数据加密技术..ppt

SSL握手协议 SSL握手协议被封装在记录协议中，该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时，服务器与客户机交换一系列消息。 这些消息交换能够实现如下操作： q??客户机认证服务器 q??允许客户机与服务器选择双方都支持的密码算法 q??可选择的服务器认证客户 q??使用公钥加密技术生成共享密钥 q??建立加密SSL连接 步骤1??????建立安全能力。 客户机向服务器发送client_hello报文，服务器向客户机回应server_hello报文。建立的安全属性包括：协议版本、会话ID、密文族、压缩方法，同时生成并交换用于防止重放攻击的随机数。密文族参数包括密钥交换方法（Deffie-Hellman密钥交换算法、基于RSA的密钥交换和另一种实现在Fortezza chip上的密钥交换）、加密算法（DES、RC4、RC2、3DES等）、MAC算法（MD5或SHA-1）、加密类型（流或分组）等内容。 步骤2??????认证服务器和密钥交换。 在hello报文之后，如果服务器需要被认证，服务器将发送其证书。如果需要，服务器还要发送server_key_exchange；然后，服务器可以向客户发送certificate_request请求证书。服务器总是发送server_hello_done报文，指示服务器的hello阶段结束。 步骤3??????认证客户和密钥交换。 客户一旦收到服务器的server_hello_done报文，客户将检查服务器证书的合法性（如果服务器要求），如果服务器向客户请求了证书，客户必须发送客户证书，然后发送client_key_exchange报文，报文的内容依赖于client_hello与server_hello定义的密钥交换的类型。最后，客户可能发送client_verify?报文来校验客户发送的证书，这个报文只能在具有签名作用的客户证书之后发送 步骤4??????结束。 客户发送change_cipher_spec报文并将挂起的CipherSpec复制到当前的CipherSpec。这个报文使用的是修改密文协议。然后，客户在新的算法、对称密钥和MAC秘密之下立即发送finished报文。finished报文验证密钥交换和鉴别过程是成功的。服务器对这两个报文响应，发送自己的change_cipher_spec报文、finished报文。握手结束，客户与服务器可以发送应用层数据了。 当客户从服务器端传送的证书中获得相关信息时，需要检查以下内容来完成对服务器的认证： q???时间是否在证书的合法期限内； q???签发证书的机关是否客户端信任的； q???签发证书的公钥是否符合签发者的数字签名； q???证书中的服务器域名是否符合服务器自己真正的域名。 服务器被验证成功后，客户继续进行握手过程。 同样地，服务器从客户传送的证书中获得相关信息认证客户的身份，需要检查： q???用户的公钥是否符合用户的数字签名； q???时间是否在证书的合法期限内； q???签发证书的机关是否服务器信任的； q???用户的证书是否被列在服务器的LDAP里用户的信息中； q???得到验证的用户是否仍然有权限访问请求的服务器资源。 什么是安全电子交易SET? SET(Secure Electronic Transaction)维萨和万事达公司为保证信用卡在公共网络上支付安全而开发的开放式电子支付协议。SET得到了很多著名大公司的支持，成为事实上的工业标准。 SET协议涉及的范围： 持卡人：用信用结算的消费者。 发卡机构：为消费者发行信用卡的金融机构。 商家：交易商品的提供者，接受消费者持卡支付。 银行：接受发卡机构、持卡人和商家的委托，处理支付卡的认证、在线支付和电子转帐。 支付网关：将公共网络上传输的数据转换为金融机构的内部数据，并处理商家的支付信息和持卡人的支付指令。 认证中心CA：验证客户、商家和银行身份。 SET协议的安全技术：SET协议使用以对称和非对称加密技术为基础的数字信封技术、数字签名技术、信息摘要技术等保证数据传输和处理的安全性。 SET协议涉及的证书：持卡人证书、商家证书、支付网关证书、银行证书和发卡人证书。 支 付 与 授 权 订单与支付信息 支付与授权信息 确认与授权 客户 发卡 机构 CA认 证中心 支付 网关 商家 银行 信息浏览、填写订 单和支付信息处理 支付 资金 结算 协议转换和数据接 口安全及鉴别管理 商品和服务信息发布、订单 处理、支付管理、货款结算 认证 交易 各方 认证 认证 利用SET协议的网上购物流程 授权发卡、付款 卡的管理与确认 认证 3：网上银行 ??? 网上银行是指银行借助于互联网技术向客户提供信息服务和金融交