电子金融与支付第8章SSL及SET分解.pptVIP

第八讲：SSL及SET协议 1. SSL工作原理 2．SSL协议 3．SSL协议的安全性分析 4. SET协议 什么是协议? 双方或多方共同协商达成的规定,各方需共同遵守执行! 日常生活中：合同 网页传输：HTTP 文件传输：FTP 数据传输：TCP/IP SSL和SET协议是目前最常使用的,用于保证电子商务网络支付的安全交易协议。规定了在完成网络支付时所需要的技术和操作流程，从而保证了安全，有序，快速完成网上支付。 OSI网络结构的七层模型 SSLSecure Socket Layer Protocol TCP/IP协议栈中的安全机制 一、SSL Secure socket layer,是Netscape提出的。 TLS（Transport Layer Security） 1.0 （RFC 2246） =SSLv3.l。 设计目标是在TCP基础上提供一种可靠的端到端的安全服务，其服务对象一般是WEB应用。 传输层的安全协议。 SSL (Secure Socket Layer)安全套接层协议 特点： 提供传输层的安全服务（按7层协议，也可以认为是会话层） 最先(1995年)是由Netscape公司开发的，被广泛应用于Web等安全服务，后改编为Internet标准TLS (Transport Layer Security) （TLS1.0，RFC2246与SSL3.0类似） 独立于应用层 传输层采用TCP提供可靠业务 SSL 可分成两层： SSL握手协议：用于在客户与服务器之间建立安全连接之前交换安全信息 SSL记录协议 （低）：确定数据安全传输模式 SSL解决的问题（功能） 客户对服务器的身份认证 SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心（CA）的证书，来确认服务器的合法性。 服务器对客户的身份认证 也可通过公钥技术和证书进行认证，也可通过用户名，password来认证。 建立服务器与客户之间安全的数据通道 SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密，同时还检查 数据的完整性 SSL提供的安全服务 用户和服务器的合法性认证 using X.509v3 digital certificates 传输数据的机密性 using one of DES, Triple DES, IDEA, RC2, RC4, … 传输数据的完整性 using MAC with MD5 or SHA-1 SSL协议的特性 保密性：握手之后，采用单钥体制进行数据加密、采用双钥体制进行身份鉴别 可靠性：采用消息摘要算法进行完整性检查 确认性：尽管会话的客户端认证是可选的，但是服务器端始终是被认证的 灵活性：通信双方可选择密码算法；允许多种形式各种级别的身份鉴别 SSL Architecture SSL的体系结构 SSL的工作原理 采用握手协议建立客户与服务器之间的安全通道，该协议包括双方的相互认证，交换密钥参数 采用告警协议向对端指示其安全错误 采用改变密码规格协议改变密码参数 采用记录协议封装以上三种协议或应用层数据（记录类型20=改变密码规格，21=告警，22=握手，23=应用层数据） Handshake Protocol 协商密钥过程 TCP 链接建立之后 Client Server （SSL客户端）　　　　Clienth*llo -------- 　　Serverh*llo 　　Certificate* 　　ServerKeyExchange* 　　CertificateRequest*  　　-------- Serverh*lloDone 　　Certificate* 　　ClientKeyExchange 　　CertificateVerify* 　　[ChangeCipherSpec]  　　Finished -------- 　　[ChangeCipherSpec] 　　-------- Finished 　　Application Data ------- Application Data  SSL握手协议层 SSL HandShake Protocol layer。 用于SSL管理信息的交换，允许应用协议传送数据之前相互验证，协商加密算法和生成密钥等。 包括： SSL握手协议（SSL HandShake Protocol）； SSL密码参数修改协议（SSL Change Cipher Spec Protocol）； 应用数据协议（Application Data Protocol）； SSL告警协议（SSL Alert Protocol）。 The SSL Handshake Protocol SSL握手协议