《电子商务安全技术-第10章-安全通信协议与交易协议要点优秀PPT.ppt》由会员分享,可在线阅读,更多相关《电子商务安全技术-第10章-安全通信协议与交易协议要点优秀PPT.ppt(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第九章 平安通信协议与交易协议9.1 IPV69.1 IPV6平安平安 9.2 9.2 平安套接层协议(平安套接层协议(SSLSSL)9.3 9.3 平安电子交易协议(平安电子交易协议(SETSET)9.1 IPV6平安平安IPV4IPV4的局限性:的局限性:IPv4 IPv4协议是我们目前正在运用的协议是我们目前正在运用的IPIP协协议议IPv4IPv4地址空间危机地址空间危机 位数位数3232位,可用地址仅位,可用地址仅232232(约(约4040多多亿)亿)网络平安网络平安 没有考虑到网络层的平安性没有考虑到网络层的平安性IPIPV4V4地址空间危机地址空间危机IPIPV6V6的发展历程
2、的发展历程19921992年,年,InternetInternet工程任务组(工程任务组(IETFIETF)成立成立IPIPngng工工作组:作组:IP The Next Generation;19941994年年,IPngIPng工作组工作组提出提出了了IPIPngng的草案;的草案;19951995年,年,IPngIPng工作组工作组确定了确定了IPngIPng的协议规范,称为的协议规范,称为“IPIP版本版本6”6”(IPv6IPv6);1995-19991995-1999年完成了年完成了IETFIETF要求的协议审定和测试,要求的协议审定和测试,IPIPv6v6的协议文本成为标准草案。
3、的协议文本成为标准草案。IPIPV6V6的主要特点的主要特点扩展的地址空间:地址长度由扩展的地址空间:地址长度由3232位扩展到位扩展到128128位;位;简化了报头格式;简化了报头格式;平安特性的支持:平安特性的支持:IPSecIPSec(IP SecurityIP Security););自动配置特性;自动配置特性;对移动特性的支持。对移动特性的支持。IPIPV6V6的地址的地址地址的写法地址的写法运用点分十进制运用点分十进制运用冒号运用冒号1616进制的写法进制的写法68E6:8c84:FFFF:FFFF:0:1180:96A:FF68E6:8c84:FFFF:FFFF:0:1180:9
4、6A:FFFFFFIPIPV6V6和和IPIPV4V4报文比较报文比较IPv4 PDUminimum20 octetsmaximum65535 octetsIPv4 HeaderData FieldFixed40 octetsmaximum65535 octetsIPv6 PDU0 or moreTransport-level PDUIPv6 HeaderExtensionHeaderExtensionHeader20 Octets+Options:1320 Octets+Options:1320 Octets+Options:1320 Octets+Options:13字段字段字段字段,包括
5、包括包括包括3 3 3 3个标记位个标记位个标记位个标记位flagsflagsflagsflags0 bits31Ver IHLTotal LengthIdentifier32 bit Source Address32 bit Destination Address482416Service TypeOptions and PaddingTime to LiveHeader ChecksumFlagsFragment Offset删除字段删除字段Protocol改动字段改动字段IPIPV4V4的报头的报头40 Octets,8 fields40 Octets,8 fields40 Octets
6、,8 fields40 Octets,8 fieldsIPIPV6V6的报头的报头031VersionTraffic ClassFlow LabelPayload LengthNext HeaderHop Limit128 bit Source Address128 bit Destination Address4122416Destination AddressSource AddressVer IHLService TypeIdentificationFlagsOffsetTTLProtocolHeader ChecksumSource AddressDestination Address
7、Options+PaddingTotal LengthVerFlow LabelPayload LengthNext HeaderHop LimitTraffic Class32 bitsIPv4 Packet HeaderIPv6 Packet HeaderIPIPV6V6和和IPIPV4V4报头比较报头比较IPIP平安标准平安标准IPSec IPSec IPSec(IP Security)IPSec(IP Security)是是IPv6IPv6的一个组成部分的一个组成部分IPSecIPSec在网络层上供应平安服务在网络层上供应平安服务弥补弥补IPv4IPv4在协议设计时缺乏平安性考虑的不足
8、在协议设计时缺乏平安性考虑的不足IPSecIPSec供应的两种平安机制供应的两种平安机制认证认证使使IPIP通信的数据接收方能够确认数据通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否发送方的真实身份以及数据在传输过程中是否被篡改被篡改 加密加密对数据进行加密来保证数据的机密性对数据进行加密来保证数据的机密性IPSecIPSec在在IPIPV6V6中是强制的,在中是强制的,在IPIPV4V4中是可选的中是可选的IP SecurityIP Security示意图示意图IPIP平安标准平安标准IPSecIPSecIPIP网络层的要求:网络层的要求:认证性、完整性和机密性认证性、
9、完整性和机密性IPSecIPSec的基本要素:的基本要素:认证协议头(认证协议头(AHAH)封装平安载荷(封装平安载荷(ESPESP)互联网密钥管理协议:互联网密钥管理协议:SASA、IKEIKE平安关联(平安关联(SASA)SA(Security Association)SA(Security Association)是发送者和接收者两个是发送者和接收者两个IPSecIPSec系统之间系统之间的一个简洁的单向逻辑连接,是一组与的一个简洁的单向逻辑连接,是一组与网络连接相关联的平安信息参数集合,网络连接相关联的平安信息参数集合,用于实现平安策略;用于实现平安策略;因为因为SASA是单个方向的,
10、所以,对于一个是单个方向的,所以,对于一个双向通信,则须要两个双向通信,则须要两个SASA。每个每个SASA通过三个参数来标识通过三个参数来标识平安参数索引平安参数索引SPI(Security Parameters SPI(Security Parameters Index)Index)目标地址目标地址IPIP平安协议标识平安协议标识认证协议头(认证协议头(AHAH)AH(Authentication Header)AH(Authentication Header)为为IPIP包供应的功能包供应的功能数据完整性数据完整性认证功能认证功能认证算法由认证算法由SASA指定指定认证的范围:整个包认证
11、的范围:整个包两种认证模式:两种认证模式:传输模式:不变更传输模式:不变更IP头,插入一个头,插入一个AH隧道模式:生成一个新的隧道模式:生成一个新的IP头,把头,把AH和原和原来的整个来的整个IP包放到新包放到新IP包中包中封装平安载荷(封装平安载荷(ESPESP)ESP(Encapsulating Security Payload)ESP(Encapsulating Security Payload)供应保密功能,也可以供应认证服务供应保密功能,也可以供应认证服务将须要保密的用户数据进行加密后再封装到将须要保密的用户数据进行加密后再封装到IP包中,包中,ESP只认证只认证ESP头之后的信息
12、头之后的信息认证算法也由认证算法也由SA指定指定也有两种模式:传输模式和隧道模式也有两种模式:传输模式和隧道模式IPSecIPSec的模式的模式IPSec运用的模式:运用的模式:传输模式传输模式隧道模式隧道模式 9.2 平安套接层协议平安套接层协议(SSL)SSL(Secure Socket Layer)SSL(Secure Socket Layer)协议的产生背景协议的产生背景HTTPHTTP协议缺少平安保障协议缺少平安保障SSLSSL供应数据加密、数据完整性和认证机制供应数据加密、数据完整性和认证机制SSLSSL协议的发展历程协议的发展历程19941994年,年,NetscapeNetsc
13、ape开发了开发了SSLSSL协议,特地用于爱协议,特地用于爱护护WebWeb通讯,通讯,SSL1.0SSL1.0,不成熟,不成熟SSL2.0SSL2.0,基本上解决了,基本上解决了WebWeb通讯的平安问题通讯的平安问题SSL3.0SSL3.0,19961996年发布,增加了一些算法,修改年发布,增加了一些算法,修改了一些缺陷了一些缺陷平安套接层协议(平安套接层协议(SSLSSL)SSLSSL协议的设计目标协议的设计目标SSLSSL协议被设计用来运用协议被设计用来运用TCPTCP供应一个牢靠的端供应一个牢靠的端到端平安服务到端平安服务为两个通讯个体之间供应保密性和完整性为两个通讯个体之间供应
14、保密性和完整性SSLSSL协议的运用协议的运用运用运用SSLSSL协议的阅读器:协议的阅读器:NetscapeNetscape的的NavigatorNavigator微软的微软的Internet ExplorerInternet ExplorerInternet ExplorerInternet Explorer中的中的SSLSSL设置设置SSLSSL的体系结构的体系结构协议分为两层协议分为两层底层:底层:SSLSSL记录协议记录协议上层:上层:SSLSSL握手协议、握手协议、SSLSSL密码变更协议、密码变更协议、SSLSSL警告警告协议协议SSLSSL供应的服务供应的服务身份认证身份认证用
15、数字证书实现的服务器认证(防止冒名顶替)用数字证书实现的服务器认证(防止冒名顶替)保密性保密性加密传输信息(防止窃听)加密传输信息(防止窃听)数据完整性数据完整性保证数据信息完整性(防止对数据的损坏)保证数据信息完整性(防止对数据的损坏)9.3 平安电子交易协议平安电子交易协议(SET)SET(Secure Electronic Transaction)SET(Secure Electronic Transaction)协议的协议的产生背景产生背景电子商务交易的广泛应用电子商务交易的广泛应用须要爱护须要爱护InternetInternet上信用卡交易的平安性上信用卡交易的平安性SETSET协议
16、的发展历程协议的发展历程19951995年,年,VISA和和MasterCard两大信用卡公司联合两大信用卡公司联合推出推出SET协议协议SET协议得到了协议得到了IBM、Netscape、Microsoft、Oracle、VeriSign等公司的支持等公司的支持平安电子交易协议(平安电子交易协议(SET)SETSET协议的设计目标协议的设计目标SETSET主要为了解决用户、商家和银行之间通过信用主要为了解决用户、商家和银行之间通过信用卡支付的交易而设计。卡支付的交易而设计。SETSET协议的要求协议的要求支付信息的机密支付信息的机密订单信息和个人帐号信息的隔离订单信息和个人帐号信息的隔离商户
17、及持卡人的合法身份商户及持卡人的合法身份互可操作性互可操作性购物者购物者商商 家家支付网关支付网关银银 行行发卡行发卡行认证中心认证中心1 1 定单及定单及信用卡号信用卡号6 6 确认确认认证认证认证认证认证认证5 5 确认确认2 2 审核审核3 3 审核审核4 4 批准批准运用运用SETSET进行银行卡支付交易的工作流程进行银行卡支付交易的工作流程运用运用SETSET进行银行卡支付交易的工作流程进行银行卡支付交易的工作流程SETSET的平安技术的平安技术消消息息摘摘要要是是一一个个唯唯一一对对应应一一个个消消息息或或文文本本的的值值,它它由由哈哈希希(HashHash)加加密密算算法法对对一
18、一个个消消息息摘摘要要生生成成一一串串密密文文,由由此此验验证证消消息在传输过程中没有被修改。息在传输过程中没有被修改。数数字字签签名名SETSET中中运运用用RSARSA算算法法来来实实现现数数字字签签名名,保保证发送者对所发信息不能抵赖。证发送者对所发信息不能抵赖。数数字字信信封封在在SETSET中中运运用用对对称称密密钥钥来来加加密密数数据据,然然后后将将此此对对称称密密钥钥用用接接收收者者的的公公钥钥加加密密,称称为为消消息息的的“数字信封数字信封”,将其和数据一起送给接收者。,将其和数据一起送给接收者。双双重重签签名名SETSET要要求求将将订订单单信信息息和和个个人人信信用用卡卡账
19、账号号信信息息分分别别用用商商家家和和银银行行的的公公钥钥进进行行数数字字签签名名,保保证证商商家家只只能能看看到到订订货货信信息息,而银行只能看到账户信息。而银行只能看到账户信息。SETSET和和SSLSSL协议的比较协议的比较 平安套接层(平安套接层(SSLSSL)协议供应了两个端点之间的平)协议供应了两个端点之间的平安链接,能对信用卡和个人信息供应较强的爱护;安链接,能对信用卡和个人信息供应较强的爱护;SSLSSL协议被大部分协议被大部分WebWeb阅读器和阅读器和webweb服务器所内置,比较简洁服务器所内置,比较简洁被应用。被应用。SET SET协议比协议比SSLSSL协议困难,在理
20、论上平安性也更高,协议困难,在理论上平安性也更高,因为因为SETSET协议不仅加密两个端点间的连接,还可以加密协议不仅加密两个端点间的连接,还可以加密和认定三方的多个信息,而这是和认定三方的多个信息,而这是SSLSSL协议所未能解决的协议所未能解决的问题。问题。SETSET标准的平安程度很高,它结合了数据加密标标准的平安程度很高,它结合了数据加密标准准DESDES、RSARSA算法和平安超文本传输协议,为每一项交易算法和平安超文本传输协议,为每一项交易都供应了多层加密。都供应了多层加密。SETSET和和SSLSSL协议的比较协议的比较SETSET与与SSLSSL相比主要有以下相比主要有以下4
21、4个方面的优点:个方面的优点:(1 1)SETSET对商家供应了爱护自己的手段,使商务免受欺对商家供应了爱护自己的手段,使商务免受欺诈的困扰,使商家的运营成本降低。诈的困扰,使商家的运营成本降低。(2 2)对消费者而言,)对消费者而言,SETSET保证了商家的合法性,并且用保证了商家的合法性,并且用户的信用卡号不会被窃取。户的信用卡号不会被窃取。(3 3)SETSET使得信用卡网上支付具有更低的欺瞒概率,使使得信用卡网上支付具有更低的欺瞒概率,使得它比其他支付方式具有更大的竞争力。得它比其他支付方式具有更大的竞争力。(4 4)SET SET对于参与交易的各方定义了互操作接口,一对于参与交易的各方定义了互操作接口,一个系统可以由不同厂商的产品构筑。个系统可以由不同厂商的产品构筑。SETSET的主要缺陷:的主要缺陷:SETSET协议过于困难,对商户、用户和银行的要求比较高;协议过于困难,对商户、用户和银行的要求比较高;处理速度慢,支持处理速度慢,支持SETSET的系统费用较大。的系统费用较大。