[互联网]网络安全协议.ppt

网络安全协议 安全套接层协议SSL 安全电子交易协议SET SSL 的结构 SSL是独立于各种协议的 常用于HTTP协议，但也可用于别的协议，如NNTP，TELNET等 SSL 记录协议 建立在可靠的传输协议（如TCP）基础上 提供连接安全性 必威体育官网网址性，使用了对称加密算法 完整性，使用HMAC算法 用来封装高层的协议 SSL握手协议 客户和服务器之间相互鉴别 协商加密算法和密钥 提供连接安全性 身份鉴别，至少对一方实现鉴别，也可以是双向鉴别 协商得到的共享密钥是安全的，中间人不能知道 协商过程是可靠的 SSL基本概念 连接 会话 连接 连接是能提供合适服务类型的传输（在OSI分层模型中的定义） 对SSL，这样的连接是对等关系 连接是暂时的，每个连接都和一个会话相关 会话 SSL会话是指在客户机和服务器之间的关联 会话由握手协议创建 会话定义了一组可以被多个连接共用的密码安全参数 对于每个连接，可以利用会话来避免对新的安全参数进行代价昂贵的协商 连接 Vs 会话 在任意一对的双方之间，也许会有多个安全连接 理论上，双方可以存在多个同时会话，但在实践中并未用到这个特性 会话状态参数 连接状态参数 各种密钥 SSL Handshake 一 建立安全能力 一 建立安全能力 Cipher Suite Alternatives 密钥交换结果 SSL Record Protocol SSL记录协议提供的服务 机密性：握手协议定义了共享的、可用于对SSL有效载荷进行常规加密的密钥及初始/后续的IV 完整性：握手协议还定义了共享的、可用于生成报文MAC的密钥 SSL Change Cipher Spec Protocol 由单个报文组成，报文值为1的单个字节 使得挂起状态被复制到当前状态，改变了这个连接将要使用的密文族 SSL Alert Protocol 用于将SSL有关的告警传输给对方实体 传输时按照当前状态说明被压缩和加密 SSL 密码计算 SSL 通讯模型为标准的C/S 结构，除了在 TCP 层之上进行传输之外，与一般的通讯没有什么明显的区别 主要介绍如何使用OpenSSL进行安全通讯的程序设计。关于OpenSSL 的一些详细的信 息请参考OpenSSL的官方主页 SET协议概述 SET协议(Secure Electronic Transaction，安全电子交易)是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范 SET主要是为了解决用户商家和银行之间通过信用卡支付的交易 而设计的，以保证支付信息的机密，支付过程的完整性，商户及持卡人的合法身份以及可操作性。 SET中的核心技术主要有公开密钥、加密、数字签名、数子信封、数字证书等。 SET能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。 SET协议用以支持B to C这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。 SET实现架构 SET证书体系 SET证书格式 双联签名 数字信封 SET交易过程 SET交易分三个阶段进行: 在购买请求阶段，用户与商家确定所用支付方式的细节 在支付确认阶段，商家会与银行核实,随着交易的进展他们将得到付款 在收款阶段，商家向银行出示所有交易的细节，然后银行以适当方式转移货款 如果不是使用借记卡，而直接支付现金，商家在第二阶段完成以后的任何时间即可以供货支付。第三阶段将紧接着第二阶段进行，用户只和第一阶段交易有关，银行与第二三阶段有关，而商家与三个阶段都要发生关系。每个阶段都涉及到RSA对数据加密以及RSA数字签名。 SET支付流程 SSL与SET协议的比较 事实上，SET和SSL除了都采用RSA公钥算法以外，二者在其他技术方面没有太多相似之处，而RSA在二者中也被 用来实现不同的安全目标。 SET协议比SSL协议复杂。 因为SET不仅加密两个端点间的单个会话，它还非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。SET实现非常复杂，商家和银行都需要改造系统以实现互操作。另外SET协议需要认证中心的支持。 SSL与SET协议的比较 SET是一个多方的报文协议，它定义了银行、商家、持卡人之间的必须的报文规范。与此同时SSL只是简单地在两方之间建立了一条安全连接。SSL是面向连接的，而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内部网或者其他网络上传输，而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。