版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、信息安全技術(shù)(jsh)許紅星(hngxng)共五十一頁Web安全(nqun)協(xié)議共五十一頁SSL傳輸層安全服務(wù)最早由Netscape提出并應(yīng)用在其瀏覽器中版本3公開制定后由IETF在其基礎(chǔ)(jch)上制定了TLS (Transport Layer Security)使用TCP協(xié)議提供點到點的安全服務(wù)共五十一頁SSL特性(txng)和應(yīng)用程序無關(guān)沒有指定(zhdng)SSL中的安全怎樣使用怎樣初始SSL握手協(xié)議怎樣驗證證書 這些都讓上層協(xié)議去決定共五十一頁SSL體系結(jié)構(gòu)圖共五十一頁SSL體系(tx)組成部分握手協(xié)議:(比較復(fù)雜)包含密鑰交換和認(rèn)證10種消息類型記錄協(xié)議:(簡單)分段,壓縮,驗證,
2、加密更改密碼規(guī)范協(xié)議:(簡單)一個字節(jié)的消息并且值為1可以(ky)認(rèn)為是握手協(xié)議的一部分警報協(xié)議:(簡單)消息長度為兩個字節(jié)一個字節(jié)的警報級別嚴(yán)重或者警告;一個字節(jié)的警報代碼共五十一頁SSL服務(wù)(fw)身份驗證數(shù)據(jù)保密性數(shù)據(jù)認(rèn)證(rnzhng)和完整性壓縮/解壓縮生成/分發(fā)會話密鑰集成進(jìn)協(xié)議安全參數(shù)協(xié)商共五十一頁SSL會話(huhu)和連接每個連接都和一個會話關(guān)聯(lián)會話在多個安全連接之間可以重用握手協(xié)議同時(tngsh)建立新的會話和連接如已有會話,使用現(xiàn)存的會話來建立新的連接共五十一頁SSL會話(huhu)SSL會話(由握手協(xié)議建立)會話ID由服務(wù)器選擇 X.509公鑰證書可以為空壓縮算法密碼
3、規(guī)范加密算法消息摘要算法主密鑰 48字節(jié)共享密鑰可重用標(biāo)志是否能用來(yn li)初始新的連接共五十一頁SSL記錄(jl)協(xié)議每個SSL記錄包括內(nèi)容類型(lixng): 8比特,只定義4種內(nèi)容改變密碼規(guī)范警報握手應(yīng)用程序協(xié)議版本號:8比特的主要版本,8比特小版本長度:最大16K字節(jié)數(shù)據(jù)負(fù)載:壓縮并加密消息認(rèn)證碼共五十一頁SSL記錄協(xié)議(xiy)流程發(fā)送消息需要四步(接收(jishu)方順序相反)分段壓縮摘要加密共五十一頁SSL記錄協(xié)議(xiy)操作流程abcdefghiabcghidefabcabcMabcMabcMH應(yīng)用(yngyng)數(shù)據(jù)分段壓縮添加MAC加密附加SSL記錄報頭共五十一頁S
4、SL握手(w shu)協(xié)議初始SSL會話為空壓縮和加密算法由握手協(xié)議進(jìn)行設(shè)置在會話過程中握手協(xié)議可以(ky)重復(fù)進(jìn)行共五十一頁SSL握手(w shu)協(xié)議類型(lixng):1字節(jié)定義了10種消息類型長度:3字節(jié)內(nèi)容共五十一頁3.3 Web安全(nqun)協(xié)議客戶(k h)方發(fā)送client_hello消息等待server_hello消息需要新密鑰?產(chǎn)生新的密鑰發(fā)出client_master_key等待server_verify消息第二階段NY服務(wù)器等待client_hello消息發(fā)出server_hello消息需要新密鑰?等待client_master_key解開密鑰發(fā)出server_ver
5、ify消息第二階段NY共五十一頁SSL握手(w shu)協(xié)議共五十一頁SSL握手(w shu)協(xié)議階段1:建立安全參數(shù)階段2:服務(wù)器認(rèn)證和密鑰交換階段3:客戶(k h)認(rèn)證和密鑰交換階段4:結(jié)束共五十一頁SSL握手(w shu)協(xié)議SSL握手協(xié)議中,9個握手消息(xio xi)必須按照順序進(jìn)行發(fā)送可選的消息可以不發(fā)送第10個消息在后面解釋hello_request消息改變密碼規(guī)范協(xié)議是一個單獨(dú)的消息協(xié)議功能和握手協(xié)議中的一個消息功能相似共五十一頁SSL快速(kui s)握手過程Client ServerClientHello -ServerHelloChangeCipherSpecApplic
6、ation Data Application Data共五十一頁SSL握手(w shu)協(xié)議hello_request 協(xié)議在任何時候都可以從服務(wù)器向客戶端發(fā)送(f sn),要求客戶端在合適的時候啟動握手協(xié)議來重新建立會話下列情況下,客戶端忽略此消息:已經(jīng)有了一個會話不想重新建立會話客戶端可以用no_renegotiation警報來響應(yīng)共五十一頁SSL警報(jngbo)協(xié)議2字節(jié)警報消息1字節(jié)級別嚴(yán)重或者(huzh)警告1字節(jié)警報代碼共五十一頁SSL警報(jngbo)信息close_notify(0),unexpected_message(10),bad_record_mac(20),decr
7、yption_failed(21),record_overflow(22),decompression_failure(30),handshake_failure(40),bad_certificate(42),unsupported_certificate(43),certificate_revoked(44),certificate_expired(45),certificate_unknown(46),illegal_parameter(47),unknown_ca(48),access_denied(49),decode_error(50),decrypt_error(51),expo
8、rt_restriction(60),protocol_version(70),insufficient_security(71),internal_error(80),user_canceled(90),no_renegotiation(100),共五十一頁SSL嚴(yán)重警報(jngbo)信息下列情況下,警報級別總是嚴(yán)重未知的消息驗證碼錯誤(cuw)解密錯誤握手失敗非法的參數(shù)共五十一頁SSL服務(wù)(fw)端口使用特定端口來運(yùn)行(ynxng)使用SSL的程序已成為事實的標(biāo)準(zhǔn)使用通常的端口,但應(yīng)用程序協(xié)議在建立連接時先進(jìn)行安全選項的協(xié)商在TCP/IP建立連接時協(xié)商是不是使用SSL共五十一頁SSL服務(wù)(
9、fw)端口https 443 ssmtp 465snntp 563 sldap 636spop3 995 ftp-data 889ftps 990 imaps 991telnets 992 ircs 993共五十一頁安全電子(dinz)交易協(xié)議SET安全(nqun)電子交易協(xié)議SETSET的加密和認(rèn)證技術(shù)SET協(xié)議的處理邏輯SET協(xié)議和SSL協(xié)議的比較共五十一頁電子商務(wù)關(guān)鍵的兩個(lin )問題準(zhǔn)確性安全性共五十一頁SET協(xié)議(xiy)簡介(Secure Electronic Transaction 安全電子交易(jioy)協(xié)議)是由世界上兩大信用卡商Visa和Master Card于1997
10、年5月聯(lián)合制定的,實現(xiàn)網(wǎng)上信用卡交易的模型和規(guī)范。SET規(guī)范是一種為基于信用卡而進(jìn)行的電子交易提供安全措施的規(guī)則,是一種能廣泛應(yīng)用于Internet上的安全電子付款協(xié)議。SET中的核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等共五十一頁SET協(xié)議的作用(zuyng)和地位 SET規(guī)范為在Internet上進(jìn)行安全的電子商務(wù)提供了一個開放的標(biāo)準(zhǔn)。SET綜合使用私密鑰加密和公密鑰加密的電子認(rèn)證技術(shù),其認(rèn)證過程使用RSA和DES算法,因此可以為電子商務(wù)提供很強(qiáng)的安全保護(hù)。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的,以保證支付信息的機(jī)密性,支付過程的完整性
11、,商戶(shn h)及持卡人的合法身份,以及可操作性。 SET規(guī)范是目前電子商務(wù)中最重要的協(xié)議。SET得到了美國IT企業(yè)的支持如GTE IBM Microsoft Netscape RSA SAIC Terisa 和VeriSign共五十一頁SET協(xié)議(xiy)參與方共五十一頁SET協(xié)議(xiy)成員持卡人特約商家支付網(wǎng)關(guān)收單銀行(ynhng)發(fā)卡機(jī)構(gòu)認(rèn)證機(jī)構(gòu)共五十一頁SET特性(txng)機(jī)密性數(shù)據(jù)完整性身份(shn fen)認(rèn)證共五十一頁安全電子(dinz)交易協(xié)議SET安全電子交易(jioy)協(xié)議SETSET的加密和認(rèn)證技術(shù)SET協(xié)議的處理邏輯SET協(xié)議和SSL協(xié)議的比較共五十一頁SET
12、協(xié)議(xiy)中的加密技術(shù)常規(guī)密碼體制公開密鑰密碼體制數(shù)字信封數(shù)字簽名消息(xio xi)摘要共五十一頁SET協(xié)議加密(ji m)流程對接收(jishu)方的數(shù)字證書進(jìn)行認(rèn)證;對要發(fā)送的消息明文進(jìn)行hash運(yùn)算,生成消息摘要;用發(fā)送方私有密鑰對消息摘要加密,生成數(shù)字簽名;隨機(jī)生成對稱密鑰;用對稱密鑰對消息明文進(jìn)行加密,生成消息密文;用接收方的公開密鑰對對稱密鑰加密,得到數(shù)字信封;將消息密文、數(shù)字簽名、數(shù)字信封及發(fā)送方數(shù)字證書發(fā)送給接收方共五十一頁SET協(xié)議(xiy)解密流程對發(fā)送方的數(shù)字證書進(jìn)行認(rèn)證;用接收方的秘密密鑰對數(shù)字信封解封,得到(d do)對稱密鑰;用對稱密鑰對消息密文解密,得到消息
13、明文;用發(fā)送方的公開密鑰對數(shù)字簽名解密,得到消息摘要;對消息明文進(jìn)行hash運(yùn)算,得到重新計算的消息摘要;比較兩個消息摘要,確認(rèn)消息的完整性;如果兩個摘要相同,說明消息是相應(yīng)方發(fā)送的,并且在傳輸中沒有被篡改,那么保存消息明文;共五十一頁SET的認(rèn)證(rnzhng)技術(shù)證書持卡人證書商家證書支付(zhf)網(wǎng)關(guān)證書收單行證書發(fā)卡行證書共五十一頁證書(zhngsh)管理機(jī)構(gòu)CA負(fù)責(zé)對交易的各方進(jìn)行(jnxng)身份驗證CA可由大家都信任的一方擔(dān)當(dāng)(比如銀行)共五十一頁證書(zhngsh)驗證機(jī)制CA采用層次結(jié)構(gòu),根CA一般由國際上的權(quán)威機(jī)構(gòu)擔(dān)任;通信時,各方通過由某個CA簽發(fā)的證書來證明自己的身份。
14、如果對簽發(fā)的CA不信任,則可對CA的身份進(jìn)行(jnxng)驗證。共五十一頁安全電子交易(jioy)協(xié)議SET安全電子交易協(xié)議SETSET的加密和認(rèn)證技術(shù)SET協(xié)議的處理(chl)邏輯SET協(xié)議和SSL協(xié)議的比較共五十一頁SET購物(u w)流程持卡人選擇要購買的商品持卡人填寫訂單持卡人選擇付款方式,此時SET開始介入持卡人發(fā)送給商家一個完整的訂單及要求付款的指令。商家接受訂單后,向持卡人的金融機(jī)構(gòu)請求支付認(rèn)可。商家給發(fā)送(f sn)訂單確認(rèn)信息給顧客,顧客端軟件記錄交易日志,以備將來查詢。商家給顧客裝運(yùn)貨物,或完成定購服務(wù)。商家從持卡人的金融機(jī)構(gòu)請求支付。共五十一頁SET協(xié)議(xiy)流程圖持
15、卡人商家收單銀行確認(rèn)商店的合法行提交商店的證書數(shù)字簽名、訂單和數(shù)字證書請求交易授權(quán)交易授權(quán)恢復(fù)訂單確定、交易完成請款請求請款回復(fù)共五十一頁持卡人注冊(zhc)持卡人接收響應(yīng)(xingyng)并請求注冊表持卡人接收注冊表并請求證書持卡人接收證書CA處理請求并發(fā)出注冊表CA處理請求并發(fā)出證書初始化請求初始化響應(yīng)注冊表請求注冊表證書請求證書持卡人初始化注冊持卡人計算機(jī)CA發(fā)出響應(yīng)CA共五十一頁商家(shn ji)注冊商家接收(jishu)注冊表和請求證書商家接收證書CA處理請求并發(fā)出證書初始化請求注冊表證書請求商家證書商家請求注冊表商家計算機(jī)CA處理請求并發(fā)出注冊表CA共五十一頁購買請求(qngqi
16、)流程持卡人接收(jishu)響應(yīng)和發(fā)出請求持卡人接收購買響應(yīng)商家處理請求信息初始化請求初始化響應(yīng)證書請求商家證書持卡人初始化注冊持卡人計算機(jī)商家發(fā)出證書商家共五十一頁雙重(shungchng)簽名首先生成兩條消息的摘要,將兩個摘要連接起來,生成一個(y )新的摘要(成為雙重簽名)。然后用發(fā)送者的私有密鑰加密,為了讓接收者驗證雙重簽名,還必須將另外一條消息的摘要一起傳過去。驗證時,先生成消息摘要,將它和另外一個消息摘要連接起來,生成新的摘要,如果與解密后的雙重簽名相等,就可以確定消息是真實的。共五十一頁支付(zhf)授權(quán)商家處理(chl)響應(yīng)授權(quán)請求授權(quán)響應(yīng)商家請求授權(quán)商家計算機(jī)支付網(wǎng)關(guān)處理授
17、權(quán)支付網(wǎng)關(guān)共五十一頁支付(zhf)請款商家(shn ji)處理響應(yīng)請款請求請款響應(yīng)商家請求付款商家計算機(jī)支付網(wǎng)關(guān)處理請款支付網(wǎng)關(guān)共五十一頁安全電子(dinz)交易協(xié)議SET安全電子交易協(xié)議SETSET的加密和認(rèn)證(rnzhng)技術(shù)SET協(xié)議的處理邏輯SET協(xié)議和SSL協(xié)議的比較共五十一頁SET和SSL比較(bjio)SETSSL基礎(chǔ)信用卡傳輸通信協(xié)議采用技術(shù)私鑰加密公鑰加密,RSA和DES算法公用密鑰加密DES算法實質(zhì)安全電子付款協(xié)議網(wǎng)絡(luò)安全協(xié)議使用范圍廣泛應(yīng)用難于大規(guī)模應(yīng)作用很強(qiáng)的保護(hù)較強(qiáng)的保護(hù)局限復(fù)雜、速度較慢共五十一頁內(nèi)容摘要信息安全技術(shù)。后由IETF在其基礎(chǔ)上制定了TLS (Transport
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 進(jìn)貨來源合同模板
- 老板單間出租合同模板
- 鑄造打磨合同模板
- 開票水泥合同模板
- 個人投資款合同模板
- 餐飲經(jīng)營入股合同模板
- 采購石頭合同模板
- 便宜倉儲租賃合同模板
- 鋁板委托加工合同模板
- 國內(nèi)藝人經(jīng)紀(jì)合同模板
- 礦山電能分析報告
- 個人職業(yè)生涯發(fā)展規(guī)劃
- 排球教練員培訓(xùn)班培訓(xùn)方案
- 《南京財經(jīng)大學(xué)》課件
- 新時代大中小學(xué)思政課課程內(nèi)容一體化建設(shè)研究
- 個人職業(yè)規(guī)劃書引言
- 兒童教育2024年兒童教育發(fā)展方向
- 標(biāo)準(zhǔn)廠房以租代購合同2022
- 藥品驗收培訓(xùn)課件
- 人教版二年級上冊數(shù)學(xué)拼、畫角-(競賽試題)
- 發(fā)展?jié)h語-初級讀寫-第一課-你好
評論
0/150
提交評論