S05-网络安全协议_合同协议_表格模板_实用文档.pptVIP

网络协议网络安全 S05 网络安全协议 主要知识点 密钥安全管理技术 DH算法、数字证书、CA、PKI 安全认证协议 PAP、CHAP、Radius、Kerberos TCP/IP安全协议 PPTP、L2TP、IPsec、SSL WLAN安全协议 WEP、WPA、WAPI 网络安全协议 65 2 网络安全协议的作用 网络安全协议 3 65 65 网络安全协议 4 密钥安全 密钥安全常见问题 如何安全生成和分发对称密钥（私钥）？ 如何确认对方是合法的通信方？ 如何可信地获取对方的公钥？ 如何验证对方的数字签名？ 网络安全协议 5 65 安全的 易用的 完善的 密钥 管理 密钥安全管理 密钥安全管理目标 密钥生成（或更新） 密钥分发（或传递） 密钥保管（或托管） 密钥安全管理应用 密钥的严格保密生成、存储和使用 对称加密算法的私钥安全地分发给通信双方 非对称加密算法的公钥进行可信地传递 密钥安全管理的必要性 例如：在n个用户的网络中，若要进行两两会话，每个会话使用一个密钥，就至少需要n(n-1)/2≈n2/2个密钥。即100个用户的网络需要管理约5000个密钥。因此，采用密钥管理系统进行自动的、安全的、高效的密钥生成和分发工作是必要的 网络安全协议 6 65 Diffie-Hellman算法 通信双方Alice和Bob协商大质数p和q，1qp，p和q可公开 Alice秘密选取大随机数s，计算X=qs(mod p) Bob秘密选取大随机数t，计算Y=qt(mod p) Alice和Bob交换X和Y，并分别计算 Alice：KA=Ys(mod p) Bob：KB=Xt(mod p) 显然成立：KA＝KB＝qst(mod p) 则KA和KB分别成为Alice和Bob握有的私钥 网络安全协议 7 65 巧妙实现私有密钥安全生成和分发 ECC密钥安全互换算法 Alice和Bob协商有限域GF(2k)上的椭圆曲线E，基点P∈E(GF(2k))，n为P的阶 Alice随机选取x，0≤x≤n；Alice发送kA = xP Bob随机选取y，0≤y≤n；Bob发送kB = yP Alice计算：kAB = xkB；Bob计算：kBA = ykA 由于kAB = kBA = xyP 则Alice和Bob成功拥有了相同的私钥 网络安全协议 8 65 数字证书 Digital Certificate 数字证书又称公钥证书，实际上是一个用数字方式签名的真实性得到保证的声明（或名片） 颁发者和签署者是合法、可信的第三方证书颁发机构 数字证书标准： ITU-T X.509（1988/1993/1996年）和RFC5280（2008年5月） RFC1442定义了数字证书的信任链 RFC2459是证书的配置文件 ASN.1（X.690）是数字证书数据编码方法 网络安全协议 9 65 X.509定义了（但不限于）： 公钥证书、证书吊销清单、属性证书和证书路径验证算法 主体和签发人唯一标识符 支持扩展功能，任何人均可定义扩展并将其纳入证书中： 密钥用途（Key Usage），如只签 别名（Alternative Names），如DNS、邮件地址、IP 地址等 数字证书相关技术呈递关系 网络安全协议 10 65 数字摘要 数字指纹 建立数字摘要与原消息的关联 数字签名 数字指纹的公钥算法加密 数字证书 结构化和标准化 数字证书的组成 由证书内容和数字签名两部分组成 证书内容包含了持有数字证书的主体的身份信息、公钥和认证机构的名称等信息 认证机构用私钥对证书内容进行数字签名，并附加在数字证书中，其他用户只需获得认证机构的公钥，即可验证并获取该数字证书所包含的主体的公钥，从而达到安全获取通信对方公钥的目的 网络安全协议 11 65 数字证书的数据结构 网络安全协议 12 65 通用名（Common Name，CN） 组织单位（Organization Unit，OU） 组织（Organization，O） 国家（Country，C）的组合 被撤销证书序列号列入证书撤销清单 （Certificate Revocation List，CRL） 单向函数算法MD5、SHA等 数字证书可实现的功能 用户申请并安装数字证书时—— 可获得CA的公钥 验证该证书所需的公钥 用户自己的私钥（指公钥算法的私钥） 用户获得数字证书后—— 可向CA在线申请并获取经过CA签名认定的通信对方的公钥 使用这些密钥配合相应的加密算法和操作流程可完成： 身份认证 信息加密 密钥分发 网络安全协议 13 65 数字证书的作用 访问者身份验证 服务器/客户端身份验证 代码/信任列表签名 智能卡登录 安全电子邮件 时间戳 VPN/IP安全互连 安全隧道 安全终端