信息安全技術(shù)第五章-web安全技術(shù)

1、信息安全技術(shù)(jsh)許紅星(hngxng)共五十一頁(yè)Web安全(nqun)協(xié)議共五十一頁(yè)SSL傳輸層安全服務(wù)最早由Netscape提出并應(yīng)用在其瀏覽器中版本3公開(kāi)制定后由IETF在其基礎(chǔ)(jch)上制定了TLS (Transport Layer Security)使用TCP協(xié)議提供點(diǎn)到點(diǎn)的安全服務(wù)共五十一頁(yè)SSL特性(txng)和應(yīng)用程序無(wú)關(guān)沒(méi)有指定(zhdng)SSL中的安全怎樣使用怎樣初始SSL握手協(xié)議怎樣驗(yàn)證證書(shū) 這些都讓上層協(xié)議去決定共五十一頁(yè)SSL體系結(jié)構(gòu)圖共五十一頁(yè)SSL體系(tx)組成部分握手協(xié)議：（比較復(fù)雜）包含密鑰交換和認(rèn)證10種消息類(lèi)型記錄協(xié)議：（簡(jiǎn)單）分段，壓縮，驗(yàn)證，

2、加密更改密碼規(guī)范協(xié)議：（簡(jiǎn)單）一個(gè)字節(jié)的消息并且值為1可以(ky)認(rèn)為是握手協(xié)議的一部分警報(bào)協(xié)議：（簡(jiǎn)單）消息長(zhǎng)度為兩個(gè)字節(jié)一個(gè)字節(jié)的警報(bào)級(jí)別嚴(yán)重或者警告；一個(gè)字節(jié)的警報(bào)代碼共五十一頁(yè)SSL服務(wù)(fw)身份驗(yàn)證數(shù)據(jù)保密性數(shù)據(jù)認(rèn)證(rnzhng)和完整性壓縮/解壓縮生成/分發(fā)會(huì)話密鑰集成進(jìn)協(xié)議安全參數(shù)協(xié)商共五十一頁(yè)SSL會(huì)話(huhu)和連接每個(gè)連接都和一個(gè)會(huì)話關(guān)聯(lián)會(huì)話在多個(gè)安全連接之間可以重用握手協(xié)議同時(shí)(tngsh)建立新的會(huì)話和連接如已有會(huì)話，使用現(xiàn)存的會(huì)話來(lái)建立新的連接共五十一頁(yè)SSL會(huì)話(huhu)SSL會(huì)話（由握手協(xié)議建立）會(huì)話ID由服務(wù)器選擇 X.509公鑰證書(shū)可以為空壓縮算法密碼

3、規(guī)范加密算法消息摘要算法主密鑰 48字節(jié)共享密鑰可重用標(biāo)志是否能用來(lái)(yn li)初始新的連接共五十一頁(yè)SSL記錄(jl)協(xié)議每個(gè)SSL記錄包括內(nèi)容類(lèi)型(lixng): 8比特，只定義4種內(nèi)容改變密碼規(guī)范警報(bào)握手應(yīng)用程序協(xié)議版本號(hào)：8比特的主要版本，8比特小版本長(zhǎng)度：最大16K字節(jié)數(shù)據(jù)負(fù)載：壓縮并加密消息認(rèn)證碼共五十一頁(yè)SSL記錄協(xié)議(xiy)流程發(fā)送消息需要四步（接收(jishu)方順序相反）分段壓縮摘要加密共五十一頁(yè)SSL記錄協(xié)議(xiy)操作流程abcdefghiabcghidefabcabcMabcMabcMH應(yīng)用(yngyng)數(shù)據(jù)分段壓縮添加MAC加密附加SSL記錄報(bào)頭共五十一頁(yè)S

4、SL握手(w shu)協(xié)議初始SSL會(huì)話為空壓縮和加密算法由握手協(xié)議進(jìn)行設(shè)置在會(huì)話過(guò)程中握手協(xié)議可以(ky)重復(fù)進(jìn)行共五十一頁(yè)SSL握手(w shu)協(xié)議類(lèi)型(lixng)：1字節(jié)定義了10種消息類(lèi)型長(zhǎng)度：3字節(jié)內(nèi)容共五十一頁(yè)3.3 Web安全(nqun)協(xié)議客戶(k h)方發(fā)送client_hello消息等待server_hello消息需要新密鑰？產(chǎn)生新的密鑰發(fā)出client_master_key等待server_verify消息第二階段NY服務(wù)器等待client_hello消息發(fā)出server_hello消息需要新密鑰？等待client_master_key解開(kāi)密鑰發(fā)出server_ver

5、ify消息第二階段NY共五十一頁(yè)SSL握手(w shu)協(xié)議共五十一頁(yè)SSL握手(w shu)協(xié)議階段1:建立安全參數(shù)階段2:服務(wù)器認(rèn)證和密鑰交換階段3:客戶(k h)認(rèn)證和密鑰交換階段4:結(jié)束共五十一頁(yè)SSL握手(w shu)協(xié)議SSL握手協(xié)議中，9個(gè)握手消息(xio xi)必須按照順序進(jìn)行發(fā)送可選的消息可以不發(fā)送第10個(gè)消息在后面解釋hello_request消息改變密碼規(guī)范協(xié)議是一個(gè)單獨(dú)的消息協(xié)議功能和握手協(xié)議中的一個(gè)消息功能相似共五十一頁(yè)SSL快速(kui s)握手過(guò)程Client ServerClientHello -ServerHelloChangeCipherSpecApplic

6、ation Data Application Data共五十一頁(yè)SSL握手(w shu)協(xié)議hello_request 協(xié)議在任何時(shí)候都可以從服務(wù)器向客戶端發(fā)送(f sn)，要求客戶端在合適的時(shí)候啟動(dòng)握手協(xié)議來(lái)重新建立會(huì)話下列情況下，客戶端忽略此消息：已經(jīng)有了一個(gè)會(huì)話不想重新建立會(huì)話客戶端可以用no_renegotiation警報(bào)來(lái)響應(yīng)共五十一頁(yè)SSL警報(bào)(jngbo)協(xié)議2字節(jié)警報(bào)消息1字節(jié)級(jí)別嚴(yán)重或者(huzh)警告1字節(jié)警報(bào)代碼共五十一頁(yè)SSL警報(bào)(jngbo)信息close_notify(0),unexpected_message(10),bad_record_mac(20),decr

7、yption_failed(21),record_overflow(22),decompression_failure(30),handshake_failure(40),bad_certificate(42),unsupported_certificate(43),certificate_revoked(44),certificate_expired(45),certificate_unknown(46),illegal_parameter(47),unknown_ca(48),access_denied(49),decode_error(50),decrypt_error(51),expo

8、rt_restriction(60),protocol_version(70),insufficient_security(71),internal_error(80),user_canceled(90),no_renegotiation(100),共五十一頁(yè)SSL嚴(yán)重警報(bào)(jngbo)信息下列情況下，警報(bào)級(jí)別總是嚴(yán)重未知的消息驗(yàn)證碼錯(cuò)誤(cuw)解密錯(cuò)誤握手失敗非法的參數(shù)共五十一頁(yè)SSL服務(wù)(fw)端口使用特定端口來(lái)運(yùn)行(ynxng)使用SSL的程序已成為事實(shí)的標(biāo)準(zhǔn)使用通常的端口，但應(yīng)用程序協(xié)議在建立連接時(shí)先進(jìn)行安全選項(xiàng)的協(xié)商在TCP/IP建立連接時(shí)協(xié)商是不是使用SSL共五十一頁(yè)SSL服務(wù)(

9、fw)端口https 443 ssmtp 465snntp 563 sldap 636spop3 995 ftp-data 889ftps 990 imaps 991telnets 992 ircs 993共五十一頁(yè)安全電子(dinz)交易協(xié)議SET安全(nqun)電子交易協(xié)議SETSET的加密和認(rèn)證技術(shù)SET協(xié)議的處理邏輯SET協(xié)議和SSL協(xié)議的比較共五十一頁(yè)電子商務(wù)關(guān)鍵的兩個(gè)(lin )問(wèn)題準(zhǔn)確性安全性共五十一頁(yè)SET協(xié)議(xiy)簡(jiǎn)介(Secure Electronic Transaction 安全電子交易(jioy)協(xié)議)是由世界上兩大信用卡商Visa和Master Card于1997

10、年5月聯(lián)合制定的，實(shí)現(xiàn)網(wǎng)上信用卡交易的模型和規(guī)范。SET規(guī)范是一種為基于信用卡而進(jìn)行的電子交易提供安全措施的規(guī)則，是一種能廣泛應(yīng)用于Internet上的安全電子付款協(xié)議。SET中的核心技術(shù)主要有公開(kāi)密匙加密、電子數(shù)字簽名、電子信封、電子安全證書(shū)等共五十一頁(yè)SET協(xié)議的作用(zuyng)和地位 SET規(guī)范為在Internet上進(jìn)行安全的電子商務(wù)提供了一個(gè)開(kāi)放的標(biāo)準(zhǔn)。SET綜合使用私密鑰加密和公密鑰加密的電子認(rèn)證技術(shù)，其認(rèn)證過(guò)程使用RSA和DES算法，因此可以為電子商務(wù)提供很強(qiáng)的安全保護(hù)。SET主要是為了解決用戶、商家和銀行之間通過(guò)信用卡支付的交易而設(shè)計(jì)的，以保證支付信息的機(jī)密性，支付過(guò)程的完整性

11、，商戶(shn h)及持卡人的合法身份，以及可操作性。 SET規(guī)范是目前電子商務(wù)中最重要的協(xié)議。SET得到了美國(guó)IT企業(yè)的支持如GTE IBM Microsoft Netscape RSA SAIC Terisa 和VeriSign共五十一頁(yè)SET協(xié)議(xiy)參與方共五十一頁(yè)SET協(xié)議(xiy)成員持卡人特約商家支付網(wǎng)關(guān)收單銀行(ynhng)發(fā)卡機(jī)構(gòu)認(rèn)證機(jī)構(gòu)共五十一頁(yè)SET特性(txng)機(jī)密性數(shù)據(jù)完整性身份(shn fen)認(rèn)證共五十一頁(yè)安全電子(dinz)交易協(xié)議SET安全電子交易(jioy)協(xié)議SETSET的加密和認(rèn)證技術(shù)SET協(xié)議的處理邏輯SET協(xié)議和SSL協(xié)議的比較共五十一頁(yè)SET

12、協(xié)議(xiy)中的加密技術(shù)常規(guī)密碼體制公開(kāi)密鑰密碼體制數(shù)字信封數(shù)字簽名消息(xio xi)摘要共五十一頁(yè)SET協(xié)議加密(ji m)流程對(duì)接收(jishu)方的數(shù)字證書(shū)進(jìn)行認(rèn)證；對(duì)要發(fā)送的消息明文進(jìn)行hash運(yùn)算，生成消息摘要；用發(fā)送方私有密鑰對(duì)消息摘要加密，生成數(shù)字簽名；隨機(jī)生成對(duì)稱密鑰；用對(duì)稱密鑰對(duì)消息明文進(jìn)行加密，生成消息密文；用接收方的公開(kāi)密鑰對(duì)對(duì)稱密鑰加密，得到數(shù)字信封；將消息密文、數(shù)字簽名、數(shù)字信封及發(fā)送方數(shù)字證書(shū)發(fā)送給接收方共五十一頁(yè)SET協(xié)議(xiy)解密流程對(duì)發(fā)送方的數(shù)字證書(shū)進(jìn)行認(rèn)證；用接收方的秘密密鑰對(duì)數(shù)字信封解封，得到(d do)對(duì)稱密鑰；用對(duì)稱密鑰對(duì)消息密文解密，得到消息

13、明文；用發(fā)送方的公開(kāi)密鑰對(duì)數(shù)字簽名解密，得到消息摘要；對(duì)消息明文進(jìn)行hash運(yùn)算，得到重新計(jì)算的消息摘要；比較兩個(gè)消息摘要，確認(rèn)消息的完整性；如果兩個(gè)摘要相同，說(shuō)明消息是相應(yīng)方發(fā)送的，并且在傳輸中沒(méi)有被篡改，那么保存消息明文；共五十一頁(yè)SET的認(rèn)證(rnzhng)技術(shù)證書(shū)持卡人證書(shū)商家證書(shū)支付(zhf)網(wǎng)關(guān)證書(shū)收單行證書(shū)發(fā)卡行證書(shū)共五十一頁(yè)證書(shū)(zhngsh)管理機(jī)構(gòu)CA負(fù)責(zé)對(duì)交易的各方進(jìn)行(jnxng)身份驗(yàn)證CA可由大家都信任的一方擔(dān)當(dāng)（比如銀行）共五十一頁(yè)證書(shū)(zhngsh)驗(yàn)證機(jī)制CA采用層次結(jié)構(gòu)，根CA一般由國(guó)際上的權(quán)威機(jī)構(gòu)擔(dān)任；通信時(shí)，各方通過(guò)由某個(gè)CA簽發(fā)的證書(shū)來(lái)證明自己的身份。

14、如果對(duì)簽發(fā)的CA不信任，則可對(duì)CA的身份進(jìn)行(jnxng)驗(yàn)證。共五十一頁(yè)安全電子交易(jioy)協(xié)議SET安全電子交易協(xié)議SETSET的加密和認(rèn)證技術(shù)SET協(xié)議的處理(chl)邏輯SET協(xié)議和SSL協(xié)議的比較共五十一頁(yè)SET購(gòu)物(u w)流程持卡人選擇要購(gòu)買(mǎi)的商品持卡人填寫(xiě)訂單持卡人選擇付款方式，此時(shí)SET開(kāi)始介入持卡人發(fā)送給商家一個(gè)完整的訂單及要求付款的指令。商家接受訂單后，向持卡人的金融機(jī)構(gòu)請(qǐng)求支付認(rèn)可。商家給發(fā)送(f sn)訂單確認(rèn)信息給顧客，顧客端軟件記錄交易日志，以備將來(lái)查詢。商家給顧客裝運(yùn)貨物，或完成定購(gòu)服務(wù)。商家從持卡人的金融機(jī)構(gòu)請(qǐng)求支付。共五十一頁(yè)SET協(xié)議(xiy)流程圖持

15、卡人商家收單銀行確認(rèn)商店的合法行提交商店的證書(shū)數(shù)字簽名、訂單和數(shù)字證書(shū)請(qǐng)求交易授權(quán)交易授權(quán)恢復(fù)訂單確定、交易完成請(qǐng)款請(qǐng)求請(qǐng)款回復(fù)共五十一頁(yè)持卡人注冊(cè)(zhc)持卡人接收響應(yīng)(xingyng)并請(qǐng)求注冊(cè)表持卡人接收注冊(cè)表并請(qǐng)求證書(shū)持卡人接收證書(shū)CA處理請(qǐng)求并發(fā)出注冊(cè)表CA處理請(qǐng)求并發(fā)出證書(shū)初始化請(qǐng)求初始化響應(yīng)注冊(cè)表請(qǐng)求注冊(cè)表證書(shū)請(qǐng)求證書(shū)持卡人初始化注冊(cè)持卡人計(jì)算機(jī)CA發(fā)出響應(yīng)CA共五十一頁(yè)商家(shn ji)注冊(cè)商家接收(jishu)注冊(cè)表和請(qǐng)求證書(shū)商家接收證書(shū)CA處理請(qǐng)求并發(fā)出證書(shū)初始化請(qǐng)求注冊(cè)表證書(shū)請(qǐng)求商家證書(shū)商家請(qǐng)求注冊(cè)表商家計(jì)算機(jī)CA處理請(qǐng)求并發(fā)出注冊(cè)表CA共五十一頁(yè)購(gòu)買(mǎi)請(qǐng)求(qngqi

16、)流程持卡人接收(jishu)響應(yīng)和發(fā)出請(qǐng)求持卡人接收購(gòu)買(mǎi)響應(yīng)商家處理請(qǐng)求信息初始化請(qǐng)求初始化響應(yīng)證書(shū)請(qǐng)求商家證書(shū)持卡人初始化注冊(cè)持卡人計(jì)算機(jī)商家發(fā)出證書(shū)商家共五十一頁(yè)雙重(shungchng)簽名首先生成兩條消息的摘要，將兩個(gè)摘要連接起來(lái)，生成一個(gè)(y )新的摘要（成為雙重簽名）。然后用發(fā)送者的私有密鑰加密，為了讓接收者驗(yàn)證雙重簽名，還必須將另外一條消息的摘要一起傳過(guò)去。驗(yàn)證時(shí)，先生成消息摘要，將它和另外一個(gè)消息摘要連接起來(lái)，生成新的摘要，如果與解密后的雙重簽名相等，就可以確定消息是真實(shí)的。共五十一頁(yè)支付(zhf)授權(quán)商家處理(chl)響應(yīng)授權(quán)請(qǐng)求授權(quán)響應(yīng)商家請(qǐng)求授權(quán)商家計(jì)算機(jī)支付網(wǎng)關(guān)處理授

17、權(quán)支付網(wǎng)關(guān)共五十一頁(yè)支付(zhf)請(qǐng)款商家(shn ji)處理響應(yīng)請(qǐng)款請(qǐng)求請(qǐng)款響應(yīng)商家請(qǐng)求付款商家計(jì)算機(jī)支付網(wǎng)關(guān)處理請(qǐng)款支付網(wǎng)關(guān)共五十一頁(yè)安全電子(dinz)交易協(xié)議SET安全電子交易協(xié)議SETSET的加密和認(rèn)證(rnzhng)技術(shù)SET協(xié)議的處理邏輯SET協(xié)議和SSL協(xié)議的比較共五十一頁(yè)SET和SSL比較(bjio)SETSSL基礎(chǔ)信用卡傳輸通信協(xié)議采用技術(shù)私鑰加密公鑰加密，RSA和DES算法公用密鑰加密DES算法實(shí)質(zhì)安全電子付款協(xié)議網(wǎng)絡(luò)安全協(xié)議使用范圍廣泛應(yīng)用難于大規(guī)模應(yīng)作用很強(qiáng)的保護(hù)較強(qiáng)的保護(hù)局限復(fù)雜、速度較慢共五十一頁(yè)內(nèi)容摘要信息安全技術(shù)。后由IETF在其基礎(chǔ)上制定了TLS (Transport