网络安全协议

网络安全协议

网络安全协议的定义

网络安全协议可定义为基于密码学的通信协议，包含两层含义：

1. 网络安全协议以密码学为基础
2. 网络安全协议也是通信协议

第一层含义体现了网络安全协议与普通协议间的差异，使用密码技术时，算法和密钥两个要素都不可或缺。

第二层含义体现了网络安全协议与普通协议之间的共性

公钥密码和对称密码的对比

1. 密钥交互和保密的角度：公钥密码优于对称密码。但保障数据机密性时对称密码的到广泛应用，原因之一是对称密码算法效率高
2. 应用的角度：公钥密码主要用于：
   • 计算数字签名确保不可否认性
   • 用于密钥交换
3. 密钥的实用角度：
   • 保障机密性，使用接收方的公钥加密
   • 用于数字签名，使用发送方的私钥加密

数字签名

确保不可否认性,原理与消息验证码类似,具备认证功能

使用发送方的私钥加密摘要,验证发使用发送方的公钥验证

消息验证码和数字签名的区别

1. 消息验证码使用通信双方共享的会话密钥处理摘要
2. 数字签名使用发送方的私钥加密摘要,验证发使用发送方的公钥验证

常见的网络安全协议

1.网络认证协议Kerberos

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。

认证过程具体如下：客户机向认证服务器（AS）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用客户端密钥加密的证书。
证书的构成为：

• 服务器 “ticket” ；
• 一个临时加密密钥（又称为会话密钥 “session key”） 。
• 客户机将 ticket （包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝）传送到服务器上。会话密钥可以（现已经由客户机和服务器共享）用来认证客户机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。

上述认证交换过程需要只读方式访问 Kerberos 数据库。但有时，数据库中的记录必须进行修改，如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方 Kerberos 服务器（Kerberos 管理器 KADM）间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份 Kerberos 数据库的拷贝，这可以认为是执行过程中的细节问题，并且会不断改变以适应各种不同数据库技术。

Kerberos又指麻省理工学院为这个协议开发的一套计算机网络安全系统。系统设计上采用客户端/服务器结构与DES加密技术，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。可以用