计算机网络安全课件(沈鑫剡)第11章.pptxVIP

计算机网络安全;第11章 应用层安全协议;11.1 Web安全协议;Web安全问题;Web安全机制;HTTP over TLS;用证书证明服务器域名和公钥PKS的绑定； 终端用PKS加密预主密钥，预主密钥是生成密钥的主要参数； 一旦确认服务器和终端生成相同的密钥，服务器身份得到确认； 终端和服务器用约定的加密解密算法和密钥实现数据的安全传输。;由于TLS约定的安全参数只有终端和服务器知道，因此，加密和消息认证码计算过程本身具有认证发送者身份的作用； 消息认证码用于完整性检测，序号保证顺序接收TLS记录协议报文； 用三重DES加密需要传输的数据。;安全电子交易（SET）;持卡人封装处理过程一是需要认证发送者身份，二是保证只有指定接收者才能获得信息，三是持卡人不能否定发送过的购物请求； 认证发送者身份和无法否认发送过的购物请求通过数字签名实现，数字签名＝DSKC(H(P))；SKC是发送者私钥，H是报文摘要算法。 明文、数字签名和证明发送者和公钥之间绑定的证书用3DES加密算法加密，并将密钥用指定接收者的公钥加密，因此，只有指定接收者才能还原密钥，并因此获得明文、数字签名和证书。;指定商家才能用私钥解密出密钥KEY，并因此获得明文、数字签名和证书； 对明文P进行报文摘要运算，对数字签名用证书给出的公钥进行加密运算，然后对两者进行比较，如果相等：一是证明由证书指定的发送者发送，二是明文确实是发送者发送的明文。这样，完成了发送者身份认证、数字签名认证和完整性检测。;双重签名的目的是证明两份报文的关联性，不仅通过数字签名证实由发送者发送，而且证实这两份报文和同一事务相关； 这里需要证明支付信息和购货信息是对应的，是与同一次电子购物相关的两份报文。;持卡人、商家和支付网关需要获得由认证中心签发的证书； 选择商品，得到商家发送的定货信息； 向商家提供定货信息和支付信息； 商家认证支付信息； 商家提供商品。;购买请求消息在获得商家提供的购物清单后发送； 根据购物清单构件定货信息和支付信息，定货信息发送给商家，支付信息由商家用于认证持卡人的支付能力，为了将定货信息和支付信息绑定在一起，持卡人采用双重签名； 为了上支付网关和商家认证双重签名，发送给商家的信息中包含支付信息的报文摘要，发送给支付网关的信息中包含订货信息的报文摘要； 为了区别信息的接收者，分别用支付网关和商家的公钥加密发送给它们的信息。;商家验证双重签名，确定定货信息的发送者和双重签名证实的支付信息的报文摘要； 对发送给支付网关的密文不作处理，用于生成用于验证持卡人支付能力的授权请求消息。;授权请求信息的目的是验证持卡人的支付能力； 支付信息中除了有关账户、密码等私密信息，还有交易标识符和支付金额等与本次交易关联的信息； 授权信息中同样提供交易标识符和支付金额等与本次交易有关的信息，便于支付网关验证。;认证支付信息发送者身份和授权请求消息发送者身份； 认证双重签名，确认支付信息和订货信息之间的关联； 根据商家提供的授权信息和持卡人提供的支付信息验证持卡人的支付能力。;支付网关验证持卡人支付能力后，向商家提供承兑凭证，一旦商家提供已向持卡人提供商品或服务的证据，即可凭承兑凭证要求电子转账； 商家不能处理承兑凭证； 授权信息由支付网关数字签名，用于向商家通告验证持卡人支付能力的结果。;商家向持卡人提供商品或服务后，要求支付网关完成电子转账； 商家提供支付网关提供的承兑凭证和请求消息； 请求消息中给出本次购物的相关信息，如交易标识符、支付金额等，还有已经完成向持卡人提供商品或服务的证据； 支付网关根据请求消息验证承兑凭证，在验证无误的情况下，通过支付网络和专用支付系统完成持卡人至商家的电子转账。;11.2 电子邮件安全协议;PGP;PGP;S/MIME;增加了邮件内容类型，允许邮件内容为多媒体信息，如图片、视频、音频等； 经过编码，将多媒体信息转换成ASCII码进行传输。;为了和SMTP兼容，非ASCII码的MIME邮件内容被转换成7位ASCII码后，通过SMTP发送； 接收端需要将通过SMTP接收到的7位ASCII码重新还原为非ASCII码的MIME邮件内容。;为了安全传输邮件，需要认证发送者身份、进行邮件完整性检测，认证子报文就用于实现这一功能； 采用数字签名技术，认证子报文中给出证书、数字签名采用的算法等； 消息和数字签名作为认证子报文主要内容。;用3DES对邮件加密，用接收端的公钥加密3DES的密钥，保证只有指定接收端才能获取邮件内容； 用明文方式给出消息加密算法，密钥加密算法，加密密钥的公钥的证书。;11.3 门户网站;系统结构;系统结构;系统配置;门户网站为每一个用户设置认证机制和允许访问的资源及访问方式； 访问的资源可以具体到某个文件或某个信箱。;实现机制;9、要学生做的事，