計算機網(wǎng)絡(luò)安全課件(沈鑫剡)第11章

?

2006工程兵工程學(xué)院計算機教研室計算機網(wǎng)絡(luò)安全第11章應(yīng)用層安全協(xié)議第11章應(yīng)用層安全協(xié)議計算機網(wǎng)絡(luò)安全Web安全協(xié)議；電子郵件安全協(xié)議；門戶網(wǎng)站。應(yīng)用層安全協(xié)議給出了應(yīng)用層解決資源訪問安全問題的基本原則、方法和機制。應(yīng)用層安全協(xié)議11.1

Web安全協(xié)議計算機網(wǎng)絡(luò)安全Web安全問題；Web安全機制；HTTP

over

TLS；SET。由于網(wǎng)絡(luò)用戶通常都通過網(wǎng)站訪問網(wǎng)絡(luò)、進行網(wǎng)上購物和電子銀行轉(zhuǎn)賬，因此，

Web安全問題是廣大網(wǎng)絡(luò)用戶最關(guān)心，也是直接影響網(wǎng)絡(luò)健康發(fā)展的問題。應(yīng)用層安全協(xié)議Web安全問題計算機網(wǎng)絡(luò)安全偽造和篡改網(wǎng)頁偽造銀行網(wǎng)站，誘使用戶登錄；

篡改著名網(wǎng)站網(wǎng)頁，用銀行或其他著名網(wǎng)站域名鏈接偽造網(wǎng)站。截取用戶私密信息

攔截用戶和商務(wù)網(wǎng)站進行電子商務(wù)活動過程中交換的信息；偽造網(wǎng)頁進行詐騙。拒絕服務(wù)攻擊耗盡服務(wù)器資源；耗盡服務(wù)器鏈接網(wǎng)絡(luò)鏈路的帶寬。應(yīng)用層安全協(xié)議Web安全機制網(wǎng)際層

運輸層

應(yīng)用層

解決Web安全問題的關(guān)鍵是服務(wù)器身份認(rèn)證和信息傳輸加密，服務(wù)器身份認(rèn)證解決偽造網(wǎng)站的問題，信息傳輸加密解決截獲用戶私密信息的問題；

解決這兩個問題需要動態(tài)協(xié)商安全參數(shù)并完成對方身份認(rèn)證的協(xié)議，網(wǎng)際層的IPSec、運輸層的TLS和應(yīng)用層的SET都是具有這種功能的協(xié)議；

越是底層，通用性越好，但無法顧及特定應(yīng)用的細(xì)節(jié)；和指定應(yīng)用關(guān)聯(lián)越多，越能滿足指定應(yīng)用的安全要求。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議HTTP

over

TLS計算機網(wǎng)絡(luò)安全

TLS完成雙方身份認(rèn)證和安全參數(shù)協(xié)商，安全傳輸上層信息；

這里，TLS主要實現(xiàn)對服務(wù)器的身份認(rèn)證，約定安全傳輸過程用到的加密解密算法、密鑰、消息認(rèn)證算法等安全參數(shù)；

將用戶和服務(wù)器之間交換的HTTP報文封裝成TLS記錄協(xié)議報文。應(yīng)用層安全協(xié)議

用證書證明服務(wù)器域名和公鑰PKS的綁定；

終端用PKS加密預(yù)主密鑰，預(yù)主密鑰是生成密鑰的主要參數(shù)；

一旦確認(rèn)服務(wù)器和終端生成相同的密鑰，服務(wù)器身份得到確認(rèn)；

終端和服務(wù)器用約定的加密解密算法和密鑰實現(xiàn)數(shù)據(jù)的安全傳輸。HTTP

over

TLS計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議

由于TLS約定的安全參數(shù)只有終端和服務(wù)器知道，因此，加密和消息認(rèn)證碼計算過程本身具有認(rèn)證發(fā)送者身份的作用；

消息認(rèn)證碼用于完整性檢測，序號保證順序接收TLS記錄協(xié)議報文；

用三重DES加密需要傳輸?shù)臄?shù)據(jù)。HTTP

over

TLS計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

SET應(yīng)用系統(tǒng)用于實現(xiàn)電子購物；

既要保證持卡人的私密信息只在持卡人和發(fā)卡機構(gòu)之間傳輸，又要保證商家權(quán)益；

信息只能在指定的發(fā)送端和接收端之間傳輸，即必須對發(fā)送端進行身份認(rèn)證，只有指定接收端才能獲得信息。SET應(yīng)用系統(tǒng)計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）持卡人封裝過程

持卡人封裝處理過程一是需要認(rèn)證發(fā)送者身份，二是保證只有指定接收者才能獲得信息，三是持卡人不能否定發(fā)送過的購物請求；

認(rèn)證發(fā)送者身份和無法否認(rèn)發(fā)送過的購物請求通過數(shù)字簽名實現(xiàn)，數(shù)字簽名＝DSKC(H(P))；SKC是發(fā)送者私鑰，H是報文摘要算法。

明文、數(shù)字簽名和證明發(fā)送者和公鑰之間綁定的證書用3DES加密算法加密，并將密鑰用指定接收者的公鑰加密，因此，只有指定接收者才能還原密鑰，并因此獲得明文、數(shù)字簽名和證書。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）商家認(rèn)證發(fā)送者身份和解密數(shù)據(jù)過程

指定商家才能用私鑰解密出密鑰KEY，并因此獲得明文、數(shù)字簽名和證書；

對明文P進行報文摘要運算，對數(shù)字簽名用證書給出的公鑰進行加密運

算，然后對兩者進行比較，如果相等：一是證明由證書指定的發(fā)送者發(fā)

送，二是明文確實是發(fā)送者發(fā)送的明文。這樣，完成了發(fā)送者身份認(rèn)證、數(shù)字簽名認(rèn)證和完整性檢測。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）雙重簽名過程

雙重簽名的目的是證明兩份報文的關(guān)聯(lián)性，不僅通過數(shù)字簽名證實由發(fā)送者發(fā)送，而且證實這兩份報文和同一事務(wù)相關(guān)；

這里需要證明支付信息和購貨信息是對應(yīng)的，是與同一次電子購物相關(guān)的兩份報文。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議

持卡人、商家和支付網(wǎng)關(guān)需要獲得由認(rèn)證中心簽發(fā)的證書；

選擇商品，得到商家發(fā)送的定貨信息；

向商家提供定貨信息和支付信息；

商家認(rèn)證支付信息；商家提供商品。安全電子交易（SET）電子交易過程計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

購買請求消息在獲得商家提供的購物清單后發(fā)送；

根據(jù)購物清單構(gòu)件定貨信息和支付信息，定貨信息發(fā)送給商家，支付信息由商家用于認(rèn)證持卡人的支付能力，為了將定貨信息和支付信息綁定在一起，持卡人采用雙重簽名；

為了上支付網(wǎng)關(guān)和商家認(rèn)證雙重簽名，發(fā)送給商家的信息中包含支付信息的

報文摘要，發(fā)送給支付網(wǎng)關(guān)的信息中

包含訂貨信息的報文摘要；

為了區(qū)別信息的接收者，分別用支付網(wǎng)關(guān)和商家的公鑰加密發(fā)送給它們的信息。購買請求消息封裝過程計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）商家驗證雙重簽名過程商家驗證雙重簽名，確定定貨信息的發(fā)送者和雙重簽名證實的支付信息的報文摘要

對發(fā)送給支付網(wǎng)關(guān)的密文不作處理，用于生成用于驗證持卡人支付能力的授權(quán)請求息。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

授權(quán)請求信息的目的是驗證持卡人的支付能力；

支付信息中除了有關(guān)賬戶、密碼等私密信息，還有交易標(biāo)識符和支付金額等與本次交易關(guān)聯(lián)的信息；

授權(quán)信息中同樣提供交易標(biāo)識符和支付金額等與本次交易有關(guān)的信息，便于支付網(wǎng)關(guān)驗證。商家封裝授權(quán)請求消息過程計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議

認(rèn)證支付信息發(fā)送者身份和授權(quán)請求消息發(fā)送者身份；

認(rèn)證雙重簽名，確認(rèn)支付信息和訂貨信息之間的關(guān)聯(lián)；

根據(jù)商家提供的授

權(quán)信息和

持卡人提

供的支付

信息驗證

持卡人的

支付能力。安全電子交易（SET）支付網(wǎng)關(guān)驗證授權(quán)請求消息過程計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

支付網(wǎng)關(guān)驗證持卡人支付能力后，向

商家提供承兌憑證，一旦商家提供已向

持卡人提供商品或

服務(wù)的證據(jù)，即可

憑承兌憑證要求電

子轉(zhuǎn)賬；

商家不能處理承兌憑證；

授權(quán)信息由支付網(wǎng)關(guān)數(shù)字簽名，用于向商家通告驗證持卡人支付能力的結(jié)果。支付網(wǎng)關(guān)封裝授權(quán)響應(yīng)消息過程計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

商家向持卡人提供商品或服務(wù)后，要求支付網(wǎng)關(guān)完成電子轉(zhuǎn)賬；

商家提供支付網(wǎng)關(guān)提供的承兌憑證和請求消息；

請求消息中給出本次購物的相關(guān)信息，如交易標(biāo)識符、支付金額等，還有已經(jīng)完成向持卡人提供商品或服務(wù)的證據(jù)；

支付網(wǎng)關(guān)根據(jù)請求消息驗證承兌憑證，在驗證無誤的情況下，通過支付網(wǎng)絡(luò)和專用支付系統(tǒng)完成持卡人至商家的電子轉(zhuǎn)賬。商家封裝請求消息過程計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議11.2電子郵件安全協(xié)議計算機網(wǎng)絡(luò)安全PGP；S/MIME。電子郵件安全協(xié)議采用的技術(shù)和其他安全傳輸協(xié)議相似，一是通過數(shù)字簽名完成發(fā)送者身份認(rèn)證，二是通過加密實現(xiàn)保密傳輸。只是PGP采用和郵件格式無關(guān)的機制，

S/MIME采用在郵件內(nèi)容的定義中增加數(shù)

字簽名和保密傳輸類型。應(yīng)用層安全協(xié)議PGP發(fā)送端處理過程

前提是雙方均已通過認(rèn)證中心獲得公鑰、私鑰對和證書，并向?qū)Ψ桨l(fā)送了證書；數(shù)字簽名實現(xiàn)發(fā)送者身份認(rèn)證和完整性檢測；

用3DES加密，并用接收端公鑰加密3DES加密用的密鑰，保證只有指定接收端才能閱讀郵件。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議PGP接收端處理過程

指定接收端用私鑰解密出3DES的密鑰，然后還原出壓縮消息；

對解壓后的消息通過用發(fā)送端公鑰驗證數(shù)字簽名、完成完整性檢測。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議S/MIME

5個常見關(guān)鍵詞：Date、From、Subject、To、Cc；只能傳輸ASCII碼。SMTP郵件格式計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議

增加了郵件內(nèi)容類型，允許郵件內(nèi)容為多媒體信息，如圖片、視頻、音頻等；經(jīng)過編碼，將多媒體信息轉(zhuǎn)換成ASCII碼進行傳輸。S/MIMEMIME郵件格式計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議S/MIMEMIME和SMTP的關(guān)系

為了和SMTP兼容，非ASCII碼的MIME郵件內(nèi)容被轉(zhuǎn)換成7位ASCII碼后，通過SMTP發(fā)送；

接收端需要將通過SMTP接收到的7位ASCII碼重新還原為非

ASCII碼的MIME郵件內(nèi)容。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議S/MIME認(rèn)證郵件子報文過程

為了安全傳輸郵件，需要認(rèn)證發(fā)送者身份、進行郵件完整性檢測，認(rèn)證子報文就用于實現(xiàn)這一功能；

采用數(shù)字簽名技術(shù)，認(rèn)證子報文中給出證書、數(shù)字簽名采用的算法等；消息和數(shù)字簽名作為認(rèn)證子報文主要內(nèi)容。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議S/MIME加密郵件子報文過程

用3DES對郵件加密，用接收端的公鑰加密3DES的密鑰，保證只有指定接收端才能獲取郵件內(nèi)容；

用明文方式給出消息加密算法，密鑰加密算法，加密密鑰的公鑰的證書。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議11.3門戶網(wǎng)站計算機網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)；系統(tǒng)配置；實現(xiàn)機制。門戶網(wǎng)站是內(nèi)部網(wǎng)絡(luò)資源的入口，由門戶網(wǎng)站統(tǒng)一實現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問控制過程，門戶網(wǎng)站根據(jù)事先配置的不同用戶的訪問權(quán)限，對用戶身份進行認(rèn)證，監(jiān)管用戶權(quán)限內(nèi)的資源訪問過程。應(yīng)用層安全協(xié)議系統(tǒng)結(jié)構(gòu)

必須由防火墻控制信息傳輸過程，即用戶和服務(wù)器之間不能直接通信，用戶必須經(jīng)過門戶網(wǎng)站訪問服務(wù)器；外網(wǎng)授權(quán)終端同樣必須經(jīng)過門戶網(wǎng)站訪問內(nèi)網(wǎng)服務(wù)器資源；門戶網(wǎng)站必須建立授權(quán)用戶庫，對每一個授權(quán)用戶設(shè)置訪問權(quán)限。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議系統(tǒng)結(jié)構(gòu)用戶通過HTTP訪問門戶網(wǎng)站；

門戶網(wǎng)站認(rèn)證用戶身份、確定用戶訪問權(quán)限，通過對應(yīng)資源訪問協(xié)議訪問內(nèi)網(wǎng)資源，將訪問結(jié)果統(tǒng)一用HTTP響應(yīng)傳輸給用戶。計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議系統(tǒng)配置計算機網(wǎng)絡(luò)安全防火墻配置從用戶區(qū)到門戶區(qū)源IP地址=/24目的IP地址=/32

HTTP服務(wù)；

從門戶區(qū)到服務(wù)器區(qū)源IP地址=/32目的IP地址=/32

HTTP服務(wù)；

從門戶區(qū)到服務(wù)器區(qū)源IP地址=/32目的IP地址=/32

FTP服務(wù)；

從門戶區(qū)到服務(wù)器區(qū)源IP地址=/32目的IP地址=/32

SMTP+POP3服務(wù)。防火墻配置的目的是保證用戶只能和門戶網(wǎng)站進行HTTP服務(wù)、門戶網(wǎng)站只能和相應(yīng)服務(wù)器進行對應(yīng)服務(wù)。應(yīng)用層安全協(xié)議

門戶網(wǎng)站為每一個用戶設(shè)置認(rèn)證機制和允許訪問的資源及訪問方式；訪問的資源可以具體到某個文件或某個信箱。系統(tǒng)配置計算機網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議實現(xiàn)機制計算機網(wǎng)絡(luò)安全獲取證書鏈用戶和門戶網(wǎng)站都需通過認(rèn)證中心獲得證書；相互具有證明證書真?zhèn)蔚淖C書鏈。登錄門戶網(wǎng)站登錄門戶網(wǎng)站；完成相互身份認(rèn)證；確定用戶訪問權(quán)限。訪問資源要求用戶輸入資源名稱和訪問方式；門戶網(wǎng)站檢測是否符合用戶訪問權(quán)限；通過對應(yīng)資源訪問協(xié)議完成資源訪問；通過HTTP響應(yīng)報文傳輸資源訪問結(jié)果。■■

190、、要閱學(xué)讀生一做切的好事書，如教同職和員過躬去親最共杰做出；的要人學(xué)談生話學(xué)。的12知:2識8:，25教12職:2員8:躬25親12共:2學(xué)87；/2要3/學(xué)20生21守12的:2規(guī)8:則25，PM教職員躬親共守。21.7.2321.7.23Friday,July23,2021

應(yīng)應(yīng)用用層層安安全全協(xié)協(xié)議議■■

1112、、一要個記好住的，教你師不僅，是是教一課個的懂教得師心，理也學(xué)和是教學(xué)育生學(xué)的的教人育。者2，1.生7.活23的12導(dǎo):2師8:和25道12德:2的8J引ul路-2人12。3-1J2u:l2-82:12512:28:2512:28Friday,July23,2021■■ 1134、、H誰ew要ho是se自iz己et還he沒ri有g(shù)h發(fā)tm展om培en養(yǎng)t,和is教th育er