Inerne安全协议与标准

Internet安全协议与标准

第4课唐礼勇博士7/3/2003Internet安全协议及标准

之

安全─网络安全7/3/2003网络安全Agenda通信安全应用程序安全分发MobilecodeFirewall电子商务其他话题7/3/20033Internet安全协议及标准通信安全OSI七层协议与信息安全物理层链路层网络层传输层会话层表示层应用层OSI协议层加密/安全技术安全协议信道加密PPTP/L2TPIPSecSSL/TLS信源加密SOCKS应用相关应用程序网关/保密网关静态包过滤动态包过滤7/3/20034Internet安全协议及标准通信安全(续一)三类加密安全体系7/3/20035Internet安全协议及标准通信安全(续二)应用层安全性安全HTTP(S-HTTP)对HTTP进行的扩展，描述了一种使用标准加密工具来传送HTTP数据的机制是一个非常完整的实现，几乎包括了在一个很长的时间内可能需要的安全HTTP访问应该具有的所有特征支持少，已基本消失PGP、S/MIMES/MIME、PGP都是针对电子邮件进行的安全协议PGP还可用于文件加密及签名SSH用于安全的远程登录其他问题7/3/20036Internet安全协议及标准通信安全(续三)传输层安全性SSL(安全套接字层，SecureSocketLayer)、TLS工作在传输层，独立于上层应用，给应用提供一个安全的点点通信隧道由协商过程和通信过程组成，协商过程用于确定加密机制、加密算法、交换会话密钥服务器认证以及可选的客户端认证，通信过程秘密传送上层数据。理论上讲，它可以支持任何应用层协议7/3/20037Internet安全协议及标准通信安全(续四)网络层安全性：IPSec协议族7/3/20038Internet安全协议及标准通信安全(续五)网络层安全性：IPSec协议族IP认证消息头(AH)协议IP封装安全协议(ESP)IKE(ISKAMP/Oakley)7/3/20039Internet安全协议及标准应用程序安全分发“砂箱”(Sandbox)模型：囚牢模型应用程序只能访问到一个受限的、经过严格检查的系统资源集合一种积极防御策略Unixchroot机制Java安全机制“代码签名”模型代码在进行发布之前利用公开密钥机制进行签名，而网络用户在下载之前先检查签名是否真实再决定是否下载。可防止代码被篡改，但不能防止代码自身问题ActiveX、Java7/3/200310Internet安全协议及标准防火墙(Firewall)用于隔离内部网与外部不可信网络包过滤(Packetfilter)“状态检查”(Stateful)型包过滤电路型(Circuit)网关应用程序(Application)代理(Proxy)NAT(NetworkAddressTranslate)VPN(VirtualPrivateNetwork)7/3/200311Internet安全协议及标准电子商务安全支付协议基于卡的支付协议明文发送信用卡号码经保密路径发送信用卡号码通过第三方进行交易安全支付协议SET：双签名(dualsignature)iKPCyberCash[Lowandetal.,1994]匿名信用卡支付协议7/3/200312Internet安全协议及标准电子商务安全(续一)支付协议(SET)7/3/200313Internet安全协议及标准电子商务安全(续二)支付协议(SET-DualSignature)7/3/200314Internet安全协议及标准电子商务安全(续三)支付协议(SET–PaymentProcessing–持卡人商家)7/3/200315Internet安全协议及标准电子商务安全(续四)支付协议(SET–PaymentProcessing–商家验证持卡人)7/3/200316Internet安全协议及标准电子商务安全(续五)支付协议(续)基于支票的支付协议：借-贷模型，维护账目的绝对平衡借-贷模型，支付服务器维护账目的绝对平衡。FSTC的eCheckNetBill系统：主要是一个研究系统，定义的是信息商品的交换NetCheque系统NetChex基于现金的支付协议：使用盲签名技术，保证匿名性DigiCash的e-CashUSC-ISI的NetCashMondex及VISA的储值卡7/3/200317Internet安全协议及标准电子商务安全(续六)业务-业务型电子商务电子数据交换(EDI)传统：专用增值网络Internet：安全信道安全Web、安全电子邮件、VPN等分布式对象技术CORBA安全机制尚不成熟DCE/RPC、Kerberos用于身份认证IIOP用于不同在TCP/IP网络上不同ORB之间互操作安全隧道(SSL、VPN)7/3/200318Internet安全协议及标准电子商务安全(续七)业务-业务型电子商务(续)分布式对象技术(续)DCOMMicrosoftSSPI实现通用网络认证和数据传输加密SSPI支持Kerberos、NTLM、SSL、DPAimpersonate：使对象工作在客户安全环境下单一实现，不需使用同GIOP类似的ORB桥基于Java的RMI完全定义在Java上，以Java为中心安全隧道、“砂箱”模型7/3/200319Internet安全协议及标准其他有意思的话题无线网络安全问题(WirelessSecurity)XML技术与安全关于可信任计算的讨论系统芯片(SoC)技术与安全问题……7/3/200320Internet安全协议及标准安全协疮议基础7/3解/20阀03Agen结da何谓协君议Base奥64编码加密算怜法同明的文相关乏的几个油问题一个简单具协议的分暖析7/3烤/20削0322Inte颠rnet风安全协议芽及标准何谓协仿议Prot精ocol立(协议掠,规程,秋规约;[狗议定])Ast肝anda棒rdp作roce继dure居for泳reg明ulat尽ing造data柴tra另nsmi涝ssio摧nbe啄twee处nco抄mput剖ers为管理调赞整计算机前间数据交渠流的标准牲程序Ase万tof挡sem炒anti汪can碍dsy醒ntac巩tic哥rule袭sth渔atd稿eter扭mine盖sth荡ebe绪havi赌oro叔ffu物ncti亦onal图uni文tsi京nac钳hiev查ing创comm最unic陶atio仁n一组语义革和语法规诵则,决定每功能部件通在通信时腿如何进行锤工作Asp脏ecif危icat余ion义for鞠the胳form究ata距ndr竞elat拘ive捎timi迅ngo回fin碎form洞atio嗽nex银chan插ged剂betw割een载comm拘unic准atin联gpa坟rtie侧s通信双胸方之间励交换信替息的格私式和相慕对定时勿［同步彼］的一敬种规范The津set晚ofr食ules企gov礼erni桶ngt贝heo狠pera潮tion哀of轮func奸tion死alu娘nits冶of阶aco喇mmun委icat背ion夺syst幕emt馆hat纹must声be吧foll防owed孩if惹comm凤unic哄atio安nis饥to母bea静chie亦ved管理某一齐通信系统螺的功能部坐件操作的运一组规则残,如果要次实现通信暑,必须遵宅循这些规津则7/3册/20粒0323Int掘ern扁et安舍全协议屿及标准安全协礼议安全协议夹首先是协倡议标准程序语义、楚语法规埋则双边或杜多边数据交佣换安全协议破是协议中与蕉安全相关绘的部分？同安全厌相关的军协议？安全协议摇的基石通信技蒸术加密、摘坛要计算、森公开密钥彩加密和数富字签名技养术的组合带应用加密原恒语、安戒全服务销、安全产机制7/3肾/20狂0324Int乌ern参et安挠全协议漠及标准Base盐64编码7/3/旨200325Inte匙rnet嘉安全协议供及标准Base株64编码(续)Bas财e64容编码使杨消息长汇度增加匆了约3床3%7/3蚊/20践0326Inte掠rnet胸安全协议依及标准分组密码展的工作模钞式7/3/救200327Int吧ern花et安借全协议损及标准分组密码钉的明文填替充最流行录的做法繁：确定待填匙充的字节燃数并在数麦据的最后帐字节后重淡复该值当不需跑要填充锈时怎么尽办？7/3异/20校0328Int染ern玻et安池全协议伙及标准RSA算烟法应用中致的问题RSA形算法：选择两饲个大素鸭数p和q，通常呜要求每跌个均大户于10100。计算n＝pq和z＝(p－1)等(q－1)丢。选择一增与z互质的连数、令芬其为e。找到一个d满足e×d＝1(天modz)。公钥：(e,n)妇私钥：狐(d,n)加密M：计算C＝Me(mo芹dn)解密C：计算M＝Cd(mo茶dn)＝Med(modn)=M7/3/坚200329Int进ern迷et安巷全协议竿及标准RSA算识法应用中某的问题(续一倾)M是一江个数，应真正的裁数据D泼ata撤是二进酸制字节刘串，二领者如何甘对应？需要建立陶从Dat孩a到M的谎编码规则经该规则锯转换后得扬到的M大称小应和n赢相当，但乎不能比n转更大，W逆hy?转换规粪则在P诸KCS局#1中拴有定义7/3疮/20薪0330Int绣ern访et安帽全协议则及标准RSA虾算法应稀用中的怕问题(续二)PKC加S#1Dat造ac梨onv奥ers蒸ion匆pr呼imi供tiv尿esI2O搬SP(最x,l垃)OSP2闷I(X)En/D底ecry佳ptio挽npr户imit痰ivesRSAE真P((n吗,e),蒜m)RSAD串P(K,写c)K:(硬n,d)他or冷(p,率q,d线P,d单Q,q膀Inv)Sig席nat娱ure遥/ve颠rif丽ica顷tio到np盛rim脸iti筒vesRSAS峰P1(K喉,m)RSAV岗P1((旦n,e)皮,s)Oth醋er…7/3样/20零0331Int翁ern球et安摆全协议免及标准RSA算厕法应用中捐的问题(续三)PKC俊S#1游编码方狐法填充模式00|湾|Typ腥e||箩PS|辛|00阁||DPS至少颂应包含8列个字节类型1变：用于签名M=00笔||01||谊PS||廊00||茅DPS为由编0xFF剑组成的填虑充数据类型2乐：用于加密M=0柱0||02|胶|PS黎||0植0||债DEME-脑PKCS衫1-v1挽_5:否PKCS似1v2.周0以前，纳PS为不辨含0的伪饱随机数序棚列100筛万次消叨息攻击钟，可计胖算出私俊钥EME渡-OA历EP:浙PK栽CS1嚼v2.再0起，劳加密时蚁使用O刃AEP喝填充7/3/暖200332Int摇ern川et安矩全协议盛及标准RSA公算法应伴用中的黑问题(续四盖)OAEP7/3/哪200333Int错ern朗et安线全协议廉及标准RSA算俘法应用中蒙的问题(续五趋)签名方匆案RSA淘签名不栏仅仅是盼对消息桶摘要进寸行加密而是加惊密一个茎DER部(BE币R,v夏1.5浊中)编宵码的D芹ige伞stI糊nfo娇结构Dige故stIn茧fo:东:=S惨EQUE裳NCE咱{dig内est揪Alg草ori捐thm惩Di闪ges哲tAl述gor赢ith裙mId绳ent蓄ifi话er,dige能st矛Dige偏st}Dig郊est址Alg轮ori颈thm钢Ide巧nti盼fie锈r:劣:=潜Alg避ori怪thm拥Ide镜nti盟fie伟rDige拳st:往:=O宅CTET匀STR呜ING想一想则，为什毫么？7/3/耻200334Int薄ern谱et安脆全协议婚及标准RSA著算法应啊用中的撇问题(续六)大整数浊运算多数加密斑算法库都向包含了open虹sslCry晓pto及++RSAR百EFgmp7/3/宅200335Int差ern铜et安距全协议每及标准安全消处息系统滑-发送府方待续7/3/毙200336Inte宣rnet菌安全协议狠及标准Cha惠nge垄Log2003番.7.3输v1野.1b冒yT.店L.Yo担ng增加”杏大整数狗运算”移走部分初内容到第三四课中200第3.7街.3铸v趋1.0邻B萄yT校.L.貌Yon次g增加“怨安全协省议基础蜂”一节增加SE熔T协议过续程图示2003葵.7.1府v0科.5B拒yT.王L.Yo皱ngIni税tia荡lE坏sta简bli饥sh他fro职mt麦he铁ori猪gin螺al嘉Les陷son邀27/3垂/20赖0337Inte太rnet馋安全协议叛及标准9、静夜页四无邻特，荒居片旧业贫己。。4月-2喂34月-圈23Wed戏nes旁day棉,A鼠pri恢l2响6,泻202辽310、雨中漠黄叶树趣，灯下马白头人疗。。01:董17:稠5701:锄17:律5701:1超74/2达6/2闻023和1:汇17:音57皱AM11、以我垄独沈久娃，愧君徒相见频肉。。4月-2汽301:屡17:贿5701:岩17Apr郊-2326-A欢pr-2箱312、故人乎江海别辱，几度度隔山川跑。。01:都17:椅5701:1缝7:5701:1消7Wedn吵esda教y,A仰pril厨26,谷202够313、乍见走翻疑梦挽，相悲插各问年倍。。4月-偶234月-2债301:剧17:狡5701:1疯7:57Apr喜il猴26,春20忙2314、他乡生症白发，旧迅国见青山肉。。26四逃月20固231:1鸣7:5割7上厅午01:1犹7:574月-2谢315、比不踩了得就况不比，旺得不到场的就不语要。。。四月胜231:1鲁7上亡午4月-疫2301:1慰7Apr军il秋26,饰20趟2316、行动搭出成果考，工作辨出财富渔。。2023舌/4/2脸61:申17:5丹701:篮17:闭5726A舱pril猾202贪317、做前欺，能够吊环视四俘周；做爹时，你掠只能或舍者最好兰沿着以法脚为起告点的射牢线向前雷。。1:17挠:57蜂上午1:17球上午01:1染7:574月-芽239、没有失干败，只有仗暂时停止愈成功！。4月-询234月-麻23Wedn独esda脏y,A董pril稳26,货202勇310、很多事惕情努力了赔未必有结折果，但是住不努力却齐什么改变择也没有。帅。01:僚17:卡5701:1专7:5701:1出74/26怀/202酿31:狐17:5窜7AM11、成功氧就是日灵复一日肢那一点伙点小小燥努力的稻积累。挣。4月-2禽301:1帮7:5701:劣17Apr-党2326-谦Apr泛-2312、世间杜成事，靠不求其魔绝对圆桑满，留泊一份不却足，可垮得无限鸽完美。掏。01:1虎7:5701:1贞7:5701:粥17Wedn辰esda胃y,A们pril件26,立202起313、不知香蹈积寺，数捡里入云峰乞。。4月-陷234月-2普301:罗17:沿5701:壁17:刺57Apr目il蓄26,途20于2314、意志坏坚强的草人能把领世界放衣在手中桂像泥块眨一样任驾意揉捏挽。26四迅月20滋231:1拳7:5并7上绍午01:晃17:演574月-2日315、楚塞三跌湘接，荆西门九派通遇。。。四月2亦31:17秤上午4月-确2301:粪17Apri太l26敏,20弄2316、少年耕十五二律十时，兽步行夺虫得胡马置骑。。2023狂/4/2睁61:血17:5锣701:1肉7:5726砌Apr址il砍202鼠317、空山新浪雨后，天庸气晚来秋明。。1:1挤7:5近7上锈午1:17葬上午01:1行7:574月-2年39、杨柳散丽和风，青唤山澹吾虑火。。4月-2醉34月-雁23Wedn接esda吨y,A自pril装26,责202据310、阅读一探切好书如扭同和过去嫂