计算机网络(谢希仁)第67章.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 课件制作人：谢希仁 3. 封装安全有效载荷 ESP 使用 ESP 时，IP 数据报首部的协议字段置为 50。当 IP 首部检查到协议字段是 50 时，就知道在 IP 首部后面紧接着的是 ESP 首部，同时在原 IP 数据报后面增加了两个字段，即 ESP 尾部和 ESP 数据。 在 ESP 首部中有标识一个安全关联的安全参数索引 SPI (32 位)，和序号(32 位)。 课件制作人：谢希仁 3. 封装安全有效载荷 ESP（续） 在 ESP 尾部中有下一个首部（8 位，作用和 AH 首部的一样）。ESP 尾部和原来数据报的数据部分一起进行加密，因此攻击者无法得知所使用的运输层协议。 ESP 鉴别和 AH 中的鉴别数据是一样的。因此，用 ESP 封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。 课件制作人：谢希仁 在 IP 数据报中的ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 报文段 使用 ESP 的 IP 数据报 原数据报的数据部分 ESP 尾部 ESP 鉴别 加密的部分 鉴别的部分 协议 = 50 课件制作人：谢希仁 7.6.2 运输层安全协议1. 安全套接层 SSL SSL 是安全套接层 (Secure Socket Layer)，可对万维网客户与服务器之间传送的数据进行加密和鉴别。 SSL 在双方的联络阶段协商将使用的加密算法和密钥，以及客户与服务器之间的鉴别。 在联络阶段完成之后，所有传送的数据都使用在联络阶段商定的会话密钥。 SSL 不仅被所有常用的浏览器和万维网服务器所支持，而且也是运输层安全协议 TLS (Transport Layer Security)的基础。 课件制作人：谢希仁 SSL 的位置 TCP 应用层 SSL 运输层 HTTP IMAP SSL 功能 标准套接字 在发送方，SSL 接收应用层的数据（如 HTTP 或 IMAP 报文），对数据进行加密，然后把加了密的数据送往 TCP 套接字。 在接收方，SSL 从 TCP 套接字读取数据，解密后把数据交给应用层。 课件制作人：谢希仁 SSL 提供以下三个功能 (1) SSL 服务器鉴别 允许用户证实服务器的身份。具有 SS L 功能的浏览器维持一个表，上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公钥。 (2) 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密，在接收方解密。 (3) SSL 客户鉴别 允许服务器证实客户的身份。 课件制作人：谢希仁 2. 安全电子交易 SET (Secure Electronic Transaction) 安全电子交易 SET 是专为在因特网上进行安全支付卡交易的协议。 SET 的主要特点是： (1) SET 是专为与支付有关的报文进行加密的。 (2) SET 协议涉及到三方，即顾客、商家和商业银行。所有在这三方之间交互的敏感信息都被加密。 (3) SET 要求这三方都有证书。在 SET 交易中，商家看不见顾客传送给商业银行的信用卡号码。 课件制作人：谢希仁 7.6.3 应用层的安全协议 1. PGP (Pretty Good Privacy) PGP 是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。 PGP 并没有使用什么新的概念，它只是将现有的一些算法如 MD5，RSA，以及 IDEA 等综合在一起而已。 虽然 PGP 已被广泛使用，但 PGP 并不是因特网的正式标准。 课件制作人：谢希仁 2. PEM(Privacy Enhanced Mail) PEM 是因特网的邮件加密建议标准，由四个 RFC 文档来描述： (1) RFC 1421：报文加密与鉴别过程 (2) RFC 1422：基于证书的密钥管理 (3) RFC 1423：PEM 的算法、工作方式和 标识符 (4) RFC 1424：密钥证书和相关的服务 课件制作人：谢希仁 PEM 的主要特点 PEM 的功能和 PGP 的差不多，都是对基于 RFC 822 的电子邮件进行加密和鉴别。 PEM 有比 PGP 更加完善的密钥管理机制。由认证中心发布证书，上面有用户姓名、公钥