计算机网络安全(沈鑫剡)第11章

1、计算机网络平安第11章第11章 运用层平安协议Web平安协议；电子邮件平安协议；门户网站。运用层平安协议给出了运用层处理资源访问平安问题的根本原那么、方法和机制。11.1 Web平安协议Web平安问题；Web平安机制； over TLS；SET。由于网络用户通常都经过网站访问网络、进展网上购物和电子银行转账，因此，Web平安问题是宽广网络用户最关怀，也是直接影响网络安康开展的问题。Web平安问题伪造和篡改网页伪造银行网站，诱运用户登录；篡改著名网站网页，用银行或其他著名网站域名链接伪造网站。截取用户私密信息拦截用户和商务网站进展电子商务活动过程中交换的信息；伪造网页进展诈骗。回绝效力攻击耗尽效

2、力器资源；耗尽效力器链接网络链路的带宽。Web平安机制处理Web平安问题的关键是效力器身份认证和信息传输加密，效力器身份认证处理伪造网站的问题，信息传输加密处理截获用户私密信息的问题；处理这两个问题需求动态协商平安参数并完成对方身份认证的协议，网际层的IPSec、运输层的TLS和运用层的SET都是具有这种功能的协议；越是底层，通用性越好，但无法顾及特定运用的细节；和指定运用关联越多，越能满足指定运用的平安要求。网际层运输层运用层 over TLSTLS完成双方身份认证和平安参数协商，平安传输上层信息；这里，TLS主要实现对效力器的身份认证，商定平安传输过程用到的加密解密算法、密钥、音讯认证算法

3、等平安参数；将用户和效力器之间交换的HTTP报文封装成TLS记录协议报文。用证书证明效力器域名和公钥PKS的绑定；终端用PKS加密预主密钥，预主密钥是生成密钥的主要参数；一旦确认效力器和终端生成一样的密钥，效力器身份得到确认；终端和效力器用商定的加密解密算法和密钥实现数据的平安传输。 over TLS由于TLS商定的平安参数只需终端和效力器知道，因此，加密和音讯认证码计算过程本身具有认证发送者身份的作用；音讯认证码用于完好性检测，序号保证顺序接纳TLS记录协议报文；用三重DES加密需求传输的数据。 over TLS平安电子买卖SETSET运用系统用于实现电子购物；既要保证持卡人的私密信息只在持

4、卡人和发卡机构之间传输，又要保证商家权益；信息只能在指定的发送端和接纳端之间传输，即必需对发送端进展身份认证，只需指定接纳端才干获得信息。SET运用系统持卡人封装处置过程一是需求认证发送者身份，二是保证只需指定接纳者才干获得信息，三是持卡人不能否认发送过的购物恳求；认证发送者身份和无法否认发送过的购物恳求经过数字签名实现，数字签名DSKC(H(P)；SKC是发送者私钥，H是报文摘要算法。明文、数字签名和证明发送者和公钥之间绑定的证书用3DES加密算法加密，并将密钥用指定接纳者的公钥加密，因此，只需指定接纳者才干复原密钥，并因此获得明文、数字签名和证书。平安电子买卖SET持卡人封装过程指定商家才

5、干用私钥解密出密钥KEY，并因此获得明文、数字签名和证书；对明文P进展报文摘要运算，对数字签名用证书给出的公钥进展加密运算，然后对两者进展比较，假设相等：一是证明由证书指定的发送者发送，二是明文确实是发送者发送的明文。这样，完成了发送者身份认证、数字签名认证和完好性检测。平安电子买卖SET商家认证发送者身份和解密数据过程双重签名的目的是证明两份报文的关联性，不仅经过数字签名证明由发送者发送，而且证明这两份报文和同一事务相关；这里需求证明支付信息和购货信息是对应的，是与同一次电子购物相关的两份报文。平安电子买卖SET双重签名过程持卡人、商家和支付网关需求获得由认证中心签发的证书；选择商品，得到商

6、家发送的定货信息；向商家提供定货信息和支付信息；商家认证支付信息；商家提供商品。平安电子买卖SET电子买卖过程购买恳求音讯在获得商家提供的购物清单后发送；根据购物清单构件定货信息和支付信息，定货信息发送给商家，支付信息由商家用于认证持卡人的支付才干，为了将定货信息和支付信息绑定在一同，持卡人采用双重签名；为了上支付网关和商家认证双重签名，发送给商家的信息中包含支付信息的报文摘要，发送给支付网关的信息中包含订货信息的报文摘要；为了区别信息的接纳者，分别用支付网关和商家的公钥加密发送给它们的信息。平安电子买卖SET购买恳求音讯封装过程商家验证双重签名，确定定货信息的发送者和双重签名证明的支付信息的

7、报文摘要；对发送给支付网关的密文不作处置，用于生成用于验证持卡人支付才干的授权恳求音讯。平安电子买卖SET商家验证双重签名过程授权恳求信息的目的是验证持卡人的支付才干；支付信息中除了有关账户、密码等私密信息，还有买卖标识符和支付金额等与本次买卖关联的信息；授权信息中同样提供买卖标识符和支付金额等与本次买卖有关的信息，便于支付网关验证。平安电子买卖SET商家封装授权恳求音讯过程认证支付信息发送者身份和授权恳求音讯发送者身份；认证双重签名，确认支付信息和订货信息之间的关联；根据商家提供的授权信息和持卡人提供的支付信息验证持卡人的支付才干。平安电子买卖SET支付网关验证授权恳求音讯过程支付网关验证持

8、卡人支付才干后，向商家提供承兑凭证，一旦商家提供已向持卡人提供商品或效力的证据，即可凭承兑凭证要求电子转账；商家不能处置承兑凭证；授权信息由支付网关数字签名，用于向商家通告验证持卡人支付才干的结果。平安电子买卖SET支付网关封装授权呼应音讯过程商家向持卡人提供商品或效力后，要求支付网关完成电子转账；商家提供支付网关提供的承兑凭证和恳求音讯；恳求音讯中给出本次购物的相关信息，如买卖标识符、支付金额等，还有曾经完成向持卡人提供商品或效力的证据；支付网关根据恳求音讯验证承兑凭证，在验证无误的情况下，经过支付网络和公用支付系统完成持卡人至商家的电子转账。平安电子买卖SET商家封装恳求音讯过程11.2

9、电子邮件平安协议PGP；S/MIME。电子邮件平安协议采用的技术和其他平安传输协议类似，一是经过数字签名完成发送者身份认证，二是经过加密实现严密传输。只是PGP采用和邮件格式无关的机制，S/MIME采用在邮件内容的定义中添加数字签名和严密传输类型。PGP前提是双方均已经过认证中心获得公钥、私钥对和证书，并向对方发送了证书；数字签名实现发送者身份认证和完好性检测；用3DES加密，并用接纳端公钥加密3DES加密用的密钥，保证只需指定接纳端才干阅读邮件。发送端处置过程PGP指定接纳端用私钥解密出3DES的密钥，然后复原出紧缩音讯；对解压后的音讯经过用发送端公钥验证数字签名、完成完好性检测。接纳端处置

10、过程S/MIME5个常见关键词：Date、From、Subject、To、Cc；只能传输ASCII码。SMTP邮件格式添加了邮件内容类型，允许邮件内容为多媒体信息，如图片、视频、音频等；经过编码，将多媒体信息转换成ASCII码进展传输。S/MIMEMIME邮件格式为了和SMTP兼容，非ASCII码的MIME邮件内容被转换成7位ASCII码后，经过SMTP发送；接纳端需求将经过SMTP接纳到的7位ASCII码重新复原为非ASCII码的MIME邮件内容。S/MIMEMIME和SMTP的关系为了平安传输邮件，需求认证发送者身份、进展邮件完好性检测，认证子报文就用于实现这一功能；采用数字签名技术，认证

11、子报文中给出证书、数字签名采用的算法等；音讯和数字签名作为认证子报文主要内容。S/MIME认证邮件子报文过程用3DES对邮件加密，用接纳端的公钥加密3DES的密钥，保证只需指定接纳端才干获取邮件内容；用明文方式给出音讯加密算法，密钥加密算法，加密密钥的公钥的证书。S/MIME加密邮件子报文过程11.3 门户网站系统构造；系统配置；实现机制。门户网站是内部网络资源的入口，由门户网站一致实现对内部网络资源的访问控制过程，门户网站根据事先配置的不同用户的访问权限，对用户身份进展认证，监管用户权限内的资源访问过程。系统构造必需由防火墙控制信息传输过程，即用户和效力器之间不能直接通讯，用户必需经过门户网

12、站访问效力器；外网授权终端同样必需经过门户网站访问内网效力器资源；门户网站必需建立授权用户库，对每一个授权用户设置访问权限。系统构造用户经过HTTP访问门户网站；门户网站认证用户身份、确定用户访问权限，经过对应资源访问协议访问内网资源，将访问结果一致用HTTP呼应传输给用户。系统配置防火墙配置从用户区到门户区 源IP地址=/24 目的IP地址=/32 HTTP效力；从门户区到效力器区 源IP地址=/32 目的IP地址=/32 HTTP效力；从门户区到效力器区 源IP地址=/32 目的IP地址=/32 FTP效力；从门户区到效力器区 源IP地址=/32 目的IP地址=/32 SMTP+POP3效力。防火墙配置的目的是保证用户只能和门户网站进展HTTP效力、门户网站只能和相应效力器进展对应效力。门户网站为每一个用户