Internet安全协议课件

Internet安全协议2024/4/16Internet安全协议Internet安全协议教学目的通过本讲的学习，应能掌握网站协议、SSL、HTTPS、时间戳协议、SET、电子货币、电子邮件安全，了解WAP安全。教学重点1、网站协议2、SSL、HTTPS、事件戳协议3、SET教学难点1、网站协议2、SSL、HTTPS、事件戳协议3、SETInternet安全协议静态WEB页面Web服务器Web浏览器HTTP请求HTTP响应GET/file/new/image1HTTP/1.1Accept:image/gifAcept:image/jepgHTTP/1.1200OKDate:Tue,19-08-0715:48:10GMTServer:MyServerContent-length:3010…(实际图像数据)Internet安全协议动态WEB页面Web服务器Web浏览器1、HTTP请求4、HTTP响应3、程序运行并生成HTML输出2、激活一个应用程序（如CGI）以响应HTTP请求Internet安全协议动态WEB页面Web服务器Web浏览器1、HTTP请求4、HTTP响应3、程序运行并生成HTML输出2、激活一个应用程序（如CGI）以响应HTTP请求应用程序包括：CGI，ASP（ActiveServerPages),Java小程序和Java服务器页面（JSP，JavaServerPages)Internet安全协议活动WEB页面Web服务器Web浏览器1、HTTP请求4、HTTP响应1、ActiveX控件（限制小，不安全）2、Java小程序（限制多，安全性好一些）3、都可以通过数字签名来验证包含1、HTML页面2、各种小程序Internet安全协议沙漏计时器形状的

TCP/IP协议族HTTPSMTPDNSRTPTCPUDPIP网际层网络接口层运输层应用层………网络接口

1网络接口

2网络接口

3EverythingoverIPIP

可为各式各样的应用程序提供服务IPoverEverythingIP

可应用到各式各样的网络上Internet安全协议TCP/IP

四层协议

的表示方法举例应用层运输层网际层网络接口层主机A主机B路由器网络

2网络

1应用层运输层网际层网络接口层网际层网络接口层4321网络

1网络

2Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2应用进程数据先传送到应用层加上应用层首部，成为应用层

PDU9Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2应用层PDU再传送到运输层加上运输层首部，成为运输层报文10Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2运输层报文再传送到网络层加上网络层首部，成为IP数据报（或分组）11Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2IP数据报再传送到数据链路层加上链路层首部和尾部，成为数据链路层帧12Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2数据链路层帧再传送到物理层最下面的物理层把比特流传送到物理媒体13Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2数据链路层剥去帧首部和帧尾部取出数据部分，上交给网络层14Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2网络层剥去首部，取出数据部分上交给运输层15Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2运输层剥去首部，取出数据部分上交给应用层16Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2应用层剥去首部，取出应用程序数据上交给应用进程17Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2我收到了

AP1

发来的应用程序数据！18Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2应用程序数据应用层首部H510100110100101比特流110101110101注意观察加入或剥去首部（尾部）的层次应用程序数据H5应用程序数据H4H5应用程序数据H3H4H5应用程序数据H4运输层首部H3网络层首部H2链路层首部T2链路层尾部19Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

210100110100101比特流110101110101计算机2的物理层收到比特流后交给数据链路层H2T2H3H4H5应用程序数据20Internet安全协议H3H4H5应用程序数据计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2数据链路层剥去帧首部和帧尾部后把帧的数据部分交给网络层H2T2H3H4H5应用程序数据21Internet安全协议H4H5应用程序数据H3H4H5应用程序数据计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2网络层剥去分组首部后把分组的数据部分交给运输层22Internet安全协议H5应用程序数据H4H5应用程序数据计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2运输层剥去报文首部后把报文的数据部分交给应用层23Internet安全协议应用程序数据H5应用程序数据计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2应用层剥去应用层PDU首部后把应用程序数据交给应用进程24Internet安全协议计算机

1

向计算机

2

发送数据5432154321计算机

1AP2AP1计算机

2我收到了

AP1

发来的应用程序数据！25Internet安全协议安全套接层SSL：SecureSocketlayer“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如HTTP、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。Internet安全协议SSL在TCP/IP协议中的地位数据链路层5应用层4运输层3网络层2数据链路层1物理层数据链路层5应用层4运输层3网络层2数据链路层1物理层4.5SSL层Internet安全协议SSL工作原理SSL包括三个子协议：1、握手协议（HandshakeProtocol)2、记录协议（RecordProtocol)3、报警协议（Alertprotocol)Internet安全协议握手协议客户机和服务器连接通信时使用的第一个协议类似于Alice与Bob要先握手（说Hello)，然后才开始通话。类型长度内容1字节3字节1~N字节Internet安全协议消息类型消息类型参数Hellorequest(握手请求）无Clienthello(客户机握手）略Serverhello(服务器握手）略Certificate(证书）略Serverkeyexchange（服务器密钥交换）略Certificaterequest(证书请求）略Serverhellodone(服务器握手完成）无Certificateverify(证书验证）略Clientkeyexchange(客户机密钥交换）略Finished（完成）略Internet安全协议握手过程简述Web服务器Web浏览器1、建设安全能力2、服务器鉴别和密钥交换3、客户机鉴别和密钥交换4、完成Internet安全协议建立安全能力Web服务器Web浏览器1、ClientHello2、ServerHello版本信息；Random；会话ID；加密套（加密算法清单）；压缩方法Internet安全协议服务器鉴别与密钥交换Web服务器Web浏览器1、证书2、服务器密钥交换3、证书请求4、服务器握手完成第一步：发送自己的证书和到根CA的整个链发给客户机第二步：在没有证书情况下发送自己的公钥第三步：请求客户机发送自己的证书过来Internet安全协议客户机鉴别与密钥交换Web服务器Web浏览器第一步：服务器请求的情况下，发送自己的证书和到根CA的整个链发给服务器。如果自己没有，就发NoCertificate消息1、证书2、客户机密钥交换3、证书验证Internet安全协议完成Web服务器Web浏览器计算主秘密（mastersecret)，用于生成密钥和秘密，用于加密和MAC计算。涉及到MD5算法。1、改变加密规范2、完成3、改变加密规范4、完成Internet安全协议第二个协议：记录协议保密性：使用握手协议定义的秘密密钥实现。完整性：握手协议还定义了共享的秘密密钥（MAC消息鉴别码），用于消息的完整性。Internet安全协议第三个协议：警报协议客户机和服务器发现错误时，向对方发一个警报信息。如果是致命错误，则双方立即关闭SSL连接。Internet安全协议关闭与恢复SSL连接通信结束前，双方都要告诉对方准备结束连接。发送关闭通知使用非对称密钥加密，最好能复用或恢复前面的SSL连接，而不要启用新连接。当然证书不能过期Internet安全协议安全超文本传输协议SHTTP：SecureHyperTextTransferProtocol注意：用SSL发送HTTP请求是HTTPS我们这里是SHTTPInternet安全协议SHTTPSHTTP提供的服务和SSL提供的类似，SSL取得了巨大的成功，但SHTTP却没有。两者在TCP/IP位置数据链路层5应用层SHTTP4运输层3网络层2数据链路层1物理层4.5SSL层Internet安全协议时间戳协议TSP：TimeStampingProtocol证明某些数据在特定时间存在。TSP现在正由PKIX工作组开发要解决的问题是什么？Internet安全协议TSP的目的PKI下用户签名后可能否认自己的数字签名理由是：私钥被人破了。利用TSP协议可以证明：某个电子文档是在某个特定日期和时间之前签发的。Internet安全协议TSP工作步骤1、计算消息摘要TSA：时间戳机构客户机原始消息消息摘要算法消息摘要Internet安全协议TSP工作步骤2、请求时间戳TSA：时间戳机构客户机消息摘要时间戳请求Internet安全协议TSP工作步骤3、时间戳响应TSA：时间戳机构客户机时间戳响应…………TSA要使用信任时间源；要对消息摘要进行时间戳；时间戳中不对请求实体客户机包括任何标识。Internet安全协议安全电子事务规范SET：SecureElectronicTransaction开放的加密与安全规范，用于保护Internet上信用卡事务。1996年MasterCard和Visa共同完成，联合了IBM，Microsoft,Netscape,RSA,Terisa与Verisign等公司。1998年推出了第一代SET兼容产品Internet安全协议SET的起源MasterCard和Visa公司认识到在电子商务支付过程中，软件公司提供的标准不兼容。一边是Microsoft的标准，一边是IBM的标准他们决定建立一个新的标准。注意：SET不是支付系统，而是一组安全协议和格式。Internet安全协议SET的作用使用户可以安全的在Internet上采用现有信用卡支付基础结构。SET服务包括：1、在参与电子商务事务的各方之间提供安全的通信信道。2、用数字证书提供鉴别。3、保证保密性。SET非常复杂，有971页，三册。Internet安全协议SET的参与者持卡人：MasterCardVisa卡商家：签发人：银行收款人：财务机构（如中国的银联）付款网关：可由收款人承担证书机构（CA）Internet安全协议SET过程1、客户开设帐号2、客户接收证书3、商家接收证书4、客户下订单5、验证商家6、发送订单与付款细节7、商家请求付款授权8、付款网关授权付款9、商家确认订单10、商家提供商品或服务11、商家请求付款Internet安全协议SET如何达到目的问题：客户要向商家发送信用卡细节1、信用卡以明文形式发送，可能被截获2、商家得到后，也可能滥用解决办法1、SSL解决第一个问题2、数字信封的概念解决第二个问题。Internet安全协议如何防止商家滥用1、SET软件在持卡人计算机上准备PI（付款信息），主要包括持卡人的信用卡细节和任何Web付款系统中一样。2、SET的特别之处是持卡人的计算机生成一次性会话密钥3、持卡人的计算机利用这个一次性会话密钥加密付款信息4、然后持卡人的计算机用付款网关的公钥加密一次性会话密钥，构成数字信封。5、然后将第3步加密的付款信息和第4步的数字信封发送给商家，商家再将其交给付款网关从而实现对商家的信息隐藏！Internet安全协议SET技术细节1、购物请求包括：启动请求、启动响应、购物请求、购物响应四步持卡人要有商家、付款网关的数字证书Internet安全协议启动请求持卡人商家请发你的数字证书和付款网关的数字证书，这是我们交互的唯一标记号和我的信用卡签发者名Internet安全协议启动响应持卡人商家这是我的事务，这是我和付款网关的数字证书Internet安全协议购物请求持卡人用相应CA签名验证商家的数字证书和付款网关的数字证书后，生成订单信息（OI）和付款信息（PI）所有信息（PI及PI和OI的数字签名）用一次性密钥K加密用付款网关的公钥加密K，生成数字信封。以防商家能阅读任何付款信息Internet安全协议购物响应商家收到购物请求后，1、用CA签名验证持卡人的证书2、用持卡人的公钥验证PI与IO生成的签名，保证订单没有被修改。3、处理订单和把付款信息PI转发给付款网关。将购物响应返回持卡人。持卡人商家订单处理结果Internet安全协议付款授权商家向付款网关发一个授权请求购物相关信息授权相关信息证书（商家发送持卡人的数字证书，用于验证持卡人的数字签名；商家的数字证书）商家付款网关购物信息授权信息持卡人和商家证书Internet安全协议付款授权付款网关完成下列任务：验证所有证书解密数字信封，取得一次性会话密钥，并解密验证商家在授权信息上的签名对从持卡人收到的付款信息（PI）执行2和3步匹配从商家收到的事务ID与从持卡人的PI收到的事务ID是否一样请求和接收信用卡签发人的授权（银行），以便从持卡人向商家付款。Internet安全协议授权响应商家付款网关验证完成，其中包含有签别信息、令牌信息和数字签名Internet安全协议3、付款捕获商家要与付款网关进行付款捕获事务，包括：捕获请求与捕获响应。Internet安全协议捕获请求商家付款网关需要购物付款消息Internet安全协议捕获响应商家付款网关这里是详细内容用数字证书加密Internet安全协议SET结论SSL：只涉及双方安全信息交换SET：则专门用于电子商务事务Internet安全协议SET模型证书机构证书机构CA证书机构CA持卡人商家付款网关商家的证书持卡人的证书验证持卡人证书验证商家证书证书请求证书请求购物响应购物请求验证响应验证请求Internet安全协议SSL与SET比较问题SSLSET主要目的以加密形式交换数据电子商务相关付款机制证书双方交换证书参与各方信任第三方认证鉴别有鉴别机制，但不够强大有强大的鉴别机制商家欺诈风险有可能，因为客户要向商家提供财务数据不可能，因为客户向付款网关提供财务数据客户欺诈风险有可能，因为客户可能在后面拒绝付款，没有防止机制客户对付款指令做了数字签名客户欺诈时的措施商家负责付款网关负责实际使用多目前还不多，正逐渐增加Internet安全协议电子货币电子现金或数字现金客户银行1、客户到银行开户2、当客户需要电子货币（假设100元），向银行发一封电子邮件，请求电子货币，该电子邮件肯定要加密3、银行鉴别消息并确认后，从客户的帐号中取出所需的金额4、银行向客户发送电子货币，这个文件也必须加密从银行取得电子货币过程Internet安全协议电子货币客户银行当客户要购物时，可以使用这个电子货币。他只需将必要的文件发送给商家即可。这也是必须加密的。用电子货币购物Internet安全协议电子货币商家银行商家将文件发给银行，银行验证后，往商家帐户上记入相应数量的金额商家从银行获得付款Internet安全协议电子货币的安全机制银行将电子货币加密两次后发给客户银行100元客户%^^A银行的私钥客户的公钥Internet安全协议电子货币的安全机制客户收到电子货币并两次解密客户%^^A银行100元客户的私钥银行的公钥为了保证鉴别，还可以加上数字签名和证书技术Internet安全协议电子货币类型是否可跟踪标识电子货币匿名电子货币是否实时事务联机电子货币脱机电子货币Internet安全协议标识电子货币类似于信用卡，银行可跟踪电子货币从最新发给客户到最终回到银行的过程。银行会给电子货币加上一个唯一的序列号但会造成隐私问题银行客户100元SR100客户商家100元SR100商家银行100元SR1001、银行生成序列号，与电子货币一起发给客户。2、客户购物后，将电子货币发送给商家3、商家把电子货币交还银行，电子货币的序号不变Internet安全协议匿名电子货币盲钱。无法跟踪。标识电子货币序号由银行生成；匿名电子货币序号由客户生成。标识电子货币很容易发现和阻止客户多次使用同一货币。Internet安全协议银行在事务中的参与程度联机电子货币银行要参与客户与商家之间的事务。商家要求银行实时确认客户提供的电子货币是否可以接受脱机电子货币不参与Internet安全协议重复使用问题有四种电子货币使用方式联机标识电子货币脱机标识电子货币联机匿名电子货币脱机匿名电子货币最后一种电子货币有可能造成重复使用问题。盲钱在脱机状态短时间内在几个商家重复消费。所以脱机匿名电子货币没有用。脱机标识电子货币也可能重复使用。但发现后容易追查。Internet安全协议电子邮件安全性电子邮件From:JohnSmith(john@)To:Cherry(cherry@)Subject:AcceptingtheofferDate:4March2007DearCherry,Ihavedecidedtoacceptyouroffer.RegardsJohn邮件头邮件正文（内容）Internet安全协议电子邮件的转发过程发送方接收方E-mail发送方的SMTP服务器接收方的SMTP服务器SMTP发送邮件POP接收邮件SMTPPOPDNSInternet安全协议电子邮件安全协议隐私增强型协议PEM极棒隐私协议（PGP）安全MIME（S/MIME）协议Internet安全协议隐私增强型协议PEMPEM：PrivacyEnhancedMailInternet体系结构委员会（IAB）采用的电子邮件安全标准。包括加密、不可抵赖性、消息完整性隐私增强型邮件协议PEM加密不可抵赖性消息完整性Internet安全协议PEM工作原理只签名（1和2步）签名加64进制编码（1、2、4步）签名、加密和64进制编码（1、2、3、4步）1、规范转换2、数字签名3、加密4、64进制编码Internet安全协议规范转换发送邮件和接收邮件的机器体系结构和操作系统可能不同在MS-DOS下，换行要两个字符（0a和0d)，而在Unix下，只要一个字符。那么在算数字摘要的时候就会得出不同的结果。进而不能进行正确的数字签名。形成统一、独立于系统的格式Internet安全协议数字签名方法和以前一样From:Cherry(cherry@)To:John(john@)Subject:Offer100100010011101010101001消息摘要算法MD5/SH