計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章

第10章網(wǎng)絡(luò)安全10.1概述10.2兩種密碼體制10.3數(shù)字簽名和報(bào)文摘要10.4身份認(rèn)證和密鑰分發(fā)10.5Internet網(wǎng)絡(luò)安全技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第1頁!10.1概述對(duì)網(wǎng)絡(luò)的攻擊可分為下面幾類：截取(interception)篡改(Modification)偽造(fabrication)中斷(interruption)網(wǎng)絡(luò)安全結(jié)構(gòu)SA(SecurityArchitecture)：身份認(rèn)證（authentication）訪問控制

(accesscontrol)數(shù)據(jù)保密（dataconfidentiality）數(shù)據(jù)完整

(dataintegrity)不可否認(rèn)（nonrepudiation）計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第2頁!10.2兩種密碼體制10.2.1密碼學(xué)基礎(chǔ)10.2.2對(duì)稱密鑰密碼體制與DES算法10.2.3公開密鑰密碼體制與RSA算法計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第3頁!

10.2.1密碼學(xué)基礎(chǔ)密碼編碼學(xué)（cryptography）和密碼分析學(xué)(cryptanalysis)明文(plaintext)，密文(ciphertext)，加密(encryption)，解密(decryption)，密鑰(key)，加密密鑰，解密密鑰。早期的密鑰密碼體制：替換密碼(substitutioncipher)

替換密碼是將明文中每個(gè)（或每組）字母由另一個(gè)（或另一組）字母所替換。變位密碼(transpositioncipher)

變位密碼是按照某一規(guī)則重新排列報(bào)文中的字符順序。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第4頁!

10.2.1密碼學(xué)基礎(chǔ)現(xiàn)代密碼學(xué)對(duì)稱密鑰密碼體制(symmetrickeycryptography),典型算法是DES公開密鑰密碼體制(publickeycryptography)，典型算法是RSAKerckoff原則（Kerckoff’sprinciple）加密和解密算法是公開的，而密鑰是保密的。密鑰的窮舉猜測(cè)是一種重要攻擊手段

計(jì)算上不可破譯:實(shí)用的密碼體制一般是計(jì)算上不可破譯的，而不是理論上不破譯的。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第5頁!

10.2.2對(duì)稱密鑰密碼體制與DES算法數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

塊密碼（blockcipher）算法:明文被分成64比特的塊，逐塊進(jìn)行加密。密鑰長64比特，有效長度是56比特。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第6頁!

10.2.2對(duì)稱密鑰密碼體制與DES算法(1)

初始置換IP(InitialPermutation)

IP(P)將64比特的排列順序變換，打亂ASCII碼字劃分的關(guān)系。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第7頁!10.2.2對(duì)稱密鑰密碼體制與DES算法擴(kuò)展變換E()

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第8頁!10.2.2對(duì)稱密鑰密碼體制與DES算法 由Sj()矩陣的第p行第q列元素就得到Gj，4比特長度。得到32b的G=G1G2G3G4G5G6G7G8。

對(duì)于Bj

=b1b2b3b4b5b6,由它求Gj：

④將G進(jìn)行一次P()置換:至此，函數(shù)變換f()完成。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第9頁!10.2.2對(duì)稱密鑰密碼體制與DES算法 2）生成Ki的過程如下：計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第10頁!10.2.2對(duì)稱密鑰密碼體制與DES算法

解密過程和加密過程使用的算法相同，輸入密文C，但以逆順序生成16個(gè)密鑰，即K16K15…K1,輸出將是明文P。

DES算法主要使用異或、位循環(huán)、替代置換等初級(jí)運(yùn)算，運(yùn)算很快，可以用于大量數(shù)據(jù)的加密。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第11頁!10.2.2對(duì)稱密鑰密碼體制與DES算法DES的發(fā)展

（1）DES-CBC(DESCipherBlockChaining)

DES是一種長度為64b的塊替代：電子代碼本ECB（ElectronicCodeBook）。缺點(diǎn)：相同的明文塊生成相同的密文塊。C0=EK(P0⊕IV)C1=EK(P1⊕C0)C2=EK(P2⊕C1)

P0=DK(C0)⊕IVP1=DK(C1)⊕C0P2=DK(C2)⊕C1

DES-CBC加密過程

DES-CBC解密過程

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第12頁!10.2.3公開密鑰密碼體制與RSA算法公開密鑰密碼體制

使用一對(duì)不相同的加密密鑰與解密密鑰，也稱為非對(duì)稱密鑰密碼體制(asymmetrickeycryptography)。

公鑰PK（PublicKey），私鑰（PrivateKey），記為SK。

DSK(EPK(P))＝P

公開密鑰密碼體制的特點(diǎn)：加密密鑰是公開的，但不能解密，即：DPK(EPK(P))≠P；解密密鑰是接收者專用的秘密密鑰，對(duì)其他人必須保密；加密和解密算法都是公開的；加密和解密的運(yùn)算可以對(duì)調(diào)，即：EPK(DSK(P))＝P；在計(jì)算機(jī)上可以容易地產(chǎn)生PK和SK對(duì)；從已知的PK推導(dǎo)出SK在計(jì)算上是不可能的。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第13頁!10.2.3公開密鑰密碼體制與RSA算法RSA算法

基于數(shù)論中大數(shù)分解的原理：尋求兩個(gè)大素?cái)?shù)比較簡(jiǎn)單，而將它們的乘積分解開則極其困難。

PK={e,n}，SK={d,n}。n為兩個(gè)大素?cái)?shù)p和q的乘積，素?cái)?shù)p和q一般為100位以上的十進(jìn)數(shù)，e和d滿足一定的關(guān)系。第三者已知e和n時(shí)并不能求出d。

(1)加密和解密算法

C=PeModn(加密)

P=CdModn(解密)

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第14頁!10.2.3公開密鑰密碼體制與RSA算法RSA算法的例子：①選擇p=3,q=11，計(jì)算出n=pq=33；②計(jì)算φ(n)=(p－1)（q－1）=20；③從[0,φ(n)－1]=[0,19]中選擇一個(gè)與20互素的數(shù)

e=7；④7d＝1Mod20，可求得一個(gè)d=3；⑤PK＝{e,n}={7,33},SK＝{d,n}={3,33}。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第15頁!10.3數(shù)字簽名和報(bào)文摘要數(shù)字簽名（digitalsignature）

數(shù)字簽名應(yīng)滿足以下三點(diǎn)要求：報(bào)文認(rèn)證接收者能夠核實(shí)報(bào)文確實(shí)是由發(fā)送者簽發(fā)；報(bào)文完整性無法被中途竊取者和接收者所篡改、偽造；不可否認(rèn)發(fā)送者事后無法否認(rèn)是他簽發(fā)的報(bào)文。數(shù)字簽名一般采用公開密鑰算法。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第16頁!10.3數(shù)字簽名和報(bào)文摘要具有加密的數(shù)字簽名：

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第17頁!

10.3數(shù)字簽名和報(bào)文摘要報(bào)文認(rèn)證碼MAC(MessageAuthenticationCode)MAC=DSK-A(MD(P))報(bào)文摘要算法保證了MD(P)能充分地代表，對(duì)報(bào)文P來說，同樣也起到了數(shù)字簽名安全性的3個(gè)作用，相當(dāng)于沒有加密的數(shù)字簽名。它卻有一個(gè)非常明顯的優(yōu)點(diǎn)：僅對(duì)短的報(bào)文摘要MD(P)而不是對(duì)整個(gè)報(bào)文P進(jìn)行數(shù)字簽名，可以大大節(jié)省處理時(shí)間。MD5，128比特的MAC，散列算法SHA(SecureHashAlgorithm)，MAC為160比特，新版本是SHA-1。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第18頁!

10.4身份認(rèn)證和密鑰分發(fā)身份認(rèn)證簡(jiǎn)介

身份認(rèn)證（authentication）也稱身份鑒別，是識(shí)別通信對(duì)方身份的技術(shù)。

身份認(rèn)證和報(bào)文認(rèn)證有所區(qū)別:后者是指對(duì)每一個(gè)收到的報(bào)文的發(fā)送者都要認(rèn)證，而前者是指通過一次通信過程對(duì)對(duì)方進(jìn)行一次身份認(rèn)證，一般是在數(shù)據(jù)傳輸前進(jìn)行認(rèn)證。

簡(jiǎn)單的認(rèn)證可以通過用戶名和口令實(shí)現(xiàn)。但口令是可重用的，容易被攻擊者竊聽。

身份認(rèn)證系統(tǒng)需要解決的一個(gè)重要問題是如何在網(wǎng)上安全地分發(fā)密鑰。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第19頁!10.4身份認(rèn)證和密鑰分發(fā)基于KDC的Needham-Schroeder身份認(rèn)證和密鑰分發(fā)計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第20頁!

10.4身份認(rèn)證和密鑰分發(fā)公鑰分發(fā)

公鑰基礎(chǔ)設(shè)施PKI(PublicKeyInfrastructure)

公鑰證書(PKcertificate):基本功能就是將一個(gè)公鑰與安全體的名字綁定在一起。證書中不包含私鑰。

PKIX基于所謂的證書權(quán)威機(jī)構(gòu)CA(CertificationAuthority)。CA負(fù)責(zé)生成和簽發(fā)電子公鑰證書。CA用自己的私鑰對(duì)公鑰證書進(jìn)行數(shù)字簽名，用戶使用CA的公鑰驗(yàn)證其他用戶證書上CA的簽名，以核實(shí)證書的有效性。這樣，通信雙方就可以使用對(duì)方證書上的公鑰認(rèn)證對(duì)方的身份。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第21頁!10.5Internet網(wǎng)絡(luò)安全技術(shù)10.5.1防火墻10.5.2網(wǎng)際層安全技術(shù)10.5.3傳輸層安全技術(shù)10.5.4應(yīng)用層安全技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第22頁!10.5.1防火墻(firewall)兩種防火墻技術(shù)可以組合在一起，形成某種結(jié)構(gòu)的火墻系統(tǒng)。

防火墻的例子計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第23頁!10.5.1防火墻(firewall)(1)包過濾防火墻計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第24頁!10.5.1防火墻(firewall)(3)屏蔽主機(jī)網(wǎng)關(guān)防火墻計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第25頁!

10.5.2網(wǎng)際層安全技術(shù)IP安全(IPSec)

IP協(xié)議存在很大的安全隱患：沒有提供數(shù)據(jù)源的認(rèn)證沒有為數(shù)據(jù)提供強(qiáng)有力的完整性保護(hù)沒有為數(shù)據(jù)提供加密性保護(hù)還存在著針對(duì)IP協(xié)議的其他攻擊IPSec主要包括以下幾個(gè)部分：安全協(xié)議:認(rèn)證首部AH(AuthenticationHeader)和封裝安全載荷ESP(EncapsulatingSecurityPayload);安全關(guān)聯(lián)SA(SecurityAssociation);密鑰交換IKE（InternetKeyExchange）;認(rèn)證和加密算法。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第26頁!

10.5.2網(wǎng)際層安全技術(shù)AH和ESP格式

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第27頁!10.5.2網(wǎng)際層安全技術(shù)隧道模式中的AH和ESP

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第28頁!

10.5.2網(wǎng)際層安全技術(shù)因特網(wǎng)密鑰交換(IKE)

IKE是自動(dòng)進(jìn)行SA的創(chuàng)建、管理和刪除的協(xié)議。

IKE是一個(gè)混合型的協(xié)議，因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)以及Oakley和SKEME兩個(gè)密鑰交換協(xié)議構(gòu)成了IKE的基礎(chǔ)。

IKE的密鑰協(xié)商分為兩個(gè)階段：第1階段：對(duì)IPSec對(duì)等方進(jìn)行認(rèn)證并生成會(huì)話密鑰供后續(xù)使用，在IPSec兩個(gè)端點(diǎn)生成ISAKMPSA。第2階段：在ISAKMPSA的保護(hù)下，雙方協(xié)商IPSec安全服務(wù)，建立IPSecSA。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第29頁!

10.5.3傳輸層安全技術(shù)傳輸層安全協(xié)議TLS1.0(TransportLayerSecurity)

TLS有以下特點(diǎn)：使用X.509證書進(jìn)行身份認(rèn)證；TLS連接是保密性的；TLS連接是可靠的。TLS協(xié)議工作在傳輸層，在TCP之上，應(yīng)用層之下。TLS對(duì)TCP的安全進(jìn)行擴(kuò)充，但不包括UDP。TLS由兩層協(xié)議組成，上層主要是TLS握手協(xié)議，還有密碼變更規(guī)范協(xié)議和報(bào)警協(xié)議，下層是TLS記錄協(xié)議。TLS握手協(xié)議與密碼變更規(guī)范協(xié)議及報(bào)警協(xié)議用于建立安全連接，協(xié)商記錄層的安全參數(shù)，進(jìn)行身份認(rèn)證和報(bào)告錯(cuò)誤信息。TLS記錄協(xié)議使用安全連接，封裝高層協(xié)議的數(shù)據(jù)。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第30頁!

10.5.4應(yīng)用層安全技術(shù)安全電子郵件

S/MIME(SecureMIME)、PGP(PrettyGoodPrivacy)和PEM(Privacy-EnhancedMail)PGP加密過程計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第31頁!10.2.1密碼學(xué)基礎(chǔ)例子，使用密鑰bridge對(duì)明文timebombwillblowupatfive進(jìn)行加密：密鑰:bridge順序:165243明文:timebombwillblowupatfive計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第32頁!

10.2.2對(duì)稱密鑰密碼體制與DES算法對(duì)稱密鑰密碼體制

特點(diǎn)是解密時(shí)使用的解密密鑰和加密時(shí)使用的加密密鑰是通信雙方共享的同一密鑰，它稱為共享密鑰(sharedkey)。C=EK(P)P=DK(C)DK(EK(P))=P計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第33頁!10.2.2對(duì)稱密鑰密碼體制與DES算法

DES算法

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第34頁!10.2.2對(duì)稱密鑰密碼體制與DES算法(2)16次迭代加密：

Ki是48比特密鑰，從原64比特的種子密鑰經(jīng)過變換生成。1）計(jì)算：

①將32b的Ri－1經(jīng)擴(kuò)展變換E()，擴(kuò)展為48b的E(Ri－1)②將E(Ri－1)與密鑰Ki（均48b）進(jìn)行模2加，得結(jié)果B，并將B順序地劃分為8個(gè)6b長的組B1~B8:

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第35頁!10.2.2對(duì)稱密鑰密碼體制與DES算法

③將B1~B8經(jīng)S()變換分別轉(zhuǎn)換為4b的組G1~G8，即：

S盒（S-box）：固定的4×16矩陣，元素為0~15的整數(shù)，例如S1()：計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第36頁!10.2.2對(duì)稱密鑰密碼體制與DES算法

P()置換

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第37頁!10.2.2對(duì)稱密鑰密碼體制與DES算法計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第38頁!10.2.2對(duì)稱密鑰密碼體制與DES算法IP逆置換

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第39頁!10.2.2對(duì)稱密鑰密碼體制與DES算法（2）三重DES(TripleDES)使用兩個(gè)密鑰，長度共112bit

加密:C=EK1（DK2（EK1（P）））

解密：P=DK1（EK2（DK1（C）））對(duì)稱密鑰密碼體制的其它加密算法

國際數(shù)據(jù)加密算法IDEA：128比特的密鑰Rijndael：128~256比特的密鑰計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第40頁!10.2.3公開密鑰密碼體制與RSA算法公開密鑰密碼體制計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第41頁!10.2.3公開密鑰密碼體制與RSA算法(2)密鑰的生成

①計(jì)算n:秘密地選擇兩個(gè)大素?cái)?shù)p和q，計(jì)算出n=pq；②計(jì)算φ(n):歐拉函數(shù)φ(n)=(p－1)(q－1)；③選擇e:從[0,φ(n)－1]中選擇一個(gè)與φ(n)互素的數(shù)e；④計(jì)算d:d應(yīng)滿足：

e×d=1Modφ(n)上式表示e×d和1對(duì)模φ(n)同余。⑤得出密鑰:PK＝{e,n}，SK＝{d,n}。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第42頁!10.2.3公開密鑰密碼體制與RSA算法計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第43頁!

10.3數(shù)字簽名和報(bào)文摘要數(shù)字簽名滿足上述三點(diǎn)要求：

因?yàn)镻要用A的PK-A才能解密，所以報(bào)文是用A的加密密鑰SK-A加密的，因此，B可以認(rèn)證P一定是A簽發(fā)的。因?yàn)镻只能用A的私鑰SK-A進(jìn)行簽名，中途竊取者和接收者無法進(jìn)行篡改和偽造。若A欲否認(rèn)曾簽發(fā)P給B，B可將P及DSK-A(P)出示給第三者,第三者很容易用PK-A由DSK-A(P)得到P,證實(shí)是A簽發(fā)了P，A無法否認(rèn)。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第44頁!10.3數(shù)字簽名和報(bào)文摘要報(bào)文摘要

數(shù)字簽名存在問題：加密和解密處理花費(fèi)時(shí)間長，有時(shí)應(yīng)用中某些報(bào)文并無加密要求(但也需防止篡改、偽造和否認(rèn))。

報(bào)文摘要MD(MessageDigest，整個(gè)報(bào)文映射的一個(gè)短的位串，是一種單向的散列函數(shù)（one-wayHashfunction）。MD(P)一般是128~512比特。為使MD(P)可以充分地代表P，MD算法應(yīng)具有如下特點(diǎn)：給定一個(gè)報(bào)文P,容易計(jì)算MD(P)，但反過來，給定一個(gè)報(bào)文摘要X,由X找到一個(gè)報(bào)文P使得MD(P)=X，在計(jì)算上是不可行的；若想找到任意兩個(gè)報(bào)文P和P’，使得MD(P)=MD(P’)，在計(jì)算上也是不可行的。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第45頁!10.3數(shù)字簽名和報(bào)文摘要使用報(bào)文摘要的數(shù)字簽名

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第46頁!10.4身份認(rèn)證和密鑰分發(fā)基于對(duì)稱密鑰的身份認(rèn)證和密鑰分發(fā)密鑰分發(fā)與密鑰分發(fā)中心

網(wǎng)外分發(fā)方式

網(wǎng)內(nèi)分發(fā)方式

密鑰分發(fā)中心KDC(KeyDistributionCenter):為通信雙方生成和分發(fā)密鑰?；趯?duì)稱密鑰的身份認(rèn)證和密鑰分發(fā)機(jī)制

Needham-Schroeder協(xié)議:基于質(zhì)詢-響應(yīng)（challenge-response）方式。計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第47頁!

10.4身份認(rèn)證和密鑰分發(fā)

一次性隨機(jī)數(shù)(nonce,numberonce):可以防止竊聽者利用以前截取的報(bào)文進(jìn)行重放攻擊（replayattack）。

會(huì)話密鑰（sessionkey）:一次一密，由機(jī)器隨機(jī)產(chǎn)生，一般使用速度快的對(duì)稱密碼體制?；诠€的身份認(rèn)證和公鑰分發(fā)基于公鑰的認(rèn)證

基于如下質(zhì)詢-響應(yīng)方式：計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第48頁!10.4身份認(rèn)證和密鑰分發(fā)X.509版本3公鑰證書結(jié)構(gòu)

版本號(hào)序列號(hào)簽名算法頒發(fā)者有效期主體主體公鑰信息頒發(fā)者標(biāo)識(shí)符主體標(biāo)識(shí)符擴(kuò)展簽名計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第49頁!10.5.1防火墻(firewall)防火墻技術(shù)包過濾技術(shù)：由包過濾路由器（packetfilteringrouter）實(shí)現(xiàn)IP級(jí)防火墻。包過濾路由器位于內(nèi)部和外部網(wǎng)絡(luò)的連接處，根據(jù)IP包的源地址、目的地址、源端口號(hào)、目的端口號(hào)等對(duì)IP包進(jìn)行過濾，結(jié)構(gòu)和實(shí)現(xiàn)簡(jiǎn)單。只能控制到IP地址和端口級(jí)，無法做到用戶級(jí)的身份認(rèn)證和訪問控制。代理服務(wù)技術(shù)：由應(yīng)用網(wǎng)關(guān)(applicationgateway)實(shí)現(xiàn)應(yīng)用級(jí)防火墻。通過應(yīng)用代理服務(wù)程序?qū)?yīng)用層數(shù)據(jù)進(jìn)行安全控制和信息過濾，還有用戶級(jí)的認(rèn)證、日志、計(jì)費(fèi)等功能。只能針對(duì)特定的應(yīng)用構(gòu)建，內(nèi)部網(wǎng)絡(luò)通常需要有多個(gè)應(yīng)用網(wǎng)關(guān)。

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第50頁!10.5.1防火墻(firewall)防火墻系統(tǒng)結(jié)構(gòu)

防火墻系統(tǒng)的結(jié)構(gòu)主要分為以下4種：

(1)

包過濾防火墻（packetfilteringfirewall）

(2)雙穴主機(jī)網(wǎng)關(guān)防火墻(dual-homedgatewayfirewall)

(3)屏蔽主機(jī)網(wǎng)關(guān)防火墻(screenedhostgatewayfirewall)

(4)屏蔽子網(wǎng)防火墻(screenedsubnetfirewall)

堡壘主機(jī)（bastionhost）

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第51頁!

10.5.1防火墻(firewall)(2)雙穴主機(jī)網(wǎng)關(guān)防火墻計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第52頁!

10.5.1防火墻(firewall)

非軍事區(qū)DMZ(DeMilitarzedZone):

作為一個(gè)額外的緩沖區(qū)以進(jìn)一步隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。企業(yè)對(duì)外信息服務(wù)器，如Web、Email服務(wù)器等可放在DMZ,包含重要內(nèi)部信息的File和DB服務(wù)器等則放在內(nèi)部網(wǎng)絡(luò)。

(4)屏蔽子網(wǎng)防火墻

計(jì)算機(jī)網(wǎng)絡(luò)與通信第10章共59頁，您現(xiàn)在瀏覽的是第53頁!

10.5.2網(wǎng)際層安全技術(shù)安全協(xié)議AH和ESP

AH:提供IP數(shù)據(jù)報(bào)的源站身份認(rèn)證