信息安全技术第五章-web安全技术

1、信息安全技术(jsh)许红星(hngxng)共五十一页Web安全(nqun)协议共五十一页SSL传输层安全服务最早由Netscape提出并应用在其浏览器中版本3公开制定后由IETF在其基础(jch)上制定了TLS (Transport Layer Security)使用TCP协议提供点到点的安全服务共五十一页SSL特性(txng)和应用程序无关没有指定(zhdng)SSL中的安全怎样使用怎样初始SSL握手协议怎样验证证书 这些都让上层协议去决定共五十一页SSL体系结构图共五十一页SSL体系(tx)组成部分握手协议：（比较复杂）包含密钥交换和认证10种消息类型记录协议：（简单）分段，压缩，验证，

2、加密更改密码规范协议：（简单）一个字节的消息并且值为1可以(ky)认为是握手协议的一部分警报协议：（简单）消息长度为两个字节一个字节的警报级别严重或者警告；一个字节的警报代码共五十一页SSL服务(fw)身份验证数据保密性数据认证(rnzhng)和完整性压缩/解压缩生成/分发会话密钥集成进协议安全参数协商共五十一页SSL会话(huhu)和连接每个连接都和一个会话关联会话在多个安全连接之间可以重用握手协议同时(tngsh)建立新的会话和连接如已有会话，使用现存的会话来建立新的连接共五十一页SSL会话(huhu)SSL会话（由握手协议建立）会话ID由服务器选择 X.509公钥证书可以为空压缩算法密码

3、规范加密算法消息摘要算法主密钥 48字节共享密钥可重用标志是否能用来(yn li)初始新的连接共五十一页SSL记录(jl)协议每个SSL记录包括内容类型(lixng): 8比特，只定义4种内容改变密码规范警报握手应用程序协议版本号：8比特的主要版本，8比特小版本长度：最大16K字节数据负载：压缩并加密消息认证码共五十一页SSL记录协议(xiy)流程发送消息需要四步（接收(jishu)方顺序相反）分段压缩摘要加密共五十一页SSL记录协议(xiy)操作流程abcdefghiabcghidefabcabcMabcMabcMH应用(yngyng)数据分段压缩添加MAC加密附加SSL记录报头共五十一页S

4、SL握手(w shu)协议初始SSL会话为空压缩和加密算法由握手协议进行设置在会话过程中握手协议可以(ky)重复进行共五十一页SSL握手(w shu)协议类型(lixng)：1字节定义了10种消息类型长度：3字节内容共五十一页3.3 Web安全(nqun)协议客户(k h)方发送client_hello消息等待server_hello消息需要新密钥？产生新的密钥发出client_master_key等待server_verify消息第二阶段NY服务器等待client_hello消息发出server_hello消息需要新密钥？等待client_master_key解开密钥发出server_ver

5、ify消息第二阶段NY共五十一页SSL握手(w shu)协议共五十一页SSL握手(w shu)协议阶段1:建立安全参数阶段2:服务器认证和密钥交换阶段3:客户(k h)认证和密钥交换阶段4:结束共五十一页SSL握手(w shu)协议SSL握手协议中，9个握手消息(xio xi)必须按照顺序进行发送可选的消息可以不发送第10个消息在后面解释hello_request消息改变密码规范协议是一个单独的消息协议功能和握手协议中的一个消息功能相似共五十一页SSL快速(kui s)握手过程Client ServerClientHello -ServerHelloChangeCipherSpecApplic

6、ation Data Application Data共五十一页SSL握手(w shu)协议hello_request 协议在任何时候都可以从服务器向客户端发送(f sn)，要求客户端在合适的时候启动握手协议来重新建立会话下列情况下，客户端忽略此消息：已经有了一个会话不想重新建立会话客户端可以用no_renegotiation警报来响应共五十一页SSL警报(jngbo)协议2字节警报消息1字节级别严重或者(huzh)警告1字节警报代码共五十一页SSL警报(jngbo)信息close_notify(0),unexpected_message(10),bad_record_mac(20),decr

7、yption_failed(21),record_overflow(22),decompression_failure(30),handshake_failure(40),bad_certificate(42),unsupported_certificate(43),certificate_revoked(44),certificate_expired(45),certificate_unknown(46),illegal_parameter(47),unknown_ca(48),access_denied(49),decode_error(50),decrypt_error(51),expo

8、rt_restriction(60),protocol_version(70),insufficient_security(71),internal_error(80),user_canceled(90),no_renegotiation(100),共五十一页SSL严重警报(jngbo)信息下列情况下，警报级别总是严重未知的消息验证码错误(cuw)解密错误握手失败非法的参数共五十一页SSL服务(fw)端口使用特定端口来运行(ynxng)使用SSL的程序已成为事实的标准使用通常的端口，但应用程序协议在建立连接时先进行安全选项的协商在TCP/IP建立连接时协商是不是使用SSL共五十一页SSL服务(

9、fw)端口https 443 ssmtp 465snntp 563 sldap 636spop3 995 ftp-data 889ftps 990 imaps 991telnets 992 ircs 993共五十一页安全电子(dinz)交易协议SET安全(nqun)电子交易协议SETSET的加密和认证技术SET协议的处理逻辑SET协议和SSL协议的比较共五十一页电子商务关键的两个(lin )问题准确性安全性共五十一页SET协议(xiy)简介(Secure Electronic Transaction 安全电子交易(jioy)协议)是由世界上两大信用卡商Visa和Master Card于1997

10、年5月联合制定的，实现网上信用卡交易的模型和规范。SET规范是一种为基于信用卡而进行的电子交易提供安全措施的规则，是一种能广泛应用于Internet上的安全电子付款协议。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等共五十一页SET协议的作用(zuyng)和地位 SET规范为在Internet上进行安全的电子商务提供了一个开放的标准。SET综合使用私密钥加密和公密钥加密的电子认证技术，其认证过程使用RSA和DES算法，因此可以为电子商务提供很强的安全保护。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密性，支付过程的完整性

11、，商户(shn h)及持卡人的合法身份，以及可操作性。 SET规范是目前电子商务中最重要的协议。SET得到了美国IT企业的支持如GTE IBM Microsoft Netscape RSA SAIC Terisa 和VeriSign共五十一页SET协议(xiy)参与方共五十一页SET协议(xiy)成员持卡人特约商家支付网关收单银行(ynhng)发卡机构认证机构共五十一页SET特性(txng)机密性数据完整性身份(shn fen)认证共五十一页安全电子(dinz)交易协议SET安全电子交易(jioy)协议SETSET的加密和认证技术SET协议的处理逻辑SET协议和SSL协议的比较共五十一页SET

12、协议(xiy)中的加密技术常规密码体制公开密钥密码体制数字信封数字签名消息(xio xi)摘要共五十一页SET协议加密(ji m)流程对接收(jishu)方的数字证书进行认证；对要发送的消息明文进行hash运算，生成消息摘要；用发送方私有密钥对消息摘要加密，生成数字签名；随机生成对称密钥；用对称密钥对消息明文进行加密，生成消息密文；用接收方的公开密钥对对称密钥加密，得到数字信封；将消息密文、数字签名、数字信封及发送方数字证书发送给接收方共五十一页SET协议(xiy)解密流程对发送方的数字证书进行认证；用接收方的秘密密钥对数字信封解封，得到(d do)对称密钥；用对称密钥对消息密文解密，得到消息

13、明文；用发送方的公开密钥对数字签名解密，得到消息摘要；对消息明文进行hash运算，得到重新计算的消息摘要；比较两个消息摘要，确认消息的完整性；如果两个摘要相同，说明消息是相应方发送的，并且在传输中没有被篡改，那么保存消息明文；共五十一页SET的认证(rnzhng)技术证书持卡人证书商家证书支付(zhf)网关证书收单行证书发卡行证书共五十一页证书(zhngsh)管理机构CA负责对交易的各方进行(jnxng)身份验证CA可由大家都信任的一方担当（比如银行）共五十一页证书(zhngsh)验证机制CA采用层次结构，根CA一般由国际上的权威机构担任；通信时，各方通过由某个CA签发的证书来证明自己的身份。

14、如果对签发的CA不信任，则可对CA的身份进行(jnxng)验证。共五十一页安全电子交易(jioy)协议SET安全电子交易协议SETSET的加密和认证技术SET协议的处理(chl)逻辑SET协议和SSL协议的比较共五十一页SET购物(u w)流程持卡人选择要购买的商品持卡人填写订单持卡人选择付款方式，此时SET开始介入持卡人发送给商家一个完整的订单及要求付款的指令。商家接受订单后，向持卡人的金融机构请求支付认可。商家给发送(f sn)订单确认信息给顾客，顾客端软件记录交易日志，以备将来查询。商家给顾客装运货物，或完成定购服务。商家从持卡人的金融机构请求支付。共五十一页SET协议(xiy)流程图持

15、卡人商家收单银行确认商店的合法行提交商店的证书数字签名、订单和数字证书请求交易授权交易授权恢复订单确定、交易完成请款请求请款回复共五十一页持卡人注册(zhc)持卡人接收响应(xingyng)并请求注册表持卡人接收注册表并请求证书持卡人接收证书CA处理请求并发出注册表CA处理请求并发出证书初始化请求初始化响应注册表请求注册表证书请求证书持卡人初始化注册持卡人计算机CA发出响应CA共五十一页商家(shn ji)注册商家接收(jishu)注册表和请求证书商家接收证书CA处理请求并发出证书初始化请求注册表证书请求商家证书商家请求注册表商家计算机CA处理请求并发出注册表CA共五十一页购买请求(qngqi

16、)流程持卡人接收(jishu)响应和发出请求持卡人接收购买响应商家处理请求信息初始化请求初始化响应证书请求商家证书持卡人初始化注册持卡人计算机商家发出证书商家共五十一页双重(shungchng)签名首先生成两条消息的摘要，将两个摘要连接起来，生成一个(y )新的摘要（成为双重签名）。然后用发送者的私有密钥加密，为了让接收者验证双重签名，还必须将另外一条消息的摘要一起传过去。验证时，先生成消息摘要，将它和另外一个消息摘要连接起来，生成新的摘要，如果与解密后的双重签名相等，就可以确定消息是真实的。共五十一页支付(zhf)授权商家处理(chl)响应授权请求授权响应商家请求授权商家计算机支付网关处理授

17、权支付网关共五十一页支付(zhf)请款商家(shn ji)处理响应请款请求请款响应商家请求付款商家计算机支付网关处理请款支付网关共五十一页安全电子(dinz)交易协议SET安全电子交易协议SETSET的加密和认证(rnzhng)技术SET协议的处理逻辑SET协议和SSL协议的比较共五十一页SET和SSL比较(bjio)SETSSL基础信用卡传输通信协议采用技术私钥加密公钥加密，RSA和DES算法公用密钥加密DES算法实质安全电子付款协议网络安全协议使用范围广泛应用难于大规模应作用很强的保护较强的保护局限复杂、速度较慢共五十一页内容摘要信息安全技术。后由IETF在其基础上制定了TLS (Transport