计算机网络安全与管理：第九讲 安全应用及协议（上）.pptVIP

证书认证 有几个著名的CA Verisign最广泛使用 VeriSign有不同级别的安全类型 Class Identity Checks Usage 1 name/email check web browsing/email 2 + enroll/addr check email, subs, s/w validate 3 + ID documents e-banking/service access PGP与SMIME 它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证，整个信任关系基本是树状的，这就是所谓的Tree of Trust。 S/MIME将信件内容加密签名后作为特殊的附件传送，它的证书格式采用X.509，但与一般浏览器网上使用的SSL证书有一定差异。 实验 以三到四人为一组，通过使用pgp软件完成密钥的生成，公钥的公布，利用pgp保护数据并传输，验证签名等工作。 软件不限，可以使用gnupg。（最好别用太图形化的工具） 安全域名服务DNSSEC Dns是Internet核心服务之一，提供域名到ip的转换 Dns易受到攻击 查询错误 辅助域名服务复制数据时错误 缓冲溢 拒绝服务 DNSSEC由IETF提出，增加了新的资源记录类型可以对域名数据的来源进行认证，保证完整性 资源记录(SIG,KEY,DS,NXT) 消息头部(CD,AD) DNSSEC中的新概念 认证密钥 签名密钥 安全域名服务器 安全递归域名服务器 安全域名解析器 安全stub解析器 新增资源记录（RR） DNSSEC增加了四种新的资源记录（SIG,KEY,DS,NXT)其中前三项是与公钥算法有关的 KEY记录（用于放认证签名的公钥） SIG记录存放对域名数据的数据签名 NXT记录用于保证域名数据的内部一致性 DS记录用于建立认证链的指针 DNSSEC中的认证 AD（认证数据）位说明dns应答包中的所有数据都被服务器按照自己的策略认证过 CD（禁止检查）位表明待认证数据对于解析器的查询来说是可以接受的 认证链 SSH telnet和ftp协议中存在不少安全问题 明文传输，口令泄露等 Ssh是用来进行安全远程登录和文件传输的软件，由厂商提出，被IETF采用有SSH1和SSH2两个版本 为用户提供强认证及数据加密等功能，取代传统的telnet，rlogin，rsh等。Ssh2中还增加了sftp，此外，还支持安全X连接，并安全转发任意TCP连接 基本架构 传输层协议（The Transport Layer Protocol）：传输层协议提供服务器认证，数据机密性，信息完整性等的支持。 用户认证协议（The User Authentication Protocol）：用户认证协议为服务器提供客户端的身份鉴别。 连接协议（The Connection Protocol）：连接协议将加密的信息隧道复用成若干个逻辑通道，提供给更高层的应用协议使用。 同时还有为许多高层的网络安全应用协议提供扩展的支持。 传输协议 运行于TCP/IP之上，对传输的数据进行加密、服务器认证及完整性保护。 协议包包括 长度：不包括MAC的长度及包长度自身 填充数据，任意单大于4且为加密数据块长度倍数 负载 MAC 认证协议 包括主机认证和用户认证 主机认证 可使用UNIX中文件 信任模型 基于共享密钥 给予证书 用户认证 可实际与主机的也可是基于用户名的 连接协议 运行于前两协议之上 方式 发送消息 应答 成功后所有通信都是加密的 * 新的版本支持DSS签名，并允许将签名与消息分别存储与发送 * 公开密钥环的每个实体都是一个公开的密钥证书。与每个这亲的实体相联系的是密钥合法性字段，用来指示PGP信任“这是这个用户合法的公开密钥”的程度；信任程度越高，这个用户ID与这个密钥的绑定越紧密。这个字段由PGP计算。与每个实体相联系的还有用户收集的多个签名。反过来，每个签名都带有签名信任字段，用来指示该PGP用户信任签名者对这个公开密钥证明的程度。密钥合法性字段是从这个实体的一组签名信任字节中推导出来的。最后，每个实体定义了与特定的拥有者相联系的公开密钥，包括拥有者信任字段，用来指示这个公开密钥对其他公开密钥证书进行签名的信任程度（这个信任程度是由该用户指定的）。可以把签名信任字段看成是来自于其他实体的拥有者信任字段的副本。 网络信息安全第九讲 安全应用及协议（上） 本讲内容 IPsec SSL/TSL 安全电子邮件协议 SSH SET 概述 现有的各种网络协议是通过不同的协议实现的：（如SMTP，TELNET，FTP，HTTP等）。 要实现网络安全应用，相应的协议除了要具有正常