信息安全技術(shù)-安全協(xié)議_第1頁
信息安全技術(shù)-安全協(xié)議_第2頁
信息安全技術(shù)-安全協(xié)議_第3頁
信息安全技術(shù)-安全協(xié)議_第4頁
信息安全技術(shù)-安全協(xié)議_第5頁
已閱讀5頁,還剩60頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第13章

安全協(xié)議主要內(nèi)容容安全協(xié)議議概述IPsec協(xié)議議SSL協(xié)協(xié)議安全電子子交易協(xié)協(xié)議SET13.1安全全協(xié)議基基本概念念協(xié)議

協(xié)議是指指兩個或或多個以以上參與與者為完完成某項項特定的的任務(wù)而而采取的的一系列列步驟。。通信協(xié)議議通信協(xié)議議是指通通信各方方關(guān)于通通信如何何進行所所達成的的一致性性規(guī)則,,即由參參與通信信的各方方按確定定的步驟驟做出一一系列通通信動作作,是定定義通信信實體之之間交換換信息的的格式及及意義的的一組規(guī)規(guī)則。包包括語法法、語義義和同步步三大要要素。安全協(xié)議議基本概概念安全協(xié)議議安全協(xié)議議是指通通過信息息的安全全交換來來實現(xiàn)某某種安全全目的所所共同約約定的邏邏輯操作作規(guī)則。。網(wǎng)絡(luò)安全全通信協(xié)協(xié)議屬于安全全協(xié)議,,是指在在計算機機網(wǎng)絡(luò)中中使用的的具有安安全功能能的通信信協(xié)議。。TCP//IP安安全分析析由于TCP//IP協(xié)議簇在在早期設(shè)設(shè)計時是是以面向向應(yīng)用為為根本目目的的,,因此未未能充分分考慮到到安全性性及協(xié)議議自身的的脆弱性性、不完完備性,,導(dǎo)致網(wǎng)網(wǎng)絡(luò)中存存在著許許多可能能遭受攻攻擊的漏漏洞。TCP//IP安安全分析析網(wǎng)絡(luò)層協(xié)協(xié)議的安安全隱患患IP協(xié)議在實實現(xiàn)通信信的過程程中并不不能為數(shù)數(shù)據(jù)提供供完整性性和機密密性保護護,缺少少基于IP地址的身身份認證證機制,,容易遭遭到IP地址欺騙騙攻擊。。傳輸層協(xié)協(xié)議的安安全隱患患TCP協(xié)議的安安全隱患患:服務(wù)器端端維持大大量的半半連接列列表而耗耗費一定定的資源源。序列號可可計算UDP協(xié)議的安安全隱患患不確認報報文是否否到達不進行流流量控制制不作糾錯錯和重傳傳TCP//IP安安全分析析應(yīng)用層協(xié)協(xié)議的安安全隱患患大部分協(xié)協(xié)議以超超級管理理員的權(quán)權(quán)限運行行,一旦旦這些程程序存在在安全漏漏洞且被被攻擊者者利用,,極有可可能取得得整個系系統(tǒng)的控控制權(quán)。。許多協(xié)議議采用簡簡單的身身份認證證方式,,并且在在網(wǎng)絡(luò)中中以明文文方式傳傳輸。TCP//IP的的安全體體系結(jié)構(gòu)構(gòu)SNMPPGPS/MIMEPEMSETIKETELNETHTTPSX.509RIPv2SNMPv3BGP-4SSLTLSTCPUDPIPsec(AH)IPsec(ESP)IPPPTPL2TPPPPL2F硬件設(shè)備驅(qū)動程序及介質(zhì)介入?yún)f(xié)議應(yīng)用層傳輸層網(wǎng)絡(luò)層鏈路層13.2IPsec協(xié)議IPsec(IPSecurity)產(chǎn)產(chǎn)生于IPv6的制定定之中,,用于提提供IP層的安安全性。。IPsec(InternetProtocolSecurity,Internet協(xié)協(xié)議安全全)通過過AH((AuthenticationHeader,驗證證報頭))和ESP(EncapsulatingSecurityPayload,,封裝安安全有效效負載))兩個安安全協(xié)議議分別為為IP協(xié)協(xié)議提供供了基于于無連接接的數(shù)據(jù)據(jù)完整性性和數(shù)據(jù)據(jù)保密性性。基本概念念和術(shù)語語安全關(guān)聯(lián)聯(lián)為了正確確封裝和和提取IPsec的數(shù)據(jù)包包,有必必要采取取一套專專門的方方案,將將安全服服務(wù)、密密鑰等與與要保護護的通信信數(shù)據(jù)聯(lián)聯(lián)系在一一起,這這樣的構(gòu)構(gòu)建方案案稱為安安全關(guān)聯(lián)聯(lián)(SecurityAssociation,SA)。SA是發(fā)送者者和接收收者兩個個IPsec系統(tǒng)之間間的一個個單向邏邏輯連接接,若要要在一個個對等系系統(tǒng)間進進行源和和目的的的雙向安安全通信信,則需需要兩個個SA。安全關(guān)聯(lián)聯(lián)SA通過一個個三元組組(安全全參數(shù)索索引SPI、目的IP地址和安安全協(xié)議議AH或ESP)來唯一一標(biāo)識。。實現(xiàn)IPsec必須維護護這兩個個數(shù)據(jù)庫庫:安全策略略數(shù)據(jù)庫庫:對所所有出/入業(yè)務(wù)應(yīng)應(yīng)采取的的安全策策略安全關(guān)聯(lián)聯(lián)數(shù)據(jù)庫庫:為進進入和外外出包處處理維持持一個活活動的SA列表基本概念念和術(shù)語語隧道把一個包包封裝在在另一個個新包中中,整個個源數(shù)據(jù)據(jù)包作為為新包的的有效載載荷部分分,并在在前面添添加一個個新的IP頭。對IPsec而言,IP隧道的直直接目標(biāo)標(biāo)就是對對整個IP數(shù)據(jù)包提提供完整整的保護護。Internet安全全關(guān)聯(lián)和和密鑰管管理協(xié)議議InternetSecurityAssociationandKeyManagementProtocol,ISAKMP為Internet環(huán)境下安安全協(xié)議議使用的的安全關(guān)關(guān)聯(lián)和密密鑰的創(chuàng)創(chuàng)建定義義了一個個標(biāo)準(zhǔn)通通用框架架,定義義了密鑰鑰管理表表述語言言通用規(guī)規(guī)則及要要求?;靖拍钅詈托g(shù)語語解釋域DomainofInterpretation,DOI是Internet編號分配配機構(gòu)IANA給出的一一個命名名空間。。為使用用ISAKMP進行安全全關(guān)聯(lián)協(xié)協(xié)商的協(xié)協(xié)議統(tǒng)一一分配標(biāo)標(biāo)識符。。共享一個個DOI的協(xié)議從從一個共共同的命命名空間間中選擇擇安全協(xié)協(xié)議和密密碼變換換、共享享密鑰以以及交換換協(xié)議標(biāo)標(biāo)識符等等,從而而能使用用相同DOI的協(xié)議對對該DOI下的載荷荷數(shù)據(jù)內(nèi)內(nèi)容做出出統(tǒng)一的的解釋。。IPsec組成成AuthenticationHeader((AH,,驗證報報頭)協(xié)協(xié)議定義了認認證的應(yīng)應(yīng)用方法法,提供供數(shù)據(jù)源源認證和和完整性性保證;;EncapsulatingSecurityPayload((ESP,封裝裝安全有有效負載載)協(xié)議議定義了加加密和可可選認證證的應(yīng)用用方法,,提供可可靠性保保證。InternetKeyExchange((IKE,密鑰鑰的交換換標(biāo)準(zhǔn)))協(xié)議。。用于密鑰鑰交換。。AH協(xié)議議AH的工工作原理理:在每一個個數(shù)據(jù)包包上添加加一個身身份驗證證報頭。。此報頭頭包含一一個被加加密的hash值(可以以將其當(dāng)當(dāng)作數(shù)字字簽名,,只是它它不使用用證書)),此hash值在整個個數(shù)據(jù)包包中計算算,因此此對數(shù)據(jù)據(jù)的任何何更改將將導(dǎo)致hash值無效,,這樣就就提供了了完整性性保護。。AH報頭位置置在IP報頭和傳傳輸層協(xié)協(xié)議頭之之間。AH由協(xié)議號號“51”標(biāo)識AH報頭頭結(jié)構(gòu)081631下一個頭保留安全參數(shù)索引序列號認證數(shù)據(jù)載荷長度(1)下下一個頭頭(NextHeader):8位,標(biāo)標(biāo)識下一一個使用用IP協(xié)協(xié)議號的的報頭類類型,其其取值在在RFC1700中定定義。(2)載載荷長度度(PayloadLength):8位,表表示以32位為為單位的的AH頭頭的長度度減2。。(3)保保留(Reserved)::16位位,供將將來使用用。值為為0。(4)安安全參數(shù)數(shù)索引((SecurityParametersIndex,SPI)):這是是一個為為數(shù)據(jù)報報識別安安全關(guān)聯(lián)聯(lián)SA的的32位位偽隨機機值。(5)序序列號((SequenceNumber):從從1開始始的32位單增增序列號號,不允允許重復(fù)復(fù),唯一一地標(biāo)識識了每一一個發(fā)送送數(shù)據(jù)包包,為安安全關(guān)聯(lián)聯(lián)提供反反重播保保護。(6)認認證數(shù)據(jù)據(jù)(AuthenticationData,,AD)):長度度可變,,但必須須是32位的整整數(shù)倍,,默認長長度為96位。。包含了了數(shù)據(jù)包包的完整整性校驗驗值ICV。ESP協(xié)協(xié)議ESP的作用是是提供機機密性保保護、有有限的流流機密性性保護、、無連接接的完整整性保護護、數(shù)據(jù)據(jù)源認證證和抗重重放攻擊擊等安全全服務(wù)。。ESP提供和AH類似的安安全服務(wù)務(wù),但增增加了數(shù)數(shù)據(jù)機密密性保護護和有限限的流機機密性保保護等兩兩個額外外的安全全服務(wù)。。ESP可以單獨獨使用,,也可以以和AH結(jié)合使用用。一般般ESP不對整個個數(shù)據(jù)包包加密,,而是只只加密IP包的有效效載荷部部分,不不包括IP頭。但在在端對端端的隧道道通信中中,ESP需要對整整個數(shù)據(jù)據(jù)包加密密。ESP數(shù)數(shù)據(jù)包格格式認證覆蓋蓋范圍保密性覆覆蓋范圍圍08162431安全參數(shù)數(shù)索引序列號認證數(shù)據(jù)據(jù)載荷數(shù)據(jù)據(jù)(變長長)下一個頭頭填充項長長度填充項(1)安全參參數(shù)索引引(SPI):32位整數(shù)。。它和IP頭的目的的地址、、ESP協(xié)議一起起用以唯唯一標(biāo)識識對這個個包進行行ESP保護的SA。(2)序列號號(SequenceNumber):從1開始的32位單增序序列號,,不允許許重復(fù),,唯一地地標(biāo)識了了每一個個發(fā)送數(shù)數(shù)據(jù)包(3)載荷數(shù)數(shù)據(jù):長長度不固固定,所所包含的的是由下下一個頭頭字段所所指示的的數(shù)據(jù)((如整個個IP數(shù)據(jù)包、、上層協(xié)協(xié)議TCP或UDP報文等))(4)填充項項(Padding):如果果加密算算法要求求明文是是某個數(shù)數(shù)字的整整數(shù)倍,,則通過過填充可可將明文文擴充到到所需要要的長度度。另外外,通過過填充可可以隱藏藏載荷數(shù)數(shù)據(jù)的實實際長度度,從而而對流量量提供部部分的保保密性。。(5)填充項項長度((PaddingLength):8位,表明明填充項項字段中中填充以以字節(jié)為為單位的的長度。。(6)下一個個頭(NextHeader):識別別下一個個使用IP協(xié)議號的的報頭,,如TCP或UDP。(7)認證數(shù)數(shù)據(jù)(AuthenticationData):長度度不固定定,存放放的是完完整性校校驗值ICV。IKE協(xié)協(xié)議IKE的基礎(chǔ)是是ISAKMP,Oakley和SKEME三個協(xié)議議,它沿沿用了ISAKMP的基礎(chǔ),,Oakley的模式以以及SKEME的共享和和密鑰更更新技術(shù)術(shù)。使用了兩兩個交換換階段,,階段一一用于建建立IKESA,階段二二利用已已建立的的IKESA為IPsec協(xié)商具體體的一個個或多個個安全關(guān)關(guān)聯(lián),即即建立IPsecSA。IKE允許四種種認證方方法,分分別是基基于數(shù)字字簽名的的認證、、基于公公鑰加密密的認證證、基于于修訂的的公鑰加加密的認認證和基基于預(yù)共共享密鑰鑰的認證證。IPsec的工工作模式式傳輸模式式采用傳輸輸模式時時,原IP數(shù)據(jù)包的的首部之之后的數(shù)數(shù)據(jù)會發(fā)發(fā)生改變變,通過過增加加AH或ESP字段來提提供安全全性,但但原IP首部不變變。AH傳輸模式式ESP傳輸模式式隧道模式式隧道模式式的保護護對象是是整個IP包。在AH或ESP字段加入入到IP分組后,,還要加加上一個個新的首首部,原原數(shù)據(jù)包包加上安安全字段段成為新新數(shù)據(jù)包包的載荷荷,因此此得到了了完全的的安全性性保護。。AH隧道模式式ESP隧道模式式AH傳輸輸模式除變長字字段外都都要認證證AH傳輸模式式下IPv4封包:原IPv4封包:IP頭TCP//UDP頭數(shù)據(jù)原IP頭TCP//UDP頭數(shù)據(jù)AH頭ESP傳傳輸模式式加密ESP傳輸模式式下IPv4封包:原IPv4封包:IP頭TCP//UDP頭數(shù)據(jù)原IP頭TCP//UDP頭數(shù)據(jù)ESP頭ESP尾部ESP認證數(shù)據(jù)據(jù)認證AH隧道道模式除新IP頭變長字字段外都都要認證證原IPv4封包:IP頭TCP//UDP頭數(shù)據(jù)AH傳輸模式式下IPv4封包:新IP頭AH頭原IP頭TCP//UDP頭數(shù)據(jù)ESP隧隧道模式式加密ESP傳輸模式式下IPv4封包:原IPv4封包:IP頭TCP//UDP頭數(shù)據(jù)新IP頭TCP//UDP頭數(shù)據(jù)ESP頭ESP尾部ESP認證數(shù)據(jù)據(jù)認證原IP頭IPsec的應(yīng)應(yīng)用目前IPsec最主要的的應(yīng)用就就是構(gòu)建建安全的的虛擬專專用網(wǎng)。。虛擬專用用網(wǎng)(VirtualPrivateNetwork,VPN))是一條穿穿過公用用網(wǎng)絡(luò)的的安全、、穩(wěn)定的的隧道。。通過對對網(wǎng)絡(luò)數(shù)數(shù)據(jù)的封封包和加加密傳輸輸,在一一個公用用網(wǎng)絡(luò)((通常是是因特網(wǎng)網(wǎng))建立立一個臨臨時的、、安全的的連接,,從而實實現(xiàn)在公公網(wǎng)上傳傳輸私有有數(shù)據(jù),,達到私私有網(wǎng)絡(luò)絡(luò)的安全全級別。?;贗Psec的VPNIPSecVPN的的不足最早出現(xiàn)現(xiàn)的具有有加密功功能的VPN是是IPSecVPN。雖然然IPSecVPN簡單高高效,但但在實現(xiàn)現(xiàn)遠程接接入時存存在以下下一些弱弱點:網(wǎng)絡(luò)的互互聯(lián)性不不好客戶端使使用和維維護困難難訪問權(quán)限限管理粒粒度較粗粗InternetNATFirewallVPN網(wǎng)關(guān)部門1部門2部門3WindowsXPWindowsVistaLinuxMacPDAiPhoneSSLVPN產(chǎn)生的的背景對于IPSecVPN在實實現(xiàn)遠程程接入方方面存在在的問題題,SSLVPN可可以很好好地給予予解決::網(wǎng)絡(luò)互聯(lián)聯(lián)性:SSL工工作在TCP層層,不會會受NAT和防防火墻的的影響。??蛻舳说牡木S護::借助瀏瀏覽器,,實現(xiàn)客客戶端的的自動安安裝和配配置。訪問權(quán)限限管理::解析應(yīng)應(yīng)用層協(xié)協(xié)議,進進行高細細粒度地地訪問控控制。InternetNATFirewallVPN網(wǎng)關(guān)部門1部門2部門3WindowsXPWindowsVistaLinuxMacPDAiPhone13.3SSL協(xié)議議SSL協(xié)議是一一個傳輸輸層安全全協(xié)議。。SSL協(xié)議由Netscape公司于1994年11月提出并并率先實實現(xiàn),即即SSLV2..0Internet-Draft版本1996年3月推出了了SSLV3..0Internet-Draft版本,最終被IETF所采納,,并制定定為傳輸輸層安全全標(biāo)準(zhǔn)。。工作在傳傳輸層之之上,應(yīng)應(yīng)用層之之下,其其底層是是基于傳傳輸層可可靠的流流傳輸協(xié)協(xié)議(如如TCP)HTTPTelnetSMTPTCPSSLIPFTPSSL協(xié)協(xié)議簡介介SSL::英文“SecureSocketLayer”,中中文“安安全套接接字”協(xié)協(xié)議。SSL協(xié)協(xié)議是一一種工作作在TCP層之之上的,,用于安安全傳輸輸數(shù)據(jù)的的加密協(xié)協(xié)議。SSL協(xié)協(xié)議可以以提供以以下功能能:加密的數(shù)數(shù)據(jù)傳輸輸支持用數(shù)數(shù)字簽名名驗證通通訊雙方方的身份份抗攻擊,,如重播播(replay)、、中間人人(man-in-middle))等。面向應(yīng)用用程序的的API接口,,便于SSL協(xié)協(xié)議在客客戶端和和服務(wù)器器端部署署。SSL協(xié)協(xié)議簡介介—工作作模型SSL協(xié)協(xié)議在使使用方面面的特點點:SSL協(xié)協(xié)議對上上層應(yīng)用用提供端端到端的的,有連連接的加加密傳輸輸服務(wù)。。SSL協(xié)協(xié)議采用用了C//S架構(gòu)構(gòu)的通訊訊模式。。SSL服服務(wù)器端端作為一一種TCP服務(wù)務(wù),監(jiān)聽聽443號端口口,接收收建立SSL連連接的請請求報文文。TCPUDPIPSSLClientApplicationTCPUDPIPSSLServerApplicationSSL協(xié)議TCP協(xié)議應(yīng)用層協(xié)議SSL協(xié)協(xié)議簡介介—協(xié)議議架構(gòu)SSL協(xié)協(xié)議包含含兩層::握手層::負責(zé)建建立SSL連接接記錄層::負責(zé)對對報文進進行加解解密記錄層協(xié)議握手層記錄層ApplicationTCPSSL層SSLAPI密鑰改變協(xié)議握手協(xié)議告警協(xié)議SSL協(xié)協(xié)議簡介介—記錄錄層SSL記記錄層提提供下列列功能::保證數(shù)據(jù)據(jù)傳輸?shù)牡乃矫苄孕浴鱾鬏敂?shù)據(jù)據(jù)進行加加密和解解密。保證數(shù)據(jù)據(jù)傳輸?shù)牡耐暾孕浴S嬎闼愫万炞C證報文的的消息驗驗證碼。。對傳輸數(shù)數(shù)據(jù)的壓壓縮。目目前壓縮縮算法為為空。對上層提提供可靠靠保序的的有連接接服務(wù)。。加密數(shù)據(jù)據(jù)報文類型型版本長度長度(字字節(jié))1字節(jié)2字節(jié)2字節(jié)MAC報文類型型:密鑰鑰改變協(xié)協(xié)議(20)),告警警協(xié)議((21)),握手手協(xié)議((22)),應(yīng)應(yīng)用層數(shù)數(shù)據(jù)(23)版本:TLS1.0((3,1),SSL3.0((3,0)長度:記記錄層報報文的長長度,包包括加密密數(shù)據(jù)和和MAC值的字字節(jié)數(shù)。。MAC::整個記記錄報文文的消息息驗證碼碼,包括括從報文文類型開開始的所所有字段段。SSL記記錄層的的報文格格式:SSL協(xié)協(xié)議簡介介—握手手層SSL握握手層提提供下列列功能::協(xié)商加密密能力協(xié)議版本本、加密密套件、、壓縮算算法。協(xié)商密鑰鑰參數(shù)::塊加密::初始化化向量((IV))、加密密密鑰、、HMAC密鑰鑰。流加密::流初始始狀態(tài)、、HMAC密鑰鑰。驗證對方方身份((可選))建立并維維護SSL會話話SSL協(xié)協(xié)議簡介介—握手手過程SSL握握手協(xié)議議提供了了三種握握手過程程:無客戶端端身份認認證的全全握手過過程全握手過過程是指指一個完完整的SSL連連接建立立過程,,在其中中需要協(xié)協(xié)商出新新的會話話參數(shù)。?!盁o客客戶端認認證”是是指在該該過程中中服務(wù)器器端并不不驗證客客戶端的的身份。。有客戶端端身份認認證的全全握手過過程服務(wù)器端端可以通通過此過過程利用用數(shù)字簽簽名來驗驗證用戶戶的真實實身份。。會話恢復(fù)復(fù)過程由于SSL全握握手過程程涉及到到較多的的復(fù)雜計計算,耗耗時較多多。為提提高建立立SSL連接的的效率,,SSL協(xié)議提提供了會會話恢復(fù)復(fù)機制,,使得后后面建立立的SSL連接接可以利利用以前前連接的的會話參參數(shù),避避免了重重新協(xié)商商的過程程。SSL協(xié)協(xié)議簡介介—無客客戶端認認證的全全握手過過程clientserverClientHelloServerHelloServerCertificate*ServerKeyExchange*ServerHelloDone**[ChangeCipherSpec]FinishedApplicationData客戶端支支持的最最高版本本,加密密套件列列表,壓壓縮算法法列表,,客戶端端隨機數(shù)數(shù),會話話ID=0服務(wù)器同同意的版版本,加加密套件件,壓縮縮算法、、會話ID、服務(wù)器器端隨機機數(shù)服務(wù)器的的證書服務(wù)器端端密鑰交交換的附附加信息息通知對方方服務(wù)器器端握手手消息發(fā)發(fā)完客戶端產(chǎn)產(chǎn)生的PreMasterKey密鑰參數(shù)數(shù)通知對方方本端開開始啟用用加密參參數(shù)通知對方方本端開開始啟用用加密參參數(shù)發(fā)送客戶戶端計算算握手過過程的驗驗證報文文發(fā)送自己己計算握握手過程程驗證報報文傳送應(yīng)用用層數(shù)據(jù)據(jù)ClientKeyExchangeFinishedApplicationData[ChangeCipherSpec]SSL協(xié)協(xié)議簡介介—有客客戶端認認證的全全握手過過程clientserverClientHelloServerHelloServerCertificate*ServerKeyExchange*ServerHelloDone*[ChangeCipherSpec]FinishedApplicationData前面所有握手消息的數(shù)字簽名傳送應(yīng)用層數(shù)據(jù)ClientKeyExchangeFinishedApplicationDataCertificateRequest*Certificate*CertificateVerify*[ChangeCipherSpec]向客戶端索要證書客戶端的證書SSL協(xié)協(xié)議簡介介—會話話恢復(fù)過過程clientserverClientHelloServerHello[ChangeCipherSpec]FinishedApplicationData客戶端支持的最高版本,加密套件列表,壓縮算法列表,客戶端隨機數(shù),上次SSL連接使用的會話ID服務(wù)器同意的版本,加密套件,壓縮算法、會話ID、服務(wù)器端隨機數(shù)通知對方本端開始啟用加密參數(shù)通知對方本端開始啟用加密參數(shù)發(fā)送客戶端計算出的握手過程的驗證報文發(fā)送服務(wù)器端計算出的握手過程驗證報文傳送應(yīng)用層數(shù)據(jù)FinishedApplicationData[ChangeCipherSpec]SSL安安全協(xié)議議主要提提供三方方面的服服務(wù)客戶和服服務(wù)器的的合法性性認證加密數(shù)據(jù)據(jù)以隱藏藏被傳送送的數(shù)據(jù)據(jù)保護數(shù)據(jù)據(jù)的完整整性SSL安安全通信信過程(1)接接通階段段:客戶機通通過網(wǎng)絡(luò)絡(luò)向服務(wù)務(wù)器打招招呼,服服務(wù)器回回應(yīng);(2)密密碼交換換階段::客戶機與與服務(wù)器器之間交交換雙方方認可的的密碼,,一般選選用RSA密碼算法法,也有有的選用用Diffie--Hellmanf和Fortezza-KEA密碼算法法;(3)會會談密碼碼階段::客戶機與與服務(wù)器器間產(chǎn)生生彼此交交談的會會談密碼碼;(4)檢檢驗階段段:客戶機檢檢驗服務(wù)務(wù)器取得得的密碼碼;(5)客客戶認證證階段::服務(wù)器驗驗證客戶戶機的可可信度;;(6)結(jié)結(jié)束階段段:客戶機與與服務(wù)器器之間相相互交換換結(jié)束的的信息。。SSL協(xié)協(xié)議的分分層結(jié)構(gòu)構(gòu)SSL協(xié)議具有有兩層結(jié)結(jié)構(gòu),其其底層是是SSL記錄協(xié)議議層(SSLRecordProtocolLayer),簡稱稱記錄層層。其高高層是SSL握手協(xié)議議層(SSLHandshakeProtocolLayer),簡稱稱握手層層。應(yīng)用層協(xié)議(HTTP、Telnet、FTP、SMTP等)SSL握手協(xié)議(HandshakeProtocol)SSL記錄協(xié)議(RecordProtocol)TCP協(xié)議IP協(xié)議SSL協(xié)議會話與連連接Connection(連連接)::一個在傳傳輸層協(xié)協(xié)議上的的傳輸媒媒介,它它提供一一個適當(dāng)當(dāng)?shù)姆?wù)務(wù)。連接接建立在在會話的的基礎(chǔ)上上,每個個連接與與一個會會話相關(guān)關(guān)聯(lián),并并對應(yīng)到到一個會會話。Session(會會話)::SSL會話建立立客戶與與服務(wù)器器之間的的一個關(guān)關(guān)聯(lián)(Association)。每一一組客戶戶端與服服務(wù)器之之間就是是一個SSLsession。這些會會話定義義一組以以密碼為為基礎(chǔ)的的安全性性參數(shù),,這些參參數(shù)能夠夠由多個個連接來來共同使使用。連接1連接1連接2連接2…………連接n連接n會話SSL握握手協(xié)議議Handshake協(xié)協(xié)議用來來讓客戶戶端及服服務(wù)器確確認彼此此的身份份。協(xié)助助雙方選選擇連接接時所使使用的加加密算法法、MAC算法法、及相相關(guān)密鑰鑰。Handshake由由一些客客戶與服服務(wù)器交交換的消消息所構(gòu)構(gòu)成,每每一個消消息都含含有以下下三個字字段:類型(Type),1個字節(jié)::表示消消息的類類型,總總共有十十種。長度(Length),3個字節(jié)::消息的的位組長長度。內(nèi)容(Content),大于或或等于1個字節(jié),,與此消消息有關(guān)關(guān)的參數(shù)數(shù)。SSLHandshake協(xié)議消消息類型型消息種類參數(shù)hello_requestclient_helloserver_hellocertificateserver_key_exchangecertificate_requestserver_donecertificate_verifyclient_key_exchangefinishedNullVersion,random,sessionid,ciphersuite,compressionmethodVersion,random,sessionid,ciphersuite,compressionmethod一連串的X.509v3的證書Parameters,signatureType,authoritiesNullSignatureParameters,signatureHashvalue客戶端與與服務(wù)器器產(chǎn)生一一條新連連接所要要進行的的初始交交換過程程包括四四個階段段,即建建立安全全能力、、服務(wù)器器認證與與密鑰交交換、客客戶端認認證與密密鑰交換換、完成成。SSL記記錄協(xié)議議SSL記記錄協(xié)議議為每一一個SSL連接接提供以以下兩種種服務(wù)::機密性(Confidentiality):SSL記錄協(xié)議議會協(xié)助助雙方產(chǎn)產(chǎn)生一把把共有的的密鑰,,利用這這把密鑰鑰來對SSL所傳送的的數(shù)據(jù)做做傳統(tǒng)式式加密。。消息完整整性(MessageIntegrity)):SSL記錄協(xié)議議會協(xié)助助雙方產(chǎn)產(chǎn)生另一一把共有有的密鑰鑰,利用用這把密密鑰來計計算出消消息認證證碼。SSL記記錄協(xié)議議運作模模式ApplicationdataFragmentCompressAddMACEncryptAppendSSLrecordheaderSSL協(xié)協(xié)議安全全性分析析SSL協(xié)協(xié)議自身身的缺陷陷客戶端假假冒SSL協(xié)議無法法提供基基于UDP應(yīng)用的安安全保護護SSL協(xié)議不能能對抗通通信流量量分析針對基于于公鑰加加密標(biāo)準(zhǔn)準(zhǔn)(PKCS)協(xié)議的自自適應(yīng)選選擇密文文攻擊進程中的的主密鑰鑰泄漏磁盤上的的臨時文文件可能能遭受攻攻擊SSL協(xié)協(xié)議安全全性分析析不規(guī)范應(yīng)應(yīng)用引起起的問題題對證書的的攻擊和和竊取中間人攻攻擊安全盲點點IE瀏覽器的的SSL身份鑒別別缺陷SSLVPN與IPSecVPN的比比較遠程訪問的安全需求IPSecVPNSSLVPN安全性傳輸加密各種常見算法各種常見算法身份認證種類少,強度不高。種類多,強度高。權(quán)限管理粒度粗粒度細防病毒入侵難以實施可以實施易于接入任何地點網(wǎng)絡(luò)互聯(lián)性不好網(wǎng)絡(luò)互聯(lián)性好任何設(shè)備客戶端兼容性不好客戶端兼容性好易于使用免安裝預(yù)先安裝免安裝或自動安裝免維護手工配置自動配置運行易于集成認證集成支持的種類少,與原有認證系統(tǒng)較難集成。支持的種類多,與原有認證系統(tǒng)易于集成。應(yīng)用集成支持各種IP應(yīng)用支持各種IP應(yīng)用13.4安全全電子交交易協(xié)議議SETSET協(xié)議(SecureElectronicTransaction,安全電電子交易易)是由由VISA和MasterCard兩大信用用卡公司司聯(lián)合推推出的規(guī)規(guī)范。SET主要是為為了解決決用戶、、商家和和銀行之之間通過過信用卡卡支付的的交易而而設(shè)計的的,以保保證支付付命令的的機密、、支付過過程的完完整、商商戶及持持卡人的的合法身身份,以以及可操操作性。。SET中的核心心技術(shù)主主要有公公鑰加密密、數(shù)字字簽名、、數(shù)字信信封、數(shù)數(shù)字證書書等。SET是應(yīng)用層層的安全全協(xié)議。。SET提提供的服服務(wù)給所有參參與交易易的每一一方提供供一個安安全的通通信管道道。使用X.509v3數(shù)字證書書來提供供可信賴賴的服務(wù)務(wù)。確保交易易的隱密密性。唯唯有必要要的時候候,才會會在必要要的場所所提供給給交易雙雙方所需需的信息息。SET交交易分為為三個階階段第一階段段為購買買請求階階段,持持卡人與與商家確確定所用用支付方方式的細細節(jié)第二階段段是支付付的認定定階段,,商家與與銀行核核實,隨隨著交易易的進行行,他們們將得到到支付第三階段段為收款款階段,,商家向向銀行出出示所有有交易的的細節(jié),,然后銀銀行以適適當(dāng)方式式轉(zhuǎn)移貨貨款。在整個交交易過程程中,持卡人只只和第一一階段有有關(guān),銀銀行與第第二、第第三階段段有關(guān),,而商家家與三個個階段都都要發(fā)生生聯(lián)系。。每個階段段都要使使用不同同的加密密方法對對數(shù)據(jù)加加密,并并進行數(shù)數(shù)字簽名名。SET交交易的參參與者SET規(guī)范的交交易模式式中,所所參與的的個體包包括持卡卡人、特特約商店店、發(fā)卡卡行、收收單行、、支付網(wǎng)網(wǎng)關(guān)、認認證中心心等。進行一個個SET交易所所經(jīng)歷的的事件(1)消費者者開立賬賬戶(2)消費者者收到證證書(3)特約商商店證書書(4)消費者者訂購(5)特約商商店核對對(6)發(fā)送訂訂單及支支付(7)特約商商店請求求支付認認證(8)特約商商店核準(zhǔn)準(zhǔn)訂單(9)特約商商店提供供其貨物物或服務(wù)務(wù)(10)特約商商店請求求支付雙重簽名名雙重簽名名的目的的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論