應(yīng)用層安全協(xié)議培訓(xùn)課件(共34頁).ppt

1、1第六章：應(yīng)用層平安協(xié)議n1. 電子郵件平安協(xié)議電子郵件平安協(xié)議PEM、S/MIME、PGPn2遠(yuǎn)程登陸的平安協(xié)議遠(yuǎn)程登陸的平安協(xié)議SSHn3Web平安協(xié)議平安協(xié)議S-HTTPn參考文獻(xiàn)：參考文獻(xiàn)：n教科書第教科書第5章章21. 電子郵件平安協(xié)議PEM、S/MIME、PGPn電子郵件的威脅電子郵件的威脅n郵件炸彈郵件炸彈n郵件欺騙郵件欺騙n郵件效勞器控制權(quán)郵件效勞器控制權(quán)n電子郵件平安協(xié)議電子郵件平安協(xié)議nPEM Privacy Enhanced Email，RFC 1421 through 1424nS/MIMEnPGPPretty Good Privacy3電子郵件的平安需求n機(jī)密性：只有

2、接收者才能閱讀機(jī)密性：只有接收者才能閱讀n報(bào)文的加密：關(guān)鍵是密鑰的分發(fā)報(bào)文的加密：關(guān)鍵是密鑰的分發(fā)n收發(fā)雙方如何共享密鑰？收發(fā)雙方如何共享密鑰？n認(rèn)證：發(fā)送者的身份認(rèn)證認(rèn)證：發(fā)送者的身份認(rèn)證n基于公鑰技術(shù)，用發(fā)送者的私鑰對(duì)報(bào)文的摘要進(jìn)行加基于公鑰技術(shù)，用發(fā)送者的私鑰對(duì)報(bào)文的摘要進(jìn)行加密，即數(shù)字簽名密，即數(shù)字簽名n基于共享密鑰：事先發(fā)送者與接收者共享一個(gè)密鑰，基于共享密鑰：事先發(fā)送者與接收者共享一個(gè)密鑰，采用消息認(rèn)證碼采用消息認(rèn)證碼MAC對(duì)報(bào)文進(jìn)行認(rèn)證對(duì)報(bào)文進(jìn)行認(rèn)證n完整性：報(bào)文未被修改完整性：報(bào)文未被修改n報(bào)文的完整性與身份認(rèn)證的方法類似，通?？稍谝黄饒?bào)文的完整性與身份認(rèn)證的方法類似，通?？稍?/p>

3、一起進(jìn)行進(jìn)行n抗否認(rèn)性：發(fā)信者的不可抵賴性，可供第三方鑒別抗否認(rèn)性：發(fā)信者的不可抵賴性，可供第三方鑒別n基于公鑰技術(shù)，采用發(fā)送者的私鑰簽名基于公鑰技術(shù)，采用發(fā)送者的私鑰簽名利用公鑰體制，用利用公鑰體制，用接收者的公鑰加密接收者的公鑰加密報(bào)文。報(bào)文。但對(duì)于長報(bào)文及多但對(duì)于長報(bào)文及多個(gè)接收者時(shí)該怎么個(gè)接收者時(shí)該怎么辦？辦？發(fā)送者生成一個(gè)密鑰，采用對(duì)稱密發(fā)送者生成一個(gè)密鑰，采用對(duì)稱密碼算法加密報(bào)文，即碼算法加密報(bào)文，即SM再用接收方的公鑰加密密鑰再用接收方的公鑰加密密鑰S，并與，并與加密的報(bào)文同時(shí)發(fā)送。加密的報(bào)文同時(shí)發(fā)送。假設(shè)接收者有假設(shè)接收者有A、B、C三人，就分三人，就分別生成三個(gè)加密密鑰別生成

4、三個(gè)加密密鑰KAS，KBS，KCS。4PEMPEMPrivacy Enhanced MailPrivacy Enhanced MailnPEMPEM協(xié)議是協(xié)議是8080年代末年代末9090年代初開展起來的，年代初開展起來的，它的功能主要包括加密、源認(rèn)證和完整性，它的功能主要包括加密、源認(rèn)證和完整性，RFC1421-1424RFC1421-1424n與此同時(shí)，出臺(tái)了傳輸多種媒體格式的與此同時(shí)，出臺(tái)了傳輸多種媒體格式的EMAILEMAIL標(biāo)準(zhǔn)：標(biāo)準(zhǔn)：MIMEMIMEMultipurpose Multipurpose Internet Mail Extensions,RFC2045Internet

5、Mail Extensions,RFC2045，而而S/MIMES/MIMERFC2633RFC2633采用了采用了PEMPEM的許多設(shè)的許多設(shè)計(jì)原理在計(jì)原理在MIMEMIME的根底上進(jìn)行了擴(kuò)展的根底上進(jìn)行了擴(kuò)展5PEM 的構(gòu)成nPEM將郵件報(bào)文分成幾局部，有的需要加密，有的那么需將郵件報(bào)文分成幾局部，有的需要加密，有的那么需要認(rèn)證，這些需要特殊處理的報(bào)文通過語句標(biāo)記。要認(rèn)證，這些需要特殊處理的報(bào)文通過語句標(biāo)記。n例如在需要加密的報(bào)文段前插入例如在需要加密的報(bào)文段前插入nBEGIN PRIVACY-ENHANCED MESSAGEn在需要加密的報(bào)文后插入在需要加密的報(bào)文后插入nEND PRIV

6、ACY-ENHANCED MESSAGEn報(bào)文加密采用報(bào)文加密采用DES算法算法n認(rèn)證采用認(rèn)證采用MD-5n密鑰的分發(fā)密鑰的分發(fā)n基于公鑰技術(shù)，用接收者的公鑰加密會(huì)話密鑰，并在基于公鑰技術(shù)，用接收者的公鑰加密會(huì)話密鑰，并在RFC 1422中定義了證書體系。中定義了證書體系。n基于對(duì)稱密碼時(shí)，采用事先共享的密鑰加密會(huì)話密鑰。基于對(duì)稱密碼時(shí)，采用事先共享的密鑰加密會(huì)話密鑰。6 PGPPretty Good PrivacynEmail平安加密系統(tǒng)平安加密系統(tǒng)nPGP提供的平安業(yè)務(wù)：提供的平安業(yè)務(wù)：n加密：發(fā)信人產(chǎn)生一次性會(huì)話密鑰，以加密：發(fā)信人產(chǎn)生一次性會(huì)話密鑰，以IDEA、3-DES或或CAST-

7、128算法加密報(bào)文，采用算法加密報(bào)文，采用RSA或或D-H算算法用收信人的公鑰加密會(huì)話密鑰，并和消息一起送出。法用收信人的公鑰加密會(huì)話密鑰，并和消息一起送出。n認(rèn)證：用認(rèn)證：用SHA對(duì)報(bào)文雜湊，并以發(fā)信人的私鑰簽字，對(duì)報(bào)文雜湊，并以發(fā)信人的私鑰簽字，簽名算法采用簽名算法采用RSA或或DSS 。n壓縮：壓縮：ZIP，用于消息的傳送或存儲(chǔ)。在壓縮前簽字，用于消息的傳送或存儲(chǔ)。在壓縮前簽字，壓縮后加密。壓縮后加密。n兼容性：采用兼容性：采用Radix-64可將加密的報(bào)文轉(zhuǎn)換成可將加密的報(bào)文轉(zhuǎn)換成ASCII字符字符n數(shù)據(jù)分段：數(shù)據(jù)分段：PGP具有分段和組裝功能具有分段和組裝功能7機(jī)密性和認(rèn)證n機(jī)密性：

8、機(jī)密性：n發(fā)送端產(chǎn)生隨機(jī)的發(fā)送端產(chǎn)生隨機(jī)的128位數(shù)字作為會(huì)話密鑰位數(shù)字作為會(huì)話密鑰n對(duì)稱算法加密報(bào)文對(duì)稱算法加密報(bào)文n接收端公鑰加密會(huì)話密鑰接收端公鑰加密會(huì)話密鑰n認(rèn)證認(rèn)證n采用采用SHA-1產(chǎn)生產(chǎn)生160位位HASH值值n用發(fā)送者的私鑰對(duì)用發(fā)送者的私鑰對(duì)HASH值簽名值簽名n報(bào)文只需要認(rèn)證效勞或加密效勞，當(dāng)同時(shí)需要認(rèn)證和報(bào)文只需要認(rèn)證效勞或加密效勞，當(dāng)同時(shí)需要認(rèn)證和加密效勞時(shí)加密效勞時(shí)n采用先簽名，后加密順序與采用先簽名，后加密順序與IPSEC ESP中的先加密，中的先加密，后后MAC相反相反n通常將明文與簽名一起保存比較方便通常將明文與簽名一起保存比較方便n驗(yàn)證時(shí)，不需要涉及會(huì)話密鑰驗(yàn)證

9、時(shí)，不需要涉及會(huì)話密鑰8壓縮HASH加密A的公鑰A的私鑰解密對(duì)稱密碼加密9壓縮nPGP PGP 的壓縮過程在報(bào)文的簽名和加密之的壓縮過程在報(bào)文的簽名和加密之間，即先對(duì)報(bào)文簽名，然后壓縮，再是間，即先對(duì)報(bào)文簽名，然后壓縮，再是加密加密n簽名后再壓縮是為了保存未壓縮的報(bào)文簽名后再壓縮是為了保存未壓縮的報(bào)文和簽名和簽名n壓縮后加密是為了提高密碼的平安性，壓縮后加密是為了提高密碼的平安性，因?yàn)閴嚎s后的報(bào)文具有更少的冗余，所因?yàn)閴嚎s后的報(bào)文具有更少的冗余，所以密碼分析會(huì)更困難，另外加密的報(bào)文以密碼分析會(huì)更困難，另外加密的報(bào)文也更短也更短n壓縮算法采用壓縮算法采用ZIPZIP10E-mail 的兼容性n在

10、多數(shù)的郵件系統(tǒng)中是以在多數(shù)的郵件系統(tǒng)中是以ASCII字符形式傳輸，加密后的任字符形式傳輸，加密后的任意意8比特報(bào)文可能不符合比特報(bào)文可能不符合ASCII字符特點(diǎn)。字符特點(diǎn)。n采用基采用基64轉(zhuǎn)換方式轉(zhuǎn)換方式 (see appendix 5B).n基基64轉(zhuǎn)換方式轉(zhuǎn)換方式 的采用將原報(bào)文擴(kuò)展了的采用將原報(bào)文擴(kuò)展了33%.11分段和重組n通常郵件的最大報(bào)文的長度限制在通常郵件的最大報(bào)文的長度限制在50,000 50,000 octets.octets.n超過標(biāo)準(zhǔn)長度的報(bào)文必須分段超過標(biāo)準(zhǔn)長度的報(bào)文必須分段. .nPGP PGP 自動(dòng)對(duì)過長的報(bào)文分段自動(dòng)對(duì)過長的報(bào)文分段. .n接收端再將其重組接收端

11、再將其重組. .12Sumary of PGP Services F u n c t io n A lg o r it h m U s e d D ig it a l S ig n a t u r e D S S / S H A o r R S A / S H A M e s s a g e E n c r y p t io n C A S T o r I D E A o r t h r e e - k e y t r ip le D E S w it h D if f ie - H e llm a n o r R S A C o m p r e s s io n Z I P E - m a

12、il C o m p a t ib ilit y R a d ix - 6 4 c o n v e r s io n S e g m e n t a t io n - 1314加密密鑰和密鑰環(huán)nPGP使用四種類型的密鑰：一次性會(huì)話對(duì)稱密鑰，使用四種類型的密鑰：一次性會(huì)話對(duì)稱密鑰，公鑰，私鑰，基于過度階段的傳統(tǒng)密鑰公鑰，私鑰，基于過度階段的傳統(tǒng)密鑰n需求需求n需要一種生成不可預(yù)測(cè)的會(huì)話密鑰需要一種生成不可預(yù)測(cè)的會(huì)話密鑰n需要某種手段來標(biāo)識(shí)具體的密鑰一個(gè)用戶可擁需要某種手段來標(biāo)識(shí)具體的密鑰一個(gè)用戶可擁有多個(gè)公鑰有多個(gè)公鑰/私鑰對(duì)，以便隨時(shí)更換私鑰對(duì)，以便隨時(shí)更換n每個(gè)每個(gè)PGP實(shí)體需要維護(hù)一個(gè)保存

13、其公鑰實(shí)體需要維護(hù)一個(gè)保存其公鑰/私鑰對(duì)的私鑰對(duì)的文件和一個(gè)保存通信對(duì)方公鑰的文件文件和一個(gè)保存通信對(duì)方公鑰的文件15密鑰標(biāo)識(shí)符Key IDn一個(gè)用戶有多個(gè)公鑰一個(gè)用戶有多個(gè)公鑰/私鑰對(duì)時(shí)，接收者私鑰對(duì)時(shí)，接收者如何知道發(fā)送者是用了哪個(gè)公鑰來加密如何知道發(fā)送者是用了哪個(gè)公鑰來加密會(huì)話密鑰會(huì)話密鑰n將公鑰與消息一起傳送將公鑰與消息一起傳送n將一個(gè)標(biāo)識(shí)符與一個(gè)公鑰關(guān)聯(lián)，對(duì)一個(gè)用戶將一個(gè)標(biāo)識(shí)符與一個(gè)公鑰關(guān)聯(lián)，對(duì)一個(gè)用戶來說做到一一對(duì)應(yīng)來說做到一一對(duì)應(yīng)n定義定義KeyID 包括包括64個(gè)有效位，個(gè)有效位，(KUa mod 264)16密鑰環(huán)Key RingsnKeyID在在PGP中標(biāo)識(shí)所使用的發(fā)送者和

14、接收者中標(biāo)識(shí)所使用的發(fā)送者和接收者的密鑰號(hào)的密鑰號(hào)n兩個(gè)兩個(gè)keyID包含在任何包含在任何PGP消息中提供保密與認(rèn)證消息中提供保密與認(rèn)證功能功能n需要一種系統(tǒng)化的方法存儲(chǔ)和組織這些需要一種系統(tǒng)化的方法存儲(chǔ)和組織這些key以保證以保證使用使用nPGP在每一個(gè)節(jié)點(diǎn)上提供一對(duì)數(shù)據(jù)結(jié)構(gòu)在每一個(gè)節(jié)點(diǎn)上提供一對(duì)數(shù)據(jù)結(jié)構(gòu)n存儲(chǔ)該節(jié)點(diǎn)擁有的公鑰存儲(chǔ)該節(jié)點(diǎn)擁有的公鑰/私鑰對(duì)私鑰環(huán)私鑰對(duì)私鑰環(huán)n存儲(chǔ)本節(jié)點(diǎn)知道的其他用戶的公鑰環(huán)存儲(chǔ)本節(jié)點(diǎn)知道的其他用戶的公鑰環(huán)17密鑰對(duì)產(chǎn)生時(shí)間加了密的私鑰如用戶郵件地址18Format of PGP Message192021公鑰管理nPGP雖然采用公鑰密碼體系，但不是證書n保護(hù)公

15、鑰免受攻擊是PGP的一個(gè)問題n采用信任關(guān)系保護(hù)公鑰22平安協(xié)議的分析與思考n認(rèn)證和加密的次序認(rèn)證和加密的次序n會(huì)話密鑰產(chǎn)生的復(fù)雜度與平安通道的粒度有關(guān)會(huì)話密鑰產(chǎn)生的復(fù)雜度與平安通道的粒度有關(guān)n對(duì)應(yīng)用層平安來說，由于需求明確，通常采用一對(duì)應(yīng)用層平安來說，由于需求明確，通常采用一次一密，會(huì)話密鑰的產(chǎn)生比較簡單次一密，會(huì)話密鑰的產(chǎn)生比較簡單n對(duì)傳輸層平安來說，平安保護(hù)的是某個(gè)連接。對(duì)傳輸層平安來說，平安保護(hù)的是某個(gè)連接。如如SSL協(xié)議，雖然可用于保護(hù)所有的應(yīng)用層協(xié)協(xié)議，雖然可用于保護(hù)所有的應(yīng)用層協(xié)議，但在郵件保護(hù)中，由于郵件效勞器到本地的議，但在郵件保護(hù)中，由于郵件效勞器到本地的路徑是用路徑是用PO

16、P/MAPI協(xié)議協(xié)議 ，所以需要分段，所以需要分段SSL，較為復(fù)雜較為復(fù)雜 n對(duì)于網(wǎng)絡(luò)層平安如對(duì)于網(wǎng)絡(luò)層平安如IPSEC，平安通道保護(hù)的，平安通道保護(hù)的可能是某個(gè)數(shù)據(jù)流，也可能是一個(gè)端端，也可可能是某個(gè)數(shù)據(jù)流，也可能是一個(gè)端端，也可能是能是LAN-LAN，因此會(huì)話密鑰的生成最為復(fù)雜。，因此會(huì)話密鑰的生成最為復(fù)雜。n對(duì)于鏈路層平安來說，平安保護(hù)只限于一截鏈路，對(duì)于鏈路層平安來說，平安保護(hù)只限于一截鏈路，加密算法和密鑰分發(fā)都不宜復(fù)雜加密算法和密鑰分發(fā)都不宜復(fù)雜23S/MIMES/MIMEnSecure/Multipurpose Internet Mail Secure/Multipurpose I

17、nternet Mail Extension Extension 平安平安/ /多用途多用途InternetInternet郵件郵件擴(kuò)展，擴(kuò)展，RFC2630RFC2630、26322632、26332633nS/MIME S/MIME 將會(huì)成為商業(yè)和機(jī)構(gòu)使用的工業(yè)將會(huì)成為商業(yè)和機(jī)構(gòu)使用的工業(yè)標(biāo)準(zhǔn)標(biāo)準(zhǔn). .nPGP PGP 為個(gè)人為個(gè)人e-mail e-mail 提供平安提供平安 24Simple Mail Transfer Protocol (SMTP, RFC 822)nSMTP SMTP 簡單郵件傳輸協(xié)議存在的問題簡單郵件傳輸協(xié)議存在的問題: :nSMTPSMTP不能傳輸可執(zhí)行文件和其他

18、二進(jìn)制碼不能傳輸可執(zhí)行文件和其他二進(jìn)制碼 (jpeg (jpeg image)image)nSMTPSMTP只能傳輸只能傳輸7-7-位位ASCIIASCII字符的文字字符的文字nSTMPSTMP效勞器拒絕接收超長郵件效勞器拒絕接收超長郵件nASCII ASCII 到到 EBCDIC EBCDIC 轉(zhuǎn)換問題轉(zhuǎn)換問題n截取換行超過截取換行超過7676字符的行，等等字符的行，等等nMIMEMIME是對(duì)是對(duì)RFC 822RFC 822框架的擴(kuò)展，致力于解決框架的擴(kuò)展，致力于解決STMPSTMP存在存在的問題的問題25MIME的頭標(biāo)nMIMEMIME的頭標(biāo)定義了的頭標(biāo)定義了5 5個(gè)新的字段個(gè)新的字段n版

19、本版本MIME-VersionMIME-Version: 1.0: 1.0按照按照 RFC 2045, RFC 2045, RFC 2046RFC 2046定義的規(guī)格定義的規(guī)格n內(nèi)容類型內(nèi)容類型Content-TypeContent-Type: : 這個(gè)字段用于詳細(xì)這個(gè)字段用于詳細(xì)描述主體的數(shù)據(jù)描述主體的數(shù)據(jù)n內(nèi)容傳輸編碼內(nèi)容傳輸編碼Content-Transfer-EncodingContent-Transfer-Encoding: : 內(nèi)容采用的編碼方案內(nèi)容采用的編碼方案 ( (如如radix-64)radix-64)n內(nèi)容內(nèi)容IDIDContent-IDContent-ID: : 該字段

20、主要用于多個(gè)上該字段主要用于多個(gè)上下文時(shí)，對(duì)下文時(shí)，對(duì)MIMEMIME實(shí)體的標(biāo)識(shí)實(shí)體的標(biāo)識(shí). .n內(nèi)容描述內(nèi)容描述Content DescriptionContent Description: : 對(duì)內(nèi)容的對(duì)內(nèi)容的文本描述文本描述 (e.g.,mpeg)(e.g.,mpeg)26S/MIME 功能n在功能上，在功能上，S/MIMES/MIME與與PGPPGP相似，通過使用簽名、加密或簽名相似，通過使用簽名、加密或簽名/ /加密的組合來保證加密的組合來保證MIMEMIME通信的平安，但強(qiáng)化了證書的標(biāo)準(zhǔn)通信的平安，但強(qiáng)化了證書的標(biāo)準(zhǔn)nS/MIMES/MIME的平安功能：的平安功能：n封裝的數(shù)據(jù)封裝

21、的數(shù)據(jù): : 加密的內(nèi)容和加密的會(huì)話密鑰加密的內(nèi)容和加密的會(huì)話密鑰n簽名的數(shù)據(jù)簽名的數(shù)據(jù): : 報(bào)文摘要發(fā)送者的私鑰簽名，然后使用基報(bào)文摘要發(fā)送者的私鑰簽名，然后使用基6464變換編碼內(nèi)容和簽名變換編碼內(nèi)容和簽名n透明簽名透明簽名: : 簽名但不加密簽名但不加密. .只對(duì)簽名進(jìn)行基只對(duì)簽名進(jìn)行基6464變換，這樣具變換，這樣具有有MIMEMIME支持而沒有支持而沒有S/MIMES/MIME權(quán)能的接收者也能讀取權(quán)能的接收者也能讀取n簽名和封裝的數(shù)據(jù)簽名和封裝的數(shù)據(jù): : 各種不同嵌套順序?qū)?shù)據(jù)加密、簽名，各種不同嵌套順序?qū)?shù)據(jù)加密、簽名，如簽名加密的數(shù)據(jù)或加密簽名的數(shù)據(jù)如簽名加密的數(shù)據(jù)或加密簽名

22、的數(shù)據(jù)nS/MIMES/MIME使用使用X.509X.509證書，它的密鑰管理方案介于嚴(yán)格的證書，它的密鑰管理方案介于嚴(yán)格的X.509X.509證書層次結(jié)構(gòu)和證書層次結(jié)構(gòu)和PGPPGP信任網(wǎng)信任網(wǎng)27Algorithms Usedn報(bào)文摘要報(bào)文摘要: SHA-1 and MD5: SHA-1 and MD5n數(shù)字簽名數(shù)字簽名: DSS: DSSn對(duì)稱密碼算法對(duì)稱密碼算法: Triple-DES, RC2/40 : Triple-DES, RC2/40 (exportable)(exportable)n公鑰密碼算法公鑰密碼算法: RSA with key sizes of : RSA with

23、key sizes of 512 and 1024 bits, and Diffie-512 and 1024 bits, and Diffie-Hellman (for session keys).Hellman (for session keys).28PGP vsPEM、S/MIMEItemPGPPEM or S/MIMESupports encryption?YesYesSupports authenticationYesYesSupports non-repudiation?YesYesSupports compression?YesNoSupports mailing lists?

24、NoYesUses base64 coding?YesYesCurrent data encryption algorithmIDEADESKey length for data encryption (bits)12856Current algorithm for key managementRSARSA/D-HKey length for key management (bits)? 384/512/1024VariableUser name spaceUser definedX.400X.509 conformant?NoYesCan eavesdropper read messages

25、?NoNoCan eavesdropper read signatures?NoYesInternet Standard?YesYes292. 遠(yuǎn)程登錄平安協(xié)議SSH: Secure SHellnSSHSSH主要由芬蘭赫爾辛基大學(xué)的主要由芬蘭赫爾辛基大學(xué)的Tatu YlonenTatu Ylonen開發(fā)的，它提供一條平安的遠(yuǎn)程登錄通道，開發(fā)的，它提供一條平安的遠(yuǎn)程登錄通道，可以代替可以代替telnet, rlogintelnet, rlogin等。由于受版權(quán)和等。由于受版權(quán)和加密算法的限制，很多人都使用它的免費(fèi)替加密算法的限制，很多人都使用它的免費(fèi)替代產(chǎn)品代產(chǎn)品OpenSSHOpenSSH。n

26、SSHSSH協(xié)議有版本協(xié)議有版本1 1SSHv1SSHv1和版本和版本2 2SSHv2SSHv2，這兩版本互不兼容，目前，這兩版本互不兼容，目前SSHSSH協(xié)協(xié)議只有草案議只有草案20022002，9 9，由，由IETFIETF的的SECSHSECSH工工作組標(biāo)準(zhǔn)，還沒有形成作組標(biāo)準(zhǔn)，還沒有形成RFCRFC。30SSH的體系nSSHSSH傳輸層傳輸層(Transport Layer)(Transport Layer)協(xié)議協(xié)議n提供效勞器主機(jī)認(rèn)證，提供數(shù)據(jù)加密，提供數(shù)據(jù)提供效勞器主機(jī)認(rèn)證，提供數(shù)據(jù)加密，提供數(shù)據(jù)完整性支持完整性支持 nSSHSSH認(rèn)證認(rèn)證(Authentication)(Auth

27、entication)協(xié)議協(xié)議n為效勞器提供用戶的身份認(rèn)證為效勞器提供用戶的身份認(rèn)證nSecure FTP Secure FTP nSSHSSH連接連接ConnectionConnection協(xié)議協(xié)議n將加密的信息隧道復(fù)用成假設(shè)干個(gè)邏輯通道，提將加密的信息隧道復(fù)用成假設(shè)干個(gè)邏輯通道，提供給高層的應(yīng)用協(xié)議使用。供給高層的應(yīng)用協(xié)議使用。31SSH采用的認(rèn)證、加密算法nSupported authentication methodsSupported authentication methodsnX509 CertificatesX509 CertificatesnPublic keysPublic

28、 keysnPasswordsPasswordsnSupported encryption algorithmsSupported encryption algorithmsn3DES3DESnBlowfishBlowfishnArcfourArcfournCastCastnSupported hash algorithmsSupported hash algorithmsnSHA1SHA1nMD5MD5323Web平安協(xié)議S-HTTPn平安的超文本傳輸協(xié)議平安的超文本傳輸協(xié)議Secure Hypertext Transfer Protocol)最初由企業(yè)集成技術(shù)公司最初由企業(yè)集成技術(shù)公司Enterprise Integration Technology Corporation, EIT)提出，提出，S-HTT