被动攻击和主动攻击在被动攻击中.pptVIP

7.6 因特网使用的安全协议 (2)安全电子交易 SET (Secure Electronic Transaction) 安全电子交易 SET 是专为在因特网上进行安全支付卡交易的协议。 SET 的主要特点 (1) SET 是专为与支付有关的报文进行加密的。 (2) SET 协议涉及到三方，即顾客、商家和商业银行。所有在这三方之间交互的敏感信息都被加密。 (3) SET 要求这三方都有证书。在 SET 交易中，商家看不见顾客传送给商业银行的信用卡号码。 计算机工程学院 伍俊明 7.6 因特网使用的安全协议 7.6.3 应用层的安全协议 (1)PGP (Pretty Good Privacy) PGP 是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。 PGP 并没有使用什么新的概念，它只是将现有的一些算法如 MD5，RSA，以及 IDEA 等综合在一起而已。 虽然 PGP 已被广泛使用，但 PGP 并不是因特网的正式标准。 计算机工程学院 伍俊明 7.6 因特网使用的安全协议 (2)PEM(Privacy Enhanced Mail) PEM 是因特网的邮件加密建议标准，由四个 RFC 文档来描述： RFC 1421：报文加密与鉴别过程 RFC 1422：基于证书的密钥管理 RFC 1423：PEM 的算法、工作方式和 标识符 RFC 1424：密钥证书和相关的服务 PEM 的主要特点 对基于 RFC 822 的电子邮件进行加密和鉴别。 完善的密钥管理机制:由认证中心发布证书，上面有用户姓名、公钥以及密钥的使用期限，证书序号唯一。 计算机工程学院 伍俊明 计算机工程学院 伍俊明 7.7 链路加密与端到端加密7.7.1 链路加密 在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。 D1 E2 明文 X 结点 1 D2 E3 明文 X 结点 2 Dn 明文 X 用户 B E1 明文 X 用户 A E1(X) 链路 1 E2(X) 链路 2 En(X) 链路 n E3(X) 密文 密文 密文 密文 相邻结点之间具有相同的密钥，因而密钥管理易于实现。链路加密对用户来说是透明的，因为加密的功能是由通信子网提供的。 计算机工程学院 伍俊明 链路加密 由于报文是以明文形式在各结点内加密的，所以结点本身必须是安全的。 所有的中间结点(包括可能经过的路由器)未必都是安全的。因此必须采取有效措施。 链路加密的最大缺点是在中间结点暴露了信息的内容。 在网络互连的情况下，仅采用链路加密是不能实现通信安全的。 计算机工程学院 伍俊明 7.7.2 端到端加密 端到端加密是在源结点和目的结点中对传送的 PDU 进行加密和解密，报文的安全性不会因中间结点的不可靠而受到影响。 结点 1 结点 2 DK 明文 X 结点 n EK 明文 X 结点 0 EK(X) 链路 1 EK(X) 链路 2 EK(X) 链路 n 端到端链路传送的都是密文 在端到端加密的情况下，PDU 的控制信息部分(如源结点地址、目的结点地址、路由信息等)不能被加密，否则中间结点就不能正确选择路由。 计算机工程学院 伍俊明 7.8 防火墙(firewall) 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。 防火墙内的网络称为“可信赖的网络”(trusted network)，而将外部的因特网称为“不可信赖的网络”(untrusted network)。 防火墙可用来解决内联网和外联网的安全问题。 计算机工程学院 伍俊明 防火墙在互连网络中的位置 G 内联网 可信赖的网络 不可信赖的网络 分组过滤 路由器 R 分组过滤 路由器 R 应用网关 外局域网 内局域网 防火墙 因特网 计算机工程学院 伍俊明 防火墙的功能 防火墙的功能有两个：阻止和允许。 “阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。 “允许”的功能与“阻止”恰好相反。 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。 计算机工程学院 伍俊明 防火墙技术一般分为两类 (1) 网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。 (2) 应用级防火墙——从应用程序来进行接入控制。通常使用