现代密码学 第8章new.pptVIP

第八章 网络加密与认证 网络加密方式 基本方式 链路加密 每个易受攻击的链路两端都使用加密设备进行加密 缺点是每次到达通信节点时都需要解密以确定路由,在节点处容易受到攻击 端端加密 仅在通信线路的两端进行加密，可防止对网络上链路和节点设备的攻击 可以提供一定程度的认证 缺点是只能对数据报中的用户数据部分加密，容易受到业务流量分析攻击 网络加密方式 结合方式 主机之间使用端端加密 每个链路之间使用链路加密 端端加密的逻辑位置 指加密功能部署在OSI参考模型的哪一层 不同的层次有不同的协议 异构的网络之间只在应用层可能有端到端加密 存储转发通信的加密范围 各层加密的数据 Kerberos认证系统 Kerberos 雅典娜计划的一部分 (MIT)。 可信的第三方认证方案。 假定主机是不可信的 要求每个client (对每次业务请求 ) 证明其身份. 不要求用户每次业务请求都输入密码! 密码设计基于Needham－Schroeder协议 Kerberos 设计 用户必须在工作站会话开始的时候验证自己 (登录会话). 密码永远不在网络中明文传输 (或在存储器中存储) Kerberos设计 (续) 每个用户有一个口令. 每个业务有一个口令. 知道所有口令的唯一实体是认证 服务器. 票据（Tickets） 每个业务请求需要一个 ticket. 一个 只能用于单个用户访问单个服务器. T