密钥管理认证服务验证报头.PPTVIP

第13讲 网络安全协议与应用;信息安全概论;电子邮件的最主要的组成构件 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;信息安全概论 ;SET提供了三种服务： 在交易涉及的各方间提供一条安全的通信信道。 通过使用X.509v3数字证书来提供信任。 保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用。;SET的主要目标 保障付款安全 确定应用的互通性 达到全球市场的接受性 ;SET的交易实现 持卡人注册获取证书 商家注册获取证书 购买请求 付款授权 扣款获取 整个交易过程信息在持卡人、商家、支付网关、认证中心和银行系统之间流动。;SET的交易过程;1、持卡人使用浏览器在商家服务器上查看并选购商品或服务，发出订购申请。 2、商家服务器接到订购请求后，将服务方CA证书、支付网关CA证书送给持卡人。 3、持卡人通过信任链验证两个证书后，选择银行卡方式付款，填写相应的支付卡信息及口令。生成付款指令连同持卡人的CA证书一并送往商家服务器。 4、商家服务器按照有关信任规则验证持卡人的证书后，将持卡人的订单信息、付款要求、CA证书、数字签名以及服务方的CA证书送往银行卡支付网关。;5、银行卡支付网关验证持卡人和服务方的证书后，送往持卡人开户行，对银行卡进行授权处理、扣账，再将处理结果送回支付网关 6、银行卡支付网关在收到业务主机的授权答复后，将银行卡支付网关CA证书、授权结果同时送往商户。 7、商家服务器收到答复后，通过信任链验证银行卡支付网关CA证书以及授权信息。 8、商家服务器将送货的方式、时间、服务方的CA证书同时送给持卡人。 9、持卡人检验服务方的CA证书后，保存购物信息，交易完成。 ; 处理过程：先对一则消息的两部分分别进行散列，再将这两部分散列值级联在一起，最后把得到的结果再一次散列并进行数字签名。这样可以保证一个消息接收者得到第一部分的明文和第二部分的散列值，另外一个消息接收者得到第一部分的散列值和第二部分的明文，实现了对所获信息的分离：即它提供给商家的只是订购信息；提供给收款银行的只是信用卡信息。 每个接收者都能够验证整条消息的完整性，但不能恢复全部明文，只能获取发给他的那一部分，另一部分只是一个散列值，它掩盖了消息的明文内容。;SET的双签名的生成;SET的购买请求及验证;IP安全是整个TCP/IP安全的基础与核心。它可对上层的各种应用服务提供透明的安全保护。 IP级安全问题涉及三个功能领域：认证、保密和密钥管理。 IPSec是指IETF以RFC形式公布的一组安全IP协议集，属IP级安全保护协议标准。 IPSec的主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性。;IPSec安全体系结构图;IPSec协议组成 安全关联SA （Security Association） 安全策略数据库SPD (Security Policy Database） 认证头AH （Authentication Head ） 封装安全载荷ESP(Encapsulation Security Payload) IKE（Internet密钥交换） ISAKMP/Oakley（密钥管理协议） ISAKMP：Internet Security Association and Key Management Protocol Oakley：是D-H密钥交换协议的改进;IPSec提供的服务 IPSec在IP层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥。 访问控制 连接完整性 数据源认证 拒绝重放数据包 保密性（加密） 有限信息流保密性;信息安全概论 ;IPSec概述;验证报头;IPSec加密;IPSec加密;安全关联;安全关联; IPSec的运行;使用IKE;使用IKE;使用IKE;使用IKE; IKE与IPSec流程图;课程议题; VPN概述;VPN概述; VPN术语; VPN术语;VPN类型;Access VPN;Access VPN;Intranet VPN;Intranet VPN;Extranet VPN;Extranet