Internet安全协议课件.pptx

《Internet安全协议课件.pptx》由会员分享，可在线阅读，更多相关《Internet安全协议课件.pptx（93页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、公司公司徽标徽标 第六讲第六讲 Internet Internet 主讲:Email:电话:88195226静态WEB页面Web服务器Web浏览器HTTP请求请求HTTP响应响应GET/HTTP/1.1Accept:image/gifAcept:image/jepgHTTP/1.1 200 OKDate:Tue,19-08-07 15:48:10 GMTServer:MyServerContent-length:3010(实际图像数据)动态WEB页面Web服务器Web浏览器1、HTTP请求请求4、HTTP响应响应3、程序运行并、程序运行并生成生成HTML输输出出2、激活一个应用、激活一个应用程

2、序（如程序（如CGI）以）以响应响应HTTP请求请求动态WEB页面Web服务器Web浏览器1、HTTP请求请求4、HTTP响应响应3、程序运行并、程序运行并生成生成HTML输输出出2、激活一个应用、激活一个应用程序（如程序（如CGI）以）以响应响应HTTP请求请求应用程序包括：CGI，ASP（Active Server Pages),Java小程序和Java服务器页面（JSP，Java Server Pages)活动WEB页面Web服务器Web浏览器1、HTTP请求请求4、HTTP响应响应1、ActiveX控件（限制小，不安全）2、Java小程序（限制多，安全性好一些）3、都可以通过数字签名来

3、验证包含1、HTML页面2、各种小程序沙漏计时器形状的TCP/IP协议族 HTTPSMTPDNSRTPTCPUDPIP网际层网络接口层运输层应用层网络接口 1网络接口 2网络接口 3Everything over IP IP 可为各式各样的应用程序提供服务IP over Everything IP 可应用到各式各样的网络上TCP/IP 四层协议的表示方法举例 应用层运输层网际层网络接口层主机A主机B路由器网络 2网络 1应用层运输层网际层网络接口层网际层网络接口层4321网络 1网络 29计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2应用进程数据先传送

4、到应用层加上应用层首部，成为应用层 PDU10计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2应用层 PDU 再传送到运输层加上运输层首部，成为运输层报文11计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2运输层报文再传送到网络层加上网络层首部，成为 IP 数据报（或分组）12计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2IP 数据报再传送到数据链路层加上链路层首部和尾部，成为数据链路层帧13计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算

5、机 2数据链路层帧再传送到物理层最下面的物理层把比特流传送到物理媒体14计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2数据链路层剥去帧首部和帧尾部取出数据部分，上交给网络层15计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2网络层剥去首部，取出数据部分上交给运输层16计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2运输层剥去首部，取出数据部分上交给应用层17计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2应用层剥去首部，取出应用程序数

6、据上交给应用进程18计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2我收到了 AP1 发来的应用程序数据！19计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2应 用 程 序 数 据应用层首部H510100110100101 比 特 流 110101110101注意观察加入或剥去首部（尾部）的层次应 用 程 序 数 据H5应 用 程 序 数 据H4H5应 用 程 序 数 据H3H4H5应 用 程 序 数 据H4运输层首部H3网络层首部H2链路层首部T2链路层尾部20计算机 1 向计算机 2 发送数据 54321543

7、21计算机 1AP2AP1计算机 210100110100101 比 特 流 110101110101计算机 2 的物理层收到比特流后交给数据链路层H2T2H3H4H5应 用 程 序 数 据21H3H4H5应 用 程 序 数 据计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2数据链路层剥去帧首部和帧尾部后把帧的数据部分交给网络层H2T2H3H4H5应 用 程 序 数 据22H4H5应 用 程 序 数 据H3H4H5应 用 程 序 数 据计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2网络层剥去分组首部后把分组的数据

8、部分交给运输层23H5应 用 程 序 数 据H4H5应 用 程 序 数 据计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2运输层剥去报文首部后把报文的数据部分交给应用层24应 用 程 序 数 据H5应 用 程 序 数 据计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2应用层剥去应用层 PDU 首部后把应用程序数据交给应用进程25计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2AP1计算机 2我收到了 AP1 发来的应用程序数据！安全套接层SSL：Secure Socket layer“安全套

9、接层协议层”，它是网景（Netscape）公司提出的基于 WEB 应用的安全协议。SSL 协议指定了一种在应用程序协议（如 HTTP、Telenet、NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL在TCP/IP协议中的地位数据链路层5 应用层4 运输层3 网络层2 数据链路层1 物理层数据链路层5 应用层4 运输层3 网络层2 数据链路层1 物理层4.5 SSL层SSL工作原理SSL包括三个子协议：1、握手协议（Handshake Protocol)2、记录协议（Record

10、 Protocol)3、报警协议（Alert protocol)握手协议客户机和服务器连接通信时使用的第一个协议类似于Alice与Bob要先握手（说Hello)，然后才开始通话。类型长度内容1字节3字节1N字节消息类型消息类型消息类型参数参数Hello request(握手请求）无Client hello(客户机握手）略Server hello(服务器握手）略Certificate(证书）略Server key exchange（服务器密钥交换）略Certificate request(证书请求）略Server hello done(服务器握手完成）无Certificate verify(证书

11、验证）略Client key exchange(客户机密钥交换）略Finished（完成）略握手过程简述Web服务器Web浏览器1、建设安全能力2、服务器鉴别和密钥交换3、客户机鉴别和密钥交换4、完成建立安全能力Web服务器Web浏览器1、Client Hello2、Server Hello版本信息；Random；会话ID；加密套（加密算法清单）；压缩方法服务器鉴别与密钥交换Web服务器Web浏览器1、证书2、服务器密钥交换3、证书请求4、服务器握手完成第一步：发送自己的证书和到根CA的整个链发给客户机第二步：在没有证书情况下发送自己的公钥第三步：请求客户机发送自己的证书过来客户机鉴别与密钥交

12、换Web服务器Web浏览器第一步：服务器请求的情况下，发送自己的证书和到根CA的整个链发给服务器。如果自己没有，就发No Certificate消息1、证书2、客户机密钥交换3、证书验证完成Web服务器Web浏览器计算主秘密（master secret)，用于生成密钥和秘密，用于加密和MAC计算。涉及到MD5算法。1、改变加密规范2、完成3、改变加密规范4、完成第二个协议：记录协议保密性：使用握手协议定义的秘密密钥实现。完整性：握手协议还定义了共享的秘密密钥（MAC消息鉴别码），用于消息的完整性。第三个协议：警报协议客户机和服务器发现错误时，向对方发一个警报信息。如果是致命错误，则双方立即关闭

13、SSL连接。关闭与恢复SSL连接通信结束前，双方都要告诉对方准备结束连接。发送关闭通知使用非对称密钥加密，最好能复用或恢复前面的SSL连接，而不要启用新连接。当然证书不能过期安全超文本传输协议SHTTP：Secure Hyper Text Transfer Protocol注意：用SSL发送HTTP请求是HTTPS我们这里是SHTTPSHTTPSHTTP提供的服务和SSL提供的类似，SSL取得了巨大的成功，但SHTTP却没有。两者在TCP/IP位置数据链路层5 应用层SHTTP4 运输层3 网络层2 数据链路层1 物理层4.5 SSL层时间戳协议TSP：Time Stamping Protoc

14、ol证明某些数据在特定时间存在。TSP现在正由PKIX工作组开发要解决的问题是什么？TSP的目的PKI下用户签名后可能否认自己的数字签名理由是：私钥被人破了。利用TSP协议可以证明：某个电子文档是在某个特定日期和时间之前签发的。TSP工作步骤1、计算消息摘要TSA：时间戳机构客户机原始消息消息摘要算法消息摘要TSP工作步骤2、请求时间戳TSA：时间戳机构客户机消息摘要时间戳请求TSP工作步骤3、时间戳响应TSA：时间戳机构客户机时间戳响应TSA要使用信任时间源；要对消息摘要进行时间戳；时间戳中不对请求实体客户机包括任何标识。安全电子事务规范SET：Secure Electronic Trans

15、action开放的加密与安全规范，用于保护Internet上信用卡事务。1996年 MasterCard和Visa共同完成，联合了IBM，Microsoft,Netscape,RSA,Terisa与Verisign等公司。1998年推出了第一代SET兼容产品SET的起源MasterCard和Visa公司认识到在电子商务支付过程中，软件公司提供的标准不兼容。一边是Microsoft的标准，一边是IBM的标准他们决定建立一个新的标准。注意：SET不是支付系统，而是一组安全协议和格式。SET的作用使用户可以安全的在Internet上采用现有信用卡支付基础结构。SET服务包括：1、在参与电子商务事务的

16、各方之间提供安全的通信信道。2、用数字证书提供鉴别。3、保证保密性。SET非常复杂，有971页，三册。SET的参与者持卡人：MasterCard Visa卡商家：签发人：银行收款人：财务机构（如中国的银联）付款网关：可由收款人承担证书机构（CA）SET过程1、客户开设帐号2、客户接收证书3、商家接收证书4、客户下订单5、验证商家6、发送订单与付款细节7、商家请求付款授权8、付款网关授权付款9、商家确认订单10、商家提供商品或服务11、商家请求付款SET如何达到目的问题：客户要向商家发送信用卡细节1、信用卡以明文形式发送，可能被截获2、商家得到后，也可能滥用解决办法1、SSL解决第一个问题2、数

17、字信封的概念解决第二个问题。如何防止商家滥用1、SET软件在持卡人计算机上准备PI（付款信息），主要包括持卡人的信用卡细节和任何Web付款系统中一样。2、SET的特别之处是持卡人的计算机生成一次性会话密钥3、持卡人的计算机利用这个一次性会话密钥加密付款信息4、然后持卡人的计算机用付款网关的公钥加密一次性会话密钥，构成数字信封。5、然后将第3步加密的付款信息和第4步的数字信封发送给商家，商家再将其交给付款网关从而实现对商家的信息隐藏！SET技术细节1、购物请求包括：启动请求、启动响应、购物请求、购物响应四步持卡人要有商家、付款网关的数字证书启动请求持卡人商家请发你的数字证书和付款网关的数字证书，

18、这是我们交互的唯一标记号和我的信用卡签发者名启动响应持卡人商家这是我的事务，这是我和付款网关的数字证书购物请求持卡人用相应CA签名验证商家的数字证书和付款网关的数字证书后，生成订单信息（OI）和付款信息（PI）所有信息（PI及PI和OI的数字签名）用一次性密钥K加密用付款网关的公钥加密K，生成数字信封。以防商家能阅读任何付款信息购物响应商家收到购物请求后，1、用CA签名验证持卡人的证书2、用持卡人的公钥验证PI与IO生成的签名，保证订单没有被修改。3、处理订单和把付款信息PI转发给付款网关。将购物响应返回持卡人。持卡人商家订单处理结果付款授权商家向付款网关发一个授权请求购物相关信息授权相关信息

19、证书（商家发送持卡人的数字证书，用于验证持卡人的数字签名；商家的数字证书）商家付款网关购物信息授权信息持卡人和商家证书付款授权付款网关完成下列任务：验证所有证书解密数字信封，取得一次性会话密钥，并解密验证商家在授权信息上的签名对从持卡人收到的付款信息（PI）执行2和3步匹配从商家收到的事务ID与从持卡人的PI收到的事务ID是否一样请求和接收信用卡签发人的授权（银行），以便从持卡人向商家付款。授权响应商家付款网关验证完成，其中包含有签别信息、令牌信息和数字签名3、付款捕获商家要与付款网关进行付款捕获事务，包括：捕获请求与捕获响应。捕获请求商家付款网关需要购物付款消息捕获响应商家付款网关这里是详细

20、内容用数字证书加密SET结论SSL：只涉及双方安全信息交换SET：则专门用于电子商务事务SET模型证书机构证书机构CA证书机构CA持卡人商家付款网关商家的证书持卡人的证书验证持卡人证书验证商家证书证书请求证书请求购物响应购物请求验证响应验证请求SSL与SET比较问题问题SSLSET主要目的以加密形式交换数据电子商务相关付款机制证书双方交换证书 参与各方信任第三方认证鉴别有鉴别机制，但不够强大有强大的鉴别机制商家欺诈风险有可能，因为客户要向商家提供财务数据不可能，因为客户向付款网关提供财务数据客户欺诈风险有可能，因为客户可能在后面拒绝付款，没有防止机制客户对付款指令做了数字签名客户欺诈时的措施商

21、家负责付款网关负责实际使用多目前还不多，正逐渐增加电子货币电子现金或数字现金客客户户银银行行1、客户到银行开户、客户到银行开户2、当客户需要电子货币（假设、当客户需要电子货币（假设100元），向元），向银行发一封电子邮件，请求电子货币，该电银行发一封电子邮件，请求电子货币，该电子邮件肯定要加密子邮件肯定要加密3、银行鉴别消息并确认后，从客户的帐号、银行鉴别消息并确认后，从客户的帐号中取出所需的金额中取出所需的金额4、银行向客户发送电子货币，这个文件也、银行向客户发送电子货币，这个文件也必须加密必须加密从银行取得电子货币过程从银行取得电子货币过程电子货币客客户户银银行行当客户要购物时，可以使用这

22、个电子货币。当客户要购物时，可以使用这个电子货币。他只需将必要的文件发送给商家即可。这也他只需将必要的文件发送给商家即可。这也是必须加密的。是必须加密的。用电子货币购物用电子货币购物电子货币商商家家银银行行商家将文件发给银行，银行验证后，往商家商家将文件发给银行，银行验证后，往商家帐户上记入相应数量的金额帐户上记入相应数量的金额商家从银行获得付款商家从银行获得付款电子货币的安全机制银行将电子货币加密两次后发给客户银行将电子货币加密两次后发给客户银行100元客户%A银行的私钥客户的公钥电子货币的安全机制客户收到电子货币并两次解密客户收到电子货币并两次解密客户%A银行100元客户的私钥银行的公钥为

23、了保证鉴别，还可以加上数字签名和证书技术为了保证鉴别，还可以加上数字签名和证书技术电子货币类型是否可跟踪标识电子货币匿名电子货币是否实时事务联机电子货币脱机电子货币标识电子货币类似于信用卡，银行可跟踪电子货币从最新发给客户到最终回到银行的过程。银行会给电子货币加上一个唯一的序列号但会造成隐私问题银行客户100元SR100客户商家100元SR100商家银行100元SR1001、银行生成序列号，、银行生成序列号，与电子货币一起发给与电子货币一起发给客户。客户。2、客户购物后，将电、客户购物后，将电子货币发送给商家子货币发送给商家3、商家把电子货币交、商家把电子货币交还银行，电子货币的还银行，电子货

24、币的序号不变序号不变匿名电子货币盲钱。无法跟踪。标识电子货币序号由银行生成；匿名电子货币序号由客户生成。标识电子货币很容易发现和阻止客户多次使用同一货币。银行在事务中的参与程度联机电子货币银行要参与客户与商家之间的事务。商家要求银行实时确认客户提供的电子货币是否可以接受脱机电子货币不参与重复使用问题有四种电子货币使用方式联机标识电子货币脱机标识电子货币联机匿名电子货币脱机匿名电子货币最后一种电子货币有可能造成重复使用问题。盲钱在脱机状态短时间内在几个商家重复消费。所以脱机匿名电子货币没有用。脱机标识电子货币也可能重复使用。但发现后容易追查。电子邮件安全性电子邮件 From:John Smith

25、()To:Cherry()Subject:Accepting the offerDate:4 March 2007Dear Cherry,I have decided to accept your offer.RegardsJohn邮件头邮件正文（内容）电子邮件的转发过程发送方接收方E-mail发送方的SMTP服务器接收方的SMTP服务器SMTP发送邮件POP接收邮件SMTPPOPDNS电子邮件安全协议隐私增强型协议PEM极棒隐私协议（PGP）安全MIME（S/MIME）协议隐私增强型协议PEMPEM：Privacy Enhanced MailInternet体系结构委员会（IAB）采用的电子

26、邮件安全标准。包括加密、不可抵赖性、消息完整性隐私增强型邮件协议PEM加密不可抵赖性消息完整性PEM工作原理只签名（1和2步）签名加64进制编码（1、2、4步）签名、加密和64进制编码（1、2、3、4步）1、规范转换2、数字签名3、加密4、64进制编码规范转换发送邮件和接收邮件的机器体系结构和操作系统可能不同在MS-DOS下，换行要两个字符（0a和0d)，而在Unix下，只要一个字符。那么在算数字摘要的时候就会得出不同的结果。进而不能进行正确的数字签名。形成统一、独立于系统的格式数字签名方法和以前一样From:Cherry()To:John()Subject:Offer100100010011

27、101010101001消息摘要算法MD5/SHA-1数字签名发送者的私钥要认证签名，要认证签名，就需要发送者就需要发送者的公钥，可以的公钥，可以通过数字证书通过数字证书确认。确认。消息摘要后两步加密用对称密钥将电子邮件消息和数字签名加密采用DES或3DES64进制编码ASCII编码6bit-8bit映射。详细内容略极棒隐私协议（PGP）PGP：Pretty Good Privacy简单易用、安全免费包括文档和源代码支持的算法非对称RSA、DSS与Diffie-Hellman对称GAST-128、IDEA和3DES比PEM普及多了PGP原理只签名（1、2步）签名加64进制编码（1、2、5步）签

28、名、加密、封包与64进制编码（1-5步）1、数字签名2、压缩3、加密4、数字信封5、64进制编码混合密钥密码算法混合密钥密码算法和前面方法同和前面方法同ZIP程序算法程序算法IDEA安全多用途Internet邮件扩展MIME：Multipurpose Internet Mail Extensions允许用户用基本电子邮件系统发送二进制文件。From:Giridhar KTo:Amit JSubject Cover image for the bookMIME-Version:1.0Content-Type:image/gifS/MIME和PGP相似。具备数字签名和加密用DSS（数字签名标准）进

29、行数字签名用Diffie-Hellman算法加密对称会话密钥用RSA算法进行数字签名或加密对称会话密钥用3DES加密邮件无线应用程序协议安全WAP：Wireless Application ProtocolWAP响应WAP请求HTTP请求HTTP响应WAP网关WWW服务器WAP协议堆栈应用层（WAE）会话层（WSP）事务层（WTP）安全层（WTLS）传输层（WDP）物理层（无线）提供：鉴别、隐私、安提供：鉴别、隐私、安全链接等特性。移动商全链接等特性。移动商务应用都需要务应用都需要本讲小结本讲讲述了网站协议、SSL、HTTPS、时间戳协议、SET、电子货币、电子邮件安全。谢谢大家！谢谢大家！结

30、束1、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Wednesday,March 29,20232、阅读一切好书如同和过去最杰出的人谈话。16:22:1916:22:1916:223/29/2023 4:22:19 PM3、越是没有本领的就越加自命不凡。3月-2316:22:1916:22Mar-2329-Mar-234、越是无能的人，越喜欢挑剔别人的错儿。16:22:1916:22:1916:22Wednesday,March 29,20235、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2316:22:1916:22:19March 29,20236、意志坚强的

31、人能把世界放在手中像泥块一样任意揉捏。29 三月 20234:22:19 下午16:22:193月-237、最具挑战性的挑战莫过于提升自我。三月 234:22 下午3月-2316:22March 29,20238、业余生活要有意义，不要越轨。2023/3/29 16:22:1916:22:1929 March 20239、一个人即使已登上顶峰，也仍要自强不息。4:22:19 下午4:22 下午16:22:193月-2310、你要做多大的事情，就该承受多大的压力。3/29/2023 4:22:19 PM16:22:1929-3月-2311、自己要先看得起自己，别人才会看得起你。3/29/2023 4:22 PM3/29/2023 4:22 PM3月-233月-2312、这一秒不放弃，下一秒就会有希望。29-Mar-2329 March 20233月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Wednesday,March 29,202329-Mar-233月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。3月-2316:22:1929 March 202316:22谢谢大家谢谢大家