Ch11 网络安全协议.pptVIP

第11章 网络安全协议 主要内容 11.1 网络安全属性与结构 11.2 网络层的安全（IPSec） 11.3 传输层安全协议（SSL） 11.4 应用层安全协议（PGP） 11.1 网络安全属性与结构 11.1.1 网络安全及其属性 三个基本属性 机密性 完整性 可用性 11.1.2 网络安全层次结构 11.2 网络层的安全IPSec IP通信的安全协议(IP Security)，即IPSec 产生于IPv6的制定之中，用于提供IP层的安全性 提供了IP层的安全性就相当于为整个网络提供了安全通信的基础 11.2.1 IPSec基本工作原理 IPSec的工作原理示意图 11.2 网络层的安全IPSec 传输方式 11.2 网络层的安全IPSec 隧道方式 11.2.2 IPSec的实现 与操作系统(OS)集成实施 BITS方式（Bump-in-the-stack） BITW方式（Bump-in-the-wire） 11.2 网络层的安全IPSec 1.IPSec的体系结构 11.2 网络层的安全IPSec 2. 安全联盟SA(Security Association) IPSec的基础 决定通信中采用的IPSec安全协议、散列方式、加密算法和密钥等安全参数 通常用一个三元组（安全参数索引、目的IP地址、安全协议）唯一表示 SA总是成对出现，对等存在于通信实体的两端，是通信双方协商的结果 11.2 网络层的安全IPSec 3. 认证头AH (Authentication Header) 4. 封装安全载荷ESP 5. 密钥交换IKE 6. 加密和认证算法 11.3 传输层安全协议SSL SSL（Security Socket Layer）是Netscape公司开发的网络安全协议 主要目的就是为网络通信应用进程间提供一个安全通道。 11.3.1 SSL主要特性 连接是安全的，在初始化握手结束后，SSL使用加密方法来协商一个秘密的密钥，数据加密使用对称密钥技术（如DES, RC4等）。 可以通过非对称（公钥）加密技术（如RSA, DSA等）认证对方的身份。 连接是可靠的。 11.3.2 SSL结构模型 11.3.2 SSL结构模型 1. SSL记录层协议 11.3.2 SSL结构模型 2．SSL握手协议 11.3.2 SSL结构模型 3．改变加密约定协议 4．警报协议 11.3.3 在服务器上配置SSL 生成证书申请 选择 Web 站点 提交证书申请 如何在服务器上配置SSL 颁发证书 在 Web 服务器上安装证书 将资源配置为要求 SSL 访问 11.4 应用层安全协议PGP 可以对邮件进行加密以防止非授权者访问 通过RSA算法实现数字签名防否认 不需要任何保密的渠道用来传递密钥 可以加密文件 可以代替UUencode生成RADIX64格式的编码文件 11.4.1 PGP的工作原理 采用ZIP压缩算法对邮件数据进行压缩 采用IDEA对压缩后的数据进行加密 采用MD5 Hash 函数对邮件数据进行散列处理 采用RSA对邮件数据的Hash值进行数据签名 采用支持公钥证书的密钥管理 采用先签名后加密的数字签名方案 11.4.1 PGP的工作原理 PGP的发送过程 11.4 应用层安全协议PGP RSA算法： 1）随机地选择两个大素数，最好选用长度在100—200位之间的素数，两个素数的长度要相等。将这两个素数用p和q表示。 2）计算n=pq，将n公开 3）计算(n)=(p-1)(q-1)，对(n)保密； 4）随机的选取一个正整数e，1e(n)且（e,(n)）=1,将e公开； 5）根据ed=1 mod (n),求出d，并对d保密； 6）加密运算：C=Memod n 7）加密运算：M=Cdmod n 由以上算法可知，RSA密码的公开加密密钥Ke=n,e，而保密的解密密钥Kd=p,q,d,(n)。 11.4.2 PGP的密钥管理 关键的随机数（如RSA密钥）的产生是从用户瞧键盘的时间间隔上取得随机数种子的。 对于磁盘上的randseed.bin文件采用和邮件同样强度的加密，可以防止他人从randseed.bin文件中分析出加密实际密钥的规律。 11.4.3 PGP的使用 1．安装过程 如果选择安装的选件是“PGPnet Virtual Private Networking”虚拟网，再选择相应的Plugin，如“PGP Microsoft Outlook Express Plug