【正文】 通過基于SMTP的報文傳遞代理 (MTA)發(fā)給對方。接收方在自身的 PSE中將報文解密 ,并通過目錄檢索其證件 ,查閱證件注銷表以核實證件的有效性。 ? PEM 提供以下四種安全服務(wù)： – 數(shù)據(jù)隱蔽 :， – 數(shù)據(jù)完整性 :， – 對發(fā)送方的鑒別， – 防發(fā)送方否認。 ? 以使用非對稱密碼為例，安全服務(wù)的具體實現(xiàn)如下： ? 數(shù)據(jù)隱蔽 :首先隨機生成一個 DES密鑰 ,然后用接收方的公開鑰對 DES密鑰采用非對稱加密算法加密后 ,存放在 PEM報文的頭部。接收方收到此報文后 ,用其秘密鑰對 DES密鑰解密 ,接著再用此 DES密鑰對報文解密即可。 ? 數(shù)據(jù)完整性和對發(fā)送方的鑒別 :用數(shù)字簽名完成。首先 ,對準備傳送的報文用 MD2或 MD5算法生成一個MIC碼。然后， MIC碼可以用發(fā)送者的密鑰 解密 。然后存放在 PEM郵件的頭部。接收方可用發(fā)送方的公開密鑰譯出報文的 MIC。最后，用此 MIC與接收方用收到的報文實時生成的 MIC比較后 ,即可斷定報文的完整性 ,并完成對發(fā)送方的鑒別。 ? 防發(fā)送方否認 :此項功能亦在上述過程中自動實現(xiàn)。只有用發(fā)送方的密鑰加過密的 MIC,才能經(jīng)接收方解密后與當時生成的 MIC相匹配。發(fā)送方發(fā)送此報文是不容抵賴的。 PEM的加密過程通常包括四個步驟： – 報文生成 :一般使用用戶所常用的格式。 – 規(guī)范化 :轉(zhuǎn)換成 SMTP的內(nèi)部表示形式。 – 加密 :執(zhí)行選用的密碼算法。 – 編碼 :對加密后的報文進行編碼以便傳輸。 ? 用戶的證件是用戶在網(wǎng)上使用 PEM的通行證。每個證件除包含公開鑰外 ,還含有用戶的唯一名、證件的有效期、證件編號以及證件管理機構(gòu)的簽名等。證件的管理由證明機構(gòu) CA (Certification Authcrity)完成。證件的結(jié)構(gòu)和管理均在 The DirectoryAuthentication Framework中定義。 ? 網(wǎng)上用戶想使用 PEM,要先行注冊。用戶應(yīng)向本地CA發(fā) 證明申請 ,填寫證件內(nèi)容并鑒上名。本地 CA審查同意后賦予證件有效期和流水編號 ,同時用 CA的秘密鑰簽名 ,之后證件生效。存放證件的數(shù)據(jù)庫 ,其分布式結(jié)構(gòu)由 。其他網(wǎng)上用戶可從中取用發(fā)送方的公開鑰以及核實郵件發(fā)送證件的有效期。而注銷后的證件存放在證件注銷表 (Certificate Revocation List—CRL)中 ,供查對用。核實工作由 PEM軟件自動進行 ,其結(jié)果通知接收方。 ? S/MIME (Secure/Multipurpose Inter Mail Extensions) 設(shè)計用來支持郵件的加密?；? MIME 標準， S/MIME 為電子消息應(yīng)用程序提供如下加密安全服務(wù)：認證、完整性保護、鑒定及數(shù)據(jù)保密等。傳統(tǒng)的郵件用戶代理（ MUA）可以使用 S/MIME來加密發(fā)送郵件及解密接收郵件。 ? S/MIME 提供兩種安全服務(wù)：數(shù)字簽名和郵件加密。數(shù)字簽名和郵件加密并不是相互排斥的服務(wù)。數(shù)字簽名解決身份驗證和認可問題，而郵件加密則解決保密性問題。郵件安全策略通常同時需要這兩個服務(wù)。這兩個服務(wù)被設(shè)計為一起使用，因為它們分別針對發(fā)件人和收件人關(guān)系的某一方。 對電子郵件進行簽名和加密的順序 ? 數(shù)字證書和郵件加密是 S/MIME 的核心功能。在郵件安全領(lǐng)域，最重要的支持性概念是公鑰加密。 安全外殼協(xié)議 SSH ? SSH為 SecureShell（安全套接層）的縮寫，由 IETF的網(wǎng)絡(luò)工作小組（ NetworkWorkingGroup）所制定，是專為遠程登錄 會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用 SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。 SSH最初是 UNIX系統(tǒng)上的一個程序，后來又迅速擴展到其他 操作平臺 ：幾乎所有 UNIX平臺 —包括 HPUX、 Linux、 AIX、 Solaris、 DigitalUNIX、 Irix，以及其他平臺，都可運行 SSH。 ? lemmaId=35343 pop和 tel在本質(zhì)上都是不安全的，容易受到 “ 中間人 ”（ maninthemiddle）這種方式的攻擊。 SSH可以把所有傳輸?shù)臄?shù)據(jù)進行加密，防止 中間人 攻擊方，而且也能夠防止 DNS欺騙和 IP欺騙。SSH還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，傳輸?shù)乃俣瓤梢约涌臁? ? SSH 主要由三部分組成： – 傳輸層協(xié)議 [SSHTRANS]，該協(xié)議提供了服務(wù)器認證，保密性 及完整性，有時還提供壓縮功能。 SSHTRANS 通常運行在 TCP/IP連接上，也可能用于其它可靠 數(shù)據(jù)流上。該協(xié)議中的認證基于主機，不執(zhí)行 用戶認證 。 – 用戶認證協(xié)議 [SSHUSERAUTH] 運行在 傳輸層 協(xié)議上面，用于向服務(wù)器提供客戶端用戶鑒別功能。用戶認證協(xié)議需要知道低層協(xié)議是否提供保密性保護，當用戶認證協(xié)議開始后，它從低層協(xié)議那里接收會話 標識符 。 – 連接協(xié)議 [SSHCONNECT] 將多個加密隧道分成邏輯通道。它運行在用戶認證協(xié)議上。它提供了 交互式登錄 話路、遠程 命令 執(zhí)行、轉(zhuǎn)發(fā) TCP/IP 連接和轉(zhuǎn)發(fā) X11 連接。 安全超文本轉(zhuǎn)換協(xié)議 SHTTP ? SHTTP支持多種兼容方案并且與 HTTP 相兼容。有 SHTTP 性能的客戶機能夠與沒有 SHTTP 的服務(wù)器連接，但是這樣的通訊明顯地不會利用 SHTTP安全特征。 ? SHTTP 不需要客戶端公用密鑰認證（或公用密鑰），但它支持對稱密鑰的操作模式。這意味著即使沒有要求用戶擁有公用密鑰，私人交易也會發(fā)生。 SHTTP 支持端對端安全事務(wù)通信?？蛻魴C可能“首先”啟動安全傳輸（使用報頭的信息），它可以用來支持已填表單的加密。使用 SHTTP，敏感的數(shù)據(jù)信息不會以明文形式在網(wǎng)絡(luò)上發(fā)送。 SHTTP 提供了完整且靈活的加密算法、模態(tài)及相關(guān)參數(shù)。通過以下四個方面來提供安全服務(wù)： – 1）簽名。應(yīng)用了數(shù)字簽名后，消息附上適當?shù)恼J證信息，接受者能進行認證。簽名使用 CMS中的 signeddata類型 – 2）加密和密鑰交換。一種是公鑰封裝（ CMS和 MOSS）。一種是預(yù)先準備好的密鑰（密鑰加密是以 CMS信封的方式實現(xiàn)；預(yù)先準備好的密鑰使用 CMS的 encrypterdata數(shù)據(jù)類型。）。 – 3）消息完整性和發(fā)送者的身份認證。通過計算消息碼來驗證。 – 4）實時性、簡單的競爭響應(yīng)機制，保證事務(wù)的實時性。 網(wǎng)絡(luò)認證協(xié)議 Kerberos ? Kerberos認證過程具體如下：客戶機向認證服務(wù)器（ AS）發(fā)送請求，要求得到某服務(wù)器的證書，然后 AS 的響應(yīng)包含這些用客戶端密鑰加密的證書。證書的構(gòu)成為： 1) 服務(wù)器 “ ticket” ； 2) 一個臨時加密密鑰 （又稱為會話密鑰 “ session key”） Windows2023和后續(xù)的操作系統(tǒng)都默認 Kerberos為其默認認證方法。 RFC 3244記錄整理了微軟的一些對 Kerberos協(xié)議軟件包的添加。 RFC4757微軟 Windows2023Kerberos修改密碼并設(shè)定密碼協(xié)議 記錄整理了微軟用 RC4密碼的使用。蘋果的 Mac OS X也使用了 Kerberos的客戶和服務(wù)器版本。 Red Hat Enterprise Linux4 和后續(xù)的操作系統(tǒng)使用了 Kerberos的客戶和服務(wù)器版本。 Kerberos由以下部分組成： ? Kerberos應(yīng)用程序庫： 應(yīng)用程序接口 。包括創(chuàng)建和讀取認證請求、創(chuàng)建 safe message 和private message的子程序。 ? 加密 /解密庫： DES等。 ? Kerberos數(shù)據(jù)庫：記載了每個 Kerberos 用戶的名字、私有 密鑰 、截止信息 (記錄的有效時間，通常為幾年 )等信息。 ? 數(shù)據(jù)庫管理 程序：管理 Kerberos數(shù)據(jù)庫。 EPＣ的密碼機制和安全協(xié)議 4）喜好威脅 利用 EPC網(wǎng)絡(luò)，物品上的標簽可以唯一的識別生產(chǎn)者、產(chǎn)品類型和物品的唯一身份。競爭者可以以非常低廉的成本獲得寶貴的用戶喜好信息。 5）事務(wù)威脅 當攜帶標簽的對象從一個星座轉(zhuǎn)移到另一個星座時，在與這些星座關(guān)聯(lián)的個人之間可以很容易的推導(dǎo)出正在發(fā)生的事務(wù) 6）星座威脅 多個標簽可在一個人的周圍形成一個唯一的星座，對手 可使用這個特殊的星座實施跟蹤。 7）面包屑威脅 從個人收集攜帶標簽的物品，然后，在公司信息系統(tǒng)中建立一個與他們的身份關(guān)聯(lián)的物品數(shù)據(jù)庫。丟棄標簽不會丟失這種關(guān)聯(lián)，適用這些丟失的“面包屑”可實施犯罪或某些惡意行為。 ? 基于密碼技術(shù)的軟件安全機制受到人們更多的青睞 :其主要研究內(nèi)容是利用各種成熟的密碼方案和機制來設(shè)計和實現(xiàn) RFID安全需求的密碼協(xié)議。這已經(jīng)成為當前 RFID研究的熱點。目前，已經(jīng)提出了多種 RFID安全協(xié)議 演講完畢，謝謝觀看！