[精选]Internet安全协议.pptx

《[精选]Internet安全协议.pptx》由会员分享，可在线阅读，更多相关《[精选]Internet安全协议.pptx（93页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 第六讲 Internet 主讲:Email:88195226静态WEB 页面Web效劳器Web浏览器HTTP 请求HTTP 响应GET/file/new/image1/1.1Accept:image/gifAcept:image/jepg/1.1 200 OKDate:Tue,19-08-07 15:48:10 GMTServer:MyServerContent-length:3010实际图像数据动态WEB 页面Web效劳器Web浏览器1、HTTP 请求4、HTTP 响应3、程序运行并生成HTML 输出2、激活一个应用程序（如CGI）以响应HTTP 请求动态WEB 页面Web效劳器Web浏览

2、器1、HTTP 请求4、HTTP 响应3、程序运行并生成HTML 输出2、激活一个应用程序（如CGI）以响应HTTP 请求应用程序包括：CGI，ASP Active Server Pages,Java 小程序和Java 效劳器页面JSP，Java Server Pages 活动WEB 页面Web效劳器Web浏览器1、HTTP 请求4、HTTP 响应1、ActiveX 控件限制小，不平安2、Java 小程序限制多，平安性好一些3、都可以通过数字签名来验证包含1、HTML 页面2、各种小程序沙漏计时器形状的TCP/IP 协议族 SMTP DNS RTPTCP UDPIP网际层网络接口层运输层应用层

3、 网络接口 1网络接口 2网络接口 3Everything over IP IP 可为各式各样的应用程序提供效劳IP over Everything IP 可应用到各式各样的网络上TCP/IP 四层协议的表示方法举例 应用层运输层网际层网络接口层主机A 主机B路由器网络 2网络 1应用层运输层网际层网络接口层网际层网络接口层4321网络 1网络 29计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2应用进程数据先传送到应用层加上应用层首部，成为应用层 PDU10计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2应用

4、层 PDU 再传送到运输层加上运输层首部，成为运输层报文11计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2运输层报文再传送到网络层加上网络层首部，成为 IP 数据报或分组12计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2IP 数据报再传送到数据链路层加上链路层首部和尾部，成为数据链路层帧13计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2数据链路层帧再传送到物理层最下面的物理层把比特流传送到物理媒体14计算机 1 向计算机 2 发送数据 5432154321计算机

5、1AP2 AP1计算机 2数据链路层剥去帧首部和帧尾部取出数据局部，上交给网络层15计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2网络层剥去首部，取出数据局部上交给运输层16计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2运输层剥去首部，取出数据局部上交给应用层17计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2应用层剥去首部，取出应用程序数据上交给应用进程18计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2我收到了 AP1

6、发来的应用程序数据！19计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2应 用 程 序 数 据应用层首部H5101 比 特 流 110101110101注意观察参加或剥去首部尾部的层次应 用 程 序 数 据H5应 用 程 序 数 据H4H5应 用 程 序 数 据H3H4H5应 用 程 序 数 据H4运输层首部H3网络层首部H2链路层首部T2链路层尾部20计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2101 比 特 流 110101110101计算机 2 的物理层收到比特流后交给数据链路层H2T2H3H4H5应

7、 用 程 序 数 据21H3H4H5应 用 程 序 数 据计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2数据链路层剥去帧首部和帧尾部后把帧的数据局部交给网络层H2T2H3H4H5应 用 程 序 数 据22H4H5应 用 程 序 数 据H3H4H5应 用 程 序 数 据计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2网络层剥去分组首部后把分组的数据局部交给运输层23H5应 用 程 序 数 据H4H5应 用 程 序 数 据计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2运

8、输层剥去报文首部后把报文的数据局部交给应用层24应 用 程 序 数 据H5应 用 程 序 数 据计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2应用层剥去应用层 PDU 首部后把应用程序数据交给应用进程25计算机 1 向计算机 2 发送数据 5432154321计算机 1AP2 AP1计算机 2我收到了 AP1 发来的应用程序数据！平安套接层 SSL：Secure Socket layer“平安套接层协议层，它是网景 Netscape 公司提出的基于 WEB 应用的平安协议。SSL 协议指定了一种在应用程序协议如、Telenet、NMTP 和 FTP

9、等和 TCP/IP 协议之间提供数据平安性分层的机制，它为 TCP/IP 连接提供数据加密、效劳器认证、消息完整性以及可选的客户机认证。SSL 在TCP/IP 协议中的地位数据链路层5 应用层4 运输层3 网络层2 数据链路层1 物理层数据链路层5 应用层4 运输层3 网络层2 数据链路层1 物理层4.5 SSL层SSL 工作原理 SSL 包括三个子协议：1、握手协议Handshake Protocol 2、记录协议Record Protocol 3、报警协议Alert protocol 握手协议 客户机和效劳器连接通信时使用的第一个协议 类似于Alice 与Bob 要先握手说Hello，然后

10、才开始通话。类型 长度 内容1 字节 3 字节1N 字节消息类型消息类型 参数Hello request 握手请求无Client hello 客户机握手略Server hello 效劳器握手略Certificate 证书略Server key exchange 效劳器密钥交换略Certificate request 证书请求略Server hello done 效劳器握手完成无Certificate verify 证书验证略Client key exchange 客户机密钥交换略Finished 完成略握手过程简述Web效劳器Web浏览器1、建设平安能力2、效劳器鉴别和密钥交换3、客户机鉴别和

11、密钥交换4、完成建立平安能力Web效劳器Web浏览器1、Client Hello2、Server Hello版本信息；Random；会话ID；加密套加密算法清单；压缩方法效劳器鉴别与密钥交换Web效劳器Web浏览器1、证书2、效劳器密钥交换3、证书请求4、效劳器握手完成第一步：发送自己的证书和到根CA 的整个链发给客户机第二步：在没有证书情况下发送自己的公钥第三步：请求客户机发送自己的证书过来客户机鉴别与密钥交换Web效劳器Web浏览器第一步：效劳器请求的情况下，发送自己的证书和到根CA 的整个链发给效劳器。如果自己没有，就发No Certificate 消息1、证书2、客户机密钥交换3、证书

12、验证完成Web效劳器Web浏览器计算主秘密master secret，用于生成密钥和秘密，用于加密和MAC 计算。涉及到MD5 算法。1、改变加密标准2、完成3、改变加密标准4、完成第二个协议：记录协议 保密性：使用握手协议定义的秘密密钥实现。完整性：握手协议还定义了共享的秘密密钥MAC 消息鉴别码，用于消息的完整性。第三个协议：警报协议 客户机和效劳器发现错误时，向对方发一个警报信息。如果是致命错误，则双方立即关闭SSL 连接。关闭与恢复SSL 连接 通信结束前，双方都要告诉对方准备结束连接。发送关闭通知 使用非对称密钥加密，最好能复用或恢复前面的SSL 连接，而不要启用新连接。当然证书不能

13、过期平安超文本传输协议 S：Secure Hyper Text Transfer Protocol 注意：用SSL 发送 请求是 S 我们这里是S S S 提供的效劳和SSL 提供的类似，SSL 取得了巨大的成功，但S 却没有。两者在TCP/IP 位置数据链路层5 应用层S 4 运输层3 网络层2 数据链路层1 物理层4.5 SSL层时间戳协议 TSP：Time Stamping Protocol 证明某些数据在特定时间存在。TSP 现在正由PKIX 工作组开发 要解决的问题是什么？TSP 的目的 PKI 下用户签名后可能否认自己的数字签名 理由是：私钥被人破了。利用TSP 协议可以证明：某个

14、电子文档是在某个特定日期和时间之前签发的。TSP 工作步骤 1、计算消息 TSA：时间戳机构客户机原始消息 消息 算法 消息 TSP 工作步骤 2、请求时间戳TSA：时间戳机构客户机消息摘要时间戳请求TSP 工作步骤 3、时间戳响应TSA：时间戳机构客户机时间戳响应TSA 要使用信任时间源；要对消息 进行时间戳；时间戳中不对请求实体客户机包括任何标识。平安电子事务标准 SET：Secure Electronic Transaction 开放的加密与平安标准，用于保护Internet上信用卡事务。1996 年 MasterCard 和Visa 共同完成，联合了IBM，Microsoft,Nets

15、cape,RSA,Terisa 与Verisign 等公司。1998 年推出了第一代SET 兼容产品SET 的起源 MasterCard 和Visa 公司认识到在电子商务支付过程中，软件公司提供的标准不兼容。一边是Microsoft 的标准，一边是IBM 的标准 他们决定建立一个新的标准。注意：SET 不是支付系统，而是一组平安协议和格式。SET 的作用 使用户可以平安的在Internet 上采用现有信用卡支付基础结构。SET 效劳包括：1、在参与电子商务事务的各方之间提供平安的通信信道。2、用数字证书提供鉴别。3、保证保密性。SET 非常复杂，有971 页，三册。SET 的参与者 持卡人：M

16、asterCard Visa 卡 商家：签发人：银行 收款人：财务机构如中国的银联 付款网关：可由收款人承担 证书机构CA SET 过程 1、客户开设帐号 2、客户接收证书 3、商家接收证书 4、客户下订单 5、验证商家 6、发送订单与付款细节 7、商家请求付款授权 8、付款网关授权付款 9、商家确认订单 10、商家提供商品或效劳 11、商家请求付款SET 如何到达目的 问题：客户要向商家发送信用卡细节 1、信用卡以明文形式发送，可能被截获 2、商家得到后，也可能滥用 解决方法 1、SSL 解决第一个问题 2、数字信封的概念解决第二个问题。如何防止商家滥用 1、SET 软件在持卡人计算机上准备

17、PI 付款信息，主要包括持卡人的信用卡细节和任何Web 付款系统中一样。2、SET 的特别之处是持卡人的计算机生成一次性会话密钥 3、持卡人的计算机利用这个一次性会话密钥加密付款信息 4、然后持卡人的计算机用付款网关的公钥加密一次性会话密钥，构成数字信封。5、然后将第3 步加密的付款信息和第4 步的数字信封发送给商家，商家再将其交给付款网关 从而实现对商家的信息隐藏！SET 技术细节 1、购物请求 包括：启动请求、启动响应、购物请求、购物响应四步 持卡人要有商家、付款网关的数字证书启动请求持卡人 商家请发你的数字证书和付款网关的数字证书，这是我们交互的唯一标记号和我的信用卡签发者名启动响应持卡

18、人 商家这是我的事务，这是我和付款网关的数字证书购物请求 持卡人用相应CA 签名验证商家的数字证书和付款网关的数字证书后，生成订单信息OI 和付款信息PI 所有信息PI 及PI 和OI 的数字签名用一次性密钥K 加密 用付款网关的公钥加密K，生成数字信封。以防商家能阅读任何付款信息购物响应 商家收到购物请求后，1、用CA 签名验证持卡人的证书 2、用持卡人的公钥验证PI 与IO 生成的签名，保证订单没有被修改。3、处理订单和把付款信息PI 转发给付款网关。将购物响应返回持卡人。持卡人 商家 订单处理结果付款授权 商家向付款网关发一个授权请求 购物相关信息 授权相关信息 证书商家发送持卡人的数字

19、证书，用于验证持卡人的数字签名；商家的数字证书商家 付款网关购物信息授权信息持卡人和商家证书付款授权 付款网关完成以下任务：验证所有证书 解密数字信封，取得一次性会话密钥，并解密 验证商家在授权信息上的签名 对从持卡人收到的付款信息PI 执行2 和3 步 匹配从商家收到的事务ID与从持卡人的PI 收到的事务ID是否一样 请求和接收信用卡签发人的授权银行，以便从持卡人向商家付款。授权响应商家 付款网关验证完成，其中包含有签别信息、令牌信息和数字签名3、付款捕获 商家要与付款网关进行付款捕获事务，包括：捕获请求与捕获响应。捕获请求商家 付款网关需要购物付款消息捕获响应商家 付款网关这里是详细内容用

20、数字证书加密SET 结论 SSL：只涉及双方平安信息交换 SET：则专门用于电子商务事务SET 模型证书机构证书机构CA 证书机构CA持卡人 商家付款网关商家的证书持卡人的证书验证持卡人证书 验证商家证书证书请求证书请求购物响应购物请求验证响应验证请求SSL 与SET 比较问题SSL SET主要目的 以加密形式交换数据 电子商务相关付款机制证书 双方交换证书 参与各方信任第三方认证鉴别 有鉴别机制，但不够强大 有强大的鉴别机制商家欺诈风险 有可能，因为客户要向商家提供财务数据不可能，因为客户向付款网关提供财务数据客户欺诈风险 有可能，因为客户可能在后面拒绝付款，没有防止机制客户对付款指令做了数

21、字签名客户欺诈时的措施 商家负责 付款网关负责实际使用 多 目前还不多，正逐渐增加电子货币 电子现金或数字现金客户银行1、客户到银行开户2、当客户需要电子货币假设100 元，向银行发一封电子邮件，请求电子货币，该电子邮件肯定要加密3、银行鉴别消息并确认后，从客户的帐号中取出所需的金额4、银行向客户发送电子货币，这个文件也必须加密从银行取得电子货币过程电子货币客户银行当客户要购物时，可以使用这个电子货币。他只需将必要的文件发送给商家即可。这也是必须加密的。用电子货币购物电子货币商家银行商家将文件发给银行，银行验证后，往商家帐户上记入相应数量的金额商家从银行获得付款电子货币的平安机制银行将电子货币

22、加密两次后发给客户银行100 元客户%A银行的私钥 客户的公钥电子货币的平安机制客户收到电子货币并两次解密客户%A银行100 元客户的私钥 银行的公钥为了保证鉴别，还可以加上数字签名和证书技术电子货币类型 是否可跟踪 标识电子货币 匿名电子货币 是否实时事务 联机电子货币 脱机电子货币标识电子货币 类似于信用卡，银行可跟踪电子货币从最新发给客户到最终回到银行的过程。银行会给电子货币加上一个唯一的序列号 但会造成隐私问题银行 客户100 元SR100客户 商家100 元SR100商家 银行100 元SR1001、银行生成序列号，与电子货币一起发给客户。2、客户购物后，将电子货币发送给商家3、商家

23、把电子货币交还银行，电子货币的序号不变匿名电子货币 盲钱。无法跟踪。标识电子货币序号由银行生成；匿名电子货币序号由客户生成。标识电子货币很容易发现和阻止客户屡次使用同一货币。银行在事务中的参与程度 联机电子货币 银行要参与客户与商家之间的事务。商家要求银行实时确认客户提供的电子货币是否可以接受 脱机电子货币 不参与重复使用问题 有四种电子货币使用方式 联机标识电子货币 脱机标识电子货币 联机匿名电子货币 脱机匿名电子货币 最后一种电子货币有可能造成重复使用问题。盲钱在脱机状态短时间内在几个商家重复消费。所以脱机匿名电子货币没有用。脱机标识电子货币也可能重复使用。但发现后容易追查。电子邮件平安性

24、 电子邮件 From:John Smith To:Cherry Subject:Accepting the offerDate:4 March 2007Dear Cherry,I have decided to accept your offer.RegardsJohn邮件头邮件正文内容电子邮件的转发过程发送方接收方E-mail发送方的SMTP 效劳器接收方的SMTP 效劳器SMTP 发送邮件POP 接收邮件SMTPPOPDNS电子邮件平安协议 隐私增强型协议PEM 极棒隐私协议PGP 平安MIME S/MIME 协议隐私增强型协议PEM PEM：Privacy Enhanced Mail I

25、nternet 体系结构 会IAB 采用的电子邮件平安标准。包括加密、不可抵赖性、消息完整性隐私增强型邮件协议PEM加密 不可抵赖性 消息完整性PEM 工作原理 只签名1 和2 步 签名加64 进制编码1、2、4 步 签名、加密和64 进制编码1、2、3、4 步1、标准转换2、数字签名3、加密4、64 进制编码标准转换 发送邮件和接收邮件的机器体系结构和操作系统可能不同 在MS-DOS下，换行要两个字符0a 和0d，而在Unix下，只要一个字符。那么在算数字 的时候就会得出不同的结果。进而不能进行正确的数字签名。形成统一、独立于系统的格式数字签名 方法和以前一样From:Cherry To:J

26、ohn Subject:Offer11消息 算法MD5/SHA-1数字签名发送者的私钥要认证签名，就需要发送者的公钥，可以通过数字证书确认。消息 后两步 加密 用对称密钥将电子邮件消息和数字签名加密 采用DES 或3DES 64 进制编码 ASCII 编码 6bit-8bit 映射。详细内容略极棒隐私协议PGP PGP：Pretty Good Privacy 简单易用、平安免费 包括文档和源代码 支持的算法 非对称RSA、DSS 与Diffie-Hellman 对称GAST-128、IDEA 和3DES 比PEM 普及多了PGP 原理 只签名1、2 步 签名加64 进制编码1、2、5 步 签名

27、、加密、封包与64 进制编码1-5 步1、数字签名2、压缩3、加密4、数字信封5、64 进制编码混合密钥密码算法和前面方法同ZIP 程序算法IDEA平安多用途Internet 邮件扩展 MIME：Multipurpose Internet Mail Extensions 允许用户用基本电子邮件系统发送二进制文件。From:Giridhar To:Amit Subject Cover image for the bookMIME-Version:1.0Content-Type:image/gifS/MIME 和PGP 相似。具备数字签名和加密 用DSS 数字签名标准进行数字签名 用Diffie-

28、Hellman 算法加密对称会话密钥 用RSA 算法进行数字签名或加密对称会话密钥 用3DES 加密邮件无线应用程序协议平安 WAP：Wireless Application ProtocolWAP 响应WAP 请求 请求 响应WAP 网关WAP 协议堆栈应用层WAE 会话层WSP 事务层WTP 平安层WTLS 传输层WDP 物理层无线提供：鉴别、隐私、平安链接等特性。移动商务应用都需要本讲小结 本讲讲述了网站协议、SSL、S、时间戳协议、SET、电子货币、电子邮件平安。谢谢大家！结束 9、静夜四无邻，荒居旧业贫。6 月-236 月-23Thursday,June 1,2023 10、雨中黄叶

29、树，灯下白头人。07:36:0607:36:0607:366/1/2023 7:36:06 AM 11、以我独沈久，愧君相见频。6 月-2307:36:0607:36Jun-2301-Jun-23 12、故人江海别，几度隔山川。07:36:0607:36:0607:36Thursday,June 1,2023 13、乍见翻疑梦，相悲各问年。6 月-236 月-2307:36:0607:36:06June 1,2023 14、他乡生白发，旧国见青山。01 六月 20237:36:06 上午07:36:066 月-23 15、比不了得就不比，得不到的就不要。六月 237:36 上午6 月-2307

30、:36June 1,2023 16、行动出成果，工作出财富。2023/6/1 7:36:0607:36:0601 June 2023 17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:36:06 上午7:36 上午07:36:066 月-23 9、没有失败，只有暂时停止成功！。6 月-236 月-23Thursday,June 1,2023 10、很多事情努力了未必有结果，但是不努力却什么改变也没有。07:36:0607:36:0607:366/1/2023 7:36:06 AM 11、成功就是日复一日那一点点小小努力的积累。6 月-2307:36:0607:36Ju

31、n-2301-Jun-23 12、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。07:36:0607:36:0607:36Thursday,June 1,2023 13、不知香积寺，数里入云峰。6 月-236 月-2307:36:0607:36:06June 1,2023 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20237:36:06 上午07:36:066 月-23 15、楚塞三湘接，荆门九派通。六月 237:36 上午6 月-2307:36June 1,2023 16、少年十五二十时，步行夺得胡马骑。2023/6/1 7:36:0607:36:0601 Ju

32、ne 2023 17、空山新雨后，天气晚来秋。7:36:06 上午7:36 上午07:36:066 月-23 9、杨柳散和风，青山澹吾虑。6 月-236 月-23Thursday,June 1,2023 10、阅读一切好书如同和过去最杰出的人谈话。07:36:0607:36:0607:366/1/2023 7:36:06 AM 11、越是没有本领的就越加自命非凡。6 月-2307:36:0607:36Jun-2301-Jun-23 12、越是无能的人，越喜欢挑剔别人的错儿。07:36:0607:36:0607:36Thursday,June 1,2023 13、知人者智，自知者明。胜人者有力，

33、自胜者强。6 月-236 月-2307:36:0607:36:06June 1,2023 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20237:36:06 上午07:36:066 月-23 15、最具挑战性的挑战莫过于提升自我。六月 237:36 上午6 月-2307:36June 1,2023 16、业余生活要有意义，不要越轨。2023/6/1 7:36:0607:36:0601 June 2023 17、一个人即使已登上顶峰，也仍要自强不息。7:36:06 上午7:36 上午07:36:066 月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专家告诉