Video在线视频

好 同学们

那么我们下面呢

继续我们的网络安全概述这门课的学习

之前我们已经对计算机网络

它是一个什么样的基本概念有一定的复习

然后呢 我们学了网络安全这方面的研究

我们探讨了一下

它会面临一些什么样的挑战

需要解决一些什么样的问题

再之后呢 我们已经看过了基本的编码解码学

它的一些基本概念和一些基本形式都是什么

那下面呢

我们就要利用前面所学的编码解码学的知识

来真正看一眼网络安全

在实际生活中我们用的一些

比较有代表性的协议都是怎么样工作的

那 在这一个部分呢

我想给大家主要介绍三个网络安全的协议

一个是支持Email的安全协议

就是在电子邮件

我们怎么样保证电子邮件的传输的安全性

还有一个呢就是

Trasplayer的下一层的这个TCP

这个layer的一个安全协议

叫作Secure Sockets Layer Protocol

SSL

SSL它是一个也是很有名的一个网络安全协议

并且非常重要

之后呢 我们要看一下IPSec

就是internet protocol

在这个网络层

我们是怎么样实现安全的这种控制的

好 那我们首先先来看一下

这个电子邮件的安全

我们怎么样利用我们刚刚学过的

这个编码解码学的知识

来保证电子邮件它的收发都是安全的

首先呢 我们需要想一下啊

当Alice要给Bob发一封电子邮件的时候

她希望有哪些性质在里面

就是说希望这一个communication channel

这个通讯的这个管道能够保证些什么呢

首先我们需要这个信息

它是有这个私密性的

就是说这confidentiality需要被保证

其他人就算拿到了这个信息

不应该能够看得懂它

这个是confidentiality

那我们需要在这一方面对这个信息有所控制

另外呢 Bob呢需要知道这个Alice是真正的发出方

这个是我们讲的这个authentication的认证

还有这个message integrity

那好 那我们现在看一下这个具体例子啊

就是当Alice要发一封邮件给Bob的时候

Alice基本上她要做这样的一个事情

首先她要对这个邮件进行加密

那我们之前也学习过

如果我们要对一个信息

或者对一个文件进行加密的时候

我们一般用的是shared key algorithm

就是 是共享密钥的这些加密算法

也就是说 Bob和Alice之间是一个密钥

所以说当Alice她生成一个Message m

她就会用这个Ks

这个shared key对Message m 进行加密

同时呢 因为这个Ks

这个shared key在这个时候

其实Bob呢未必知道

因为我们之前在上一章的学习中

我们已经有看到过就是在shared key呢

如果Alice是Bob是从未谋面的情况下

那他们两方怎么样去共同协商一个

共享的这样一个钥匙

这一步其实是很tricky的

那我们有个解决方法

就是说用public key的这个算法

来做这个shared key的distribution

就是把这个shared key发给接收方

那Alice做的就是这件事情

她怎么做的呢

就是说我把刚刚用来给原文加密的那个shared key

那个密钥本身我来进行加密

那我要对这个密钥进行加密

我所使用的密钥是什么呢

是Bob的public key

这样的话就保证了

只能够由Bob才能够解开这个一段小的密文

那也就是说只有Bob能够看得到

我加密过的这个shared key

那也就是

如果Bob他能够解密出来这个shared key的话

之后 Bob才能用这个shared key

对这个Alice加密的那个Email进行解密

这个是整个这个大概的过程

那我再看一下这个图基本上就是

我刚刚描述的这个样子

就是Alice是对这个信息m

用一个shared key Ks进行加密

那么我们得到这个密文Ks（m）

与此同时Alice呢

还将这个shared key 这个ks进行加密

那她把Ks加密的所用的密钥

就是Bob的public key

所以就说Kb plus applied on 这个ks

就得到Ks的密文

那Ks的密文和这个原文的密文这两段密文

一起被通过internet传送到Bob这个接收方

那当Bob接收到了这个信息以后

他得到了什么呢

两部分内容

一部分是这个Alice将原文加密之后的密文

就是真正的那个信息

他把它加密了

这段信息的密文Bob可以看的到

然后呢 还有另外一段密文

实际上是那个shared key的密文

而这段密文所用来加密的这个密钥

是Bob的public key

这个时候Bob就可以用他的

自己的私钥就是private key

来把这个Ks解开

当Bob用自己的private key

把整个这个Ks解封以后

Bob就可以用这个Ks 这个shared key

来去解密Alice想要让他知道的信息

就是最终我们这个Bob得到这个m

那整个这个过程基本上是

最简单的电子邮件的这种收发过程

我们可以想象

这个m就是一个电子邮件

如果要是说Alice在这个时候呢

同时希望证明自己是真正的发出方

这个时候怎么办

因为刚刚那个过程

Alice可以肯定能够解密这段shared key的人

只有Bob可以

因为只有Bob有他自己的private key

而Alice用的是Bob的public key

来将这个Ks这个shared key做加密的

所以这一部分OK了

那我们现在想要看看

Alice怎么证明她自己是真正的这个发出方呢

Alice呢 她有一个这个message m

然后呢 这个message m

我们对它求一个Hash Function

这个是我们刚刚讲过的这种就是信息摘要对吧

这个Hash Function输入信息m上

得到的一个message digest

那这个message digest呢

Alice用她自己的private key

去对这个message digest进行加密

那得到就是KA minus of H of m

这个是什么

这个就是digital signature

是Alice的digital signature

是它的电子签名

就是Alice她是用自己的private key

去sign on

给一段信息的这个摘要来进行签名

那这样的话呢

接收信息的这一方

必须要用Alice public key才能解得开

那因为接收方可以用Alice 的public key

把这段信息给解开

这反向就是说明这段信息实际上

当初是用Alice的private key进行加密的

也就是证明这段信息的发出方就是Alice本人

那这个时候呢 作为这个接收方Bob

那Bob这边

我们会看到一些什么样的情况呢

就是说Bob可以收到的信息

有原文本身和Alice的电子签名

那我们在学习这个电子签名的这个过程中

已经知道电子签名这个技术

基本上就可以向这个接收方证明

发出方就是这个所谓的发出方他本人

在Bob这边我们还是看一下啊

这个slide上面是怎么写的

就是说Bob收到了Alice的电子签名

Bob就可以把Alice的电子签名

通过Alice的public key

就是她的公共钥匙给decript解密出来

解出来的东西是什么呢

是那个message digest

就是那个hash function

applied on the original message m

就是h of m

那这个是一个hash value

这个Hash Function

这个哈希函数得到了这个结果

就是Bob能够看到的东西

那同时呢 因为Bob他也有收到原文

Bob呢

也知道这个哈希函数是什么样的

那Bob自己可以对这个原文

进行哈希的验算

这样的话呢

Bob自己得到一个哈希的函数的结果

拿到这个结果以后

跟Alice发过来结果进行比较

如果这两个结果是相同的 没有出入的

那这个information

这个message的 integrity

也已经被证实了

所以就是说这一页slide上面这个过程

基本上我们是又复习了一遍

电子签名的这个过程

它可以保证sender

就是这个发出方的authentication可以被实现

并且呢 也可以看的到这个massage integrity

也可以被确认

所以这是一个很好的一个技术

那因为电子邮件本身它是有机密性的

所以我们结合再往前一步的

这个怎么样给邮件本身进行加密

那么把两部分内容放在一起

这样就真正的最后得到

这个电子邮件安全的Pretty Good Protocol

基本上呢就是PGP

就是这样子的一个工作的原理

我们看一下幻灯片

那整个这个加密过程是这样子的

Alice呢 先是把Message m信息她写出来

然后呢 她要对这个信息做一个电子签名

以后我就是再说电子签名

大家应该很快的反应出来

电子签名就是把Message

做一个哈希函数 哈希运算

得到的结果

用Alice的private key去进行加密

这个得到的密文

就是Alice的digital signature

那Alice digital signature得到了

我们还有Message本身

就是个m得到了

那这两部分搁在一起

由Alice她想要用的

这个shared key来进行加密

不光是对原文加密

还要对她的这个电子签名进行加密

这个时候大家一定要注意

这个加密过程是用shared key做加密

而不是public key

也没有private key在这里面

那为了让Bob知道这个shared key是什么

我们就需要用Bob的public key

把这个shared key

这个钥匙自己来进行加密

那Alice就会用Bob的public key

来对这个Ks进行加密

因为Bob的public key呢

是可以得到的

由于我们做了这一步所以呢

Alice知道只有Bob可以把这一段编码进行解码

因为只有Bob有他自己的这个private key

所以整个的这些内容最终变成了

这个Alice发出到网络上的一组信息

那么这个信息呢

就是用shared key加密过的原文

和Alice的digital signature

以及用Bob的public key加密过的这个shared key

Bob得到了整个这一大套东西以后

他就可以做相应的这个解密措施

Bob呢 可以用自己的private key

把那个Ks解出来

他一旦解出来Ks就可以把原文

和Alice的是那个digital signature给解出来

得到了原文

Bob就可以对原文求hash value

就是求他的message的digest

那有了这个message digest以后就可以跟

Alice那个发过来的message digest进行比较

那怎么样去decrypt

Alice发过来的message digest呢

那因为Alice用的是她自己的private key

对这信息摘要进行的加密

所以Bob呢

就用Alice的public key对其进行解密

这样呢 就得到了Alice她签过字的这个信息摘要

那两边一比较

如果是吻合的

那就说明这个信息是OK的

整个这个过程基本上就是电子邮件的安全协议

它是怎么样运作的

是一个很有趣的过程

也希望大家呢

能够在理解基础上适当的可以记住它