第六章网络安全协议.pptVIP

第六章 网络安全协议 6.1 引言 早期的Internet是建立在可信用户的基础上 电子商务的出现，对Web服务提出了安全要求 网络安全协议 有时也称作密码协议，是以密码学为基础的消息交换协议 其目标是在网络环境中提供各种安全服务 6.1 引言 安全协议的种类 网络级安全：IPSec 传输级安全：SSL、TLS 应用级安全： Kerberos、S/MIME、PGP、SET 6.2 SSL协议 Security Socket Layer 由Netscape公司开发，专门用于保护Web通讯 网络交易中最通用的一种安全机制 已成为一种工业标准 协议的设计目标 使用TCP连接提供一个可靠地端到端的安全服务，为两个通讯个体之间提供保密性和完整性（身份认证） 6.2 SSL协议 版本 1.0，不成熟 2.0，基本解决了Web通讯的安全问题 1996年，微软发布PCT协议，引入IE 3.0，增加了一些算法，修改了一些缺陷 微软放弃PCT，支持SSL 3.1，TLS 1.0 6.2 SSL协议 协议的使用 6.2 SSL协议 协议的使用 6.2 SSL协议 协议的使用 6.2 SSL协议 例：SSL购物流程 买家浏览网站，并确定要购买的商品 填写购买数量，送货地址（受SSL保护） 以信用卡付款，输入卡号和有效日期（受SSL保护） 发送消息给卖家，确认定购（受SSL保护） 卖家向收单行申请授权（卖家和银行） 银行回复授权码（卖家和银行） 卖家发出订货确认给买家 交付商品 卖家向收单行请款（卖家和银行） 6.2 SSL协议 SSL的体系结构（协议栈） 底层：记录协议 上层：握手协议、告警协议、修改密文规约协议 6.2 SSL协议 记录协议 定义了一系列的传输格式 用来封装高层协议 提供连接的安全性，有两个特点： 保密性，使用了对称加密算法 完整性，使用HMAC算法 握手协议 客户和服务器之间相互认证 协商加密算法和会话密钥 提供连接的安全性，有三个特点： 身份认证、密钥的安全性、协商过程的可靠性 6.2 SSL协议 6.2 SSL协议 工作流程 6.2 SSL协议 两个重要概念 SSL连接（connection） 连接是提供合适服务类型的一种传输（OSI模型） SSL的连接是端对端的关系 连接是暂时的，每一个连接和一个会话关联 SSL会话（session） 一个客户端和服务器间的关联。会话由握手协议创建，会话定义了一组可供多个连接共享的密码安全参数。 会话用以避免为每一个连接提供新的安全参数，从而减少了昂贵的协商代价 6.2 SSL协议 SSL握手协议的流程 6.2 SSL协议 SSL握手协议的流程 第一阶段 建立起安全能力属性 交换Hello消息，对于算法、交换随机值等协商一致 交换必要的密码参数，以便双方得到统一的premaster secret（一个用在对称加密密钥生成中的46 字节的随机数字） 6.2 SSL协议 SSL握手协议的流程 第二阶段 服务器认证和密钥交换 交换证书和相应的密码信息，以便进行身份认证 产生master secret 6.2 SSL协议 SSL握手协议的流程 第三阶段 客户认证和密钥交换 交换证书和相应的密码信息，以便进行身份认证 产生master secret 6.2 SSL协议 SSL握手协议的流程 第四阶段 结束 把安全参数提供给SSL记录层 检验双方是否已经获得同样的参数 6.2 SSL协议 SSL记录协议中的操作 6.2 SSL协议 SSL记录协议中的操作 第一步，fragmentation 上层消息的数据被分片成214字节大小的块，或更小 第二步，compression（可选） 必须是无损压缩，如果数据增加的话，则增加部分的长度不超过1024字节 第三步，计算消息认证码（MAC） 使用共享的密钥 第四步，encryption 采用CBC，算法由服务器端指定 6.2 SSL协议 修改密文规约协议 目的：为了表示密码策略的变化 告警协议 当握手过程或数据加密等操作出错或发生异常情况时，向对方发出警告或中止当前连接。 6.3 SET协议 安全电子交易协议（Secure Electronic Transaction, SET） 它是为了在Internet上进行在线交易时保证信用卡支付的安全而设计的一个开放的规范。 6.3 SET协议 6.4 IPSec协议 Internet Protocol Security IETF提出，一个用于保证通过IP网络进行安全的秘密通信的开放式标准框架。 IPSec架构 它是提供网络层通信安全的一个协议簇 IPSec只是一个开放的结构，通过在主IP报头后面接续扩展报头，为目前流行的数据加密或认证算法的实现提