电子商务安全技术-第10章-安全通信协议与交易协议要点.ppt

1、第九章 安全通信协议与交易协议,9.1 IPV6安全 9.2 安全套接层协议（SSL） 9.3 安全电子交易协议（SET）,9.1 IPV6安全,IPV4的局限性： IPv4协议是我们目前正在使用的IP协议 IPv4地址空间危机 位数32位，可用地址仅232（约40多亿） 网络安全 没有考虑到网络层的安全性,IPV4地址空间危机,IPV6的发展历程,1992年，Internet工程任务组（IETF）成立IPng工作组：IP The Next Generation； 1994年，IPng工作组提出了IPng的草案； 1995年，IPng工作组确定了IPng的协议规范，称为“IP版本6”（IPv6

2、）； 1995-1999年完成了IETF要求的协议审定和测试，IPv6的协议文本成为标准草案。,IPV6的主要特点,扩展的地址空间：地址长度由32位扩展到128位； 简化了报头格式； 安全特性的支持：IPSec（IP Security）； 自动配置特性； 对移动特性的支持。,IPV6的地址,地址的写法 使用点分十进制 0.0.255.255 使用冒号16进制的写法 68E6:8c84:FFFF:FFFF:0:1180:96A:FFFF,IPV6和IPV4报文比较,20 Octets+Options:13

3、字段, 包括3个标志位flags,0 bits,31,Ver,IHL,Total Length,Identifier,32 bit Source Address,32 bit Destination Address,4,8,24,16,Service Type,Options and Padding,Time to Live,Header Checksum,Flags,Fragment Offset,Protocol,IPV4的报头,40 Octets, 8 fields,IPV6的报头,Destination Address,Source Address,Ver IHL,Service Ty

4、pe,Identification,Flags,Offset,TTL,Protocol,Header Checksum,Source Address,Destination Address,Options + Padding,Total Length,Ver,Flow Label,Payload Length,Next Header,Hop Limit,Traffic Class,32 bits,IPv4 Packet Header,IPv6 Packet Header,IPV6和IPV4报头比较,IP安全标准IPSec,IPSec(IP Security)是IPv6的一个组成部分 IPSec

5、在网络层上提供安全服务 弥补IPv4在协议设计时缺乏安全性考虑的不足 IPSec提供的两种安全机制 认证使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改 加密对数据进行加密来保证数据的机密性,IPSec在IPV6中是强制的，在IPV4中是可选的,IP Security示意图,IP安全标准IPSec,IP网络层的要求： 认证性、完整性和机密性 IPSec的基本要素： 认证协议头（AH） 封装安全载荷（ESP） 互联网密钥管理协议：SA、IKE,安全关联（SA）,SA(Security Association) 是发送者和接收者两个IPSec系统之间的一个简单的单向

6、逻辑连接，是一组与网络连接相关联的安全信息参数集合，用于实现安全策略； 因为SA是单个方向的，所以，对于一个双向通信，则需要两个SA。,每个SA通过三个参数来标识 安全参数索引SPI(Security Parameters Index) 目标地址IP 安全协议标识,认证协议头（AH）,AH(Authentication Header),为IP包提供的功能 数据完整性 认证功能 认证算法由SA指定 认证的范围：整个包,两种认证模式： 传输模式：不改变IP头，插入一个AH 隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包中,封装安全载荷（ESP）,ESP(Encapsulatin

7、g Security Payload),提供保密功能，也可以提供认证服务 将需要保密的用户数据进行加密后再封装到IP包中，ESP只认证ESP头之后的信息 认证算法也由SA指定 也有两种模式：传输模式和隧道模式,IPSec的模式,IPSec使用的模式： 传输模式 隧道模式,9.2 安全套接层协议（SSL）,SSL(Secure Socket Layer)协议的产生背景 HTTP协议缺少安全保障 SSL提供数据加密、数据完整性和认证机制,SSL协议的发展历程 1994年，Netscape开发了SSL协议，专门用于保护Web通讯，SSL1.0，不成熟 SSL2.0，基本上解决了Web通讯的安全问题

8、SSL3.0，1996年发布，增加了一些算法，修改了一些缺陷,安全套接层协议（SSL）,SSL协议的设计目标 SSL协议被设计用来使用TCP提供一个可靠的端到端安全服务 为两个通讯个体之间提供保密性和完整性,SSL协议的使用 使用SSL协议的浏览器： Netscape的Navigator 微软的Internet Explorer,Internet Explorer中的SSL设置,SSL的体系结构,协议分为两层 底层：SSL记录协议 上层：SSL握手协议、SSL密码变化协议、SSL警告协议,SSL提供的服务,身份认证 用数字证书实现的服务器认证（防止冒名顶替） 保密性 加密传输信息（防止窃听）

9、数据完整性 保证数据信息完整性（防止对数据的损坏）,9.3 安全电子交易协议（SET）,SET(Secure Electronic Transaction)协议的产生背景 电子商务交易的广泛应用 需要保护Internet上信用卡交易的安全性,SET协议的发展历程 1995年，VISA和MasterCard两大信用卡公司联合推出SET协议 SET协议得到了IBM、Netscape、Microsoft、Oracle、VeriSign等公司的支持,安全电子交易协议（SET）,SET协议的设计目标 SET主要为了解决用户、商家和银行之间通过信用卡支付的交易而设计。,SET协议的要求 支付信息的机密 订

10、单信息和个人帐号信息的隔离 商户及持卡人的合法身份 互可操作性,1 定单及 信用卡号,6 确认,5 确认,2 审核,3 审核,4 批准,使用SET进行银行卡支付交易的工作流程,使用SET进行银行卡支付交易的工作流程,SET的安全技术,消息摘要是一个唯一对应一个消息或文本的值，它由哈希（Hash）加密算法对一个消息摘要生成一串密文，由此验证消息在传输过程中没有被修改。,数字签名SET中使用RSA算法来实现数字签名，保证发送者对所发信息不能抵赖。,数字信封在SET中使用对称密钥来加密数据，然后将此对称密钥用接收者的公钥加密，称为消息的“数字信封”，将其和数据一起送给接收者。,双重签名SET要求将订

11、单信息和个人信用卡账号信息分别用商家和银行的公钥进行数字签名，保证商家只能看到订货信息，而银行只能看到账户信息。,SET和SSL协议的比较,安全套接层（SSL）协议提供了两个端点之间的安全链接，能对信用卡和个人信息提供较强的保护；SSL协议被大部分Web浏览器和web服务器所内置，比较容易被应用。,SET协议比SSL协议复杂，在理论上安全性也更高，因为SET协议不仅加密两个端点间的连接，还可以加密和认定三方的多个信息，而这是SSL协议所未能解决的问题。SET标准的安全程度很高，它结合了数据加密标准DES、RSA算法和安全超文本传输协议，为每一项交易都提供了多层加密。,SET和SSL协议的比较,SET与SSL相比主要有以下4个方面的优点： （1）SET对商家提供了保护自己的手段，使商务免受欺诈的困扰，使商家的运营成本降低。 （2）对消费者