第8章 网络加密和 与认证 现代密码学教案.ppt

第8章 网络加密与认证;1. 开放系统互连参考模型 开放系统互连OSI（open systems interconnection）参考模型描述信息如何从一台计算机的应用层软件通过网络媒体传输到另一台计算机的应用层软件，它是由7层协议组成的概念模型，每一层都说明了特定的网络功能。;OSI参考模型把网络中计算机之间的信息传递分成7个较小的易于管理的层，它的7层协议中的每一层协议分别执行一个（或一组）任务，各层间相互独立，互不影响。7层由低至高分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。如图8.1所示，其中左边数字表示层次，右边表示可将7层继续分为高层和低层两类，其中高层论述的是应用问题，通常用软件实现。最高层（应用层）最接近用户，用户和应用层通过通信应用软件相互作用。在参考模型中，上层意指某一层之上的任何层。 ; 图8.1 OSI参考模型的层次划分;低层负责处理数据传输问题，物理层和数据链路层由硬件和软件共同实现，而其他层通常只是用软件来实现。最底层（物理层）最接近物理网络介质（如网络电缆），其职责是将信息放置到介质上。下面给出各层的具体含义。;表示层： 提供多种用于应用层数据的编码和转化功能，以确保从一个系统应用层发送的信息可以被另一系统的应用层识别。 应用层： 是最接近终端用户的OSI层，这就意味着OSI应用层与用户之间是通过软件直接相互作用的。应用层的功能一般包括标识通信伙伴、定义资源的可用性和同步通信。 ;OSI模型系统间的通信方式如下： 信息从一个计算机系统的应用层软件传输到另一个计算机系统的应用层软件，必须经过OSI参考模型的每一层。例如，系统A的应用层软件要将信息传送到系统B的应用层软件，那么系统A的应用程序先把该信息传送到A的应用层（第7层），然后应用层又把信息传送到表示层（第6层），表示层再把信息传送到会话层（第5层），依次下去，直到信息传送到物理层（第1层）。;在物理层，信息被放置到物理网络介质上，并通过介质发送到系统B。系统B的物理层从物理介质上获取信息，然后把信息从物理层传送到数据链路层（第2层），数据链路层再把信息传送到网??层（第3层），依次上去，直到信息传送到系统B的应用层（第7层）。最后B的应用层再把信息传送到接收应用程序中，这样便完成了整个通信过程。 ;2. TCP/IP分层模型 TCP/IP是因特网（Internet）的基本协议，它是“传输控制协议TCP（transmission control protocol）和互联网协议IP（Internet protocol）”的简称。事实上，TCP/IP是个协议系统，是由一系列支持网络通信的协议组成的集合。本节仅介绍TCP/IP的分层模型，对具体的协议不做介绍。;TCP/IP可以采用与OSI结构相同的分层方法来建立模型，其模型分为4层，分别称为应用层、传输层、IP层和接口层。 ① 应用层：这一层将OSI高层（应用层、表示层和会话层）的功能合并为一层。 ② 传输层：在功能上，这一层等价于OSI的传输层。 ③ IP层：在功能上，这一层等价于OSI的网络层。 ④ 接口层：在功能上，这一层等价于OSI的数据链路层和物理层。;其中在传输层上的协议有两个：传输控制协议TCP和用户数据报协议UDP(user datagram protocol)。TCP协议是一个面向连接的传输协议，是为在无连接的网络业务上运行面向连接的业务而设计的；UDP协议是一个无连接传输协议，它与OSI的无连接传输协议相对应。;1. 基本方式 为了将数据在网络中传送，需要在数据前面加上它的目的地址，称加在数据前面的目的地址为报头，用户数据加上报头称为数据报。加强网络通信安全性的最有效且最常用的方法是加密，网络加密的基本方式有两种：链路加密和端端加密。;链路加密是指每个易受攻击的链路两端都使用加密设备进行加密，因此整个通信链路上的传输都是安全的。缺点是数据报每进入一个分组交换机后都需要一次解密，原因是交换机必须读取数据报报头以便为数据报选择路由。因此在交换机中数据报易受到攻击。 链路加密时，每一链路两端的一对结点都应共享一个密钥，不同结点对共享不同的密钥。因此需提供很多密钥，每个密钥仅分配给一对结点。;端端加密是指仅在一对用户的通信线路两端（即源结点和终端结点）进行加密，因此数据是以加密的形式通过网络由源结点传送到目标结点，目标结点用与源结点共享的密钥对数据解密。所以端端加密可防止对网络上链路和交换机的攻击。 端端加密还能提供一定程度的认证，因为源结点和终端结点共享同一密钥，所以终端结点相信自己收到的数据报的确是由源结点发来的。链路加密方式不具备这种认证功能。 ;端端加密也有自己的缺点，由于只有目标结点能对加密结果解密，所以如果对整个数据报加密，则分组交换结点收到加密