网络安全第7章网络通信安全资料.ppt

3 SET交易步骤 1) 购买请求 持卡人发送购买请求 商家核对消费者的采购请求 2) 支付授权 4 SET安全性分析 小结 7.1 概述 7.2 网络层安全---IPSec 7.3 传输层安全---SSL 7.4 应用层安全---PGP、SET 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * SET是一个非常复杂的协议规范，总共有三本书，共971页来描述（1997年5月） * * SSL记录协议 SSL记录协议 用来封装高层的协议（Http等应用协议， SSL本身的高层协议） 它实现连接安全性：保密性（使用了对称加密算法），完整性（使用HMAC算法） SSL Handshake Protocol, SSL Change Cipher Spec Protocol, SSL Alert Protocol是SSL的高层协议，用于管理SSL交换 记录层数据封装过程 3 SSL密钥交换 功能 客户和服务器之间相互认证 协商加密算法和密钥 提供连接安全性，有三个特点 身份认证，至少对一方实现认证，也可以是双向认证 协商得到的共享密钥是安全的，中间人不能够知道 协商过程是可靠的 整体流程 整体流程解释 (1)、交换Hello消息，对于算法、交换随机值等协商一致 (2)、交换必要的密码参数，以便双方得到统一的premaster secret (3)、交换证书和相应的密码信息，以便进行身份认证 (4)、产生master secret (5)、把安全参数提供给SSL记录层 (6)、检验双方是否已经获得同样的安全参数 流程中消息 相关参数 hello_request Null client_hello 版本，随机数，会话id，密码参数，压缩方法 server_hello certificate X.509 v3证书链 server_key_exchange 参数，签名 certificate_request 类型，CAs server_done Null certificate_verify 签名 client_key_exchange 参数，签名 finished Hash值 简化交互过程 SSL可通过重用一个SSL会话ID使用简化的交互过程 客户和服务器在交换hello消息中，客户要求重用已有的SSL会话，服务器同意使用cache中的会话* session id 跳过第二第三阶段，直接把SSL会话中的参数传递给SSL记录层 4 SSL VPN SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。 SSL VPN评价 (1)客户端支撑维护简单 (2)提供增强的远程安全接入功能 (3)提供更细粒度的访问控制 (4)能够穿越NAT和防火墙设备 (5)能够较好地抵御外部系统和病毒攻击 (6)网络部署灵活方便 SSL VPN技术也存在一些不足： （1） 认证方式单一； （2）只能访问基于Web服务器的应用； （3）只对通信双方的某个应用通道进行加密； （4）是应用层加密，性能相对来说可能会受到较大影响； （5）主要使用点到点的信息加密传输，无法支持网络到网络的安全互联。 7.4 应用层安全 7.4.1 PGP 7.4.2 SET 7.4.1 PGP 1 概述 2 PGP服务 1 概述 PGP - Pretty Good Privacy 提供可用于电子邮件和文件存储应用的保密与鉴别服务。 基本特点： 选择最可用的加密算法作为系统的构造模块 将这些算法集成到一个通用的应用程序中，该程序独立于操作系统和处理器，并且基于一个使用方便的小命令集。 程序、文档在Internet上公开 PGP的出现与应用很好地解决了电子邮件的安全传输问题 将传统的对称性加密与公开密钥方法结合起来，兼备了两者的优点 PGP提供了一种机密性和鉴别的服务，支持1024位的公开密钥与128位的传统加密算法，可以用于军事目的，完全能够满足电子邮件对于安全性能的要求。 2 PGP服务 认证 （1）发送者创建报文； （2）发送者使用SHA-1生成报文的160bit散列代码（邮件文摘）； （3）发送者使用自己的私有密钥，采用RSA算法