网络安技术-密码应用6教案分析.ppt

密码应用 公钥证书（certificate） 公钥证书的主要内容 身份证主要内容 公钥证书实例 证书系统 内容 SET SSL IPsec 可信计算 内容 SET SSL IPsec 可信计算 SET Secure Electronic Transaction 保护互联网上信用卡交易的开放加密和安全规范 1996年2月：MasterCard和VISA呼吁安全标准，IBM、Microsoft、Netscape、RSA、Terisa和VeriSign制订最初规范 1996开始，进行了大量概念测试 1998年，第一批SET兼容产品问世 SET 1997年5月，在三本书中对其规范有定义： 第一本书：业务描述（80页） 第二本书：编程指南（629页） 第三本书：正式协议定义（262页） SET 本身并非支付系统 是一套安全协议和格式，支持用户在开放网络上，比如互联网上，使用现有的信用卡支付体系。 SET服务 为交易各方提供安全通信通道 通过X.509 v3数字证书提供信任 保护隐私：只有需要时，交易各方才可以得到信息。 SET概述 SET主要特点: 信息保密 数据完整 持卡人帐户鉴定 店方鉴定 SET参与方 交易事件序列 客户开户. 客户收到证书. 店方也有其证书. 客户下单. 验证店方. 发送订单和付款. 店方请求付款授权. 店方证实订单. 店方提供货物和服务. 店方请求支付. 双签名 支付过程 持卡人发送购物请求 支付过程 支付过程 支付授权: 授权请求 授权响应 解付: 解付请求 解付响应 建议阅读和 WEB站点 Drew, G. Using SET for Secure Electronic Commerce. Prentice Hall, 1999 Garfinkel, S., and Spafford, G. Web Security Commerce. O’Reilly and Associates, 1997 MasterCard SET site Visa Electronic Commerce Site SETCo (documents and glossary of terms) 内容 SET SSL IPsec Web 安全 Web 被企业、政府及个人广泛使用 但是因特网和 Web 有安全弱点 面临多种威胁 完整性 保密性 DoS攻击 认证 需要提高其安全性 Security Socket Layer (SSL) 传输层上的安全服务 最初由 Netscape开发 SSLv3 是由公众参与开发制定 随后成为因特网标准 Transport Layer Security (TLS) 使用 TCP 来提供可靠的端到端服务 SSL服务 SSL 提供 Client-server 认证 (公钥加密) 数据流保密 消息认证和完整性检查 SSL 不能防止 流量分析 面向TCP 实现的攻击 SSL 状态信息 SSL是有状态的： SSL 协议必须初始化并且在会话两端要保持会话状态信息 会话由Handshake协议建立 一个SSL会话可以支持多个连接： 避免或减少协商代价 SSL 会话状态信息 Session ID: 标识一个活跃或可恢复的会话状态 Peer certificate: 对等实体的证书 (X.509 v.3) Compression method: 加密前的数据压缩算法 Cipher spec: 数据加密和MAC算法规范 Master secret: 客户端和服务器端共享的48-byte 秘密 Is resumable: 用来标识会话是否建立新连接的标志 SSL 连接状态信息 Server and client random: 服务器和客户端为每个连接选择的字节序列 Server write MAC secret: 服务器计算数据MAC时所用的秘密 Client write MAC secret: 客户端计算数据MAC时所用的秘密 Server write key: 服务器进行数据加密以及客户端进行数据解密所用的密钥 Client write key: 客户端进行数据加密以及服务器进行数据解密所用的密钥 Initialization vector: 用于CBC 分组加密 Sequence number: 由服务器和客户端双方所维护，用于数据消息发送和接收 SSL 协议体系结构 SSL 协议 SSL 有两层协议 SSL Record Protocol （记录协议） TCP之上 提供消息源发鉴别、数据保密和数据完整性保护 SSL sub-protocols SSL Record Protocol之上 支持和建立SSL会话和连接 SSL 记录协议 接收来自上层的数据 提供两种服务：