信息安全导论（以问题为导向） 课件 08 Web与电子商务安全

1Web与电子商务安全Web&ECSecurity教学视频、国家级一流在线课程链接：/course/FUDAN-12063578112内容提要信息安全的学科内容Web和电子商务安全问题提出安全套接字协议SSL与传输层安全协议TLS安全电子交易(SET)3内容提要1、信息安全的学科内容4回顾和总结密码学基础安全协议（PKI，身份认证协议）网络安全系统安全应用安全5信息安全涵盖的学科内容涉及多方面的理论和应用知识，除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。狭义上，仅从从自然科学的角度研究网络隐私与安全，则其各部分研究内容及相互关系如图抗抵赖6回顾和总结保密性Confidentiality,机密性完整性Integrity可用性Availability可认证Authentication抗抵赖Non-repudiation安全服务/安全需求7内容提要Web与电子商务安全问题提出Web、电子商务的定义威胁有哪些（What）哪里会有威胁（Where）8内容提要Web和电子商务安全问题提出Web,EC定义威胁有哪些（What）哪里会有威胁（Where）安全套接字协议SSL安全电子交易

(SET)互联网=WorldWideWeb(WWW)?1989年CERN的TimBerners-Lee为了方便物理学家共享信息而发明了WWW（超文本）http://info.cern.ch/Thewebsiteoftheworld'sfirst-everwebserver图形化浏览器的出现使WWW迅速普及-（杀手应用，killer）Mosaic

->NetscapeNavigator->IE,Firefox,Chrome,…被政府、企业、个人广泛使用10Web系统脆弱性讨论WEB是外网可见的复杂的软件会隐藏漏洞Web站点容易配置和管理可被用作跳板发起对内网的攻击用户没有意识到威胁存在11Web安全威胁有哪些原生的基于Http协议的Web应用面临多种威胁考虑网络通信过程：浏览器Web服务器保密性

http,etc.plaintext完整性可用性可认证结论：需要安全机制12威胁在哪里（Where）网络上：网络窃听，报文篡改服务端：恶意的钓鱼站点或安全性弱的站点钓鱼，使用相同口令客户端：恶意软件Spyware、TrojanHorse等BrowserServerpasswordcookie13网络钓鱼PhishingBankAFakeSitepwdApwdA14使用相同密码,CommonPassword安全性弱的网站B容易泄露用户的口令获的用户口令后尝试用同样的用户名和口令进入安全性高的网站（BankA）BankAlowsecuritysitehighsecuritysitepwdApwdB=pwdASiteB15电子商务在Web应用之前早在1839年，当电报出现，电子商务的讨论如电子资金清算系统(基于金融专线传输)EFT，Electronicdatainterchange(EDI)等

这里主要考虑基于Internet（公众网络）的商务活动16EC的发展历史1990后，Internet及其上商务的发展带来了电子商务新概念Internet上的Web，是电子商务发展的一个转折点WEB使得商务活动的一种便宜方便、快捷多种多样的经济活动17Web&电子商务,本章解决安全问题保密性完整性可用性（抗拒绝服务攻击）可认证隐私保护Privacy18内容提要Web和电子商务安全问题提出身份认证方法安全套接字协议SSL安全电子交易

(SET)19内容提要3、安全套接字协议SSL与传输层安全协议TLS3.1

SSL/TLS协议提供的安全服务20SSLandTLS安全套接字协议SSL(SecureSocketLayer)协议最初由网景(Netscape)公司开发，有V1.0，V2.0，V3.0三个版本后来成为Internet标准，名称改为TLS(TransportLayerSecurity)，即传输层安全协议TLSworkinggroupinIETFTLS第一版V1.0(1999年)可以认为是SSLv3.121在TCP/IP协议分层中的位置1、安全机制在那一层实现？答：在传输层、网络、应用层分别有相应的实现方案2、在不同的网络层实现安全机制，有什么区别？SSL/TLS协议的安全服务协议的设计目标为两个通讯个体之间提供保密性,数据完整性,身份认证互操作性、可扩展性、相对效率SSL/TLS协议的安全服务协议的设计目标为两个通讯个体之间提供保密性,数据完整性,身份认证互操作性、可扩展性、相对效率24Anexampletest/index.jsp25SSL协议体系结构26内容提要3、安全套接字协议SSL与传输层安全协议TLS3.2

SSL记录协议27SSL/TLS的子协议协议分为两层底层：ssl记录协议上层：ssl握手协议、ssl密码变化协议、ssl警告协议ssl记录协议建立在可靠的传输协议(如TCP)之上它提供连接安全性，有两个特点保密性，使用了对称加密算法完整性，使用MAC算法用来封装高层的协议ssl握手协议-最复杂客户和服务器之间相互认证协商加密算法和密钥它提供连接安全性，有三个特点身份认证，至少对一方实现认证，也可以是双向认证协商得到的共享密钥是安全的，中间人不能够知道协商过程是可靠的28SSL工作流程先握手单向身份认证，双向认证（可选）协商SSL会话的密钥等参数SSL记录协议加密会话数据提供完整性、保密性支持什么是会话？Sessionidentifier、Peercertificate、Compressionmethod、……29SSL记录协议封装214B30SSL记录协议报文struct{ContentTypetype;——8位，上层协议类型

ProtocolVersionversion;——16位，主次版本

uint16length;——加密后数据的长度，

不超过214+2048字节

EncryptedDatafragment;——密文数据

}SSLCiphertext;31SSL记录协议的载荷(Payload)32内容提要3、安全套接字协议SSL与传输层安全协议TLS3.3

SSL握手协议33握手协议ProtocolSSL协议最复杂的部分在应用数据传输之前最先开始工作34交换Hello消息，对于算法、交换随机值等协商一致SSL握手协议的流程client_hello消息，包括以下参数：

版本、随机数(32位时间戳+28字节随机序列)、会话ID、客户支持的密码算法列表(CipherSuite)、客户支持的压缩方法列表35内容提要Web和电子商务安全问题提出身份认证方法安全套接字协议SSL安全电子交易

(SET)36内容提要4、安全电子交易

(SET)4.1

SET概述37SecureElectronicTransactionsSET

(SecureElectronicTransactions)开放的安全电子交易安全规范保护Internet上的信用卡支付交易由Mastercard,Visa发起参与者包括:MasterCard,Visa,IBM,Microsoft,Netscape,RSA,andVerisign不是支付系统一系列安全协议和规范格式38SET服务提供安全的交易通道通信的保密性和完整性基于X.509证书提供交易方之间的信任基于公钥密码实现身份认证强调隐私保护privacy.byrestrictedinfotothosewhoneedit39SET参与方40客户和商家交易的10个基本步骤Thecustomeropensanaccount.Thecustomerreceivesacertificate.Merchantshavetheirowncertificates.Thecustomerplacesanorder.Themerchantisverified.Theorderandpaymentaresent.Themerchantrequestpaymentauthorization.Themerchantconfirmtheorder.Themerchantprovidesthegoodsorservice.Themerchantrequestspayments.注意：SET是在线信用卡交易，不是第三方支付41内容提要4、安全电子交易

(SET)4.2隐私保护－双重数字签名42双重数字签名(DualSignature)43支付过程(第6步对应的报文)

CardholdersendsPurchas