Internet安全协议

公司徽标第六讲Internet安全协议主讲:张修军Email:woodszhang@gmail.com电话:88195226静态WEB页面Web服务器Web浏览器HTTP请求HTTP响应GET/file/new/image1HTTP/1.1Accept:image/gifAcept:image/jepgHTTP/1.1200OKDate:Tue,19-08-0715:48:10GMTServer:MyServerContent-length:3010…(实际图像数据)动态WEB页面Web服务器Web浏览器1、HTTP请求4、HTTP响应3、程序运行并生成HTML输出2、激活一个应用程序（如CGI）以响应HTTP请求动态WEB页面Web服务器Web浏览器1、HTTP请求4、HTTP响应3、程序运行并生成HTML输出2、激活一个应用程序（如CGI）以响应HTTP请求应用程序包括：CGI，ASP（ActiveServerPages),Java小程序和Java服务器页面（JSP，JavaServerPages)活动WEB页面Web服务器Web浏览器1、HTTP请求4、HTTP响应1、ActiveX控件（限制小，不安全）2、Java小程序（限制多，安全性好一些）3、都可以通过数字签名来验证包含1、HTML页面2、各种小程序沙漏计时器形状的TCP/IP协议族HTTPSMTPDNSRTPTCPUDPIP网际层网络接口层运输层应用层………网络接口1网络接口2网络接口3EverythingoverIPIP可为各式各样的应用程序提供服务IPoverEverythingIP可应用到各式各样的网络上TCP/IP四层协议的表示方法举例应用层运输层网际层网络接口层主机A主机B路由器网络2网络1应用层运输层网际层网络接口层网际层网络接口层4321网络1网络29计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2应用进程数据先传送到应用层加上应用层首部，成为应用层PDU10计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2应用层PDU再传送到运输层加上运输层首部，成为运输层报文11计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2运输层报文再传送到网络层加上网络层首部，成为IP数据报（或分组）12计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2IP数据报再传送到数据链路层加上链路层首部和尾部，成为数据链路层帧13计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2数据链路层帧再传送到物理层最下面的物理层把比特流传送到物理媒体14计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2数据链路层剥去帧首部和帧尾部取出数据部分，上交给网络层15计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2网络层剥去首部，取出数据部分上交给运输层16计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2运输层剥去首部，取出数据部分上交给应用层17计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2应用层剥去首部，取出应用程序数据上交给应用进程18计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2我收到了AP1发来的应用程序数据！19计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2应用程序数据应用层首部H510100110100101比特流110101110101注意观察加入或剥去首部（尾部）的层次应用程序数据H5应用程序数据H4H5应用程序数据H3H4H5应用程序数据H4运输层首部H3网络层首部H2链路层首部T2链路层尾部20计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机210100110100101比特流110101110101计算机2的物理层收到比特流后交给数据链路层H2T2H3H4H5应用程序数据21H3H4H5应用程序数据计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2数据链路层剥去帧首部和帧尾部后把帧的数据部分交给网络层H2T2H3H4H5应用程序数据22H4H5应用程序数据H3H4H5应用程序数据计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2网络层剥去分组首部后把分组的数据部分交给运输层23H5应用程序数据H4H5应用程序数据计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2运输层剥去报文首部后把报文的数据部分交给应用层24应用程序数据H5应用程序数据计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2应用层剥去应用层PDU首部后把应用程序数据交给应用进程25计算机1向计算机2发送数据5432154321计算机1AP2AP1计算机2我收到了AP1发来的应用程序数据！安全套接层SSL：SecureSocketlayer“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如HTTP、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL在TCP/IP协议中的地位数据链路层5应用层4运输层3网络层2数据链路层1物理层数据链路层5应用层4运输层3网络层2数据链路层1物理层4.5SSL层SSL工作原理SSL包括三个子协议：1、握手协议（HandshakeProtocol)2、记录协议（RecordProtocol)3、报警协议（Alertprotocol)握手协议客户机和服务器连接通信时使用的第一个协议类似于Alice与Bob要先握手（说Hello)，然后才开始通话。类型长度内容1字节3字节1~N字节消息类型消息类型参数Hellorequest(握手请求）无Clienthello(客户机握手）略Serverhello(服务器握手）略Certificate(证书）略Serverkeyexchange（服务器密钥交换）略Certificaterequest(证书请求）略Serverhellodone(服务器握手完成）无Certificateverify(证书验证）略Clientkeyexchange(客户机密钥交换）略Finished（完成）略握手过程简述Web服务器Web浏览器1、建设安全能力2、服务器鉴别和密钥交换3、客户机鉴别和密钥交换4、完成建立安全能力Web服务器Web浏览器1、ClientHello2、ServerHello版本信息；Random；会话ID；加密套（加密算法清单）；压缩方法服务器鉴别与密钥交换Web服务器Web浏览器1、证书2、服务器密钥交换3、证书请求4、服务器握手完成第一步：发送自己的证书和到根CA的整个链发给客户机第二步：在没有证书情况下发送自己的公钥第三步：请求客户机发送自己的证书过来客户机鉴别与密钥交换Web服务器Web浏览器第一步：服务器请求的情况下，发送自己的证书和到根CA的整个链发给服务器。如果自己没有，就发NoCertificate消息1、证书2、客户机密钥交换3、证书验证完成Web服务器Web浏览器计算主秘密（mastersecret)，用于生成密钥和秘密，用于加密和MAC计算。涉及到MD5算法。1、改变加密规范2、完成3、改变加密规范4、完成第二个协议：记录协议保密性：使用握手协议定义的秘密密钥实现。完整性：握手协议还定义了共享的秘密密钥（MAC消息鉴别码），用于消息的完整性。第三个协议：警报协议客户机和服务器发现错误时，向对方发一个警报信息。如果是致命错误，则双方立即关闭SSL连接。关闭与恢复SSL连接通信结束前，双方都要告诉对方准备结束连接。发送关闭通知使用非对称密钥加密，最好能复用或恢复前面的SSL连接，而不要启用新连接。当然证书不能过期安全超文本传输协议SHTTP：SecureHyperTextTransferProtocol注意：用SSL发送HTTP请求是HTTPS我们这里是SHTTPSHTTPSHTTP提供的服务和SSL提供的类似，SSL取得了巨大的成功，但SHTTP却没有。两者在TCP/IP位置数据链路层5应用层SHTTP4运输层3网络层2数据链路层1物理层4.5SSL层时间戳协议TSP：TimeStampingProtocol证明某些数据在特定时间存在。TSP现在正由PKIX工作组开发要解决的问题是什么？TSP的目的PKI下用户签名后可能否认自己的数字签名理由是：私钥被人破了。利用TSP协议可以证明：某个电子文档是在某个特定日期和时间之前签发的。TSP工作步骤1、计算消息摘要TSA：时间戳机构客户机原始消息消息摘要算法消息摘要TSP工作步骤2、请求时间戳TSA：时间戳机构客户机消息摘要时间戳请求TSP工作步骤3、时间戳响应TSA：时间戳机构客户机时间戳响应…………TSA要使用信任时间源；要对消息摘要进行时间戳；时间戳中不对请求实体客户机包括任何标识。安全电子事务规范SET：SecureElectronicTransaction开放的加密与安全规范，用于保护Internet上信用卡事务。1996年MasterCard和Visa共同完成，联合了IBM，Microsoft,Netscape,RSA,Terisa与Verisign等公司。1998年推出了第一代SET兼容产品SET的起源MasterCard和Visa公司认识到在电子商务支付过程中，软件公司提供的标准不兼容。一边是Microsoft的标准，一边是IBM的标准他们决定建立一个新的标准。注意：SET不是支付系统，而是一组安全协议和格式。SET的作用使用户可以安全的在Internet上采用现有信用卡支付基础结构。SET服务包括：1、在参与电子商务事务的各方之间提供安全的通信信道。2、用数字证书提供鉴别。3、保证保密性。SET非常复杂，有971页，三册。SET的参与者持卡人：MasterCardVisa卡商家：签发人：银行收款人：财务机构（如中国的银联）付款网关：可由收款人承担证书机构（CA）SET过程1、客户开设帐号2、客户接收证书3、商家接收证书4、客户下订单5、验证商家6、发送订单与付款细节7、商家请求付款授权8、付款网关授权付款9、商家确认订单10、商家提供商品或服务11、商家请求付款SET如何达到目的问题：客户要向商家发送信用卡细节1、信用卡以明文形式发送，可能被截获2、商家得到后，也可能滥用解决办法1、SSL解决第一个问题2、数字信封的概念解决第二个问题。如何防止商家滥用1、SET软件在持卡人计算机上准备PI（付款信息），主要包括持卡人的信用卡细节和任何Web付款系统中一样。2、SET的特别之处是持卡人的计算机生成一次性会话密钥3、持卡人的计算机利用这个一次性会话密钥加密付款信息4、然后持卡人的计算机用付款网关的公钥加密一次性会话密钥，构成数字信封。5、然后将第3步加密的付款信息和第4步的数字信封发送给商家，商家再将其交给付款网关从而实现对商家的信息隐藏！SET技术细节1、购物请求包括：启动请求、启动响应、购物请求、购物响应四步持卡人要有商家、付款网关的数字证书启动请求持卡人商家请发你的数字证书和付款网关的数字证书，这是我们交互的唯一标记号和我的信用卡签发者名启动响应持卡人商家这是我的事务，这是我和付款网关的数字证书购物请求持卡人用相应CA签名验证商家的数字证书和付款网关的数字证书后，生成订单信息（OI）和付款信息（PI）所有信息（PI及PI和OI的数字签名）用一次性密钥K加密用付款网关的公钥加密K，生成数字信封。以防商家能阅