网络安全教程 教学课件 田园 第12章 密钥交换协议（II）：.pptVIP

第12章 密钥交换协议（II）：2-方协议 ;12.1 协议安全性的概念 ; 如果协议任何一方A(B) 按照协议的逻辑判定对方的身份是B(A)，则当前实际参与协议的对方确实是B(A)，这就是抗身份欺诈性质。 如果协议任何一方A(B) 按照协议的逻辑判定当前与之会话的对方是B(A)，则对方也必定判定当前与之会话的对方是A(B)，这就是协议的一致性。 除合法参与方之外，协议所生成的会话密钥Ks对任何第三方（包括被动或主动攻击者）都无法（用P.P.T.算法）有效推断出来，这就是密钥必威体育官网网址性。;12.2 Diffie-Hellman协议 ; 设SIG=(KGs, Sign, Vf)是抗伪造的数字签名方案，Π=(KGe,E,D)是必威体育官网网址的对称加密方案。 Diffie-Hellman协议的过程如图12-1所示，其中(vkA,skA)和(vkB,skB)分别是A和B的签字公钥和私钥，并且假定A和B事先已从可信任的途径（如公钥基础设施中的数字证书）获得了对方签字公钥（vkB和vkA），f是任何一种散列函数。;图12-1 Diffie-Hellman协议 ;12.3 SIGMA协议 ;12.3.1 主体协议;图12-2 SIGMA协议;12.3.2 匿名的变体; 图12-2中所示的SIGMA协议已经具有这一特点：B先向A出示自己的身份（第二条消息），而A仅在认证了B的身份之后才向B表明自己的身份（第三条消息）。 在实际应用中，这给了协议发起方A一个机会，一旦对方不属于自己所信任的实体，A将立刻终止协议而不向B暴露自己的身份。 这就是第一类匿名性质，即协议的参与方之一总是在另一方的身份被完全认证之后才出示自己的身份。 这一性质也称为后验身份认证性质。 图12-2中的SIGMA协议就使A具有对B的后验身份认证性质。;图12-3 第一类匿名的SIGMA协议: B后验身份认证; 还有第二类匿名性质，即协议双方对任何非参与方完全匿名。 这一要求在当代无线网络环境中是非常现实的：通信双方不仅需要必威体育官网网址其传输的数据，而且经常期望不向任何第三方暴露自己的身份，以免暴露自己的行踪。 SIGMA协议略加修改就可以满足这一要求，办法是对含身份标识的消息进行对称加密，而加密密钥来自当前协议会话生成的随机数。; 这样，仅协议的合法参与方才能解密从而“看到”身份标识，这就是如图12-4所示的SIGMA协议，其中符号{M}K表示以K为密钥对括号中的消息M做对称加密，其他符号与图12-2中的完全相同。;12.3.3 完整的协议实例：SIGMA-R;图12-4 第二类匿名的SIGMA协议: A、B对第三方匿名;12.4 SSL/TLS协议 ;图12-6 SSL/TLS协议;12.5 VPN与IPSec协议 ;12.5.1 VPN;图12-7 从用户角度看到的VPN ;图12-8 远程接入（拨号）VPN;图12-9 内联网VPN ; 图12-10 外联网VPN ; VPN 也可以按照部署模式分类，部署模式从本质上讲是指VPN逻辑连接的起点和终点。 这时VPN可以分为端到端（end-to-end）模式和供应商—企业（Provider-Enterprise）模式。 ;12.5.2 IPSec协议族;图12-11 IPSec协议族的体系结构; IPSec可以在主机/主机之间、安全网关/路由器之间、主机/安全网关之间或主机/路由器之间实施。 实施的模式有两种：传输模式和隧道模式。 传输模式用于保护IP分组所承载的上层协议数据，这种模式在原始分组的IP首部与上层协议的消息单元（如TCP段、UDP消息）之间插入一个IPSec首，但整个IP分组仍以传统方式在因特网上被路由/转发。 隧道模式用来保护整个IP分组的内容，包括原始IP分组的首部和数据载荷部分。;图12-12 不同传输模式下的IP分组（以承载TCP段的IP分组为例）; 在接下来进一步描述IPSec之前，需要解释IPsec的两个重要概念，这就是安全关联（Security Association??SA，中文名称也译为安全联盟）和安全策略（Security Policy，SP）。 SA是两个通信实体经协商建立起来的一种协定，协定内容主要针对IP分组的安全保护机制，如数据的加密/解密算法、会话密钥、随机数、身份认证算法和对应的参数等。 ; SP是IPSec的另一个重要组成部分，它定义两个运行IPSec的机器之间的安全通信特征，并决定在该通信中为所有IP分组提供的安全服务。 现在可以解释IPSec的两个重要的子协议：用于实现IP分组的数据完整性保护