数据加密与身份鉴别.ppt

《数据加密与身份鉴别.ppt》由会员分享，可在线阅读，更多相关《数据加密与身份鉴别.ppt（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第三讲第三讲 数据加密与身份鉴别数据加密与身份鉴别2本讲概要本章就各种网络安全技术进行了阐述。所涉及的网络安全技术有：q数据加密技术（数据加密技术（Encryption）q身份认证技术（身份认证技术（Authentication）q包过滤技术（包过滤技术（Packet Filtering）q资源授权使用（资源授权使用（Authorization）q内容安全（防病毒）技术内容安全（防病毒）技术（一）（一）数据加密技术数据加密技术4数据加密技术 q数据加密的概念数据加密的概念q数据加密技术原理数据加密技术原理q数据传输的加密数据传输的加密q常用加密协议常用加密协议本部分涉及以下内容：本部分涉及以下

2、内容：5数据加密的概念 数据加密模型数据加密模型密文密文网络信道网络信道明文明文明文明文q三要素：信息明文、密钥、信息密文三要素：信息明文、密钥、信息密文加密密钥加密密钥信息窃取者信息窃取者解密密钥解密密钥加密算法加密算法解密算法解密算法6数据加密的概念 数据加密技术的概念数据加密技术的概念 数据加密(Encryption)是指将明文信息明文信息(Plaintext)采取数学方法数学方法进行函数转换函数转换成密文密文(Ciphertext)，只有特定接受方特定接受方才能将其解密(Decryption)还原成明文明文的过程。加密技术是实现电子商务安全的一种重要手段，目的是为了防止合法接收者之外的

3、人获取机密信息。明文明文(Plaintext)：加密前的原始信息原始信息；密文密文(Ciphertext)：明文被加密后加密后的信息；密钥密钥(Key)：控制加密算法加密算法和解密算法解密算法得以实现的关键信息，分为加密密钥和解密密钥；加密密钥和解密密钥；加密加密(Encryption)：将明文通过数学算法转换：将明文通过数学算法转换成密文的过程；成密文的过程；解密解密(Decryption)：将密文还原成明文的过程。：将密文还原成明文的过程。8数据加密的概念 数据加密技术的应用数据加密技术的应用q数据保密；数据保密；q身份验证；身份验证；q保持数据完整性；保持数据完整性；q确认事件的发生。确

4、认事件的发生。9数据加密技术原理 q对称密钥加密（保密密钥法）对称密钥加密（保密密钥法）q非对称密钥加密（公开密钥法）非对称密钥加密（公开密钥法）q混合加密算法混合加密算法q哈希（哈希（Hash）算法）算法q数字签名数字签名q数字证书数字证书q公共密钥体系公共密钥体系数据加密技术原理数据加密技术原理对称密钥加密又称为私钥加密体制对称密钥加密又称为私钥加密体制，这种加密体制，这种加密体制信息的信息的发送方和接收方用发送方和接收方用同一个同一个密钥去加密和解密密钥去加密和解密数据数据。对称加密技术的最大优势是对称加密技术的最大优势是加解密速度快加解密速度快加解密速度快加解密速度快，适合，适合于对大

5、数据量进行加密，但于对大数据量进行加密，但密钥管理困难密钥管理困难密钥管理困难密钥管理困难。对称加。对称加密算法有流密码算法、分组密码算法。其中数据加密算法有流密码算法、分组密码算法。其中数据加密标准密标准(Data Encryption Standard(Data Encryption Standard，DES)DES)是典型的是典型的分组密码算法，它是由分组密码算法，它是由IBMIBM公司在上世纪公司在上世纪7070年代发年代发展起来并成为美国国家标准，目前该标准已被放弃，展起来并成为美国国家标准，目前该标准已被放弃，而一个更加安全、高效的加密算法而一个更加安全、高效的加密算法Rijnda

6、elRijndael算法成为算法成为新的高级加密标准新的高级加密标准(Advanced Encryption Standard(Advanced Encryption Standard，AES)AES)。对称加密技术存在着在对称加密技术存在着在通信的参与者通信的参与者通信的参与者通信的参与者之间之间确保密钥确保密钥确保密钥确保密钥安全交换安全交换安全交换安全交换的问题。的问题。对称加密技术要求通信双方事先对称加密技术要求通信双方事先交换密钥，当系统用户多时，交换密钥，当系统用户多时，例如，在网上购物的例如，在网上购物的环境中，商户需要与成千上万的购物者进行交易，环境中，商户需要与成千上万的购物

7、者进行交易，若采用简单的对称密钥加密技术，商户需要管理成若采用简单的对称密钥加密技术，商户需要管理成千上万的密钥与不同的对象通信，除了存储开销以千上万的密钥与不同的对象通信，除了存储开销以外，外，密钥管理是一个几乎不可能解决的问题密钥管理是一个几乎不可能解决的问题；另外，；另外，双方如何交换密钥？通过传统手段还是通过因特网双方如何交换密钥？通过传统手段还是通过因特网？无论何种方法都会遇到？无论何种方法都会遇到密钥传送的安全性密钥传送的安全性密钥传送的安全性密钥传送的安全性问题。问题。另外，实际环境中，另外，实际环境中，密钥通常会经常更换密钥通常会经常更换密钥通常会经常更换密钥通常会经常更换，更

8、为极，更为极端的是，每次传送都使用端的是，每次传送都使用不同的密钥不同的密钥不同的密钥不同的密钥，对称技术的，对称技术的密钥管理和发布都是远远无法满足使用要求的。密钥管理和发布都是远远无法满足使用要求的。12数据加密技术原理对称密钥加密（保密密钥法）对称密钥加密（保密密钥法）加密算法加密算法解密算法解密算法密钥密钥网络信道网络信道明文明文明文明文密文密文加密密钥加密密钥解密密钥解密密钥两者相等两者相等非对称密钥加密体制又称为非对称密钥加密体制又称为公钥加密体制公钥加密体制或或双钥加密双钥加密体制体制。这种加密体制使用两个不同的密钥：一个用来。这种加密体制使用两个不同的密钥：一个用来加密信息，称

9、为加密信息，称为加密密钥加密密钥加密密钥加密密钥；另一个用来解密信息，称；另一个用来解密信息，称为为解密密钥解密密钥解密密钥解密密钥。用户用户公开公开加密密钥加密密钥(公钥公钥)，保密保密解密密解密密钥钥(私钥私钥)，这两个密钥称为密钥对。如果用公钥对信，这两个密钥称为密钥对。如果用公钥对信息进行加密，则只有用对应的私钥才能解密；反之，息进行加密，则只有用对应的私钥才能解密；反之，若用私钥对信息进行加密，则必须用对应的公钥才能若用私钥对信息进行加密，则必须用对应的公钥才能解密。解密。密钥对密钥对密钥对密钥对是数学相关的，用是数学相关的，用某用户某用户某用户某用户的加密密钥加的加密密钥加密后所得

10、的密文只能用密后所得的密文只能用该用户该用户该用户该用户的解密密钥才能解密。的解密密钥才能解密。因而要求用户的因而要求用户的私钥私钥私钥私钥不能透露给自己不信任的任何人。不能透露给自己不信任的任何人。非常著名的非常著名的PGPPGP公钥加密以及公钥加密以及RSARSA加密方法都是非对加密方法都是非对称加密算法。称加密算法。非对称密钥加密与对称密钥加密相比，其优势在于非对称密钥加密与对称密钥加密相比，其优势在于不需要一把共享的通用密钥不需要一把共享的通用密钥不需要一把共享的通用密钥不需要一把共享的通用密钥，用于解密的私钥不发用于解密的私钥不发用于解密的私钥不发用于解密的私钥不发往任何地方往任何地

11、方往任何地方往任何地方，这样，即使，这样，即使公钥公钥公钥公钥被截获，因为没有与被截获，因为没有与其匹配的其匹配的私钥私钥私钥私钥，截获的公钥对入侵者来说也是没有，截获的公钥对入侵者来说也是没有任何用处的。公钥加密算法除被用来任何用处的。公钥加密算法除被用来加密信息加密信息外，外，还可用于还可用于身份认证身份认证和和数字签名数字签名。如果。如果某一方某一方某一方某一方用用私钥私钥私钥私钥加密了一条信息，拥有加密了一条信息，拥有公钥拷贝公钥拷贝公钥拷贝公钥拷贝的任何人都能对其的任何人都能对其解密，解密，接收者接收者接收者接收者由此可以知道这条信息确实来自于拥由此可以知道这条信息确实来自于拥有私钥

12、的人一方。有私钥的人一方。15数据加密技术原理非对称密钥加密（公开密钥加密）非对称密钥加密（公开密钥加密）加密算法加密算法解密算法解密算法公开密钥公开密钥网络信道网络信道明文明文明文明文密文密文私有密钥私有密钥公钥公钥私钥私钥 公钥公钥私钥私钥不可相互推导不可相互推导不相等不相等16数据加密技术原理数字签名数字签名 数字签名（数字签名（digital signature）技术通过某种加）技术通过某种加密算法，在一条地址消息的尾部添加一个字符串，而密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可收信人可以根据这个字符串验明发信人的身份，并可进行数据完整

13、性检查。进行数据完整性检查。数字签名数字签名数字签名数字签名是指数据电文中以电子形式所含、所附用是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。在电子商务安生成、发送、接收或者储存的信息。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，全保密系统中，数字签名技术有着特别重要的地位，安全服务中的源鉴别、完整性服务、不可否认服务安全服务中的源鉴别、完整性服务、不可否认服务都要使用数字签名。完善的

14、都要使用数字签名。完善的数字签名应具备数字签名应具备数字签名应具备数字签名应具备签字方签字方签字方签字方不能抵赖、他人不能伪造、在公证人面前能够验证不能抵赖、他人不能伪造、在公证人面前能够验证不能抵赖、他人不能伪造、在公证人面前能够验证不能抵赖、他人不能伪造、在公证人面前能够验证真伪真伪真伪真伪等功能等功能等功能等功能。目前数字签名主要借助公钥加密体制，如目前数字签名主要借助公钥加密体制，如RSARSA数字数字签名就是一种典型的签名算法。签名就是一种典型的签名算法。下页图描述了基于公钥加密体制的数字签名过程。下页图描述了基于公钥加密体制的数字签名过程。原始消息消息摘要数字签名密文Interne

15、t对比?数字签名消息摘要密文原始消息消息摘要Hash 算法发送方 私钥加密接收方公钥加密接收方私钥解密发送方公钥解密应用程序19数据加密技术原理数字签名的工作原理数字签名的工作原理非对称加密算法非对称加密算法非对称解密算法非对称解密算法Alice的私有密钥的私有密钥网络信道网络信道合同合同Alice的公开密钥的公开密钥哈希算法哈希算法标记标记标记标记-2合同合同哈希算法哈希算法比较比较标记标记-1如果两标记如果两标记相同，则符相同，则符合上述确认合上述确认要求。要求。AliceBob假定假定Alice需要传送一份合同给需要传送一份合同给Bob。Bob需要确认：需要确认：q合同的确是合同的确是A

16、lice发送的发送的q合同在传输途中未被修改合同在传输途中未被修改 数字签名过程数字签名过程 发送者撰写包含原文件发送者撰写包含原文件(如一份合同文档如一份合同文档)的原始消息，如的原始消息，如带有附件的电子邮件；带有附件的电子邮件；使用专门软件，对原始消息执行使用专门软件，对原始消息执行hashhash算法，产生消息摘算法，产生消息摘要，并用发送者的私钥对消息摘要加密，形成数字签名；要，并用发送者的私钥对消息摘要加密，形成数字签名；使用接收方的公开密钥对原始消息和数字签名加密形成数使用接收方的公开密钥对原始消息和数字签名加密形成数字信封字信封(密文密文)；借助通信网络发送数字信封；借助通信网

17、络发送数字信封；在接收方，当接收到数字信封后，用接收方的私钥解密数在接收方，当接收到数字信封后，用接收方的私钥解密数字信封形成原始信息和数字签名；字信封形成原始信息和数字签名；对原始消息执行对原始消息执行hashhash算法，产生新的消息摘要；算法，产生新的消息摘要；同时用发送者的公开密钥对数字签名解密，恢复发送方的同时用发送者的公开密钥对数字签名解密，恢复发送方的消息摘要；消息摘要；对比对比(6)(6)、(7)(7)两步产生的消息摘要，若匹配则消息具有完两步产生的消息摘要，若匹配则消息具有完整性且身份正确，否则拒绝整性且身份正确，否则拒绝接收。21数据加密技术原理数字签名的作用数字签名的作用

18、q唯一地确定签名人的身份；唯一地确定签名人的身份；q对签名后信件的内容对签名后信件的内容 是否又发生变化进行验证；是否又发生变化进行验证；q发信人无法对信件的内容进行抵赖。发信人无法对信件的内容进行抵赖。当我们对签名人同公开密钥的对应关当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构系产生疑问时，我们需要第三方颁证机构（CA:Certificate Authorities）的帮助。）的帮助。使用公钥加密体制面临两个问题：一、虽然公钥/私钥提供了一种认证用户的方法，但它并不保证公钥实际上属于所声称的拥有者。如何确定该公钥拥有者的真实身份？二、在哪里能够找到对方的公钥？解决这两

19、个问题就需要有一个可信的第三方认证机构。这就像我们在现实世界中的交易一样，企业的有效身份必须由工商管理部门认证。电子商务认证授权机构也称为电子商务认证中心电子商务认证授权机构也称为电子商务认证中心(Certificate Authority，CA)。CA承担网上安全电子交易的认证服务。它能签发数字证书，并能确认用户身份。CA是一个服务机构，主要受理数字证书的申请、签发及管理数字证书。认证中心的职能：证书发放、证书更新、证书撤消、证书验证。认证体系呈树型结构，根据功能的不同，认证中心划分成不同的等级。不同等级的队证中心负责发放不同的证书。持卡人证书、商户证书、支付网关证书分别由持卡人认证中心、商

20、户认证中心、支付网关认证中心颁发。而持卡人认证中心证书、商户认证中心证书和支付网关认证中心证书则由品牌认证中心或区域性认证中心颁发。品牌认证中心或区域性认证中心的证书由根认证中心颁发。24数据加密技术原理数字证书数字证书 数字证书相当于电子化的身份证明，应有值得数字证书相当于电子化的身份证明，应有值得信赖的颁证机构（信赖的颁证机构（CA机构）的数字签名，可以用来机构）的数字签名，可以用来强力验证某个用户或某个系统的身份及其公开密钥。强力验证某个用户或某个系统的身份及其公开密钥。数字证书既可以向一家公共的办证机构申请，数字证书既可以向一家公共的办证机构申请，也可以向运转在企业内部的证书服务器申请

21、。这些也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。机构提供证书的签发和失效证明服务。25数据加密技术原理数字证书中的常见内容数字证书中的常见内容q发信人的公开密钥；发信人的公开密钥；q发信人的姓名；发信人的姓名；q证书颁发者的名称；证书颁发者的名称；q证书的序列号；证书的序列号；q证书颁发者的数字签名；证书颁发者的数字签名；q证书的有效期限。证书的有效期限。如如:目前通用的目前通用的X.509证书证书26数据加密技术原理申请数字证书，并利用它发送电子邮件申请数字证书，并利用它发送电子邮件用户向CA机构申请一份数字证书，申请过程会生成他的公开/私有密钥对。公开密

22、钥被发送给CA机构，CA机构生成证书，并用自己的私有密钥签发之，然后向用户发送一份拷贝。用户的同事从CA机构查到用户的数字证书，用证书中的公开密钥对签名进行验证。用户把文件加上签名，然后把原始文件同签名一起发送给自己的同事。证书申请签发的数字证书文件和数字签名数字证书的验证用户用户同事同事CA数字证书是个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。例如，用户证书证实用户拥有一个特别的公钥，服务器证书证实某一特定的公钥属于这个服务器。证书由社会上公认的认证中心发行。应用程序能识别的证书类型如下：客户证书、服务器证书（站点证书）、安全邮件证书、CA机构证书。只有下列条件均为真时，数字

23、证书才有效。证书没有过期密钥没有修改用户有权使用这个密钥证书必须不在无效证书清单内28数据传输的加密 链路加密方式链路加密方式SH：会话层包头；TH：传输层包头；NH：网络层包头；LH：链路层包头；E：链路层包尾；应用层表示层会话层传输层网络层链路层物理层MessageMessageSH MessageTHNHLHLHSHTH SHNH TH SHNH TH SHMessageMessageMessageMessageEE：明文信息：密文信息29数据传输的加密 链路加密方式链路加密方式 用于保护通信节点间传输的数据，通常用硬件用于保护通信节点间传输的数据，通常用硬件 在物理层或数据链路层实现。

24、在物理层或数据链路层实现。优点优点q由于每条通信链路上的加密是独立进行的，因由于每条通信链路上的加密是独立进行的，因此当某条链路受到破坏不会导致其它链路上传此当某条链路受到破坏不会导致其它链路上传输的信息的安全性。输的信息的安全性。q报文中的协议控制信息和地址都被加密，能够报文中的协议控制信息和地址都被加密，能够有效防止各种流量分析。有效防止各种流量分析。q不会减少网络有效带宽。不会减少网络有效带宽。q只有相邻节点使用同一密钥，因此，密钥容易只有相邻节点使用同一密钥，因此，密钥容易管理。管理。q加密对于用户是透明的，用户不需要了解加密、加密对于用户是透明的，用户不需要了解加密、解密过程。解密过

25、程。30数据传输的加密 链路加密方式链路加密方式缺点缺点q在传输的中间节点，报文是以明文的方式出现，在传输的中间节点，报文是以明文的方式出现，容易受到非法访问的威胁。容易受到非法访问的威胁。q每条链路都需要加密每条链路都需要加密/解密设备和密钥，加密解密设备和密钥，加密成本较高。成本较高。31数据传输的加密 端对端加密方式端对端加密方式应用层表示层会话层传输层网络层链路层物理层MessageMessageSH MessageTHNHLHLHSHTH SHNH TH SHNH TH SHMessageMessageMessageMessageEESH：会话层包头；TH：传输层包头；NH：网络层包

26、头；LH：链路层包头；E：链路层包尾；：明文信息：密文信息32数据传输的加密 端对端加密方式端对端加密方式 在源节点和目标节点对传输的报文进行加密和解在源节点和目标节点对传输的报文进行加密和解密，一般在应用层或表示层完成。密，一般在应用层或表示层完成。优点优点q在高层实现加密，具有一定的灵活性。用户可在高层实现加密，具有一定的灵活性。用户可以根据需要选择不同的加密算法。以根据需要选择不同的加密算法。缺点缺点q报文的控制信息和地址不加密，容易受到流量报文的控制信息和地址不加密，容易受到流量分析的攻击。分析的攻击。q需要在全网范围内对密钥进行管理和分配。需要在全网范围内对密钥进行管理和分配。33常

27、用加密协议 SSL协议协议:q安全套接层协议（安全套接层协议（Secure Socket Layer）。）。qSSL是建立安全通道的协议，位于传输层和应是建立安全通道的协议，位于传输层和应用层之间，理论上可以为任何数量的应用层网用层之间，理论上可以为任何数量的应用层网络通信协议提供通信安全。络通信协议提供通信安全。qSSL协议提供的功能有安全（加密）通信、服协议提供的功能有安全（加密）通信、服务器（或客户）身份鉴别、信息完整性检查等。务器（或客户）身份鉴别、信息完整性检查等。qSSL协议最初由协议最初由Netscape公司开发成功，是在公司开发成功，是在Web客户和客户和Web服务器之间建立安

28、全通道的事服务器之间建立安全通道的事实标准。实标准。qSSL协议的版本。协议的版本。34常用加密协议 数据链路层和物理层网络层（IP）传输层（TCP）安全套接层（SSL）Telnt,mail,news,ftp,nntp,dns等S/MIMEHTTPS-HTTP SSL协议协议:安全套接层协议所在层次安全套接层协议所在层次35常用加密协议 TLS协议协议:q传输层安全协议（传输层安全协议（Transport Layer Security）。）。qTLS协议由协议由IETF（Internet Engineering Task Force）组织开发。）组织开发。qTLS协议是对协议是对SSL 3.0

29、 协议的进一步发展。协议的进一步发展。q同同SSL协议相比，协议相比，TLS协议是一个开放的、以协议是一个开放的、以有关标准为基础的解决方案，使用了非专利的有关标准为基础的解决方案，使用了非专利的加密算法。加密算法。36常用加密协议 IP-Sec协议协议(VPN 加密标准加密标准):InternetInternalNetworkEncrypted IPEncrypted IP q与与SSL协议不同，协议不同，IP-Sec协议试图通过对协议试图通过对IP数据数据包进行加密，从根本上解决因特网的安全问题。包进行加密，从根本上解决因特网的安全问题。qIP-Sec是目前远程访问是目前远程访问VPN网的

30、基础，可以在网的基础，可以在Internet上创建出安全通道来。上创建出安全通道来。(二）身份鉴别技术二）身份鉴别技术38身份鉴别技术Is that Alice?Hi,this is Alice.Please send me data.Internet身份鉴别技术的提出身份鉴别技术的提出 在开放的网络环境中，服在开放的网络环境中，服务提供者需要通过身份鉴别技务提供者需要通过身份鉴别技术判断提出服务申请的网络实术判断提出服务申请的网络实体是否拥有其所声称的身份。体是否拥有其所声称的身份。39身份鉴别技术常用的身份鉴别技术常用的身份鉴别技术q基于用户名和密码的身份鉴别基于用户名和密码的身份鉴别q基

31、于对称密钥密码体制的身份鉴别技术基于对称密钥密码体制的身份鉴别技术q基于基于KDC（密钥分配中心）的身份鉴别技术（密钥分配中心）的身份鉴别技术q基于非对称密钥密码体制的身份鉴别技术基于非对称密钥密码体制的身份鉴别技术q基于证书的身份鉴别技术基于证书的身份鉴别技术40身份鉴别技术Yes.I have a user named“Alice”whose password is“byebye”.I can send him data.Hi,this is Alice.My User Id is“Alice”,my password is“byebye”.Please send me data.Inte

32、rnet基于用户名和密码的身份鉴别基于用户名和密码的身份鉴别 41身份鉴别技术This is Bob.Are you Alice?Hi,this is Alice.Are you Bob?Internet基于对称密钥体制的身份鉴别基于对称密钥体制的身份鉴别A 在这种技术中，鉴别双方共享一个对称密钥在这种技术中，鉴别双方共享一个对称密钥KAB，该对称密钥在鉴别之前已经协商好（不通过网络）。，该对称密钥在鉴别之前已经协商好（不通过网络）。RBKAB(RB)RAKAB(RA)AliceBob42身份鉴别技术This is Bob.Are you Alice?Hi,this is Alice.Are

33、you Bob?Internet基于基于KDC的身份鉴别技术的身份鉴别技术A,KA(B,KS)基于基于KDC（Key Distribution Center，密钥分配，密钥分配中心）的身份鉴别技术克服了基于对称密钥的身份鉴别中心）的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中，参与鉴别的技术中的密钥管理的困难。在这种技术中，参与鉴别的实体只与实体只与KDC共享一个对称密钥，鉴别通过共享一个对称密钥，鉴别通过KDC来完来完成。成。KB(A,KS)AliceBobKDC43身份鉴别技术基于非对称密钥体制的身份鉴别基于非对称密钥体制的身份鉴别 在这种技术中，双方均用对

34、方的公开密钥进行加密在这种技术中，双方均用对方的公开密钥进行加密和传输。和传输。This is Bob.Are you Alice?Hi,this is Alice.Are you Bob?InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob44身份鉴别技术基于证书的身份鉴别技术基于证书的身份鉴别技术 为解决非对称密钥身份鉴别技术中存在的为解决非对称密钥身份鉴别技术中存在的“公开公开密钥真实性密钥真实性”的问题，可采用证书对实体的公开密钥的问题，可采用证书对实体的公开密钥的真实性进行保证。的真实性进行保证。This is Bob.Are you Alice?Hi,this is Alice.Are you Bob?InternetPKB(A,KS),CAPKA(B,KS)AliceBob