《03、互联网安全机制.ppt》由会员分享,可在线阅读,更多相关《03、互联网安全机制.ppt(49页珍藏版)》请在三一办公上搜索。
1、互联网安全机制,互联网安全机制,ISO/OSI安全体系结构,开放系统互联参考模型(OSI/RM)是国际标准化组织(ISO)为解决异构网络互联而制定的开放式计算机网络层次结构模型。1988年,为在开放系统互联的环境下实现信息安全,ISO/TC97技术委员会制定了ISO7498-2国际标准“信息处理系统-开放系统互联-基本参考模型-安全体系结构”,为网络安全的研究奠定了基础。我国也制定了国家标准:GB/T9387.2信息开放系统 开放系统互联 基本参考模型第 2部分:安全体系结构。这些标准给出了 OSI 参考模型的七层协议之上的信息安全体系结构,这是一个普遍适用的安全体系结构,对具体网络环境的信息
2、安全体系结构具有重要指导意义。,ISO/OSI安全体系结构,ISO/OSI安全体系结构,常用的安全技术,各种加密算法:3DES、RSA、MD5、SHA1数字信封数字摘要数字签名数字时间戳,互联网安全机制,网络层安全机制(IPSec),IPv4的安全缺陷:对通信双方不能保证收到的IP数据报:1、确系来自声明的发送方(IP头内的源地址);2、确系原始数据,未被任何篡改;3、未发生泄密事件,即原始数据在传输中途未被其他人偷看。,网络层安全机制(IPSec),IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。IPSec定义了一
3、种标准、健壮的以及包容广泛的机制,可用它为IP及其上层协议提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安全服务,包括访问控制、数据完整性、数据源验证、抗重播、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA、AES等确保通信双方的机密性。,网络层安全机制(IPSec),IPSec是一组开放协议的总称,构成了应用于 IP 层上网络数据安全的一整套体系结构。包括:1、认证报头 AH指定的认证协议。2、数据报封装安全负载(ESP)指定的数据加密和认证协议。3、密钥管理协议(IKE)。,网络层安全机制
4、(IPSec),网络层安全机制(IPSec),网络层安全机制(IPSec),AH和ESP的区别:AH不能加密数据包所承载的内容,因而它不能提供机密性。ESP要求使用高强度加密算法,会受到许多限制。多数情况下,使用AH的认证服务已能满足要求,相对来说,ESP开销较大。,Windows中的IPSec配置,1)“控制面板”“管理工具”“本地安全策略”2)“IP安全策略”,Windows中的IPSec配置,Windows中的IPSec配置,每个 IPSec 规则由下列各项组成:所选的筛选器列表。所选的筛选器操作。所选的身份验证方法。所选的连接类型。所选的隧道设置。,Windows中的IPSec配置,可
5、以使用下列方法配置 IPSec 策略:创建一个新策略并为该策略定义一组规则,同时根据需要添加筛选器列表与筛选器操作。创建筛选器列表与筛选器操作集,然后创建策略并添加将筛选器列表与筛选器操作组合起来的规则。,Windows中的IPSec配置,对于其中任一配置方法,创建 IPSec 策略之后,都必须指派这些策略。,互联网安全机制,SSL 概述,1994 年,Netscape 公司为了保护Web 通信协议HTTP,开发了SSL协议。该协议第1 个成熟的版本是SSL2.0 版。SSL2.0 协议的出现,基本上解决了Web 通信协议的安全问题,很快引起了大家的关注。1996 年,Netscape 公司发
6、布了SSL3.0,该版本增加了对除RSA算法以外的其他算法的支持和一些新的安全特性,并且修改了前一个版本中存在的安全缺陷,与SSL2.0 相比,更加成熟和稳定,因此很快成为事实上的工业标准。1997 年,IETF 基于SSL3.0 协议发布了TLS(transport layer security)1.0 传输层安全协议的草案。1999 年,正式发布了RFC2246。,SSL 概述,SSL是一个介于HTTP协议与TCP之间的一个可选层,其位置大致如下:|HTTP|SSL|TCP|IP|,SSL 概述,SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性,
7、并且会话双方能鉴别对方身份。不同于常用的http协议,我们在与网站建立SSL安全连接时使用https协议,即采用https:/的方式来访问。,SSL 体系结构,SSL 体系结构,连接:连接是提供某种类型服务的数据传输(在 OSI分层模型的定义中)。对于SSL,这样的连接是点对点的。连接是短暂的,每个连接与一个会话相联系。会话 SSL 的会话是客户和服务器之间的关联,会话通过握手协议来创建。会话定义了加密安全参数的一个集合,该集合可以被多个连接所共享。会话可以用来避免为每个连接重新进行安全参数协商。,SSL协议,SSL 记录协议 机密性 报文完整性 密码更新规约协议 报警协议 握手协议,SSL的
8、工作过程,SSL的工作过程,SSL的工作过程,要想成功架设SSL安全站点关键要具备以下几个条件。1、需要从可信的证书颁发机构CA获取服务器证书。2、必须在WEB服务器上安装服务器证书。3、必须在WEB服务器上启用SSL功能。4、客户端(浏览器端)必须同WEB服务器信任同一个证书认证机构,即需要安装CA证书。,在线支付SSL模式的优缺点,在线SSL支付的优点:(1)流程简单(2)架构简单,认证简便,处理速度快,费用低。(3)使用方便。在线SSL支付的缺点:付款人的信用卡资料先给商家,无法确认商家能否保密;无法达到交易的不可否认性要求。,SSL提供的安全服务,信息保密:通过使用公开密钥和对称密钥技
9、术以达到数据加密。信息完整:SSL利用机密共享和Hash组提供信息完整性服务。用户和服务器的合法性:为了验证用户是否合法,安全套接层协议要求在握手交换数据时进行数字认证,以此来确保用户的合法性。,互联网安全机制,安全电子交易SET,安全电子交易 SET(Security Electronic Transaction)是一种电子支付过程标准,由 VISA 和MasterCard于 1996年 2月合作制订,同时采用 IBM、GTE、Microsoft、Netscape、RSA、SAIC、Terisa、VeriSign等多个公司的技术,是专为网上支付卡业务安全所制定的标准,用以保护网上支付卡交易的
10、每一个环节,比如:保证电子支付卡交易的安全进行,加密付款信息安全发送等等。开始主要用于信用卡支付领域。但SET2.0开始支持借记卡。,安全电子交易SET,SET 具有下面一些特点 信息的机密性 数据的完整性 卡用户账号的鉴别 商家的鉴别 跨平台的操作性,安全电子交易协议工作流程,SET协议规范所涉及的对象,1)卡用户:持卡消费者2)商家3)发行人:参与电子交易的金融机构4)收单人:商家的金融机构5)支付网关6)证书管理机构(CA),SET协议的核心技术,采用DES算法的对称密钥技术。采用RSA算法的非对称密钥技术。采用数字签名和双重签名等。采用数字信封。,双重签名,使用双重签名技术对SET交易
11、过程中消费者的支付信息和定单信息分别签名,使得商家看不到支付信息,只能对用户的订单信息解密,而金融机构只能对支付和账户信息解密,充分保证消费者的账户和定货信息的安全性。,比较SET与SSL,1、在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但仍不能实现多方认证;相比之下,SET的安全要求较高,所有参与SET交易的成员(持卡人、商家、发卡行、收单行和支付网关)都必须申请数字证书进行身份识别。,比较SET与SSL,2、在安全性方面,SET协议规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证
12、中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。,比较SET与SSL,3、对消费者而言,SET协议采用了双重签名技术以保证商户的合法性,并且用户的信用卡号等机密信息不会被窃取,从而使在线购物更轻松。4、在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,因此如果电子商务应用只是通过Web或是电子邮件,则可
13、以不要SET。但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。,比较SET与SSL,5、成本方面,SET的成本较SSL高很多。目前还是SSL普及率比较高,但随着交易安全要求的不断提高,SET将会发展更快。,课后练习,选择题1、IPSec提供的服务不包括()A)AH验证 B)AH验证及加密 C)ESP验证 D)ESP验证及加密2、IPSec是一组协议,它包括()A)AH B)IKE C)ESP D)RSA3、SSL协议不包括()A)握手协议 B)报警协议 C)同步协议 D)记录协议4、SET协议不涉及到()A)对称加密 B)数字签名 C)数字摘要 D)数字水印,课后练习,判断题1、每种安全机制只能提供一种安全服务。2、传输层能够提供所有安全服务。3、AH协议既可以认证又可以加密。4、IPSec协议能够确认双方实体身份。5、SSL协议通过检查服务器证书辨别网站真伪。6、SSL协议的客户必须提供证书。7、SET协议是一个双方认证协议。8、SET协议只能用于网页中。,课后练习,简答题1、AH与ESP有什么区别?2、SSL协议能够解决哪些问题?3、SET协议能解决哪些问题?4、SET与SSL有什么区别?,
