《计算机网络安全课件(沈鑫剡)第11章教学文案.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全课件(沈鑫剡)第11章教学文案.ppt(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全计算机网络安全课件(沈鑫剡)第11章应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全11.1 Web安全协议安全协议nWeb安全问题;安全问题;nWeb安全机制;安全机制;nHTTP over TLS;nSET。由于网络用户通常都通过网站访问网络、由于网络用户通常都通过网站访问网络、进行网上购物和电子银行转账,因此,进行网上购物和电子银行转账,因此,Web安全问题是广大网络用户最关心,也安全问题是广大网络用户最关心,也是
2、直接影响网络健康发展的问题。是直接影响网络健康发展的问题。应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全Web安全问题安全问题伪造和篡改网页伪造和篡改网页n伪造银行网站,诱使用户登录;伪造银行网站,诱使用户登录;n篡改著名网站网页,用银行或其他著名网站域名链接伪篡改著名网站网页,用银行或其他著名网站域名链接伪造网站。造网站。截取用户私密信息截取用户私密信息n拦截用户和商务网站进行电子商务活动过程中交换的信拦截用户和商务网站进行电子商务活动过程中交换的信息;息;n伪造网页进行诈骗。伪造网页进行诈骗。拒绝服务攻击拒绝服务攻击n耗尽服
3、务器资源;耗尽服务器资源;n耗尽服务器链接网络链路的带宽。耗尽服务器链接网络链路的带宽。应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全Web安全机制安全机制n解决解决Web安全问题的关键是服务器身份认证和信息传输加安全问题的关键是服务器身份认证和信息传输加密,服务器身份认证解决伪造网站的问题,信息传输加密密,服务器身份认证解决伪造网站的问题,信息传输加密解决截获用户私密信息的问题;解决截获用户私密信息的问题;n解决这两个问题需要动态协商安全参数并完成对方身份认解决这两个问题需要动态协商安全参数并完成对方身份认证的协议,网际层的证
4、的协议,网际层的IPSec、运输层的、运输层的TLS和应用层的和应用层的SET都是具有这种功能的协议;都是具有这种功能的协议;n越是底层,通用性越好,但无法顾及特定应用的细节;和越是底层,通用性越好,但无法顾及特定应用的细节;和指定应用关联越多,越能满足指定应用的安全要求。指定应用关联越多,越能满足指定应用的安全要求。网网际层运运输层应用用层应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全HTTP over TLSnTLS完成双方身份认证和安全参数协商,完成双方身份认证和安全参数协商,安全传输上层信息;安全传输上层信息;n这里,这
5、里,TLS主要实现对服务器的身份认证,主要实现对服务器的身份认证,约定安全传输过程用到的加密解密算法、约定安全传输过程用到的加密解密算法、密钥、消息认证算法等安全参数;密钥、消息认证算法等安全参数;n将用户和服务器之间交换的将用户和服务器之间交换的HTTP报文封装报文封装成成TLS记录协议报文。记录协议报文。应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n用证书证明服务器用证书证明服务器域名和公钥域名和公钥PKS的的绑定;绑定;n终端用终端用PKS加密预加密预主密钥,预主密钥主密钥,预主密钥是生成密钥的主要是生成密钥的主要参数;
6、参数;n一旦确认服务器和一旦确认服务器和终端生成相同的密终端生成相同的密钥,服务器身份得钥,服务器身份得到确认;到确认;n终端和服务器用约终端和服务器用约定的加密解密算法定的加密解密算法和密钥实现数据的和密钥实现数据的安全传输。安全传输。HTTP over TLS应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n由于由于TLS约定的安全约定的安全参数只有终端和服务参数只有终端和服务器知道,因此,加密器知道,因此,加密和消息认证码计算过和消息认证码计算过程本身具有认证发送程本身具有认证发送者身份的作用;者身份的作用;n消息认证码用于
7、完整消息认证码用于完整性检测,序号保证顺性检测,序号保证顺序接收序接收TLS记录协议记录协议报文;报文;n用三重用三重DES加密需要加密需要传输的数据。传输的数据。HTTP over TLS应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全安全电子交易(安全电子交易(SET)nSET应用系统用于实应用系统用于实现电子购物;现电子购物;n既要保证持卡人的私既要保证持卡人的私密信息只在持卡人和密信息只在持卡人和发卡机构之间传输,发卡机构之间传输,又要保证商家权益;又要保证商家权益;n信息只能在指定的发信息只能在指定的发送端和接收端之间传
8、送端和接收端之间传输,即必须对发送端输,即必须对发送端进行身份认证,只有进行身份认证,只有指定接收端才能获得指定接收端才能获得信息。信息。SETSET应用系统应用系统应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n持卡人封装处理过程一是需要认证发送者身份,二是保证只有指定接收者才能获持卡人封装处理过程一是需要认证发送者身份,二是保证只有指定接收者才能获得信息,三是持卡人不能否定发送过的购物请求;得信息,三是持卡人不能否定发送过的购物请求;n认证发送者身份和无法否认发送过的购物请求通过数字签名实现,数字签名认证发送者身份和无法否认
9、发送过的购物请求通过数字签名实现,数字签名DSKC(H(P);SKC是发送者私钥,是发送者私钥,H是报文摘要算法。是报文摘要算法。n明文、数字签名和证明发送者和公钥之间绑定的证书用明文、数字签名和证明发送者和公钥之间绑定的证书用3DES加密算法加密,并加密算法加密,并将密钥用指定接收者的公钥加密,因此,只有指定接收者才能还原密钥,并因此将密钥用指定接收者的公钥加密,因此,只有指定接收者才能还原密钥,并因此获得明文、数字签名和证书。获得明文、数字签名和证书。安全电子交易(安全电子交易(SET)持卡人封装持卡人封装过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网
10、络安全计算机网络安全计算机网络安全n指定商家才能用私钥解密出密钥指定商家才能用私钥解密出密钥KEY,并因此获得明文、数字签名和证,并因此获得明文、数字签名和证书;书;n对明文对明文P进行报文摘要运算,对数字签名用证书给出的公钥进行加密运算,进行报文摘要运算,对数字签名用证书给出的公钥进行加密运算,然后对两者进行比较,如果相等:一是证明由证书指定的发送者发送,然后对两者进行比较,如果相等:一是证明由证书指定的发送者发送,二是明文确实是发送者发送的明文。这样,完成了发送者身份认证、数二是明文确实是发送者发送的明文。这样,完成了发送者身份认证、数字签名认证和完整性检测。字签名认证和完整性检测。安全电
11、子交易(安全电子交易(SET)商家商家认证发送者身份和解密数据送者身份和解密数据过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n双重签名的目的是证明两份报文的关联性,不仅通双重签名的目的是证明两份报文的关联性,不仅通过数字签名证实由发送者发送,而且证实这两份报过数字签名证实由发送者发送,而且证实这两份报文和同一事务相关;文和同一事务相关;n这里需要证明支付信息和购货信息是对应的,是与这里需要证明支付信息和购货信息是对应的,是与同一次电子购物相关的两份报文。同一次电子购物相关的两份报文。安全电子交易(安全电子交易(SET)双
12、重双重签名名过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n持卡人、商家持卡人、商家和支付网关需和支付网关需要获得由认证要获得由认证中心签发的证中心签发的证书;书;n选择商品,得选择商品,得到商家发送的到商家发送的定货信息;定货信息;n向商家提供定向商家提供定货信息和支付货信息和支付信息;信息;n商家认证支付商家认证支付信息;信息;n商家提供商品商家提供商品。安全电子交易(安全电子交易(SET)电子交易子交易过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安
13、全n购买请求消息在获得商家提供的购物购买请求消息在获得商家提供的购物清单后发送;清单后发送;n根据购物清单构件定货信息和支付信根据购物清单构件定货信息和支付信息,定货信息发送给商家,支付信息息,定货信息发送给商家,支付信息由商家用于认证持卡人的支付能力,由商家用于认证持卡人的支付能力,为了将定货信息和支付信息绑定在一为了将定货信息和支付信息绑定在一起,持卡人采用双重签名;起,持卡人采用双重签名;n为了上支付网关和商家认证双重签名,为了上支付网关和商家认证双重签名,发送给商家的信息中包含支付信息的发送给商家的信息中包含支付信息的报文摘要,发送给支付网关的信息中报文摘要,发送给支付网关的信息中包含
14、订货信息的报文摘要;包含订货信息的报文摘要;n为了区别信息的接收者,分别用支付为了区别信息的接收者,分别用支付网关和商家的公钥加密发送给它们的网关和商家的公钥加密发送给它们的信息。信息。安全电子交易(安全电子交易(SET)购买请求消息封装求消息封装过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n商家验证双重签名,确定定货信息的发送者和双重签名证实的支付信息的报文摘要;商家验证双重签名,确定定货信息的发送者和双重签名证实的支付信息的报文摘要;n对发送给支付网关的密文不作处理,用于生成用于验证持卡人支付能力的授权请求消对发送给
15、支付网关的密文不作处理,用于生成用于验证持卡人支付能力的授权请求消息。息。安全电子交易(安全电子交易(SET)商家商家验证双重双重签名名过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n授权请求信息的目授权请求信息的目的是验证持卡人的的是验证持卡人的支付能力;支付能力;n支付信息中除了有支付信息中除了有关账户、密码等私关账户、密码等私密信息,还有交易密信息,还有交易标识符和支付金额标识符和支付金额等与本次交易关联等与本次交易关联的信息;的信息;n授权信息中同样提授权信息中同样提供交易标识符和支供交易标识符和支付金额等与本次交
16、付金额等与本次交易有关的信息,便易有关的信息,便于支付网关验证。于支付网关验证。安全电子交易(安全电子交易(SET)商家封装授商家封装授权请求消息求消息过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n认证支付信认证支付信息发送者身息发送者身份和授权请份和授权请求消息发送求消息发送者身份;者身份;n认证双重签认证双重签名,确认支名,确认支付信息和订付信息和订货信息之间货信息之间的关联;的关联;n根据商家提根据商家提供的授权信供的授权信息和持卡人息和持卡人提供的支付提供的支付信息验证持信息验证持卡人的支付卡人的支付能力。能力。
17、安全电子交易(安全电子交易(SET)支付网关支付网关验证授授权请求消息求消息过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n支付网关验证持卡支付网关验证持卡人支付能力后,向人支付能力后,向商家提供承兑凭证,商家提供承兑凭证,一旦商家提供已向一旦商家提供已向持卡人提供商品或持卡人提供商品或服务的证据,即可服务的证据,即可凭承兑凭证要求电凭承兑凭证要求电子转账;子转账;n商家不能处理承兑商家不能处理承兑凭证;凭证;n授权信息由支付网授权信息由支付网关数字签名,用于关数字签名,用于向商家通告验证持向商家通告验证持卡人支付能力的结
18、卡人支付能力的结果。果。安全电子交易(安全电子交易(SET)支付网关封装授支付网关封装授权响响应消息消息过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n商家向持卡人提供商品或商家向持卡人提供商品或服务后,要求支付网关完服务后,要求支付网关完成电子转账;成电子转账;n商家提供支付网关提供的商家提供支付网关提供的承兑凭证和请求消息;承兑凭证和请求消息;n请求消息中给出本次购物请求消息中给出本次购物的相关信息,如交易标识的相关信息,如交易标识符、支付金额等,还有已符、支付金额等,还有已经完成向持卡人提供商品经完成向持卡人提供商品
19、或服务的证据;或服务的证据;n支付网关根据请求消息验支付网关根据请求消息验证承兑凭证,在验证无误证承兑凭证,在验证无误的情况下,通过支付网络的情况下,通过支付网络和专用支付系统完成持卡和专用支付系统完成持卡人至商家的电子转账。人至商家的电子转账。安全电子交易(安全电子交易(SET)商家封装商家封装请求消息求消息过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全11.2 电子邮件安全协议电子邮件安全协议nPGP;nS/MIME。电子邮件安全协议采用的技术和其他安全电子邮件安全协议采用的技术和其他安全传输协议相似,一是通过数字签名
20、完成发传输协议相似,一是通过数字签名完成发送者身份认证,二是通过加密实现保密传送者身份认证,二是通过加密实现保密传输。只是输。只是PGP采用和邮件格式无关的机制,采用和邮件格式无关的机制,S/MIME采用在邮件内容的定义中增加数字采用在邮件内容的定义中增加数字签名和保密传输类型。签名和保密传输类型。应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全PGPn前提是双方均已通过认证中心获得公钥、私钥对和证书,前提是双方均已通过认证中心获得公钥、私钥对和证书,并向对方发送了证书;并向对方发送了证书;n数字签名实现发送者身份认证和完整性检测
21、;数字签名实现发送者身份认证和完整性检测;n用用3DES加密,并用接收端公钥加密加密,并用接收端公钥加密3DES加密用的密钥,加密用的密钥,保证只有指定接收端才能阅读邮件。保证只有指定接收端才能阅读邮件。发送端送端处理理过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全PGPn指定接收端用私钥解密出指定接收端用私钥解密出3DES的密钥,然的密钥,然后还原出压缩消息;后还原出压缩消息;n对解压后的消息通过用发送端公钥验证数字对解压后的消息通过用发送端公钥验证数字签名、完成完整性检测。签名、完成完整性检测。接收端接收端处理理过程程
22、应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全S/MIMEn5个常见关键词:个常见关键词:Date、From、Subject、To、Cc;n只能传输只能传输ASCII码。码。SMTP邮件格式件格式应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n增加了邮件内容类型,允许邮件内容为多媒体信息,如图增加了邮件内容类型,允许邮件内容为多媒体信息,如图片、视频、音频等;片、视频、音频等;n经过编码,将多媒体信息转换成经过编码,将多媒体信息转换成ASCII码进行传输。码进行传
23、输。S/MIMEMIME邮件格式件格式应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n为了和为了和SMTP兼容,非兼容,非ASCII码的码的MIME邮件内容被转换成邮件内容被转换成7位位ASCII码后,通过码后,通过SMTP发送;发送;n接收端需要将通过接收端需要将通过SMTP接收到的接收到的7位位ASCII码重新还原为非码重新还原为非ASCII码的码的MIME邮件内容。邮件内容。S/MIMEMIME和和SMTP的关系的关系应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网
24、络安全n为了安全传输邮件,需要认证发送者身份、进行邮件完整性为了安全传输邮件,需要认证发送者身份、进行邮件完整性检测,认证子报文就用于实现这一功能;检测,认证子报文就用于实现这一功能;n采用数字签名技术,认证子报文中给出证书、数字签名采用采用数字签名技术,认证子报文中给出证书、数字签名采用的算法等;的算法等;n消息和数字签名作为认证子报文主要内容。消息和数字签名作为认证子报文主要内容。S/MIME认证邮件子件子报文文过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n用用3DES对邮件加密,用接收端的公钥加密对邮件加密,用接收
25、端的公钥加密3DES的密钥,的密钥,保证只有指定接收端才能获取邮件内容;保证只有指定接收端才能获取邮件内容;n用明文方式给出消息加密算法,密钥加密算法,加密密用明文方式给出消息加密算法,密钥加密算法,加密密钥的公钥的证书。钥的公钥的证书。S/MIME加密加密邮件子件子报文文过程程应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全11.3 门户网站门户网站n系统结构;系统结构;n系统配置;系统配置;n实现机制。实现机制。门户网站是内部网络资源的入口,由门户门户网站是内部网络资源的入口,由门户网站统一实现对内部网络资源的访问控制网站统一
26、实现对内部网络资源的访问控制过程,门户网站根据事先配置的不同用户过程,门户网站根据事先配置的不同用户的访问权限,对用户身份进行认证,监管的访问权限,对用户身份进行认证,监管用户权限内的资源访问过程。用户权限内的资源访问过程。应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全系统结构系统结构n必须由防火墙控制信息传输过程,即用户和服务器之间不能直接通信,用户必必须由防火墙控制信息传输过程,即用户和服务器之间不能直接通信,用户必须经过门户网站访问服务器;须经过门户网站访问服务器;n外网授权终端同样必须经过门户网站访问内网服务器资源;外网
27、授权终端同样必须经过门户网站访问内网服务器资源;n门户网站必须建立授权用户库,对每一个授权用户设置访问权限。门户网站必须建立授权用户库,对每一个授权用户设置访问权限。应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全系统结构系统结构n用户通过用户通过HTTP访问门户网站;访问门户网站;n门户网站认证用户身份、确定用户访问权限,通过对应资源访问协门户网站认证用户身份、确定用户访问权限,通过对应资源访问协议访问内网资源,将访问结果统一用议访问内网资源,将访问结果统一用HTTP响应传输给用户。响应传输给用户。应用层安全协议应用层安全协议应
28、用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全系统配置系统配置防火墙配置防火墙配置n从用户区到门户区从用户区到门户区 源源IP地址地址=200.1.1.0/24 目的目的IP地址地址=200.1.3.7/32 HTTP服务;服务;n从门户区到服务器区从门户区到服务器区 源源IP地址地址=200.1.3.7/32 目的目的IP地地址址=200.1.2.5/32 HTTP服务;服务;n从门户区到服务器区从门户区到服务器区 源源IP地址地址=200.1.3.7/32 目的目的IP地地址址=200.1.2.7/32 FTP服务;服务;n从门户区到服务器区从门户区到服
29、务器区 源源IP地址地址=200.1.3.7/32 目的目的IP地地址址=200.1.2.6/32 SMTP+POP3服务。服务。防火墙配置的目的是保证用户只能和门户网站进行防火墙配置的目的是保证用户只能和门户网站进行HTTP服务、门户网站只能和相应服务器进行对应服务。服务、门户网站只能和相应服务器进行对应服务。应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全n门户网站为每一个用户设置认证机制和允许访问的资源及门户网站为每一个用户设置认证机制和允许访问的资源及访问方式;访问方式;n访问的资源可以具体到某个文件或某个信箱。访问的资源
30、可以具体到某个文件或某个信箱。系统配置系统配置应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全实现机制实现机制获取证书链获取证书链n用户和门户网站都需通过认证中心获得证书;用户和门户网站都需通过认证中心获得证书;n相互具有证明证书真伪的证书链。相互具有证明证书真伪的证书链。登录门户网站登录门户网站n登录门户网站;登录门户网站;n完成相互身份认证;完成相互身份认证;n确定用户访问权限。确定用户访问权限。访问资源访问资源n要求用户输入资源名称和访问方式;要求用户输入资源名称和访问方式;n门户网站检测是否符合用户访问权限;门户网站检测是否符合用户访问权限;n通过对应资源访问协议完成资源访问;通过对应资源访问协议完成资源访问;n通过通过HTTP响应报文传输资源访问结果。响应报文传输资源访问结果。应用层安全协议应用层安全协议应用层安全协议应用层安全协议计算机网络安全计算机网络安全计算机网络安全计算机网络安全此课件下载可自行编辑修改,仅供参考!此课件下载可自行编辑修改,仅供参考!感谢您的支持,我们努力做得更好!谢谢感谢您的支持,我们努力做得更好!谢谢