第十三章 互联网安全技术-电子商务应用安全协议x.ppt

2004年12月1日 Technology of Electronic Business Security 2004年12月1日 第四章 互联网安全技术 电子商务应用安全协议 本章学习内容： 互联网安全概述 防火墙技术 IP协议安全 电子商务应用安全协议 VPN技术 网络入侵检测 4.4电子商务应用安全协议 电子邮件安全协议 电子邮件内容的安全问题 保密性 内容完整性 发送者身份认证 不可否认 以上安全问题主要涉及：邮件服务器安全、网络安全、邮件接收系统安全等方面。 解决方案：采用安全协议：PEM、S/MIME、PGP。其共同特点是?采用公钥和私钥密码算法对邮件内容加密或签名；?按各自规定的格式对解密或签名的结果进行编码和重排。 4.4电子商务应用安全协议 增强的私密电子邮件（PEM） 增强Internet电子邮件隐秘性的标准草案。 美国RSA实验室基于RSA和DES算法开发的产品。IETF 1993提出。 在Internet电子邮件标准格式(每个电子邮件报文头)上增加加密算法、数字身份认证算法、哈希算法等信息，实现对邮件的加密、身份认证和密钥管理等功能。 支持认证与密钥管理方案：对称密钥、公开密钥。 应用：为email用户提供验证、完整性、防抵赖等安全服务。 详细内容参考IETF公布的RFC1421、RFC1422、RF1423、 RF1424。 4.4电子商务应用安全协议（Cont.） 安全多用途网际邮件扩充协议(Secure/MultiPur-pose Internet Mail Extensions, S/MIME) 由PEM，MIME发展而来。1995，RSA等公司提出。IETF标准。 在MIME基础上为邮件提供数字签名和加密功能。允许在不同电子邮件客户端程序之间收发安全电子邮件。 MIME邮件： 邮件头部：发送方、接收方的信息。 邮件主体：复合数据-ASC字符/文本数据类型及非文本对象-图像、音频、格式化文本文件等等。用开始/结束标志表示每个不同类型数据的开始与结束。 4.4电子商务应用安全协议（Cont.） S/MIME邮件：扩展MIME MIME主体与加密信息、数字签名封装成安全对象； 增强安全服务：确认签收； 增加新的数据类型：用于提供数据保密、完整性保护、认证和鉴定服务。邮件附件形式提供。 Application/pkcs7-MIME； Multipart/sigined； Application/pkcs7-signature S/MIME已成为产界业广泛认可的协议,如微软公司（Outlook Express4）、Netscape公司(Netscape Messenger4) 等都支持该协议。 4.4电子商务应用安全协议（Cont.） 4.4电子商务应用安全协议（Cont.） S/MIME采用的安全标准 信息格式：继承MIME 加密标准：RSA、DES、3DES、SHA-1、MD5、Diffie-Hellman； 数字签名：PKCS； 数字证书：X.509。 4.4电子商务应用安全协议（Cont.） 安全超文本传输协议 (Secure-HTTP，S-HTTP) CommerceNet提出，HTTP的安全扩展版本。 保护单一的处理请求或响应的消息。即所有HTTP请求和响应都经过加密并作为S-HTTP请求和响应的实体主体。为HTTP事务提供机密性、身份认证、完整性和不可否认服务。 Content-Privacy-Domain：消息格式说明。 PEM：RFC1421定义的格式； PKCS-7：S-HTTP定义的一种消息格式； PGP：PretlyGoodPrivacy2.6定义的格式； 4.4电子商务应用安全协议（Cont.） Content-Trabsfer-Encoding：对象编码方式说明。包括7BIT、8BIT、BASE64。 Content-TYPE：S-HTTP中返回值为Application/http。 Prearranged-Key-Info：标识加密所用的密钥。 MAC-Info：验证信息。为服务器提供一个验证用的校验和，保证该消息不是旧消息的副本以及消息中的数据在传递过程中不被篡改。 此外，S-HTTP还定义了对象内容格式；为了在HTML文档中嵌入有关安全性的信息，还定义了新的HTML标签，最后还定义了一种新的URL机制，S-HTTP中的URL以SHTTP开头。 4.4电子商务应用安全协议（Cont.） S-HTTP使用HTTP的MIME网络数据包进行签名、验证和加密，数据加密可采用对称或非对称加密。 通过S-HTTP，服务器以加密和签名信息回答请求。在向客户验证签名与身份时，验证是通过服务器私钥实现的，该私钥用来产生服务器的数字签名；当信息发送给客户时，服务器将其公钥证书和签名信息一起