计算机网络复习8解答.ppt

/net330 第8章 网络安全 64 / 107 《Computer Networks V4》 cs.sjtu 2004-5-16 证书 设置一个机构CA（Certification Authority）证明 某些公钥是属于某个人或某个机构，这个证明称作 为证书 证书用SHA-1做摘要，该摘要用CA的私钥加密 证书的拥有者可将证书放在网上，供希望与他通信 的人下载 证书可解决伪造者的问题 伪造者用自己的证书替换Bob的证书：由于证书中有持有者姓名， Alice马上就可发现有人伪造 伪造者用自己的公钥替换Bob的证书中的公钥：由于证书是作过摘 要，并用CA的私钥加密，通过摘要可检查出证书被修改 /net330 第8章 网络安全 65 / 107 《Computer Networks V4》 cs.sjtu 2004-5-16 公钥管理 本节讨论两个互不相识的人如何通过公钥机 制来通信? 如何能得到对方的公钥? 公钥获取中的安全问题 证书 X.509 PKI（公钥基础设施） 证书的签名（用CA的私钥签名） 签名 已定义的许多扩展 扩展 唯一确定持有者的编号 持有者ID 唯一确定发布者的编号 发布者的ID 持有者的公钥和所用算法的编号 公钥 持有者姓名 持有者姓名 证书的有效期 有效期 CA的X.509名字 发布者 用来签署这个证书的算法 签名算法 这个编号加上CA的名字唯一确定这个证书 系列号 X.509的版本号 版本 意义 字段 /net330 第8章 网络安全 66 / 107 《Computer Networks V4》 cs.sjtu 2004-5-16 X.509 X.509是ITU制定的证书标准，它包括以下字段 Tnbm P768 Fig. 8-25 X509的证书标准 /net330 第8章 网络安全 67 / 107 《Computer Networks V4》 cs.sjtu 2004-5-16 公钥管理 本节讨论两个互不相识的人如何通过公钥机 制来通信? 如何能得到对方的公钥? 公钥获取中的安全问题 证书 X.509 PKI（公钥基础设施） /net330 第8章 网络安全 68 / 107 《Computer Networks V4》 cs.sjtu 2004-5-16 PKI（公钥基础设施） 为了解决认证过程中的一些问题，如单个认证中 心负担太重，多个认证中心容易引起证书的泄 漏，认证中心应该由哪个机构来运作等问题 PKI的组成：由用户、CA、证书和目录组成，PKI 提供如何将这些机构组织起来，如何定义各种文 件和协议的标准 最简单的结构是层次结构，有根、RA（区域机 构）和CA组成 《Computer Networks V4》 cs.sjtu 2004-5-16 本章将讨论： 通信安全 认证协议 E-mail的安全 Web安全 第8章 网络安全 69 / 107 密码系统 对称密钥算法 公钥算法 数字签名 公钥管理 /net330 /net330 第8章 网络安全 70 / 107 《Computer Networks V4》 cs.sjtu 2004-5-16 通信安全 IPSec 防火墙 VPN 无线安全 /net330 第8章 网络安全 71 / 107 《Computer Networks V4》 cs.sjtu 2004-5-16 IPsec 提供为多种服务、多种算法和多种粒度的加密框架 多种服务指的是安全、完整和抗重播，所有的这些 都是基于对称加密 多种算法指的是算法是独立的，即使某些算法将来 被攻破，IPsec的框架还是保持不变 多种粒度指的是可以保护单个的TCP流，也可以保 护一对主机间的所有流量或以对安全路由器间的所 有流量 /net330 第8章 网络安全 72 / 107 《Computer Networks V4》 cs.sjtu 2004-5-16 安全联盟SA（Security Association） 虽然IPsec是工作在IP层，但它却是面向连 接的，一个连接被称为一个安全联盟SA SA是单向的，如要进行双向通信，必须要 两个SA 每个SA有一个与之相关的安全标识符，安 全标识符被放入该安全通道中的每个数据 包中，用来检查密钥和一些相关的信息 /net330 第8章 网络安全 73 / 107