认证算法和加密算法有什么区别

Ⅰ 常见的三种加密算法及区别

1.常见的三种加密算法及区别
2.加密算法在HTTPS中的应用
3.MD5的实现原理

简介：
消息摘要算法的主要特征是加密过程 不需要密钥 ，并且经过加密的数据 无法被解密

特点：
无论输入的消息有多长，计算出来的消息摘要的 长度总是固定 的
一般地，只要输入的 消息不同 ，对其进行摘要以后产生的 摘要消息也必不相同 ，但 相同的输入必会产生相同的输出

应用场景：
消息摘要算法主要应用在“数字签名”领域，作为对明文的摘要算法

比较：
都是从MD4发展而来,它们的结构和强度等特性有很多相似之处

简介：
对称加密指加密和解密使用 相同密钥 的加密算法
特点：
对称加密算法的特点是算法公开、 计算量小 、 加密速度快 、加密效率高。不足之处是，交易双方都使用 同样钥匙 ，安全性得不到保证。
应用：
数据传输中的加密，防窃取

比较：
AES弥补了DES很多的不足，支持秘钥变长，分组变长，更加的安全，对内存要求非常低

简介：
非对称加密算法需要两个密钥：公开密钥和私有密钥。公钥与私钥是一对，如果用 公钥对数据进行加密，只有用对应的私钥才能解密。用私钥进行加密，只有对应的公钥才能进行解密
特点：
算法强度复杂、安全性依赖于算法与密钥。但是由于其算法复杂，而使得加密解密 速度没有对称加密解密的速度快 。
应用场景：
数字签名、秘钥传输加密

比较：
使用RSA，可以进行加密和签名的密钥对。使用DH，只执行加密，没有签名机制。
ECC和 RSA 相比，在许多方面都有对绝对的优势

Ⅱ 常用的数字签名、鉴别、加密算法分别有哪些这几种机制分别保障了信息的哪种安全属性

常见的数字签名有RSA,DSA,ECDSA
加密算法一般分为对称加密和非对称加密，消息摘要算法。
对称加密中，DSE最为典型，还要ASE,IDEA,PBE等，一般用于数据加密
非对称加密中，当然是RSA最为基础，还有ECC,ElGamal等，一般用于密钥加密，安全性高，
但若数据加密效率相对对称加密，就比较低了。
消息摘要有MD,SHA,MAC等，用于数据完整性验证。

Ⅲ IPsec是如何保证机密性的

与认证头（AH）协议一样，设计封装安全载荷（ESP）协议的目的也是为了提高Internet协议（IP）的安全性。ESP提供数据机密性、数据源认证、无连接完整性、抗重放攻击和有限的数据流机密性等服务。实际上，ESP提供的服务和AH的类似，但增加了两个额外的服务：数据机密性服务和有限的数据流机密性服务。机密性服务通过使用密码算法加密IP数据报的相关部分来实现。数据流机密性由隧道模式下的机密性服务提供。
ESP中用来加密数据报的密码算法都毫无例外地使用对称密钥体制。公钥密码算法涉及到计算量非常大的大整数模指数运算，大整数的规模超过300位十进制数字。而对称密码算法主要使用初级的操作（异或、逐位与、位循环等），无论以软件还是硬件方式执行都非常有效。所以相对公钥密码系统而言，对称密钥系统的加、解密吞吐量要大得多。

ESP通过使用消息认证码（MAC）提供认证服务。对于加密和认证算法的选择因IPSec的实现不同而不同；然而为了保证互操作性，ESP规范RFC2406中规定了每个IPSec实现要强制实现的算法。在撰写规范的时候，强制实现的加密算法是DES的CBC模式和null加密算法，而认证算法是HMAC-MD5、HMAC-SHA-1和null认证算法。null加密和null认证算法分别是不加密和不认证选项。null算法选项是强制实现的，因为ESP加密和认证服务是可选的。然而，值得注意的是，null加密和null认证算法不可以同时使用。换句话讲就是如果采用了ESP，或者要用到加密，或者要用到认证，或者同时使用。DES是个弱加密算法，很少用于VPN解决方案。人们希望可以在修订RFC2406时用AES代替DES作为强制实现的算法。其他常用的算法是CAST-128和IDEA。
ESP可以单独应用或以嵌套的方式使用，也可以和AH结合使用。

ESP数据包由4个固定长度的域和3个变长域组成。这个协议的包格式如图所示。有关域的描述如下：

1. 安全参数索引（SPI）这个域和AH的SPI类似。
2. 序列号（Sequence number）：与AH的情况类似
3. 载荷数据（Payload data）：这是一个变长域。如果使用机密性服务的话，其中就包含有实际的载荷数据（就是说，数据报加密部分的密文）。这个域是必须有的，不管涉及的SA是否需要机密性服务。如果采用的加密算法需要初始化向量（IV），它将在载荷域中传输，并且算法的规范要指明IV的长度和它在载荷数据域中的位置。IV用于某种分组密码的工作模式以确保前一部分相似的明文（如IP数据报头）生成不同的密文。载荷数据域的长度以比特为单位并且必须是8的整数倍。
4. 填充（Padding）：如果有的话，这个域包含着填充比特，由加密算法使用或用于使填充长度域和4字节字中的第3个字节对齐。这个域的长度是0到255字节。
5. 填充长度（Pad length）：填充长度是一个8比特的域，表明填充域中填充比特的长度。这个域的有效值是0到255间的整数。
6. 下一个头（Next header）：这个8比特的域表明载荷中封装的数据类型。可能是一个IPv6扩展头或一个传输层协议。例如，值6表明载荷中封装的是TCP数据。
7. 认证数据（Authentication data）：这个变长域中存放ICV，它是对除认证数据域外的ESP包计算出来的。这个域的实际长度取决于使用的认证算法；例如，如果使用HMAC-MD5，则认证数据域是128比特，如果使用的是HMAC-SHA-1，则为160比特。认证数据域是可选的，仅当指定的SA要求ESP认证服务时才包含它。

Ⅳ 消息认证码与加密算法的区别求大神指教

消息认证码MAC（带密钥的Hash函数）:密码学中，通信实体双方使用的一种验证机制，保证消息数据完整性的一种工具。构造方法由M.Bellare提出，安全性依赖于Hash函数，故也称带密钥的Hash函数。是一种消息认证算法。消息认证码是基于密钥和消息摘要所获得的一个值，可用于数据源发认证和完整性校验。消息认证是强调消息的完整性。可以验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改的。一是验证消息的发送者是真正的而非冒充的，即数据起源认证，二是验证消息在传输过程中未被篡改。
而加密算法主要是保证消息的保密性，各种加密算法就不说了，网络很详细。。。

Ⅳ wifi认证方式和加密算法的区别是什么

wifi认证方式相当于身份认证，如同你是警察，要看对方是不是警察，若是则认证通过，可以进一步交流，否则认证失败，不予交流；x0dx0a这里认证的依据有两个，一个是认证方式要相同或者兼容，认证方式包括WEP，WPA-PSK，WPA2-PSK，WPA/WPA2-PSK，其中WPA/WPA2-PSK是兼容WPA-PSK和WPA2-PSK的，WPA2-PSK是不兼容WPA-PSK的，你是WEP，对方也要是WEP，你是WPA-PSK，对方也要是WPA-PSK，这个清楚就可以了；第二个依据就是每次使用WiFi网络前都需要手动输入的密码，这个要输入正确才能完成认证。x0dx0a还有就是WPA-PSK，WPA2-PSK，后面带PSK主要是说明是家庭网络或者小公司网络使用的，输入密码就可以使用，而WPA和WPA2是其他大型公司网络使用的，需要输入其他信息例如后台服务器的IP地址等，使用复杂些，需要后台服务器，但是安全性更高。x0dx0ax0dx0awifi加密算法是为了保证wifi通信数据的安全，不被窃听，是对wifi通信数据的加密方式；如同你们都是警察了，可以展开交流，但是你们要用暗号交流，才能保证不被别人窃听交流内容。x0dx0a这时加密方式主要有：x0dx0a如果是WPA-PSK认证方式，就是TKIP算法；如果是WPA2-PSK模式，就是CCMP算法（注意CCMP算法的核心是AES算法，所以好多时候不提CCMP，就提AES了）；同时WPA2-PSK也可以使用TKIP算法，WPA-PSK也可以使用AES算法，可以理解成加密方式大家都可以用，就是一种算法而已，但是AES比TKIP保密性更高，不容易被攻破。x0dx0a还有就是wifi加密算法采用的秘钥是双方认证通过后，协商好的。这个秘钥和我们手动输入的wifi密码，不是一码事。x0dx0ax0dx0a另外附上，我测试过的磊科路由器和高通QCA4004 wifi模块的认证、加密测试结果：x0dx0ax0dx0a路由器设置成WPA2-PSK、AES加密，高通模块设置成WPA-PSK、AES加密，无法建立连接；x0dx0a路由器设置成WPA/WPA2-PSK、AES加密，高通模块设置成WPA-PSK、TKIP加密，无法建立连接；x0dx0a路由器设置成WPA/WPA2-PSK、AES加密，高通模块设置成WPA-PSK、AES加密，建立连接成功；x0dx0a路由器设置成WPA -PSK、AES加密，高通模块设置成WPA2-PSK、AES加密，无法连接成功；x0dx0a x0dx0a结论：WPA2不向下兼容WPA，AES也不兼容TKIP算法。

Ⅵ 目前的数字认证和加密算法的主要技术及其应用

1. 什么是数字证书？
数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。
一个标准的X.509数字证书包含以下一些内容：
证书的版本信息；
证书的序列号，每个证书都有一个唯一的证书序列号；
证书所使用的签名算法；
证书的发行机构名称，命名规则一般采用X.500格式；
证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；
证书所有人的名称，命名规则一般采用X.500格式；
证书所有人的公开密钥；
证书发行者对证书的签名。
使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。
2. 为什么要使用数字证书？
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须保证在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
信息的保密性
交易中的商务信息均有保密的要求，如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
交易者身份的确定性
网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，商家要考虑客户端是不是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
不可否认性
由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
不可修改性
由于商情的千变万化，交易一旦达成应该是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。
我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。
3. 数字认证原理
数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。
在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私有密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。
如果用户需要发送加密数据，发送方需要使用接收方的数字证书（公开密钥）对数据进行加密，而接收方则使用自己的私有密钥进行解密，从而保证数据的安全保密性。
另外，用户可以通过数字签名实现数据的完整性和有效性，只需采用私有密钥对数据进行加密处理，由于私有密钥仅为用户个人拥有，从而能够签名文件的唯一性，即保证：数据由签名者自己签名发送，签名者不能否认或难以否认；数据自签发到接收这段过程中未曾作过任何修改，签发的文件是真实的。
4. 数字证书是如何颁发的？
数字证书是由认证中心颁发的。根证书是认证中心与用户建立信任关系的基础。在用户使用数字证书之前必须首先下载和安装。
认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性，后一种方法导致了多级别认证中心的出现。
数字证书颁发过程如下：用户产生了自己的密钥对，并将公共密钥及部分个人身份信息传送给一家认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内附了用户和他的密钥等信息，同时还附有对认证中心公共密钥加以确认的数字证书。当用户想证明其公开密钥的合法性时，就可以提供这一数字证书。
5. 加密技术
由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。
加密包括两个元素：算法和密钥。一个加密算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。
密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制，来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。
相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

Ⅶ 加密算法和数字认证

在youtube上找到华南理工大学的四堂课，还蛮清楚的，要点归总一下：
1.最早的密码学： 凯撒密码（位移）
2.对称加密：DES 非对称加密：AES，
3.RSA算法：
欧拉函数，大数原理，公钥和私钥的翻开管理
算法是公开的，但使用的数是100次方到200次方级别的大数，因此破解基本不可能（数学上的非确定解理论）

四堂课言简意赅，把加密算法和数字认证说得很清楚，赞。

参考：
https://www.youtube.com/watch?v=izlTLJzm-Qg

Ⅷ 安全传输信息和身份认证对于加解密技术使用方面的区别

一、传输口令不同

通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术：被认证方A掌握某些秘密信息，A想设法让认证方B相信他确实掌握那些信息，但又不想让认证方B知道那些信息。

二、认证方法不同

基于物理安全性的身份认证方法，尽管前面提到的身份认证方法在原理上有很多不同，但他们有一个共同的特点，就是只依赖于用户知道的某个秘密的信息。与此对照，另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。

包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别，具有很好的安全性、可靠性和有效性。

三、口令核对

口令核对是系统为每一个合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对（这些用户名/口令对在系统内是加密存储的）是否匹配，如与某一项用户名/口令对匹配，则该用户的身份得到了认证。

Ⅸ 急~~~~~~~~~计算机网络问题

作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。为了能够为
用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据，《网络世界》评测实验室
对目前市场上主流的防火墙产品进行了一次比较评测。

《网络世界》评测实验室依然本着科学、客观公正的原则，不向厂商收取费用，向所有
希望参加评测的厂商开放。

我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外
12家厂商的14款产品，其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWal
l -100Pro、方正数码的方正方御FGFW，联想网御2000，NetScreen-208、清华得实NetST210
4 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiW
all 防火墙以及卫士通龙马的龙马卫士防火墙，千兆防火墙包括北大青鸟JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防
火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下，顺
利完成了对其他12款产品的评测任务。

测试内容主要涵盖性能、防攻击能力以及功能三个方面，这其中包括按照RFC2504、RFC
2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spiren
t公司的SmartBits 6000B测试仪作为主要测试设备，利用SmartFlow和WebSuite Firewall测
试软件进行测试。在测防攻击能力时，为准确判定被攻击方收到的包是否是攻击包，我们还
使用NAI公司的Sniffer Pro软件进行了抓包分析。

在功能测试方面，我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管
理性、VPN、加密认证以及日志审计等多方面功能。

最后，我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司，同时也对那些
勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。

性能综述

对于网络设备来说，性能都是率先要考虑的问题。与其他网络设备相比，防火墙的性能
一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火
墙来说是巨大的挑战。

在我们测试的过程中，感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大
差异性，从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲
，目前主要有三种，一种使用ASIC体系，一种采用网络处理器（NP），还有一种也是最常见
的，采用普通计算机体系结构，各种体系结构对数据包的处理能力有着显着的差异。防火墙
软件本身的运行效率也会对性能产生较大影响，目前防火墙软件平台有的是在开放式系统（
如Linux，OpenBSD）上进行了优化，有的使用自己专用的操作系统，还有的根本就没有操作
系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小，测试防火墙性能时
将防火墙配置为最简单的方式：路由模式下内外网全通。

我们此次测试过程中，针对百兆与千兆防火墙的性能测试项目相同，主要包括：双向性
能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线
速下的延迟、吞吐量下的延迟以及帧丢失率；单向性能测试项目包括吞吐量、10%线速下的延
迟；起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。

百兆防火墙性能解析

作为用户选择和衡量防火墙性能最重要的指标之一，吞吐量的高低决定了防火墙在不丢
帧的情况下转发数据包的最大速率。在双向吞吐量中，64字节帧，安氏领信防火墙表现最为
出众，达到了51.96%的线速，NetsScreen-208也能够达到44.15%，

在单向吞吐量测试中，64字节帧长NetScreen-208防火墙成绩已经达到83.60%，位居第一
，其次是方正方御防火墙，结果为71.72%。

延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明，联想网御200
0与龙马卫士的数值不分伯仲，名列前茅。

帧丢失率决定防火墙在持续负载状态下应该转发，但由于缺乏资源而无法转发的帧的百
分比。该指标与吞吐量有一定的关联性，吞吐量比较高的防火墙帧丢失率一般比较低。在测
试的5种帧长度下，NetScreen-208在256、512和1518字节帧下结果为0，64字节帧下结果为5
7.45%。

一般来讲，防火墙起NAT后的性能要比起之前的单向性能略微低一些，因为启用NAT功能
自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后
64字节帧的吞吐量比单向吞吐量结果略高。

最大并发连接数决定了防火墙能够同时支持的并发用户数，这对于防火墙来说也是一个
非常有特色也是非常重要的性能指标，尤其是在受防火墙保护的网络向外部网络提供Web服务
的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首，而龙马卫士防火墙结果也
达到80万。

我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防
攻击测试中试图建立5万个TCP/HTTP连接，考察防火墙在启动防攻击能力的同时处理正常连接
的能力。

Syn Flood目前是一种最常见的攻击方式，防火墙对它的防护实现原理也不相同，比如，
安氏领信防火墙与NetScreen-208采用SYN代理的方式，在测试这两款防火墙时我们建立的是
50000个TCP连接背景流，两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TC
P/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和La
nd-based三种攻击包全部都过滤掉。

Teardrop攻击测试将合法的数据包拆分成三段数据包，其中一段包的偏移量不正常。对
于这种攻击，我们通过Sniffer获得的结果分析防火墙有三种防护方法，一种是将三段攻击包
都丢弃掉，一种是将不正常的攻击包丢弃掉，而将剩余的两段数据包组合成正常的数据包允
许穿过防火墙，还有一种是将第二段丢弃，另外两段分别穿过防火墙，这三种方式都能有效
防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况
，神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况，Netscreen-208属于
第三种情况。

对于Ping Sweep和Ping Flood攻击，所有防火墙都能够防住这两种攻击，SG-300防火墙
过滤掉了所有攻击包，而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些
ping包通过，但大部分攻击包都能够被过滤掉，这种结果主要取决于防火墙软件中设定的每
秒钟通过的ping包数量。

千兆防火墙性能结果分析

由于千兆防火墙主要应用于电信级或者大型的数据中心，因此性能在千兆防火墙中所占
的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的差异相当大，但性能结
果都明显要高于百兆防火墙。

双向吞吐量测试结果中，NetScreen-5200 64、128、256、512、1518字节帧结果分别为
58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低
都十分明显，NetScreen-5200的双向10%线速下的延迟相当低，64字节帧长仅为4.68祍，1518?纸谥〕さ囊仓挥?4.94祍。起NAT功能后，NetScreen-5200防火墙64字节帧长的吞吐量为62.
5%。由于ServGate SG2000H不支持路由模式，所有只测了NAT 结果，该防火墙在1518字节帧
长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结
果表明，NetScreen-5200防火墙达到100万。

在防攻击能力测试中， 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好，没
有一个攻击包通过防火墙。对于Ping of Death攻击， NetScreen-5200和阿姆瑞特F600+防火
墙丢弃了所有的攻击包，SG2000H防火墙测试时对发送的45个攻击包，丢弃了后面的两个攻击
包，这样也不会对网络造成太大的危害。在防护Teardrop攻击时，F600+防火墙丢弃了所有的
攻击包，ServGate-2000防火墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一
和第三个攻击包，这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击
测试结果为1000个攻击包全都过滤掉。

功能综述

在我们此次测试防火墙的过程中，感受到了不同防火墙产品之间的千差万别，并通过亲
自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。

包过滤、状态检测和应用层代理是防火墙主要的三种实现技术，从此次参测的防火墙产
品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原
理。

在工作方式方面，大部分防火墙都支持路由模式和桥模式（透明模式），来自ServGate
公司的SG300和SG2000H，其工作方式主要是桥模式和 NAT模式，没有一般产品所具有的路由
模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。

百兆防火墙

与交换机走向融合？

当我们拿到要测试的防火墙时，有一个非常直观的感觉是防火墙不再只是传统的三个端
口，正在朝向多个端口方向发展，带有4个端口的防火墙非常常见，我们都知道三个端口是用
来划分内网、外网和DMZ区，那么增加的第4个端口有什么用呢？不同产品差别很大，但以用
作配置管理的为主，安氏的防火墙将该端口作为与IDS互动的端口，比较独特。像天融信网络
卫士NGFW4000则可以最多扩展到12个端口，Netscreen-208有8个固定端口，Netscreen-5200
则是模块化的千兆防火墙，可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百锥丝?的模块，这显示了防火墙与交换机融合的市场趋势。

对DHCP协议的支持方面，防火墙一般可以作为DHCP信息的中继代理，安氏领信防火墙、
清华得实NetST2104、天融信NGFW4000都有这个功能。而Netscreen-208、SG300还可以作为D
HCP 服务器和客户端，这是非常独特的地方。

在VLAN支持方面，Netscreen防火墙又一次显示了强大的实力。与交换机类似，Netscre
en-208支持每个端口划分为子端口，每个子端口属于不同的VLAN，支持802.1Q，并且不同子
端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项
支持VLAN，主要支持802.1Q和Cisco的ISL。

管理特色凸现

管理功能是一个产品是否易用的重要标志，对此我们考察了防火墙对管理员的权限设置
、各种管理方式的易用性以及带宽管理特性。

不同的防火墙对管理员的权限分级方式不同，但总的来说，不同的管理员权限在保护防
火墙的信息的同时，通过三权分立确保了防火墙的管理者职责分明，各司其职。方正方御FG
FW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制
。

目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说，主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。总的来讲，像Netscreen-208、神州数码防火
墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式，非常方便用户从中选择自己
喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂，对于很多用户来说使
用会比较困难，而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明
了，这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令
功能比较简单，主要功能还是留给了GUI管理软件，方正、联想防火墙是非常典型的例子。

从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我
们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火
墙的各方面，同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然，对于要集中管理
多台防火墙来说，GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正
方御的GUI管理软件安装和使用都比较容易。

带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为用户提供更
好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支
持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量，对不同的用户，每天分
配固定的流量，当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的
流量控制实现对防火墙各个接口的带宽控制。

VPN和加密认证

防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网
御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有
VPN功能或VPN模块。作为构建VPN最主要的协议IPSec，这6款防火墙都提供了良好的支持。

安氏领信防火墙的VPN模块在对各种协议和算法的方面支持得非常全面，包括DES、3DES
、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算
法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算
法，如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地
支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防
火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于VPN之外，远程
管理、远程日志等功能通过加密也能够提升其安全性。

在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、
SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准，这也是所有参测防火墙中支持
得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙
主要用来实现管理员身份认证，认证过程采用一次性口令(OTP)的协议SKEY，可以抵抗网络窃
听。

防御功能

防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒
扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防
护能力。

在病毒扫描方面，表现最突出的当属联想网御2000，它集成了病毒扫描引擎，具有防病
毒网关的作用，能够实时监控HTTP、FTP、SMTP数据流，使各种病毒和恶意文件在途径防火墙
时就被捕获。

在内容过滤方面，大部分防火墙都支持URL过滤功能，可有效防止对某些URL的访问。清
华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提供对HTTP、FTP、SMTP、POP3
协议内容过滤，能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤
的功能。

在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火
墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项，用户可以自主设
置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外，还有一个专门
端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现
互动，以实现更强劲的防攻击能力。

安全特性

代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结构等重要信
息被限制在代理网关的内侧。

参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、SMTP、POP3
、FTP等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内容。

NAT通过隐藏内部网络地址，使其不必暴露在Internet上 从而使外界无法直接访问内部
网络设备,而内部网络通过NAT以公开的IP地址访问外部网络，从而可以在一定程度上保护内
部网络。另一方面，NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都
有较强的支持功能，虽然大家叫的名称不同，但主要方式包括一对一、多对一NAT、多对多N
AT以及端口NAT。

高可用性

负载均衡的功能现在在防火墙身上也开始有所体现，Netscreen-208支持防火墙之间的负
载分担，而其他防火墙则支持服务器之间的负载均衡。

目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机
热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口，实现防火墙之
间的Active-Active高可用性。

日志审计和警告功能

防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量
的日志信息，为了在繁多的日志中进行查询和分析，有必要对这些日志进行审计和管理，同
时防火墙存储空间较小，因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都
非常必要。

安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NG
FW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理，可以利
用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务
器的存储方式，包括Internal、Syslog、WebTrends、flash卡等。

当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时，根据设定的规则，
防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行
报警程序等方式进行报警。

对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、
天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将
日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分
为负载日志、事件日志、自我日志三种，事件日志分为8个不同等级。

优秀的文档很关键

大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想
、方正与安氏防火墙的印刷文档非常精美全面，内容涵盖了主流的防火墙技术以及产品的详
细配置介绍，还举了很多实用的例子帮助用户比较快地配好防火墙，使用各种功能。得实Ne
tST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释，非常有
利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户
手册，但缺憾在于它们全部是英文的。

千兆防火墙

此次总共收集到4款千兆防火墙产品，但北大青鸟在性能测试尚未完成时就自行退出，所
以共测试完成了三款千兆防火墙，它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表，而SG2000H则是采
用网络处理器的例子。

从实现原理来看，三者都主要是基于状态检测技术，而在工作方式上，NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和桥模式，而ServGate SG2000H则支持桥模式和NAT模式
。

F600+支持DHCP中继代理，而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。
在VLAN支持方面，NetScreen-5200的每个端口可以设定不同子端口，每个子端口可以支持不
同的VLAN，可以非常容易集成到交换网络中。据称，该设备能够支持4000个VLAN。F600+与S
G2000H也支持802.1Q VLAN。而且，还有一点可以指出的是NetScreen-5200支持OSPF、BGP路
由协议。

从管理上来看，NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主
要通过在客户端安装GUI管理软件来进行管理，串口CLI命令功能很简单。从配置上来说，Ne
tScreen-5200配置界面非常美观，菜单清晰，并提供了向导可以指导用户快速配置一些策略
和建立VPN通道。SG2000H功能也比较强大，但配置起来比较复杂一点。阿姆瑞特的F600+在安
装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上，非常方便
用户使用，而该管理软件与防火墙之间则通过128位加密进行通信，有利于对多台防火墙
的管理。

在带宽管理上，F600+很有特色，它通过“管道”概念实现，每个管道可以具有优先级、
限制和分组等特点，可以给防火墙规则分配一个或多个管道，还可以动态分配不同管道的带
宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制
进出的网络流量。

在VPN支持方面，NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立VPN隧道，还支持
DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立VPN，而SG2000
H未加VPN模块。在认证方法上，只有Netscreen-5200支持内置数据库、RADIUS、SecurID和L
DAP。

F600+还有一个非常显着的特点就是提供了一个功能强大的日志管理器，它虽然不支持在
防火墙中记录日志，但能够在防火墙管理器中实时显示日志数据，还支持Syslog 日志服务器
,提供灵活的审计报表，并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报
表方面都支持着名的WebTrends软件和Syslog日志服务器，NetScreen还支持将日志通过flas
h卡、NetScreen Global Pro等方式进行处理。

Ⅹ 身份认证与加密有何区别与联系

加密和身份验证算法
由于对安全性的攻击方法多种多样，设计者很难预计到所有的攻击方法，因此设计安全性算法和协议非常困难。普遍为人接受的关于安全性方法的观点是，一个好的加密算法或身份验证算法即使被攻击者了解，该算法也是安全的。这一点对于Internet安全性尤其重要。在Internet中，使用嗅探器的攻击者通过侦听系统与其连接协商，经常能够确切了解系统使用的是哪一种算法。
与Internet安全性相关的重要的密码功能大致有5类，包括对称加密、公共密钥加密、密钥交换、安全散列和数字签名。
1. 对称加密
大多数人都熟知对称加密这一加密方法。在这种方法中，每一方都使用相同的密钥来加密或解密。只要掌握了密钥，就可以破解使用此法加密的所有数据。这种方法有时也称作秘密密钥加密。通常对称加密效率很高，它是网络传送大量数据中最常用的一类加密方法。
常用的对称加密算法包括：
• 数据加密标准( DES )。DES首先由IBM公司在7 0年代提出，已成为国际标准。它有5 6位密钥。三重DES算法对DES略作变化，它使用DES算法三次加密数据，从而改进了安全性。
• RC2 、RC4和RC5。这些密码算法提供了可变长度密钥加密方法，由一家安全性动态公司，RSA数据安全公司授权使用。目前网景公司的Navigator浏览器及其他很多Internet客户端和服务器端产品使用了这些密码。
• 其他算法。包括在加拿大开发的用于Nortel公司Entrust产品的CAST、国际数据加密算法( IDEA )、传闻由前苏联安全局开发的GOST算法、由Bruce Schneier开发并在公共域发表的Blowfish算法及由美国国家安全局开发并用于Clipper芯片的契约密钥系统的Skipjack 算法。
安全加密方法要求使用足够长的密钥。短密钥很容易为穷举攻击所破解。在穷举攻击中，攻击者使用计算机来对所有可能的密钥组合进行测试，很容易找到密钥。例如，长度为4 0位的密钥就不够安全，因为使用相对而言并不算昂贵的计算机来进行穷举攻击，在很短的时间内就可以破获密钥。同样，单DES算法已经被破解。一般而言，对于穷举攻击，在可预测的将来，1 2 8位还可能是安全的。
对于其他类型的攻击，对称加密算法也比较脆弱。大多数使用对称加密算法的应用往往使用会话密钥，即一个密钥只用于一个会话的数据传送，或在一次会话中使用几个密钥。这样，如果会话密钥丢失，则只有在此会话中传送的数据受损，不会影响到较长时期内交换的大量数据。
2. 公共密钥加密
公共密钥加密算法使用一对密钥。公共密钥与秘密密钥相关联，公共密钥是公开的。以公共密钥加密的数据只能以秘密密钥来解密，同样可以用公共密钥来解密以秘密密钥加密的数据。这样只要实体的秘密密钥不泄露，其他实体就可以确信以公共密钥加密的数据只能由相应秘密密钥的持有者来解密。尽管公共密钥加密算法的效率不高，但它和数字签名均是最常用的对网络传送的会话密钥进行加密的算法。
最常用的一类公共密钥加密算法是RSA算法，该算法由Ron Rivest 、Adi Shamir 和LenAdleman开发，由RSA数据安全公司授权使用。RSA定义了用于选择和生成公共/秘密密钥对的机制，以及目前用于加密的数学函数。
3. 密钥交换
开放信道这种通信媒体上传送的数据可能被第三者窃听。在Internet这样的开放信道上要实现秘密共享难度很大。但是很有必要实现对共享秘密的处理，因为两个实体之间需要共享用于加密的密钥。关于如何在公共信道上安全地处理共享密钥这一问题，有一些重要的加密算法，是以对除预定接受者之外的任何人都保密的方式来实现的。
Diffie-Hellman密钥交换算法允许实体间交换足够的信息以产生会话加密密钥。按照惯例，假设一个密码协议的两个参与者实体分别是Alice和Bob，Alice使用Bob的公开值和自己的秘密值来计算出一个值；Bob也计算出自己的值并发给Alice，然后双方使用自己的秘密值来计算他们的共享密钥。其中的数学计算相对比较简单，而且不属于本书讨论的范围。算法的概要是Bob和Alice能够互相发送足够的信息给对方以计算出他们的共享密钥，但是这些信息却不足以让攻击者计算出密钥。
Diffie-Hellman算法通常称为公共密钥算法，但它并不是一种公共密钥加密算法。该算法可用于计算密钥，但密钥必须和某种其他加密算法一起使用。但是，Diffie-Hellman算法可用于身份验证。Network Associates公司的P G P公共密钥软件中就使用了此算法。
密钥交换是构成任何完整的Internet安全性体系都必备的。此外，IPsec安全性体系结构还包括Internet密钥交换( I K E )及Internet安全性关联和密钥管理协议( ISAKMP )。
4. 安全散列
散列是一定量数据的数据摘要的一种排序。检查数字是简单的散列类型，而安全散列则产生较长的结果，经常是1 2 8位。对于良好的安全散列，攻击者很难颠倒设计或以其他方式毁灭。安全散列可以与密钥一起使用，也可以单独使用。其目的是提供报文的数字摘要，用来验证已经收到的数据是否与发送者所发送的相同。发送者计算散列并将其值包含在数据中，接收者对收到的数据进行散列计算，如果结果值与数据中所携带的散列值匹配，接收者就可以确认数据的完整性。