原创力文档* 7.2.4 PGP---应用层 优秀密钥协议PGP(Pretty Good Privacy)是由MIT的P.R.Zimmerrmann提出的,主要用于为电子邮件提供保密性、完整性和认证服务。 PGP提供5方面的功能:数字签名、消息加密、数据压缩、E-mail兼容性和分段重组功能,如表7-1所示。 * 表7-1 PGP的功能 * 图7-19 PGP的工作流程 PGP的工作流程是: 首先进行数字签名,其次是压缩、加密、数字信封,最后是64进制编码和分段,如图7-19所示。 接收方则需要以相反的顺序执行以上6个步骤。 * PGP的工作流程: (1)数字签名 PGP使用SHA-1算法生成电子邮件信息的消息摘要,然后将生成的消息摘要用发送方的私钥形成自己的数字签名。 (2)压缩 压缩的输入是电子邮件信息和数字签名,以便减少要传输的最终消息的长度,为此使用了著名的ZIP程序。 * (3)加密 用对称密钥(会话钥)对压缩的输出(即压缩的电子邮件信息和数字签名)加密。 (4)数字信封 使用接收方的公钥对第3步中的会话钥进行加密。第3步与第4步的输出形成数字信封。 (5)64进制编码 将第4步的输出转换成Radix64格式。 (6)分段 对第5步的结果分段,使每一段的大小与电子邮件协议所允许的大小相符。 * 1、PGP消息认证 PGP的认证过程如图7-20(a)所示。 (1)发送者A产生消息M,用SHA-1对M生成一个160位的散列值H,再用发送者的私钥KRA进行数字签名,并于M连接,经Z压缩后发给接收者。 (2)接收者解压缩后,用发送者的公钥KUA验证A的签名,认证A的身份并恢复散列值H。然后对消息M生成一个新的散列值与恢复的H进行比较。如果一致,则认证消息M未被篡改。 * 图7-20(a) PGP的认证过程 * 2、PGP消息加密 PGP提供的另一个基本服务是保密服务,可以加密传输的邮件或本地的存储文件,如图7-20(b)所示。 (1)发送者生成消息M,并为该消息生成一个128位的随机数KS作为会话钥。使用会话钥对消息M进行加密,用接收者的公钥KUB对会话钥进行加密(添加数字信封),然后将M的密文和会话钥的密文连接起来传送给接收者。 (2)接收者用自己的私钥KRB解密得到会话钥(去掉数字信封)。然后用会话钥解密得到消息M。 * 图7-20(b) PGP的加密过程 * 3、PGP认证与保密 PGP可以同时提供保密与认证服务。当加密和认证这两种服务都需要时,发送者先用自己的私钥签名,然后用会话密钥加密,再用接收者的公钥加密会话密钥(添加数字信封),如图7-20(c)所示。 * 图7-20(c) PGP的认证和加密过程 * 4、数据压缩 PGP对报文进行压缩,这有利于在电子邮件传输和文件存储时节省空间。但压缩应放在签名之后加密之前进行。在压缩之后再对报文加密还可以加强加密的强度。 5、电子邮件的兼容性 多数电子邮件系统只允许使用ASCII文本。而在使用PGP时,部分或全部报文被加密的结果是一个由任意的8位二进制流组成。为此PGP使用Radix64进行转换,每三个字节的二进制数据为一组映射成四个ASCII字符。这种格式附加了CRC校验来检测传输错误。 * 6、分段与重组 电子邮件系统经常受限于最大的报文长度,例如最大50kb的限制。任何长度超过这个数值的报文都必须划分成更小的报文段,每个段单独发送。PGP可以自动将太长的报文划分成可以使用电子邮件发送的足够小的报文段。在接收端,PGP将各段自动重新装配成完整的原来的报文。 7、PGP密钥管理 PGP具有良好的密钥管理功能。PGP包含四种密钥: 一次性会话密钥KS 公开密钥KU 私有密钥KR 基于口令短语的常规密钥 * 7.3 防火墙技术
7.3.1 防火墙基本概念 防火墙是一种位于两个或多个网络间,实施网络之间控制和安全策略的系统。简单地讲,防火墙是在内部网和外部网之间设置的一种过滤器或限制器,是一种安全有效的防范技术。防火墙系统应具有以下基本特性: 内部网和外部网之间的所有数据传输都必须经过防火墙; 只有符合安全策略的数据才可以通过防火墙; 防火墙本身应具有非常强的抗攻击能力。 * 图7-9隧道模式 在隧道模式中,流是从网络层到IPSec层,再返回到网络层。 隧道模式既可用于主机和路由器之间,也可用于路由器和路由器之间的安全保护。 * 4、AH协议 AH协议定义了认证的方法,它规定了AH头在AH实现中应插入的位置、AH头的语法格式、各字段的语义及取值方式,以及实施AH时进入和输出分组/包的处理过程。 (1)AH的工作原理 网络认证协议AH是用来认证源主机,
文档评论(0)