第5章 电子商务安全协议幻灯片.ppt

第五章 电子商务安全协议与安全标准 5.1 安全协议概述 5.1.1 安全协议的概念 安全协议是指使用密码学技术的密码协议。协议就是两个或者两个以上的参与者为完成某项特定任务而采取的一系列步骤。它包含三层含义： （1）协议是一种顺序的执行过程， 执行顺序不可颠倒也不可省略。 （2）协议至少有两个参与者 （2）协议是为完成某项特定的任务而设计的。 密码协议就是网络通信中采用密码算法的的密码技术协议。 密码协议分类（按功能） （1）密钥交换协议：两个或多个实体之间建立共享的秘密， 通常用于建立一次通信中所使用的会话密钥。 （2）认证协议：包括实体认证协议、消息认证协议、数据源认证、数据目的认证， 用于防止假冒、篡改、否认等攻击。 （3）认证和密钥交换协议： 将认证和密钥交换结合在一起， 是网络中最普遍应用的安全协议。 5.1.2 协议的安全性 协议存在安全缺陷的原因 （1） 协议设计者误解或采用了不恰当的技术。 （2）协议设计者对环境要求的安全需求研究不足。 安全缺陷分类 基本协议缺陷 口令／密钥猜测缺陷 陈旧消息缺陷 并行会话缺陷 内部协议缺陷 密码系统缺陷 5.1.3 安全协议分析 攻击检验方法：搜集目前对协议有效的攻击方法， 逐一对安全协议进行攻击， 检验协议是否具有抵抗这些攻击的能力。 形式化分析方法：采用各种形式化的语言或模型， 为安全协议建立模