Ch11 網(wǎng)絡(luò)安全協(xié)議

第11章網(wǎng)絡(luò)安全協(xié)議主要內(nèi)容11.1網(wǎng)絡(luò)安全屬性與結(jié)構(gòu)11.2網(wǎng)絡(luò)層的安全（IPSec）11.3傳輸層安全協(xié)議（SSL）11.4應(yīng)用層安全協(xié)議（PGP）11.1

網(wǎng)絡(luò)安全屬性與結(jié)構(gòu)11.1.1

網(wǎng)絡(luò)安全及其屬性三個(gè)基本屬性機(jī)密性 完整性 可用性

11.1.2網(wǎng)絡(luò)安全層次結(jié)構(gòu)網(wǎng)絡(luò)安全層次結(jié)構(gòu)圖：11.2網(wǎng)絡(luò)層的安全I(xiàn)PSecIP通信的安全協(xié)議(IPSecurity)，即IPSec產(chǎn)生于IPv6的制定之中，用于提供IP層的安全性提供了IP層的安全性就相當(dāng)于為整個(gè)網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)11.2.1IPSec基本工作原理IPSec的工作原理示意圖11.2網(wǎng)絡(luò)層的安全I(xiàn)PSec傳輸方式

IPSec的工作方式11.2網(wǎng)絡(luò)層的安全I(xiàn)PSec

隧道方式應(yīng)用ESP：原始IP包頭加密真正的源、目的IP地址是隱藏的新IP頭中指定的源、目的IP地址一般是源、目的安全網(wǎng)關(guān)的地址

11.2網(wǎng)絡(luò)層的安全I(xiàn)PSec

11.2.2IPSec的實(shí)現(xiàn)與操作系統(tǒng)(OS)集成實(shí)施BITS方式（Bump-in-the-stack）BITW方式（Bump-in-the-wire）11.2網(wǎng)絡(luò)層的安全I(xiàn)PSec1.IPSec的體系結(jié)構(gòu)11.2網(wǎng)絡(luò)層的安全I(xiàn)PSec2.安全聯(lián)盟SA(SecurityAssociation)IPSec的基礎(chǔ)決定通信中采用的IPSec安全協(xié)議、散列方式、加密算法和密鑰等安全參數(shù)通常用一個(gè)三元組（安全參數(shù)索引、目的IP地址、安全協(xié)議）唯一表示SA總是成對(duì)出現(xiàn)，對(duì)等存在于通信實(shí)體的兩端，是通信雙方協(xié)商的結(jié)果

11.2網(wǎng)絡(luò)層的安全I(xiàn)PSec3.認(rèn)證頭AH(AuthenticationHeader)4.封裝安全載荷ESP5.密鑰交換IKE6.加密和認(rèn)證算法11.2網(wǎng)絡(luò)層的安全I(xiàn)PSec11.3傳輸層安全協(xié)議SSL

SSL（SecuritySocketLayer）是Netscape公司開(kāi)發(fā)的網(wǎng)絡(luò)安全協(xié)議 主要目的就是為網(wǎng)絡(luò)通信應(yīng)用進(jìn)程間提供一個(gè)安全通道。

11.3.1SSL主要特性連接是安全的，在初始化握手結(jié)束后，SSL使用加密方法來(lái)協(xié)商一個(gè)秘密的密鑰，數(shù)據(jù)加密使用對(duì)稱密鑰技術(shù)（如DES,RC4等）。可以通過(guò)非對(duì)稱（公鑰）加密技術(shù)（如RSA,DSA等）認(rèn)證對(duì)方的身份。連接是可靠的。

11.3傳輸層安全協(xié)議SSL

11.3.2SSL結(jié)構(gòu)模型

SSL協(xié)議的核心

1.SSL記錄層協(xié)議

標(biāo)明上層協(xié)議類型

標(biāo)明當(dāng)前使用的SSL協(xié)議版本

封裝數(shù)據(jù)的長(zhǎng)度

根據(jù)加密要求填充長(zhǎng)度

加密的上層數(shù)據(jù)

需要加密

11.3.2SSL結(jié)構(gòu)模型2．SSL握手協(xié)議11.3.2SSL結(jié)構(gòu)模型3．改變加密約定協(xié)議4．警報(bào)協(xié)議11.3.2SSL結(jié)構(gòu)模型11.3.3在服務(wù)器上配置SSL

生成證書申請(qǐng)

選擇Web站點(diǎn)提交證書申請(qǐng)

11.3傳輸層安全協(xié)議SSL

如何在服務(wù)器上配置SSL

頒發(fā)證書在Web服務(wù)器上安裝證書將資源配置為要求SSL訪問(wèn)

11.4應(yīng)用層安全協(xié)議PGP可以對(duì)郵件進(jìn)行加密以防止非授權(quán)者訪問(wèn)通過(guò)RSA算法實(shí)現(xiàn)數(shù)字簽名防否認(rèn)不需要任何保密的渠道用來(lái)傳遞密鑰可以加密文件可以代替UUencode生成RADIX64格式的編碼文件11.4.1PGP的工作原理

采用ZIP壓縮算法對(duì)郵件數(shù)據(jù)進(jìn)行壓縮采用IDEA對(duì)壓縮后的數(shù)據(jù)進(jìn)行加密采用MD5Hash

函數(shù)對(duì)郵件數(shù)據(jù)進(jìn)行散列處理采用RSA對(duì)郵件數(shù)據(jù)的Hash值進(jìn)行數(shù)據(jù)簽名采用支持公鑰證書的密鑰管理

采用先簽名后加密的數(shù)字簽名方案11.4應(yīng)用層安全協(xié)議PGP11.4.1PGP的工作原理PGP的發(fā)送過(guò)程11.4應(yīng)用層安全協(xié)議PGPRSA算法：

1）隨機(jī)地選擇兩個(gè)大素?cái)?shù)，最好選用長(zhǎng)度在100—200位之間的素?cái)?shù)，兩個(gè)素?cái)?shù)的長(zhǎng)度要相等。將這兩個(gè)素?cái)?shù)用p和q表示。

2）計(jì)算n=pq，將n公開(kāi)

3）計(jì)算&(n)=(p-1)(q-1)，對(duì)&(n)保密；

4）隨機(jī)的選取一個(gè)正整數(shù)e，1<e<&(n)且（e,&(n)）=1,將e公開(kāi)；

5）根據(jù)ed=1mod&(n),求出d，并對(duì)d保密；

6）加密運(yùn)算：C=Memodn7）加密運(yùn)算：M=Cdmodn

由以上算法可知，RSA密碼的公開(kāi)加密密鑰Ke=<n,e>，而保密的解密密鑰Kd=<p,q,d,&(n)>。11.4應(yīng)用層安全協(xié)議PGP11.4.2PGP的密鑰管理

關(guān)鍵的隨機(jī)數(shù)（如RSA密鑰）的產(chǎn)生是從用戶瞧鍵盤的時(shí)間間隔上取得隨機(jī)數(shù)種子的。對(duì)于磁盤上的randseed.bin文件采用和郵件同樣強(qiáng)度的加密，可以防止他人從randseed.bin文件中分析出加密實(shí)際密鑰的規(guī)律。

11.4應(yīng)用層安全協(xié)議PGP11.4.3PGP的使用1．安裝過(guò)程如果選擇安裝的選件是“PGPnetVirtualPrivateNetworking”虛擬網(wǎng)，再選擇相應(yīng)的Plugin，如“PGPMicrosoftOutlookExpressPlugin”，就可以在OutlookExpress中直接用PGP加密郵件。11.4應(yīng)用層安全協(xié)議PGP2．生成密鑰