[教学设计]第7章安全协议和安全标准.ppt

本章要点 电子商务安全服务支撑协议包含安全套接层协议SSL协议、安全电子传输规范SET协议、安全通信协议S-HTTP、Internet 电子数据交换协议、互联网安全协议IPSec安全协议。 其它三个重要的电子支付协议：Netbill协议、First Virtual协议、iKP协议。 两个重要的安全电子邮件协议：PEM和S/MIME概述。 Windows 2000的IPSec策略和SSL配置策略。 国际安全评估的五个准则。 安全套接层协议SSL Netscape公司推出Web浏览器时，提出了SSL（Secure Socket Layer）安全通信协议， SSL协议目前已成为Internet上保密通讯的工业标准。现行Web浏览器普遍将HTTP和SSL相结合，来实现安全通信。 SSL主要用于提高应用程序之间的数据的安全系数。SSL协议的实现属于SOCKET层，在Internet网络层次中的位置处于应用层和传输层之间。 IETF（）将SSL作了标准化，即RFC2246，并将其称为TLS（Transport Layer Security），从技术上讲，TLS1.0与SSL3.0的差别非常微小。 SSL提供的安全服务 SSL协议的运行步骤 ①接通阶段：客户通过网络向服务商打招呼，服务商回应； ②密钥交换阶段：客户与服务器之间交换双方认可的密钥，一般选用RSA密码算法，也有的选用Diffie-Hellman和Fortezza-KEA密码算法； ③协商密钥阶段：客户与服务商间产生彼此交谈的会话密钥； ④检验阶段：检验服务商取得的密钥； ⑤客户认证阶段：验证客户的可信度； ⑥结束阶段，客户与服务商之间相互交换结束的信息。 SSL体系结构 SSL记录协议 （1）SSL记录协议建立在可靠的传输协议(如TCP) 之上, 为高层协议提供数据封装、压缩、加密等基本功能的支持。在发送端, 记录层协议发送的信息数据进行分组、压缩、形成MAC、加密, 最后传输; 在接收端, 记录层协议则进行相反的处理过程。 SSL 记录协议是通过将数据流分割成一系列的片段并加以传输来工作的, 其中对每个片段单独进行保护和传输。在接收方, 对每条记录单独进行解密和验证。这种方案使得数据一经准备好就可以从连接的一端传送到另一端, 并在接收到后即刻加以处理。在传输片段之前, 必须防止其遭到攻击。可以通过计算数据的MAC 来提供完整性保护。 MAC 与片段一起进行传输, 并由接收实现加以验证。将MAC付加到片段的尾部, 并对数据与MAC 整合在一起的内容进行加密, 以形成经过加密的负载(payload)。最后给负载装上头信息. 头信息与经过加密的负载的连结称作记录( record) , 记录就是实际传输的内容。 SSL握手协议 （2）SSL握手协议建立在SSL记录协议之上, 用于在实际的数据传输开始前, 通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL握手协议用来使服务器与客户在传输应用层数据之前交换SSL协议版本信息、协商加密算法、进行身份认证并交换密钥。SSL v3. 0 支持Deffie-Hellman密钥交换算法, 支持基于RSA 的密钥交换机制和实现在Fortezza-KEA上的密钥交换机制。 SSL握手协议包含两个阶段四个步骤：第一个阶段的两个步骤用于建立秘密通信信道，第二个阶段的两个步骤用于客户认证。 （3）SSL更改密文规范协议由单个报文组成，该报文由值为1的单个自己组成。这个报文的唯一目的就是使得挂起状态被复制到当前状态，改变了这个连接将要使用的密文族。 （4）SSL告警协议是用来将SSL协议有关的告警传送给对方实体。告警协议的报文由两个字节组成：第一个字节的值是警告（warning，值1）或致命（fatal，值2），用来传送报文的严重级别，如果级别是致命的，SSL协议立刻中止该连接。第二个字节包含了特定的告警代码。 SSL的安全措施 SSL采用对称密码技术和公开密码技术相结合，采用密码和证书实现通信数据完整性、认证性等安全服务 . （1）加密算法和会话密钥 （2）认证算法 安全电子交易规范SET(Secure Electronic Transaction)是Visa和MasterCard于1997年5月联合开发的一个加密和安全规范，它具有很强的安全性。该规范由若干以前发表的协议形成，它们是：STT(Secure Transaction Technology，Visa/Microsoft)、SEPP(MasterCard)和iKP协议族(IBM)。SET及其适合的诸协议是基于安全信用卡协议的一个例子。由于它得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、Terisa和VeriSi