第7章网络信息安全协议与安全标准.ppt
- 文档编号:2703579
- 上传时间:2022-11-08
- 格式:PPT
- 页数:61
- 大小:155.50KB
第7章网络信息安全协议与安全标准.ppt
《第7章网络信息安全协议与安全标准.ppt》由会员分享,可在线阅读,更多相关《第7章网络信息安全协议与安全标准.ppt(61页珍藏版)》请在冰豆网上搜索。
网络信息安全第七章网络信息安全协议与安全标准教学目的和要求本章主要介绍网络信息安全协议SSL与SET的协议以及网络支付安全中所面临的问题及安全标准,通过本章的教学使学员了解网络信息安全协议的概念,熟悉网络支付安全的要求,掌握安全套接层协议SSL和安全电子交易SET的主要内容及工作过程。
网络信息安全网络信息安全协议与安全标准主要内容81安全协议概述82安全套接层协议SSL83安全电子支付84安全电子交易(SET)网络信息安全网络信息安全协议与安全标准81安全协议概述8.1.1网络信息安全协议8.1.2网络信息安全协议的种类8.1.3网络信息安全协议的特点网络信息安全网络信息安全协议与安全标准8.1.1网络信息安全协议计算机网络安全以保证计算机网络自身的安全为目标,其内容包括:
计算机网络设备安全、计算机网络系统安全、数据库安全等。
计算机网络的多个互连的计算机之间不断交换数据,为使相互通信的机两个计算机系统高度协调的进行数据交换,每台计算机就必须有信息内容、格式和传输顺序等方面遵守事先约定好的规则。
这些为进行网络中数据通信而制定的规则、标准或约定就是俗称的网络协议。
网络信息安全网络信息安全协议与安全标准8.1.1网络信息安全协议网络信息安全协议就是在协议中使用加密技术、认证技术以保证信息交换的安全的网络协议。
具体地说就是建立在密码体系上的一种互通协议,为了需要安全的各方提供一系列的加密管理、身份认证及信息保密措施以保证通信或电子交易的安全完成。
网络信息安全网络信息安全协议与安全标准8.1.3网络信息安全协议的特点
(1)使用加密技术来保证信息在传输中安全。
即由消息发送者加密的消息只有消息接收者才能够解密得到,别人无法得到,而且,这些加密的方法必须是很难破解的。
这样就保证的信息在传输过程中不被其它人截取,其它人即使通过非法手段得到网上传输的信息,也只是一些无法看懂的密文。
(2)使用认证技术来保证信息的不可否认。
通常可采用数字签名技术、数字认证技术来确认交易双方的身份,同时保证交易内容的不可抵赖性。
(3)使用第三方认证保证交易双方的不可否认。
很多安全协议采用第三方认证技术来进行交易双方的身份认证和交易认证。
如CA认证中心进行身份认证,也有通过第三方银行来保证交易双方身份认证,从而保证交易能够顺利完成。
(4)可直接在Internet上使用,特别是能够使用在HTTP页面下使用。
如下面我们要详细介绍的SSL协议是使用浏览器软件就可运行。
网络信息安全网络信息安全协议与安全标准8.1.2网络信息安全协议的种类
(1)密钥安全协议
(2)认证协议(3)密钥交换与认证协议网络信息安全网络信息安全协议与安全标准82安全套接层协议SSL821SSLSSL安全协议概述822SSL记录协议记录协议823改变密码规范协议改变密码规范协议824告警协议告警协议825握手协议握手协议8.2.6SSL协协议议的的安安全全网网络络支支付付实实践践示示例例网络信息安全网络信息安全协议与安全标准821SSLSSL安全协议概述SSLSSL(SecureSocketsLayer)安全协议又称安全套接层协议,是由网景(Netscape)设计开发的,主要用于提高应用程序之间的数据安全系数,实现兼容浏览器和服务器(通常是Web服务器)之间安全通信的协议。
网络信息安全网络信息安全协议与安全标准一、一、SSLSSL协议层次SSL协议是一种在持有数字证书的客户端浏览器(如InternetExplorer,NetscapeNavigator等)和远程的WWW服务器(如NetscapeEnterpriseServer,IIS等)之间,构造安全通信通道并且传输数据的协议。
它运行在TCPIP层之上而在其他高层协议(如HTTP,FTP,SMTP,LDAP和IMAP等)之下.网络信息安全网络信息安全协议与安全标准二、SSL提供的服务SSL结合私有密钥加密法、公开密钥加密法以及数字摘要等技术,提供以下三种基本的安全服务。
网络信息安全网络信息安全协议与安全标准三、SSL组成SSL由多个协议组成,采用两层协议组成,如图8.1所示。
(1)SSL记录协议规定了数据传输格式,包括应用程序提供的信息的分段、压缩、数据认证和加密,在SSL的3.0以后的版本中提供对数据认证用的MD5和SHA以及数据加密用的R4和DES等的支持,对要发送的数据加密的会话密钥可以通过SSL的握手协议来协商。
(2)SSL握手协议使得服务器和客户能够相互认证对方的身份,用来实现在客户端验证服务器证书,允许客户端和服务器选择双方都支持的数据加密算法(私有密钥加密法)并且产生会话密钥;在服务器端验证客户(可选的),用公钥加密算法与数字摘要算法安全交换会话密钥,最后建立加密的SSL连接等功能。
网络信息安全网络信息安全协议与安全标准SSL握手协议改变密码规范协议告警协议HTTPTelnetSSL记录协议TCP/IP图8.1SSL协议栈网络信息安全网络信息安全协议与安全标准822SSL记录协议记录协议SSL记录协议层是SSL协议的底层协议。
SSL记录协议用于在客户机和服务器之间的传输应用数据和数据控制,其间可对数据进行分段或者把多个高层协议数据组合成单个数据单元。
它最多能够传送16384个字节的数据块。
网络信息安全网络信息安全协议与安全标准一、SSL记录协议的操作过程如图8.2所示。
(1)分段/组合。
每一个高层消息都要分段,使其长度不超过214字节。
(2)压缩。
该操作是可选的,SSL记录协议不指定压缩算法,但要求压缩必须是无损的,而且不会增加1024字节以上长度的内容。
一般我们总希望压缩是缩短了数据而不是扩大了数据,但是对于非常短的数据块,由于格式原因,有可能压缩算法的输出长度大于输入长度。
(3)计算MAC。
对压缩后的数据计算SSL记录验证码即MAC。
记录验证码可使用专用公式进行计算,主要使用单向散列函数Hash进行计算。
(4)加密。
使用对称加密算法给添加了MAC的压缩数据进行加密。
而且加密不能增加1024子节以上的内容长度。
(5)添加头部。
给加密运算后的报文添加实现SSL记录头部。
网络信息安全网络信息安全协议与安全标准DataR1R2R3M(H(D(R1)D(R1)HD(R1)hM(H(D(R1)应用数据添加头部加密计算MAC压缩分段/组合图8.2SSL记录协议的操作过程网络信息安全网络信息安全协议与安全标准823改变密码规范协议改变密码规范协议改变密码规范协议是SSL是握手协议中的三个特定协议之一,它是SSL协议中最简单的协议。
该协议由1个字节的报文组成。
该字节放在SSL记录头格式的内容类型字段中。
改变密码规范协议的主要作用是把报文对加密算法从一种加密算法转变为另一种加密算法。
网络信息安全网络信息安全协议与安全标准824告警协议告警协议告警协议是一种通过SSL记录协议进行传输的特定类型报文。
告警协议由两个部分组成:
告警级别和告警说明。
它们都用1字节进行编码。
告警报文同样会被压缩和加密。
告警协议的主要作用是规定了出错的级别和告警的类型,在SSL协议执行过程中通过告警协议来显示信息交换过程中所发生的错误。
一个字节的告警级别共分两个级别,如表8.1所示。
网络信息安全网络信息安全协议与安全标准告警级别告警名称含义1警告表示一个一般告警信息2致命错误表示出现了致命的错误,立即终止当前连接,同一会话的其它连接还可继续,不会再产生其它新的连接表8.1告警级别网络信息安全网络信息安全协议与安全标准825握手协议握手协议握手协议的主要作用允许客户和服务器进行相互验证(一般只是客户验证)、选择加密规范和MAC算法,使用保密密钥来保护SSL记录中的数据。
握手协议是通过客户机和服务器之间多次信息交换来实现。
网络信息安全网络信息安全协议与安全标准SSL握手过程SSL握手过程包含四个阶段用户和服务器交换Hello消息。
密钥交换过程。
由以下四条消息来实现证书校验客户机发送改变自身状态消息。
网络信息安全网络信息安全协议与安全标准SSL安全协议的运行步骤:
(1)接通阶段:
客户通过网络向服务商打招呼,服务商回应。
(2)密码交换阶段:
客户通过网络接通服务商后,双方交换认可的密码。
(3)会谈密码阶段:
客户和服务商之间产生彼此的会谈密码。
(4)验证阶段:
验证服务商取得的密码。
(5)客户认证阶段:
验证客户的可信度。
(6)结束阶段:
客户与服务商之间相互交换结束信息。
网络信息安全网络信息安全协议与安全标准8.2.6SSL协议的安全网络支付实践示例协议的安全网络支付实践示例一、SSL协议的应用SSL协议首先被应用在网络支付中,目前国内外流行的信用卡网络支付、网络银行服务等都可构建在SSL之上。
中国的招商银行、工商银行北京分行等信用卡网络支付均采用了SSL协议机制。
另处,许多世界知名企业的Intranet和Internet网络产品均支持SSL协议。
网络信息安全网络信息安全协议与安全标准二、安全支付参与方及应用系统框架SSL协议在安全网络支付应用(如信用卡的SSL网络支付方式)时,参与支付应用的各方包括:
客户浏览器(持卡人)、商家服务器、认证机构CA、银行服务器,另外还有专门的第三方支付平台(可以看做支付网关)。
SSL在网络支付中的业务参与方主要涉及两个:
支付方的客户端浏览器。
如IE,Navigator银行的服务器端。
如Web服务器和应用服务器网络信息安全网络信息安全协议与安全标准SSL协议的应用框架银行服务器商家服务器客户端CA认证中心网络信息安全网络信息安全协议与安全标准三、SSL协议运行实例采用SSL安全协议机制时信用卡网络支付流程
(一)
(1)客户机使用IE浏览器向银行服务器发送客户端的SSL版本号、密码设置、随机数和需要服务器使用SSL协议与客户机进行通信的其他信息,IE浏览器使用https协议向服务器申请建立SSL会话。
(2)银行服务器向客户机发送服务器端的SSL版本号、密码设置、随机数据和客户机使用SSL协议与服务器通信需要的其他信息。
同时服务器端发送它自己的数字证书供客户认证,如果认为客户端需要身份认证则要求客户发送证书,该操作是可选的。
(3)客户端利用服务器发送信息来认证服务器的真实身份并取得公开密钥等。
如果服务器不被认证,用户被告警发生了问题,通知不能建立带有加密和认证的连接。
若服务器能被成功地认证,客户机将继续下一步。
网络信息安全网络信息安全协议与安全标准采用SSL安全协议机制时信用卡网络支付流程
(二)(4)客户端利用数字信封技术为将要进行的会话创建会话预密钥pre-master-secret,并用服务器的公钥加密它,然后向服务器发送加密的会话预密钥。
(5)当客户能被成功认证后,服务器会使用它的私人密钥解密从从客户端得到的会话预密钥pre-master-secret,并生成真正的会话密钥master-secret。
同时客户机也从相同的pre-master-secret开始得到相同的master-secret。
会话密钥master-secret是私有密钥(对称密钥)用于加密和解密在SSL会话期间交换的支付信息,并检验信息的完整性。
网络信息安全网络信息安全协议与安全标准采用SSL安全协议机制时信用卡网络支付流程(三)(6)会话密钥生成后,客户端向服务器发送消息,通知服务器以后从客户机来的消息将用会话密钥加密,这表明握手的客户端部分已经完成。
(7)服务器向客户机发送相同的消息,通知从服务器来的消息将用会话密钥加密。
表明握手的服务器部分已经完成。
(8)SSL会话开始,使用安全通道发送支付结算的相关信息,如信用卡号与密码等。
客户机与服务器使用会话密钥加密和解密它们彼此发送的数据和验证数据完整性。
(9)当通信完成后,一般情况会话密钥会被丢弃。
网络信息安全网络信息安全协议与安全标准四、SSL协议的缺陷SSL安全协议是最早应用于电子商务的网络安全协议,其运行的基本要点是建立在商家对客户信息保密的承诺。
显然,SSL有利于商家而不利于客户,客户资料的安全性受到威胁。
在整个过程中只有商家对客户的认证,而缺少客户对商
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 信息 安全 协议 安全标准