信息安全课程教学课件安全协议.pptVIP

取得支付阶段 为了得到消费者的付费款项，特约商店必须和支付网关进行支付信息的交换处理，这项交易过程中包含了两个消息，分别是记录请求消息与记录响应消息。 SET协议的安全性分析 认证安全 完整性安全 机密性安全 抗否认性 隐私权的安全保护 * AH传输模式 除变长字段外都要认证 AH传输模式下IPv4封包： 原IPv4封包： IP头 TCP/UDP头 数据 原IP头 TCP/UDP头 数据 AH头 AH在传输模式中的位置 IPv6 扩展头(如果存在) 传输协议头 传输协议数据 应用AH后的IPv6头 逐跳、路由分段以及目的*扩展头 传输协议头 传输协议数据 AH 应用AH前的IPv6头 除变长域外都要认证 IP报头 IP报头 ESP传输模式 加密 ESP传输模式下IPv4封包： 原IPv4封包： IP头 TCP/UDP头 数据 原IP头 TCP/UDP头 数据 ESP头 ESP尾部 ESP认证数据 认证 AH隧道模式 除新IP头变长字段外都要认证 原IPv4封包： IP头 TCP/UDP头 数据 AH传输模式下IPv4封包： 新IP头 AH头 原IP头 TCP/UDP头 数据 ESP隧道模式 加密 ESP传输模式下IPv4封包： 原IPv4封包： IP头 TCP/UDP头 数据 新IP头 TCP/UDP头 数据 ESP头 ESP尾部 ESP认证数据 认证 原IP头 IPsec的应用 目前IPsec最主要的应用就是构建安全的虚拟专用网。 虚拟专用网(Virtual Private Network，VPN)是一条穿过公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据，达到私有网络的安全级别。 基于IPsec的VPN AH传输模式认证不适用的一种情况 NAT网关 具有私有IP地址的主机A 网关 主机B Internet 13.3 SSL协议 SSL协议是一个传输层安全协议。 SSL协议由Netscape公司于1994年11月提出并率先实现，即SSL V2.0 Internet-Draft版本 1996年3月推出了SSL V3.0 Internet-Draft版本,最终被IETF所采纳，并制定为传输层安全标准。 工作在传输层之上，应用层之下，其底层是基于传输层可靠的流传输协议（如TCP） HTTP Telnet SMTP TCP SSL IP FTP SSL安全协议主要提供三方面的服务 客户和服务器的合法性认证 加密数据以隐藏被传送的数据 保护数据的完整性 SSL安全通信过程 （1）接通阶段： 客户机通过网络向服务器打招呼，服务器回应； （2）密码交换阶段： 客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法； （3）会谈密码阶段： 客户机与服务器间产生彼此交谈的会谈密码； （4）检验阶段： 客户机检验服务器取得的密码； （5）客户认证阶段： 服务器验证客户机的可信度； （6）结束阶段： 客户机与服务器之间相互交换结束的信息。 SSL协议的分层结构 SSL协议具有两层结构，其底层是SSL记录协议层（SSL Record Protocol Layer），简称记录层。其高层是SSL握手协议层（SSL Handshake Protocol Layer），简称握手层。 应用层协议（HTTP、Telnet、FTP、SMTP等） SSL握手协议（Handshake Protocol） SSL记录协议（Record Protocol） TCP协议 IP协议 SSL协议 会话与连接 Connection (连接)： 一个在传输层协议上的传输媒介，它提供一个适当的服务。连接建立在会话的基础上，每个连接与一个会话相关联，并对应到一个会话。 Session (会话)： SSL会话建立客户与服务器之间的一个关联（Association）。每一组客户端与服务器之间就是一个SSL session。这些会话定义一组以密码为基础的安全性参数，这些参数能够由多个连接来共同使用。 连接1 连接1 连接2 连接2 …… …… 连接n 连接n 会话 SSL握手协议 Handshake协议用来让客户端及服务器确认彼此的身份。协助双方选择连接时所使用的加密算法、MAC算法、及相关密钥。 Handshake由一些客户与服务器交换的消息所构成，每一个消息都含有以下三个字段： 类型(Type)，1个字节：表示消息的类型，总共有十种。 长度(Length)，3个字节：消息的位组长度。 内容(Content)，大于或等于1个字节，与此消息有关的参数。 SSL