文档介绍:第11章 网 络 安 全
网络安全和威胁
报文保密性:
对称密钥密码体制
报文保密性:
不对称密钥加密法
报文完整性:
采用报文摘要
报文鉴别:防伪列函数算法的处理。这个函数为报文产生一个压缩的印记,称为摘要。
B为了检查报文或文档的完整性,也要运行相同的加密散列函数,产生摘要。
报文完整性:采用报文摘要
2.散列函数
加密散列函数以任意长度的报文作为输入,并产生固定长度的报文摘要。
安全散列算法(SHA)是由美国国家标准和技术学会(NIST)开发的一个标准,它也经历了多个版本,有一些散列算法是由Ron Rivest设计的,最新版本为MD5,其中MD代表“报文摘要”。
报文摘要算法MD5可对任意长的报文进行运算,然后得出128位的MD5报文摘要代码。
报文鉴别:防伪造
报文鉴别码
为了确保报文的完整性以及实现数据来源的鉴别,需要创建报文鉴别码(MAC)。。
数字签名
1.数字签名过程
。
数字签名
2.对报文摘要的签名
。
数字签名
3.不可否认性
数字签名可以实现报文鉴别、报文完整性和不可否认性。
一种解决办法是引入彼此都信任的第三方,这个可信的第三方能解决很多与安全服务和密钥交换相关的问题。。
实 体 鉴 别
实体和验证
1.实体鉴别和报文鉴别的比较
实体鉴别和报文鉴别之间存在两个区别。
(1)报文鉴别不可能实时发生,而实体鉴别则有可能。
(2)报文鉴别只是对一个报文的鉴别。
2.验证类别
申请者可以通过以下3种证据来体现。
(1)一些记在脑子里的东西。这是一些只有申请者知道并能被验证者检查的秘密。
(2)一些拿在手里的东西。这是一些能够证实申请者身份的物件。
(3)一些与生俱来的东西。这是一些申请者天生的特点。
实体验证
1.口令
最简单、最古老的实体鉴别方式就是使用口令(password),即申请者知道的某个东西。
2.查问−响应
在使用口令鉴别时,申请者通过出示自己知道的秘密(即口令)来证实自己的身份。
3.使用对称密钥加密方法
有一些查问−响应鉴别方式使用了对称密钥加密方法。 。
实体验证
4.使用不对称密钥加密方法
采用不对称密钥加密方法进行实体鉴别,申请者必须表明他掌握着与公众开放的公钥相对应的私钥。。
实体验证
5.使用数字签名
实体鉴别也可以使用数字签名来实现,申请者用自己的私钥进行签名。。
网络层安全
两种方式
1.运输方式
IPSec的首部(IPSec-H)和尾部(IPSec-T)先被添加到从运输层传来的信息上,之后作为IP数据报的有效载荷。
发送主机用IPSec来鉴别/加密从运输层传来的有效载荷。接收主机用IPSec来检查鉴别/解密这个IP分组,然后将其交付给运输层。
两种方式
2.隧道方式
使用隧道方式时,IPSec在整个IP分组上应用IPSec安全方法,然后再增加新的IP首部,。新的IP首部与原始的IP首部相比有一些不同的信息。
IPSec安全协议
1.鉴别首部
鉴别首部协议是为了鉴别源主机的身份并确保IP分组所携带的有效载荷的完整性。AH放在IP首部后边,。
IPSec安全协议
2.封装安全有效载荷
封装安全有效载荷(ESP)可以提供发送源的鉴别、数据完整性以及保密性。ESP添加了首部和尾部。
虚拟专用网应用
IPSec的一个应用就是虚拟专用网(VPN),。
运输层安全
目前提供了运输层安全的协议有安全套接层(SSL)协议和运输层安全(TLS)协议,TLS与SSL类似,。
SSL的体系结构
1.服务
SSL把数据划分为长度小于或等于214字节的数据分片。数据分片通过使用一种由客户和服务器协商好的无损压缩方式进行压缩。这个服务是可选的。
2.加密解密
(1)密钥交换算法:为了交换经过鉴别和保密的报文,客户和服务器程序各需要一组加密用的密钥/参数。
(2)加密/解密算法:客户和服务器程序还需要协商同意使用一组加密和解密算法。
(3)散列算法:SSL使用散列算法来提供报文完整性(报文的鉴别)。为