课件09信息安全技术第九讲 网络安全协议与.pptVIP

SSL的两个重要概念 SSL连接（connection) 一个连接是一个提供一种合适类型服务的传输。 SSL的连接是点对点的关系。 连接是暂时的，每一个连接和一个会话关联。 SSL会话（session） 一个SSL会话是在客户与服务器之间的一个关联。会话 由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数。 会话用以避免为每一个连接提供新的安全参数所需昂 的谈判代价。 §9.2 Web安全 SSL 应用中的安全问题 Client系统、Server系统、Keys和Applications都要安全 短的公开密钥、加密密钥以及匿名服务器需谨慎使用 对证书、CA要谨慎选择 SSL的实现不出安全错误。在实现上最可能失败之处是sanity check和密钥管理 §9.2 Web安全 电子商务安全任务 身份认证：持卡者、商家银行 有效性 机密性 完整性 抗抵赖 §9.3 电子商务安全 安全协议SET 协议 (Secure Electronic Transaction 安全电子交易协议) 是由世界上两大信用卡商Visa和Master Card于1997年5月联合制定的实现网上信用卡交易的模型和规范。 SET规范，是一种为基于信用卡而进行的电子交易提供安全措施的规则；是一种能广泛应用于Internet上的安全电子付款协议。 SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等 §9.3 电子商务安全 SET协议的作用和地位 SET规范，为在Internet上进行安全的电子商务提供了一个开放的标准。SET综合使用私用密钥加密和公用密钥加密的电子认证技术，其认证过程使用RSA和DES算法。因此，可以为电子商务提供很强的安全保护。 SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。 SET规范是目前电子商务中最重要的协议。SET得到了美国IT企业的支持，如GTE、IBM、Microsoft、Netscape、RSA、SAIC、Terisa 和VeriSign §9.3 电子商务安全 SET协议的参与实体 SET协议执行步骤与常规的信用卡交易过程基本相同，只是它是通过因特网来实现的。 在SET协议系统中，参与交易的主要有四种：实体持卡人，电子商家，收单银行，发卡银行。持卡人主要指持有信用卡的消费者；电子商家主要职能支持网络购物的电子商店等提供电子交易服务的企业组织；收单银行主要使用支付系统的专用网关提供各商家的因特网在线借款服务；发卡银行负责处理信用卡的发放账目管理付款清算等。 此外，在协议系统中还有认证中心（CA） 它是一些发卡 机构共同委派的公证代理组织，其主要功能是产生、分配和管理发卡人、商家和参与电子交易等。 §9.3 电子商务安全 SET协议的加密流程 在一个典型的SET协议传输过程中，存在许多商家与客户之间、客户与银行之间的交互隐私信息，SET将两种隐私都包含在一个经过数字签名的交易过程中 银行需要的信息用银行的公钥加密，商家的信息用商家的公钥加密。这意味着商家就无权访问信用卡信息，从而欺诈行为就基本上避免了 除了加密数据，两套信息也需要数字签名，最后两个签名将被合并来产生整个交易过程中需要的签名 §9.3 电子商务安全 SET协议规定的工作流程 用户向商家发送购货单和一份经过签名、加密的信托书。书中的信用卡号是经过加密的，商家无从得知 商家把信托书传送到收单银行，收单银行可以解密信用卡号，并通过认证验证签名 收单银行向发卡银行查问，确认用户信用卡是否属实 发卡银行认可，并签证该笔交易 收单银行认可商家，并签证此交易 商家向用户传送货物和收据 交易成功，商家向收单银行索款 收单银行按合同将货款划给商家 发卡银行向用户定期寄去信用卡消费账单 §9.3 电子商务安全 IP安全是整个TCP/IP安全的基础与核心。它可对上层的各种应用服务提供透明的安全保护。 IP级安全问题涉及三个功能领域：认证、保密和密钥管理。 IPSec是指IETF以RFC形式公布的一组安全IP协议集，属IP级安全保护协议标准。 IPSec的主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性。 §9.4 IP安全 IPSec安全体系结构 包括总体概念，安全需求，定义以及定义IPSec技术的机制； ESP：使用ESP进行包加密的报文包格式和一般性问 题，以及可选的认证； AH：适用于AH协议提供分组鉴别相关的分组格式和 一般性问题； 加密算法：描述将各种不同加密算法用于ESP的文档； 认证算法：描述将