第6章应用层安全协议new.ppt

第6章应用层安全协议new.ppt 内容提要?电子邮件安全协议?电子商务安全协议?网络管理安全体系? Web 服务安全协议 郑州轻工业学院计算机与通信第六章电子邮件安全——威胁与协议?电子邮件的威胁?邮件炸弹?邮件欺骗?邮件服务器控制权?电子邮件安全协议? PEM ( Privacy Enhanced Email , RFC 1421 through 1424 )? S/MIME ? PGP ( Pretty Good Privacy ) ?电子邮件系统主要涉及的协议如下: ? SMTP ( Simple Mail Transfer Protocol , 简单邮件传输协议)( RFC821 ) ? POP3 ( Post Office Protocol – Version 3 , 邮局协议-版本 3 )( RFC1939 ) ? IMAP4 ( Message Access Protocol – Version 4 , 消息访问协议-版本 4)( RFC2060 ) ? RFC822 ( Format of Electronic Mail Messages ) ? MIME ( Multipurpose Mail Extensions , 多用途 邮件扩展协议) (RFC 2045) ? HTTP ( Hypertext Transfer Protocol , 超文本传输协议)( RFC2616 ) ? HTML ( Hypertext Markup Language 超文本标识语言)( RFC1866 ) ——安全需求郑州轻工业学院计算机与通信?机密性:只有接收者才能阅读?报文的加密:关键是密钥的分发?收发双方如何共享密钥? ?认证:发送者的身份认证?基于公钥技术,发送者私钥对报文摘要进行加密,即数字签名?基于共享密钥:事先发送者与接收者共享一个密钥,采用消息认证码( MAC )对报文进行认证?完整性:报文未被修改?报文的完整性与身份认证的方法类似,通常可在一起进行?抗否认性:发信者的不可抵赖性,可供第三方鉴别?基于公钥技术,采用发送者的私钥签名多个接收者时该怎么办? 发送者生成一个密钥,采用对称密码算法加密报文,即 S{M} 再用接收方的公钥加密密钥 S,并与加密的报文同时发送。假设接收者有 A、B、C三人,就分别生成三个加密密钥 KA{S} , KB{S} , KC{S} 。 郑州轻工业学院计算机与通信电子邮件安全—— PEM 概述? PEM ( Privacy Enhanced Mail )协议是 80年代末 90年代初发展起来的,它的功能主要包括加密、源认证和完整性, RFC1421-1424 ?与此同时,出台了传输多种媒体格式的 EMAIL 标准: MIME , S/MIME ( RFC2633 )采用了 PEM 的许多设计原理在 MIME 的基础上进行了扩展? PEM 是在因特网电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。?对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。 郑州轻工业学院计算机与通信电子邮件安全—— PEM 构成? PEM 将邮件报文分成几部分,有的需要加密,有的则需要认证,这些需要特殊处理的报文通过语句标记。?例如在需要加密的报文段前插入 BEGIN PRIVACY-ENHANCED MESSAGE ?在需要加密的报文后插入 END PRIVACY-ENHANCED MESSAGE ?报文加密采用 DES 算法?认证采用 MD-5 ?密钥的分发?基于公钥技术,用接收者的公钥加密会话密钥,并在 RFC 1422 中定义了证书体系。?基于对称密码时,采用事先共享的密钥加密会话密钥。 郑州轻工业学院计算机与通信电子邮件安全—— PEM 过程 电子邮件基本原理?电子邮件的传输机制?基本协议及其标准? MINE 1. 10 传输机制?1982 年制定了简单电子邮件传输协议 SMTP, 成为事实上的标准, 1984 年, CCITT 制定了报文处理系统 MHS 标准及其 MOTIF 标准, 1988 年, 定义了一个功能强大的电子邮件标准,但是过于复杂,没有推广使用。? SMPT 只能传输可打印的 ASCII 码邮件, 1992 年制定了新的电子邮件标准---MIME.