密钥域名访问提示

!
&"45/'(01!
&"!
!
!
引言!
!
!
!
在实际的网络系统中!
通常将56\\65参考模型的.
!
*层!
即会话层"表示层和应用层都归结为应用层!
用一个层次来实现!
例如!
#4!
*5!
协议集就采用了这种简化的网络层次结构#应用层为特定的网络应用提供数据传输服务!
根据应用程序的需要!
数据传输服务可以是面向连接或无连接的#应用层协议仍属于网络体系结构的一部分!
并不是应用程序#在实现方式上!
可以由网络系统实现!
也可以在应用程序中实现!
主要取决于具体的网络应用#例如!
互联网中的S&L系统采用客户*服务器模式!
客户端是S&L浏览器!
服务器端是S&L服务器!
它们之间采用]##!
协议进行通信#]##!
协议就是一种应用层协议!
由应用程序来实现!
在客户端由S&L浏览器来实现!
在服务器端由S&L服务器来实现#由于网络应用是多种多样的!
每一种网络应用都可能对应一种应用层协议#例如!
在互联网中!
除了上面提到的S&L系统外!
还有电子邮件$:Y)($>%"远程登录$#&>D&M%"文件传输$E#!
%以及域名系统$CA6%等!
它们都属于开放的网络应用系统!
都需要通过相应的应用层协议来支持通信#应用层安全性主要是解决面向应用的信息安全问题!
涉及信息交换的保密性和完整性!
防止在信息交换过程中数据被非法窃听和篡改#有些应用层安全协议是对应用层协议的安全性增强!
即在应用层协议的基础上增加了安全算法协商和数据加密*解密等安全机制!
如6Y]##!
$6&7P'&]##!
%协议"6*959:$6&7P'&*959:%协议等,还有些应用层安全协议是为解决特定应用的安全问题而开发的!
如!
_!
$!
'&MM[_]&(&'K&RP&NM]&(&':DM$M[]&(&':DM$M[G]&(&'%字段是对请求消息的一般说明#$1%请求头$K&RP&NM]&(&'%字段给出了所传送数据对象的类型"长度"压缩方法以')*第.
章!
应用层安全协议!
及编程语言等#服务器将根据请求头来解释和处理本次请求#例如!
服务器将根据数据的类型和长度动态地分配空间!
以存放E\K9的内容#$2%实体头$:DM$M[]&(&'%字段提供了对实体的进一步描述#$.
%实体体$:DM$M[G]&(&'K&NZ]&(&'%字段是对返回消息的一般说明#$1%应答头$K&NZ&('YM&QM消息)这是一个]##!
消息或者一些其他的数据对象!
4>&('YM&QM消息被封装在一个6Y]##!
消息中进行传送,$"%接收者的密码参数选择和密钥材料)这是由接收者或者一些默认参数集明确指定的,$1%发送者的密码参数选择和密钥材料)这是由发送者输入的!
只存在于发送者的内存中#为了创建一个6Y]##!
消息!
发送者需要将发送者参数和接收者参数集成在一起!
产生一个密码和密钥材料的列表#然后发送者使用列表中的数据来增强4>&('YM&QM消息的安全性!
再通过发送者和接收者参数组合将4>&('YM&QM消息转换成6Y]##!
消息#"%恢复6Y]##!
消息接收者可以采用下列2种方法之一来恢复一个输入的6Y]##!
消息))**第.
章!
应用层安全协议!
$0%6Y]##!
消息,$"%接收者规定的密码参数选择和密钥材料,$1%接收者当前的密码参数选择和密钥材料,$2%发送者事先规定的密码选项#发送者可以规定在一个消息中所执行的加密操作#为了恢复一个6Y]##!
消息!
接收者需要读取消息头信息!
以发现在该消息中的密码变换!
并使用某种发送者和接收者参数组合来去除该变换#接收者也可以选择校验!
增强发送者和接收者之间的匹配#1%操作模式任何消息都可以采用签名"认证和加密来保护!
这三种保护方法可以单独使用!
也可以组合起来使用#并支持多种密钥管理机制!
包括基于口令的人工共享私密和基于公钥的密钥交换#在交换密钥时!
要事先建立一个会话密钥!
以便将机密消息传递给没有公钥对的用户#$0%签名)如果使用了数字签名!
则可以将一个适当的证书与消息联系起来$可以沿着一个证书链%!
或者发送者可以认为接收者独立地获得了所需的证书#$"%密钥交换和加密)为了支持对称密码算法!
6Y]##!
定义了两种密钥传递机制)一是使用被公钥密封的密钥交换,二是使用预先安排$!
'&(''(D%&%的密钥#对于前者!
在传送对称密码系统的密钥时要使用接收者公钥来加密#对于后者!
使用预先安排的会话密钥来加密内容#密钥认证信息是由消息头指定的#$1%消息完整性和发送者认证)6Y]##!
通过计算9F4码来校验消息的完整性!
并对消息的发送者进行认证#它使用一个共享密钥对关键的内容进行散列计算!
共享密钥可以通过多种方法预先协商好!
不必使用公钥密码系统!
也不需要加密#消息头从语句上看!
6Y]##!
消息与]##!
消息相类似!
都是由消息头和消息体组成的#然而!
6Y]##!
消息头范围不同于]##!
!
消息体通常是加密保护的#0%请求头为了将6Y]##!
消息与]##!
消息区分开!
并允许特定的处理!
6Y]##!
将请求头中的)&M;$7(M$M$Z('M*&D7'[ZM&和9P>M$Z('M*N$%D&类型#然而!
9P>M$Z('M*N$%D&并不能传输密钥材料!
它可以使用9P>M$Z('M*)$Q&消息!
以便传输验证签名所使用的证书#当同时使用加密和签名时!
通常签名先于加密#1%允许的]##!
头为安全起见!
]##!
头通常应当出现在一个6Y]##!
消息的内部内容中!
而不能出现在该6Y]##!
消息的外包装上#然而!
有些消息头必须是代理$F%&DM%可见的!
它们并不需要访问被封装的数据!
这些头可以出现在6Y]##!
头中##密码参数每个6Y]##!
请求通过接收者所提供的密码参数选项进行预处理#这些选项位于两个地方)$0%在一个]##!
请求*响应头中,$"%在包含废弃锚$FD7;P&%)属性值!
如C:6Y4G4等#$1%方向$C$'&7M$%cC:6Y4G4!
K4"#其含义是可以任意使用C:6Y4G4或K4"算法加密消息#6Y]##!
定义了以下的协商头#$0%6]##!
Y!
'$W(7[YC%>)(DJ3X2"样式的信封!
K6F为K6F信封!
\PML(D为某些扩展密钥协议类型!
5DL(D表明会话密钥是预先交换的#推荐的配置是客户无证书而服务器有证书#$2%6]##!
Y6$%D(MP'&YF>%%%%%S,.
\&#,.
$I[KNNTUUVS[SU:9.
-F,.
(!
S"9/#"'+HIMW5@]8",#>S,.
\&#,.
$IMW5@]NTUUVSY.
:SQ^(*+'>.
SLH>",#/*=-F,.
(!
S,.
\&#,.
$IZT8",#>S"9/#"'+HIO'2+'$;ZTNTUUVSN#>'+/&,.
SLH>",#/*=-F",#>S,.
\&#,.
$I_ONUSZNN8,.
(!
S,.
\&#,.
$I_ONUSZNNNTUUVSV,#!
+(:SQ'F",#>S,.
\&#,.
$I-#>'8",#>S"9/#"'+HI.
'(,:9/在协商选项中还使用了默认值!
这些默认值为!
!
NTUUVSV,#!
+(:SZ"=+#'-F",#>S"9/#"'+HI[KN8,.
(!
S"9/#"'+HI[KNNTUUVS[SU:9.
-F",#>S"9/#"'+HIMW5@]8,.
(!
S"9/#"'+HIMW5@]NTUUVSY.
:SQ^(*+'>.
SLH>",#/*=-F",#>S"9/#"'+HIZT;O'2+'$;X&/2+'$8,.
(!
S"9/#"'+HIZT;O'2+'$;X&/2+'$NTUUVSN#>'+/&,.
SLH>",#/*=-F",#>S"9/#"'+HI_ONUSZNN8,.
(!
S"9/#"'+HI_ONUSZNNNTUUVSK.
--+>.
SZ#>.
-/SLH>",#/*=-F",#>S"9/#"'+HI`NLSKZ58,.
(!
S"9/#"'+HI`NLSKZ5NTUUVSN:==.
/,#(S["'/.
'/SLH>",#/*=-F",#>S"9/#"'+HIZQNS[a[8,.
(!
S"9/#"'+HIZQNS[a[NTUUVSN:==.
/,#(ST.
+$.
,SLH>",#/*=-F",#>S"9/#"'+HIZQNSQ[a8,.
(!
S"9/#"'+HIZQNSQ[aNTUUVSV,#!
+(:SQ'F",#>S"9/#"'+HI-9/;+&/*8,.
(!
S,.
\&#,.
$#**第.
章!
应用层安全协议!
I.
'(,:9/8,.
(!
S"9/#"'+HI-"密钥选项这里是一组用于通信或标识接收者密钥材料的选项0:D7'[ZM$(NN它采用两种名字格式CAC>值则表示该密钥不适合与任何一种密码算法一起使用这对于交换和计算9F4密钥是有用的'9&M;.
;XeI_ONO$**!
网络信息安全技术XIE_VeO'N.
O'(WE;[I[_8NTUUVSV,#!
+(:SQ'F,.
(!
S,.
\&#,.
$I.
'(,:9/JL'+=.
I/+>T`QfIE-*//9FBBgggW-.
(+>.
W("=B-.
(,.
/EhZ"'gWJBLh客户按指定的BK8创建以下的]##!
请求!
!
cQUB-.
(,.
/TUUVBW@N.
(&,#/:SN(*.
=.
FNSTUUVBWAe-.
,SL>.
'/Fi.
2SXSj#-#"'W4L((.
9/F"W"Y.
:SL--#>'FO'2+9H:;$.
-S.
(28dkdkdkdkdkdkdkdk在这个]##!
请求中加入了I&[YFNN$%D行表示要求服务器对返回的应答消息进行加密由于采用了5DL(D密钥分配方式客户可以和服务器共享一个密钥而不必拥有公钥客户将该]##!
请求封装成以下的6Y]##!
消息!
!
N.
(&,.
"N.
(&,.
STUUVBWA["'/.
'/SU:9.
F=.
--+>.
B*//9["'/.
'/SV,#!
+(:SZ"=+#'F[KNKOLc[N\c)被`NL封装的消息0当服务器收到该请求后首先解释和执行该请求查询相应的文档然后生成一个]##!
响应向客户返回该文档该]##!
响应为!
!
TUUVBW@4@@XYN.
(&,#/:SN(*.
=.
FNSTUUVBWA["'/.
'/SU:9.
F/.
^/B*/=HJL*,.
%IEB9,#l.
W*/=HE[`mVUXVUNIEY.
:SL--#>'FO'2+9H:;$.
-S.
(28@4@A@6@k@+@(@.
@%8NTUUVSV,#!
+(:SQ'F,.
(!
S,.
\&#,.
$I+&/*Eh[H#(nH+9,#l.
JBLh服务器将这个]##!
响应封装成以下的6Y]##!
消息!
!
N.
(&,.
oN.
(&,.
STUUVBWA["'/.
'/SU:9.
F=.
--+>.
B*//9V,SY.
:SO'%"F$.
-S.
(2;6]d%+k4@$%k+6.
5D;#'2+'$F["'/.
'/SV,#!
+(:SZ"=+#'F[KNKOLc[N\c)被加密的[KN消息0其中被加密的496消息可以通过下列计算公式解密成原文!
!
ZQNSZQ[`mVU)#'2+'$F;6]d%+k4@$%k+6.
5D0#"对<$$&消息认证保护示例#假设一个支持6Y]##!
协议的客户通过BK8来访问一个S&L服务器要求服务器在返回]#98页面时对客户身份进行认证首先客户创建以下的]##!
消息%**