[精选]04 Internet安全协议与标准cdh.pptx

Internet安全协议与标准安全协议与标准第第4课课唐礼勇唐礼勇 博士博士7/3/2003Internet安全协议及标准安全协议及标准之之安全安全网络安全7/3/2003网络安全网络安全Agenda通信安全应用程序安全分发Mobile codeFirewall电子商务其他话题7/3/20033Internet安全协议及标准安全协议及标准通信安全通信安全OSI七层协议与信息安全物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层OSIOSI 协议层协议层加密加密/安全技术安全技术安全协议安全协议信道加密信道加密PPTP/L2TPPPTP/L2TPIPIPS SececSSL/TLSSSL/TLS信源加密信源加密SOCKSSOCKS应用相关应用相关应用程序网关应用程序网关/保密网关保密网关静态包过滤静态包过滤动态包过滤动态包过滤7/3/20034Internet安全协议及标准安全协议及标准通信安全通信安全(续一续一)三类加密安全体系7/3/20035Internet安全协议及标准安全协议及标准通信安全通信安全(续二续二)应用层安全性安全HTTP(S-HTTP)对HTTP进行的扩展，描述了一种使用标准加密工具来传送HTTP数据的机制是一个非常完整的实现，几乎包括了在一个很长的时间内可能需要的安全HTTP访问应该具有的所有特征支持少，已基本消失PGP、S/MIMES/MIME、PGP都是针对电子邮件进行的安全协议PGP还可用于文件加密及签名SSH用于安全的远程登录其他问题7/3/20036Internet安全协议及标准安全协议及标准通信安全通信安全(续三续三)传输层安全性SSL(安全套接字层，Secure Socket Layer)、TLS工作在传输层，独立于上层应用，给应用提供一个安全的点点通信隧道由协商过程和通信过程组成，协商过程用于确定加密机制、加密算法、交换会话密钥服务器认证以及可选的客户端认证，通信过程秘密传送上层数据。理论上讲，它可以支持任何应用层协议7/3/20037Internet安全协议及标准安全协议及标准通信安全通信安全(续四续四)网络层安全性：IPSec协议族7/3/20038Internet安全协议及标准安全协议及标准通信安全通信安全(续五续五)网络层安全性：IPSec协议族IP认证消息头(AH)协议IP封装安全协议(ESP)IKE(ISKAMP/Oakley)7/3/20039Internet安全协议及标准安全协议及标准应用程序安全分发应用程序安全分发“砂箱”(Sandbox)模型：囚牢模型应用程序只能访问到一个受限的、经过严格检查的系统资源集合一种积极防御策略Unix chroot机制Java安全机制“代码签名”模型代码在进行发布之前利用公开密钥机制进行签名，而网络用户在下载之前先检查签名是否真实再决定是否下载。可防止代码被篡改，但不能防止代码自身问题ActiveX、Java7/3/200310Internet安全协议及标准安全协议及标准防火墙防火墙(Firewall)用于隔离内部网与外部不可信网络包过滤(Packet filter)“状态检查”(Stateful)型包过滤电路型(Circuit)网关应用程序(Application)代理(Proxy)NAT(Network Address Translate)VPN(Virtual Private Network)7/3/200311Internet安全协议及标准安全协议及标准电子商务安全电子商务安全支付协议基于卡的支付协议明文发送信用卡号码经保密路径发送信用卡号码通过第三方进行交易安全支付协议SET：双签名(dual signature)iKPCyberCashLow and et al.,1994匿名信用卡支付协议7/3/200312Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续一续一)支付协议(SET)7/3/200313Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续二续二)支付协议(SET-Dual Signature)7/3/200314Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续三续三)支付协议(SET Payment Processing 持卡人商家)7/3/200315Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续四续四)支付协议(SET Payment Processing 商家验证持卡人)7/3/200316Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续五续五)支付协议(续)基于支票的支付协议：借-贷模型，维护账目的绝对平衡借-贷模型，支付服务器维护账目的绝对平衡。FSTC的eCheckNetBill系统：主要是一个研究系统，定义的是信息商品的交换NetCheque系统NetChex基于现金的支付协议：使用盲签名技术，保证匿名性DigiCash的e-CashUSC-ISI的NetCashMondex及VISA的储值卡7/3/200317Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续六续六)业务-业务型电子商务电子数据交换(EDI)传统：专用增值网络Internet：安全信道安全Web、安全电子邮件、VPN等分布式对象技术CORBA安全机制尚不成熟DCE/RPC、Kerberos用于身份认证IIOP用于不同在TCP/IP网络上不同ORB之间互操作安全隧道(SSL、VPN)7/3/200318Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续七续七)业务-业务型电子商务(续)分布式对象技术(续)DCOMMicrosoftSSPI实现通用网络认证和数据传输加密SSPI支持Kerberos、NTLM、SSL、DPAimpersonate：使对象工作在客户安全环境下单一实现，不需使用同GIOP类似的ORB桥基于Java的RMI完全定义在Java上，以Java为中心安全隧道、“砂箱”模型7/3/200319Internet安全协议及标准安全协议及标准其他有意思的话题其他有意思的话题无线网络安全问题(Wireless Security)XML技术与安全关于可信任计算的讨论系统芯片(SoC)技术与安全问题7/3/200320Internet安全协议及标准安全协议及标准安全协议基础安全协议基础7/3/2003Agenda何谓协议Base64编码加密算法同明文相关的几个问题一个简单协议的分析7/3/200322Internet安全协议及标准安全协议及标准何谓协议何谓协议Protocol(协议,规程,规约;议定)A standard procedure for regulating data transmission between computers为管理调整计算机间数据交流的标准程序为管理调整计算机间数据交流的标准程序A set of semantic and syntactic rules that determines the behavior of functional units in achieving communication一组语义和语法规则一组语义和语法规则,决定功能部件在通信时如何进行工作决定功能部件在通信时如何进行工作A specification for the format and relative timing of information exchanged between communicating parties通信双方之间交换信息的格式和相对定时同步的一种规范通信双方之间交换信息的格式和相对定时同步的一种规范The set of rules governing the operation of functional units of a communication system that must be followed if communication is to be achieved管理某一通信系统的功能部件操作的一组规则管理某一通信系统的功能部件操作的一组规则,如果要实现通信如果要实现通信,必须必须遵循这些规则遵循这些规则7/3/200323Internet安全协议及标准安全协议及标准安全协议安全协议安全协议首先是协议标准程序语义、语法规则双边或多边数据交换安全协议是协议中与安全相关的部分？同安全相关的协议？安全协议的基石通信技术加密、摘要计算、公开密钥加密和数字签名技术的组合应用加密原语、安全服务、安全机制7/3/200324Internet安全协议及标准安全协议及标准Base64编码编码7/3/200325Internet安全协议及标准安全协议及标准Base64编码编码(续续)Base64编码使消息长度增加了约33%7/3/200326Internet安全协议及标准安全协议及标准分组密码的工作模式分组密码的工作模式7/3/200327Internet安全协议及标准安全协议及标准分组密码的明文填充分组密码的明文填充最流行的做法：确定待填充的字节数并在数据的最后字节后重复该值当不需要填充时怎么办？7/3/200328Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题RSA算法：选择两个大素数p和q，通常要求每个均大于10100。计算npq和z(p1)(q1)。选择一与z互质的数、令其为e。找到一个d满足ed1(mod z)。公钥：(e,n)私钥：(d,n)加密M：计算CMe(mod n)解密C：计算MCd(mod n)Med(mod n)=M7/3/200329Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续一续一)M是一个数，真正的数据Data是二进制字节串，二者如何对应？需要建立从Data到M的编码规则经该规则转换后得到的M大小应和n相当，但不能比n更大，Why?转换规则在PKCS#1中有定义7/3/200330Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续二续二)PKCS#1Data conversion primitivesI2OSP(x,l)OSP2I(X)En/Decryption primitivesRSAEP(n,e),m)RSADP(K,c)K:(n,d)or(p,q,dP,dQ,qInv)Signature/verification primitivesRSASP1(K,m)RSAVP1(n,e),s)Other7/3/200331Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续三续三)PKCS#1编码方法填充模式00|Type|PS|00|DPS至少应包含8个字节类型1：用于签名签名M=00|01|PS|00|DPS为由0 xFF组成的填充数据类型2：用于加密加密M=00|02|PS|00|DEME-PKCS1-v1_5:PKCS1v2.0以前，PS为不含0的伪随机数序列100万次消息攻击，可计算出私钥EME-OAEP:PKCS1v2.0起，加密时使用OAEP填充7/3/200332Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续四续四)OAEP7/3/200333Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续五续五)签名方案RSA签名不仅仅是对消息摘要进行加密而是加密一个DER(BER,v1.5中)编码的DigestInfo结构DigestInfo:=SEQUENCE digestAlgorithmDigestAlgorithmIdentifier,digestDigestDigestAlgorithmIdentifier:=AlgorithmIdentifierDigest:=OCTET STRING想一想，为什么？7/3/200334Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续六续六)大整数运算多数加密算法库都包含了opensslCrypto+RSAREFgmp7/3/200335Internet安全协议及标准安全协议及标准安全消息系统安全消息系统-发送方发送方待续7/3/200336Internet安全协议及标准安全协议及标准ChangeLog2003.7.3 v1.1 by T.L.Yong增加”大整数运算”移走部分内容到第四课中2003.7.3 v1.0 By T.L.Yong增加“安全协议基础”一节增加SET协议过程图示2003.7.1 v0.5 By T.L.YongInitial Establish from the original Lesson 27/3/200337Internet安全协议及标准安全协议及标准9、静夜四无邻，荒居旧业贫。5月-235月-23Monday,May 15,202310、雨中黄叶树，灯下白头人。09:33:0109:33:0109:335/15/2023 9:33:01 AM11、以我独沈久，愧君相见频。5月-2309:33:0109:33May-2315-May-2312、故人江海别，几度隔山川。09:33:0109:33:0109:33Monday,May 15,202313、乍见翻疑梦，相悲各问年。5月-235月-2309:33:0109:33:01May 15,202314、他乡生白发，旧国见青山。15 五月 20239:33:01 上午09:33:015月-2315、比不了得就不比，得不到的就不要。五月 239:33 上午5月-2309:33May 15,202316、行动出成果，工作出财富。2023/5/15 9:33:0109:33:0115 May 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。9:33:01 上午9:33 上午09:33:015月-239、没有失败，只有暂时停止成功！。5月-235月-23Monday,May 15,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。09:33:0109:33:0109:335/15/2023 9:33:01 AM11、成功就是日复一日那一点点小小努力的积累。5月-2309:33:0109:33May-2315-May-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。09:33:0109:33:0109:33Monday,May 15,202313、不知香积寺，数里入云峰。5月-235月-2309:33:0109:33:01May 15,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 20239:33:01 上午09:33:015月-2315、楚塞三湘接，荆门九派通。五月 239:33 上午5月-2309:33May 15,202316、少年十五二十时，步行夺得胡马骑。2023/5/15 9:33:0109:33:0115 May 202317、空山新雨后，天气晚来秋。9:33:01 上午9:33 上午09:33:015月-239、杨柳散和风，青山澹吾虑。5月-235月-23Monday,May 15,202310、阅读一切好书如同和过去最杰出的人谈话。09:33:0109:33:0109:335/15/2023 9:33:01 AM11、越是没有本领的就越加自命不凡。5月-2309:33:0109:33May-2315-May-2312、越是无能的人，越喜欢挑剔别人的错儿。09:33:0109:33:0109:33Monday,May 15,202313、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2309:33:0109:33:01May 15,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 20239:33:01 上午09:33:015月-2315、最具挑战性的挑战莫过于提升自我。五月 239:33 上午5月-2309:33May 15,202316、业余生活要有意义，不要越轨。2023/5/15 9:33:0109:33:0115 May 202317、一个人即使已登上顶峰，也仍要自强不息。9:33:01 上午9:33 上午09:33:015月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉演讲完毕，谢谢观看！