计算机网络原理课件第7章应用层

第七章应用层信息安全的基本知识

传统加密技术

现代密码算法

鉴别协议

数字签名替换密码

恺撒密码：加密字母移3个字母，若通用化，则可移K个字母。K就是密钥。

单字母表替换法：密钥是明密文字母对应关系。变位密码

替换密码保持明文的符号顺序，只是将它们隐藏起来。

变位密码却要对明文字母作重新排序，但不隐蔽它们。

密钥是一个不含任何重复字母的单词或短语，目的是对列编号。

明文按行书写

密文按列生成一次性加密

首先选择一个随机比特串作为密钥

然后把明文转换成一个比特串（如按ASCII表示）

最后对上述2个比特串作异或运算

缺陷：1、密码无法记忆，收发双方都需携带密钥本；2、可传输数据总量受可用密钥数量的限制；3、对丢失信息或信息错序十分敏感。现代密码算法

不同的加密系统都基于两条重要原则：

1、所有的加密消息都包含有冗余信息

2、必须防止主动入侵者发回旧消息

现代密码学采用的思想：替换，变位（与古典密码学相同），可用简单电路实现，P盒用于变序，S盒用于替换。

对称密钥算法

公开密钥算法数据加密标准DES

明文按64比特块加密，生成64比特的密文。

密钥是一个56比特的串。

共做19次变换，成为19站。

除第一站和最后两站，中间16站中的每站都使用不同密钥。

P455国际数据加密算法IDEA

基本结构模仿DES，也是输入64比特的明文块，经过一系列的带参数迭代，生成64比特的加密输出块。

由于进行了充分的位运算，重复8次就够了。

密钥为128比特，用于生成52个16位的子密钥。

P461公开密钥算法

加密密钥与解密密钥不同

从加密密钥中不能推出解密密钥

RSA算法

运用方法

1、选择两个质数，p和q

2、计算n=p*q和z=(p-1)*(q-1)

3、选择一个与z互为质数的数d

4、找出e，使得e*d=1modz鉴别协议

鉴别：验证通信对象的真实身份通常采用公开密钥加密算法进行会话密钥（对称密钥）的分发，双方会话内容采用对称密钥加解密。查询－应答协议P465基于共享秘密密钥的鉴别使用密钥分发中心的鉴别使用Kerberos的鉴别使用公开密钥加密算法的鉴别

基于共享秘密密钥的鉴别

假设通信方A与B已共享一个秘密密钥KAB，这个共享密钥可以通过电话或两人直接接触商定。1AAliceBob2RB3KAB(RB)4RA5KAB(RA)使用密钥分发中心的鉴别

上一个方法使得与N个人交谈，就需要N个密钥，密钥管理由公众来做，会成为很大负担。引入一个可信赖的密钥分发中心（KDC）。每个用户与KDC共享一个单独的密钥。鉴别和会话密钥管理都通过KDC进行。最简单的KDC鉴别协议——大嘴蛙

AliceBob1A,KA(B,KS)KDC2KB(A,KS)使用Kerberos的鉴别

协议设计目的：允许工作站用户以一种安全方式访问网格资源。

除了客户工作站Alice外，Kerberos还包括三个服务器：

鉴别服务器（AS）：在登录时验证用户身份

授予许可证服务器（TGS）：发放“身份证明许可证”

服务器Bob：Alice请求的工作的实际执行者Kerberos的操作1AAS2登录KA(KS,KTGS(A,KS))AliceBob3KTGS(A,KS),B,KS(t)TGS获得许4可证KS(B,KAB),KB(A,K5)AB5KB(A,KAB),KAB(t)完成工作6KAB(t+1)使用公开密钥加密算法的鉴别

此方法假设A与B互相知道对方的公开密钥。在会话中使用秘密密钥加密法，通常比公开密钥加密法快100－1000倍。使用公开密钥加密法的最初信息交换是为了鉴别对方并建立一个秘密的共享会话密钥。

1EB(A,RA)BobAlice2EA(RA,RB,KS)3KS(RB)数字签名

数字签名方案需满足的条件：

1、接收方能够验证发送方所宣称的身份。

2、发送方以后不能否认报文是他发送的。

3、接收方自己不能伪造该报文。

采用秘密密钥的数字签名

采用公开密钥的数字签名采用秘密密钥的数字签名

设立一个众人信任的中央机构，例如BB,他知道一切：每个用户选择一个秘密密钥，并亲手把它交给BB办公室。BobAliceA,KA(A,RA,t,P)BBKB(A,RA,t,P,KBB(A,t,P))采用公开密钥的数字签名Alice的计算机传输线路Bob的计算机Alice的私有密钥Bob的公Bob的私Alice的公开密钥P开密钥EB有密钥DBPDAEADA(P)EB(DA(P))DA(P)报文摘要

上述签名方法将两种不相干的功能放到一起：鉴别和保密。

通常鉴别是必要的而保密不是。

由于加密很慢，所以希望能够发送签名的明文。

希望不加密整个报文。

报文摘要：从一段很长的明文中计算处一个固定长度的比特串的单向散列函数。应用例子——PGP

PGP是一个完整的电子邮件安全包，能够提供保密、鉴别、数字签名和压缩等功能。KM：用于IDEA的一次消息密钥KMRSABob的RSA：连接公开密钥EBEB(KM)MD5RSAP1ZipP1.ZIDEABaseP64至网络的P1已压缩ASCII文本Alice的原P和P的加密散列的连接用IDEA加密的始明文消息P1.Z和用EB加密的KM的连接域名系统DNS

所有应用协议都要使用域名系统

因特网的域名系统DNS是一个联机分布式数据库系统，并采用客户服务器方式。

DNS使大多数名字都在本地映射，仅少量映射需要在因特网上通信，使得系统是高效的。

名字到域名的映射是由若干个域名服务器程序组成的。域名服务器程序在专设的结点上运行，而人们也常把运行该程序的机器称为域名服务器。

当某一个应用进程需要将主机名映射为IP地址时，该应用进程就成为域名系统DNS的一个客户，并将待转换的域名放在DNS请求报文中，以UDP数据报方式发给本地域名服务器（使用UDP是为了减小开销）。本地的域名服务器在查找域名后，将对应的IP地址放在回答报文中返回。应用进程获得目的主机的IP地址后即可进行通信。

每一级的域名都由英文字母和数字组成（不超过63个字符，并且不区分大小写字母）。完整的域名不超过255个字符。各级域名由其上一级的域名管理机构管理，而最高的顶级域名则由因特网的有关机构管理。顶级域名nTDL:采用ISO3166的规定。如：cn表示中国，us表示美国，uk表示英国，等等。国际顶级域名iTDL：采用int。国际性的组织可在int下注册。通用顶级域名gTDL：根据[RFC1591]规定，最早的顶级域名共六个，即示非赢利性组织，edu表示教育机构，gov表示政府部门（美国专用），mil表示军事部门（美国专用）。

com表示公司企业，net表示网络服务机构，org表新增加了七个通用顶级域名

firm表示公司企业

shop表示销售公司和企业

web表示突出万维网活动的单位

arts表示突出文化、娱乐活动的单位

rec表示突出消遣、娱乐活动的单位

info表示提供住处服务的单位

nom表示个人。中国的域名结构

在国家顶级域名下注册的二级域名均由该国家自选确定。我国则将二级域名划分为“类别域名”和“行政区域名”两大类。“类别域名”六个，分别为：ac表示科研机构；com表示工、商、金融等企业；edu表示教育机构；gov表示政府部门；net表示互联网络、接入网络的信息中心（NIC）和运行中心（NOC）；org表示各种非盈利性的组织。“行政区域名”34个，适用于我国的各省、自治区、直辖市。例如：bj为北京市；sh为上海市；js为江苏省；等等。在我国，在二级域名edu下申请注册三级域名则由中国教育和科研计算机网网络中心负责。在二级域名edu之外的其他二级域名下申请注册三级域名的，则应向中国互通联网网络信息中心CNNIC申请。

按照机构的组织来划分的因特网的名字空间

因特网的名字空间是按照机构的组织来划分的，与物理的网络无关，与IP地址中的“子网”也没有关系。

它实际上是一个倒过来的树，树根在最上面而且没有名字树状名字空间树根顶级域名firmshopwebartsrecinfonomcomnetorgedugovmilintcnuk…新增的七个通用顶级域名cctv…ibmhpmot二级域名…hkjsshbjorgnetgoveducomac行政域名类别域名三级域名mail…tsinghuapkufudansjtuseucsu四级域名mailcsnetlep…因特网的名字空间地址解析

每一个域名服务器不但能够进行一些域名到IP地址的转换（在TCP/IP的文档中，这种地址转换常称为地址解析），而且还必须具有连向其他域名服务器的信息。当自己不能进行域名到IP地址的转换时，就能够知道到什么地方去找别的域名服务器。因特网上的域名服务器系统也是按照域名的层次来安排的。每一个域名服务器都只对域名体系中的一部分进行管辖。

域名服务器

本地域名服务器（localnameserver）

根域名服务器（rootnameserver）

授权域名服务器（authoritativenameserer）本地域名服务器

每一个因特网服务提供者ISP，或一个大学，甚至一个大学里的系，都可以拥有一个本地域名服务器，它有时也称为默认域名服务器。

当一个主机发出DNS查询报文时，这个查询报文就首先被送往该主机的本地域名服务器。当所要查询的主机也属于同一个本地ISP时，该本地域名服务器立即就能将所查询的主机名转换为它的IP地址，而不需要再去询问其他的域名服务器。根域名服务器

目前在因特网上有十几个根域名服务器，大部分都在北美。当一个本地域名服务器不能立即回答某个主机的查询时（因为它没有保存被查询主机的信息），该本地域名服务器就以DNS客户的身份向某一个根域名服务器查询。若根域名服务器有被查询主机的信息，就发送DNS回答报文给本地域名服务器，然后本地域名服务器再回答发起查询的主机。当根域名服务器没有被查询主机的信息时，它就一定知道某个保存被查询主机名字映射的授权域名服务器的IP地址。通常根域名服务器用来管辖顶级域（如：com）。根域名服务器并不直接对顶级域下面所属的所有的域名进行转换，但它一定能够找到下面的所有二级域名的域名服务器。

授权域名服务器

每一个主机都必须在授权域名服务器处注册登记。通常，一个主机的授权域名服务器就是它的本地ISP的一个域名服务器。实际上，为了更加可靠地工作，一个主机最好有至少两个授权域名服务器。许多域名服务器同时充当本地域名服务器和授权域名服务器。授权域名服务器总是能够将其管辖的主机名转换为该主机的IP地址。

域名服务器辖区的划分域com根域名服务器管辖区管辖区abcxy管辖区的uvwt管辖区的授权域名服务器授权域名服务器域名服务器管辖区的划分举例递归查询

假定域名为的主机想知道另一个域名为的主机的IP地址。于是向其本地域名服务器查询。由于查询不到，就向根域名服务器查询。根据被查询的域名中的“”再向授权域名服务器发送查询报文，最后再向授权域名服务器查询。以上的查询过程见图中的①→②→③→④的顺序。得到结果后，按照图中的⑤→⑥→⑦→⑧的顺序将回答报文传送给本地域名服务器。总共要使用8个UDP报文。这种查询方法叫做递归查询。

递归与迭代相结合的查询

为了减轻根域名服务器的负担，根域名服务器收到上图中的查询②后，可以直接将下属的授权域名服务器dns.abc.con的IP地址返回给本地域名服务器，然后让本地域名服务器直接向授权域名服务器dns.abc.con进行查询。

以后的过程如下图所示。这就是递归与迭代相结合的查询方法。可以看出，对根域名服务器来说，负担减轻了一半。递归与迭代相结合的查询根域名服务器3254本地域名服务器本地域名服务器本地域名服务器67IP（）=(5)81IP（)=?递归与迭代相结合的查询高速缓存的作用

使用名字的高速缓存可优化查询的开销。每个域名服务器都维护一个高速缓存，存放最近到过的名字映射信息以及从何处获得此的记录。

不但在本地域名服务器中很需要高速缓存，在主机中也很需要。许多主机在启动时从本地域名服务器下载名字和地址的全部数据库，维护存放自己最近使用的域名的高速缓存，并且只在从缓存中找不到名字时才使用域名服务器。电子邮件系统

主要包括如下组成部分：

用户代理

邮件服务器

简单邮件传输协议(simpleMailTransferProtocol，简称SMTP)

邮件消息格式

邮件访问协议

因特网电子邮件系统概貌用户代理用户代理SMTP邮件服务器SMTP因特网邮件服务器SMTP外出消息队列邮件服务器用户代理用户邮箱用户代理

用户代理提供用户阅读、保存、回复、转发、编写、发送和删除邮件消息等功能。用户代理包括Outlook、Foxmail等

以发信人A1ice给收信人Bob发送电子邮件消息作为例子。

Alice写完电子邮件消息后，其用户代理把这个消息发送给Alice邮箱所在的邮件服务器，再由该邮件服务器把这个消息放入外出消息队列中并负责发送到Bob邮箱所在的邮件服务器。当Bob想阅读电子邮件消息时，其用户代理将从其邮件服务器上的邮箱中取得邮件。邮件服务器

邮件服务器构成了电子邮件系统的核心。每个收信人都有一个位于某个邮件服务器上的邮箱(mailbox)。一个邮件消息的典型流程:

从发信人的用户代理开始，经发信人邮箱所在的邮件服务器，中转到收信人邮箱所在的邮件服务器，然后投递到收信人的邮箱中。当收信人Bob想查看自己的邮箱中的邮件消息时，其邮箱所在的邮件服务器将以他提供的用户名和口令认证他。发信人Alice邮箱所在邮件服务器还必须处理Bob邮箱所在邮件服务器出故障的情况。

如果Alice方的邮件服务器无法把邮件消息立即递送到Bob方的邮件服务器，则A1ice方的服务器就把它们存放在消息队列(messagequeue)中，以后再尝试递送。简单邮件传输协议SMTP

SMTP是因特网电子邮件系统重要的应用层协议

使用由TCP提供的可靠的数据传输服务把邮件消息从发信人邮箱所在邮件服务器传送到收信人邮箱所在邮件服务器。

SMTP是客户-服务器应用模式

由发信人的邮件服务器执行的客户端和收信人的邮件服务器执行的服务器端组成。

SMTP限制所有邮件消息的信体必须是简单的7位ASCII字符格式

SMTP协议与现实社会人们面对面交互的礼仪之间有许多相似之处。

首先，运行在发送端邮件服务器主机上的SMTP客户，发起建立一个到运行在接收端邮件服务器主机上的SMTP服务器端口号25之间的TCP连接。如果接收邮件服务器当前不工作，SMTP客户就等待一段时间后再尝试建立该连接。这个连接建立之后，SMTP客户和服务器先执行一些应用层握手操作。就像人们在转手东西之前往往先自我介绍那样，SMTP客户和服务器也在传送信息之前先自我介绍一下。在这个SMTP握手阶段，SMTP客户向服务器分别指出发信人和收信人的电子邮件地址。彼此自我介绍完毕之后，客户发出邮件消息。SMTP使用传输层提供的可靠数据传输服务(TCP服务)把该消息无差错地传送到服务器。如果客户还有其它邮件消息需发送到同一个服务器，它就在同一个TCP连接上重复上述过程；否则，它就指示TCP关闭该连接。

假设客户所在主机名为，服务器所在主机名为。

前面标以“C:”的ASCII文本行是客户发送到它的TCP套接字中的完整文本行

前面标以“S:”的ASCII文本行是服务器发送到它的TCP套接字中的完整文本行

一个客户和服务器交互的例子如下(以下传输脚本在TCP连接建立之后发生)：S:220C:HELOS:250H,pleasedtomeetyouC:MAILFROM:<alice@>S:250SenderOKC:RCPTTO:bob@S:250RecipientOKC:DATAS:354Entermail,endwith"."onalinebyitsselfC:Doyoulikeketchup?邮件内容C:Howaboutpickles?邮件内容C:.S:250MessageacceptedfordeliveryC:QUITS:221closingconnection

客户总共发出了5个命令

HELO命令标识发信人自己的身份

MAILFROM命令表示请求发送邮件，初始化邮件传输

RCPTTO命令标识某电子邮件的计划接收人

DATA命令表示所有的邮件接收人已标识，并初始化数据传输，以.结束

QUIT命令表示退出邮件发送过程，结束会话。

下面是一个典型的电子邮件信头:

From:alice@

To:bob@

Subject:thisisaletter

信头之后空一行就是信体。

针对RFC822的多用途因特网邮件扩展(MultipurposeInternetMailExtensions,简称MIME)

Alice的用户代理生成一个大体如下的MIME消息：

From:alice@

To:bob@

Subject:pictureofmine

MIME-Version:1.0

Content-Transfer-Encoding:base64

Content-Type:image/jpeg

{...base64编码数据...

...base64编码数据...}

Alice的用户代理采用base64编码格式对这个JPEG图像进行编码，而base64是在MIME中标准化的用于转换成某种可接受的7位ASCII格式的编码技术之一(定义在RFC2045中)。

Base64采用了一种很简单的编码转换：对于待编码数据，以3个字节为单位，依次取6位数据并在前面补上两个0形成新的8位编码，由于3×8=4×6，这样3个字节的输入会变成4个字节的输出，长度上增加了1/3。

Base64编码表值编码值编码值编码值编码值编码值编码值编码值编码0A8I16Q24Y32g40o48w5641B9J17R25Z33h41p49x5752C10K18S26a34i42q50y5863D11L19T27b35j43r51z5974E12M20U28c36k44s5206085F13N21V29d37l45t5316196G14O22W30e38m46u54262+7H15P23X31f39n47v55363/

Alice使用自己的用户代理编辑文本并附上图像后，该用户代理生成一个如下的邮件消息：From:alice@To:bob@MIME-Version:1.0Content-type:multipart/mixed;Boundary=StartOfNextPart--StartOfNextPartDearbob,Pleaselookatthepicture--StartOfNextPartContent-Transfer-Encoding:base64Content-type:image/jpeg{...base64编码的数据......base64编码的数据...}--StartOfNextPartthereissomeacsiiletterhere

邮件访问协议

目前流行的邮件访问协议有两个：

邮局协议版本3(PostOfficeProtocolVersion3,简称POP3)

因特网邮件访问协议(InternetMailAccessProtocol,简称IMAP)。

这两个协议使用内拉操作获取邮件消息，而SMTP是一个外推协议。

电子邮件协议及它们的通信实体POP3或SMTPSMTPIMAP用户代理用户代理发送者的邮件服务器接收者的邮件服务器HTTP邮件

使用提供这种服务的服务器时，用户代理是普通的web浏览器，用户与邮件服务器主机上的邮箱之间的交互由HTTP协议完成。当收信人(例如Bob)想要查看其邮箱中的邮件消息时，这些消息通过HTTP协议(而不是POP3或IMAP协议)从邮件服务器主机传送到他的浏览器。当发信人(例如Alice)想要发送电子邮件消息时，这些消息也是通过HTTP协议(而不是SMTP协议)从她的浏览器传送到她邮箱所在的邮件服务器主机的。邮件消息在邮件服务器主机之间的中转仍然通过SMTP协议。

JAVA代码示例

//发送邮件过程

receive();send("HELO"+hostName);receive();send("MAILFROM:<"+from.getText().trim()+">");receive();send("RCPTTO:<"+to.g