计算机网络安全培训课件(PPT 118页).pptVIP

* PEM提供以下四种安全服务 数据隐蔽: 使数据免遭非授权的泄露,防止有人半路截取和窃听。 数据完整性: 提供通信期间数据的完整性可用于侦查和防止数据的伪造和篡改。 对发送方的鉴别: 用来证明发送方的身份防止有人冒名顶替。 防发送方否认: 结合上述功能,防止发送方事后不承认发送过此文件。 PEM目前尚未提供存取控制和防接收方否认等 安全功能。 * PEM 的主要特点 PEM 的功能和 PGP 的差不多，都是对基于 RFC 822 的电子邮件进行加密和鉴别。 PEM 有比 PGP 更加完善的密钥管理机制。由认证中心发布证书，上面有用户姓名、公钥以及密钥的使用期限。每个证书有一个唯一的序号。证书还包括用认证中心秘钥签了名的 MD5 散列函数。 * 7.3 数字签名 7.4 鉴别 7.5 密钥分配 7.6 因特网使用的安全协议 7.7 链路加密与端到端加密 7.8 防火墙 7.2 两类密码体制 * 7.7 链路加密与端到端加密 7.7.1 链路加密 7.7.2 端到端加密 * 链路加密是指每条通信链路上的加密是独立实现的，每条链路使用不同的加密密钥。在两个网络节点间的某一次通信链路，能为网上传输的数据提供安全保证。所有消息在被传输之前进行加密，每个节点对接收到的消息解密，然后再使用下一个链路的密钥加密消息再传输。在到达目的地之前，一条消息可能要经过许多通信链路。 D1 E2 明文 X 结点 1 D2 E3 明文 X 结点 2 Dn 明文 X 用户 B E1 明文 X 用户 A E1(X) 链路 1 E2(X) 链路 2 En(X) 链路 n E3(X) 密文 密文 密文 密文 相邻结点之间具有相同的密钥，因而密钥管理易于实现。链路加密对用户来说是透明的，因为加密的功能是由通信子网提供的。 7.7.1 链路加密 * 7.5.1 对称密钥的分配 7.5.2 公钥的分配 7.5 密钥分配 * 7.5.1 对称密钥的分配 1. 对称密钥的分配 例：如果A 需要与N个人交换秘密信息，A就要有N个不同的密钥。 在对大的信息进行加密时，对称密钥密码比非对称密钥密码更为有效。不过对称密钥密码在两个机构之间需要有一个共享密钥。 如果我们要A和B在双向通信中用两个密钥，那总共要用N(N?-1)个密钥； 如果允许在两个方向上用一个密钥，那就只需要N(N?-1)/2个密钥。这就表明如果有一百万人相互之间要通信的话，每个人几乎要有一百万把不同的密钥，总共要有一万亿把密钥。因为N个实体需要密钥的数量是N2，通常这就被称为N2问题。 如果N个人相互之间都需要通信，那又会怎么样呢？ * 问题不仅仅是密钥的数量，还有一个问题就是密钥的分配。 如果A和B要通信，他们就要有一个交换密钥的方法。 密钥分配中心：KDC 实际的解决方法就是运用一个可信的第三方，称为密钥分配中心(KDC)。为了减少密钥的数量，每人要与KDC建立一个共享密钥， 如果A要和一百万人通信，她怎样才能和一百万人交换一百万把密钥呢？ 运用因特网肯定不是一种安全的方法。显然，我们需要有一种有效的方法来维持和分配密钥。 * KDC为每个成员创建一个密钥，这个密钥只能用于成员和KDC之间，不能在成员之间使用。 A B 密钥 分配中心 KDC A, B, KAB KB ? … … 用户专用主密钥 用户 主密钥 A KA B KB A, B, KAB KAB KB ? KA , 时间 ? A, B 对称密钥的分配 注意：两个机构之间的会话对称密钥只使用一次。 用户A向密钥分配中心KDC发送A，B，表明想和用户B通信，其中A和B是在KDC中注册的身份。 KDC用随机数产生“一次一密”的会话密钥 供A和B的这次会话使用，然后向A发送应答报文。这个应答报文用A的主密钥 加密。这个报文中包含有这次会话使用的密钥 和A要向B出示的一个票据（ticket），其中这个票据包含A和B在KDC中注册的身份，以及这次会话要使用的密钥 。由于这个票据是用B的主密钥 加密的，因此A无法知道此票据的内容（因为A没有B的主密钥 ）。 当B收到A传来的票据并使用自己的主密钥 解密后，就知道A要和他通信，同时也知道了KDC为这次和A通信所分配的会话密钥 。 A和B就可以使用会话密钥 进行这次通信了。 ? ? ? * 2. KERBEROS Kerberos是一个验证协议，同时也是一个KDC，现在它的应用非常普及。有几