第七讲_网络安全.pptVIP

A B Kerberos A ? AS TGS T KAB , ? A, KAB KB T + 1 KAB ? ? A, KS T KS , B, KTG A, KAB KB , ? B, KAB KS KTG ? KA A, KS KS , 公钥的分配 需要有一个值得信赖的机构——即认证中心CA (Certification Authority)，来将公钥与其对应的实体（人或机器）进行绑定(binding)。 认证中心一般由政府出资建立。每个实体都有CA 发来的证书(certificate)，里面有公钥及其拥有者的标识信息。此证书被 CA 进行了数字签名。任何用户都可从可信的地方获得认证中心 CA 的公钥，此公钥用来验证某个公钥是否为某个实体所拥有。有的大公司也提供认证中心服务。 网络层安全协议 网络层保密是指所有在 IP 数据报中的数据都是加密的； IPsec 与安全关联 SA 鉴别首部 AH (Authentication Header)： AH鉴别源点和检查数据完整性，但不能保密。 封装安全有效载荷 ESP (Encapsulation Security Payload)：ESP 比 AH 复杂得多，它鉴别源点、检查数据完整性和提供保密。 在使用 AH 或 ESP 之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA。 运输层安全协议 安全套接层 SSL 对万维网客户与服务器之间传送的数据进行加密和鉴别。 SSL 在双方的联络阶段协商将使用的加密算法和密钥，以及客户与服务器之间的鉴别。 在联络阶段完成之后，所有传送的数据都使用在联络阶段商定的会话密钥。 安全电子交易 SET 是专为在因特网上进行安全支付卡交易的协议。 SET 是专为与支付有关的报文进行加密的 SET 协议涉及到三方，即顾客、商家和商业银行。所有在这三方之间交互的敏感信息都被加密. SET 要求这三方都有证书。在 SET 交易中，商家看不见顾客传送给商业银行的信用卡号码。 应用层的安全协议 PGP 是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。虽然 PGP 已被广泛使用，但 PGP 并不是因特网的正式标准； PEM 是因特网的邮件加密建议标准； 链路加密 在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。 课件制作人：谢希仁 D1 E2 明文 X 结点 1 D2 E3 明文 X 结点 2 Dn 明文 X 用户 B E1 明文 X 用户 A E1(X) 链路 1 E2(X) 链路 2 En(X) 链路 n E3(X) 密文 密文 密文 密文 相邻结点之间具有相同的密钥，因而密钥管理易于实现。链路加密对用户来说是透明的，因为加密的功能是由通信子网提供的。 链路加密 由于报文是以明文形式在各结点内加密的，所以结点本身必须是安全的。 所有的中间结点(包括可能经过的路由器)未必都是安全的。因此必须采取有效措施。 链路加密的最大缺点是在中间结点暴露了信息的内容。 在网络互连的情况下，仅采用链路加密是不能实现通信安全的。 端到端加密 端到端加密是在源结点和目的结点中对传送的 PDU 进行加密和解密，报文的安全性不会因中间结点的不可靠而受到影响。 课件制作人：谢希仁 结点 1 结点 2 DK 明文 X 结点 n EK 明文 X 结点 0 EK(X) 链路 1 EK(X) 链路 2 EK(X) 链路 n 端到端链路传送的都是密文 在端到端加密的情况下，PDU 的控制信息部分(如源结点地址、目的结点地址、路由信息等)不能被加密，否则中间结点就不能正确选择路由。 防火墙(firewall) 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。 防火墙内的网络称为“可信赖的网络”(trusted network)，而将外部的因特网称为“不可信赖的网络”(untrusted network)。 防火墙可用来解决内联网和外联网的安全问题。 防火墙的位置 G 内联网 可信赖的网络 不可信赖的网络 分组过滤 路由器 R 分组过滤 路由器 R 应用网关 外局域网 内局域网 防火墙 因特网 防火墙的功能与实现技术 防火墙的功能 “阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）； “允许”的功能与“阻止”恰好相反。 防火墙的技术 网络级防火墙：用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。 应用级防火墙：从应用程序来进行接入控