《电子商务安全技术-第10章-安全通信协议与交易协议要点.ppt》由会员分享,可在线阅读,更多相关《电子商务安全技术-第10章-安全通信协议与交易协议要点.ppt(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第九章 安全通信协议与交易协议9.1 9.1 IPIPV6V6安全安全 9.2 9.2 安全套接层协议(安全套接层协议(SSLSSL)9.3 9.3 安全电子交易协议(安全电子交易协议(SETSET)9.1 IPIPV6V6安全安全IPIPV V4 4的局限性:的局限性:IPIPv4v4协议是我们目前正在使用的协议是我们目前正在使用的IPIP协议协议IPIPv4v4地址空间危机地址空间危机 位数位数3232位,可用地址仅位,可用地址仅2 23232(约(约4040多亿)多亿)网络安全网络安全 没有考虑到网络层的安全性没有考虑到网络层的安全性IPIPV4V4地址空间危机地址空间危机IPIPV6V
2、6的发展历程的发展历程19921992年,年,InternetInternet工程任务组(工程任务组(IETFIETF)成立成立IPIPngng工工作组:作组:IP The Next Generation;19941994年年,IPngIPng工作组工作组提出提出了了IPIPngng的草案;的草案;19951995年,年,IPngIPng工作组工作组确定了确定了IPngIPng的协议规范,称为的协议规范,称为“IPIP版本版本6 6”(IPv6IPv6);1995-19991995-1999年完成了年完成了IETFIETF要求的协议审定和测试,要求的协议审定和测试,IPIPv6v6的协议文本成
3、为标准草案。的协议文本成为标准草案。IPIPV6V6的主要特点的主要特点扩展的地址空间:地址长度由扩展的地址空间:地址长度由3232位扩展到位扩展到128128位位;简化了报头格式简化了报头格式;安全特性的支持:安全特性的支持:IPSecIPSec(IPIP Security Security);自动配置特性;自动配置特性;对移动特性的支持。对移动特性的支持。IPIPV6V6的地址的地址地址的写法地址的写法u使用点分十进制使用点分十进制104.230.140.100.255.255.255.255.0.0.17.128.104.230.140.100.255.255.255.255.0.0.1
4、7.128.150.10.255.255150.10.255.255u使用冒号使用冒号1616进制的写法进制的写法6868E6:8c84:FFFF:FFFF:0:1180:96A:FFFFE6:8c84:FFFF:FFFF:0:1180:96A:FFFFIPIPV6V6和和IPIPV4V4报文比较报文比较IPv4 PDUminimum20 octetsmaximum65535 octetsIPv4 HeaderData FieldFixed40 octetsmaximum65535 octetsIPv6 PDU0 or moreTransport-level PDUIPv6 HeaderExt
5、ensionHeaderExtensionHeader20 Octets+Options:1320 Octets+Options:13字段字段,包括包括3 3个标志位个标志位flagsflags0 bits31Ver IHLTotal LengthIdentifier32 bit Source Address32 bit Destination Address482416Service TypeOptions and PaddingTime to LiveHeader ChecksumFlagsFragment Offset删除字段删除字段Protocol改动字段改动字段IPIPV4V4的报头
6、的报头40 Octets,8 fields40 Octets,8 fieldsIPIPV6V6的报头的报头031VersionTraffic ClassFlow LabelPayload LengthNext HeaderHop Limit128 bit Source Address128 bit Destination Address4122416Destination AddressSource AddressVer IHLService TypeIdentificationFlagsOffsetTTLProtocolHeader ChecksumSource AddressDestina
7、tion AddressOptions+PaddingTotal LengthVerFlow LabelPayload LengthNext HeaderHop LimitTraffic Class32 bitsIPv4 Packet HeaderIPv6 Packet HeaderIPIPV6V6和和IPIPV4V4报头比较报头比较IPIP安全标准安全标准IPSecIPSec IPSecIPSec(IP Security)(IP Security)是是IPIPv6v6的一个组成部分的一个组成部分IPSecIPSec在网络层上提供安全服务在网络层上提供安全服务弥补弥补IPv4IPv4在协议设计
8、时缺乏安全性考虑的不足在协议设计时缺乏安全性考虑的不足IPSecIPSec提供的两种安全机制提供的两种安全机制认证认证使使IPIP通信的数据接收方能够确认数据发送方通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改的真实身份以及数据在传输过程中是否被篡改 加密加密对数据进行加密来保证数据的机密性对数据进行加密来保证数据的机密性IPSecIPSec在在IPIPV6V6中是强制的,在中是强制的,在IPIPV4V4中是可选的中是可选的IP SecurityIP Security示意图示意图IPIP安全标准安全标准IPSecIPSecIPIP网络层的要求:网络层的要求:认证性、
9、完整性和机密性认证性、完整性和机密性IPSecIPSec的基本要素:的基本要素:认证协议头(认证协议头(AHAH)封装安全载荷(封装安全载荷(ESPESP)互联网密钥管理协议:互联网密钥管理协议:SASA、IKEIKE安全关联(安全关联(SASA)SASA(Security Association)(Security Association)是发送者和接收者两个是发送者和接收者两个IPSecIPSec系统之间的一个简系统之间的一个简单的单向逻辑连接,单的单向逻辑连接,是一组与网络连接相关联的安是一组与网络连接相关联的安全信息参数集合,全信息参数集合,用于实现安全策略;用于实现安全策略;因为因为
10、SASA是单个方向的,所以,对于一个双向通信,是单个方向的,所以,对于一个双向通信,则需要两个则需要两个SASA。每个每个SASA通过三个参数来标识通过三个参数来标识安全参数索引安全参数索引SPI(Security Parameters Index)SPI(Security Parameters Index)目标地址目标地址IPIP安全协议标识安全协议标识认证协议头(认证协议头(AHAH)AH(Authentication Header)AH(Authentication Header)为为IPIP包提供的功能包提供的功能数据完整性数据完整性认证功能认证功能认证算法由认证算法由SASA指定指定
11、认证的范围:整个包认证的范围:整个包两种认证模式:两种认证模式:传输模式:不改变传输模式:不改变IPIP头,插入一个头,插入一个AHAH隧道模式:生成一个新的隧道模式:生成一个新的IPIP头,把头,把AHAH和原来的和原来的整个整个IPIP包放到新包放到新IPIP包中包中封装安全载荷(封装安全载荷(ESPESP)ESP(Encapsulating Security Payload)ESP(Encapsulating Security Payload)提供保密功能,也可以提供认证服务提供保密功能,也可以提供认证服务将需要保密的用户数据进行加密后再封装到将需要保密的用户数据进行加密后再封装到IP包
12、中,包中,ESP只认证只认证ESP头之后的信息头之后的信息认证算法也由认证算法也由SA指定指定也有两种模式:传输模式和隧道模式也有两种模式:传输模式和隧道模式IPSecIPSec的模式的模式IPSec使用的模式:使用的模式:传输模式传输模式隧道模式隧道模式 9.2 安全套接层协议(安全套接层协议(SSLSSL)SSLSSL(Secure Socket Layer)(Secure Socket Layer)协议的产生背景协议的产生背景HTTPHTTP协议缺少安全保障协议缺少安全保障SSLSSL提供数据加密、数据完整性和认证机制提供数据加密、数据完整性和认证机制SSLSSL协议的发展历程协议的发展
13、历程19941994年,年,NetscapeNetscape开发了开发了SSLSSL协议,专门用于保护协议,专门用于保护WebWeb通讯,通讯,SSL1SSL1.0.0,不成熟不成熟SSL2.0SSL2.0,基本上解决了基本上解决了WebWeb通讯的安全问题通讯的安全问题SSL3.0SSL3.0,19961996年发布,增加了一些算法,修改了一年发布,增加了一些算法,修改了一些缺陷些缺陷安全套接层协议(安全套接层协议(SSLSSL)SSLSSL协议的设计目标协议的设计目标SSL协议被设计用来使用协议被设计用来使用TCP提供一个可靠的端到提供一个可靠的端到端安全服务端安全服务为两个通讯个体之间提
14、供保密性和完整性为两个通讯个体之间提供保密性和完整性SSLSSL协议的使用协议的使用使用使用SSLSSL协议的浏览器:协议的浏览器:NetscapeNetscape的的NavigatorNavigator微软的微软的Internet ExplorerInternet ExplorerInternet ExplorerInternet Explorer中的中的SSLSSL设置设置SSLSSL的体系结构的体系结构协议分为两层协议分为两层底层:底层:SSLSSL记录协议记录协议上层:上层:SSLSSL握手协议、握手协议、SSLSSL密码变化协议、密码变化协议、SSLSSL警告协议警告协议SSLSSL
15、提供的服务提供的服务身份认证身份认证用数字证书实现的服务器认证(防止冒名顶替)用数字证书实现的服务器认证(防止冒名顶替)保密性保密性加密传输信息(防止窃听)加密传输信息(防止窃听)数据完整性数据完整性保证数据信息完整性(防止对数据的损坏)保证数据信息完整性(防止对数据的损坏)9.3 安全电子交易协议安全电子交易协议(SETSET)SETSET(Secure Electronic TransactionSecure Electronic Transaction)协议的产生协议的产生背景背景电子商务交易的广泛应用电子商务交易的广泛应用需要保护需要保护InternetInternet上信用卡交易的安
16、全性上信用卡交易的安全性SETSET协议的发展历程协议的发展历程19951995年,年,VISA和和MasterCard两大信用卡公司联合两大信用卡公司联合推出推出SET协议协议SET协议得到了协议得到了IBM、Netscape、Microsoft、Oracle、VeriSign等公司的支持等公司的支持安全电子交易协议安全电子交易协议(SETSET)SETSET协议的设计目标协议的设计目标SETSET主要为了解决用户、商家和银行之间通过信用主要为了解决用户、商家和银行之间通过信用卡支付的交易而设计。卡支付的交易而设计。SETSET协议的要求协议的要求支付信息的机密支付信息的机密订单信息和个人帐
17、号信息的隔离订单信息和个人帐号信息的隔离商户及持卡人的合法身份商户及持卡人的合法身份互可操作性互可操作性购物者购物者商商 家家支付网关支付网关银银 行行发卡行发卡行认证中心认证中心1 1 定单及定单及信用卡号信用卡号6 6 确认确认认证认证认证认证认证认证5 5 确认确认2 2 审核审核3 3 审核审核4 4 批准批准使用使用SETSET进行银行卡支付交易的工作流程进行银行卡支付交易的工作流程使用使用SETSET进行银行卡支付交易的工作流程进行银行卡支付交易的工作流程SETSET的安全技术的安全技术消消息息摘摘要要是是一一个个唯唯一一对对应应一一个个消消息息或或文文本本的的值值,它它由由哈哈希
18、希(HashHash)加加密密算算法法对对一一个个消消息息摘摘要要生生成成一一串串密密文文,由由此此验验证证消消息在传输过程中没有被修改。息在传输过程中没有被修改。数数字字签签名名SETSET中中使使用用RSARSA算算法法来来实实现现数数字字签签名名,保保证证发发送送者对所发信息不能抵赖。者对所发信息不能抵赖。数数字字信信封封在在SETSET中中使使用用对对称称密密钥钥来来加加密密数数据据,然然后后将将此此对对称称密密钥钥用用接接收收者者的的公公钥钥加加密密,称称为为消消息息的的“数数字字信信封封”,将将其其和和数据一起送给接收者。数据一起送给接收者。双双重重签签名名SETSET要要求求将将
19、订订单单信信息息和和个个人人信信用用卡卡账账号号信信息息分分别别用用商商家家和和银银行行的的公公钥钥进进行行数数字字签签名名,保保证证商商家家只只能能看看到到订订货货信信息息,而银行只能看到账户信息。而银行只能看到账户信息。SETSET和和SSLSSL协议的比较协议的比较 安全套接层(安全套接层(SSLSSL)协议提供了协议提供了两个端点之间的安两个端点之间的安全链接,全链接,能对信用卡和个人信息提供较强的保护;能对信用卡和个人信息提供较强的保护;SSLSSL协议被大部分协议被大部分Web浏览器和浏览器和web服务器所内置,比较容服务器所内置,比较容易被应用易被应用。SET SET协议比协议比
20、SSLSSL协议复杂,在理论上安全性也更高,协议复杂,在理论上安全性也更高,因为因为SETSET协议不仅加密两个端点间的连接,还可以加密协议不仅加密两个端点间的连接,还可以加密和认定三方的多个信息,而这是和认定三方的多个信息,而这是SSLSSL协议所未能解决的协议所未能解决的问题。问题。SETSET标准的安全程度很高,它结合了数据加密标标准的安全程度很高,它结合了数据加密标准准DESDES、RSARSA算法和安全超文本传输协议算法和安全超文本传输协议,为每一项交易为每一项交易都提供了多层加密。都提供了多层加密。SETSET和和SSLSSL协议的比较协议的比较SETSET与与SSLSSL相比主要
21、有以下相比主要有以下4 4个方面的优点:个方面的优点:(1 1)SETSET对对商商家家提提供供了了保保护护自自己己的的手手段段,使使商商务务免免受受欺欺诈诈的的困困扰扰,使商家的运营成本降低。使商家的运营成本降低。(2 2)对对消消费费者者而而言言,SETSET保保证证了了商商家家的的合合法法性性,并并且且用用户户的的信信用用卡号不会被窃取。卡号不会被窃取。(3 3)SETSET使使得得信信用用卡卡网网上上支支付付具具有有更更低低的的欺欺骗骗概概率率,使使得得它它比比其其他支付方式具有更大的竞争力。他支付方式具有更大的竞争力。(4 4)SETSET对对于于参参与与交交易易的的各各方方定定义义了了互互操操作作接接口口,一一个个系系统统可可以以由不同厂商的产品构筑。由不同厂商的产品构筑。SETSET的主要缺陷:的主要缺陷:SETSET协议过于复杂,对商户、用户和银行的要求比较高;协议过于复杂,对商户、用户和银行的要求比较高;处理速度慢,支持处理速度慢,支持SETSET的系统费用较大。的系统费用较大。