




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
網(wǎng)絡(luò)安全協(xié)議安全套接層協(xié)議SSL安全電子交易協(xié)議SET
在Browser和WebServer之間提供敏感信息傳輸通道
SocialSecurityNumber(SSN)CreditCard,etc
提供訪問控制
OpenClosedSSL被設(shè)計用來使用TCP提供一個可靠的端到端安全服務(wù),為兩個通訊個體之間提供保密性和完整性(身份鑒別)SSL設(shè)計目標
Netscape公司于1994開發(fā)
SSLv2releasedin1995SSLv3alsoreleasedin1995duetobugsinv2
1996年IETF成立
TransportLayerSecurity(TLS)committeeTLSv1wasbaseduponSSLv3
Netscape、Microsoft都支持TLSv1SSL歷史
SSL提供四個基本功能
AuthenticationEncryption
Integrity
KeyExchangeSSL功能采用兩種加密技術(shù)
非對稱加密
認證
交換加密密鑰
對稱加密:加密傳輸數(shù)據(jù)SSL功能SSL是獨立于各種協(xié)議的常用于HTTP協(xié)議,但也可用于別的協(xié)議,如NNTP,TELNET等SSL的結(jié)構(gòu)建立在可靠的傳輸協(xié)議(如TCP)基礎(chǔ)上提供連接安全性保密性,使用了對稱加密算法完整性,使用HMAC算法用來封裝高層的協(xié)議SSL記錄協(xié)議客戶和服務(wù)器之間相互鑒別協(xié)商加密算法和密鑰提供連接安全性身份鑒別,至少對一方實現(xiàn)鑒別,也可以是雙向鑒別協(xié)商得到的共享密鑰是安全的,中間人不能知道協(xié)商過程是可靠的SSL握手協(xié)議協(xié)議的使用SSL體系結(jié)構(gòu)連接會話SSL基本概念連接是能提供合適服務(wù)類型的傳輸(在OSI分層模型中的定義)對SSL,這樣的連接是對等關(guān)系連接是暫時的,每個連接都和一個會話相關(guān)連接SSL會話是指在客戶機和服務(wù)器之間的關(guān)聯(lián)會話由握手協(xié)議創(chuàng)建會話定義了一組可以被多個連接共用的密碼安全參數(shù)對于每個連接,可以利用會話來避免對新的安全參數(shù)進行代價昂貴的協(xié)商會話在任意一對的雙方之間,也許會有多個安全連接理論上,雙方可以存在多個同時會話,但在實踐中并未用到這個特性連接Vs會話會話狀態(tài)參數(shù)連接狀態(tài)參數(shù)pre_master_secretmastersecretClientwriteMACsecretClientwritesecretClientwriteIVServerwriteMACsecretServerwritesecretServerwriteIV各種密鑰SSLHandshakeSSL握手協(xié)議報文格式ClientServer一建立安全能力ClientHelloSSLClientSSLServerPort443TheClientHellomessageiscomposedofSSLVersion(highest)thatisunderstoodbytheclient.
TLSv1elseSSLv3b.KeyExchangetoidentifythemethodofexchangingkeys.RSAifnotthenD-H.c.DataEncryptiontoidentifytheencryptionmethodsavailabletotheClient.TripleDesorelseDES
d.MessageDigestfordataintegrity.
SHAorelseMD5e.DataCompressionmethodformessageexchangePKZiporelsegzipf.ARandomnumbertocomputethesecretkeyhttps://www.SSLClientSSLServerServerHelloTheServerHellomessageiscomposedofSSLVersion(highest)thatisunderstoodbytheclient.TLSv1b.KeyExchangetoidentifythemethodofexchangingkeys.RSA.c.DataEncryptiontoidentifytheencryptionmethodsavailabletotheClient.DESd.MessageDigestfordataintegrity.
MD5e.DataCompressionmethodformessageexchangePKZip
f.ARandomnumbertocomputethesecretkey一建立安全能力DataEncryption:
RC2-40RC4-128DESDES403DESIDEA
FortezzaMessageDigest:MD5SHA.KeyExchange.
RSAFixedDiffie-HellmanEphemeralDiffie-HellmanAnonymousDiffie-Hellman
FortezzaDataCompression:PKZipWinZip
gzip
StuffItCipherSuiteAlternativesSSLClientSSLServerServerCertificateTheServerCertificatemessageiscomposedofTheserverIdentifierinformationADigitalCertificateoftheseverinformationencryptedwiththeCAsPrivateKey.Thiscontainstheserver'sPublicKeyClientCertificateRequestTheClientCertificateRequestmessageiscomposedofTheCertificatetypetoindicatethetypeofpublickeyTheCertificateAuthorityisalistofdistinguishednamesofCertificateAuthoritiesacceptabletotheServerServerDoneMessageThisServerDonemessagehasnoparameters.二服務(wù)器鑒別和密鑰交換SSLClientSSLServerClientCertificateTheClientCertificatemessageiscomposedofTheserverIdentifierinformationADigitalCertificateoftheclientinformationencryptedwiththeCAsPrivateKey
TheClientAuthenticatestheServerwiththeCA.a.ExtractsthepublickeyoftherootsignedcertificatethatcameinstalledwiththeclientandComputesaMDoftheservercertificateinformation.b.Decryptstheservercertificate(thatwasissuedbytherootCA)thatcontainsthehashcomputedbytheCAPrivateKeyc.ComparesthecomputedhashwiththehashcontainedintheserverDigitalCertificate.Generatesasessionkey(psuedo-randomnumber)touseasa Pre-MasterKeythen3.Encryptsthesessionkeywiththeserver’spublickey.三客戶機驗證和密鑰交換SSLClientSSLServerClientKeyExchangeTheClientKeyExchangemessageiscomposedofTheencryptedsessionkeywhichwillserveasapre-mastersecretkeyencryptedwiththeserver’spublickey.Boththeclientandtheserverusethepre-mastersecretkeytocomputethreeidenticalsetsofsecretkeypairsThefirstpair(i.e.DES)isusedtoencryptoutgoingtrafficfromtheclienttotheserverandtodecryptincomingtraffictotheserverwhileThesecondpair(i.e.HMAC)isusedtoencryptoutgoingtrafficfromtheserverandtodecryptincomingtraffictotheclientc.ThethirdpairisusedtoinitializethecipherIV(InitializationVector)Note:BoththeClientandtheServereachgeneratethreesetsofkeys三客戶機驗證和密鑰交換SSLClientSSLServerC>SS>CC>SS>CEncryptionMACIVEncryptionMACIV密鑰交換結(jié)果TheClientFinishmessageiscomposedofTheclientauthenticatestheserverwithamessageencryptedwiththenewlygeneratedsharedkeys.Thisvalidatestotheserverthatasecureconnectionhasbeencreated.SSLClientSSLServerClientFinishServerFinishTheServerFinishmessageiscomposedofTheserverauthenticatestheclientwithamessageencryptedwiththenewlygeneratedsharedkeys.Thisvalidatestotheclientthatasecureconnectionhasbeencreated.Note:theServerandclientcannowbegintousetheirsixsharedkeysforbulkdataencryptionutilizingtheSSLRecordLayerprotocol四完成SSLRecordProtocolByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirschSSL記錄協(xié)議操作ByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirsch1.分片ByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirsch2.壓縮無損壓縮不會增加1024字節(jié)以上長度的內(nèi)容沒有默認壓縮算法3.MAC計算4.加密5.封裝機密性:握手協(xié)議定義了共享的、可用于對SSL有效載荷進行常規(guī)加密的密鑰及初始/后續(xù)的IV完整性:握手協(xié)議還定義了共享的、可用于生成報文MAC的密鑰SSL記錄協(xié)議提供的服務(wù)SSLChangeCipherSpecProtocol由單個報文組成,報文值為1的單個字節(jié)使得掛起狀態(tài)被復(fù)制到當前狀態(tài),改變了這個連接將要使用的密文族SSL修改密碼規(guī)格協(xié)議SSLAlertProtocol用于將SSL有關(guān)的告警傳輸給對方實體傳輸時按照當前狀態(tài)說明被壓縮和加密SSL告警協(xié)議SSL密碼計算主密鑰的創(chuàng)建共享主密鑰(MasterSecret)由客戶機和服務(wù)器共享,是通過安全密鑰交換生成的臨時48字節(jié)值MasterSecret分兩個步驟生成:
交換pre_master_secret
雙方計算master_secretpre_master_secret交換方法:
RSA
Diffie-Hellman主密鑰的創(chuàng)建密碼參數(shù)的生成pre_master_secretmastersecretClientwriteMACsecretClientwritesecretClientwriteIVServerwriteMACsecretServerwritesecretServerwriteIV密碼參數(shù)的生成SSL通訊模型為標準的C/S結(jié)構(gòu),除了在TCP層之上進行傳輸之外,與一般的通訊沒有什么明顯的區(qū)別主要介紹如何使用OpenSSL進行安全通訊的程序設(shè)計。關(guān)于OpenSSL的一些詳細的信息請參考OpenSSL的官方主頁SSL程序設(shè)計OpenSSL初始化SSL環(huán)境申請證書驗證證書加載SET協(xié)議概述SET協(xié)議(SecureElectronicTransaction,安全電子交易)是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范SET主要是為了解決用戶商家和銀行之間通過信用卡支付的交易而設(shè)計的,以保證支付信息的機密,支付過程的完整性,商戶及持卡人的合法身份以及可操作性。SET中的核心技術(shù)主要有公開密鑰、加密、數(shù)字簽名、數(shù)子信封、數(shù)字證書等。SET能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。SET協(xié)議用以支持BtoC這種類型的電子商務(wù)模式,即消費者持卡在網(wǎng)上購物與交易的模式。SET實現(xiàn)架構(gòu)SET證書體系RCABCA1GCA1GCAnCCA1MCA1BCAnGCA1GCAnPCA1CHMCPGCCA1MCA1PCA1CHMCPGCH:CardHolderMC:MerchantPG:PaymentGateway????????????SET證書格式序列號簽名頒發(fā)者有效期主體頒發(fā)者唯一標識符擴展由授權(quán)CA簽發(fā)版本號主體公鑰信息主體唯一標識符由授權(quán)CA簽發(fā)通道(G)密鑰使用???證書類型證書卡需求(G)SET限定符(G)-支付網(wǎng)關(guān)(M)-商家授權(quán)密鑰標識符商業(yè)數(shù)據(jù)(M)標準擴展SET私有擴展雙聯(lián)簽名HH‖HEPIOIPIMDOIMDPOMDDSH:雜湊函數(shù)(SHA-1)‖:連接PIMD:支付消息摘要OIMD:訂購消息摘要POMD:支付定單消息摘要E:加密(RSA)數(shù)字信封所謂數(shù)字信封是指信息發(fā)送方用信息接收方的公開密鑰,將一個會話密鑰(對稱密鑰)加密,形成一個數(shù)字信封(DigitalEnvelope,DE),然后發(fā)送給接收方,只有指定的接收方才能使用自己的秘密密鑰打開(加密)DE,獲取其中的對稱密鑰,并使用對稱密鑰來解讀發(fā)送方傳送過來的信息。SET交易過程SET交易分三個階段進行:在購買請求階段,用戶與商家確定所用支付方式的細節(jié)在支付確認階段,商家會與銀行核實,隨著交易的進展他們將得到付款在收款階段,商家向銀行出示所有交易的細節(jié),然后銀行以適當方式轉(zhuǎn)移貨款如果不是使用借記卡,而直接支付現(xiàn)金,商家在第二階段完成以后的任何時間即可以供貨支付。第三階段將緊接著第二階段進行,用戶只和第一階段交易有關(guān),銀行與第二三階段有關(guān),而商家與三個階段都要發(fā)生關(guān)系。每個階段都涉及到RSA對數(shù)據(jù)加密以及RSA數(shù)字簽名。SET支付流程持卡人商家收單行支付網(wǎng)關(guān)PInitReqPInitResPReqAuthReqAuthResPResCapReqCapResSSL與SET協(xié)議的比較事實上,SET和SSL除了都采用RSA公鑰算法以外,二者在其他技術(shù)方面沒有太多相似之處,而RSA在二者中也被用來
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 加強用人部門溝通合作計劃
- 2025年醫(yī)保知識考試題庫:醫(yī)保定點醫(yī)療機構(gòu)管理相關(guān)試題及答案解析
- 泔水終止供應(yīng)治療協(xié)議書
- 辭職賠償競爭限制協(xié)議書
- 軋輥磨床修復(fù)技術(shù)協(xié)議書
- 粘土配方設(shè)備轉(zhuǎn)讓協(xié)議書
- 生態(tài)山莊承包合同范本
- 補充協(xié)議書和增補協(xié)議書
- 聯(lián)合種植工業(yè)大麻合同范本
- 甲方租賃合同終止協(xié)議書
- 【審計工作底稿模板】FK長期借款
- 物流信息技術(shù)課程
- 公安局凍結(jié)解除凍結(jié)存款匯款通知書
- 初中歷史優(yōu)質(zhì)課說課稿《貞觀之治》
- arcgis網(wǎng)絡(luò)分析.
- ROHS環(huán)保指令知識培訓(xùn) ppt課件
- 編譯原理課后習(xí)習(xí)題答案(陳火旺+第三版)
- 車站線路全長與有效長ppt課件
- 電梯分項工程質(zhì)量驗收記錄表
- 最新防雷設(shè)施檢測報告范本
- 瀝青混合料廠家駐廠管理程序2
評論
0/150
提交評論