第6章 应用层安全协议.ppt

?电子邮件安全协议?电子商务安全协议?网络管理安全体系?——威胁与协议?电子邮件的威胁?邮件炸弹?邮件欺骗?邮件服务器控制权?电子邮件安全协议?PEM (Privacy Enhanced Email,RFC 1421 through 1424)?S/MIME?PGP(Pretty Good Privacy)?电子邮件系统主要涉及的协议如下:?SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)(RFC821)?POP3(Post Office Protocol – Version 3,邮局协议-版本3)(RFC1939)?IMAP4( Message Access Protocol – Version 4,消息访问协议-版本4)(RFC2060)?RFC822(Format of Electronic Mail Messages)?MIME(Multipurpose Mail Extensions, 多用邮件扩展协议)(RFC 2045)?HTTP(Hypertext Transfer Protocol,超文本传输协议)(RFC2616)?HTML(Hypertext Markup Language超文本标识语言)(RFC1866)——安全需求郑州轻工业学院计算机与通信?机密性:只有接收者才能阅读?报文的加密:关键是密钥的分发?收发双方如何共享密钥??认证:发送者的身份认证?基于公钥技术,发送者私钥对报文摘要进行加密,即数字签名?基于共享密钥:事先发送者与接收者共享一个密钥,采用消息认证码(MAC)对报文进行认证?完整性:报文未被修改?报文的完整性与身份认证的方法类似,通常可在一起进行?抗否认性:发信者的不可抵赖性,可供第三方鉴别?基于公钥技术,采用发送者的私钥签名多个接收者时该怎么办?发送者生成一个密钥,采用对称密码算法加密报文,即S{M}再用接收方的公钥加密密钥S,并与加密的报文同时发送。假设接收者有A、B、C三人,就分别生成三个加密密钥KA{S},KB{S},KC{S}。——PEM概述?PEM(Privacy Enhanced Mail)协议是80年代末90年代初发展起来的,它的功能主要包括加密、源认证和完整性,RFC1421-1424?与此同时,出台了传输多种媒体格式的EMAIL标准:MIME,S/MIME(RFC2633)采用了PEM的许多设计原理在MIME的基础上进行了扩展?PEM是在因特网电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。?对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。——PEM构成?PEM将邮件报文分成几部分,有的需要加密,有的则需要认证,这些需要特殊处理的报文通过语句标记。?例如在需要加密的报文段前插入BEGIN PRIVACY-ENHANCED MESSAGE?在需要加密的报文后插入END PRIVACY-ENHANCED MESSAGE?报文加密采用DES算法?认证采用MD-5?密钥的分发?基于公钥技术,用接收者的公钥加密会话密钥,并在RFC 1422中定义了证书体系。?基于对称密码时,采用事先共享的密钥加密会话密钥。——?电子邮件的传输机制?基本协议及其标准??1982年制定了简单电子邮件传输协议SMTP,成为事实上的标准,ITT制定了报文处理系统MHS标准及其MOTIF标准,1988年,,但是过于复杂,没有推广使用。?SMPT只能传输可打印的ASCII码邮件,1992年制定了新的电子邮件标准---MIME.