网络与信息安全：06密码应用6

密码应用公钥证书（certificate）公钥证书的主要内容身份证主要内容持有者（Subject）标识签发者（Issuer）标识有效期公钥（n,e）CA的数字签名姓名签发单位有效期照片签发单位盖章、防伪标志序列号身份证号码公钥证书实例证书系统DirectoryCARARARA用户用户注册签发证书、证书撤销列表内容SETSSLIPsec可信计算内容SETSSLIPsec可信计算SETSecureElectronicTransaction保护互联网上信用卡交易的开放加密和安全规范1996年2月：MasterCard和VISA呼吁安全标准，IBM、Microsoft、Netscape、RSA、Terisa和VeriSign制订最初规范1996开始，进行了大量概念测试1998年，第一批SET兼容产品问世SET1997年5月，在三本书中对其规范有定义：第一本书：业务描述（80页）第二本书：编程指南（629页）第三本书：正式协议定义（262页）SET本身并非支付系统是一套安全协议和格式，支持用户在开放网络上，比如互联网上，使用现有的信用卡支付体系。SET服务为交易各方提供安全通信通道通过X.509v3数字证书提供信任保护隐私：只有需要时，交易各方才可以得到信息。SET概述SET主要特点:信息保密数据完整持卡人帐户鉴定店方鉴定SET参与方交易事件序列客户开户.客户收到证书.店方也有其证书.客户下单.验证店方.发送订单和付款.店方请求付款授权.店方证实订单.店方提供货物和服务.店方请求支付.双签名支付过程持卡人发送购物请求支付过程

店方验证客户购买请求支付过程支付授权:授权请求授权响应解付:解付请求解付响应建议阅读和WEB站点Drew,G.UsingSETforSecureElectronicCommerce.PrenticeHall,1999Garfinkel,S.,andSpafford,G.WebSecurity&Commerce.O’ReillyandAssociates,1997MasterCardSETsiteVisaElectronicCommerceSiteSETCo(documentsandglossaryofterms)内容SETSSLIPsecWeb安全Web被企业、政府及个人广泛使用但是因特网和

Web有安全弱点面临多种威胁完整性保密性DoS攻击认证需要提高其安全性SecuritySocketLayer(SSL)传输层上的安全服务最初由

Netscape开发SSLv3是由公众参与开发制定随后成为因特网标准

TransportLayerSecurity(TLS)使用

TCP来提供可靠的端到端服务SSL服务SSL提供Client-server认证(公钥加密)数据流保密消息认证和完整性检查SSL不能防止流量分析面向TCP实现的攻击SSL状态信息SSL是有状态的：SSL协议必须初始化并且在会话两端要保持会话状态信息会话由Handshake协议建立一个SSL会话可以支持多个连接：避免或减少协商代价会话连接1连接2连接3SSL会话状态信息SessionID:标识一个活跃或可恢复的会话状态Peercertificate:对等实体的证书

(X.509v.3)Compressionmethod:加密前的数据压缩算法Cipherspec:数据加密和MAC算法规范Mastersecret:客户端和服务器端共享的48-byte秘密Isresumable:用来标识会话是否建立新连接的标志SSL连接状态信息Serverandclientrandom:服务器和客户端为每个连接选择的字节序列ServerwriteMACsecret:服务器计算数据MAC时所用的秘密ClientwriteMACsecret:客户端计算数据MAC时所用的秘密Serverwritekey:服务器进行数据加密以及客户端进行数据解密所用的密钥Clientwritekey:客户端进行数据加密以及服务器进行数据解密所用的密钥Initializationvector:用于CBC分组加密Sequencenumber:由服务器和客户端双方所维护，用于数据消息发送和接收SSL协议体系结构SSL协议SSL有两层协议SSLRecordProtocol

（记录协议）TCP之上提供消息源发鉴别、数据保密和数据完整性保护SSLsub-protocolsSSLRecordProtocol之上支持和建立SSL会话和连接SSL记录协议接收来自上层的数据提供两种服务：保密性对称加密，通过HandshakeProtocol定义共享密钥IDEA,RC2-40,DES-40,DES,3DES,Fortezza,RC4-40,RC4-128消息加密前要压缩

(可选)消息完整性采用MAC，基于共享密钥类似于

HMAC但是采用不同的padding方案SSL记录协议操作SSL记录格式SSL修改密码规范协议单个消息，只有一个字节“1”使挂起状态恢复到当前状态，并因此更新在用的密码套件SSL告警协议两字节消息，将SSL相关告警转达给对等实体第一个字节描述严重性warning(1)或fatal(2)第二个字节是具体的告警Alwaysfatal:unexpected_message,bad_record_mac,decompression_failure,handshake_failure,illegal_parameterOtheralerts:close_notify,no_certificate,bad_certificate,unsupported_certificate,certificate_revoked,certificate_expired,certificate_unknown如同所有SSL数据一样压缩和加密SSL握手协议使服务器和客户端能彼此认证协商加密和MAC算法协商加密密钥主要阶段建立安全能力服务器认证和密钥交换客户端认证和密钥交换结束SSL握手消息TransportLayerSecurity(TLS)IETF标准RFC2246类似于SSLv3，只有细微差别：inrecordformatversionnumberuseHMACforMACapseudo-randomfunctionexpandssecretshasadditionalalertcodessomechangesinsupportedcipherschangesincertificatenegotiationschangesinuseofpaddingDiffie-Hellman密钥交换在Diffie-Hellman划时代的论文中提出使得用户能安全交换密钥基于离散对数计算的困难性Diffie-Hellman密钥交换算法全局公开量:大素数qα，<q且是q的本原根用户密钥的产生（比如A）选择随机数:xA<q计算公开量:yA=αxAmodq

产生密钥（比如A）KAB=yAxBmodq=yBxAmodq=αxA.xBmodq内容SETSSLIPsec网络层的安全在应用层实现安全可以使安全策略和密钥管理比较灵活，但需要对每个应用都实现安全机制在网络层实现安全可以减少开销，并适用所有应用IPsec两个协议AuthenticationHeader(AH)EncasulatingSecurityPayload(ESP)提供通用的安全服务认证保密反重放密钥管理IPsec

案例IPsec的好处强安全

防规避应用和用户透明IP安全体系结构规范非常复杂RFC标准RFC2401/2402/2406/2408还有其它很多IPv6强制要求,IPv4为可选项SecurityAssociation(SA)发送者和接收者之间的一个单向关系：是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合如果需要一个对等关系，即双向安全交换，则需要两个SA通信双方对某些要素的协定，比如通信模式、密码算法、密钥等每个IPsec计算机都维护一个SA数据库包括三个参数安全参数索引（SecurityParametersIndex，SPI)，32位，用来标识一个SA通信对方IP目的地址安全协议标识符，AH还是ESPSA参数SequenceNumberCounterSequenceNumberOverflowAnti-ReplayWindowAHandESPinformationLifetimeIPsecProtocolModePathMTUAuthenticationHeader(AH)支持IP报文的数据完整性和认证：端系统/路由器可以认证用户/应用通过序列号防止重放攻击基于MACHMAC-MD5-96orHMAC-SHA-1-96MAC基于IP头中的不变字段或可预计字段参与方必须共享秘密密钥AuthenticationHeader认证AH认证范围ESPEncapsulatingSecurityPayload提供消息内容保密可以提供如AH一样的认证服务支持DES,Triple-DES,RC5,IDEA,CASTetcCBC（常用）padEncapsulatingSecurityPayload透明和隧道模式

ESP传输模式用来加密和认证（可选）IP数据：报文头保持明文，但是数据被加密可能被进行流量分析适用于主机-主机安全隧道模式加密整个IP报文：可以抵抗流量分析适用于网关到网关安全ESP加密和认证范围组合SecurityAssociationsSA可以实现AH或ESP，但每个SA只能支持其中一个有些通信可能需要AH和ESP服务，而另外有些可能要求传输和隧道模式要解决这些问题，需要将多个SA组合一起形成一个SA束组合SecurityAssociationsIKESecurityAssociation(SA)

定义了对IP报文的处理方法采用何种算法参数限制SA也需要被创建IKE:确定IPsec对等实体之间的共享安全参数和认证密钥IKE一般意义上的安全交换协议支持:策略协商确定认证密钥基于三个主要协议InternetSecurityAssociationandKeyManagementProtocol-ISAKMP(NSA)Oakley(Hilarie

Orman)SKEME(HugoKrawczyk)IKEPort500UDPAH/ESPInternetKeyExchange(IKE)阶段I建立安全通道(ISAKMPSA)认证对等实体