计算机网络安全课件第11章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
n 明文、数字签名和证明发送者和公钥之间绑定的证书用3DES加密算法加密,并 将密钥用指定接收者的公钥加密,因此,只有指定接收者才能还原密钥,并因此 获得明文、数字签名和证书。
计算机网络安全课件第11章
安全电子交易(SET)
商家认证发送者身份和解密数据过程
n 指定商家才能用私钥解密出密钥KEY,并因此获得明文、数字签名和证 书;
ASCII码的MIME邮件内容。
计算机网络安全课件第11章
S/MIME
认证邮件子报文过程 n 为了安全传输邮件,需要认证发送者身份、进行邮件完整性
检测,认证子报文就用于实现这一功能; n 采用数字签名技术,认证子报文中给出证书、数字签名采用
的算法等; n 消息和数字签名作为认证子报文主要内容。
计算机网络安全课件第11章
S/MIME
加密邮件子报文过程 n 用3DES对邮件加密,用接收端的公钥加密3DES的密钥,
保证只有指定接收端才能获取邮件内容; n 用明文方式给出消息加密算法,密钥加密算法,加密密
钥的公钥的证书。
计算机网络安全课件第11章
11.3 门户网站
n 系统结构; n 系统配置; n 实现机制。
门户网站是内部网络资源的入口,由门户 网站统一实现对内部网络资源的访问控制 过程,门户网站根据事先配置的不同用户 的访问权限,对用户身份进行认证,监管 用户权限内的资源访问过程。
址=200.1.2.7/32 FTP服务; n 从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP地
址=200.1.2.6/32 SMTP+POP3服务。 防火墙配置的目的是保证用户只能和门户网站进行HTTP 服务、门户网站只能和相应服务器进行对应服务。
计算机网络安全课件第11章
系统配置
n 门户网站为每一个用户设置认证机制和允许访问的资源及 访问方式;
n 访问的资源可以具体到某个文件或某个信箱。
计算机网络安全课件第11章
3rew
演讲完毕,谢谢听讲!
再见,see you again
2020/12/8
计算机网络安全课件第11章
安全电子交易(SET)
n 支付网关验证持卡 人支付能力后,向 商家提供承兑凭证, 一旦商家提供已向 持卡人提供商品或 服务的证据,即可 凭承兑凭证要求电 子转账;
n 商家不能处理承兑 凭证;
n 授权信息由支付网 关数字签名,用于 向商家通告验证持 卡人支付能力的结 果。
支付网关封装授权响应消息过程
n 商家提供商品。
计算机网络安全课件第11章
安全电子交易(SET)
n 购买请求消息在获得商家提供的购物 清单后发送;
n 根据购物清单构件定货信息和支付信 息,定货信息发送给商家,支付信息 由商家用于认证持卡人的支付能力, 为了将定货信息和支付信息绑定在一 起,持卡人采用双重签名;
n 为了上支付网关和商家认证双重签名, 发送给商家的信息中包含支付信息的 报文摘要,发送给支付网关的信息中 包含订货信息的报文摘要;
n 为了区别信息的接收者,分别用支付 网关和商家的公钥加密发送给它们的 信息。 购买请求消息封装过程
计算机网络安全课件第11章
ห้องสมุดไป่ตู้
安全电子交易(SET)
商家验证双重签名过程
n 商家验证双重签名,确定定货信息的发送者和双重签名证实的支付信息的报文摘要; n 对发送给支付网关的密文不作处理,用于生成用于验证持卡人支付能力的授权请求消
计算机网络安全课件第11章
安全电子交易(SET)
n 商家向持卡人提供商品或 服务后,要求支付网关完 成电子转账;
n 商家提供支付网关提供的 承兑凭证和请求消息;
n 请求消息中给出本次购物 的相关信息,如交易标识 符、支付金额等,还有已 经完成向持卡人提供商品 或服务的证据;
n 支付网关根据请求消息验 证承兑凭证,在验证无误 的情况下,通过支付网络 和专用支付系统完成持卡 人至商家的电子转账。
n 这里需要证明支付信息和购货信息是对应的,是 与同一次电子购物相关的两份报文。
计算机网络安全课件第11章
安全电子交易(SET)
电子交易过程
n 持卡人、商家 和支付网关需 要获得由认证 中心签发的证 书;
n 选择商品,得 到商家发送的 定货信息;
n 向商家提供定 货信息和支付 信息;
n 商家认证支付 信息;
n 越是底层,通用性越好,但无法顾及特定应用的细节;和 指定应用关联越多,越能满足指定应用的安全要求。
计算机网络安全课件第11章
HTTP over TLS
n TLS完成双方身份认证和安全参数协商, 安全传输上层信息;
n 这里,TLS主要实现对服务器的身份认证, 约定安全传输过程用到的加密解密算法、 密钥、消息认证算法等安全参数;
计算机网络安全课件第11章
安全电子交易(SET)
n 认证支付 信息发送 者身份和 授权请求 消息发送 者身份;
n 认证双重 签名,确 认支付信 息和订货 信息之间 的关联;
n 根据商家 提供的授 权信息和 持卡人提 供的支付 信息验证 持卡人的 支付能力。
支付网关验证授权请求消息过程
计算机网络安全课件第11章
息。
计算机网络安全课件第11章
安全电子交易(SET)
n 授权请求信息的目 的是验证持卡人的 支付能力;
n 支付信息中除了有 关账户、密码等私 密信息,还有交易 标识符和支付金额 等与本次交易关联 的信息;
n 授权信息中同样提 供交易标识符和支 付金额等与本次交 易有关的信息,便 于支付网关验证。
商家封装授权请求消息过程
计算机网络安全课件第11章
安全电子交易(SET)
持卡人封装过程
n 持卡人封装处理过程一是需要认证发送者身份,二是保证只有指定接收者才能获 得信息,三是持卡人不能否定发送过的购物请求;
n 认证发送者身份和无法否认发送过的购物请求通过数字签名实现,数字签名= DSKC(H(P));SKC是发送者私钥,H是报文摘要算法。
商家封装请求消息过程
计算机网络安全课件第11章
11.2 电子邮件安全协议
n PGP; n S/MIME。
电子邮件安全协议采用的技术和其他安全 传输协议相似,一是通过数字签名完成发 送者身份认证,二是通过加密实现保密传 输。只是PGP采用和邮件格式无关的机制, S/MIME采用在邮件内容的定义中增加数 字签名和保密传输类型。
计算机网络安全课件第11章
系统结构
n 必须由防火墙控制信息传输过程,即用户和服务器之间不能直接通信,用户必 须经过门户网站访问服务器;
n 外网授权终端同样必须经过门户网站访问内网服务器资源; n 门户网站必须建立授权用户库,对每一个授权用户设置访问权限。
计算机网络安全课件第11章
系统结构
n 用户通过HTTP访问门户网站; n 门户网站认证用户身份、确定用户访问权限,通过对应资源访问协
息; n 伪造网页进行诈骗。 拒绝服务攻击 n 耗尽服务器资源; n 耗尽服务器链接网络链路的带宽。
计算机网络安全课件第11章
Web安全机制
网际层
运输层
应用层
n 解决Web安全问题的关键是服务器身份认证和信息传输加 密,服务器身份认证解决伪造网站的问题,信息传输加密 解决截获用户私密信息的问题;
n 解决这两个问题需要动态协商安全参数并完成对方身份认 证的协议,网际层的IPSec、运输层的TLS和应用层的SET 都是具有这种功能的协议;
n 指定接收端用私钥解密出3DES的密钥,然 后还原出压缩消息;
n 对解压后的消息通过用发送端公钥验证数字 签名、完成完整性检测。
计算机网络安全课件第11章
S/MIME
SMTP邮件格式
n 5个常见关键词:Date、From、Subject、To、 Cc;
n 只能传输ASCII码。
计算机网络安全课件第11章
S/MIME
MIME邮件格式
n 增加了邮件内容类型,允许邮件内容为多媒体信息,如图 片、视频、音频等;
n 经过编码,将多媒体信息转换成ASCII码进行传输。
计算机网络安全课件第11章
S/MIME
MIME和SMTP的关系 n 为了和SMTP兼容,非ASCII码的MIME邮件内容被转换成7
位ASCII码后,通过SMTP发送; n 接收端需要将通过SMTP接收到的7位ASCII码重新还原为非
n 用三重DES加密需要 传输的数据。
计算机网络安全课件第11章
安全电子交易(SET)
SET应用系统
n SET应用系统用于实 现电子购物;
n 既要保证持卡人的私 密信息只在持卡人和 发卡机构之间传输, 又要保证商家权益;
n 信息只能在指定的发 送端和接收端之间传 输,即必须对发送端 进行身份认证,只有 指定接收端才能获得 信息。
计算机网络安全课件第11章
PGP
发送端处理过程 n 前提是双方均已通过认证中心获得公钥、私钥对和证书,
并向对方发送了证书; n 数字签名实现发送者身份认证和完整性检测; n 用3DES加密,并用接收端公钥加密3DES加密用的密钥,
保证只有指定接收端才能阅读邮件。
计算机网络安全课件第11章
PGP
接收端处理过程
由于网络用户通常都通过网站访问网络、 进行网上购物和电子银行转账,因此, Web安全问题是广大网络用户最关心,也 是直接影响网络健康发展的问题。
计算机网络安全课件第11章
Web安全问题
伪造和篡改网页 n 伪造银行网站,诱使用户登录; n 篡改著名网站网页,用银行或其他著名网站域名链接伪
造网站。 截取用户私密信息 n 拦截用户和商务网站进行电子商务活动过程中交换的信
n 对明文P进行报文摘要运算,对数字签名用证书给出的公钥进行加密运 算,然后对两者进行比较,如果相等:一是证明由证书指定的发送者发 送,二是明文确实是发送者发送的明文。这样,完成了发送者身份认证、 数字签名认证和完整性检测。
计算机网络安全课件第11章
安全电子交易(SET)
双重签名过程
n 双重签名的目的是证明两份报文的关联性,不仅 通过数字签名证实由发送者发送,而且证实这两 份报文和同一事务相关;
议访问内网资源,将访问结果统一用HTTP响应传输给用户。
计算机网络安全课件第11章
系统配置
防火墙配置 n 从用户区到门户区 源IP地址=200.1.1.0/24 目的IP地址
=200.1.3.7/32 HTTP服务; n 从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP地
址=200.1.2.5/32 HTTP服务; n 从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP地
n 将用户和服务器之间交换的HTTP报文封 装成TLS记录协议报文。
计算机网络安全课件第11章
HTTP over TLS
n 用证书证明服务器 域名和公钥PKS的 绑定;
n 终端用PKS加密预 主密钥,预主密钥 是生成密钥的主要 参数;
n 一旦确认服务器和 终端生成相同的密 钥,服务器身份得 到确认;
n 终端和服务器用约 定的加密解密算法 和密钥实现数据的 安全传输。
计算机网络安全课件第11章
HTTP over TLS
n 由于TLS约定的安全 参数只有终端和服务 器知道,因此,加密 和消息认证码计算过 程本身具有认证发送 者身份的作用;
n 消息认证码用于完整 性检测,序号保证顺 序接收TLS记录协议 报文;
计算机网络安全课件第 11章
2020/12/8
计算机网络安全课件第11章
第11章 应用层安全协议
nWeb安全协议; n电子邮件安全协议; n门户网站。 应用层安全协议给出了应用层解决资源访问 安全问题的基本原则、方法和机制。
计算机网络安全课件第11章
11.1 Web安全协议
n Web安全问题; n Web安全机制; n HTTP over TLS; n SET。
计算机网络安全课件第11章
安全电子交易(SET)
商家认证发送者身份和解密数据过程
n 指定商家才能用私钥解密出密钥KEY,并因此获得明文、数字签名和证 书;
ASCII码的MIME邮件内容。
计算机网络安全课件第11章
S/MIME
认证邮件子报文过程 n 为了安全传输邮件,需要认证发送者身份、进行邮件完整性
检测,认证子报文就用于实现这一功能; n 采用数字签名技术,认证子报文中给出证书、数字签名采用
的算法等; n 消息和数字签名作为认证子报文主要内容。
计算机网络安全课件第11章
S/MIME
加密邮件子报文过程 n 用3DES对邮件加密,用接收端的公钥加密3DES的密钥,
保证只有指定接收端才能获取邮件内容; n 用明文方式给出消息加密算法,密钥加密算法,加密密
钥的公钥的证书。
计算机网络安全课件第11章
11.3 门户网站
n 系统结构; n 系统配置; n 实现机制。
门户网站是内部网络资源的入口,由门户 网站统一实现对内部网络资源的访问控制 过程,门户网站根据事先配置的不同用户 的访问权限,对用户身份进行认证,监管 用户权限内的资源访问过程。
址=200.1.2.7/32 FTP服务; n 从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP地
址=200.1.2.6/32 SMTP+POP3服务。 防火墙配置的目的是保证用户只能和门户网站进行HTTP 服务、门户网站只能和相应服务器进行对应服务。
计算机网络安全课件第11章
系统配置
n 门户网站为每一个用户设置认证机制和允许访问的资源及 访问方式;
n 访问的资源可以具体到某个文件或某个信箱。
计算机网络安全课件第11章
3rew
演讲完毕,谢谢听讲!
再见,see you again
2020/12/8
计算机网络安全课件第11章
安全电子交易(SET)
n 支付网关验证持卡 人支付能力后,向 商家提供承兑凭证, 一旦商家提供已向 持卡人提供商品或 服务的证据,即可 凭承兑凭证要求电 子转账;
n 商家不能处理承兑 凭证;
n 授权信息由支付网 关数字签名,用于 向商家通告验证持 卡人支付能力的结 果。
支付网关封装授权响应消息过程
n 商家提供商品。
计算机网络安全课件第11章
安全电子交易(SET)
n 购买请求消息在获得商家提供的购物 清单后发送;
n 根据购物清单构件定货信息和支付信 息,定货信息发送给商家,支付信息 由商家用于认证持卡人的支付能力, 为了将定货信息和支付信息绑定在一 起,持卡人采用双重签名;
n 为了上支付网关和商家认证双重签名, 发送给商家的信息中包含支付信息的 报文摘要,发送给支付网关的信息中 包含订货信息的报文摘要;
n 为了区别信息的接收者,分别用支付 网关和商家的公钥加密发送给它们的 信息。 购买请求消息封装过程
计算机网络安全课件第11章
ห้องสมุดไป่ตู้
安全电子交易(SET)
商家验证双重签名过程
n 商家验证双重签名,确定定货信息的发送者和双重签名证实的支付信息的报文摘要; n 对发送给支付网关的密文不作处理,用于生成用于验证持卡人支付能力的授权请求消
计算机网络安全课件第11章
安全电子交易(SET)
n 商家向持卡人提供商品或 服务后,要求支付网关完 成电子转账;
n 商家提供支付网关提供的 承兑凭证和请求消息;
n 请求消息中给出本次购物 的相关信息,如交易标识 符、支付金额等,还有已 经完成向持卡人提供商品 或服务的证据;
n 支付网关根据请求消息验 证承兑凭证,在验证无误 的情况下,通过支付网络 和专用支付系统完成持卡 人至商家的电子转账。
n 这里需要证明支付信息和购货信息是对应的,是 与同一次电子购物相关的两份报文。
计算机网络安全课件第11章
安全电子交易(SET)
电子交易过程
n 持卡人、商家 和支付网关需 要获得由认证 中心签发的证 书;
n 选择商品,得 到商家发送的 定货信息;
n 向商家提供定 货信息和支付 信息;
n 商家认证支付 信息;
n 越是底层,通用性越好,但无法顾及特定应用的细节;和 指定应用关联越多,越能满足指定应用的安全要求。
计算机网络安全课件第11章
HTTP over TLS
n TLS完成双方身份认证和安全参数协商, 安全传输上层信息;
n 这里,TLS主要实现对服务器的身份认证, 约定安全传输过程用到的加密解密算法、 密钥、消息认证算法等安全参数;
计算机网络安全课件第11章
安全电子交易(SET)
n 认证支付 信息发送 者身份和 授权请求 消息发送 者身份;
n 认证双重 签名,确 认支付信 息和订货 信息之间 的关联;
n 根据商家 提供的授 权信息和 持卡人提 供的支付 信息验证 持卡人的 支付能力。
支付网关验证授权请求消息过程
计算机网络安全课件第11章
息。
计算机网络安全课件第11章
安全电子交易(SET)
n 授权请求信息的目 的是验证持卡人的 支付能力;
n 支付信息中除了有 关账户、密码等私 密信息,还有交易 标识符和支付金额 等与本次交易关联 的信息;
n 授权信息中同样提 供交易标识符和支 付金额等与本次交 易有关的信息,便 于支付网关验证。
商家封装授权请求消息过程
计算机网络安全课件第11章
安全电子交易(SET)
持卡人封装过程
n 持卡人封装处理过程一是需要认证发送者身份,二是保证只有指定接收者才能获 得信息,三是持卡人不能否定发送过的购物请求;
n 认证发送者身份和无法否认发送过的购物请求通过数字签名实现,数字签名= DSKC(H(P));SKC是发送者私钥,H是报文摘要算法。
商家封装请求消息过程
计算机网络安全课件第11章
11.2 电子邮件安全协议
n PGP; n S/MIME。
电子邮件安全协议采用的技术和其他安全 传输协议相似,一是通过数字签名完成发 送者身份认证,二是通过加密实现保密传 输。只是PGP采用和邮件格式无关的机制, S/MIME采用在邮件内容的定义中增加数 字签名和保密传输类型。
计算机网络安全课件第11章
系统结构
n 必须由防火墙控制信息传输过程,即用户和服务器之间不能直接通信,用户必 须经过门户网站访问服务器;
n 外网授权终端同样必须经过门户网站访问内网服务器资源; n 门户网站必须建立授权用户库,对每一个授权用户设置访问权限。
计算机网络安全课件第11章
系统结构
n 用户通过HTTP访问门户网站; n 门户网站认证用户身份、确定用户访问权限,通过对应资源访问协
息; n 伪造网页进行诈骗。 拒绝服务攻击 n 耗尽服务器资源; n 耗尽服务器链接网络链路的带宽。
计算机网络安全课件第11章
Web安全机制
网际层
运输层
应用层
n 解决Web安全问题的关键是服务器身份认证和信息传输加 密,服务器身份认证解决伪造网站的问题,信息传输加密 解决截获用户私密信息的问题;
n 解决这两个问题需要动态协商安全参数并完成对方身份认 证的协议,网际层的IPSec、运输层的TLS和应用层的SET 都是具有这种功能的协议;
n 指定接收端用私钥解密出3DES的密钥,然 后还原出压缩消息;
n 对解压后的消息通过用发送端公钥验证数字 签名、完成完整性检测。
计算机网络安全课件第11章
S/MIME
SMTP邮件格式
n 5个常见关键词:Date、From、Subject、To、 Cc;
n 只能传输ASCII码。
计算机网络安全课件第11章
S/MIME
MIME邮件格式
n 增加了邮件内容类型,允许邮件内容为多媒体信息,如图 片、视频、音频等;
n 经过编码,将多媒体信息转换成ASCII码进行传输。
计算机网络安全课件第11章
S/MIME
MIME和SMTP的关系 n 为了和SMTP兼容,非ASCII码的MIME邮件内容被转换成7
位ASCII码后,通过SMTP发送; n 接收端需要将通过SMTP接收到的7位ASCII码重新还原为非
n 用三重DES加密需要 传输的数据。
计算机网络安全课件第11章
安全电子交易(SET)
SET应用系统
n SET应用系统用于实 现电子购物;
n 既要保证持卡人的私 密信息只在持卡人和 发卡机构之间传输, 又要保证商家权益;
n 信息只能在指定的发 送端和接收端之间传 输,即必须对发送端 进行身份认证,只有 指定接收端才能获得 信息。
计算机网络安全课件第11章
PGP
发送端处理过程 n 前提是双方均已通过认证中心获得公钥、私钥对和证书,
并向对方发送了证书; n 数字签名实现发送者身份认证和完整性检测; n 用3DES加密,并用接收端公钥加密3DES加密用的密钥,
保证只有指定接收端才能阅读邮件。
计算机网络安全课件第11章
PGP
接收端处理过程
由于网络用户通常都通过网站访问网络、 进行网上购物和电子银行转账,因此, Web安全问题是广大网络用户最关心,也 是直接影响网络健康发展的问题。
计算机网络安全课件第11章
Web安全问题
伪造和篡改网页 n 伪造银行网站,诱使用户登录; n 篡改著名网站网页,用银行或其他著名网站域名链接伪
造网站。 截取用户私密信息 n 拦截用户和商务网站进行电子商务活动过程中交换的信
n 对明文P进行报文摘要运算,对数字签名用证书给出的公钥进行加密运 算,然后对两者进行比较,如果相等:一是证明由证书指定的发送者发 送,二是明文确实是发送者发送的明文。这样,完成了发送者身份认证、 数字签名认证和完整性检测。
计算机网络安全课件第11章
安全电子交易(SET)
双重签名过程
n 双重签名的目的是证明两份报文的关联性,不仅 通过数字签名证实由发送者发送,而且证实这两 份报文和同一事务相关;
议访问内网资源,将访问结果统一用HTTP响应传输给用户。
计算机网络安全课件第11章
系统配置
防火墙配置 n 从用户区到门户区 源IP地址=200.1.1.0/24 目的IP地址
=200.1.3.7/32 HTTP服务; n 从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP地
址=200.1.2.5/32 HTTP服务; n 从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP地
n 将用户和服务器之间交换的HTTP报文封 装成TLS记录协议报文。
计算机网络安全课件第11章
HTTP over TLS
n 用证书证明服务器 域名和公钥PKS的 绑定;
n 终端用PKS加密预 主密钥,预主密钥 是生成密钥的主要 参数;
n 一旦确认服务器和 终端生成相同的密 钥,服务器身份得 到确认;
n 终端和服务器用约 定的加密解密算法 和密钥实现数据的 安全传输。
计算机网络安全课件第11章
HTTP over TLS
n 由于TLS约定的安全 参数只有终端和服务 器知道,因此,加密 和消息认证码计算过 程本身具有认证发送 者身份的作用;
n 消息认证码用于完整 性检测,序号保证顺 序接收TLS记录协议 报文;
计算机网络安全课件第 11章
2020/12/8
计算机网络安全课件第11章
第11章 应用层安全协议
nWeb安全协议; n电子邮件安全协议; n门户网站。 应用层安全协议给出了应用层解决资源访问 安全问题的基本原则、方法和机制。
计算机网络安全课件第11章
11.1 Web安全协议
n Web安全问题; n Web安全机制; n HTTP over TLS; n SET。