第3章-网络安全协议.pptVIP

ESP隧道模式和AH隧道模式 AH和ESP协议有两种应用模式：一种是传输模式；另一种是隧道模式。以上介绍的是传输模式下的AH协议和ESP协议，ESP隧道模式和AH隧道模式与传输模式略有不同。 在隧道模式下，整个原数据包被当做有效载荷封装了起来，外面附上新的IP报头。其中内部IP报头（原IP报头）指定最终的信源和信宿地址，而外部IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。 与传输模式不同，在隧道模式中，原IP地址被当作有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。 ESP隧道模式中签名部分（完整性检查和认证部分）和加密部分分别如图所示。ESP的签名不包括新IP头。 ESP隧道模式和AH隧道模式 ESP隧道模式 ESP隧道模式 ESP隧道模式和AH隧道模式 图标示出了AH隧道模式中的签名部分。AH隧道模式为整个数据包提供完整性检查和认证，认证功能优于ESP。但在隧道技术中，AH协议很少单独实现，通常与ESP协议组合使用。 * IPSec是因特网网络层提供的安全协议，需要网络提供支持。在不提供安全保护的网络上，要实现安全的信息传输，只有依靠端到端的上层安全协议提供保护。 购买请求 在购买请求之前，持卡人已经完成浏览选定商品以及订购的工作。这些工作都还没有使用到SET协议。　 购买请求过程，由四个消息构成：初始请求、初始回应、购买请求、购买回应。　 为了传送SET消息到特约商店，持卡人必须要保留一份特约商店及支付网关的证书副本。消费者在初始请求的消息中要求申请证书，然后这个消息会送到特约商店。这个消息包括消费者所使用的信用卡的公司，也包含了由消费者指定的回应这组请求的一个ID。 PIMD PI OI OIMD E Dual signature Ks PI：支付命令 OI：订单信息 PIMD：PI消息摘要 OIMD：OI消息摘要 E：加密函数（RSA或DES） Ks：临时对称密钥 KUb：银行的公钥 E KUb Digital envelope Dual signature Cardholder certificate Request message 由商家发给支付网关 由商家接收 图7.3　持卡人发送采购请求 PIMD OI Digital envelope Dual signature Cardholder certificate Request message 由商家发给 支付网关 H POMD H OIMD D POMD 核对 KUc OI：订单信息 OIMD：OI消息摘要 POMD：支付/订单消息摘要 D：解密（RSA） H：哈希函数（SHA-1） Ks：临时对称密钥 KUc：用户公钥 图7.4　商家核对消费者的采购请求 支付授权 授权请求消息，由特约商店发送给支付网关，包含了下列信息： ⑴ 采购的相关消息： PI 由PI与OI所计算出，并且经由消费者私钥签署过的双重签名。 OI消息摘要(OIMD) 数字信封 ⑵ 授权的相关消息 授权区块，包含了交易ID，由特约商店私钥签署，并经特约商店所产生的暂时对称密钥加密。 ?数字信封 ⑶ 证书。 包含持卡人的签名密钥证书（用来对双重签名进行核对），特约商店的签名密钥证书（用来对特约商店的签名进行核对），以及特约商店的密钥交换证书 支付网关则需要执行以下工作： ⑴ 核对所有的证书 ⑵ 将授权区块的数字信封解密，得到对称密钥，然后就可以对授权区块解密了 ⑶ 核对授权区块中的特约商店签名 ⑷ 对支付区块的数字信封解密，得到对称密钥后，可以再将支付区块解密 ⑸ 核对支付区块中的双重签名 ⑹ 核对从特约商店接收到的交易ID，是否和从消费者接收到的PI内交易ID吻合 ⑺ 向发卡银行请求并接受授权 SET协议的安全性分析 在ISO/IEC 10181系列中阐述了开放式信息系统的安全架构标准，共包含七个部分：鉴别、访问控制、抗抵赖性、机密性、完整性、安全跟踪与告警以及密钥管理等服务; 访问及安全跟踪告警两部份牵涉到企业安全政策与组织架构的程度较深，SET并没有针对它们给应用系统开发人员提出系统的指导原则； 关于密钥管理的部分，SET协议也没有说明该如何处理，也就是说，目前SET将上述三个部份留给应用系统开发人员自行处理。 ⑴ 鉴别安全 SET的鉴别工作必须依赖公开密钥的运作体系（public key infrastructure，PKI），使得系统是否能实际运作必须依赖整体大环境是否成熟而定，例如签证体系的建立等，这将导致