SSLTLS协议-信息安全概论课件与复习提纲.ppt

1、11SSL/TLS协议协议1994年年Netscape开发了开发了SSL(Secure Socket Layer)协议，专门用于保护协议，专门用于保护Web通讯通讯版本和历史版本和历史n1.0，不成熟，不成熟n2.0，基本上解决了，基本上解决了Web通讯的安全问题通讯的安全问题Microsoft公司发布了公司发布了PCT(Private Communication Technology)，并在，并在IE中支持中支持n3.0，1996年发布，增加了一些算法，修改了一些缺陷年发布，增加了一些算法，修改了一些缺陷nTLS 1.0(Transport Layer Security, 也被称为也被称为S

2、SL 3.1)，1997年年IETF发布了发布了Draft，同时，同时，Microsoft宣宣布放弃布放弃PCT，与，与Netscape一起支持一起支持TLS 1.0n1999年，发布年，发布RFC 2246(The TLS Protocol v1.0)22SSL/TLS协议协议协议的设计目标协议的设计目标n为两个通讯个体之间提供保密性和完整性为两个通讯个体之间提供保密性和完整性(身份认证身份认证)n互操作性、可扩展性、相对效率互操作性、可扩展性、相对效率协议的使用协议的使用33采用的基本技术采用的基本技术主要是为应用层数据提供传输中的安全。它所主要是为应用层数据提供传输中的安全。它所采用的基

3、本技术为：采用的基本技术为： （1）身份认证采用公开密钥体制；身份认证采用公开密钥体制； （2）数据保密采用对称密钥体制；数据保密采用对称密钥体制； （3）消息的完整性保护采用带密钥的消息认消息的完整性保护采用带密钥的消息认证码（证码（MAC）。）。SSL/TLS概况概况4566SSL/TLS协议栈协议栈TLS更改密码说明协议（更改密码说明协议（Change Cipher Spec）n保证可扩展性。保证可扩展性。TLS警告协议（警告协议（Alert Protocol）n产生必要的警告信息。产生必要的警告信息。77TLS体系结构如图所示，它位于传输层之上、体系结构如图所示，它位于传输层之上、应用

4、层之下。它独立与应用层，使应用层可以应用层之下。它独立与应用层，使应用层可以直接建立在直接建立在TLS上。上。 TLS体系结构体系结构IP协议协议TCP协议协议纪录协议纪录协议握手协议握手协议更改密码说明协议更改密码说明协议警告协议警告协议HTTP协议协议 Telnet协议协议 88TLS会话会话TLS Session定义：定义：n指客户和服务器之间的一个关联关系。通过指客户和服务器之间的一个关联关系。通过TLS握手协议创建握手协议创建session，它确定了一组密，它确定了一组密码算法的参数。码算法的参数。Session可以被多个连接共享，可以被多个连接共享，从而可以避免为每个连接协商新的安

5、全参数而从而可以避免为每个连接协商新的安全参数而带来带来 昂贵的开销。昂贵的开销。nTLS Session都有一个当前状态都有一个当前状态TLS connectionn与底层协议的点对点连接相关联与底层协议的点对点连接相关联n每个每个connection都与一个都与一个session相关联相关联n连接是短暂的连接是短暂的99TLS会话状态会话状态会话实际上是一组参数，包括会话实际上是一组参数，包括nSession identifier，字节序列，由服务器产生，用来，字节序列，由服务器产生，用来标识一个会话状态标识一个会话状态nPeer certificate(可以为可以为NULL)，对方的，对

6、方的X.509 v3证证书书nCompression method，压缩数据的算法，压缩数据的算法nCipher spec，指定数据加密算法和用于，指定数据加密算法和用于HMAC的散列的散列算法，以及算法的有关参数算法，以及算法的有关参数nMaster secret, 客户和服务器之间共享的客户和服务器之间共享的48字节的数字节的数据据nIs resumable，标记是否这个会话可以被用来初始化，标记是否这个会话可以被用来初始化一个新的连接一个新的连接1010TLS连接的状态连接的状态连接状态也包含一组参数连接状态也包含一组参数nServer and client random，客户和服务器为

7、每个连，客户和服务器为每个连接选择的字节序列接选择的字节序列nServer write MAC secret，服务器在发送数据的时，服务器在发送数据的时候，用于候，用于MAC运算的运算的keynClient write MAC secret ，客户在发送数据的时候，客户在发送数据的时候，用于用于MAC运算的运算的keynServer write key，服务器加密数据的密钥，以及客，服务器加密数据的密钥，以及客户解密数据的密钥户解密数据的密钥nClient write key，客户加密数据的密钥，以及服务器，客户加密数据的密钥，以及服务器解密数据的密钥解密数据的密钥nInitializatio

8、n vectors，在密码块链接，在密码块链接(CBC)模式中模式中用到的用到的IV，最初由握手协议初始化，以后，每一个记，最初由握手协议初始化，以后，每一个记录的最后一个密文块被用作下一个记录的录的最后一个密文块被用作下一个记录的IVnSequence numbers，每一个连接都需要维护一个序，每一个连接都需要维护一个序 列号，当密码参数变化时，重置为列号，当密码参数变化时，重置为01111TLS记录协议记录协议操作过程示意图操作过程示意图1212TLS记录协议中的操作记录协议中的操作第一步，第一步，fragmentationn上层消息的数据被分片成上层消息的数据被分片成214字节大小的块

9、，或者更小字节大小的块，或者更小第二步，第二步，compression(可选可选)n必须是无损压缩，如果数据增加的话，则增加部分的必须是无损压缩，如果数据增加的话，则增加部分的长度不超过长度不超过1024字节字节第三步，计算消息认证码第三步，计算消息认证码(MAC)n计算公式：计算公式：HMAC_hash(MAC_write_secret, HMAC_hash(MAC_write_secret, seq_num seq_num | TLSCompressed.type | TLSCompressed.type | TLSCompressed.version | TLSCompressed.ve

10、rsion | TLSCompressed.length | TLSCompressed.length | TLSCompressed.fragment)| TLSCompressed.fragment)1313TLS记录协议中的操作记录协议中的操作(续续)第四步，第四步，encryptionn采用密码块链接采用密码块链接(CBC) 加密，算法由加密，算法由cipher spec参数指定参数指定n数据长度不超过数据长度不超过214+2048字节，包括字节，包括加密之后的数据内容加密之后的数据内容HMACpadding, 共共padding_lengthnIV，初始协商指定，以后，前后记录连接起

11、来，初始协商指定，以后，前后记录连接起来n说明：如果是流密码算法，则不需要说明：如果是流密码算法，则不需要padding1414TLS记录协议的处理结果记录协议的处理结果结果如下：结果如下： struct struct ContentType type; 8 ContentType type; 8位，上层协议类型位，上层协议类型 ProtocolVersion version; 16ProtocolVersion version; 16位，主次版本位，主次版本 uint16 length; uint16 length; 加密后数据的长度，加密后数据的长度， 不超过不超过2 21414+2048

12、+2048字节字节 EncryptedData fragment; EncryptedData fragment; 密文数据密文数据 TLSCiphertext; TLSCiphertext;1515TLS密码变化协议密码变化协议它位于它位于TLS记录协议之上记录协议之上n所以，它用到了所以，它用到了TLS记录协议的处理过程记录协议的处理过程nContentType = 20n协议只包含一条消息，一个字节协议只包含一条消息，一个字节 1n用途：切换状态用途：切换状态把密码参数设置为当前状态把密码参数设置为当前状态在握手协议中，当安全参数在握手协议中，当安全参数协商一致后，发送此消息协商一致后，

13、发送此消息n这条消息使得接收方改变当这条消息使得接收方改变当前状态读参数，使得发送方前状态读参数，使得发送方改变当前状态写参数改变当前状态写参数1616TLS警告协议警告协议位于位于TLS记录协议之上记录协议之上n所以，也用到了所以，也用到了TLS记录协议的处理过程记录协议的处理过程nContentType = 21n协议数据包含两个字节协议数据包含两个字节第一个字节为第一个字节为level：分别为分别为warning(1)和和fatal(2)两种情况两种情况第二个字节为情况说明第二个字节为情况说明nFatal类型的类型的alert消息导致消息导致连接立即终止，此时，对应连接立即终止，此时，对

14、应该会话的其他连接可以继续，该会话的其他连接可以继续，但是会话标识符无效，以免但是会话标识符无效，以免利用此失败的连接来建立新利用此失败的连接来建立新的连接的连接1717Alert Protocol第二字节说明第二字节说明close_notify(0),close_notify(0),unexpected_message(10),unexpected_message(10),bad_record_mac(20),bad_record_mac(20),* *decryption_failed(21),decryption_failed(21),* *record_overflow(22), re

15、cord_overflow(22), * *decompression_failure(30),decompression_failure(30),* *handshake_failure(40),handshake_failure(40),* *bad_certificate(42),bad_certificate(42),unsupported_certificate(43),unsupported_certificate(43),certificate_revoked(44),certificate_revoked(44),certificate_expired(45),certific

16、ate_expired(45),certificate_unknown(46),certificate_unknown(46),illegal_parameter(47),illegal_parameter(47),* *unknown_ca(48), unknown_ca(48), * *access_denied(49),access_denied(49),decode_error(50),decode_error(50),* *decrypt_error(51),decrypt_error(51),export_restriction(60), export_restriction(60

17、), * *protocol_version(70), protocol_version(70), * *insufficient_security(71), insufficient_security(71), * *internal_error(80), internal_error(80), * *user_canceled(90), #user_canceled(90), #no_renegotiation(100), #no_renegotiation(100), #说明：说明：1 1 * * 表示该消息往往是表示该消息往往是fatalfatal级别级别2 # 2 # 表示该消息往往

18、是表示该消息往往是warningwarning级别级别3 3 对于其他的错误情况，发送方可以对于其他的错误情况，发送方可以根据情况决定是根据情况决定是warningwarning还是还是fatal,fatal,对于对于warningwarning消息，接收方可以自行消息，接收方可以自行决定如何处理，如果是决定如何处理，如果是fatalfatal消息，消息，则一定要当作则一定要当作fatalfatal消息来对待消息来对待1818TLS握手协议握手协议位于位于TLS记录协议之上记录协议之上n也用到了也用到了TLS记录协议的处理过程记录协议的处理过程nContentType = 22n协议格式协议格

19、式n用途：用途：当当TLS客户和服务器开始通讯的时候，它们要通过协商，在以客户和服务器开始通讯的时候，它们要通过协商，在以下信息方面获得一致下信息方面获得一致:协议版本、密码算法、是否认证对方、协议版本、密码算法、是否认证对方、用什么技术来产生共享秘密数据，等等用什么技术来产生共享秘密数据，等等1919TLS握手协议的流程握手协议的流程交换交换Hello消息，对于算法、消息，对于算法、交换随机值等协商一致交换随机值等协商一致交换必要的密码参数，以便交换必要的密码参数，以便双方得到统一的双方得到统一的premaster secret（一个用在对称加密（一个用在对称加密密钥生成中的密钥生成中的46

20、 字节的随字节的随机数字机数字 ）交换证书和相应的密交换证书和相应的密 码信息，码信息，以便进行身份认证以便进行身份认证产生产生master secret把安全参数提供给把安全参数提供给TLS记录记录层层检验双方是否已经获得同样检验双方是否已经获得同样的安全参数的安全参数2020TLS握手协议使用的消息握手协议使用的消息消息消息参数参数hello_requestNullclient_hello版本，随机数，会话版本，随机数，会话id，密码参，密码参数，压缩方法数，压缩方法server_hellocertificateX.509 v3证书链证书链server_key_exchange参数，签名参

21、数，签名certificate_request类型，类型，CAsserver_doneNullcertificate_verify签名签名client_key_exchange参数，签名参数，签名finishedHash值值2121第一阶段：建立起安全能力属性第一阶段：建立起安全能力属性客户发送一个客户发送一个client_hello消息，包括以下参数：消息，包括以下参数：版本、随机数版本、随机数(32位时间戳位时间戳+28字节随机序列字节随机序列)、会话、会话ID、客户支持的密码算法列表客户支持的密码算法列表(CipherSuite)、客户支持的压、客户支持的压缩方法列表缩方法列表然后，客户

22、等待服务器的然后，客户等待服务器的server_hello消息消息服务器发送服务器发送server_hello消息，参数：消息，参数：客户建议的低版本以及服务器支持的最高版本、服务器产客户建议的低版本以及服务器支持的最高版本、服务器产生的随机数、会话生的随机数、会话ID、服务器从客户建议的密码算法中、服务器从客户建议的密码算法中挑出一套、服务器从客户建议的压缩方法中挑出一个挑出一套、服务器从客户建议的压缩方法中挑出一个2222关于会话关于会话ID(Session ID)客户方客户方n客户指定的会话客户指定的会话ID如果不等于如果不等于0，则表示它希望基于这，则表示它希望基于这个会话来更新已有连

23、接的安全参数，或者创建一个新个会话来更新已有连接的安全参数，或者创建一个新的连接的连接n如果会话如果会话ID等于等于0，则表示客户希望在一个新的会话上，则表示客户希望在一个新的会话上建立一个新的连接建立一个新的连接服务器服务器n或者同意客户指定的会话或者同意客户指定的会话ID，需要检查，需要检查cache中的会中的会话状态话状态n或者返回一个新的会话或者返回一个新的会话ID2323CipherSuite第一个元素指定了密钥交换的方法，第一个元素指定了密钥交换的方法，TLS支持以下一些方法：支持以下一些方法：nRSA，要求服务器提供一个，要求服务器提供一个RSA证书证书nDH(Diffie-He

24、llman)，要求服务器的证书中包含了由，要求服务器的证书中包含了由CA签名的签名的DH公开公开参数。客户或者在证书中提供参数。客户或者在证书中提供DH公开参数，或者在密钥公开参数，或者在密钥 交换消息中提供交换消息中提供此参数此参数nEDH(Ephemeral Diffie-Hellman)，产生临时的密钥，产生临时的密钥，DH公开参数由公开参数由发送者的私钥进行签名，接收者用对应的公钥进行验证发送者的私钥进行签名，接收者用对应的公钥进行验证n匿名的匿名的DH，不加认证。会受到中间人攻击，不加认证。会受到中间人攻击然后，指定以下信息然后，指定以下信息n加密算法，和类型加密算法，和类型(流还是

25、分组密码算法流还是分组密码算法)nHMAC算法，算法，MD5还是还是SHA-1nHashSizenKey MaterialnIV Size2424第二阶段：服务器认证和密钥交换第二阶段：服务器认证和密钥交换服务器发送自己的证书，消息包含一个服务器发送自己的证书，消息包含一个X.509证书，或者证书，或者一条证书链一条证书链n除了匿名除了匿名DH之外的密钥交换方法都需要之外的密钥交换方法都需要服务器发送服务器发送server_key_exchange消息消息n可选的，有些情况下可以不需要。只有当服务器的证书没有包含可选的，有些情况下可以不需要。只有当服务器的证书没有包含必需的数据的时候才发送此消

26、息必需的数据的时候才发送此消息n消息包含签名，被签名的内容包括两个随机数以及服务器参数消息包含签名，被签名的内容包括两个随机数以及服务器参数服务器发送服务器发送certificate_request消息消息n非匿名非匿名server可以向客户请求一个证书可以向客户请求一个证书n包含证书类型和包含证书类型和CAs服务器发送服务器发送server_hello_done, 然后等待应答然后等待应答2525第三阶段：客户认证和密钥交换第三阶段：客户认证和密钥交换客户收到客户收到server_done消息后，它根据需要检查服务器提消息后，它根据需要检查服务器提供供 的证书，并判断的证书，并判断serve

27、r_hello的参数是否可以接受，如的参数是否可以接受，如果都没有问题的话，发送一个或多个消息给服务器果都没有问题的话，发送一个或多个消息给服务器如果服务器请求证书的话，则客户首先发送一个如果服务器请求证书的话，则客户首先发送一个certificate消息，若客户没有证书，则发送一个消息，若客户没有证书，则发送一个no_certificate警告警告然后客户发送然后客户发送client_key_exchange消息，消息的内容取消息，消息的内容取决于密钥交换的类型决于密钥交换的类型最后，客户发送一个最后，客户发送一个certificate_verify消息，其中包含一消息，其中包含一个签名，对

28、从第一条消息以来的所有握手消息的个签名，对从第一条消息以来的所有握手消息的HMAC值值(用用master_secret)进行签名进行签名2626第四阶段：结束第四阶段：结束第四阶段建立起一个安全的连接第四阶段建立起一个安全的连接客户发送一个客户发送一个change_cipher_spec消息，并且把协商得消息，并且把协商得到的到的CipherSuite拷贝到当前连接的状态之中拷贝到当前连接的状态之中然后，客户用新的算法、密钥参数发送一个然后，客户用新的算法、密钥参数发送一个finished消息，消息，这条消息可以检查密钥交换和认证过程是否已经成功。其中这条消息可以检查密钥交换和认证过程是否已经

29、成功。其中包括一个校验值，对所有以来的消息进行校验。包括一个校验值，对所有以来的消息进行校验。服务器同样发送服务器同样发送change_cipher_spec消息和消息和finished消消息。息。握手过程完成，客户和服务器可以交换应用层数据。握手过程完成，客户和服务器可以交换应用层数据。2727密钥交换算法密钥交换算法TLS记录协议需要：记录协议需要：CipherSuite, master secret, and the client and server random values在在hello消息中，交换随机数以及各种算法消息中，交换随机数以及各种算法对于各种密钥交换算法，从对于各种密钥

30、交换算法，从pre_master_secret计算得到计算得到master_secret，然后从内存中删除，公式：，然后从内存中删除，公式：master_secret = PRF(pre_master_secret, “master secret”, ClientHello.random+ ServerHello.random)0.47* PRF(secret, label, seed)为伪随机函数为伪随机函数Master_secret总是总是48字节长，而字节长，而pre_master_secret长度不定，长度不定，取决于密钥交换算法取决于密钥交换算法两类密钥交换算法：两类密钥交换算法：n

31、RSA，客户产生一个，客户产生一个48字节的字节的pre_master_secret，然后通过服务器的，然后通过服务器的公钥加密再传递给服务器公钥加密再传递给服务器nDiffie-Hellman，双方协商得到的密钥被用作，双方协商得到的密钥被用作pre_master_secret2828重用一个重用一个TLS会话会话客户和服务器在交换客户和服务器在交换hello消息中，客户要消息中，客户要求重用已有的求重用已有的TLS会话，会话，服务器同意使用服务器同意使用cache中的会话中的会话* session id跳过第二第三阶段，直跳过第二第三阶段，直接把接把TLS会话中的参数会话中的参数传递给传递

32、给TLS记录层记录层2929TLS/SSL安全性分析安全性分析针对一些常见的攻击手法针对一些常见的攻击手法n针对密钥算法的破解针对密钥算法的破解取决于算法的强度，协商过程取决于算法的强度，协商过程n利用明文模式的攻击利用明文模式的攻击上层协议中常常有一些固定的模式可以参考，比如上层协议中常常有一些固定的模式可以参考，比如http协议中协议中get字节字节串串构造字典构造字典(密文密文-密钥对密钥对)，查字典，查字典TLS办法：用长密钥，使得不可能构造这样的字典办法：用长密钥，使得不可能构造这样的字典n重放攻击重放攻击TLS中的中的nonce有有32字节字节(包含时间戳包含时间戳)，可用于避免重

33、放攻击，可用于避免重放攻击会话会话ID标识了一个完整的会话，要重放部分会话需要知道私钥标识了一个完整的会话，要重放部分会话需要知道私钥n中间人攻击中间人攻击通过证书来认证对方通过证书来认证对方对于双方都是匿名的模式，中间人攻击也是成立的对于双方都是匿名的模式，中间人攻击也是成立的3030SSL: PRNG攻击攻击Netscape v1.1版本中存在，利用随机数发生器版本中存在，利用随机数发生器的弱点的弱点先看随机数发生器先看随机数发生器global variable seed;RNG_CreateContext() (seconds, microseconds) = time of day;

34、/* Time elapsed since 1970 */ pid = process ID; ppid = parent process ID; a = mklcpr(microseconds); b = mklcpr(pid + seconds + (ppid 1);（待续）3131SSL: PRNG攻击攻击(续续)种子关联：种子关联：pid, ppid, seconds, microsecondsnSeconds往往可以获得，往往可以获得，microseconds未知未知n如果在目标机器上有账号，则如果在目标机器上有账号，则pid和和ppid可以获得可以获得n否则，可以寻找否则，可以寻找

35、pid和和ppid的。的。对于大多数对于大多数UNIX平台，平台，pid+(ppid 12)只有只有27位位 global variable challenge, secret_key; RNG_GenerateRandomBytes() x = MD5(seed); seed = seed + 1; return x; create_key() RNG_CreateContext(); tmp = RNG_GenerateRandomBytes(); tmp = RNG_GenerateRandomBytes(); challenge = RNG_GenerateRandomBytes();

36、 secret_key = RNG_GenerateRandomBytes();3232PRNG的启示的启示PRNG并不是并不是SSL协议本身的缺陷，而是实协议本身的缺陷，而是实现上导致的缺陷现上导致的缺陷n随机数对于安全协议或者安全系统的重要性随机数对于安全协议或者安全系统的重要性Reference: Ian Goldberg and David Wagner, “Randomness and the Netscape Browser”, January 1996 Dr. Dobbs Journal 3333针对针对SSL的其他攻击的其他攻击Million-message attackBle

37、ichenbacher D. , Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1 in Advances in Cryptology - CRYPTO98, LNCS vol. 1462, pages: 1-12, 1998. Export ciphers and distributed cracking n举例：举例：40位位RC4，http:/ attacks n往往SSL的低版本退化的低版本退化n密码算法的退化密码算法的退化3434Microsoft IE中中SSL/

38、TLS的一个漏洞的一个漏洞IE处理内嵌在处理内嵌在HTTP页面中的页面中的HTTPS对象存在一个漏洞对象存在一个漏洞n它只检查它只检查HTTPS服务器的证书是否由可信的服务器的证书是否由可信的CA签名的，而完全忽签名的，而完全忽略该证书是否有适当的名字，以及是否已经过期。略该证书是否有适当的名字，以及是否已经过期。n对于当前这个页面而言，其实并不危险对于当前这个页面而言，其实并不危险问题在于问题在于nIE会把这个证书缓存起来，并标记为可信任的，一直到浏览器的会把这个证书缓存起来，并标记为可信任的，一直到浏览器的会话结束会话结束n这意味着，假如说，这意味着，假如说，IE客户在访问一个客户在访问一

39、个HTTP页面时，如果该页页面时，如果该页面被插入一个包含指向有问题的面被插入一个包含指向有问题的SSL server的的HTTPS对象对象(比如比如说一个说一个image)的话，的话，IE不会警告遇到一个非法的证书，只要这个不会警告遇到一个非法的证书，只要这个证书确实是被可信证书确实是被可信CA签名的签名的3535IE中中SSL/TLS的漏洞的情形的漏洞的情形假如说中间人在服务器返回的页面上加上一句话假如说中间人在服务器返回的页面上加上一句话HTTPS部分显示的是一个被偷来的或者过期的部分显示的是一个被偷来的或者过期的的证书，这个证书是有效签名的，但是的证书，这个证书是有效签名的，但是IE并

40、不检查证书中的名字和过期情况并不检查证书中的名字和过期情况如果客户通过如果客户通过HTTPS连接到连接到yoursite网站上，网站上，IE将认为这是将认为这是可信的站点，而不再进一步检查可信的站点，而不再进一步检查参考：参考：ttp:/ mail transfer protocol）：是普遍使用的）：是普遍使用的邮件传输协议。邮件传输协议。缺点缺点：邮件以明文形式传输，不支持图象等信息；信息容易被捕获，：邮件以明文形式传输，不支持图象等信息；信息容易被捕获，甚至篡改伪造。甚至篡改伪造。后来使用的扩展的后来使用的扩展的ESMTP解决了上面的问题。解决了上面的问题。nPOP3（post offi

41、ce protocol 3）：允许用户在邮件服务）：允许用户在邮件服务器上收发邮件的协议。器上收发邮件的协议。在线方式：连接并保持读取邮件服务器，邮件保存在服务器上。在线方式：连接并保持读取邮件服务器，邮件保存在服务器上。离线方式：仅登录服务器下载邮件到客户程序连接，邮件暂时保存离线方式：仅登录服务器下载邮件到客户程序连接，邮件暂时保存在服务器上。在服务器上。3737Outlook中的设置中的设置3838电子邮件服务的协议电子邮件服务的协议nIMAP4：消息访问协议，用户有选择接收邮件。：消息访问协议，用户有选择接收邮件。允许用户查询邮件，先读取邮箱中的邮件信息头，然后允许用户查询邮件，先读取

42、邮箱中的邮件信息头，然后再决定是否下载。再决定是否下载。nMIME：多用途：多用途Internet邮件扩展协议，传输非文邮件扩展协议，传输非文本信息的标准。本信息的标准。将各种多媒体信息转换城将各种多媒体信息转换城ASCII文本随邮件一同发送。文本随邮件一同发送。3939电子邮件攻击安全防范电子邮件攻击安全防范窃取电子邮件窃取电子邮件n邮件传输采用邮件传输采用SMTP协议，数据没有任何加密。协议，数据没有任何加密。n黑客可以在数据包经由路由器捕获到信息。黑客可以在数据包经由路由器捕获到信息。n防范：首选防范：首选邮件加密传输邮件加密传输。电子邮件炸弹电子邮件炸弹n指发件人以不名来历的电子邮件地

43、址，不断重复将指发件人以不名来历的电子邮件地址，不断重复将电子邮件发给同一发件人，由于每个人的信箱容量电子邮件发给同一发件人，由于每个人的信箱容量有限，当庞大的垃圾邮件到达信箱的时候，会挤满有限，当庞大的垃圾邮件到达信箱的时候，会挤满信箱，不能接收正常的邮件。信箱，不能接收正常的邮件。n防范：设置防范：设置过滤器过滤器4040电子邮件攻击安全防范电子邮件攻击安全防范电子邮件病毒电子邮件病毒n客户端软件自身缺陷。如客户端软件自身缺陷。如outlookn邮件中的病毒。邮件中的病毒。病毒通过邮件传输速度快、范围广和破坏力大的特点。病毒通过邮件传输速度快、范围广和破坏力大的特点。防范：防范：邮件扫描邮

44、件扫描。4141安全电子邮件安全电子邮件 S/MIME是对是对MIME电子邮件格式的安全扩展电子邮件格式的安全扩展基于密码学的诸多成果基于密码学的诸多成果与与PKI的结合，使用的结合，使用X.509证书，以及证书，以及PKCS标准标准n算法协商不可能在线进行，只能用一组规则算法协商不可能在线进行，只能用一组规则保证尽可能地达到安全性保证尽可能地达到安全性n不严格的信任模型，由客户实现和用户来决不严格的信任模型，由客户实现和用户来决定定S/MIME更象商用或组织使用的工业标更象商用或组织使用的工业标准，准，PGP更面向个体用户选用。更面向个体用户选用。4242 S/MIME功能功能提供了签名和加

45、密消息的功能提供了签名和加密消息的功能nEnveloped data：包含邮件加密之后的内容，以及包含邮件加密之后的内容，以及针对一个或多个接收者的加密密钥针对一个或多个接收者的加密密钥nSigned data：对签名内容作消息摘要，然后用签名：对签名内容作消息摘要，然后用签名者的私钥对摘要加密，以此形成一个数字签名；内容者的私钥对摘要加密，以此形成一个数字签名；内容与签名被转换成与签名被转换成base64编码，一个签名的数据消息编码，一个签名的数据消息只能被具有只能被具有S/MIME能力的接收者查看能力的接收者查看nClear-signed data：只有签名部分用：只有签名部分用base6

46、4编码，编码，结果是，即使接收者没有结果是，即使接收者没有S/MIME能力，他也能查看能力，他也能查看消息内容，只是他不能验证该签名消息内容，只是他不能验证该签名nSigned and enveloped data：签名和加密的结合，：签名和加密的结合，加密数据被签名或者签名数据被加密加密数据被签名或者签名数据被加密4343PGP(Pretty Good Privacy) 安全电子邮件系统安全电子邮件系统由个人发展起来由个人发展起来nPhil Zimmermann(齐默尔曼齐默尔曼)PGP为电子邮件和文件存储应用提供了认证和保密性服务为电子邮件和文件存储应用提供了认证和保密性服务n选择理想的密

47、码算法选择理想的密码算法n把算法很好地集成到通用应用中，独立于操作系统和微处理器把算法很好地集成到通用应用中，独立于操作系统和微处理器n自由发放，包括文档、源代码等自由发放，包括文档、源代码等n与商业公司与商业公司(Network Associates)合作，提供一个全面兼容的、合作，提供一个全面兼容的、低价位的商业版本低价位的商业版本PGP历史历史n1991年推出年推出1.0版，版，1994年推出年推出2.6版版目前最新目前最新7.1版版n算法的专利之争。困扰了算法的专利之争。困扰了3年多年多n与美国出口管理限制之争，长达与美国出口管理限制之争，长达5年的调查年的调查4444PGP版本众多，

48、包括各种系统平台，商业版本使用版本众多，包括各种系统平台，商业版本使用户得到很好的支持户得到很好的支持算法的安全性已经得到了充分的论证，如公钥算法的安全性已经得到了充分的论证，如公钥加密包括加密包括RSA、DSS、Diffie-Hellman，单，单钥加密包括钥加密包括CAST-128、IDEA、3DES、AES，以及以及SHA-1散列算法散列算法适用性强，公司可以选择用来增强加密文件和适用性强，公司可以选择用来增强加密文件和消息，个人可以选择用来保护自己与外界的通消息，个人可以选择用来保护自己与外界的通信信不是由政府或者标准化组织所控制，可信性不是由政府或者标准化组织所控制，可信性4545P

49、GP功能列表功能列表为了适应邮件的大小限制，为了适应邮件的大小限制，PGP支支持分段和重组持分段和重组数据分段数据分段邮件应用完全透明，加密后的消息邮件应用完全透明，加密后的消息用用Radix 64转换转换Radix 64邮件兼容性邮件兼容性消息用消息用ZIP算法压缩算法压缩ZIP压缩压缩消息用一次性会话密钥加密，消息用一次性会话密钥加密，会话密钥用接收方的公钥加密会话密钥用接收方的公钥加密CAST或或IDEA或或3DES、AES及及RSA或或D-F消息加密消息加密用用SHA-1创建散列码，用发送者的创建散列码，用发送者的私钥和私钥和DSS或或RSA加密消息摘要加密消息摘要DSS/SHA或或R

50、SA/SHA数字签名数字签名说明说明采用算法采用算法服务服务4646PGP 功能：身份认证功能：身份认证发送方发送方n产生消息产生消息Mn用用SHA-1对对M生成一个生成一个160位的散列码位的散列码Hn用发送者的私钥对用发送者的私钥对H加密，并与加密，并与M连接连接接收方接收方n用发送者的公钥解密并恢复散列码用发送者的公钥解密并恢复散列码Hn对消息对消息M生成一个新的散列码，与生成一个新的散列码，与H比较。如果一致，则消息比较。如果一致，则消息M被认证。被认证。4747PGP 身份认证说明身份认证说明说明：说明：1. RSA的强度保证了发送方的身份的强度保证了发送方的身份2. SHA-1的强