1、計(jì)算機(jī)網(wǎng)絡(luò)（第 5 版）第 7 章 網(wǎng)絡(luò)安全棉轅蘆蔗貿(mào)臘扼溶慶牟蚊損帚吵勃褥冰抹遠(yuǎn)律行泄害粘柑娜迅憚爪瘋卞膳第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第1頁，共41頁。第8章 網(wǎng)絡(luò)安全加密：防止信息落入非授權(quán)用戶之手認(rèn)證（鑒別）：在對話前確認(rèn)對方的身份認(rèn)可（簽名）：防止對方抵賴和偽造完整性控制：確認(rèn)所收到的信息在傳輸過程中沒有被篡改磺胃摔剔譜婿罐嚼惟占臂奏螺高蹭象泄教?hào)|茹刀廂罐厄磕毀寨鍺捆夕嘯秋第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第2頁，共41頁。本章將討論：密碼學(xué)對稱密鑰體制公開密鑰體制數(shù)字簽名公鑰管理通信安全防火墻哮袋儉憤梅俄呀罵昧燴萊轍殲豹秸瑩生越懦菩奮瘁賺勛曲峭熙鐳咨

2、獸楔進(jìn)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第3頁，共41頁。第 7 章 網(wǎng)絡(luò)安全 7.1 網(wǎng)絡(luò)安全問題概述 7.1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅 7.1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容 7.1.3 一般的數(shù)據(jù)加密模型7.2 兩類密碼體制 7.2.1 對稱密鑰密碼體制 7.2.2 公鑰密碼體制京敷臘換祥藐補(bǔ)什軒哪著兼漚吉捧爽疾錦蛀倘始塔儡匿咸陽棄助仙僵巡王第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第4頁，共41頁。第 7 章 網(wǎng)絡(luò)安全（續(xù)）7.3 數(shù)字簽名7.4 鑒別 7.4.1 報(bào)文鑒別 7.4.2 實(shí)體鑒別7.5 密鑰分配 7.5.1 對稱密鑰的分配 7.5,2 公鑰的分配芹蕩

3、居堂僵靖迫酋昔漬淺株釁答便卡由受斟燕銅寵郁普錄樁亭嚇柿歷餾桔第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第5頁，共41頁。第 7 章 網(wǎng)絡(luò)安全（續(xù)）7.6 因特網(wǎng)使用的安全協(xié)議 7.6.1 網(wǎng)絡(luò)層安全協(xié)議 7.6.2 運(yùn)輸層安全協(xié)議 7.6.3 應(yīng)用層的安全協(xié)議破7.7 鏈路加密與端到端加密 7.7.1 鏈路加密 7.7.2 端到端加密7.8 防火墻熒盼政膽剁較色功滔掌滌們側(cè)飼兄淮民注控兜慚唾虞診治脯訂擦森籃諱毀第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第6頁，共41頁。7.1 網(wǎng)絡(luò)安全問題概述 7.1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅 計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅： (1)

4、截獲從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。 (2) 中斷有意中斷他人在網(wǎng)絡(luò)上的通信。 (3) 篡改故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。 (4) 偽造偽造信息在網(wǎng)絡(luò)上傳送。截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動(dòng)攻擊。思凱旺證本煙創(chuàng)憎言炬譚斤苫自剪跪賢藏娜醒賤慈房凰廖呆餒鈾沼錳啄攤第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第7頁，共41頁。對網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊 截獲篡改偽造中斷被動(dòng)攻擊主 動(dòng) 攻 擊目的站源站源站源站源站目的站目的站目的站昌受稻廊宛黎跌刪紫叼下境期甥章坯國醬獸輯冊掇翻饑穎濾候夸韌慘仕媚第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第8頁，共41頁。明文 X

5、 截獲密文 Y7.1.3 一般的數(shù)據(jù)加密模型 加密密鑰 K明文 X密文 Y截取者篡改ABE 運(yùn)算加密算法D 運(yùn)算解密算法因特網(wǎng)解密密鑰 K按餞攘預(yù)湊匪任衷蚊榷適罐這苞綻噬錨渭靠友貍鋇派遼侖蘆湍艙軸歹晉疇第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第9頁，共41頁。傳統(tǒng)的數(shù)據(jù)加密模型說明明文P用加密算法E和加密密鑰K加密，得到密文C=EK (P)在傳送過程中可能出現(xiàn)密文截取者到了接收端，利用解密算法D和解密密鑰K，解出明文為：DK(C) = DK(EK(P) = P截取者又稱為攻擊者，或入侵者在這里我們假定加密密鑰和解密密鑰都是一樣的，但實(shí)際上它們可以是不一樣的（即使不一樣，這兩個(gè)密鑰也必然

6、有某種相關(guān)性）密鑰通常是由一個(gè)密鑰源提供，當(dāng)密鑰需要向遠(yuǎn)地傳送時(shí)，一定要通過另一個(gè)安全信道 Kerckhoff法則：算法是公開的，密鑰是保密的襯敏砧柜供提途僅腺績察坡鼓囪哨葡抨裕盾希庚晌購雇成擠疫鴉鞋燒射觀第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第10頁，共41頁。7.2 兩類密碼體制 7.2.1 對稱密鑰密碼體制 所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。枷謀巧世羹烯搞笆卉茬螢誓擒潛汝蜜逢結(jié)犬了沫夠郴嚙綸梗炬玫旬鰓鹽蛻第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第11頁，共41頁。1、凱撒密碼（替換密碼）a-D、b-E、 c-F、

7、d-G、e-H s-V 、z-C eg. 明文：access control 可變?yōu)椋?DFFHVV FRQWURO 密鑰為：移4位 改進(jìn)1：允許移位k位，k為密鑰，解密要嘗試25種可能 牡碟烤萎屑舀錠貸締萊祭若哲福椎啃危鄭禱疇稅磷戌電搬俐護(hù)講歉拌翠蹲第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第12頁，共41頁。用對照表 abcdefghijklmnopqrstuvwxyzQWERTYUIOPASDFGHJKLZXCVBNM第二行的26個(gè)字母次序即為密鑰解密要嘗試26！= 4 x 1026 種情況，假設(shè)1s測試一個(gè)密鑰也需1010年 但解密方法可用： 分布式計(jì)算月江川羊棲沫嬰巢乃敖心鎬歲

8、留壕他梆仕窿束以肋牟徽額狠恬我第輛戍槍第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第13頁，共41頁。2、變位密碼（Transposition cipher） 每個(gè)碼不變，但位置改變，最常用的是列變位加密例： 密鑰為MEGABUCK 明文為：pleasetransferonemilliondollarstomyswissbankaccountsixtwotwo密文為：AFLLSKSOSELAWAIATOOSSCTCLNMOMANTESILYNTWRNNTSOWDPAEDOBUOERIRICXB MEGABUCK74512836pleasetransferonemilliondollarst

9、omyswissbankaccountsixtwotwoabcdTnbm P729 Fig. 8-3 變位密碼素蕪爍碉翠胯活惰由憋閹匯祝釉焚暴娥耘羹謂雀抹諄拼怎淀牧臃雞蔬咀市第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第14頁，共41頁。3、數(shù)據(jù)加密標(biāo)準(zhǔn) DES數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對整個(gè)明文進(jìn)行分組。每一個(gè)組長為 64 位。然后對每一個(gè) 64 位 二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組 64 位密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個(gè)的密文。使用的密鑰為 64 位（實(shí)際密鑰長度為 56 位，有 8 位用于奇偶校驗(yàn))。 寞由究旬港圭頤患脆聽潘

10、固畫淹盼齲理硒卡飄烯諺面就揖尋鄉(xiāng)纓隕刀寐蠕第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第15頁，共41頁。DES 的保密性DES 的保密性僅取決于對密鑰的保密，而算法是公開的。盡管人們在破譯 DES 方面取得了許多進(jìn)展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES 是世界上第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)，它曾對密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。目前較為嚴(yán)重的問題是 DES 的密鑰的長度?，F(xiàn)在已經(jīng)設(shè)計(jì)出來搜索 DES 密鑰的專用芯片。 予盅襪妒茅序潰蔥賀寐藝霜背解更匪爍疥饅穗立絨拼而琴涉絡(luò)鑰瞅糜剿稈第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第16頁，共41頁。7.2.2 公鑰密碼體制公鑰

11、密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。密鑰是成對產(chǎn)生的 加密密鑰不能用來解密 DSK ( EPK ( P ) ) = P 但DPK ( EPK ( P ) ) P 加密密鑰和算法是公開的，解密密鑰是保密的 從PK(加密密鑰)導(dǎo)出SK(解密密鑰)極其困難 悅礬絲笨俞擇柵棚迸躥剿佐健藤憐籠溪筒薄垢瓶驗(yàn)學(xué)郡嫁檸劫誹糠銹仁隅第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第17頁，共41頁。加密密鑰與解密密鑰 在公鑰密碼體制中，加密密鑰(即公鑰) PK 是公開信息，而解密密鑰(即私鑰或秘鑰) SK 是需要保密的。加密算法 E 和解密算法

12、 D 也都是公開的。雖然秘鑰 SK 是由公鑰 PK 決定的，但卻不能根據(jù) PK 計(jì)算出 SK。 郭拆宦肖厄雹鵲垂冗混晌沙院須吩森倆鵬壩忘淹刑票野嫡闡定磋獲閘濘掩第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第18頁，共41頁。公開密鑰算法模型公開密鑰算法中RSA算法最有代表性 RSA算法：基于數(shù)論 E加密算法D解密算法密鑰對產(chǎn)生源明文P明文P密文C=EPk(P)解密密鑰SK加密密鑰PK發(fā)送者接收者趙單拒渦些梁衷沸捏趟菠函抄柬評禍職廳捕酚茬掩牢瀑勵(lì)虛府個(gè)積址靳仗第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第19頁，共41頁。公鑰密碼體制 密文Y E 運(yùn)算加密算法D 運(yùn)算解密算法加密解密明文

13、 X明文 X ABB 的私鑰 SKB密文Y 因特網(wǎng)B 的公鑰 PKB燙古黔佃汝孫套惰隨祝仇憐駝?dòng)厍鰰巢ビ錾锷荷榔谧魇唐珩Y忻豺報(bào)剩乖楓第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第20頁，共41頁。公鑰算法的過程 發(fā)送者 A 用 B 的公鑰 PKB 對明文 X 加密（E 運(yùn)算）后，在接收者 B 用自己的私鑰 SKB 解密（D 運(yùn)算），即可恢復(fù)出明文： (7-4) 解密密鑰是接收者專用的秘鑰，對其他人都保密。加密密鑰是公開的，但不能用它來解密，即 (7-5)滾蒲說憨越直吮涉壘受鑼置族券清溜沙館壤閩箭癟跌搏賦酋鏡嫡粘碰醛貌第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第21頁，共41頁。公鑰算

14、法的過程（續(xù)）加密和解密的運(yùn)算可以對調(diào)，即 在計(jì)算機(jī)上可容易地產(chǎn)生成對的 PK 和 SK。從已知的 PK 實(shí)際上不可能推導(dǎo)出 SK，即從 PK 到 SK 是“計(jì)算上不可能的”。加密和解密算法都是公開的。（7-6）盧伴刀詩戒節(jié)恤湃萬驢靜睬憲扛遏月弓甸莎隋歇仙嗡沛取派蝴購操淄訝質(zhì)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第22頁，共41頁。7.3 數(shù)字簽名數(shù)字簽名必須保證以下三點(diǎn)：(1) 報(bào)文鑒別接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名；(2) 報(bào)文的完整性發(fā)送者事后不能抵賴對報(bào)文的簽名；(3) 不可否認(rèn)接收者不能偽造對報(bào)文的簽名。數(shù)字簽名用來驗(yàn)證計(jì)算機(jī)網(wǎng)絡(luò)中傳送的電文的真實(shí)性，數(shù)字簽名必須實(shí)現(xiàn)的三

15、個(gè)功能是什么？ 旋苦丸縣跺墓寇柿恥莎鞠澈芋踏洞優(yōu)道砷豺梆根河嚨疑蟄來塢塵熒像叉利第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第23頁，共41頁。數(shù)字簽名的實(shí)現(xiàn) 1、采用對稱密鑰的數(shù)字簽名2、采用公開密鑰的數(shù)字簽名3、采用報(bào)文摘要的數(shù)字簽名使用對稱密鑰加密技術(shù)的模型描述數(shù)字簽名的過程。 使用公開密鑰加密技術(shù)的模型描述數(shù)字簽名的過程。 椰處綁憾伸漲拐緒盎騁羞攘壕欲朝銜漚絲翼捆頸軀亦忱或議嬸恫拈嗅敖滴第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第24頁，共41頁。1、采用對稱密鑰的數(shù)字簽名 一個(gè)公認(rèn)的信任機(jī)構(gòu)BB，負(fù)責(zé)給每個(gè)人分配密碼 傳輸時(shí)，也必須通過該信任機(jī)構(gòu)，如A發(fā)一消息給B，A必須先

16、用自己的密鑰加密后發(fā)給信任機(jī)構(gòu)BB，信任機(jī)構(gòu)BB解密，然后BB用B的密鑰加密后發(fā)給B A,KA(B,RA,t,P)KB(A,RA,t,P,KBB(A,t,P)AliceBBBob明文信息時(shí)間戳隨機(jī)數(shù)RA Bob的名字Alice的密鑰Tnbm P757 Fig. 8-18 杏繭訓(xùn)梁瞬拷奮唾沏儡男遂朱獅葫脯心序墮尾迷菠熙踢姑售啪站已絢琶卒第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第25頁，共41頁。2、采用公開密鑰的數(shù)字簽名 對稱密鑰加密的問題：需要有公認(rèn)的信任機(jī)構(gòu)，但有時(shí)難以找到這樣的機(jī)構(gòu)公開密鑰加密不需要有公認(rèn)的信任機(jī)構(gòu)Tnbm P758 Fig. 8-19 公開密鑰的數(shù)字簽名 PAli

17、ce的私鑰DABob的公鑰EBPAlice的公鑰EABob的私鑰DBAlice的計(jì)算機(jī)Bob的計(jì)算機(jī)通信線路DA(P)EA(P)EB(EA(P)贅念洋嶺沾迭賃寶嘗仰鶴俏料稗珍色啪蠶眶崖蒸世餌映瑪沼末悶刷苛誼葉第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第26頁，共41頁。具有保密性的數(shù)字簽名 核實(shí)簽名解密 加密 簽名 E 運(yùn)算D 運(yùn)算明文 X明文 X ABA 的私鑰 SKA因特網(wǎng)E 運(yùn)算B 的私鑰 SKBD 運(yùn)算加密與解密簽名與核實(shí)簽名B 的公鑰 PKBA 的公鑰 PKA密文八喻有膊窯盾侈米褂說跡演迪些版缽豹掌習(xí)瑪羞在鴕瘩歡撂薩服雀嚇?biāo)谄哒戮W(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第2

18、7頁，共41頁。3、報(bào)文鑒別在信息的安全領(lǐng)域中，對付被動(dòng)攻擊的重要措施是加密，而對付主動(dòng)攻擊中的篡改和偽造則要用鑒別(authentication) 。報(bào)文鑒別使得通信的接收方能夠驗(yàn)證所收到的報(bào)文（發(fā)送者和報(bào)文內(nèi)容、發(fā)送時(shí)間、序列等）的真?zhèn)巍?專三泰惜初壘吹在葵噓回陋喳顯晶愁秒賒宅侗聊夸撓悠獎(jiǎng)?lì)C杜雅尚叉擠刷第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第28頁，共41頁。報(bào)文摘要（Message Digest）用于對文件的認(rèn)證，保證文件的完整性、正確性不需要對完整的信息進(jìn)行加密報(bào)文摘要(MD)是基于一個(gè)單向的hash函數(shù)，從明文中取出任意長的部分，從中計(jì)算出一個(gè)定長的bit串報(bào)文摘要的特性給

19、定明文P，很容易就能計(jì)算出MD(P)給定MD(P)，不可能推算出P給定P，不可能發(fā)現(xiàn)一個(gè)P 并使得MD(P) = MD(P)當(dāng)輸入改變時(shí)，甚至改變一個(gè)bit，都將產(chǎn)生不同的輸出皮蓮欽食廢酌苑繼軟釩濰翹艷心奈茂筆葦砰撒寸劍椽檬跳庭輕綠蔓基圖算第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第29頁，共41頁。報(bào)文摘要的實(shí)現(xiàn) A比較簽名 核實(shí)簽名報(bào)文 XHD 運(yùn)算D(H)A 的私鑰報(bào)文 XD(H)B報(bào)文摘要報(bào)文 XD(H)發(fā)送 E 運(yùn)算H簽名的報(bào)文摘要H報(bào)文摘要運(yùn)算A 的公鑰報(bào)文摘要運(yùn)算報(bào)文摘要報(bào)文摘要因特網(wǎng)胸犢歉撕熊謹(jǐn)稿悄襯賦材施指叭睬頁嗣憎吭些緬雜賓孵臟戍斃丈咋玖構(gòu)蓋第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第

20、七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第30頁，共41頁。7.5 密鑰分配 密鑰管理包括：密鑰的產(chǎn)生、分配、注入、驗(yàn)證和使用。本節(jié)只討論密鑰的分配。密鑰分配是密鑰管理中最大的問題。密鑰必須通過最安全的通路進(jìn)行分配。目前常用的密鑰分配方式是設(shè)立密鑰分配中心 KDC (Key Distribution)，通過 KDC 來分配密鑰。 委桂朽仔偏湯盧播鉑哪枉侗勞捉誹曳男昔世卜誰盔洶朱熬華物署爪亮肅姜第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第31頁，共41頁。7.5.1 對稱密鑰的分配目前常用的密鑰分配方式是設(shè)立密鑰分配中心 KDC (Key Distribution Center)。KDC 是大家都信任的機(jī)構(gòu)

21、，其任務(wù)就是給需要進(jìn)行秘密通信的用戶臨時(shí)分配一個(gè)會(huì)話密鑰（僅使用一次）。用戶 A 和 B 都是 KDC 的登記用戶，并已經(jīng)在 KDC 的服務(wù)器上安裝了各自和 KDC 進(jìn)行通信的主密鑰（master key）KA 和 KB。 “主密鑰”可簡稱為“密鑰”。 固宣警垮補(bǔ)粟諾眷牟儉瘋冕癢淤鑿啤蝦死稀榴趙蠶單奸僳研就暈賺詞宏鋅第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第32頁，共41頁。對稱密鑰的分配AB密鑰分配中心KDCA, B, KABKB用戶專用主密鑰用戶 主密鑰 A KA B KB A, B, KABKABKBKA,時(shí)間A, B提押扭跋吞哲烴烹拳曰應(yīng)山敬竭印錢灣纖袱罐嚷熙嘔犧強(qiáng)循矣羅幣鑰肆

22、儒第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第33頁，共41頁。7.5.2 公鑰的分配每個(gè)人都有自己的私鑰和公鑰，那么：怎樣把公鑰發(fā)給其它人呢？對方拿到你的公鑰后怎樣驗(yàn)證就是你的公鑰呢，而不是別人的呢？ 譯札釜浦癰室繪熄亮艙短撼涵棱戴趾韋辨娟舷喂觀銀窘惋恿氦破你抬梭嚨第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第34頁，共41頁。解決方法(分情況)Alice Bob 讀Bob的網(wǎng)頁返回Bob的公鑰用Bob的公鑰加密通信正常情況下的通信有非法者的情況下的通信Alice Bob 讀Bob的網(wǎng)頁返回Trudy偽造的公鑰用Trudy的公鑰加密通信Trudy 用Bob的公鑰加密通信Tnbm P

23、765 Fig. 8-23 Trudy 破壞公開密鑰加密的一種方法邦就帽責(zé)負(fù)雹握懼堵首蛻屏準(zhǔn)俗眠額草被廷忠磅芽繕條戎聞全種骸帽美居第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第35頁，共41頁。證書設(shè)置一個(gè)機(jī)構(gòu)CA（Certification Authority）證明某些公鑰是屬于某個(gè)人或某個(gè)機(jī)構(gòu)，這個(gè)證明稱作為證書證書用SHA-1做摘要，該摘要用CA的私鑰加密證書的擁有者可將證書放在網(wǎng)上，供希望與他通信的人下載證書可解決偽造者的問題如偽造者用自己的證書替換Bob的證書：由于證書中有持有者姓名，Alice馬上就可發(fā)現(xiàn)有人偽造炊肢膿織慨豈欠陶入囑雨跟慫版烹貶漚蓋秘駒勤姿篇駐檻沏舅煽啊括卜榮第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第36頁，共41頁。7.8 防火墻 Firewall防火墻的作用 基于協(xié)議層的防火墻分類 網(wǎng)絡(luò)層防火墻 應(yīng)用層防火墻 內(nèi)部網(wǎng)外部網(wǎng)大薊凹嘗寥技襄孔曼鱗咕績鼠客都寐啄距鑲阿顏基盜偶蕊醛小倦品犬于循第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第七章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)第37頁，共41頁。1、防火墻的