認證演算法和加密演算法有什麼區別

Ⅰ 常見的三種加密演算法及區別

1.常見的三種加密演算法及區別
2.加密演算法在HTTPS中的應用
3.MD5的實現原理

簡介：
消息摘要演算法的主要特徵是加密過程 不需要密鑰 ，並且經過加密的數據 無法被解密

特點：
無論輸入的消息有多長，計算出來的消息摘要的 長度總是固定 的
一般地，只要輸入的 消息不同 ，對其進行摘要以後產生的 摘要消息也必不相同 ，但 相同的輸入必會產生相同的輸出

應用場景：
消息摘要演算法主要應用在「數字簽名」領域，作為對明文的摘要演算法

比較：
都是從MD4發展而來,它們的結構和強度等特性有很多相似之處

簡介：
對稱加密指加密和解密使用 相同密鑰 的加密演算法
特點：
對稱加密演算法的特點是演算法公開、 計算量小 、 加密速度快 、加密效率高。不足之處是，交易雙方都使用 同樣鑰匙 ，安全性得不到保證。
應用：
數據傳輸中的加密，防竊取

比較：
AES彌補了DES很多的不足，支持秘鑰變長，分組變長，更加的安全，對內存要求非常低

簡介：
非對稱加密演算法需要兩個密鑰：公開密鑰和私有密鑰。公鑰與私鑰是一對，如果用 公鑰對數據進行加密，只有用對應的私鑰才能解密。用私鑰進行加密，只有對應的公鑰才能進行解密
特點：
演算法強度復雜、安全性依賴於演算法與密鑰。但是由於其演算法復雜，而使得加密解密 速度沒有對稱加密解密的速度快 。
應用場景：
數字簽名、秘鑰傳輸加密

比較：
使用RSA，可以進行加密和簽名的密鑰對。使用DH，只執行加密，沒有簽名機制。
ECC和 RSA 相比，在許多方面都有對絕對的優勢

Ⅱ 常用的數字簽名、鑒別、加密演算法分別有哪些這幾種機制分別保障了信息的哪種安全屬性

常見的數字簽名有RSA,DSA,ECDSA
加密演算法一般分為對稱加密和非對稱加密，消息摘要演算法。
對稱加密中，DSE最為典型，還要ASE,IDEA,PBE等，一般用於數據加密
非對稱加密中，當然是RSA最為基礎，還有ECC,ElGamal等，一般用於密鑰加密，安全性高，
但若數據加密效率相對對稱加密，就比較低了。
消息摘要有MD,SHA,MAC等，用於數據完整性驗證。

Ⅲ IPsec是如何保證機密性的

與認證頭（AH）協議一樣，設計封裝安全載荷（ESP）協議的目的也是為了提高Internet協議（IP）的安全性。ESP提供數據機密性、數據源認證、無連接完整性、抗重放攻擊和有限的數據流機密性等服務。實際上，ESP提供的服務和AH的類似，但增加了兩個額外的服務：數據機密性服務和有限的數據流機密性服務。機密性服務通過使用密碼演算法加密IP數據報的相關部分來實現。數據流機密性由隧道模式下的機密性服務提供。
ESP中用來加密數據報的密碼演算法都毫無例外地使用對稱密鑰體制。公鑰密碼演算法涉及到計算量非常大的大整數模指數運算，大整數的規模超過300位十進制數字。而對稱密碼演算法主要使用初級的操作（異或、逐位與、位循環等），無論以軟體還是硬體方式執行都非常有效。所以相對公鑰密碼系統而言，對稱密鑰系統的加、解密吞吐量要大得多。

ESP通過使用消息認證碼（MAC）提供認證服務。對於加密和認證演算法的選擇因IPSec的實現不同而不同；然而為了保證互操作性，ESP規范RFC2406中規定了每個IPSec實現要強制實現的演算法。在撰寫規范的時候，強制實現的加密演算法是DES的CBC模式和null加密演算法，而認證演算法是HMAC-MD5、HMAC-SHA-1和null認證演算法。null加密和null認證演算法分別是不加密和不認證選項。null演算法選項是強制實現的，因為ESP加密和認證服務是可選的。然而，值得注意的是，null加密和null認證演算法不可以同時使用。換句話講就是如果採用了ESP，或者要用到加密，或者要用到認證，或者同時使用。DES是個弱加密演算法，很少用於VPN解決方案。人們希望可以在修訂RFC2406時用AES代替DES作為強制實現的演算法。其他常用的演算法是CAST-128和IDEA。
ESP可以單獨應用或以嵌套的方式使用，也可以和AH結合使用。

ESP數據包由4個固定長度的域和3個變長域組成。這個協議的包格式如圖所示。有關域的描述如下：

1. 安全參數索引（SPI）這個域和AH的SPI類似。
2. 序列號（Sequence number）：與AH的情況類似
3. 載荷數據（Payload data）：這是一個變長域。如果使用機密性服務的話，其中就包含有實際的載荷數據（就是說，數據報加密部分的密文）。這個域是必須有的，不管涉及的SA是否需要機密性服務。如果採用的加密演算法需要初始化向量（IV），它將在載荷域中傳輸，並且演算法的規范要指明IV的長度和它在載荷數據域中的位置。IV用於某種分組密碼的工作模式以確保前一部分相似的明文（如IP數據報頭）生成不同的密文。載荷數據域的長度以比特為單位並且必須是8的整數倍。
4. 填充（Padding）：如果有的話，這個域包含著填充比特，由加密演算法使用或用於使填充長度域和4位元組字中的第3個位元組對齊。這個域的長度是0到255位元組。
5. 填充長度（Pad length）：填充長度是一個8比特的域，表明填充域中填充比特的長度。這個域的有效值是0到255間的整數。
6. 下一個頭（Next header）：這個8比特的域表明載荷中封裝的數據類型。可能是一個IPv6擴展頭或一個傳輸層協議。例如，值6表明載荷中封裝的是TCP數據。
7. 認證數據（Authentication data）：這個變長域中存放ICV，它是對除認證數據域外的ESP包計算出來的。這個域的實際長度取決於使用的認證演算法；例如，如果使用HMAC-MD5，則認證數據域是128比特，如果使用的是HMAC-SHA-1，則為160比特。認證數據域是可選的，僅當指定的SA要求ESP認證服務時才包含它。

Ⅳ 消息認證碼與加密演算法的區別求大神指教

消息認證碼MAC（帶密鑰的Hash函數）:密碼學中，通信實體雙方使用的一種驗證機制，保證消息數據完整性的一種工具。構造方法由M.Bellare提出，安全性依賴於Hash函數，故也稱帶密鑰的Hash函數。是一種消息認證演算法。消息認證碼是基於密鑰和消息摘要所獲得的一個值，可用於數據源發認證和完整性校驗。消息認證是強調消息的完整性。可以驗證消息的完整性，當接收方收到發送方的報文時，接收方能夠驗證收到的報文是真實的和未被篡改的。一是驗證消息的發送者是真正的而非冒充的，即數據起源認證，二是驗證消息在傳輸過程中未被篡改。
而加密演算法主要是保證消息的保密性，各種加密演算法就不說了，網路很詳細。。。

Ⅳ wifi認證方式和加密演算法的區別是什麼

wifi認證方式相當於身份認證，如同你是警察，要看對方是不是警察，若是則認證通過，可以進一步交流，否則認證失敗，不予交流；x0dx0a這里認證的依據有兩個，一個是認證方式要相同或者兼容，認證方式包括WEP，WPA-PSK，WPA2-PSK，WPA/WPA2-PSK，其中WPA/WPA2-PSK是兼容WPA-PSK和WPA2-PSK的，WPA2-PSK是不兼容WPA-PSK的，你是WEP，對方也要是WEP，你是WPA-PSK，對方也要是WPA-PSK，這個清楚就可以了；第二個依據就是每次使用WiFi網路前都需要手動輸入的密碼，這個要輸入正確才能完成認證。x0dx0a還有就是WPA-PSK，WPA2-PSK，後面帶PSK主要是說明是家庭網路或者小公司網路使用的，輸入密碼就可以使用，而WPA和WPA2是其他大型公司網路使用的，需要輸入其他信息例如後台伺服器的IP地址等，使用復雜些，需要後台伺服器，但是安全性更高。x0dx0ax0dx0awifi加密演算法是為了保證wifi通信數據的安全，不被竊聽，是對wifi通信數據的加密方式；如同你們都是警察了，可以展開交流，但是你們要用暗號交流，才能保證不被別人竊聽交流內容。x0dx0a這時加密方式主要有：x0dx0a如果是WPA-PSK認證方式，就是TKIP演算法；如果是WPA2-PSK模式，就是CCMP演算法（注意CCMP演算法的核心是AES演算法，所以好多時候不提CCMP，就提AES了）；同時WPA2-PSK也可以使用TKIP演算法，WPA-PSK也可以使用AES演算法，可以理解成加密方式大家都可以用，就是一種演算法而已，但是AES比TKIP保密性更高，不容易被攻破。x0dx0a還有就是wifi加密演算法採用的秘鑰是雙方認證通過後，協商好的。這個秘鑰和我們手動輸入的wifi密碼，不是一碼事。x0dx0ax0dx0a另外附上，我測試過的磊科路由器和高通QCA4004 wifi模塊的認證、加密測試結果：x0dx0ax0dx0a路由器設置成WPA2-PSK、AES加密，高通模塊設置成WPA-PSK、AES加密，無法建立連接；x0dx0a路由器設置成WPA/WPA2-PSK、AES加密，高通模塊設置成WPA-PSK、TKIP加密，無法建立連接；x0dx0a路由器設置成WPA/WPA2-PSK、AES加密，高通模塊設置成WPA-PSK、AES加密，建立連接成功；x0dx0a路由器設置成WPA -PSK、AES加密，高通模塊設置成WPA2-PSK、AES加密，無法連接成功；x0dx0a x0dx0a結論：WPA2不向下兼容WPA，AES也不兼容TKIP演算法。

Ⅵ 目前的數字認證和加密演算法的主要技術及其應用

1. 什麼是數字證書？
數字證書就是網路通訊中標志通訊各方身份信息的一系列數據，其作用類似於現實生活中的身份證。它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份。
最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標准。
一個標準的X.509數字證書包含以下一些內容：
證書的版本信息；
證書的序列號，每個證書都有一個唯一的證書序列號；
證書所使用的簽名演算法；
證書的發行機構名稱，命名規則一般採用X.500格式；
證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時范圍為1950-2049；
證書所有人的名稱，命名規則一般採用X.500格式；
證書所有人的公開密鑰；
證書發行者對證書的簽名。
使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。
2. 為什麼要使用數字證書？
由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須保證在網際網路上進行的一切金融交易運作都是真實可靠的，並且要使顧客、商家和企業等交易各方都具有絕對的信心，因而網際網路電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網路安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。
信息的保密性
交易中的商務信息均有保密的要求，如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，商家要考慮客戶端是不是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。
不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
由於商情的千變萬化，交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。
我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。
3. 數字認證原理
數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。
在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私有密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前採用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然後由商戶用自己的私有密鑰進行解密。
如果用戶需要發送加密數據，發送方需要使用接收方的數字證書（公開密鑰）對數據進行加密，而接收方則使用自己的私有密鑰進行解密，從而保證數據的安全保密性。
另外，用戶可以通過數字簽名實現數據的完整性和有效性，只需採用私有密鑰對數據進行加密處理，由於私有密鑰僅為用戶個人擁有，從而能夠簽名文件的唯一性，即保證：數據由簽名者自己簽名發送，簽名者不能否認或難以否認；數據自簽發到接收這段過程中未曾作過任何修改，簽發的文件是真實的。
4. 數字證書是如何頒發的？
數字證書是由認證中心頒發的。根證書是認證中心與用戶建立信任關系的基礎。在用戶使用數字證書之前必須首先下載和安裝。
認證中心是一家能向用戶簽發數字證書以確認用戶身份的管理機構。為了防止數字憑證的偽造，認證中心的公共密鑰必須是可靠的，認證中心必須公布其公共密鑰或由更高級別的認證中心提供一個電子憑證來證明其公共密鑰的有效性，後一種方法導致了多級別認證中心的出現。
數字證書頒發過程如下：用戶產生了自己的密鑰對，並將公共密鑰及部分個人身份信息傳送給一家認證中心。認證中心在核實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然後，認證中心將發給用戶一個數字證書，該證書內附了用戶和他的密鑰等信息，同時還附有對認證中心公共密鑰加以確認的數字證書。當用戶想證明其公開密鑰的合法性時，就可以提供這一數字證書。
5. 加密技術
由於數據在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術是電子商務採取的主要保密安全措施，是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。
加密包括兩個元素：演算法和密鑰。一個加密演算法是將普通的文本（或者可以理解的信息）與一竄數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰和演算法對加密同等重要。
密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中，可通過適當的密鑰加密技術和管理機制，來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。
相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數據加密標准（DES，Data Encryption Standard）演算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）演算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

Ⅶ 加密演算法和數字認證

在youtube上找到華南理工大學的四堂課，還蠻清楚的，要點歸總一下：
1.最早的密碼學： 凱撒密碼（位移）
2.對稱加密：DES 非對稱加密：AES，
3.RSA演算法：
歐拉函數，大數原理，公鑰和私鑰的翻開管理
演算法是公開的，但使用的數是100次方到200次方級別的大數，因此破解基本不可能（數學上的非確定解理論）

四堂課言簡意賅，把加密演算法和數字認證說得很清楚，贊。

參考：
https://www.youtube.com/watch?v=izlTLJzm-Qg

Ⅷ 安全傳輸信息和身份認證對於加解密技術使用方面的區別

一、傳輸口令不同

通常的身份認證都要求傳輸口令或身份信息，但如果能夠不傳輸這些信息身份也得到認證就好了。零知識證明就是這樣一種技術：被認證方A掌握某些秘密信息，A想設法讓認證方B相信他確實掌握那些信息，但又不想讓認證方B知道那些信息。

二、認證方法不同

基於物理安全性的身份認證方法，盡管前面提到的身份認證方法在原理上有很多不同，但他們有一個共同的特點，就是只依賴於用戶知道的某個秘密的信息。與此對照，另一類身份認證方案是依賴於用戶特有的某些生物學信息或用戶持有的硬體。

包括基於指紋識別的身份認證、基於聲音識別身份認證以及基於虹膜識別的身份認證等技術。該技術採用計算機的強大功能和網路技術進行圖像處理和模式識別，具有很好的安全性、可靠性和有效性。

三、口令核對

口令核對是系統為每一個合法用戶建立一個用戶名/口令對，當用戶登錄系統或使用某項功能時，提示用戶輸入自己的用戶名和口令，系統通過核對用戶輸入的用戶名、口令與系統內已有的合法用戶的用戶名/口令對（這些用戶名/口令對在系統內是加密存儲的）是否匹配，如與某一項用戶名/口令對匹配，則該用戶的身份得到了認證。

Ⅸ 急~~~~~~~~~計算機網路問題

作為企業用戶首選的網路安全產品，防火牆一直是用戶和廠商關注的焦點。為了能夠為
用戶從眼花繚亂的產品中選擇出滿足需求的防火牆提供客觀依據，《網路世界》評測實驗室
對目前市場上主流的防火牆產品進行了一次比較評測。

《網路世界》評測實驗室依然本著科學、客觀公正的原則，不向廠商收取費用，向所有
希望參加評測的廠商開放。

我們此次評測徵集的產品包括百兆和千兆防火牆兩個系列。此次送測產品有來自國內外
12家廠商的14款產品，其中百兆防火牆包括來自安氏互聯網有限公司的LinkTrust CyberWal
l -100Pro、方正數碼的方正方御FGFW，聯想網御2000，NetScreen-208、清華得實NetST210
4 、ServGate公司的SG300、神州數碼的DCFW-1800、天融信網路衛士NGFW4000、三星SecuiW
all 防火牆以及衛士通龍馬的龍馬衛士防火牆，千兆防火牆包括北大青鳥JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火牆和北大青鳥JB-FW1防
火牆性能測試尚未全部完成就自行退出本次比較測試。在我們評測工程師的共同努力下，順
利完成了對其他12款產品的評測任務。

測試內容主要涵蓋性能、防攻擊能力以及功能三個方面，這其中包括按照RFC2504、RFC
2647以及我國標准進行的定量測試和定性測試。我們性能測試和防攻擊能力主要採用Spiren
t公司的SmartBits 6000B測試儀作為主要測試設備，利用SmartFlow和WebSuite Firewall測
試軟體進行測試。在測防攻擊能力時，為准確判定被攻擊方收到的包是否是攻擊包，我們還
使用NAI公司的Sniffer Pro軟體進行了抓包分析。

在功能測試方面，我們的評測工程師則以第一手的感受告訴讀者防火牆在易用性、可管
理性、VPN、加密認證以及日誌審計等多方面功能。

最後，我們還要感謝向我們提供測試工具的思博倫通信公司以及NAI公司，同時也對那些
勇於參加此次防火牆產品公開比較評測的廠商表示贊賞。

性能綜述

對於網路設備來說，性能都是率先要考慮的問題。與其他網路設備相比，防火牆的性能
一直被認為是影響網路性能的瓶頸。如何在啟動各項功能的同時確保防火牆的高性能對防火
牆來說是巨大的挑戰。

在我們測試的過程中，感受最深的一點就是由於防火牆之間體系結構和實現方式的巨大
差異性，從而也就使得不同防火牆之間的性能差異非常明顯。從防火牆的硬體體系結構來講
，目前主要有三種，一種使用ASIC體系，一種採用網路處理器（NP），還有一種也是最常見
的，採用普通計算機體系結構，各種體系結構對數據包的處理能力有著顯著的差異。防火牆
軟體本身的運行效率也會對性能產生較大影響，目前防火牆軟體平台有的是在開放式系統（
如Linux，OpenBSD）上進行了優化，有的使用自己專用的操作系統，還有的根本就沒有操作
系統。我們在進行性能測試時努力地將影響防火牆性能的因素降到最小，測試防火牆性能時
將防火牆配置為最簡單的方式：路由模式下內外網全通。

我們此次測試過程中，針對百兆與千兆防火牆的性能測試項目相同，主要包括：雙向性
能、單向性能、起NAT功能後的性能和最大並發連接數。雙向性能測試項目為吞吐量、10%線
速下的延遲、吞吐量下的延遲以及幀丟失率；單向性能測試項目包括吞吐量、10%線速下的延
遲；起NAT功能後的性能測試包括吞吐量、10%線速下的延遲。

百兆防火牆性能解析

作為用戶選擇和衡量防火牆性能最重要的指標之一，吞吐量的高低決定了防火牆在不丟
幀的情況下轉發數據包的最大速率。在雙向吞吐量中，64位元組幀，安氏領信防火牆表現最為
出眾，達到了51.96%的線速，NetsScreen-208也能夠達到44.15%，

在單向吞吐量測試中，64位元組幀長NetScreen-208防火牆成績已經達到83.60%，位居第一
，其次是方正方御防火牆，結果為71.72%。

延遲決定了數據包通過防火牆的時間。雙向10%線速的延遲測試結果表明，聯想網御200
0與龍馬衛士的數值不分伯仲，名列前茅。

幀丟失率決定防火牆在持續負載狀態下應該轉發，但由於缺乏資源而無法轉發的幀的百
分比。該指標與吞吐量有一定的關聯性，吞吐量比較高的防火牆幀丟失率一般比較低。在測
試的5種幀長度下，NetScreen-208在256、512和1518位元組幀下結果為0，64位元組幀下結果為5
7.45%。

一般來講，防火牆起NAT後的性能要比起之前的單向性能略微低一些，因為啟用NAT功能
自然要多佔用一些系統的資源。安氏領信防火牆與清華得實NetST 2104防火牆在起NAT功能後
64位元組幀的吞吐量比單向吞吐量結果略高。

最大並發連接數決定了防火牆能夠同時支持的並發用戶數，這對於防火牆來說也是一個
非常有特色也是非常重要的性能指標，尤其是在受防火牆保護的網路向外部網路提供Web服務
的情況下。天融信NGFW 4000以100萬的最大並發連接數名列榜首，而龍馬衛士防火牆結果也
達到80萬。

我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻擊。我們還在防
攻擊測試中試圖建立5萬個TCP/HTTP連接，考察防火牆在啟動防攻擊能力的同時處理正常連接
的能力。

Syn Flood目前是一種最常見的攻擊方式，防火牆對它的防護實現原理也不相同，比如，
安氏領信防火牆與NetScreen-208採用SYN代理的方式，在測試這兩款防火牆時我們建立的是
50000個TCP連接背景流，兩者能夠過濾掉所有攻擊包。SG-300、聯想網御2000在正常建立TC
P/HTTP連接的情況下防住了所有攻擊包。大多數防火牆都能夠將Smurf、Ping of Death和La
nd-based三種攻擊包全部都過濾掉。

Teardrop攻擊測試將合法的數據包拆分成三段數據包，其中一段包的偏移量不正常。對
於這種攻擊，我們通過Sniffer獲得的結果分析防火牆有三種防護方法，一種是將三段攻擊包
都丟棄掉，一種是將不正常的攻擊包丟棄掉，而將剩餘的兩段數據包組合成正常的數據包允
許穿過防火牆，還有一種是將第二段丟棄，另外兩段分別穿過防火牆，這三種方式都能有效
防住這種攻擊。實際測試結果顯示方正方御、安氏領信、SG-300、龍馬衛士屬於第一種情況
，神州數碼DCFW-1800、得實NetST2104、聯想網御2000屬於第二種情況，Netscreen-208屬於
第三種情況。

對於Ping Sweep和Ping Flood攻擊，所有防火牆都能夠防住這兩種攻擊，SG-300防火牆
過濾掉了所有攻擊包，而方正方御防火牆只通過了1個包。雖然其餘防火牆或多或少地有一些
ping包通過，但大部分攻擊包都能夠被過濾掉，這種結果主要取決於防火牆軟體中設定的每
秒鍾通過的ping包數量。

千兆防火牆性能結果分析

由於千兆防火牆主要應用於電信級或者大型的數據中心，因此性能在千兆防火牆中所佔
的地位要比百兆防火牆更加重要。總的來說，三款千兆防火牆之間的差異相當大，但性能結
果都明顯要高於百兆防火牆。

雙向吞吐量測試結果中，NetScreen-5200 64、128、256、512、1518位元組幀結果分別為
58.99%、73.05%、85.55%、94.53%、97.27%線速。千兆防火牆的延遲與百兆防火牆相比降低
都十分明顯，NetScreen-5200的雙向10%線速下的延遲相當低，64位元組幀長僅為4.68祍，1518?紙謚〕さ囊倉揮?4.94祍。起NAT功能後，NetScreen-5200防火牆64位元組幀長的吞吐量為62.
5%。由於ServGate SG2000H不支持路由模式，所有隻測了NAT 結果，該防火牆在1518位元組幀
長達到了100%線速。阿姆瑞特F600+起NAT功能對其性能影響很小。最大並發連接數的測試結
果表明，NetScreen-5200防火牆達到100萬。

在防攻擊能力測試中， 三款千兆防火牆對於Smurf和Land-based攻擊的防護都很好，沒
有一個攻擊包通過防火牆。對於Ping of Death攻擊， NetScreen-5200和阿姆瑞特F600+防火
牆丟棄了所有的攻擊包，SG2000H防火牆測試時對發送的45個攻擊包，丟棄了後面的兩個攻擊
包，這樣也不會對網路造成太大的危害。在防護Teardrop攻擊時，F600+防火牆丟棄了所有的
攻擊包，ServGate-2000防火牆只保留了第一個攻擊包，NetSreen-5200防火牆則保留了第一
和第三個攻擊包，這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊
測試結果為1000個攻擊包全都過濾掉。

功能綜述

在我們此次測試防火牆的過程中，感受到了不同防火牆產品之間的千差萬別，並通過親
自配置體會到防火牆在易用性、管理性以及日誌審計等方面的各自特色。

包過濾、狀態檢測和應用層代理是防火牆主要的三種實現技術，從此次參測的防火牆產
品中我們可以明顯地看到狀態檢測或將狀態檢測與其他兩種技術混合在一起是主流的實現原
理。

在工作方式方面，大部分防火牆都支持路由模式和橋模式（透明模式），來自ServGate
公司的SG300和SG2000H，其工作方式主要是橋模式和 NAT模式，沒有一般產品所具有的路由
模式。天融信NGFW 4000和衛士通龍馬的龍馬衛士防火牆還支持混合模式。

百兆防火牆

與交換機走向融合？

當我們拿到要測試的防火牆時，有一個非常直觀的感覺是防火牆不再只是傳統的三個端
口，正在朝向多個埠方向發展，帶有4個埠的防火牆非常常見，我們都知道三個埠是用
來劃分內網、外網和DMZ區，那麼增加的第4個埠有什麼用呢？不同產品差別很大，但以用
作配置管理的為主，安氏的防火牆將該埠作為與IDS互動的埠，比較獨特。像天融信網路
衛士NGFW4000則可以最多擴展到12個埠，Netscreen-208有8個固定埠，Netscreen-5200
則是模塊化的千兆防火牆，可以插帶8個miniGBIC 1000Base-SX/LX千兆埠或24個百錐絲?的模塊，這顯示了防火牆與交換機融合的市場趨勢。

對DHCP協議的支持方面，防火牆一般可以作為DHCP信息的中繼代理，安氏領信防火牆、
清華得實NetST2104、天融信NGFW4000都有這個功能。而Netscreen-208、SG300還可以作為D
HCP 伺服器和客戶端，這是非常獨特的地方。

在VLAN支持方面，Netscreen防火牆又一次顯示了強大的實力。與交換機類似，Netscre
en-208支持每個埠劃分為子埠，每個子埠屬於不同的VLAN，支持802.1Q，並且不同子
埠還可以屬於不同區域。安氏領信、聯想網御2000、天融信NGFW4000防火牆則有相應選項
支持VLAN，主要支持802.1Q和Cisco的ISL。

管理特色凸現

管理功能是一個產品是否易用的重要標志，對此我們考察了防火牆對管理員的許可權設置
、各種管理方式的易用性以及帶寬管理特性。

不同的防火牆對管理員的許可權分級方式不同，但總的來說，不同的管理員許可權在保護防
火牆的信息的同時，通過三權分立確保了防火牆的管理者職責分明，各司其職。方正方御FG
FW通過實施域管理權、策略管理、審計管理、日誌查看四個不同許可權對管理員許可權進行限制
。

目前，對防火牆的管理一般分為本地管理和遠程管理兩種方式，具體來說，主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。總的來講，像Netscreen-208、神州數碼防火
牆支持命令行、Telnet、GUI管理工具以及Web管理這幾種方式，非常方便用戶從中選擇自己
喜歡的方式。但我們在測試過程中發現不少防火牆的命令行比較難懂，對於很多用戶來說使
用會比較困難，而安氏、Netscreen-208、天融信、清華得實防火牆的命令行方式比較簡潔明
了，這為喜歡用命令行進行防火牆配置的用戶來說帶來了便捷。當然，很多防火牆的CLI命令
功能比較簡單，主要功能還是留給了GUI管理軟體，方正、聯想防火牆是非常典型的例子。

從易用性的角度來講，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面給我
們留下了最深刻的印象，漂亮的界面以及非常清晰的菜單選項可以使用戶輕松配置管理防火
牆的各方面，同時Web管理一般都支持基於SSL加密的HTTPS方式訪問。當然，對於要集中管理
多台防火牆來說，GUI管理軟體應該是不錯的選擇。聯想網御2000、天融信、清華得實、方正
方御的GUI管理軟體安裝和使用都比較容易。

帶寬管理正在成為防火牆中必不可少的功能，通過帶寬管理和流量控制在為用戶提供更
好服務質量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送測的9款百兆防火牆都支
持帶寬管理。比如神州數碼DCFW-1800防火牆能夠實時檢測用戶流量，對不同的用戶，每天分
配固定的流量，當流量達到時切斷該用戶的訪問。龍馬衛士防火牆通過支持基於IP和用戶的
流量控制實現對防火牆各個介面的帶寬控制。

VPN和加密認證

防火牆與VPN的集成是一個重要發展方向。此次參測的防火牆中安氏領信防火牆、方正網
御FGFW、Netscreen-208、SG300、清華得實NetST 2104、龍馬衛士防火牆這6款防火牆都有
VPN功能或VPN模塊。作為構建VPN最主要的協議IPSec，這6款防火牆都提供了良好的支持。

安氏領信防火牆的VPN模塊在對各種協議和演算法的方面支持得非常全面，包括DES、3DES
、AES、CAST、BLF、RC2/R4等在內的主流加密演算法都在該產品中得到了支持。主要的認證算
法MD5在6款防火牆中都得到了較好支持。不同加密演算法與認證演算法的組合將會產生不同的算
法，如3DES-MD5就是3DES加密演算法和MD5演算法的組合結果。安氏和NetScreen-208能夠很好地
支持這種不同演算法之間的組合。 方正網御、清華得實NetST2104和衛士通龍馬的龍馬衛士防
火牆則以支持國家許可專用加密演算法而具有自己的特點。當然，加密除了用於VPN之外，遠程
管理、遠程日誌等功能通過加密也能夠提升其安全性。

在身份認證方面，防火牆支持的認證方法很重要。安氏領信防火牆支持本地、RADIUS、
SecureID、NT域、數字證書、MSCHAP等多種認證方式和標准，這也是所有參測防火牆中支持
得比較全的。非常值得一提的是聯想網御2000所提供的網御電子鑰匙。帶USB介面的電子鑰匙
主要用來實現管理員身份認證，認證過程採用一次性口令(OTP)的協議SKEY，可以抵抗網路竊
聽。

防禦功能

防火牆本身具有一定的防禦功能指的是防火牆能夠防止某些攻擊、進行內容過濾、病毒
掃描，使用戶即使沒有入侵檢測產品和防病毒產品的情況下也能夠通過防火牆獲得一定的防
護能力。

在病毒掃描方面，表現最突出的當屬聯想網御2000，它集成了病毒掃描引擎，具有防病
毒網關的作用，能夠實時監控HTTP、FTP、SMTP數據流，使各種病毒和惡意文件在途徑防火牆
時就被捕獲。

在內容過濾方面，大部分防火牆都支持URL過濾功能，可有效防止對某些URL的訪問。清
華得實NetST2104、安氏防火牆內置的內容過濾模塊，為用戶提供對HTTP、FTP、SMTP、POP3
協議內容過濾，能夠針對郵件的附件文件類型進行過濾。聯想網御2000還支持郵件內容過濾
的功能。

在防禦攻擊方面，Netscreen-208、方正方御、聯想網御2000、SG300以及安氏領信防火
牆則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的設置選項，用戶可以自主設
置實現對這些攻擊的防護。安氏領信防火牆除了本身帶有入侵檢測模塊之外，還有一個專門
埠與IDS互動。天融信NGFW 4000則通過TOPSEC協議與其他入侵檢測或防病毒產品系統實現
互動，以實現更強勁的防攻擊能力。

安全特性

代理機制通過阻斷內部網路與外部網路的直接聯系，保證了內部網的拓撲結構等重要信
息被限制在代理網關的內側。

參測的百兆防火牆大都能夠支持大多數應用層協議的代理功能，包括HTTP、SMTP、POP3
、FTP等，從而能夠屏蔽某些特殊的命令，並能過濾不安全的內容。

NAT通過隱藏內部網路地址，使其不必暴露在Internet上 從而使外界無法直接訪問內部
網路設備,而內部網路通過NAT以公開的IP地址訪問外部網路，從而可以在一定程度上保護內
部網路。另一方面，NAT也解決了目前IP地址資源不足的問題。此次參測的防火牆對於NAT都
有較強的支持功能，雖然大家叫的名稱不同，但主要方式包括一對一、多對一NAT、多對多N
AT以及埠NAT。

高可用性

負載均衡的功能現在在防火牆身上也開始有所體現，Netscreen-208支持防火牆之間的負
載分擔，而其他防火牆則支持伺服器之間的負載均衡。

目前用戶對於防火牆高可用性的需求越來越強烈。此次參測的9款百兆防火牆都支持雙機
熱備的功能。Netscreen-208可以將8個埠中設定一個埠作為高可用埠，實現防火牆之
間的Active-Active高可用性。

日誌審計和警告功能

防火牆日誌處理方式主要包括本地和遠程兩種。但由於防火牆在使用過程中會產生大量
的日誌信息，為了在繁多的日誌中進行查詢和分析，有必要對這些日誌進行審計和管理，同
時防火牆存儲空間較小，因此單獨安裝一台伺服器用來存放和審計管理防火牆的各種日誌都
非常必要。

安氏、方正防禦、聯想網御2000、清華得實NetST2104、神州數碼DCFW-1800、天融信NG
FW4000以及龍馬衛士防火牆都提供了日誌管理軟體實現對日誌伺服器的配置和管理，可以利
用管理軟體對日誌信息進行查詢、統計和提供審計報表。而NetScreen-208支持多種日誌服務
器的存儲方式，包括Internal、Syslog、WebTrends、flash卡等。

當日誌中監測到系統有可疑的行為或網路流量超過某個設定閾值時，根據設定的規則，
防火牆應該向管理員發出報警信號。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御則支持通過LogService消息、E-mail、聲音、無線、運行
報警程序等方式進行報警。

對日誌進行分級和分類將非常有利於日誌信息的查詢以及處理。安氏、NetScreen-208、
天融信NGFW4000以及衛士通龍馬的龍馬衛士防火牆支持不同等級的日誌。龍馬衛士防火牆將
日誌級別分為調試信息、消息、警告、錯誤、嚴重錯誤5種級別。NetScreen-208則將日誌分
為負載日誌、事件日誌、自我日誌三種，事件日誌分為8個不同等級。

優秀的文檔很關鍵

大部分防火牆產品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印象的是聯想
、方正與安氏防火牆的印刷文檔非常精美全面，內容涵蓋了主流的防火牆技術以及產品的詳
細配置介紹，還舉了很多實用的例子幫助用戶比較快地配好防火牆，使用各種功能。得實Ne
tST 2104防火牆用戶手冊、天融信NGFW 4000電子文檔都對CLI命令進行了詳細解釋，非常有
利於那些習慣使用命令行進行配置的防火牆管理員使用。Netscreen網站上有非常完整的用戶
手冊，但缺憾在於它們全部是英文的。

千兆防火牆

此次總共收集到4款千兆防火牆產品，但北大青鳥在性能測試尚未完成時就自行退出，所
以共測試完成了三款千兆防火牆，它們都是來自國外廠商的產品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是採用ASIC處理器的代表，而SG2000H則是采
用網路處理器的例子。

從實現原理來看，三者都主要是基於狀態檢測技術，而在工作方式上，NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和橋模式，而ServGate SG2000H則支持橋模式和NAT模式
。

F600+支持DHCP中繼代理，而NetScreen-5200可以作為DHCP伺服器、客戶端或中繼代理。
在VLAN支持方面，NetScreen-5200的每個埠可以設定不同子埠，每個子埠可以支持不
同的VLAN，可以非常容易集成到交換網路中。據稱，該設備能夠支持4000個VLAN。F600+與S
G2000H也支持802.1Q VLAN。而且，還有一點可以指出的是NetScreen-5200支持OSPF、BGP路
由協議。

從管理上來看，NetScreen-5200和SG2000H主要通過Web和命令行進行管理。而F600+則主
要通過在客戶端安裝GUI管理軟體來進行管理，串口CLI命令功能很簡單。從配置上來說，Ne
tScreen-5200配置界面非常美觀，菜單清晰，並提供了向導可以指導用戶快速配置一些策略
和建立VPN通道。SG2000H功能也比較強大，但配置起來比較復雜一點。阿姆瑞特的F600+在安
裝Armarenten管理器的同時還將其中文快速安裝手冊以及中文用戶指南都安裝上，非常方便
用戶使用，而該管理軟體與防火牆之間則通過128位加密進行通信，有利於對多台防火牆
的管理。

在帶寬管理上，F600+很有特色，它通過「管道」概念實現，每個管道可以具有優先順序、
限制和分組等特點，可以給防火牆規則分配一個或多個管道，還可以動態分配不同管道的帶
寬。NetScreen-5200則支持對不同埠分配帶寬以及根據不同應用在策略中設定優先順序控制
進出的網路流量。

在VPN支持方面，NetScreen-5200不僅支持通過IPSec、L2TP和IKE建立VPN隧道，還支持
DES、3DES、AES加密演算法和MD5 、SHA-1認證演算法。F600+支持通過IPSec建立VPN，而SG2000
H未加VPN模塊。在認證方法上，只有Netscreen-5200支持內置資料庫、RADIUS、SecurID和L
DAP。

F600+還有一個非常顯著的特點就是提供了一個功能強大的日誌管理器，它雖然不支持在
防火牆中記錄日誌，但能夠在防火牆管理器中實時顯示日誌數據，還支持Syslog 日誌伺服器
,提供靈活的審計報表，並將日誌進行分類。NetScreen-5200和SG2000H在日誌報表和審計報
表方面都支持著名的WebTrends軟體和Syslog日誌伺服器，NetScreen還支持將日誌通過flas
h卡、NetScreen Global Pro等方式進行處理。

Ⅹ 身份認證與加密有何區別與聯系

加密和身份驗證演算法
由於對安全性的攻擊方法多種多樣，設計者很難預計到所有的攻擊方法，因此設計安全性演算法和協議非常困難。普遍為人接受的關於安全性方法的觀點是，一個好的加密演算法或身份驗證演算法即使被攻擊者了解，該演算法也是安全的。這一點對於Internet安全性尤其重要。在Internet中，使用嗅探器的攻擊者通過偵聽系統與其連接協商，經常能夠確切了解系統使用的是哪一種演算法。
與Internet安全性相關的重要的密碼功能大致有5類，包括對稱加密、公共密鑰加密、密鑰交換、安全散列和數字簽名。
1. 對稱加密
大多數人都熟知對稱加密這一加密方法。在這種方法中，每一方都使用相同的密鑰來加密或解密。只要掌握了密鑰，就可以破解使用此法加密的所有數據。這種方法有時也稱作秘密密鑰加密。通常對稱加密效率很高，它是網路傳送大量數據中最常用的一類加密方法。
常用的對稱加密演算法包括：
• 數據加密標准( DES )。DES首先由IBM公司在7 0年代提出，已成為國際標准。它有5 6位密鑰。三重DES演算法對DES略作變化，它使用DES演算法三次加密數據，從而改進了安全性。
• RC2 、RC4和RC5。這些密碼演算法提供了可變長度密鑰加密方法，由一家安全性動態公司，RSA數據安全公司授權使用。目前網景公司的Navigator瀏覽器及其他很多Internet客戶端和伺服器端產品使用了這些密碼。
• 其他演算法。包括在加拿大開發的用於Nortel公司Entrust產品的CAST、國際數據加密演算法( IDEA )、傳聞由前蘇聯安全局開發的GOST演算法、由Bruce Schneier開發並在公共域發表的Blowfish演算法及由美國國家安全局開發並用於Clipper晶元的契約密鑰系統的Skipjack 演算法。
安全加密方法要求使用足夠長的密鑰。短密鑰很容易為窮舉攻擊所破解。在窮舉攻擊中，攻擊者使用計算機來對所有可能的密鑰組合進行測試，很容易找到密鑰。例如，長度為4 0位的密鑰就不夠安全，因為使用相對而言並不算昂貴的計算機來進行窮舉攻擊，在很短的時間內就可以破獲密鑰。同樣，單DES演算法已經被破解。一般而言，對於窮舉攻擊，在可預測的將來，1 2 8位還可能是安全的。
對於其他類型的攻擊，對稱加密演算法也比較脆弱。大多數使用對稱加密演算法的應用往往使用會話密鑰，即一個密鑰只用於一個會話的數據傳送，或在一次會話中使用幾個密鑰。這樣，如果會話密鑰丟失，則只有在此會話中傳送的數據受損，不會影響到較長時期內交換的大量數據。
2. 公共密鑰加密
公共密鑰加密演算法使用一對密鑰。公共密鑰與秘密密鑰相關聯，公共密鑰是公開的。以公共密鑰加密的數據只能以秘密密鑰來解密，同樣可以用公共密鑰來解密以秘密密鑰加密的數據。這樣只要實體的秘密密鑰不泄露，其他實體就可以確信以公共密鑰加密的數據只能由相應秘密密鑰的持有者來解密。盡管公共密鑰加密演算法的效率不高，但它和數字簽名均是最常用的對網路傳送的會話密鑰進行加密的演算法。
最常用的一類公共密鑰加密演算法是RSA演算法，該演算法由Ron Rivest 、Adi Shamir 和LenAdleman開發，由RSA數據安全公司授權使用。RSA定義了用於選擇和生成公共/秘密密鑰對的機制，以及目前用於加密的數學函數。
3. 密鑰交換
開放信道這種通信媒體上傳送的數據可能被第三者竊聽。在Internet這樣的開放信道上要實現秘密共享難度很大。但是很有必要實現對共享秘密的處理，因為兩個實體之間需要共享用於加密的密鑰。關於如何在公共信道上安全地處理共享密鑰這一問題，有一些重要的加密演算法，是以對除預定接受者之外的任何人都保密的方式來實現的。
Diffie-Hellman密鑰交換演算法允許實體間交換足夠的信息以產生會話加密密鑰。按照慣例，假設一個密碼協議的兩個參與者實體分別是Alice和Bob，Alice使用Bob的公開值和自己的秘密值來計算出一個值；Bob也計算出自己的值並發給Alice，然後雙方使用自己的秘密值來計算他們的共享密鑰。其中的數學計算相對比較簡單，而且不屬於本書討論的范圍。演算法的概要是Bob和Alice能夠互相發送足夠的信息給對方以計算出他們的共享密鑰，但是這些信息卻不足以讓攻擊者計算出密鑰。
Diffie-Hellman演算法通常稱為公共密鑰演算法，但它並不是一種公共密鑰加密演算法。該演算法可用於計算密鑰，但密鑰必須和某種其他加密演算法一起使用。但是，Diffie-Hellman演算法可用於身份驗證。Network Associates公司的P G P公共密鑰軟體中就使用了此演算法。
密鑰交換是構成任何完整的Internet安全性體系都必備的。此外，IPsec安全性體系結構還包括Internet密鑰交換( I K E )及Internet安全性關聯和密鑰管理協議( ISAKMP )。
4. 安全散列
散列是一定量數據的數據摘要的一種排序。檢查數字是簡單的散列類型，而安全散列則產生較長的結果，經常是1 2 8位。對於良好的安全散列，攻擊者很難顛倒設計或以其他方式毀滅。安全散列可以與密鑰一起使用，也可以單獨使用。其目的是提供報文的數字摘要，用來驗證已經收到的數據是否與發送者所發送的相同。發送者計算散列並將其值包含在數據中，接收者對收到的數據進行散列計算，如果結果值與數據中所攜帶的散列值匹配，接收者就可以確認數據的完整性。