危害国家利益、危及国家安全。网络的安全问题是网络加密技术产生的直接原因和发展的指导方向。1.2 网络安全的现状1.2.1 我国的网络应用现状2011年7月19日中国互联网络信息中心（cnnic）在京发布了第28次中国互联网络发展状况统计报告，报告中显示，截至2011年6月底，中国网民规模达到4.85亿，较2010年底增加2770万人，增幅为6.1%，另外，在大部分娱乐类应用使用率有所下滑，商务类应用呈平缓上升。从报告中可以看出，我国的网络普及率越来越高，尤其是商务类应用的快速发展，使得许多不法分子纷纷将牟利黑手伸向互联网，导致近年来网络安全威胁和诚信危机事件频发。虽然近年来政府不断加大对网络安全问题的集中治理力度，网络安全诚信问题有了明显的改善，但形势依旧严峻，问题仍不容忽视。1.2.2 国内网络安全现状根据国家互联网应急中心（cncert）2011年6月的报告中显示，境内感染网络病毒的终端数约为 815 万个。2011年7月19日中国互联网络信息中心（cnnic）在京发布了第28次中国互联网络发展状况统计报告，报告中显示，2011年上半年，遇到过病毒或木马攻击的网民达到2.17亿，比例为44.7%；有过账号数据或密码被盗经历的网民达到1.21亿人，占24.9%，较2010年增加3.1个百分点；有8%的网民在网上遇到过消费欺诈，该群体网民规模达到3880万。在网络安全事件中，感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况，占安全事件总数的大半，“遭到端口扫描或网络攻击”次之。1.3 网络加密技术的诞生 由于病毒攻击、黑客攻击的泛滥猖獗，使得处在网络时代的人们感觉无所适从。现目前虽然已经有了一定的技术手段可以改善网络安全的状况，但是，这一切的安全问题并没有找到完美的方案，例如病毒木马程序，因为任何反病毒程序都只能在新病毒被发现之后才能捕获它们，然后通过解剖病毒了解病毒的特征并更新到病毒特征库，才能使得病毒被反病毒软件检测到并杀除或者隔离。因为病毒的不断更新，使得迄今为止还没有一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒，这说明，网络永远不可能得到绝对的安全。所以我们不能期待网络绝对安全了再展开网络的应用，只要网络存在，病毒、木马以及黑客也会存在，这些就像是寄生在网络上的寄生虫一样。在网络得不到绝对安全的情况下，一些机密文件以及数据还是需要通过网络传播，于是加密技术就在网络安全的迫切需要下应运而生，它为人们在网络上进行的数据交换行为提供了较大的安全保障，如在网络中进行机密文件传输、电子邮件往来和进行商业合同文本的签署等。1.4 论文结构前置部分 1）封面：封面上包括学校名称、论文题目、学生姓名、专业班级、学号、院（系）、指导老师等8项内容。2）中英文摘要：摘要简短陈述了毕业论文内容的概括。3）目录：目录清楚表明各章节的层次关系。目录页排版只排到三级标题。主体部分 1）绪论：绪论的内容主要介绍这个课题的简介与背景。2）正文：正文是论文的核心部分，呈现课题研究的过程。正文总体达到：实事求是、逻辑清楚、层次分明、文字流畅、数据真实可靠。3）结论：总结主要阐述课题研究过程中的成果和收获。后置部分 1）附录：附录包括论文中所用到的图片的目录及表格的目录等。2）参考文献：参考文献的排列按照毕业论文中所引用的文献顺序列在正文末尾的。3）致谢攀枝花学院专科毕业设计（论文） 网络加密技术基础2 网络加密技术基础2.1 加密技术的原理2.1.1 网络数据面临的主要威胁现目前，在网络上进行数据交换时主要面临着以下的四种威胁： （1） 截获从网络上被他人监听到进行交换的信息的内容。 （2） 中断有意被他人中断在网络上传输的信息。 （3） 篡改被他人故意篡改网络上传送的信息。 （4） 伪造他人故意伪造信息后在网络上传送。其中截获信息的攻击称为被动攻击，而中断、更改和伪造信息的攻击都称为主动攻击。但是无论是主动还是被动攻击，都是在信息传输的两个端点之间进行的，即源站和目的站之间。如图2-1。图2-1 网络通信数据威胁的分类2.1.2 网络数据加密的基本概念加密，是一种限制对网络上传输数据的访问权的技术。原始数据（也称为明文，plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文（ciphertext）。将密文还原为原始明文的过程称为解密，它是加密的反向处理，但解密者必须利用相同类型的加密设备和密钥对密文进行解密。通过加密后的密文对原始数据具有很大的保护作用。其实加密就是一组含有参数k的算法e。如，设己知原始信x（也就是明文），通过算法e*k得密文t，即t=e*k(x)。其中计算e*k(x)不困难，但是若第三者（指非法者）没有掌握密钥k，则即使截获了密文t，他也无法从t恢复信息，也就是说要想从t求x极其困难。从密文t恢复明文x的过程称为解密。解密算法p是加密算法e的逆运算，解密算法也是含有参数k的变换。一般数据加密、解密模型如图2所示。e加密算法p解密算法加密密钥 k解密密钥 k明文 x明文 x密文 t = e*k（x）截取者截获篡改密钥源安全信道图2-2 一般数据加密、解密模型从整体而言，加密过程包括两个元素：算法和密钥。其中加密算法是将普通明文信息（文件或者数据等）与一窜数字或者数字字母的组合（密钥）进行结合，产生成一种不可理解的无意义的密文的步骤。所以算法以及密钥对加密过程来说是同等重要的。在安全保密中，可通过适当的密钥加密技术和管理机制，来保证网络的信息通讯安全2.2 网络加密技术的方式按运用密钥的加密方式来划分，现目前广泛使用的加密技术主要有对称式密钥加密技术和非对称式密钥加密技术两种加密技术。在对称加密和非对称加密又衍生出了对称密钥和非对称密钥的结合加密技术，以及数字签名（又称公钥数字签名、电子签章）加密技术。2.2.1 对称密钥加密方式对称密钥加密又叫专用密钥加密，即发送和接收数据的双方必使用相同的密钥对明文进行加密和解密运算。对称密钥加密算法主要包括：des、3des、idea、feal、blowfish等。des：又叫数据加密标准，属于常规密钥密码体系，是一种典型的“对称式”加密法。des是美国国家标准和技术局（nist）在1977年才有的数据加密标准，文件编号为fips pub46。算法本身称为dea（数据加密算法）。des是最常用的对称加密算法。des密匙长度为56位，分组长度为64位。3des：最初是由tuchman 提出的，在1985年的ansi标准x9.17中第一次为金融应用进行了标准化。1999年，tdea合并到数据加密标准中，tdea使用三个密匙，并执行三次des算法。tdea密匙长度是168比特。idea：是在1991年由瑞士联邦技术协会的xuejia lai和james massey开发的。idea以64位的明文块进行分组，密匙长度为128位，主要采用3中运算：异或、模加、模乘。对称密钥加密的发送和接受的双方都使用相同的密钥，并且密钥是保密的，不向外公开，通常称之为“session key”。这种加密技术的共同特点在于加密和解密密钥相同，发送方用密钥对数据（明文）进行加密，接收方收到数据后，用同一个密钥进行解密，这类加密技术实现容易，加解密速度快。然而，这种加密方式必须保证在数据发送接收之前收发双方拥有相同的密钥，所以这就需要收发双方需要通过安全信道进行密钥传输。从上文可以看出，对称密钥加密方式的使用具有一定的要求：（1）需要强大的加密算法。算法至少应该满足：即使分析人员知道了算法并能访问一些或者更多的密文，也不能译出密文或得出密匙。通常，这个要求以更强硬的形式表达出来，那就是：即使分析人员拥有一些密文和生成密文的明文，也不能译出密文或者发现密匙。即加密算法应足以抵抗已知明文类型的破译。 （2）发送方和接收方必须用安全的方式来获得保密密匙的副本，必须保证密匙的安全。如果有人发现了密匙，并知道了算法，则使用此密匙的所有通信便都是可读取的。然而，由于对称密钥加密的保密性仅仅是取决于对密钥的保密，而算法相对而言是公开的，人们可通过枚举攻击des，随着计算机以及网络技术的发展，互联网分布式计算能力越来越强大，人们已经可以轻而易举的通过枚举算法暴力攻破des，解出des的明文。例如：1999年，有一批人在互联网上进行合作，他们凭借一套不到25万美元的专用计算机，只花了22小时就破译了des密钥。所以密钥长度较小的des已经不能适应当今分布式开放网络对数据加密安全性的要求，于是被命名为aes（the advanced encryption standard） 高级加密标准算法被提出，具有安全性、高性能、高效率、易用和灵活等优点。aec是美国高级加密标准算法，在未来几十年里将逐渐代替密钥长度较小的des从而在各个领域中得到广泛应用。2.2.2 非对称密钥加密方式非对称密钥也称为公开密钥，每个人都有一对唯一对应的密钥：公开密钥（简称公钥）和私人密钥（简称私钥），公钥对外公开，私钥由个人秘密保存；用其中一把密钥加密，就只能用另一把密钥解密。非对称密钥加密算法的典型代表是rsa。rsa算法的原理：选择两个素数p、q，计算n=pq；那么(n)=(p-1)(q-1)，选择公钥e，计算出私钥d，其中ed-1整除(n) (可由欧几里得算法计算)，如果明文是m，则密文为：em=m的e次幂mod（n）。和对称加密算法有所不同的是，非对称加密算法需要两个密钥：即私有密钥（privatekey）和公开密钥（publickey）。私有密钥和公开密钥是对应的一对：用公开密钥进行加密的数据，只能通过相对应的私有密钥才能解密；同理，用私有密进行加密的数据，只能用相对应的公开密钥才能解密。只是由于加密和解密分别使用不同的两个密钥，所以这种算法也被叫作非对称加密算法。非对称加密算法的基本原理是，发送方（加密者）必须首先知道接收方（解密者）的公开密钥，然后利用接收方（解密者）的公开密钥加密明文；接收方（解密者）收到加密密文后，使用自己的私有密钥解密密文。显然，采用非对称加密算法，发送接收双方在通信之前，接收方必须将随机生成的公钥发送给发送方进行加密，而自己保留私钥。相对于对称密钥加密而言，非对称加密方式只需要保护好私钥，从而使得保密管理相对比较简单的优点；但是由于非对称加密复杂的加密算法，也使得非对称密钥加密速度慢，成本高。2.2.3 对称密钥和非对称密钥的结合对称密钥和非对称密钥的结合使用又叫做数字信封技术，用于保证资料在传输过程中的安全。对称密钥加密和公钥加密技术各有其优缺点，对称密钥加密算法效率高，但密钥的分发和管理都很困难；而公钥加密算法密钥易于管理和传递，但运行效率太低，不适于加密大量的消息，而且它要求被加密的信息块长度要小于密钥的长度。数字信封技术结合了密钥加密技术和公钥加密技术各自的优点，克服了密钥加密技术中密钥分发和管理困难和公钥加密技术中加解密效率低的缺点，充分利用了密钥系统的高效性和公钥系统的灵活性，保证信息在传输过程中的灵活性。2.2.4 数字签名技术数字签名（又称公钥数字签名、电子签章）是指以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。 数字签名是非对称密钥加密技术与数字摘要技术的应用。所谓数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有rsa、elgamal、fiat-shamir、guillou- quisquarter、schnorr、ong-schnorr-shamir数字签名算法、des/dsa，椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用环境密切相关。显然，数字签名的应用涉及到法律问题，美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(dss)。数字签名必须保证以下三点：（1） 接收者能够核实发送者对报文的签名；（2） 发送者事后不能抵赖对报文的签名；（3） 接收者不能伪造对报文的签名。现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。下面就重点介绍这种数字签名技术，如图2-3。图2-3 数字签名发送者a用其秘密解密密钥ska对报文x进行运算，将结果传送给接收者b。 b 用已知的 a 的公开加密密钥得出。因为除 a 外没有别人能具有 a 的解密密钥ska，所以除 a 外没有别人能产生密文。这样，b 相信报文 x 是 a 签名发送的。若 a 要抵赖曾发送报文给 b，b 可将 x 及出示给第三者。第三者很容易用 pka去证实 a 确实发送 x 给 b。反之，若 b 将 x 伪造成，则 b 不能在第三者前出示。这样就证明了 b 伪造了报文。2.3密钥的管理机制即使拥有再好的算法和密钥，如管理不善，也可能会造成数据被窃取和伪造。要使加密后的明文内容不被非法者阅读，密钥的管理和保护也显得极为重要，因此就有了相关的密钥管理机制。要管理好密钥我们要注意以下几个方面：（1）、密钥的使用要注意时效和次数。如果用户可多次地使用相同密钥加解密数据，那么这样的密钥安全性是很低的，虽然用户的私有密钥不对公开的，但不能保证私有密钥的长期保密性，也不能保证这种长期私有密钥不会被有意无意地泄露或者窃取。如果第三方有意无意地知道了用户的密钥，则此密钥加密信息失去保密性。所以，经常性的更换密钥是很有必要的。（2）、多密钥的管理。通常的方法是设立一个相对安全的、可被信任的密钥分配中心（kdc）来管理密钥，这样用户只需和kdc联系的一个密钥即可。例如人们将自己各种各样的密码，不便于记忆，还容易混淆，我们可以把它们都保存在一个加密的数据库中，如果只要记住数据库的密码就可以管理所有的密码了。下面重点介绍两种密钥的管理技术。2.3.1对称密钥管理对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。 发送方可以为每次交换的信息（如每次的edi交换）生成唯一一把对称密钥并用公开密钥对该密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息（如edi交换）一起发送给相应的接收方。由于对每次信息交换都对应生成了唯一一把密钥，因此收发双方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是，即使泄露了一把密钥也只将影响一次信息的安全，而不会影响到收发双方之间所有的信息交换。2.3.2公开密钥管理以及数字证书管理贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。国际电信联盟（itu）制定的标准x.509，对数字证书进行了定义该标准等同于国际标准化组织（iso）与国际电工委员会（iec）联合发布的iso/iec 9594-8：195标准。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（ca），它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前电子商务广泛采用的技术之一。攀枝花学院专科毕业设计（论文） 网络数据加密技术3 网络数据加密技术3.1链路加密链路加密(又称在线加密)是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。3.1.1链路加密的作用对于在两个网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保证。对于链路加密,所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过许多通信链路的传输。 由于在每一个中间传输节点消息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现。这样,链路加密就掩盖了被传输消息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密,这使得消息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。3.1.2链路加密装置路加密为网上传输数据的两个网络节点间提供安全保证的链路。在到达数据终点（目的地）前，数据可能要经过许多链路的传输。因为在每个链路节点上数据均被解密并重新加密，因此，包括路由信息在内的所有数据都是以密文的形式出现。这样，链路加密就掩盖了被传输数据的源点与终点。因为是多次加密，链路加密看似比较复杂，然而使用链路加密装置可以使链路加密相对便捷。链路加密装置能为某链路上的所有报文提供传输服务。即经过一台节点机的所有网络信息传输均需加、解密，每一个经过的节点都必须有密码装置，以便解密、加密报文。如果报文仅在一部分链路上加密而在另一部分链路上不加密，则相当于未加密，仍然是不安全的。与链路加密类似的节点加密方法，是在节点处采用一个与节点机相连的密码装置（被保护的外围设备）,密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密关节点处易受攻击的缺点。图2-4是链路加密装置的原理图：图2-4 链路加密装置原理图3.2节点加密节点加密不但能提供较高的网络数据安全性，而且在加密的操作方式上也同链路加密类似：两者均在链路上为数据提供安全服务，均在链路的节点上先对数据进行解密，然后再加密，且这个过程对于用户来说是透明的。然而与链路加密不同的是：链路加密中，数据在节点处是以明文的形式出现，而节点加密不允许数据在网络节点上以明文形式存在，它先将数据进行解密，然后采用另一个不同的密钥进行加密，这一过程是在节点上的一个安全模块中进行。节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。这种方法对于防止攻击者分析通信业务是脆弱的，所以容易受到攻击。3.3端到端加密端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。端对端的加密方式对应于osi参考模型中的传输层和网络层。其提出从源端到对端传送的数据必须一直保持在密文状态，其传输过程中任何路由的错误将不影响数据的安全性和完整性。但是在端加密方式中，只加密数据本身信息，不加密路径控制信息。每个节点都要用这个地址控制信息来确定如何传递数据，由于这种加密方法不能掩盖被传递数据的源点与终点，因此它容易受到攻击。端到端加密系统的价格便宜些,并且与链路加密和节点加密相比更可靠,更容易设计、实现和维护。端到端加密还避免了其它加密系统所固有的同步问题,因为每个报文包均是独立被加密的,所以一个报文包所发生的传输错误不会影响后续的报文包。此外,从用户对安全需求的直觉上讲,端到端加密更自然些。单个用户可能会选用这种加密方法,以便不影响网络上的其他用户,此方法只需要源和目的节点是保密的即可。3.4总结 从身份认证的角度看，链路加密只能认证节点，而不是用户。使用节点a密钥的报文仅保证它来自节点a。报文可能来自a的任何用户，也可能来自另一个路过节点a的用户。因此链路加密不能提供用户鉴别。端到端加密对用户是可见的，可以看到加密后的结果，起点、终点很明确，可以进行用户认证。 总之，链路加密对用户来说比较容易，使用的密钥较少，而端到端加密比较灵活，用户可见。对链路加密中各节点安全状况不放心的用户也可使用端到端加密方式。攀枝花学院专科毕业设计（论文） 网络加密技术的应用4 网络加密技术的应用4.1电子邮件加密技术4.1.1电子邮件加密的产生背景自从人类社会进入21世纪，电子邮件（即e-mail）因为其环保、方便、快捷和相对安全的特点取代了传统纸质信件和贺卡而得到了前所未有的发展，如今已成为互联网上的最重要的应用之一，电子邮件已经被广泛的应用于人们的工作生活中。如今，电子邮件已经成为人们在网络上互相联系的重要工具，据统计，虽然只有不到30%的网民每天上网浏览网页信息，却有超过70%的网民在使用电子邮件。特别是近年来电子商务的迅速发展，越来越多的人通过电子邮件发送机密信息。然而，虽然电子邮件的安全性相对于纸质信件有很大的提高，但由于如今的黑客技术的不断发展和完善，以及计算机性能的不断提高，电子邮件仍然存在着被窃取的安全隐患，且这种安全隐患日趋严重。电子邮件在互联网中的传递路由是不确定的，其中可能存在着多条路径，在每条路由上，都可能存在这多个类似于“击鼓传花”一样的网络节点，在每个节点上都很容易截获电子邮件的拷贝，也就是说，电子邮件在投递的过程中，对收发双方以外的人来说都是可见的。另外，如今电子邮件的投递精度已经较传统的邮件有了相当的提高，但是一些人为误操作和网络因素而造成了投递错误也是时有发生的，而电子邮件的投递错误，可能致使别人看见这封电子邮件，如果是一般的问候信件也就罢了，但如果是重要的机密信件因投递错误出现信息的泄露就是不能容忍的了，其后果比传统邮件勿投递是有过之而无不及的。所以，对电子邮件进行加密是在邮件传输过程中必不可少的重要环节。4.1.2电子邮件加密方法及原理在电子邮件加密技术众多，对电子邮件进行数字签名就是其中之一。当用户使用自己的电子证书在发出的邮件上进行数字签名时，邮件将被按照邮件的内容通过摘要函数运算取得一个可以用以检验邮件完整性的值，并将该值使用电子证书中的私人密钥加密，然后与公共密钥和邮件内容一起发送出去。由于私人密钥加密的内容只有对应的公共密钥可以解密，并且摘要函数可以在任意大小的数据中采集一个固定长度的摘要，供采集的数据源即使有一位数据改变取得的结果也不同，邮件的内容有任何改变都无法与原来检验邮件完整性的值相匹配，当收件人收到邮件时即可知道邮件的内容是否被篡改，同时也知道该邮件发送者使用的是哪一个电子证书。而由于第三方的权威证书发行机构在发出电子证书时，将验证申请者是否拥有所申请电子邮箱的使用权，收件人也就能够通过证书发行机构验证发件人所使用的电子证书，确认所收到的邮件的确来自拥有这个邮箱地址的用户，从而实现对发件人的真实性与邮件内容是否完整的鉴别。4.1.3 电子邮件加密的好处对电子邮件进行加密，可以防止邮件在传递过程中被第三方截获，因为加密过的电子邮件如果没有私人密钥对其进行解密，那么截获方看到的只能是一堆数字、英文和符号组成的乱码。4.2电子商务中的应用电子商务要求顾客可以在网上进行各种商务活动。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用rsa（一种公开/私有密钥）的加密技术，提高信用卡交易的安全性。 netscape提供了一种基于rsa和保密密钥的应用于因特网的技术，被称为安全插座层（secure sockets layer,ssl）。ssl3.0用一种电子证书，来实行身份进行验证后，双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个密钥，然后客户用服务器端的公钥将密钥进行加密，再传给服务器端，在双方都知道密钥后，传输的数据都是以密钥进行加密与解密的，但服务器端发给用户的公钥必需先向有关发证机关申请，以得到公证。用户就可以自由订购商品并且给出信用卡号了，也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来。如著名的阿里巴巴淘宝网，大多数网上银行，以及部分证券行情交易软件都在广泛的使用ssl协议来保证网络间通信的安全性。4.3在vpn上的应用在进入21世纪的今天，越来越多的公司走向国际化，公司在多个国家有办事机构或销售中心，每一个机构都有自己的局域网lan（local area network），用户希望将这些lan连结组成公司的广域网。他们