应用层安全协议.ppt

第五部分 应用层安全通信协议,内 容 提 要,电子邮件安全协议 电子商务安全协议 网络管理安全体系 Web服务安全协议,郑州轻工业学院计算机与通信,第六章电子邮件安全威胁与协议,电子邮件的威胁 邮件炸弹 邮件欺骗 邮件服务器控制权 电子邮件安全协议 PEM （Privacy Enhanced Email，RFC 1421 through 1424） S/MIME PGP（Pretty Good Privacy）,电子邮件系统主要涉及的协议如下： SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）（RFC821） POP3（Post Office Protocol Version 3，邮局协议版本3）（RFC1939） IMAP4（Internet Message Access Protocol Version 4，Internet消息访问协议版本4）（RFC2060） RFC822（Format of Electronic Mail Messages） MIME（Multipurpose Internet Mail Extensions，多用途Internet邮件扩展协议）(RFC 2045) HTTP（Hypertext Transfer Protocol，超文本传输协议）（RFC2616） HTML（Hypertext Markup Language超文本标识语言）（RFC1866）,电子邮件安全安全需求,郑州轻工业学院计算机与通信,机密性：只有接收者才能阅读 报文的加密：关键是密钥的分发 收发双方如何共享密钥？ 认证：发送者的身份认证 基于公钥技术，发送者私钥对报文摘要进行加密，即数字签名 基于共享密钥：事先发送者与接收者共享一个密钥，采用消息认证码（MAC）对报文进行认证 完整性：报文未被修改 报文的完整性与身份认证的方法类似，通常可在一起进行 抗否认性：发信者的不可抵赖性，可供第三方鉴别 基于公钥技术，采用发送者的私钥签名,发送者生成一个密钥，采用对称密码算法加密报文，即SM 再用接收方的公钥加密密钥S，并与加密的报文同时发送。 假设接收者有A、B、C三人，就分别生成三个加密密钥KAS，KBS，KCS。,郑州轻工业学院计算机与通信,电子邮件安全PEM概述,PEM（Privacy Enhanced Mail）协议是80年代末90年代初发展起来的，它的功能主要包括加密、源认证和完整性，RFC1421-1424 与此同时，出台了传输多种媒体格式的EMAIL标准：MIME，S/MIME（RFC2633）采用了PEM的许多设计原理在MIME的基础上进行了扩展 PEM是在因特网电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能，允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。 对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。,郑州轻工业学院计算机与通信,电子邮件安全PEM构成,PEM将邮件报文分成几部分，有的需要加密，有的则需要认证，这些需要特殊处理的报文通过语句标记。 例如在需要加密的报文段前插入 BEGIN PRIVACY-ENHANCED MESSAGE 在需要加密的报文后插入 END PRIVACY-ENHANCED MESSAGE 报文加密采用DES算法 认证采用MD-5 密钥的分发 基于公钥技术，用接收者的公钥加密会话密钥，并在RFC 1422中定义了证书体系。 基于对称密码时，采用事先共享的密钥加密会话密钥。,郑州轻工业学院计算机与通信,电子邮件安全PEM过程,电子邮件基本原理,电子邮件的传输机制 基本协议及其标准 MINE,传输机制,1982年制定了简单电子邮件传输协议SMTP,成为事实上的标准，1984年，CCITT制定了报文处理系统MHS标准及其MOTIF标准，1988年，X.400定义了一个功能强大的电子邮件标准，但是过于复杂，没有推广使用。 SMPT只能传输可打印的ASCII码邮件，1992年制定了新的电子邮件标准-MIME.,邮政系统,读信,拆封,封装,写信,投入信箱,宿邮局接收,源邮局发送,投入邮筒,发信者,收信者,中转,用户,邮政传递系统,message,envelope (address),addressing routing,collecting,delivering,阅读,拆封,封装,编辑,投入邮箱,宿主机接收,源主机发送,邮件缓存,发送方,接收方,中转,用户,邮件传输系统,电子邮件系统,Mail program,message,envelope (address),collecting,addressing routing,delivering,用户接口（用户代理user agent）：在本地运行，具有友好的界面来发送和接收电子邮件，具有撰写、显示、处理邮件的功能。 邮件传输程序在后台运行，完成将邮件发送和接收功能，邮件传输程序也成为报文传输代理（message transfer agent）-MAT. 电子邮件传输过程中经过多个结点，每个结点都要安装MTA，进行邮件的存储转发。 MAT的集合构成了报文传输系统（MTS）,基本协议及其标准(一) -SNMP,SMTP协议是最早出现的，也是被普遍使用的最基本的Internet邮件服务协议。协议规定了客户与服务器MTA之间双向通信的规则和信封信息的传递。是两个MTA之间的通信协议。 SMTP工作在两种情况下：一是电子邮件从客户机传输到服务器；二是从某一个服务器传输到另一个服务器。 最初，使用SMTP服务不需要额外的身份验证。但随着垃圾邮件越来越多，现在的SMTP服务向接收邮件的POP服务看齐了，同样需要身份验证，这在一定程度上避免了垃圾邮件。 SMTP使用众所周知的TCP端口25，是个请求/响应协议，命令和响应都是基于ASCII文本，并以CR和LF（回车换行）结束。 规定了14条命令和21中应答信息。每个命令有4个字母组成。,SMTP通信的三个阶段,建立连接：发送方将要发送的电子邮件送到邮件缓冲区，SMTP客户每隔一定时间岁缓冲区进行扫描，如果发现有邮件，通过25号端口与目的主机的SMTP服务器建立TCP连接，SMTP服务器发出“220 service ready”消息，客户机法搜刮“hello”响应，并附上主机名。如果准备好，SMTP回答“250 ok”。 邮件传输：执行mail命令，发送方发出RCPT命令，接受方对于每个命令都要发送“250ok”确认。最后通过DATA命令发送内容。 连接释放：发送完毕，SMTP客户发送quit命令，接受方回应221，关闭连接。,基本协议及其标准(二) -文本电子邮件标准,电子邮件由三部分组成： 信封（envelope）是MTA用来交付的信息，如： MAIL FROM: RCPT TO: 信头（首部）由用户代理使用。如： Received、Message-Id、From、Data、Reply-To、X-Mailer、To、Subject等等。每个首部字段都包含一个名称，紧跟一个冒号，接着是字段值。RFC822指明了首部字段的解释，其中以X-开始的首部字段是用户定义的字段。长首部字段，如Received，被折在几行中，以空格开头。 信体 是用户想要传送的报文和数据。,POP3,与SMTP协议相同，POP3也是个请求/响应协议。其命令由短关键字构成，后面接着可选的参数，以CR和LF符结束，作为单行文本发送。例如： USER name 给出用户信箱名称。 PASS password 给出用户信箱口令。 STAT 请求服务器返回消息数和大小。 RETR msgnum 请求服务器发送指定的报文。 DELE msgnum 请求服务器删除指定的报文。 QUIT 结束会话。,IMAP4协议,IMAP（Internet Message Access Protocol）是一种强有力的邮箱访问方式，它为用户提供了有选择地从邮件服务器接收邮件的功能、基于服务器的信息处理功能和共享信箱功能。,与POP3的比较： POP3提供了快捷的邮件下载服务，用户可以把邮箱里的信下载到PC上进行离线阅读，并可以选择将邮件从服务器上删除。用户在任何时候都可阅读已经下载的邮件。 IMAP同样提供了方便的邮件下载服务，让用户能进行离线阅读，但远远不只这些。IMAP提供的摘要浏览功能可以让用户在阅读完所有的邮件到达时间、主题、发件人、大小等信息后作出是否下载邮件的决定。配合IMAP客户端软件的支持，用户还可以有选择的下载附件。举例来说，假如一封邮件里含有大大小小共5个附件，而其中只有2个附件是你需要的，你就可以只下载那两个附件，节省了下载其余3个的时间。,电子邮件的传输机制,发送者UA创建一个电子邮件，-经过本地的MTA发送，-再经过MTS传输至接受者的MTA进行接收，-并使用接受者的UA显示报文。,郑州轻工业学院计算机与通信,PEM密钥管理与存在问题,MIME,MIME的英文全称是“Multipurpose Internet Mail Extensions” 多功能Internet 邮件扩充服务，它是一种多用途网际邮件扩充协议，在1992年最早应用于电子邮件系统，但后来也应用到浏览器。服务器会将它们发送的多媒体数据的类型告诉浏览器，而通知手段就是说明该多媒体数据的MIME类型，从而让浏览器知道接收到的信息哪些是MP3文件，哪些是Shockwave文件等等。服务器将MIME标志符放入传送的数据中来告诉浏览器使用哪种插件读取相关文件。 MIME类型就是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。,SMTP的缺点,不能传输可执行文件或者二进制文件。 限于传输7位的SACII码，其他语言文字无法传输。 服务器拒绝超过一定长度的邮件。 没有完全按照RFC821的SMTP标准，存在一些问题：回车、换行的删除和增加；后面多余空格的删除；超过76个字符时的处理：截断或自动换行。,郑州轻工业学院计算机与通信,电子邮件安全PGP协议,Email安全加密系统 PGP提供的安全业务： 加密：发信人产生一次性会话密钥，以IDEA、3-DES或CAST-128算法加密报文，采用RSA或D-H算法用收信人的公钥加密会话密钥，并和消息一起送出。 认证：用SHA对报文杂凑，并以发信人的私钥签字，签名算法采用RSA或DSS 。 压缩：ZIP，用于消息的传送或存储。在压缩前签字，压缩后加密。 兼容性：采用Radix-64可将加密的报文转换成ASCII字符 数据分段：PGP具有分段和组装功能,郑州轻工业学院计算机与通信,一个PGP故事,郑州轻工业学院计算机与通信,PGP协议机密性与认证,机密性： 发送端产生随机的128位数字作为会话密钥 对称算法加密报文 接收端公钥加密会话密钥 认证 采用SHA-1产生160位HASH值 用发送者的私钥对HASH值签名 报文只需要认证服务或加密服务，当同时需要认证和加密服务时 采用先签名，后加密顺序（与IPSEC ESP中的先加密，后MAC相反） 通常将明文与签名一起保存比较方便 验证时，不需要涉及会话密钥,郑州轻工业学院计算机与通信,27,压缩,HASH,加密,A的公钥,A的私钥,解密,对称密码加密,郑州轻工业学院计算机与通信,PGP协议压缩,PGP 的压缩过程在报文的签名和加密之间，即先对报文签名，然后压缩，再是加密 签名后再压缩是为了保存未压缩的报文和签名 压缩后加密是为了提高密码的安全性，因为压缩后的报文具有更少的冗余，所以密码分析会更困难，另外加密的报文也更短 压缩算法采用ZIP,郑州轻工业学院计算机与通信,E-Mail兼容性,在多数的邮件系统中是以ASCII字符形式传输，加密后的任意8比特报文可能不符合ASCII字符特点。 采用基64转换方式 (see appendix 5B). 基64转换方式 的采用将原报文扩展了33%.,郑州轻工业学院计算机与通信,分段与重组,通常邮件的最大报文的长度限制在50,000 octets. 超过标准长度的报文必须分段. PGP 自动对过长的报文分段. 接收端再将其重组.,郑州轻工业学院计算机与通信,PGP服务摘要,郑州轻工业学院计算机与通信,PGP发送与接收,郑州轻工业学院计算机与通信,PGP发送解释,郑州轻工业学院计算机与通信,PGP加密密钥,PGP使用四种类型的密钥：一次性会话对称密钥，公钥，私钥，基于过度阶段的传统密钥 需求 需要一种生成不可预测的会话密钥 需要某种手段来标识具体的密钥（一个用户可拥有多个公钥/私钥对，以便随时更换） 每个PGP实体需要维护一个保存其公钥/私钥对的文件和一个保存通信对方公钥的文件,郑州轻工业学院计算机与通信,PGP密钥标识符（Key ID）,一个用户有多个公钥/私钥对时，接收者如何知道发送者是用了哪个公钥来加密会话密钥 将公钥与消息一起传送 将一个标识符与一个公钥关联，对一个用户来说做到一一对应 定义KeyID 包括64个有效位，(KUa mod 264),郑州轻工业学院计算机与通信,PGP密钥环,KeyID在PGP中标识所使用的发送者和接收者的密钥号 两个keyID包含在任何PGP消息中提供保密与认证功能 需要一种系统化的方法存储和组织这些key以保证使用 PGP在每一个节点上提供一对数据结构 存储该节点拥有的公钥/私钥对私钥环 存储本节点知道的其他用户的公钥环,郑州轻工业学院计算机与通信,PGP密钥环通用结构,密钥对产生时间,加了密的私钥,如用户邮件地址,郑州轻工业学院计算机与通信,PGP私钥环说明,UserID：通常是用户的邮件地址。也可以是一个名字，或重用一个名字多次。 Private Key：用CAST-128(或IDEA或3DES)加密过程： 用户选择一个口令用于加密私钥； 当系统用RSA生成一个新的公钥/私钥对时，要求用户输入口令。对该口令使用SHA-1生成一个160位的散列码后，销毁该口令。 系统用其中128位作为密钥用CAST-128加密私钥，然后销毁这个散列码，并将加密后的私钥存储到私钥环中。 当用户要访问私钥环中的私钥时，必须提供口令。PGP将检索出加密的私钥，生成散列码，解密私钥。,PGP公钥环说明,UserID：公钥的拥有者。 多个UserID可以对应一个公钥。 公钥环可以用UserID或KeyID索引。,郑州轻工业学院计算机与通信,PGP消息格式,郑州轻工业学院计算机与通信,PGP消息格式,郑州轻工业学院计算机与通信,PGP消息生成,郑州轻工业学院计算机与通信,PGP消息接收,郑州轻工业学院计算机与通信,PGP公钥管理问题,由于PGP重在广泛地在正式或非正式环境下应用，没有建立严格的公钥管理模式。 如果A的公钥环上有一个从BBS上获得B发布的公钥，但已被C替换，这是就存在两条通道。C可以向A发信并冒充B的签名，A以为是来自B；A与B的任何加密消息C都可以读取。 为了防止A的公钥环上包含错误的公钥，有若干种方法可用于降低这种风险。,郑州轻工业学院计算机与通信,PGP公钥管理,PGP虽然采用公钥密码体系，但不是证书 保护公钥免受攻击是PGP的一个问题 采用信任关系（直接信任/第三方）保护公钥 完全信任+部分信任+不可信,郑州轻工业学院计算机与通信,PGP公钥获取,物理上得到B的公钥。 通过电话验证公钥。 从双方都信任的个体D处获得B的公钥。 从一个信任的CA中心得到B的公钥（B的数字证书）。,郑州轻工业学院计算机与通信,PGP公钥证书,郑州轻工业学院计算机与通信,PGP信任模型,在PGP中使用Meta-introducer和trusted introducers,与X.509环境中的Root CA和Certification Authorities相对应 采用 Web of Trust 模型，由用户自己决定信任关系。 基于从旁观者角度和信息越多越好的思想，是一种累计的信任模型 可以是直接信任， 可以是某种形式的信任链 也可以通过多个介绍者,郑州轻工业学院计算机与通信,PGP Web信任模型,是通过定在公钥环中的三个域来实现的： 1.密钥合法字段（key_legitimacy）用来指示 PGP 信任“ 这是这个用户合法的公开密钥”的程度；信任程度越高，这个用户 ID 与这个密钥的绑定越紧密 2.拥有者信任字段(owner_trust) 用来指示这个公开钥对其他公开密钥证书进行签名的可信任程度，这个信任程度是由该公钥环的拥有者指派的。 3.签名信任字段（signature_trust）用来指示该 PGP 公钥环拥有者信任签名者对这个公开密钥信任的程度。签名信任字段是拥有者信任字段的一个备份。,郑州轻工业学院计算机与通信,PGP 信任关系处理,1、当A向公钥环中插入一个新公钥时，建立一个新条目，PGP必须向owner_trust字段赋值，该标志与该公钥的拥有者相关。如果其拥有者是A，则该值为最高信任(ultimate trust)。否则，PGP询问用户，让用户给出信任级别。用户可选：该公钥的拥有者是不认识(unknown)、不信任(untrusted)、接近信任(marginally trusted)或完全信任(complete trusted)。 2、当新公钥加入时，可能有一个或多个签名跟随其后。许多签名可以以后再加入。当一个签名插入到一个条目中时，PGP查找该公钥环中是否已存在该签名的公钥的拥有者。如果存在，则这个拥有者的owner_trust字段值拷贝到该插入公钥条目的signature_trust字段。否则，赋予unknown user 值。 3、key_legitimacy 字段的值基于该条目中signature_trust 字段来计算。如果至少一个签名有一个签名信任值为ultimate，则key_legitimacy 字段的值设为complete。否则，PGP计算一个信任值的加权和。,郑州轻工业学院计算机与通信,PGP 公钥注销,密钥暴露或定时更新导致需要公钥注销功能 通常的注销方法是由拥有者签发一个密钥注销证书。这个证书具有与通常签名证书相同的形式，但包含一个指示符表明这个证书是要作废该公钥的使用。注意到必须使用所对应的私钥来签名一个密钥注销证书，其拥有者应尽可能越广越快散布这个证书，以使得潜在的有关人员更新他们的公钥环。 注意：攻击者也可以发出这个证书，然而，这将导致他自己也无法使用该密钥。因此，这样比起恶意使用偷来的私钥来看似乎会减少漏洞。,郑州轻工业学院计算机与通信,PGP信任模型示例,郑州轻工业学院计算机与通信,PGP/MIME与OpenPGP,郑州轻工业学院计算机与通信,PGP小结,认证和加密的次序 会话密钥产生的复杂度与安全通道的粒度有关 对应用层安全来说，由于需求明确，通常采用一次一密，会话密钥的产生比较简单 对传输层安全来说，安全保护的是某个连接。（如SSL协议，虽然可用于保护所有的应用层协议，但在邮件保护中，由于邮件服务器到本地的路径是用POP/MAPI协议 ，所以需要分段SSL，较为复杂） 对于网络层安全（如IPSEC），安全通道保护的可能是某个数据流，也可能是一个端端，也可能是LAN-LAN，因此会话密钥的生成最为复杂。 对于链路层安全来说，安全保护只限于