第四章信息安全课件

第四章第四章 网络安全协议网络安全协议14.1 Internet协议基础知识协议基础知识21 1、网络协议网络协议为进行网络中的数据交换而建立的规则、标准或约定叫做网络协议。32 2、ISO OSIISO OSI参考模型参考模型1978年国际标准化组织ISO提出了“开放系统互联参考模型OSI”，1980年草拟参考模型协议书，1983年正式批准为国际标准。OSI体系结构将网络的不同功能划分为7层4应用层表示层会话层传输层网络层数据链路层物理层资源子网通信子网ISO/OSI七层参考模型5ISO/OSI七层参考模型工作过程应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层通信介质63 3、TCP/IPTCP/IP协议协议传输控制协议/网间协议，是Internet所使用的协议；是一个32位的、可路由的工业标准的协议集；TCP是传输控制协议，规定一种可靠的数据信息传递服务；IP协议又称互联网协议，主要解决互联网上结点的唯一性标识问题。7TelnetFTPSMTPHTTPDNSOthersTCP/UDPIPNetworkInterface（物理网络）ARPRARPICMP传输层应用层网络接口网际层TCP/IPTCP/IP协议集协议集TelnetTelnet：远程登录；FTPFTP：文件传输；SMTPSMTP：电子邮件；DNSDNS：域名系统；HTTPHTTP：超文本传输；TCPTCP：传输控制协议；UDPUDP：用户数据报协议；ICMPICMP：网际报文控制；IGMPIGMP：网际组管理协议；IPIP：网际协议；ARPARP：地址解析；RARPRARP：反向地址解析。IGMP8传输层网际层网路接口层应用层表示层会话层传输层网络层数据链路层物理层应用层TCP/IP和OSI对应关系TCP/IPOSI RM9TCP/IP协议没有考虑安全问题，这就决定了现在的Internet本质上是不安全的！为了解决Internet协议的不安全性，出现了很多网络安全协议。104 42 SSL2 SSL协议协议11SSL(SecureSocketLayer)是Netscape公司设计的主要用于web的安全传输协议。IETF(ietf.org)将SSL作了标准化，即RFC2246,并将其称为TLS（TransportLayerSecurity），TLS1.0与SSL3.0差别很小。一、一、SSLSSL简介简介12关于关于IETFIETF IETF组织(InternetEngineeringTaskForce，即Internet工程任务组)成立于一九八六年，是国际性互联网标准化组织。其主要工作是解决互联网遇到的各种技术问题，并推动互联网的普及和发展。目前，除TCP/IP外，所有互联网的基本技术都是由IETF开发或由其改进的。IETF当前的主要研究领域包括IPv6(下一代网络协议)和新型网络工具VPN(虚拟专用网)的标准制定等。13二、二、SSLSSL协议的位置协议的位置IPHTTP/S-HTTPFTPSMTPTCP SSL141、SSL服务器认证：允许用户确认服务器身份。支持SSL协议的客户机软件能使用公钥密码标准技术检查服务器证书、公用ID是否有效和是否由在客户信任的CA列表内的认证机构发放。2、SSL客户机认证：允许服务器确认用户身份。使用应用于服务器认证同样的技术。3、机密性：一个加密的SSL连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和由接受方软件解密，这样提供了高度机密性。4、完整性：所有通过加密SSL连接发送的数据都被一种检测篡改的机制所保护，这种机制自动地决定传输中的数据是否已经被更改。三、三、SSLSSL协议主要功能协议主要功能151.连接是保密的。对称加密法用于数据加密。2.身份是可认证的。对方的身份能够使用公钥密码算法进行认证。3.连接是可靠的。消息传输使用消息认证码（MAC）进行消息完整性检查四、四、SSLSSL协议连接安全三个协议连接安全三个基本属性基本属性16五、五、SSLSSL协议体系结构协议体系结构 171 1、记录协议、记录协议记录协议定义了要传输数据的格式，它位于传输协议TCP之上，用于各种更高层协议的封装。记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。所有传输数据包括握手消息、改变密文规约消息、告警消息和应用数据都被封装在记录中。2 2、握手协议、握手协议握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。183 3、修改密文规约协议、修改密文规约协议 目的是为了表示密码策略的变化。该协议包含一个单一消息，由值为1的单字节构成。在完成握手协议之前，客户端和服务器都要发送这一消息，以便通知对方其后的记录将用刚刚协商的密码规范以及相关联的密钥来保护。4 4、告警协议、告警协议包含若干告警消息，其作用是，当握手过程或数据加密等操作出错或发生异常时，向对方发出警告或者终止当前连接。191 1、SSL Record ProtocolSSL Record Protocol为为SSLSSL连连接提供两种服务：接提供两种服务：l保密性：使用HandshakeProtocol定义的共享的保密密钥对SSL有效负载加密。l消息完整性：使用HandshakeProtocol定义的共享的保密密钥用于形成MAC六、六、SSLSSL记录层协议记录层协议202 2、SSLSSL协议的发送工作过程协议的发送工作过程21第一步：从上层接收要发送的信息。第二步：将信息分片。第三步：用当前会话状态中指定的压缩算法压缩数据。22第四步：用密码规约中生成的MAC算法生成MAC。23第五步：用密码规约中生成的加密算法加密数据。24第六步：在加密数据上附加一个首部25第七步：发送数据263 3、SSLSSL协议的接收工作过程协议的接收工作过程第一步：接收数据。第二步：用当前密码规约中指定的解密算法解密数据。第三步：用当前密码规约中指定的MAC算法校验MAC。第四步：用当前会话状态中指定的压缩算法对数据进行解压缩。第五步：数据重组。第六步：将信息送给高层应用。274 4、SSLSSL记录协议处理的数据类型记录协议处理的数据类型 28(d)ApplicationData29七、七、SSLSSL握手协议握手协议1 1、SSLSSL握握手手协协议议提提供供认认证证功功能能和和密钥协商功能密钥协商功能302 2、握手协议信息类型、握手协议信息类型 313 3、完整的握手协议信息流、完整的握手协议信息流 324 4、建立可恢复的新的会话连接信息流、建立可恢复的新的会话连接信息流334 43 SET3 SET协议协议 34SET(SecureElectronicTransaction安全电子交易协议)是由VISA和MasterCard两大信用卡公司于2019年5月联合推出的规范。SET规范为在Internet上进行安全的电子商务提供了一个开放的标准。SET规范是一种为基于信用卡而进行的电子交易提供安全措施的规则，是一种能广泛应用于Internet上的安全电子付款协议。SET主要是为了解决用户商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密，支付过程的完整，商户及持卡人的合法身份以及可操作性。SET能在电子交易环节上提供更大的信任度，更完整的交易信息，更高的安全性和更少受欺诈的可能性。一、一、SETSET协议概述协议概述35SET中的核心技术主要有公开密钥加密、数字签名、数字信封、数字证书等。SET协议用以支持BtoC这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。SET规范是目前电子商务中最重要的协议。SET得到了美国IT企业的支持，如GTE、IBM、Microsoft、Netscape、RSA、SAIC、Terisa、和VeriSign。一、一、SETSET协议概述协议概述36二、二、SETSET协议的位置协议的位置 37l信息的保密性。SET的一个重要特点是持卡人的信用卡号码只提供给银行，而商家无法知道信用卡号码。SET利用DES密码算法提供信息的保密性。l数据完整性。从持卡人发往商家的支付信息包括订购信息、个人数据及支付指令。SET引入RSA数字签名及Sha-1函数确保这些消息的内容在传输过程中不被非法更改。l持卡人身份的鉴别。SET可以让商家鉴别持卡人是有效信用卡帐号的合法用户。SET采用X.509V3数字证书和RSA数字签名达到这一目的。l商家的鉴别。SET使持卡人可以鉴别商家真实性，而且可以验证商家能否接受信用卡支付。SET同样采用X.509V3数字证书和RSA数字签名实现这一功能。l互操作性三、三、SETSET协议的特点协议的特点38双向签名目的双向签名目的为了连接两个发送给不同接收者的报文。四、双向签名四、双向签名39工作原理工作原理 40在SET协议系统中，参与交易的主要有六种实体：持卡人、电子商家、收单银行、发卡银行、支付网关、认证中心CA五、五、SETSET实现架构实现架构41持卡人主要指持有信用卡的消费者；电子商家主要指支持电子化支付手段的企业组织；收单银行主要使用支付系统的专用网关提供各商家的因特网在线借款服务；发卡银行负责处理信用卡的发放、账目管理、付款清算等；认证中心CA是一些发卡机构共同委派的公证代理组织，其主要功能是产生、分配和管理发卡人、商家和支付网关的X.509v3公开密钥证书。42六、六、SETSET的付款过程的付款过程 43l持卡人发送给商家一个完整的订单及要求付款的指令；l在SET中，订单和付款指令由持卡人进行数字签名，同时利用双重签名技术保证商家看不到持卡人的账号信息。l商家接受订单后，向持卡人的金融机构请求支付认可，通过支付网关到银行，再到发卡机构确认，批准交易，然后返回确认信息给商家。l商家发送订单确认信息给顾客，顾客端的软件可记录交易日志，以备将来查询。l商家给顾客装运货物，或者完成订购的任务，到此为止，一个购买过程已经结束。l商家可以立即请求银行将钱从购物者的账号转移到商家账号，也可以等到某一时刻，请求成批划帐处理。l注意：认证操作和支付操作中一般会有时间间隔。44SETSET证书证书SET协议使用X.509v3证书，并对其进行了扩展。SET证书类型持卡人证书、商家证书、收单行证书、发卡机构证书SETSET证书的树形验证结构证书的树形验证结构在两方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处。七、七、SETSET证书证书45RCARCABCABCAGCAGCACCACCAMCAMCAPCAPCARCA:RCA:根认证中心根认证中心根认证中心根认证中心BCA:BCA:品牌认证中心品牌认证中心品牌认证中心品牌认证中心GCA:GCA:区域认证中心区域认证中心区域认证中心区域认证中心CCA:CCA:持卡人认证中心持卡人认证中心持卡人认证中心持卡人认证中心MCA:MCA:商认证中心商认证中心商家认证中心商家认证中心PCA:PCA:支付网关认证中心支付网关认证中心支付网关认证中心支付网关认证中心认证机构树型结构认证机构树型结构认证机构树型结构认证机构树型结构461 1、SETSET交易的三个阶段交易的三个阶段l在购买请求购买请求阶段，用户与商家确定所用支付方式的细节。l在支付授权支付授权阶段，商家会与银行核实,随着交易的进展他们将得到付款。l在支付回复支付回复阶段，商家向银行出示所有交易的细节，然后银行以适当方式转移货款。八、八、SETSET交易过程信息分析交易过程信息分析472 2、购买请求阶段、购买请求阶段n发起请求：向商家请求商家和支付网关的证书n发起响应：赋予请求消息一个交易标示符，生成响应信息（商家和支付网关的公开密钥证书），用私钥对该信息进行数字签名，发给持卡人。n购买请求：验证商家和支付网关的证书，生成购买请求。4849n购买响应：验证持卡人证书；验证双向签名；将支付信息转交给支付网关（具体内容见下一步）；同时生成生成购买响应消息，通知持卡人已经收到请求信息。503 3、支付授权阶段、支付授权阶段n授权请求：内容包括授权数量、交易标示符及其它关于交易的信息，将该请求用支付网关的公钥生成数字信封；再加上持卡人的PI（SET密文），发给支付网关。n授权响应：解密商家生成的信封获得请求信息，解密持卡人生成的数字信封获得Ks，用Ks解密获得PI；验证；生成授权响应信息；用商家公钥生成数字信封发给商家。514 4、支付回复、支付回复商家向支付网关请求支付，银行支付完成以后回复商家。两个信息：回复请求、回复响应；注意这两个信息都采用数字信封技术传输。52本章小结本章小结53 Thank you拯畏怖汾关炉烹霉躲渠早膘岸缅兰辆坐蔬光膊列板哮瞥疹傻俘源拯割宜跟三叉神经痛-治疗三叉神经痛-治疗