互联网安全机制.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,互联网安全机制,ISO/OSI安全体系结构,网络层安全机制（IPSec）,传输层安全机制（SSL/TLS）,应用层安全机制,(,SET,),互联网安全机制,ISO/OSI安全体系结构,开放系统互联参考模型(OSI/RM)是国际标准化组织(ISO)为解决异构网络互联而制定的开放式计算机网络层次结构模型1988年，为在开放系统互联的环境下实现信息安全，ISO/TC97技术委员会制定了ISO7498-2国际标准“信息处理系统-开放系统互联-基本参考模型-安全体系结构”，为网络安全的研究奠定了基础我国也制定了国家标准：GB/T9387.2信息开放系统 开放系统互联 基本参考模型第 2部分:安全体系结构这些标准给出了 OSI 参考模型的七层协议之上的信息安全体系结构，这是一个普遍适用的安全体系结构，对具体网络环境的信息安全体系结构具有重要指导意义ISO/OSI安全体系结构,ISO/OSI安全体系结构,表,5,-,2,安全服务与,ISO/OSI,参考模型各层的关系,层,安全服务,物理,层,数据,链路,层,网络,层,传输,层,会话,层,表示,层,应用,层,对等实体鉴别,数据原发鉴别,访问控制,连接机密性,无连接机密性,选择字段机密性,通信业务流机密性,带恢复的连接完整,性,不带恢复的连接完整性,选择字段的连接完整性,无连接完整性,选择字段无连接完整性,有数据原发证明的抗抵赖,有交付证明的抗抵赖,注,:,表示该表层可提供此安全服务,。

常用的安全技术,各种加密算法：,3DES、RSA、MD5、SHA1,数字信封,数字摘要,数字签名,数字时间戳,ISO/OSI安全体系结构,网络层安全机制（IPSec）,传输层安全机制（SSL/TLS）,应用层安全机制,(,SET,),互联网安全机制,网络层安全机制（IPSec）,IPv4的安全缺陷：,对通信双方不能保证收到的IP数据报：,1、确系来自声明的发送方（IP头内的源地址）；,2、确系原始数据，未被任何篡改；,3、未发生泄密事件，即原始数据在传输中途未被其他人偷看网络层安全机制（IPSec）,IPSec是IPv6的一个组成部分，也是IPv4的一个可选扩展协议IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足IPSec定义了一种标准、健壮的以及包容广泛的机制，可用它为IP及其上层协议提供安全保证IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、数据源验证、抗重播、机密性等IPSec通过支持一系列加密算法如DES、三重DES、IDEA、AES等确保通信双方的机密性网络层安全机制（IPSec）,IPSec是一组开放协议的总称，构成了应用于 IP 层上网络数据安全的一整套体系结构。

包括：,1、认证报头 AH指定的认证协议2、数据报封装安全负载（ESP）指定的数据加密和认证协议3、密钥管理协议（IKE）网络层安全机制（IPSec）,网络层安全机制（IPSec）,网络层安全机制（IPSec）,AH和ESP的区别：,AH不能加密数据包所承载的内容，因而它不能提供机密性ESP要求使用高强度加密算法，会受到许多限制多数情况下，使用AH的认证服务已能满足要求，相对来说，ESP开销较大Windows中的IPSec配置,1）“控制面板”“管理工具”“本地安全策略”,2）“IP安全策略”,Windows中的IPSec配置,Windows中的IPSec配置,每个 IPSec 规则由下列各项组成：,所选的筛选器列表所选的筛选器操作所选的身份验证方法所选的连接类型所选的隧道设置Windows中的IPSec配置,可以使用下列方法配置 IPSec 策略：,创建一个新策略并为该策略定义一组规则，同时根据需要添加筛选器列表与筛选器操作创建筛选器列表与筛选器操作集，然后创建策略并添加将筛选器列表与筛选器操作组合起来的规则Windows中的IPSec配置,对于其中任一配置方法，创建 IPSec 策略之后，都必须指派这些策略。

ISO/OSI安全体系结构,网络层安全机制（IPSec）,传输层安全机制（SSL/TLS）,应用层安全机制,(,SET,),互联网安全机制,SSL 概述,1994 年,Netscape 公司为了保护Web 通信协议HTTP,开发了SSL协议该协议第1 个成熟的版本是SSL2.0 版SSL2.0 协议的出现,基本上解决了Web 通信协议的安全问题,很快引起了大家的关注1996 年,Netscape 公司发布了SSL3.0,该版本增加了对除RSA算法以外的其他算法的支持和一些新的安全特性,并且修改了前一个版本中存在的安全缺陷,与SSL2.0 相比,更加成熟和稳定,因此很快成为事实上的工业标准1997 年,IETF 基于SSL3.0 协议发布了TLS(transport layer security)1.0 传输层安全协议的草案1999 年,正式发布了RFC2246SSL 概述,SSL是一个介于HTTP协议与TCP之间的一个可选层，其位置大致如下：|HTTP|,|SSL|,|TCP|IP|,SSL 概述,SSL协议使用不对称加密技术实现会话双方之间信息的安全传递可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。

不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用https:/的方式来访问SSL 体系结构,SSL 体系结构,连接：,连接是提供某种类型服务的数据传输（在 OSI分层模型的定义中）对于SSL，这样的连接是点对点的连接是短暂的，每个连接与一个会话相联系会话,SSL 的会话是客户和服务器之间的关联，会话通过握手协议来创建会话定义了加密安全参数的一个集合，该集合可以被多个连接所共享会话可以用来避免为每个连接重新进行安全参数协商SSL协议,SSL 记录协议,机密性,报文完整性,密码更新规约协议,报警协议,握手协议,SSL的工作过程,1.客户机浏览器的数字证书和公钥,2.服务器的数字证书和公钥,3.用服务器的公钥加密信息,4.用服务器的私钥解密信息,5.用客户机浏览器的公钥加密会话密钥,6.用客户机浏览器的私钥解密信息,7.用会话密钥加密传输的数据,客户端,服务器,SSL的工作过程,SSL的工作过程,要想成功架设SSL安全站点关键要具备以下几个条件1、需要从可信的证书颁发机构CA获取服务器证书2、必须在WEB服务器上安装服务器证书3、必须在WEB服务器上启用SSL功能。

4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书支付SSL模式的优缺点,SSL支付的优点：,(1)流程简单,(2)架构简单，认证简便，处理速度快，费用低3)使用方便SSL支付的缺点：,付款人的信用卡资料先给商家，无法确认商家能否保密；,无法达到交易的不可否认性要求SSL提供的安全服务,信息保密：通过使用公开密钥和对称密钥技术以达到数据加密信息完整：SSL利用机密共享和Hash组提供信息完整性服务用户和服务器的合法性：为了验证用户是否合法，安全套接层协议要求在握手交换数据时进行数字认证，以此来确保用户的合法性ISO/OSI安全体系结构,网络层安全机制（IPSec）,传输层安全机制（SSL/TLS）,应用层安全机制,(,SET,),互联网安全机制,安全电子交易SET,安全电子交易 SET（Security Electronic Transaction）是一种电子支付过程标准，由 VISA 和MasterCard于 1996年 2月合作制订，同时采用 IBM、GTE、Microsoft、Netscape、RSA、SAIC、Terisa、VeriSign等多个公司的技术，是专为网上支付卡业务安全所制定的标准，用以保护网上支付卡交易的每一个环节，比如：保证电子支付卡交易的安全进行，加密付款信息安全发送等等。

开始主要用于信用卡支付领域但SET2.0开始支持借记卡安全电子交易SET,SET 具有下面一些特点,信息的机密性,数据的完整性,卡用户账号的鉴别,商家的鉴别,跨平台的操作性,安全电子交易协议工作流程,支付网关,收单银行,发卡银行,商店,消费者,认 证 中 心,SET协议规范所涉及的对象,1）卡用户：持卡消费者,2）商家,3）发行人：参与电子交易的金融机构,4）收单人：商家的金融机构,5）支付网关,6）证书管理机构(CA),SET协议的核心技术,采用DES算法的对称密钥技术采用RSA算法的非对称密钥技术采,用数字签名和双重签名等采,用数字信封双重签名,使用双重签名技术对SET交易过程中消费者的支付信息和定单信息分别签名，使得商家看不到支付信息，只能对用户的订单信息解密，而金融机构只能对支付和账户信息解密，充分保证消费者的账户和定货信息的安全性比较SET与SSL,1、在认证要求方面，早期的SSL并没有提供商家身份认证机制，虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但仍不能实现多方认证；相比之下，SET的安全要求较高，所有参与SET交易的成员（持卡人、商家、发卡行、收单行和支付网关）都必须申请数字证书进行身份识别。

比较SET与SSL,2、在安全性方面，SET协议规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性而SSL只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性因此SET的安全性比SSL高比较SET与SSL,3、对消费者而言，SET协议采用了双重签名技术以保证商户的合法性，并且用户的信用卡号等机密信息不会被窃取，从而使购物更轻松4、在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全，因此如果电子商务应用只是通过Web或是电子邮件，则可以不要SET但如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些比较SET与SSL,5、成本方面，SET的成本较SSL高很多目前还是SSL普及率比较高，但随着交易安全要求的不断提高，SET将会发展更快课后练习,选择题,1、IPSec提供的服务不包括（）,A)AH验证 B)AH验证及加密,C)ESP验证 D)ESP验证及加密,2、IPSec是一组协议，它包括（）,A)AH B)IKE C)ESP D)RSA,3、SSL协议不包括（）,A)握手协议 B)报警协议 C)同步协议 D)记录协议,4、SET协议不涉及到（）,A)对称加密 B)数字签名 C)数字摘要 D)数字水印,课后练习,判断题,1、每种安全机制只能提供一种安全服务。

2、传输层能够提供所有安全服务3、AH协议既可以认证又可以加密4、IPSec协议能够确认双方实体身份5、SSL协议通过检查服务器证书辨别网站真伪6、SSL协议的客户必须提供证书7、SET协议是一个双方认证协议8、SET协议只能用于网页中课后练习,简答题,1、AH与ESP有什么区别？,2、SSL协议能够解决哪些问题？,3、SET协议能解决哪些问题？,4、SET与SSL有什么区别？,。