TCPIP协议簇第4版.ppt

第29章 加密术和网络安全 信息是具有价值的财产，需要安全保护。信息需要对未授权的访问来说是隐蔽的（保密性）；对未授权的修改来说是被保护的（完整性）；而对授权的实体来说，只要需要就能得到（有效性）。我们的三个安全目标可能会受到安全攻击的威胁。人们已设计出两种用以保护信息不受攻击的技术：加密术和隐密术。 传统加密方法称为对称密钥加密方法，因为加密和解密时使用了相同的密钥，并且这个密钥可用于双向通信。我们可以把传统的对称密钥加密方法划分为两大类：替代加密方法和转换加密方法。替代加密方法就是用另一个字符来替代一个字符。转换加密方法就是对字符重新排序。 现代加密方法是面向比特的加密方法。现代加密方法可以是块加密方法，也可以是流加密方法。现代块加密方法使用了多次由替代、转换、XOR以及其他混合块位操作构成的组合。目前最常用的一种块加密方法是DES。现代流加密方法一次一比特地对比特流进行加密和解密。 不对称密钥加密方法使用了两个独立的密钥：私钥和公钥。不对称密钥加密术意味着Bob和Alice不能把一套密钥用于双向通信。Bob只需要一个私钥就能接收来自团体内任何人传来的讯息，但是Alice则需要n个公钥才能与团体中的n个实体进行通信。 保持文档完整性的一种办法就是通过使用报文摘要。报文通过一个称为加密散列函数的算法的处理。这个函数产生报文的一个压缩的印记，称为摘要，可以像使用手印一样使用它。 为了确保报文的完整性以及数据来源的鉴别，我们需要创建报文鉴别码（MAC），就是通过散列函数来介入Alice和Bob之间的密钥。另一种提供了报文完整性和报文鉴别的方法是使用数字签名。MAC用密钥来保护摘要，而数字签名则使用了一对私钥-公钥来做同样地事。 实体鉴别是为了让一方证实另一方的身份而设计的一种技术。实体可以是人、进程、客户端程序或服务器程序。需要被证实其身份的实体称为申请者，而试图证实申请者身份的实体称为验证者。 为了使用对称密钥和不对称密钥加密术，我们需要管理密钥。在对称密钥加密术中，我们可以使用KDC的服务来产生两个实体之间的会话密钥。在不对称密钥加密术中，我们可以使用认证管理机构（CA）的服务来发布经认证的公钥。 第30章 因特网安全 IP安全（IPSec）是IETF设计的一组协议，用来为网络层的分组提供安全。IPSec的操作有运输方式和隧道方式两种。IPSec定义了两个协议：鉴别首部（AH）协议和封装安全有效载荷（ESP）协议，它们为IP级的分组提供鉴别和加密。虚拟专用网是IPSec的一种实现，它为具有多个站点的组织提供了保密性。 运输层安全协议为使用了可靠运输层协议（如TCP）的应用程序提供端到端的安全服务。目前主要有两个协议在运输层提供安全服务：安全套接层（SSL）和运输层安全（TLS）。SSL（或TLS）为接收自应用层的数据提供诸如分片、压缩、报文完整性、保密性以及组帧的服务。 由Phil Zimmermann研发的相当好的保密（PGP）为电子邮件提供保密性、完整性和鉴别。另一种为电子邮件而设计的安全服务是安全/多用途因特网邮件扩充（S/MIME）。这个协议是多用途因特网邮件扩充（MIME）协议的增强版。 防火墙是安装在组织内部网络和外部因特网之间的一个设备（通常是路由器或计算机）。它的设计是为了转发某些分组，而过滤掉其他的分组。防火墙通常可分为分组过滤防火墙和代理防火墙两大类。分组过滤防火墙依据分组的网络层和运输层首部中的信息来阻拦或转发该分组。代理防火墙基于应用层的信息来阻拦或转发分组。 欢迎阅读本书? TCP/IP协议簇(第4版) Behrouz A. Forouzan 著 由NordriDesign提供 各章小结汇总 第1章 引言 网络是一组互相连接的通信设备。互联网是指两个或更多的可以彼此通信的网络。最著名的互联网就是因特网，它由成千上万个互连的网络所组成。 网络互连的历史可追溯到20世纪60年代中期出现的ARPA。因特网的诞生与Cerf和Kahn的研究工作以及网络连接所使用的网关设备的出现有密切联系。1977年，国防通信署（DCA）开始对ARPANET负责，并使用了TCP和IP这两个协议来处理各个网络彼此之间的数据报路由选择。MILNET、CSNET、NSFNET和ANSNET都是从ARPANET演化出来的。 今日的因特网是由许多广域网和局域网通过一些连接设备和交换站连接起来的。在今天，绝大多数需要因特网连接的端用户都是使用因特网服务提供者（ISP）所提供的服务。分别有主干ISP、地区ISP和本地ISP。 协议是管理数据通信的一组规则；协议的要素是语法、语义和时序。在计算机网络中，通信发生在不同系统上的实体之间。要进行通信，这两个实体必须达成一种协议。协议定义了要通信的是什么，怎样进行通信，以及何时进行通信。 在建