版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
互聯(lián)網(wǎng)通信安全孫建偉北京理工大學(xué)軟件學(xué)院2本講要點回顧網(wǎng)絡(luò)技術(shù)的發(fā)展歷史,從發(fā)展的角度看互聯(lián)網(wǎng)協(xié)議及應(yīng)用的發(fā)展概要介紹TCP/IP協(xié)議,了解互聯(lián)網(wǎng)運行的精髓從網(wǎng)絡(luò)安全的角度剖析TCP/IP協(xié)議認(rèn)識典型安全協(xié)議SSL協(xié)議、SET協(xié)議、IPSec協(xié)議,理解加密技術(shù)的應(yīng)用提綱互聯(lián)網(wǎng)技術(shù)概述TCP/IP協(xié)議及安全性分析SSL協(xié)議SET協(xié)議IPSec協(xié)議Internet技術(shù)概述電信網(wǎng)絡(luò)的發(fā)展PSTN網(wǎng)絡(luò)電路交換技術(shù)電信網(wǎng)絡(luò)的發(fā)展手工交換到程控交換大容量交換網(wǎng)絡(luò):SDH,DWDM,ATM基于電路交換技術(shù)的電信網(wǎng)絡(luò)遇到Internet之后,逐步退出歷史舞臺4Internet技術(shù)概述網(wǎng)絡(luò)技術(shù)的本質(zhì)交換與傳輸?shù)钠胶饩W(wǎng)絡(luò)的拓?fù)溥x擇是介于點對點互聯(lián)和星狀拓?fù)渲g的優(yōu)化狀態(tài)交換技術(shù)的兩種體制之爭電路交換包交換56互聯(lián)網(wǎng)起源Internet的實質(zhì)是自主的包交換技術(shù)TCP/IP協(xié)議IP:InternetProtocol,網(wǎng)際協(xié)議TCP:TransmissionControlProtocol,傳輸控制協(xié)議TCP/IP協(xié)議是Internet分層的通信協(xié)議集的總稱,含有上百個協(xié)議,而TCP和IP本身只是該協(xié)議集最基本的兩個協(xié)議。路由協(xié)議發(fā)現(xiàn)和管理網(wǎng)絡(luò)拓?fù)?網(wǎng)絡(luò)的可擴展性7互聯(lián)網(wǎng)起源簡單歷史源自冷戰(zhàn)時期,美國國防科研項目DARPAnet,設(shè)計目標(biāo)是生存性強,有動態(tài)自恢復(fù)能力。1975年:TCP/IP協(xié)議產(chǎn)生。1978年:TCP/IP協(xié)議取得了網(wǎng)絡(luò)領(lǐng)域的主導(dǎo)地位。1983年1月1日:成為Internet的事實標(biāo)準(zhǔn)協(xié)議。現(xiàn)在:已融入UNIX、Linux、Windows等操作系統(tǒng)中。8Internet的主要技術(shù)特點分層的分布式結(jié)構(gòu)無連接的分組交換技術(shù)網(wǎng)絡(luò)互連協(xié)議IP(IPovereverything)可擴展的路由技術(shù)9互聯(lián)網(wǎng)到中國1993年中科院高能所率先引進(jìn)以建設(shè)Cernet為實驗性應(yīng)用逐步商用:撥號接入,帶寬逐步拓寬2000年,組建寬帶網(wǎng)絡(luò)運營商網(wǎng)通公司目前網(wǎng)絡(luò)基礎(chǔ)設(shè)施的格局:互聯(lián)網(wǎng)為主體,傳統(tǒng)電信業(yè)務(wù)萎縮,移動通信轉(zhuǎn)向移動互聯(lián)網(wǎng),物聯(lián)網(wǎng)加速發(fā)展Internet技術(shù)概述Internet與電信網(wǎng)絡(luò)的發(fā)展與融合過程Internet定義了系列協(xié)議集,早期物理層的傳輸網(wǎng)絡(luò)還是依賴于已經(jīng)廣泛建設(shè)的電信網(wǎng)寬帶互聯(lián)網(wǎng)建設(shè)開始獨立于電信網(wǎng)互聯(lián)網(wǎng)應(yīng)用逐漸取代傳統(tǒng)電信網(wǎng)的業(yè)務(wù)三網(wǎng)融合的最終方案電信網(wǎng)與廣電網(wǎng)成為互聯(lián)網(wǎng)的接入方式IP網(wǎng)成為骨干網(wǎng)絡(luò)、基礎(chǔ)設(shè)施傳統(tǒng)的語音和視頻業(yè)務(wù)成為互聯(lián)網(wǎng)的一種特定的應(yīng)用10Internet技術(shù)概述當(dāng)代網(wǎng)絡(luò)技術(shù)的競爭與發(fā)展實質(zhì)是計算機技術(shù)的飛速發(fā)展,推動著代表計算機組網(wǎng)技術(shù)的Internet取代傳統(tǒng)電信網(wǎng)絡(luò)技術(shù)。目前這個過程還未完全結(jié)束傳統(tǒng)電信企業(yè)和業(yè)務(wù)模式還沒有終結(jié)傳統(tǒng)電信企業(yè)還有出路嗎?11提綱互聯(lián)網(wǎng)技術(shù)概述TCP/IP協(xié)議及安全性分析SSL協(xié)議SET協(xié)議IPSec協(xié)議TCP/IP協(xié)議及安全性分析理解TCP/IP協(xié)議族結(jié)構(gòu),各個層次協(xié)議的功能與關(guān)系,理解分層的思想理解網(wǎng)絡(luò)路由組織原理分析TCP/IP協(xié)議棧的安全缺陷,以及由此而來的網(wǎng)絡(luò)攻擊手段分析TCP/IP協(xié)議棧的安全架構(gòu)改造方案TCP/IP協(xié)議棧TCP/IP是一組通信協(xié)議的縮寫ISO/OSI模型及其與TCP/IP的關(guān)系TCP/IP的結(jié)構(gòu)TCP/IP是一個四層協(xié)議:
1)應(yīng)用層:提供一組常用的應(yīng)用程序給用戶,如:FTP:文件傳輸協(xié)議,協(xié)議用于主機之間文件的交換DNS:域名服務(wù),提供域名到InternetIP地址的轉(zhuǎn)換NVP:分組話音通信協(xié)議SMTP:簡單郵件傳遞協(xié)議SNMP:簡單網(wǎng)絡(luò)管理協(xié)議TELNET:遠(yuǎn)程通信協(xié)議,用戶的終端通過這個協(xié)議接入遠(yuǎn)程系統(tǒng)。2)傳輸層:解決計算機程序到計算機程序間的通信問題。TCP:傳輸控制協(xié)議,是面向連接的UDP:用數(shù)據(jù)報協(xié)議,是無連接的。16TCP/IP的結(jié)構(gòu)3)網(wǎng)絡(luò)層:解決計算機到計算機間的通信問題。IP:網(wǎng)際協(xié)議,提供了無連接數(shù)據(jù)報傳輸和網(wǎng)絡(luò)路由服務(wù)。IGMP:組管理協(xié)議,多播環(huán)境下使用的協(xié)議,用來幫助多播路由器識別加入到一個多播組的成員主機。它使用IP數(shù)據(jù)報傳遞其報文,可以看成IP協(xié)議的一個組成部分。ICMP:控制報文協(xié)議,網(wǎng)關(guān)或主機用ICMP向源站發(fā)送關(guān)于所發(fā)數(shù)據(jù)報的有關(guān)問題的報告ARP:地址解析協(xié)議,用來將Internet地址轉(zhuǎn)換成MAC物理地址RARP:逆地址解析協(xié)議,一個新接入網(wǎng)絡(luò)的站通過RARP發(fā)出廣播請求,得到RARP服務(wù)器給它分配的Internet地址。IP提供的是一種不可靠的服務(wù),也就是盡可能地把分組從源節(jié)點送到目的節(jié)點,但并不提供任何可靠性保證。4)網(wǎng)絡(luò)接口層(鏈路層):負(fù)責(zé)網(wǎng)絡(luò)層與硬件設(shè)備間的聯(lián)系,設(shè)備驅(qū)動程序和網(wǎng)卡等。互聯(lián)網(wǎng)地址互聯(lián)網(wǎng)上每個接口必須有一個唯一的互聯(lián)網(wǎng)地址(IP地址),長32bit,層次結(jié)構(gòu)32bit寫成4個十進(jìn)制數(shù),點分十進(jìn)制表示法協(xié)議封裝當(dāng)應(yīng)用程序用TCP/IP傳送數(shù)據(jù)時,數(shù)據(jù)送入?yún)f(xié)議棧,通過各層,直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。2010-09計算機學(xué)院19數(shù)據(jù)傳輸?shù)倪^程路由器A路由器BIP尋徑IP尋徑IP數(shù)據(jù)報邏輯網(wǎng)IP層加幀頭去幀頭幀傳輸和直接尋徑數(shù)據(jù)鏈路層物理層20路由器的功能主要功能連接多個獨立的網(wǎng)絡(luò)或子網(wǎng)。實現(xiàn)網(wǎng)間最佳尋徑和數(shù)據(jù)報傳送。流量管理:包過濾、負(fù)載分流、負(fù)載均衡、優(yōu)先。冗余和容錯。數(shù)據(jù)壓縮、加密。21ARP地址解析協(xié)議ARP分組格式(了解內(nèi)容)
以太網(wǎng)目的地址6以太網(wǎng)源地址6幀類型2硬件類型2協(xié)議類型2硬件地址長度1協(xié)議地址長度1請求應(yīng)答1發(fā)送者硬件地址6發(fā)送者IP地址4目的硬件地址6目的IP地址422IP地址與硬件地址IP1IP2主機H1主機H2硬件地址路由器R1路由器R2HA1HA3HA4HA5HA6HA2局域網(wǎng)局域網(wǎng)局域網(wǎng)在網(wǎng)絡(luò)層與入IP數(shù)據(jù)報頭的在數(shù)據(jù)鏈路層寫入MAC幀首部的源地址目的地址源地址目的地址從H1到R1IP1IP2HA1HA3從R1到R2IP1IP2HA4HA5從R2到H2IP1IP2HA6HA223Internet控制報文協(xié)議ICMP控制報文協(xié)議的主要作用主機探測路由維護(hù)路由選擇流量控制ICMP報文格式如下:
8位類型8位代碼16位檢驗和4個字節(jié)(取決于ICMP報文的類型)ICMP的數(shù)據(jù)部分(長度取決于類型)ICMP報文24因特網(wǎng)的路由組織與路由協(xié)議因特網(wǎng)采用的路由選擇協(xié)議主要是自適應(yīng)的(動態(tài)的)、分布式路由選擇協(xié)議。因特網(wǎng)采用分層次的路由選擇協(xié)議自治系統(tǒng)AS有權(quán)自主地決定在本系統(tǒng)內(nèi)應(yīng)采用何種路由選擇協(xié)議。內(nèi)部網(wǎng)關(guān)協(xié)議IGP一個自治系統(tǒng)內(nèi)部使用的路由選擇協(xié)議,如RIP和OSPF。外部網(wǎng)關(guān)協(xié)議EGP不同自治系統(tǒng)的路由器之間交換路由信息的協(xié)議。如BGP-4(邊界網(wǎng)關(guān)協(xié)議)。運輸層兩個主機通信實際上兩個主機中的應(yīng)用進(jìn)程互相通信。IP協(xié)議雖然能把分組送到目的主機,但是這個分組還停留在主機的網(wǎng)絡(luò)層而沒有交付主機中的應(yīng)用進(jìn)程。通信的兩端是源主機和目的主機中的應(yīng)用進(jìn)程,稱為端到端的通信。一個主機中經(jīng)常有多個應(yīng)用進(jìn)程同時分別和另一個主機中的多個應(yīng)用進(jìn)程通信。應(yīng)用層不同進(jìn)程的報文通過不同的端口向下交到運輸層。功能:運輸層為應(yīng)用進(jìn)程間提供端到端的邏輯通信,但網(wǎng)絡(luò)層是為主機之間提供邏輯通信。運輸層還要對收到的報文進(jìn)行差錯檢測。(IP數(shù)據(jù)報首部中的檢驗和字段,只檢驗首部是否出現(xiàn)差錯而不檢查數(shù)據(jù)部分)根據(jù)應(yīng)用的不同,運輸層有兩種不同的運輸協(xié)議,即面向連接的TCP和無連接的UDP,網(wǎng)絡(luò)層無法同時實現(xiàn)這兩種協(xié)議。運輸層向高層用戶屏蔽了下面通信子網(wǎng)的細(xì)節(jié),它使應(yīng)用進(jìn)程看見的就是好象在兩個運輸層實體之間有一條端到端的邏輯通信信道。使用TCP,盡管下面的網(wǎng)絡(luò)是不可靠的,邏輯通信信道相當(dāng)于一條全雙工的可靠信道。使用UDP,邏輯通信信道則是一條不可靠信道。26運輸層TCP/UDP端口號TCP/UDP都使用一個16bit的端口號來表示不同的程序:知名端口:一般介于1~255之間,F(xiàn)TP的端口號是21。DNS的端口號是53。TELNET端口號是23。SMTP的端口號是25。HTTP的端口號是80。臨時端口,由于客戶端對端口號一般并不關(guān)心,只需保證唯一就可以了,所以系統(tǒng)一般分配臨時端口號,一般范圍在:1024~65535之間。27TCP協(xié)議
TCP協(xié)議“三次握手”(three-wayhandshake)建立連接28應(yīng)用層域名系統(tǒng)DNS文件傳輸協(xié)議FTP和簡單文件傳送協(xié)議TFTP遠(yuǎn)程終端協(xié)議TELNET簡單郵件傳送協(xié)議SMTP和郵件讀取協(xié)議POP3和IMAP超文本傳送協(xié)議HTTP引導(dǎo)程序協(xié)議BOOTP與動態(tài)主機配置協(xié)議DHCP(略)簡單網(wǎng)絡(luò)管理協(xié)議SNMP(略)…………29TCP/IP協(xié)議的安全隱患ARP欺騙IP層:ICMP被惡意使用IP報被截獲,缺少機密性保護(hù)使用虛假的IP源地址TCP/UDP層:重放攻擊,會話劫持Flood攻擊應(yīng)用層:CC攻擊網(wǎng)絡(luò)釣魚TCP安全缺陷-沒有任何認(rèn)證機制TCP假定只要接受到的數(shù)據(jù)包含有正確的序列號就認(rèn)為數(shù)據(jù)是可以接受的。一旦連接建立,服務(wù)器無法確定進(jìn)入的數(shù)據(jù)包是否來自真實的機器。2010-09計算機學(xué)院TCP安全缺陷-沒有任何認(rèn)證機制TCP會話劫持(1)截獲客戶和服務(wù)器之間的數(shù)據(jù)流(2)可采取被動攻擊(3)攻擊者可看到序列號,可偽造數(shù)據(jù)包放TCP流中,這將允許攻擊者以被騙客戶具有的特權(quán)來訪問服務(wù)器。(4)攻擊者不需要知道口令,只需等待用戶登錄到服務(wù)器,劫持會話數(shù)據(jù)流就可。2010-09計算機學(xué)院TCPFlood攻擊2011-11計算機學(xué)院ARP攻擊,ARP請求和響應(yīng)消息中包含虛假消息,接收消息的主機,形成錯誤的ARP表AnARPRequest.ComputerAasksthenetwork,"WhohasthisIPaddress?"AnARPReply.ComputerBtellsComputerA,"IhavethatIP.MyMACaddressis[whateveritis]."AReverseARPRequest(RARP).SameconceptasARPRequest,butComputerAasks,"WhohasthisMACaddress?"ARARPReply.ComputerBtellsComputerA,"IhavethatMAC.MyIPaddressis[whateveritis]"2011-11計算機學(xué)院正常的ARP
Request2011-11計算機學(xué)院2010-09計算機學(xué)院ARP響應(yīng)ARP攻擊場景2011-11計算機學(xué)院2010-09計算機學(xué)院Nowyourrouterthinksthehacker'scomputerisyourcomputer.SendingamaliciousARP"reply“toyourRouterNext,amaliciousARPreplytoyourcomputer2011-11計算機學(xué)院2011-11計算機學(xué)院中間人攻擊分析:1ARP攻擊只能被用于本地網(wǎng)絡(luò)的假冒,這意味者攻擊者必須已經(jīng)獲得網(wǎng)絡(luò)中某臺機器的訪問權(quán)(已被IP欺騙)2ARP請求從來不會送到路由器以外,因此被假冒的機器必須同攻擊者所攻擊的機器位于同一網(wǎng)段,也就是可通過集線器連接。解決辦法:1使用三層交換機,用路由取代以太網(wǎng)交換2入侵監(jiān)測系統(tǒng)可以識別LAN中的IP攻擊2011-11計算機學(xué)院安全協(xié)議架構(gòu)總體方案鏈路層增強接入認(rèn)證,802.11b/g網(wǎng)絡(luò)層的增強IPSec,用于IPSecVPN,連接局域網(wǎng)IP地址溯源IPv6中改造ARP功能傳輸層的增強SSL/TSL用于Web服務(wù)安全,移動用戶安全接入應(yīng)用層增強Web應(yīng)用校驗、引入認(rèn)證針對特定應(yīng)用,設(shè)計應(yīng)用層安全協(xié)議Kerberos用于統(tǒng)一認(rèn)證、SET用于電子商務(wù)、SSH用于遠(yuǎn)程登錄TCP/IP協(xié)議族安全協(xié)議的引入SSL協(xié)議IPSec協(xié)議SET協(xié)議2011-11計算機學(xué)院提綱互聯(lián)網(wǎng)技術(shù)概述TCP/IP協(xié)議及安全性分析SSL協(xié)議SET協(xié)議IPSec協(xié)議SSL協(xié)議應(yīng)用場景場景:Email加密網(wǎng)上銀行移動用戶在外登錄內(nèi)網(wǎng)SSL設(shè)計需求傳輸層增加認(rèn)證、加密功能實現(xiàn)雙向身份認(rèn)證、通信機密性保護(hù)為什么不在IP層做?SSL協(xié)議—1概況安全套接字層協(xié)議(SecuritySocketLayer,SSL)是網(wǎng)景(Netscape)公司于1994年提出的基于web應(yīng)用的安全協(xié)議。
SSL主要采用非對稱加密技術(shù)、x.509數(shù)字證書、對稱加密技術(shù)、數(shù)字摘要技術(shù),其目標(biāo)是保證兩個應(yīng)用間通信的保密性、完整性和可靠性,可在服務(wù)器和客戶端兩端同時實現(xiàn)支持。2011-11計算機學(xué)院SSL協(xié)議—1概況SSL介于可靠的傳輸層協(xié)議和應(yīng)用層協(xié)議之間,能為客戶端和服務(wù)器之間的TCP/IP連接提供服務(wù)器認(rèn)證、消息完整性、通信數(shù)據(jù)加密和可選的客戶端認(rèn)證服務(wù)。SSL可以用于任何面向連接的安全通信,但通常用于安全web應(yīng)用的HTTP協(xié)議。
2011-11計算機學(xué)院SMTPIPSSLTCPHTTPFTPSSL協(xié)議—1概況SSL提供一個安全的“握手”來初始化一個TCP/IP連接,完成客戶端和服務(wù)器之間關(guān)于安全等級、密碼算法、通信密鑰的協(xié)商,以及執(zhí)行對連接端身份的認(rèn)證工作。在此之后,SSL連接上所傳送的應(yīng)用層協(xié)議數(shù)據(jù)都會被加密,從而保證通信的機密性。
SSL主要考慮的安全保護(hù)功能:
(1)SSL服務(wù)器認(rèn)證
(2)SSL客戶端認(rèn)證
(3)加密的SSL連接(4)數(shù)據(jù)完整性保護(hù)
2011-11計算機學(xué)院SSL協(xié)議—2協(xié)議結(jié)構(gòu)協(xié)議棧兩個狀態(tài)(通信過程……)連接狀態(tài)(ConnectionState)會話狀態(tài)(SessionState)2011-11計算機學(xué)院SSL握手協(xié)議SSL記錄協(xié)議SSL告警協(xié)議SSL修改密文協(xié)議SSL協(xié)議—2協(xié)議結(jié)構(gòu)通信步驟(1)建立TCP“連接”;(2)SSL握手,建立SSL“會話”(Session);(3)通過“會話”傳送加密數(shù)據(jù)包;(4)釋放連接,“會話”過期。2011-11計算機學(xué)院連接和會話的關(guān)系連接是傳輸層中的概念。SSL會話聯(lián)系客戶端和服務(wù)器,由SSL握手協(xié)議建立,制定一系列安全參數(shù)。這些安全參數(shù)可被連接多次使用。連接是短暫的,對應(yīng)一個會話,而一個會話可被多次連接使用。安全連接的特性連接是私有的。握手協(xié)議商量一個會話密鑰,然后用對稱的加密算法對數(shù)據(jù)加密連接的標(biāo)識符用非對稱算法加密連接是可靠的。SSL協(xié)議—2協(xié)議結(jié)構(gòu)SSL規(guī)范定義了如下的會話狀態(tài)要素:①會話標(biāo)識符:由服務(wù)器選擇的一個任意的字節(jié)序列,用于標(biāo)識活動的或可恢復(fù)的會話狀態(tài)。②對方證書:對方的X.509v3證書。這個元素可以為空。③壓縮方法:在加密之前用來壓縮數(shù)據(jù)的算法。④密碼規(guī)范:指明大塊數(shù)據(jù)加密算法(例如,空、DES等等),用于MAC計算的散列算法(例如MD5或SHA-1)。⑤主密碼:48個字節(jié)長的Client和Server共享的密碼。⑥可重用否:指示會話是否可以用來初始化新的連接的標(biāo)志。2010-09計算機學(xué)院SSL規(guī)范也定義了如下的連接狀態(tài)要素:①服務(wù)器和客戶端的隨機數(shù):服務(wù)器和客戶端為每個連接選擇的字節(jié)序列。②服務(wù)器寫MAC密碼:用于對服務(wù)器發(fā)送數(shù)據(jù)進(jìn)行MAC操作的密鑰。③客戶端寫MAC密碼:用于對客戶端發(fā)送數(shù)據(jù)進(jìn)行MAC操作的密鑰。④服務(wù)器寫密鑰:用于服務(wù)器對數(shù)據(jù)加密和客戶端對數(shù)據(jù)解密的常規(guī)加密密鑰。⑤客戶端寫密鑰:用于客戶端對數(shù)據(jù)加密和服務(wù)器對數(shù)據(jù)解密的常規(guī)加密密鑰。⑥初始化向量⑦序列號:對于每一個連接,每一方都分別維護(hù)用于傳出的和收到的消息的序列號2010-09計算機學(xué)院SSL協(xié)議—3記錄層協(xié)議SSL協(xié)議定義的消息格式(數(shù)據(jù)包格式及其數(shù)據(jù)操作)
記錄協(xié)議層的功能是根據(jù)當(dāng)前會話狀態(tài)給出的壓縮算法、對稱加密算法、MAC算法、密鑰長度、Hash長度、IV長度等參數(shù),以及連接狀態(tài)中給出的Client和Server的隨機數(shù)、加密密鑰、MACsecrets、IVs、消息序列號對當(dāng)前的連接中要傳送的高層數(shù)據(jù)實施壓縮/解壓縮、加/解密、計算/校驗MAC等操作。2010-09計算機學(xué)院SSL協(xié)議—3記錄層協(xié)議封裝的高層協(xié)議
2010-09計算機學(xué)院SSL握手協(xié)議SSL記錄協(xié)議TCPIPSSL告警協(xié)議SSL修改密文協(xié)議應(yīng)用數(shù)據(jù)協(xié)議HTTP、FTP、Telnet等SSL協(xié)議—3記錄層協(xié)議為SSL連接提供兩種服務(wù)保密性:握手協(xié)議定義了共享的可以用于對SSL有效載荷進(jìn)行常規(guī)加密的密鑰。(連接狀態(tài)要素里面的服務(wù)器寫密碼和客戶端寫密碼)報文完整性;握手協(xié)議還定義了共享的、可以用來形成報文的鑒別碼(MAC)的密鑰。(連接狀態(tài)要素里面的服務(wù)器寫MAC密碼和客戶端寫MAC密碼)2010-09計算機學(xué)院SSL協(xié)議—3記錄層協(xié)議SSL記錄協(xié)議的發(fā)送過程(接收過程反之)2010-09計算機學(xué)院
應(yīng)用數(shù)據(jù)
分片
壓縮
加MAC加密附另SSL記錄報頭
將信息分片將信息分片成不超過214字節(jié)(16384字節(jié))的明文記錄(PlanitextRecords)。其數(shù)據(jù)結(jié)構(gòu)為:struct{ContentTypetype;//用來處理分片的高層協(xié)議ProtocolVersionversion;//采用的版本,這里是SSLV3uint16length;//SSL分片的長度,不能超過214
bytesopaquefragment[SSLPlaintext.length];//應(yīng)用數(shù)據(jù)}SSLPlaintext;//分片數(shù)據(jù)格式2010-09計算機學(xué)院用當(dāng)前CiperSpec中指定的MAC算法生成MAC。生成MAC的公式如下:hash(MAC_write_secret||pad_2||hash(MAC_write_secret||pad_1||seq_num||SSLCompressed.type||SSLCompressed.length||SSLCompressed.fragment))2010-09計算機學(xué)院在加密數(shù)據(jù)上附加一個首部,該首部由下面一些字段組成:內(nèi)容類型(8bit):表明用來處理這個包裝的數(shù)據(jù)片的更高層協(xié)議。主要版本(8bit):指示使用SSL的主要版本。對于SSLV3宇段值為3。次要版本(8bit):指示使用的次要版本。對于SSLV3字段值為0。壓縮長度(16bit):明文數(shù)據(jù)片以字節(jié)為單位的長度(如果使用壓縮就是壓縮數(shù)據(jù)片)。最大的值是214+2048。
2010-09計算機學(xué)院SSL協(xié)議—4修改密文規(guī)約協(xié)議它是最簡單的。它存在的目的是為了表示密碼策略的變化。
在完成握手協(xié)議之前,客戶端和服務(wù)器端都要發(fā)送這一消息,以便通知對方其后的記錄將用剛剛協(xié)商的密碼規(guī)范及相關(guān)的密鑰來保護(hù)。所有意外的更改密碼規(guī)范消息都將產(chǎn)生一個“意外消息”(unexpectedmessage)警告
2010-09計算機學(xué)院SSL協(xié)議—5告警協(xié)議
作用包括若干個告警消息,告警消息的作用是當(dāng)握手過程或數(shù)據(jù)加密等操作出錯誤或發(fā)生異常情況時,向?qū)Ψ桨l(fā)出警告或中止當(dāng)前連接。
組成第一個字節(jié)的值為warning(警告)或fatal(致命),表示消息的嚴(yán)重性等級。第二個字節(jié)是具體的告警消息。
2010-09計算機學(xué)院第一個字節(jié)為fatal時,也就是說該消息為致命的告警消息,致命的告警消息包括:①unexpected_message(意外消息):如果接收了不合適的報文,就返回該消息。②bad_record_mac(錯誤的記錄MAC):如果收到了不正確的MAC,就返回該消息。③decompression_failure(解壓縮失敗):如果解壓縮函數(shù)收到不適當(dāng)?shù)妮斎?例如數(shù)據(jù)不能解壓縮或者解壓縮后的數(shù)據(jù)超出了最大允許的長度),就返回該消息。④handshake_failure(握手失敗):如果在給定的選項可用時,發(fā)送者不能協(xié)商可接受的安全參數(shù)集合,則返回該消息。⑤illegal_parameter(非法參數(shù)):如果握手報文中的某數(shù)據(jù)域超出范圍或者與其它的數(shù)據(jù)域不兼容,則返回該消息。2011-11計算機學(xué)院如果第一個字節(jié)為warning,則表明該消息是警告的告警消息,警告的告警消息包括:①close_notify(關(guān)閉通知):通知接收方發(fā)送者在這個連接上將不會再發(fā)送任何報文。在關(guān)閉一個連接的寫方之前,每個交互實體都要需發(fā)送該消息。②no_certificate(無證書):如果沒有合適的證書可用,則可以發(fā)送該消息作為對證書請求的響應(yīng)。③bad_certificate(錯誤證書):返回該消息表明收到的證書是錯誤的(例如包含了一個無法通過驗證的簽名)。④unsupported_certificate(不支持的證書):返回該消息表明收到的證書類型不被支持。⑤certificate_revoked(證書已吊銷):返回該消息表明證書已被它的簽發(fā)者廢棄。⑥certificate_expired(證書已過期):返回該消息表明證書已經(jīng)過期。⑦certificate_unknown(未知證書):返回該消息表明在處理證書時,出現(xiàn)了其他一些沒有說明的情況,使得它不能被接受。2011-11計算機學(xué)院SSL協(xié)議—5握手協(xié)議驗證實體身份協(xié)商密鑰交換算法、壓縮算法和加密算法、生成密鑰完成密鑰交換客戶端和服務(wù)器要建立一個連接,就必須進(jìn)行握手過程。每次握手結(jié)束后都存在一個會話和一個連接,連接一定是新的,但會話可能是新的,也可能是已存在的會話。握手過程就是建立一個會話或恢復(fù)一個會話的過程2011-11計算機學(xué)院SSL協(xié)議—5握手協(xié)議消息描述
握手協(xié)議由一系列在客戶端和服務(wù)器端之間交換的消息組成
⑴HelloRequest(問候請求)⑵ClientHello(客戶端問候)消息
⑶ServerHello(服務(wù)器問候)消息
⑷ServerCertificate(服務(wù)器證明)消息⑸ServerKeyExchange(服務(wù)器密鑰交換)消息⑹CertificateRequest(證明請求)消息
⑺ServerHelloDone(服務(wù)器問候結(jié)束)消息
2011-11計算機學(xué)院⑻ClientCertificate(客戶端證明)消息
⑼ClientKeyExchange(客戶端密鑰交換)消息
⑽CertificateVerify(證明檢查)消息
⑾Finished(結(jié)束)消息
2011-11計算機學(xué)院⑴HelloRequest(問候請求)信息發(fā)送者:服務(wù)器接受者的反應(yīng):如果客戶端正在進(jìn)行握手協(xié)議,則該信息被忽略;如果客戶端有空,則發(fā)送ClientHello信息。在隨后的握手協(xié)商結(jié)束后,服務(wù)器才能再次發(fā)送HelloRequest信息。2011-11計算機學(xué)院⑵ClientHello(客戶端問候)消息發(fā)送者:客戶端內(nèi)容:客戶端版本號(Client_version):隨機數(shù)(Random):用于SSL協(xié)議中后面的密碼學(xué)計算。它由一個4字節(jié)的時間戳和安全隨機數(shù)生成器生成的28字節(jié)的隨機數(shù)組成。會話ID(Sessionid):可變長度的會話標(biāo)識符。密碼組(Cipher_suite):一個客戶端支持的密碼算法組合的列表。密碼組參數(shù)的第一個元素是密鑰交換方法;之后的是CipherSpec。
壓縮算法(Compression_methods):與密碼組域相似,該域列出客戶端已知的所有壓縮算法。同樣,該列表也依照客戶端的偏愛來排序。盡管該域通常在SSLV3中不使用,但以后的TLS將要求支持它。2011-11計算機學(xué)院密鑰交換在非安全的通信通道中雙方交換會話密鑰,以加密通信雙方后續(xù)連接所傳輸?shù)男畔?。每次邏輯連接使用一把新的會話密鑰,用完就丟棄。密鑰交換的方法RSA:使用接收者的RSA公開密鑰對密鑰進(jìn)行加密。接收者密鑰的公開密鑰證書必須提供。2011-11計算機學(xué)院明文對稱密碼算法密文非對稱密碼算法加密后的密鑰密鑰接受者的公鑰接受者CipherSpec包括下面一些字段:①加密算法:以前提到的任何算法:RC4、RC2、DES、3DES、DES40,IDEA,F(xiàn)ortezza。②MAC算法:MD5或SHA-1。③加密類型:流或分組。④可輸出的:真或假。⑤散列大?。?,16字節(jié)(對于MD5),或者20字節(jié)(對于SHA-1)。⑥密鑰素材:包含了用來生成寫密鑰數(shù)據(jù)的字節(jié)序列。⑦IV大?。河糜诿芪膲K鏈(CBC)加密的初始值的大小。2011-11計算機學(xué)院⑶ServerHello(服務(wù)器問候)消息服務(wù)器處理了ClientHello消息之后,可以用一個握手失敗警告或者一個ServerHello消息來響應(yīng)。信息的結(jié)構(gòu)類似ClientHello,區(qū)別在于:ClientHello消息用于列出客戶端的能力,而ServerHello消息則用于作出決定,并將該訣定傳輸回客戶端。2011-11計算機學(xué)院一個ServerHello消息包含下面的域:服務(wù)器版本號(Serverversion)隨機數(shù)(Random)會話ID(Sessionid):該域提供了與當(dāng)前連接相對應(yīng)的會話的標(biāo)識信息。如果從客戶端接收到的會話標(biāo)識符非空,則服務(wù)器將查找其緩存以便找一個匹配。如果找到了一個匹配,服務(wù)器就可以重用指定的會話狀態(tài)來建立一個新的連接。在此情況下,服務(wù)器返回由客戶端提供的同樣的值,用以標(biāo)識一個重用的會話。否則,該域中將包含一個不同的值,標(biāo)識一個新的會話。密碼組(Ciphersuite):該域標(biāo)識由服務(wù)器從客戶端提供的列表中選擇出來的一個單獨的密碼組。壓縮方法(Compressionmethod):與密碼組消息相似,該域標(biāo)識由服務(wù)器從客戶端提供的列表種選擇出來的一個單獨的壓縮方法。2011-11計算機學(xué)院⑷ServerCertificate(服務(wù)器證明)消息如果要求驗證服務(wù)器,則服務(wù)器立刻在ServerHello信息后發(fā)送其證明Certificate。通常為通常是一個X.509V3服務(wù)器證書。該消息也可以使客戶端得到服務(wù)器的公鑰??蛻舳藢⒂迷摴€加密實際的會話密鑰。2011-11計算機學(xué)院⑸ServerKeyExchange(服務(wù)器密鑰交換)消息當(dāng)服務(wù)器沒有Certificate或有一個僅用于簽名的Certificate(如DSS,RSA),或采用Fortezza密鑰交換時,服務(wù)器才會發(fā)送一個ServerKeyExchange消息。該消息補充以前在ServerHello消息聲明中的密碼組,它為客戶端提供了繼續(xù)通信而需要的算法變量。這些值依賴于所選定的算法。例如,對于RSA密鑰交換(此時RSA僅用于簽名),消息中可能包含一個臨時的RSA公鑰指數(shù)和模,以及對這些數(shù)據(jù)的一個簽名。
2011-11計算機學(xué)院⑹CertificateRequest(證明請求)消息為了認(rèn)證的目的,可以用一個可選的CertificateRequest消息來向客戶端請求一個證書。它由兩個參數(shù)組成:第一個參數(shù)表明可以接受的證書類型;第二個參數(shù)表明可以接受的CA的可接受的特定名稱(DN)。如果服務(wù)器是匿名的、則在請求客戶端Certificate時會導(dǎo)致致命錯。2011-11計算機學(xué)院⑺ServerHelloDone(服務(wù)器問候結(jié)束)消息
服務(wù)器發(fā)出該信息表明ServerHello結(jié)束,然后等待客戶端響應(yīng)??蛻舳耸盏皆撔畔⒑髾z查服務(wù)器提供的Certificate是否有效,以及服務(wù)器的Hello參數(shù)是否可接受。
2011-11計算機學(xué)院⑻ClientCertificate(客戶端證明)消息該信息是客戶端收到服務(wù)器的ServerHelloDone后可以發(fā)送的第一條信息。只有當(dāng)服務(wù)器請求Certificate時才需發(fā)此信息。如果客戶端沒有合適的Certificate,則發(fā)送“沒有證明”的告警信息,如果服務(wù)器要求有“客戶端驗證”,則收到告警后宣布握手失敗。
2011-11計算機學(xué)院⑼ClientKeyExchange(客戶端密鑰交換)消息ClientKeyExchange消息允許客戶端向服務(wù)器發(fā)送密鑰信息。本密鑰信息是關(guān)于雙方在會話中使用的對稱密鑰算法的。該消息的內(nèi)容取決于密鑰交換的類型,如下所示:l
RSA:客戶端生成一個48字節(jié)的預(yù)主密碼(Pre-mastersecret),它要么使用服務(wù)器證書中的公鑰加密,要么使用一個ServerKeyExchange中的臨時RSA密鑰加密。然后將結(jié)果發(fā)送給服務(wù)器用來計算主秘密密鑰。l匿名Diffie-Hellman:報文內(nèi)容由兩個全局Diffie-Hellman值組成(一個素數(shù)和這個數(shù)的一個初始根),加上服務(wù)器的公開Diffie-Hellman密鑰。l短暫Diffie-Hellman:報文內(nèi)容包括了用于匿名Diffie-Hellman的三個Diffie-Hellman參數(shù),加上這些參數(shù)的簽名。2011-11計算機學(xué)院⑽CertificateVerify(證明檢查)消息
CertificateVerify消息用于提供對客戶端證書的顯式認(rèn)證。當(dāng)使用客戶端認(rèn)證時,服務(wù)器使用其私鑰來對客戶端認(rèn)證。該消息中包含有經(jīng)客戶端私鑰簽名的預(yù)主秘密密鑰。服務(wù)器不需要向客戶端認(rèn)證它自己。因為預(yù)主秘密是使用服務(wù)器的公鑰發(fā)送給服務(wù)器的,只有合法的服務(wù)器使用相應(yīng)的私鑰才可以解密它。2011-11計算機學(xué)院⑾Finished(結(jié)束)消息該信息在ChangeCipherSpec之后發(fā)送,以證明密鑰交換和驗證的過程已順利進(jìn)行。當(dāng)服務(wù)器接收到該Finished消息時,它同樣發(fā)送一個ChangeCipherSpec消息,然后發(fā)送它的Finished消息。此時握手協(xié)議完成,雙方可以安全地傳輸應(yīng)用數(shù)據(jù)了。Finished消息是第一個用剛剛協(xié)商的算法、密鑰和秘密保護(hù)的消息。因此,通信的雙方就可以驗證密鑰交換和認(rèn)證過程是否成功。不需要對Finished消息進(jìn)行確認(rèn);緊接在發(fā)送了Finished消息之后,雙方可以開始發(fā)送加密的數(shù)據(jù)。Finished消息的接收者必須驗證其內(nèi)容的正確性。2010-09計算機學(xué)院SSL協(xié)議—5握手協(xié)議建立一個新的握手過程2011-11計算機學(xué)院Client_hello包括:客戶端支持的ssl版本號產(chǎn)生的隨機數(shù)會話ID密碼算法列表壓縮方法列表Clientserver2011-11計算機學(xué)院Client_helloServer_hello(Certificate)(certificate_request)Server_hello_doneClientserverServer_hello包括:從客戶端列表中選出的ssl版本號產(chǎn)生的隨機數(shù)會話ID從客戶端列表中選出密碼算法選定的壓縮算法Certificate:由認(rèn)證中心簽發(fā)的X.509證書。包括服務(wù)器的信息和公鑰,客戶端可以使用這個公鑰向服務(wù)器發(fā)送加密信息certificate_request:一般客戶端是匿名的Server_hello_done完成通信,等待客戶端應(yīng)答2011-11計算機學(xué)院Client_helloServer_hello(Certificate)(certificate_request)Server_hello_done(Certificate)client_key_exchange(certificate_verify)Change_cipher_specfinishedCertificate:客戶的X.509證書。client_key_exchange:隨機數(shù),用于會話密鑰的建立certificate_verify:若用戶提供了證書,將用私鑰對信息簽名Change_cipher_spec表示將使用選定的密碼算法和參數(shù)處理將來的通信。但是客戶端不需要將密鑰告訴服務(wù)器,因為服務(wù)器可使用前面的隨機數(shù)和算法計算出同樣的密鑰。Finished:使用會話密鑰加密2011-11計算機學(xué)院Client_helloServer_hello(Certificate)(certificate_request)Server_hello_done(Certificate)client_key_exchange(certificate_verify)Change_cipher_specfinishedChange_cipher_specfinishedChange_cipher_spec:向客戶端顯示它也將使用與客戶端相同的參數(shù)來加密將來所有的通信Finished:使用會話密鑰加密SSL協(xié)議—5握手協(xié)議2011-11計算機學(xué)院要注意的問題:由于公鑰加密算法的速度非常慢。為了提高性能,雙方可以緩存并重用在握手協(xié)議過程中交換的信息。該過程稱為會話ID重用。如果在握手協(xié)議的過程中可以確定協(xié)議的客戶端和服務(wù)器所共享的一個會話ID的話,就可以略過公鑰和認(rèn)證操作,同時可以在密鑰生成的過程中重用先前生成的共享秘密。2011-11計算機學(xué)院SET協(xié)議SET協(xié)議(SecureElectronicTransaction,安全電子交易)是由VISA和MasterCard兩大信用卡公司聯(lián)合推出的規(guī)范。SET協(xié)議得到了IBM、HP、Microsoft、VeriFone、GTE、Verisign等許多大公司的支持,已成為事實上的工業(yè)標(biāo)準(zhǔn)。目前,它已獲得了IETF標(biāo)準(zhǔn)的認(rèn)可。SET協(xié)議用以支持B-C這種類型的電子商務(wù)模式,即消費者持卡在網(wǎng)上購物與交易的模式。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的,以保證支付命令的機密、支付過程的完整、商戶及持卡人的合法身份,以及可操作性。SET中的核心技術(shù)主要有公開密鑰加密、數(shù)字簽名、數(shù)字信封、數(shù)字安全證書等。比SSL協(xié)議復(fù)雜,因為前者不僅加密兩個端點間的單個會話,它還可以加密和認(rèn)定三方間的多個信息SET協(xié)議概述SET協(xié)議的發(fā)展1996年2月,MarsterCard和Visa國際信用卡組織與技術(shù)合作伙伴GTE、Netcape、IBM、TerisaSystems、Verisign、Microsoft、SAIC等一批跨國公司共同開發(fā)了安全電子交易規(guī)范(SET)。1997年2月,由MasterCard和Visa發(fā)起成立SETCO公司.SETCO建設(shè)認(rèn)證體系(CA)。SET交易的參與者持卡人特約商店
發(fā)卡銀行
收單銀行
收單銀行(Acquirer)收單銀行建立一個特約商店的賬戶,對信用卡做認(rèn)證處理與賬款的處理。特約商店通常會接受幾個不同發(fā)卡公司,但不會同時和多個不同的銀行卡協(xié)會或多個個體發(fā)卡銀行合作。收單銀行會協(xié)助特約商店做認(rèn)證,核對信用卡賬戶是否有效,以及消費金額是否超出信用額度。收單銀行提供電子轉(zhuǎn)賬的服務(wù),它會將消費者支付轉(zhuǎn)到特約商店的賬戶去。接著,發(fā)卡銀行會經(jīng)過某種付費網(wǎng)絡(luò),對收單銀行補償其協(xié)助電子資金轉(zhuǎn)換所需的費用。收單銀行的利益主要來源于商戶回傭、商戶支付的其他服務(wù)費(如POS終端租用費、月費等)及商戶存款增加。大多數(shù)發(fā)卡銀行都兼營收單業(yè)務(wù),也有一些非銀行專業(yè)服務(wù)機構(gòu)經(jīng)營收單業(yè)務(wù)。
支付網(wǎng)關(guān)(Paymentgateway)支付網(wǎng)關(guān)是連接銀行專用網(wǎng)絡(luò)與Internet的一組服務(wù)器,其主要作用是完成兩者之間的通信、協(xié)議轉(zhuǎn)換和進(jìn)行數(shù)據(jù)加、解密,以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)的安全。支付網(wǎng)關(guān)的功能主要有:將Internet傳來的數(shù)據(jù)包解密,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包;接收銀行系統(tǒng)內(nèi)部反饋的響應(yīng)消息,將數(shù)據(jù)轉(zhuǎn)換為Internet傳送的數(shù)據(jù)格式,并對其進(jìn)行加密。安全需求分析解決持卡人、商家和銀行之間通過信用卡來進(jìn)行網(wǎng)上支付的交易,旨在保證支付命令的機密性、支付過程的完整性、商家以及持卡人身份的合法性以及可操作性:付費與訂購信息的保密性;確保所有傳輸數(shù)據(jù)的完整性;提供認(rèn)證,確保每一個信用卡賬戶的持卡人都是合法的;提供認(rèn)證,確保商家能根據(jù)與金融機構(gòu)的關(guān)系,提供可信任的信用卡交易;確保使用最佳的安全操作及系統(tǒng)設(shè)計技術(shù),以保護(hù)所有在電子商務(wù)交易上的合法當(dāng)事人;SET能夠在TCP/IP層上安全的運行。促進(jìn)及鼓勵軟件和網(wǎng)絡(luò)提供者之間的合作:完成安全性的電子交易的過程持卡人打開一個銀行賬號。持卡人收到一個作為在線購買或其他交易的信用卡的電子證書(持卡人證書),它包括一個持卡人公鑰和一個有效期限。商家也收到一個電子證書(商家證書),包括商家的公鑰和銀行的公鑰。持卡人定購貨物。持卡人的瀏覽器得到來自商家證書的關(guān)于商家有效性的確認(rèn)。瀏覽器發(fā)送定購信息,信息用商家的公鑰加密,支付信息用銀行的公鑰加密以保證支付只為特定的訂購者使用,發(fā)送的信息中包含持卡人證書。完成安全性的電子交易的過程商家通過檢查持卡人證書中的數(shù)字簽名來驗證持卡人。商家處理訂購信息,并把支付信息傳送到收單行,收單行可以解密信用卡號,并通過認(rèn)證驗證簽名;收單行向發(fā)卡行查問,確認(rèn)用戶信用卡是否屬實;發(fā)卡行認(rèn)可并簽證該筆交易;收單行認(rèn)可商家并簽證此交易;商家向持卡人傳送貨物和收據(jù);交易成功,商家向收單行索款;收單行按合同將貨款劃給商家。
SET協(xié)議采用的加密和認(rèn)證技術(shù)SET使用多種密鑰技術(shù)來達(dá)到安全交易的要求,其中對稱密鑰技術(shù)、公鑰加密技術(shù)和Hash算法是其核心。綜合應(yīng)用以上三種技術(shù)產(chǎn)生了數(shù)字簽名、數(shù)字信封、數(shù)字證書等加密與認(rèn)證技術(shù)。SET特有的雙重簽名技術(shù)雙重簽名雙重簽名的目的在連結(jié)兩個不同接收者消息。在這里,消費者想要發(fā)送訂單信息OI到特約商店,且發(fā)送支付命令PI給銀行。特約商店并不需要知道消費者的信用卡卡號,而銀行不需要知道消費者訂單的詳細(xì)信息。消費者需要將這兩個消息分隔開,而受到額外的隱私保護(hù)。在必要的時候這兩個消息必須要連結(jié)在一起,才可以解決可能的爭議、質(zhì)疑。這樣消費者可以證明這個支付行為是根據(jù)他的訂單來執(zhí)行的,而不是其它的貨品或服務(wù):消費者發(fā)送兩個消息給特約商店:簽名過的OI及PI,而特約商店將PI的部分傳遞給銀行。如果這個特約商店能獲得這個消費者的其它OI,那么特約商店就可以聲稱后來的這個OI是和PI一起來的,而不是原來的那個OI。因此如果將兩個消息連結(jié)起來,就可以避免這樣的情況發(fā)生。PIHPIMDOIHOIMDHPOMDEDualsignatureKRcPI:支付命令PIMD:PI消息摘要OI:訂單信息OIMD:OI消息摘要H:哈希函數(shù)(SHA-1)POMD:支付/訂單消息摘要‖:連結(jié)E:加密函數(shù)(RSA)
KRc:用戶私鑰圖7.2雙重簽名的生成過程特約商店驗證,擁有DS,OI,與PI的消息摘要(PIMD),及消費者的公開密鑰,計算出兩個數(shù):H(PIMD||H(OI)),DKUc[DS]其中DKUc為消費者的公開密鑰。如果這兩個數(shù)計算出的結(jié)果相同,則特約商店就可核準(zhǔn)這個簽名。銀行驗證:擁有DS,PI,與OI的消息摘要(OIMD),及消費者的公開密鑰:H(H(PI)||OIMD),DKUc[DS]如果這兩個數(shù)計算出的結(jié)果相同,則銀行就可核準(zhǔn)這個簽名。1商家收到PIMD、OI、DS,計算H(PIMD||H(OI))和DKUc[DS],驗證該簽名。Kuc持卡人的公鑰2010-09計算機學(xué)院2銀行收到OIMD、PI、DS,計算H(OIMD||H(PI))和DKUc[DS],驗證該簽名。2011-11計算機學(xué)院3消費者將OI和PI連接起來并且能夠證明這個連接關(guān)系。2011-11計算機學(xué)院支付過程三個階段購買請求購買請求由持卡人和商家之間交換的4個消息組成:⑴發(fā)起請求:持卡人軟件請求網(wǎng)關(guān)證書的一個拷貝;該交易中將使用何種品牌的支付卡。⑵發(fā)起響應(yīng):消息一個唯一的交易標(biāo)識符。商家證書以及支付網(wǎng)關(guān)的證書然后用商家的私鑰對該信息進(jìn)行數(shù)字簽名后發(fā)送給持卡人。⑶購買請求:收到發(fā)起響應(yīng)消息之后,持卡人軟件驗證商家和支付網(wǎng)關(guān)的證書。持卡人軟件使用OI和PI來產(chǎn)生一個雙重簽名。最后,持卡人軟件生成一個購買請求消息。持卡人生成了一次性的對稱加密密鑰Ks。2010-09計算機學(xué)院2011-11計算機學(xué)院SET消息PI雙向簽名OIMDDES加密RSA加密KsKUb請求報文SET密文數(shù)字信封PIMDOI持卡人證書雙向簽名PI=支付信息OI=訂購信息PIMD=PI報文摘要OIMD=OI報文摘要Ks=臨時的對稱密鑰KUb=銀行的公開密鑰交換的密鑰①與購買相關(guān)的信息。這個信息將被商家轉(zhuǎn)發(fā)給支付網(wǎng)關(guān)
②與訂購有關(guān)的信息。商家需要這個信息
③持卡人的證書。
2011-11計算機學(xué)院購買響應(yīng):①通過持卡人的CA簽名來驗證持卡人的證書。②使用消費者的公開簽名密鑰來驗證雙向簽名。這樣可以確保訂購信息在傳輸過程中沒有被篡改,并且它使用了持卡人的私有簽名密鑰進(jìn)行了簽名。③處理訂購信息,并將支付信息轉(zhuǎn)交給支付網(wǎng)關(guān)進(jìn)行認(rèn)可。④最后,商家生成一個購買響應(yīng)消息,它表明商家已經(jīng)收到持卡人的請求。一旦收到了商家的購買響應(yīng),持卡人軟件就驗證商家的證書以及消息內(nèi)容的數(shù)字簽名。在此時刻,持卡人軟件基于這些消息將采取一些行動,諸發(fā)向持卡人顯示一個消息,或者用訂單的狀態(tài)來更新數(shù)據(jù)庫。2011-11計算機學(xué)院HOIMDRSA解密KUC請求報文SET密文數(shù)字信封PIMDOI持卡人證書雙向簽名POMDPOMDH||比較OI=訂購信息OIMD=OI報文摘要POMD=支付訂購報文摘要H=散列函數(shù)(SHA-1)KUC=顧客的公開簽名密鑰支付過程三個階段2.支付授權(quán)①授權(quán)請求:商家軟件生成并數(shù)字簽發(fā)一個授權(quán)請求,其中包括授權(quán)的數(shù)量、來自O(shè)I的交易標(biāo)識符以及其他的關(guān)于交易的信息。然后,使用支付網(wǎng)關(guān)的公鑰對這一信息生成一個數(shù)字信封。授權(quán)請求和持卡人的PI(它也以數(shù)字信封的形式傳給支付網(wǎng)關(guān))被傳送給支付網(wǎng)關(guān)。②授權(quán)響應(yīng):當(dāng)收到授權(quán)請求時,支付網(wǎng)關(guān)解密并驗證消息(也就是證書和PI)的內(nèi)容。如果一切都是合法的,那么支付網(wǎng)關(guān)會生成一個授權(quán)響應(yīng)消息;然后用商家的公鑰對之生成一個數(shù)字信封并將它傳送加商家。一旦收到了支付網(wǎng)關(guān)的授權(quán)響應(yīng)消息,商家就解密數(shù)字信封并驗證里面的數(shù)據(jù)。如果本購買是授權(quán)過的,則商家通過發(fā)送貨物或者完成在訂單內(nèi)指明的服務(wù)來完成對持卡人訂單的處理。2010-09計算機學(xué)院支付過程三個階段3.支付回復(fù)①回復(fù)請求:商家軟件生成回復(fù)請求,它包括交易的最終數(shù)量、交易標(biāo)識符以及其他的關(guān)于交易的信息。然后使用支付網(wǎng)關(guān)的公鑰對這一消息生成數(shù)字信封并傳送給支付網(wǎng)關(guān)。②回復(fù)響應(yīng):接收到回復(fù)請求并驗證了它的內(nèi)容之后,支付網(wǎng)關(guān)將生成一個回復(fù)響應(yīng)?;貜?fù)響應(yīng)包括與該請求交易的支付有關(guān)的信息。然后使用商家的公鑰對這一響應(yīng)生成數(shù)字信封并將之傳送回商家。一旦收到了支付網(wǎng)關(guān)的回復(fù)響應(yīng),商家軟件就解密數(shù)字信封,驗證簽名和消息數(shù)據(jù),用于同從收單行那里接收的支付相匹配。2010-09計算機學(xué)院SET協(xié)議的應(yīng)用國內(nèi)電子商務(wù)網(wǎng)站無法嚴(yán)格遵循SET協(xié)議,因為缺少統(tǒng)一的CA中心電子商務(wù)網(wǎng)站支付模式討論華為商城京東淘寶思考:國內(nèi)電商存在信用卡泄漏問題支付寶的性質(zhì)2011-11計算機學(xué)院IPSec協(xié)議IPSec協(xié)議應(yīng)用場景利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)(VPN,VirtualPrivateNetwork),在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的內(nèi)部局域網(wǎng)一樣提供安全性、可靠性和可管理性等如多地局域網(wǎng)的通過IPSecVPN互聯(lián)IPSecVPN需解決的問題隧道的建立、維護(hù)認(rèn)證問題加密問題發(fā)送方:數(shù)據(jù)封裝,公網(wǎng)路由接收方:解封裝,數(shù)據(jù)包內(nèi)網(wǎng)路由交換不同局域網(wǎng)的路由問題透明路由訪問公網(wǎng)的問題NAT接入設(shè)備平臺接入路由器平臺(安全網(wǎng)關(guān))一般支持如下功能IPSecVPN網(wǎng)關(guān)NAT接入路由器防火墻還有的支持SSLVPN(本地web功能)額外的功能:上網(wǎng)行為管理、防病毒從路由器角度看IPSecVPNIPSecVPN隧道建立后,隧道連接兩臺路由器,邏輯上相當(dāng)于一個網(wǎng)絡(luò)接口Interface。從而路由器將將兩個網(wǎng)段連成一個統(tǒng)一的局域網(wǎng)。IPSec協(xié)議-1概述在發(fā)送IP數(shù)據(jù)包之前,對IP包的一些重要部分進(jìn)行加密和驗證計算,由接收端對這部分進(jìn)行解密和驗證,從而實現(xiàn)安全傳輸?shù)哪康?。IPSec實現(xiàn)了網(wǎng)絡(luò)層的加密和認(rèn)證,它在網(wǎng)絡(luò)體系結(jié)構(gòu)中提供了一種端到端的安全解決方案。2010-09計算機學(xué)院IPSec協(xié)議-1概述IPSec提供三種不同的形式來保護(hù)通過公有或私有IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。(1)認(rèn)證:通過認(rèn)證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是否一致,同時可以確定申請發(fā)送者在實際上是真實的,還是偽裝的發(fā)送者;(2)數(shù)據(jù)完整性驗證:通過驗證,保證數(shù)據(jù)在從發(fā)送者到接收者的傳送過程中沒有被修改;(3)保密:使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容,而無關(guān)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。2010-09計算機學(xué)院IPSec協(xié)議-1概述IPSec由三個基本要素來提供以上三種保護(hù)形式認(rèn)證頭(AH)封裝安全載荷(ESP)互聯(lián)網(wǎng)密鑰管理協(xié)議(IKMP/IKE)。
認(rèn)證頭和安全加載封裝是一套協(xié)議中兩個不同的機制。所以,它們可以被單獨使用,也可以被組合起來使用,可以滿足不同的安全要求。2010-09計算機學(xué)院2010-09計算機學(xué)院幀頭應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)TCP頭TCP頭TCP頭IP頭IP頭應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層沒有IPSec的數(shù)據(jù)封裝
2010-09計算機學(xué)院應(yīng)用層傳輸層網(wǎng)絡(luò)層IPSec封裝數(shù)據(jù)鏈路層幀頭IPSec頭應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)TCP頭TCP頭TCP頭IP頭IP頭應(yīng)用數(shù)據(jù)TCP頭IP頭IPSec頭IPSec尾IPSec尾有IPSec數(shù)據(jù)封裝IPSec協(xié)議-2
IPSec的安全體系結(jié)構(gòu)
2010-09計算機學(xué)院體系結(jié)構(gòu)安全封裝載荷(ESP)協(xié)議(ESP)協(xié)議認(rèn)證頭(AH)協(xié)議認(rèn)證算法加密算法解釋域DOI密鑰管理各個模塊的功能是:體系結(jié)構(gòu):覆蓋了定義IPSec技術(shù)的一般性概念、安全需求、定義和機制安全封裝載荷(ESP):是插入IP數(shù)據(jù)包內(nèi)的一個協(xié)議頭,具有為IP數(shù)據(jù)包提供機密性、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重傳攻擊等功能。認(rèn)證頭(AH):是插入IP數(shù)據(jù)包內(nèi)的一個協(xié)議頭,具有為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重傳攻擊等功能。加密算法:一組文檔描述了怎樣將不同的加密算法用于ESP。認(rèn)證算法:一組文檔描述了怎樣將不同的認(rèn)證算法用于AH和ESP可選的鑒別選項。密鑰管理:描述密鑰管理機制的文檔。解釋域DOI:包含了其他文檔需要的為了彼此間相互聯(lián)系的一些值。這些值包括經(jīng)過檢驗的加密和認(rèn)證算法的標(biāo)識以及操作參數(shù),例如密鑰的生存期。2010-09計算機學(xué)院IPSec協(xié)議-3
IPSec服務(wù)
2010-09計算機學(xué)院服務(wù)類型AHESP(只加密)ESP(加密并認(rèn)證)訪問控制YYY無連接完整性YNY數(shù)據(jù)源的鑒別YNY拒絕重放攻擊YYY保密性NYY有限的通信流保密性NYYIPSec協(xié)議-4IPSec的工作模式
1傳輸模式IPSec傳輸模式主要對IP包的部分信息提供安全保護(hù),即對IP數(shù)據(jù)包的上層協(xié)議數(shù)據(jù)提供安全保護(hù)。當(dāng)采用AH傳輸模式時,主要為IP數(shù)據(jù)包提供認(rèn)證保護(hù);而采用ESP傳輸模式時,主要對IP數(shù)據(jù)包的上層信息提供加密和認(rèn)證雙重保護(hù)。這是一種端到端的安全,IPSec在端點執(zhí)行加密、認(rèn)證處理,在安全通道上傳輸,因此主機必須配置IPSec。2010-09計算機學(xué)院2010-09計算機學(xué)院首部有效載荷IP數(shù)據(jù)報傳輸網(wǎng)絡(luò)首部有效載荷IP數(shù)據(jù)報IPSec協(xié)議-4IPSec的工作模式隧道模式IPSec隧道模式對整個IP數(shù)據(jù)包提供保護(hù)。其基本原理是構(gòu)造新的IP數(shù)據(jù)包當(dāng)采用AH遂道模式時,主要為整個IP數(shù)據(jù)包提供認(rèn)證保護(hù)(可變字段除外);當(dāng)采用ESP遂道模式模式時,主要為整個IP數(shù)據(jù)包提供加密和認(rèn)證雙重保護(hù)。這時,對IPSec的處理是在安全網(wǎng)關(guān)執(zhí)行的,因此兩端主機不必知道IPSec協(xié)議的存在。2010-09計算機學(xué)院2010-09計算機學(xué)院首部有效載荷首部有效載荷首部有效載荷內(nèi)部IP數(shù)據(jù)報外首部(新首部)傳輸網(wǎng)絡(luò)首部有效載荷內(nèi)部IP數(shù)據(jù)報內(nèi)部IP數(shù)據(jù)報內(nèi)部IP數(shù)據(jù)報安全網(wǎng)關(guān)安全網(wǎng)關(guān)外首部(新首部)IPSec協(xié)議-5認(rèn)證頭協(xié)議(AH)1.認(rèn)證頭的功能為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重傳攻擊等功能。數(shù)據(jù)完整性是通過消息認(rèn)證碼產(chǎn)生的校驗值來保證的;數(shù)據(jù)源認(rèn)證是通過在數(shù)據(jù)包中包含一個將要被認(rèn)證的共享秘密或密鑰來保證的;抗重傳攻擊是通過使用了一個經(jīng)認(rèn)證的序列號來實現(xiàn)的。2010-09計算機學(xué)院IPSec協(xié)議-5認(rèn)證頭協(xié)議(AH)2.認(rèn)證頭格式AH為IP數(shù)據(jù)包提供了數(shù)據(jù)完整性和認(rèn)證服務(wù)。注意AH并不提供保密性保護(hù),因此當(dāng)數(shù)據(jù)通過一個網(wǎng)絡(luò)的時候仍然可以被看到。2010-09計算機學(xué)院下一個首部載荷長度保留安全參數(shù)索引(SPI)序列號認(rèn)證數(shù)據(jù)ICV(長度可變)IPSec協(xié)議-5認(rèn)證頭協(xié)議(AH)3完整性校驗值的計算ICV是消息認(rèn)證碼(messageauthenticationcode,MAC)的一種截斷版本,它是用MAC算法計算的。只使用前96bit。ICV使用下面的域來計算:在傳輸中不變化的IP頭域,或者其值在到達(dá)使用該AH關(guān)聯(lián)的端點時可以預(yù)測的IP頭域。AH首部,為了在源和目的地進(jìn)行計算,必須將認(rèn)證數(shù)據(jù)域置為0。所有的上層協(xié)議數(shù)據(jù),假定它們在傳輸中不變化(例如TCP報文段或隧道方式的一個內(nèi)部IP分組)。2010-09計算機學(xué)院IPSec協(xié)議-5認(rèn)證頭協(xié)議(AH)4.抗重放攻擊重放攻擊指的是攻擊者獲得了認(rèn)證分組的副本,并且以后將它傳輸?shù)剿哪康牡刂?。收到了重?fù)的認(rèn)證IP分組可能會以某種方式中斷服務(wù)或者出現(xiàn)其他一些意想不到的后果。序號字段是設(shè)計用來阻擋這種攻擊的。IPSec數(shù)據(jù)包專門使用了一個序列號,以及一個“滑動”的接收窗口。因為IP是無連接、不可靠的服務(wù),協(xié)議不能保證分組的按序交付,也不能保證所有的分組都會被交付,因此,IPSec認(rèn)證文檔規(guī)定接收者應(yīng)該實現(xiàn)大小為W的接收窗口。2010-09計算機學(xué)院2010-09計算機學(xué)院窗口最左端對應(yīng)于窗口起始位置的序列號,窗口的右邊界則代表目前已經(jīng)收到的合法分組的最高序號。對于任何已經(jīng)正確接收的(即經(jīng)過了正確鑒別的)其序號處于N-W+1到N范圍之間的分組,窗口的相應(yīng)插槽被標(biāo)記。當(dāng)收到一個分組時,按照如下步驟進(jìn)行進(jìn)入處理:①.如果收到的分組落在窗口之內(nèi)并且是新的,就進(jìn)行MAC檢查。如果分組被鑒別,就對窗口的相應(yīng)插槽做標(biāo)記。②.如果收到的分組落在窗口的右邊并且是新的,就進(jìn)行MAC檢查。如果分組被鑒別,那么窗口就向前走,使得該序號成為窗口的右邊界,并對窗口的相應(yīng)插槽做標(biāo)記。③.如果收到的分組落在窗口的左邊,或者鑒別失敗,就丟棄該分組。2010-09計算機學(xué)院IPSec協(xié)議-5認(rèn)證頭協(xié)議(AH)5.傳輸模式和遂道模式AH服務(wù)可以以兩種方式來使用:傳輸(transport)模式和隧道(tunnel)模式。AH的實際位置決定于使用何種模式以及AH是應(yīng)用于一個IPv4還是一個IPv6數(shù)據(jù)包。2010-09計算機學(xué)院2010-09計算機學(xué)院原始的IP頭(任何選項)TCP數(shù)據(jù)原始的IP頭(任何選項)TCP數(shù)據(jù)AH(載荷長度,SPI,序號,MAC)標(biāo)準(zhǔn)IPv4數(shù)據(jù)報
傳輸模式下的IPv4認(rèn)證范圍:所有不變的域2010-09計算機學(xué)院原始的IP頭(任何選項)TCP數(shù)據(jù)擴展項頭(如果有)標(biāo)準(zhǔn)的IPv6數(shù)據(jù)報
傳輸模式下的IPv6
原始的IP頭(任何選項)目的選項數(shù)據(jù)逐躍點、目的、路由、分段TCPAH(載荷長度,SPI,序號,MAC)認(rèn)證范圍:所有不變的域2010-09計算機學(xué)院原始的IP頭(任何選項)TCP數(shù)據(jù)AH(載荷長度,SPI,序號,MAC)新的IP頭(任何選項)
隧道模式下的IPv4
隧道模式下的IPv6
認(rèn)證范圍:所有不變的域新的IP頭(任何選項)擴展項頭(如果有)數(shù)據(jù)擴展項頭(如果有)TCPAH(載荷長度,SPI,序號,MAC)認(rèn)證范圍:所有不變的域IPSec協(xié)議-6封裝安全載荷協(xié)議(ESP)
1ESP功能ESP主要支持IP數(shù)據(jù)包的機密性,它將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到新的IP數(shù)據(jù)包中。另外ESP也可提供認(rèn)證服務(wù),但與AH相比,二者的認(rèn)證范圍不同,ESP只認(rèn)證ESP頭之后的信息,比AH認(rèn)證的范圍要小。2010-09計算機學(xué)院IPSec協(xié)議-6封裝安全載荷協(xié)議(ESP)2.ESP格式
2010-09計算機學(xué)院IPSec協(xié)議-6封裝安全載荷協(xié)議(ESP)3.加密與認(rèn)證算法ESP服務(wù)對有效載荷數(shù)據(jù)、填充、填充長度和下一個首部字段加密。下面是一些已定義的算法:l
三密鑰三重DESl
RC5l
IDEAl
CASTl
Blowfishl
三密鑰三重IDEA2010-09計算機學(xué)院IPSec協(xié)議-6封裝安全載荷協(xié)議(ESP)4.傳輸模式和隧道模式2010-09計算機學(xué)院ESP尾TCP數(shù)據(jù)ESP頭(SPI,序列號)源IP頭ESP認(rèn)證ESP尾TCP數(shù)據(jù)ESP頭(SPI,序列號)源IP頭ESP認(rèn)證目的選項逐躍點、目的、路由、分段傳輸模式下的IPv4ESP傳輸模式下的IPv6ESP
被加密的
被加密的
被認(rèn)證的
被認(rèn)證的
傳輸方式的操作總結(jié)如下:①在源站,由ESP尾部加上整個傳輸級的報文段組成的數(shù)據(jù)塊被加密,這個數(shù)據(jù)塊的明文被其密文所代替,以形成用于傳輸?shù)腎P分組。如果認(rèn)證選項被選中,還要加上認(rèn)證。②然后分組被路由到目的站。每個中間路由器都要檢查和處理IP首部加上任何明文的IP擴展首部,但是不需要檢查密文。③目的結(jié)點檢查和處理IP首部加上任何明文的IP擴展首部。然后,在ESP首部的SPI基礎(chǔ)上目的結(jié)點對分組的其他部分進(jìn)行解密以恢復(fù)明文的傳輸層報文段。傳輸方式操作為使用它的任何應(yīng)用程序提供了機密性,因此避免了在每一個單獨的應(yīng)用程序中實現(xiàn)機密性,這種方式的操作也是相當(dāng)有效的,幾乎沒有增加IP分組的總長度。2010-09計算機學(xué)院2010-09計算機學(xué)院ESP尾TCP數(shù)據(jù)ESP頭(SPI,序列號)原IP頭ESP認(rèn)證新IP頭ESP尾TCP數(shù)據(jù)ESP頭(SPI,序列號)原IP頭ESP認(rèn)證新IP頭原擴展頭新擴展頭隧道模式下的IPv4ESP隧道模式下的IPv6ESP
被加密的
被認(rèn)證的
被加密的
被認(rèn)證的
IPSec協(xié)議-7安全關(guān)聯(lián)
當(dāng)利用IPSec進(jìn)行通信時,采用哪種認(rèn)證算法、加密算法以及采用什么密鑰都是事先協(xié)商好的。一旦通信雙方取得一致后,在通信期間將共享這些安全參數(shù)信息來進(jìn)行安全信息傳輸。為了使通信雙方的認(rèn)證算法、加密算法保持一致,相互間建立的聯(lián)系被稱為安全關(guān)聯(lián)(SecurityAssociation,SA)。也就是在使用AH或ESP之前,先要從源主機到目的主機建立一條網(wǎng)絡(luò)層的邏輯連接。SA是構(gòu)成IPSec的基礎(chǔ)。2010-09計算機學(xué)院安全關(guān)聯(lián)是單向的,意味著每一對通信系統(tǒng)連接都至少需要兩個安全關(guān)聯(lián)。一個是從A到B,一個是從B到A。如A需要有一個SA(out)用來處理外發(fā)數(shù)據(jù)包;一個SA(in)用來處理進(jìn)入數(shù)據(jù)包。如B需要有SB(out)和SB(in)SA(out)和SB(in)共享一個加密參數(shù)SA(in)和SB(out)共享一個加密參數(shù)因此對外發(fā)和進(jìn)入的SA分別需要維護(hù)一張單獨的數(shù)據(jù)表2010-09計算機學(xué)院一個SA由三個參數(shù)來惟一地標(biāo)識:l
安全參數(shù)索引(SPI):該比特串惟一地標(biāo)識一個與某一安全協(xié)議(例如AH或者置SP)相關(guān)的安全關(guān)聯(lián)。SPI位于AH和ESP頭內(nèi),因此接收系統(tǒng)可以挑選出用于處理接收到的IP數(shù)據(jù)包的SA。l
目的IP地址:該參數(shù)表明該SA的目的IP地址。端點可能會是最終用戶系統(tǒng)或者一個如網(wǎng)關(guān)或防火墻這樣的網(wǎng)絡(luò)系統(tǒng)。盡管從概念上講該參數(shù)可以是任意地址類型(多播、廣播等),但是目前它只能是一個單播地址。l
安全協(xié)議標(biāo)識符:該參數(shù)表明本關(guān)聯(lián)是一個AH安全關(guān)聯(lián)還是一個ESP安全關(guān)聯(lián)。
2010-09計算機學(xué)院IPSec實施方案最終會構(gòu)建一個SA數(shù)據(jù)庫(SADB),由它來維護(hù)IPSec協(xié)議用來保障數(shù)據(jù)包安全的SA記錄。在IPSec保護(hù)IP報文之前,必須先建立一個安全聯(lián)盟。安全聯(lián)盟可以手工或動態(tài)建立。Internet密鑰交換(IKE)用于動態(tài)建立安全聯(lián)盟,IKE代表IPSec對SA進(jìn)行協(xié)商,并對SADB進(jìn)行填充。2010-09計算機學(xué)院
IPSec協(xié)議-8安全數(shù)據(jù)庫安全策略數(shù)據(jù)庫(SecurityPolicyDatabase,SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(SecurityAssociationDatabase,SAD)。SPD指定了決定所有輸入或者輸出的IP通信部署的策略。SAD包含有與當(dāng)前活動的安全關(guān)聯(lián)相關(guān)的參數(shù)。安全關(guān)聯(lián)是雙方所協(xié)商的安全策略的一種描述。
2010-09計算機學(xué)院IPSec協(xié)議-8安全數(shù)據(jù)庫1安全策略數(shù)據(jù)庫安全策略決定了為一個包提供的安全服務(wù)根據(jù)“選擇符”對數(shù)據(jù)庫進(jìn)行檢索,選擇符從網(wǎng)絡(luò)層和傳輸層頭提取出來IP包的外出和進(jìn)入都需要查詢SPD,以判斷為
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- JJF(陜) 062-2021 平面波動量儀校準(zhǔn)規(guī)范
- JJF(陜) 014-2019 混凝土電阻率測試儀校準(zhǔn)規(guī)范
- 學(xué)校文化建設(shè)與價值觀引導(dǎo)計劃
- 激勵機制設(shè)計與員工忠誠度提升計劃
- 證券投資基金銷售服務(wù)協(xié)議三篇
- 走進(jìn)父母-感恩父母-主題班會情感體驗課課件(讓生命充滿愛)
- HED-系列厚膜陰極電泳涂料相關(guān)項目投資計劃書范本
- 優(yōu)化流程的工作計劃設(shè)計
- 城市環(huán)境衛(wèi)生管理服務(wù)行業(yè)相關(guān)投資計劃提議
- 輔助生殖科輔助生殖技術(shù)診療規(guī)范與技術(shù)操作規(guī)范
- 吉蘭巴雷綜合癥的護(hù)理
- 中國畫創(chuàng)作智慧樹知到期末考試答案章節(jié)答案2024年湖北科技學(xué)院
- 中醫(yī)病歷書寫基本規(guī)范
- 水利水電工程建設(shè)用地設(shè)計標(biāo)準(zhǔn)(征求意見稿)
- 2023年檢測站站長工作總結(jié)報告
- (2024年)防盜報警系統(tǒng)基礎(chǔ)知識
- 公路工程資料整理-課件
- 招投標(biāo)-招投標(biāo)管理
- 口腔醫(yī)院器械培訓(xùn)課件
- 2024年專業(yè)技術(shù)人員繼續(xù)教育公需科目-綠色發(fā)展-節(jié)約資源和保護(hù)環(huán)境筆試歷年真題薈萃含答案
評論
0/150
提交評論