生物医学工程_计算机网络 网络安全.ppt

使用不重数进行鉴别 A B A, RA RB KAB RA RB KAB , 时间 7.5 密钥分发和认证 密码算法公开，密钥系统的安全性依赖于密钥的安全保护。 在对称密钥密码体制中，如何将密钥分发到双方是需要解决的问题。 公钥密码体制不共享密钥，公钥可以发布在报纸或网站上，但如何验证该公钥确实是某实体真正的公钥仍然是一个问题。 通过使用一个可信的中介机构来解决。 7.5.1 对称密钥的分配：设立密钥分发中心 KDC (Key Distribution Center) KDC 是大家都信任的机构，任务是给需要进行秘密通信的用户临时分配一个会话密钥（仅使用一次）。 用户 A 和 B 都是 KDC 的登记用户，并已经在 KDC 的服务器上安装了各自与 KDC 进行通信的密钥KA 和 KB 对称密钥的分配 A B 密钥 分配中心 KDC A, B, KAB KB ? … … 用户专用主密钥 用户 主密钥 A KA B KB A, B, KAB KAB KB ? KA , 时间 ? A, B 7.5.2 公钥的分配：认证中心CA (Certification Authority) 认证中心CA (Certification Authority)，来将公钥与其对应的实体（人或机器）进行绑定。 认证中心一般由政府出资建立。每个实体都有CA 发来的证书,里面有公钥及其拥有者的标识信息。此证书被 CA 进行了数字签名。 7.6 网络安全协议 网络层安全协议 网络层保密：对 IP 数据报中加密。 IPsec (IP Security) 运输层安全协议 SSL(安全套接层)、TLS(运输层安全) SSH(secure shell，为远程登录会话和其他网络服务提供安全性的协议) 应用层安全协议 PGP、PEM,属于电子邮件加密协议。 IPsec 的两种运行方式 传输方式 IPSec有效载荷 IPSec首部 运输层报文 IPSec尾部 IP有效载荷 IP首部 IPsec 的两种运行方式 隧道方式 IPSec有效载荷 IPSec首部 数据 IPSec尾部 IP有效载荷 IP首部 IP首部 原IP 数据报 新首部 7.6.2 运输层安全协议 网上购物需要的安全服务： 顾客需要确保服务器属于真正的销售商，而不是属于一个冒充者。 顾客与销售商需要确保报文的内容在传输过程中没有被更改。 顾客与销售商需要确保诸如信用卡号之类的敏感信息不被冒充者窃听。 7.6.2 运输层安全协议 运输层安全协议可以提供以上安全服务。 现在广泛使用的有两个协议： SSL (Secure Socket Layer)，安全套接字层。 TLS (Transport Layer Security)，运输层安全。 SSL是Netscape公司在1994开发的，广泛应用于基于万维网的各种网络应用。 TLS是1995年IETF在SSL 基础上设计的。 SSL/TLS 的位置 因特网 IP 应用层（HTTP） 网络接口层 TCP SSL/TLS IP 应用层（HTTP） 网络接口层 TCP SSL/TLS SSL 提供以下三种安全服务 SSL 服务器鉴别：允许用户证实服务器的身份。 SSL 客户鉴别：允许服务器证实客户的身份。 加密的 SSL 会话：客户和服务器交互的数据在发送方加密，在接收方解密。 SSL的基本工作过程 浏览器A 服务器B A 支持的加密算法 B 选定的加密算法 B 的数字证书 用 B 的公钥加密的秘密数 会话密钥产生完成 数据传输（用会话密钥加密） 加密算法协商 用 CA 的公钥 鉴别 B 的证书 产生一个秘密数 并通过秘密数产生会话密钥 通过秘密数 产生会话密钥 加密算法协商 t t 浏览器中的SSL/TLS选项 7.6.3 应用层的安全协议 PGP (Pretty Good Privacy) PGP 是由Phil Zimmermann于1995开发的一个安全电子邮件软件。 PGP通过报文摘要和数字签名技术为电子邮件提供完整性和不可否认， 使用对称密钥和公钥的组合加密来提供机密性。 7.8 防火墙(firewall) 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。 防火墙内的网络称为“可信赖的网络”，而将外部的因特网称为“不可信赖的网络”。 防火墙可用来解决内联网和外联网的安全问题。 防火墙在互连网络中的位置 G 内联网 可信赖的网络 不可信赖的网络 分组过滤 路由器 R 分组过滤 路由器 R 应用网关 外局域网 内局域网 防火墙 因特网 防火墙的功能 防火墙的功能有两个：阻止和允许。 阻止功能：阻止某种类型的通