计算机网络——40各个层次的安全性

各个层次的安全性

安全电子邮件

Alice需要发送机密的报文m给Bob

在这里插入图片描述

Alice

产生随机的对称秘钥， $K_s$
使用 $K_s$ 对报文进行加密（为了效率）
对 $K_s$ 使用Bob的公钥进行加密
发送 $K_s(m)$ 和 $K_B(K_S)$ 给Bob

Bob

使用自己的私钥解密 $K_S$
使用 $K_S$ 解密 $K_S(m)$ 得到报文

Alice数字签署文件
发送报文（明文）和数字签名

Alice 需要提供源端的报文完整性和可认证性

在这里插入图片描述

Alice加密：

Alice 数字签署文件(采用自己的私钥签署报文的散列)
发送报文（明文）和数字签名
Bob解密：
Bob使用散列函数计算报文的散列 H(m)
使用Alice的公钥解密报文的散列 $K_A^+(K_A^-(m))$
比较 H(m) = $K_A+(K_A^-(m))$ ？
如果相等，说明m就是正确的
能采用Alice的公钥解密，说明是用Alice的私钥加密的，保证了源端可认证性
采用散列比较，保证了报文完整性（如果报文被修改，得到的散列也会被修改）

Alice 需要提供机密性，源端可认证性和报文的完整性

在这里插入图片描述

Alice使用了3个keys：自己的私钥，Bob的公钥，新产生出的对称式密钥

Pretty good privacy(PGP)

Internet e-mail加密方案，事实上的标准.
使用前面讲述的：对称密钥加密，公开密钥加密，散列函数和数字签名.
能够提供机密性，源端的可认证性和报文完整性.
发明者, Phil Zimmerman, 是３年的犯罪调查的目标

/*A PGP signed message: */
---BEGIN PGP SIGNED MESSAGE---
Hash: SHA1
Bob:My husband is out of town tonight.Passionately yours, Alice
---BEGIN PGP SIGNATURE---
Version: PGP 5.0
Charset: noconv
yhHJRHhGJGhgg/12EpJ+lo8gE4vB3
mqJhFEvZP9t6n7G6m5Gw2
---END PGP SIGNATURE---

Secure sockets layer(SSL)

为使用SSL服务的、基于TCP的应用提供传输层次的安全性
- e.g.在Web的浏览器和服务器之间进行电子商务的交易(shttp)
所提供的安全服务：
- 服务器的可认证性，数据加密，客户端的可认证性（可选）

在这里插入图片描述

SSL三个阶段

握手

Bob和Alice建立TCP连接
通过AC签署的证书认证Alice的身份
创建、加密（采用Alice的公钥），传输主密钥给Alice
- 不重数交换没有显示

在这里插入图片描述

密钥导出

Alice,Bob采用共享的MS产生4个keys
- $E_B$ ：Bob -> Alice 数据加密key
- $E_A$ ：Alice -> Bob 数据加密key
- $M_B$ ：Bob -> Alice MAC(报文鉴别编码) key
- $M_A$ ：Alice -> Bob MAC key
加密和MAC算法在Bob,Alice之间协商
为什么要4个keys？
- 更安全