Ch11 网络安全协议

第11章网络安全协议主要内容11.1网络安全属性与结构11.2网络层的安全（IPSec）11.3传输层安全协议（SSL）11.4应用层安全协议（PGP）11.1

网络安全属性与结构11.1.1

网络安全及其属性三个基本属性机密性 完整性 可用性

11.1.2网络安全层次结构网络安全层次结构图：11.2网络层的安全IPSecIP通信的安全协议(IPSecurity)，即IPSec产生于IPv6的制定之中，用于提供IP层的安全性提供了IP层的安全性就相当于为整个网络提供了安全通信的基础11.2.1IPSec基本工作原理IPSec的工作原理示意图11.2网络层的安全IPSec传输方式

IPSec的工作方式11.2网络层的安全IPSec

隧道方式应用ESP：原始IP包头加密真正的源、目的IP地址是隐藏的新IP头中指定的源、目的IP地址一般是源、目的安全网关的地址

11.2网络层的安全IPSec

11.2.2IPSec的实现与操作系统(OS)集成实施BITS方式（Bump-in-the-stack）BITW方式（Bump-in-the-wire）11.2网络层的安全IPSec1.IPSec的体系结构11.2网络层的安全IPSec2.安全联盟SA(SecurityAssociation)IPSec的基础决定通信中采用的IPSec安全协议、散列方式、加密算法和密钥等安全参数通常用一个三元组（安全参数索引、目的IP地址、安全协议）唯一表示SA总是成对出现，对等存在于通信实体的两端，是通信双方协商的结果

11.2网络层的安全IPSec3.认证头AH(AuthenticationHeader)4.封装安全载荷ESP5.密钥交换IKE6.加密和认证算法11.2网络层的安全IPSec11.3传输层安全协议SSL

SSL（SecuritySocketLayer）是Netscape公司开发的网络安全协议 主要目的就是为网络通信应用进程间提供一个安全通道。

11.3.1SSL主要特性连接是安全的，在初始化握手结束后，SSL使用加密方法来协商一个秘密的密钥，数据加密使用对称密钥技术（如DES,RC4等）。可以通过非对称（公钥）加密技术（如RSA,DSA等）认证对方的身份。连接是可靠的。

11.3传输层安全协议SSL

11.3.2SSL结构模型

SSL协议的核心

1.SSL记录层协议

标明上层协议类型

标明当前使用的SSL协议版本

封装数据的长度

根据加密要求填充长度

加密的上层数据

需要加密

11.3.2SSL结构模型2．SSL握手协议11.3.2SSL结构模型3．改变加密约定协议4．警报协议11.3.2SSL结构模型11.3.3在服务器上配置SSL

生成证书申请

选择Web站点提交证书申请

11.3传输层安全协议SSL

如何在服务器上配置SSL

颁发证书在Web服务器上安装证书将资源配置为要求SSL访问

11.4应用层安全协议PGP可以对邮件进行加密以防止非授权者访问通过RSA算法实现数字签名防否认不需要任何保密的渠道用来传递密钥可以加密文件可以代替UUencode生成RADIX64格式的编码文件11.4.1PGP的工作原理

采用ZIP压缩算法对邮件数据进行压缩采用IDEA对压缩后的数据进行加密采用MD5Hash

函数对邮件数据进行散列处理采用RSA对邮件数据的Hash值进行数据签名采用支持公钥证书的密钥管理

采用先签名后加密的数字签名方案11.4应用层安全协议PGP11.4.1PGP的工作原理PGP的发送过程11.4应用层安全协议PGPRSA算法：

1）随机地选择两个大素数，最好选用长度在100—200位之间的素数，两个素数的长度要相等。将这两个素数用p和q表示。

2）计算n=pq，将n公开

3）计算&(n)=(p-1)(q-1)，对&(n)保密；

4）随机的选取一个正整数e，1<e<&(n)且（e,&(n)）=1,将e公开；

5）根据ed=1mod&(n),求出d，并对d保密；

6）加密运算：C=Memodn7）加密运算：M=Cdmodn

由以上算法可知，RSA密码的公开加密密钥Ke=<n,e>，而保密的解密密钥Kd=<p,q,d,&(n)>。11.4应用层安全协议PGP11.4.2PGP的密钥管理

关键的随机数（如RSA密钥）的产生是从用户瞧键盘的时间间隔上取得随机数种子的。对于磁盘上的randseed.bin文件采用和邮件同样强度的加密，可以防止他人从randseed.bin文件中分析出加密实际密钥的规律。

11.4应用层安全协议PGP11.4.3PGP的使用1．安装过程如果选择安装的选件是“PGPnetVirtualPrivateNetworking”虚拟网，再选择相应的Plugin，如“PGPMicrosoftOutlookExpressPlugin”，就可以在OutlookExpress中直接用PGP加密邮件。11.4应用层安全协议PGP2．生成密钥