1、第第13讲讲 网络安全协议与应用网络安全协议与应用13.1 电子邮件安全电子邮件安全13.2 Web安全安全13.3 电子商务安全电子商务安全13.4 IP安全安全 13.5 VPN技术技术信息安全概论信息安全概论22022-10-313.113.1 电子邮件安全电子邮件安全电子邮件的最主要的组成构件电子邮件的最主要的组成构件 发送方邮件缓存 接收端邮件服务器用户代理SMTPSMTPPOP3 发送端邮件服务器用户代理用户邮箱接收方(发送邮件)(发送邮件)(读取邮件)因特网SMTPPOP3发送邮件发送邮件 SMTP读取邮件TCP连接TCP连接发送方邮件服务器SMTP客户POP3客户发件人用户代理
2、接收方邮件服务器SMTP服务器POP3服务器SMTP服务器SMTP客户收件人用户代理TCP 连接信息安全概论信息安全概论 42022-10-313.113.1 电子邮件安全电子邮件安全信息安全概论信息安全概论 52022-10-3主要的邮件安全协议主要的邮件安全协议信息安全概论信息安全概论 62022-10-3PGPPGP介绍介绍信息安全概论信息安全概论 72022-10-3PGPPGP介绍介绍信息安全概论信息安全概论 82022-10-3PGPPGP介绍介绍信息安全概论信息安全概论 92022-10-3PGPPGP的主要功能的主要功能信息安全概论信息安全概论 102022-10-3PGPPG
3、P的主要功能的主要功能信息安全概论信息安全概论 112022-10-3PGPPGP的主要功能的主要功能信息安全概论信息安全概论 122022-10-3PGPPGP的主要功能的主要功能信息安全概论信息安全概论 132022-10-3PGPPGP的主要功能的主要功能信息安全概论信息安全概论 142022-10-3信息安全概论信息安全概论 152022-10-3PGPPGP的主要功能的主要功能信息安全概论信息安全概论 162022-10-3PGPPGP的主要功能的主要功能信息安全概论信息安全概论 172022-10-3PGPPGP的主要功能的主要功能信息安全概论信息安全概论 182022-10-3P
4、GPPGP的主要功能的主要功能信息安全概论信息安全概论 192022-10-313.113.1 电子邮件安全电子邮件安全信息安全概论信息安全概论 202022-10-313.113.1 电子邮件安全电子邮件安全信息安全概论信息安全概论 212022-10-313.113.1 电子邮件安全电子邮件安全信息安全概论信息安全概论 222022-10-313.113.1 电子邮件安全电子邮件安全信息安全概论信息安全概论 232022-10-313.113.1 电子邮件安全电子邮件安全信息安全概论信息安全概论 242022-10-313.213.2 Web Web安全安全信息安全概论信息安全概论 252
5、022-10-313.213.2 Web Web安全安全信息安全概论信息安全概论 262022-10-313.213.2 Web Web安全安全信息安全概论信息安全概论 272022-10-313.213.2 Web Web安全安全信息安全概论信息安全概论 282022-10-313.213.2 Web Web安全安全信息安全概论信息安全概论 292022-10-313.213.2 Web Web安全安全信息安全概论信息安全概论 302022-10-313.213.2 Web Web安全安全信息安全概论信息安全概论 312022-10-313.313.3 电子商务安全电子商务安全信息安全概论信
6、息安全概论 322022-10-313.313.3 电子商务安全电子商务安全信息安全概论信息安全概论 332022-10-313.313.3 电子商务安全电子商务安全SETSET提供的服务与关键特征提供的服务与关键特征SET的关键特征SET的主要目标SETSET的主要目标的主要目标SET的参与实体SET的交易实现持卡人注册获取证书商家注册获取证书购买请求付款授权扣款获取 整个交易过程信息在持卡人、商家、支付网关、认证中心和银行系统之间流动。SETSET的交易实现的交易实现SETSET的的交易交易过程过程购买请求过程购买请求过程商家服务器商 家请 求授 权授 权请 求支 付网关处 理授 权请 求
7、授 权响 应支付网关商 家处 理响 应授权支付授权支付过程过程商家服务器商 家请 求支 付扣 款请 求支 付网关处 理扣 款请 求扣 款响 应支付网关商 家接 受响 应获取扣款获取扣款过程过程1、持卡人使用浏览器在商家服务器上查看并选购商品或服务,发出订购申请。2、商家服务器接到订购请求后,将服务方CA证书、支付网关CA证书送给持卡人。3、持卡人通过信任链验证两个证书后,选择银行卡方式付款,填写相应的支付卡信息及口令。生成付款指令连同持卡人的CA证书一并送往商家服务器。4、商家服务器按照有关信任规则验证持卡人的证书后,将持卡人的订单信息、付款要求、CA证书、数字签名以及服务方的CA证书送往银行
8、卡支付网关。SETSET的支付流程的支付流程5、银行卡支付网关验证持卡人和服务方的证书后,送往持卡人开户行,对银行卡进行授权处理、扣账,再将处理结果送回支付网关6、银行卡支付网关在收到业务主机的授权答复后,将银行卡支付网关CA证书、授权结果同时送往商户。7、商家服务器收到答复后,通过信任链验证银行卡支付网关CA证书以及授权信息。8、商家服务器将送货的方式、时间、服务方的CA证书同时送给持卡人。9、持卡人检验服务方的CA证书后,保存购物信息,交易完成。SETSET的支付流程的支付流程 处理过程:先对一则消息的两部分分别进行散列,再将这两部分散列值级联在一起,最后把得到的结果再一次散列并进行数字签
9、名。这样可以保证一个消息接收者得到第一部分的明文和第二部分的散列值,另外一个消息接收者得到第一部分的散列值和第二部分的明文,实现了对所获信息的分离:即它提供给商家的只是订购信息;提供给收款银行的只是信用卡信息。每个接收者都能够验证整条消息的完整性,但不能恢复全部明文,只能获取发给他的那一部分,另一部分只是一个散列值,它掩盖了消息的明文内容。SETSET的的“双签名双签名”机制机制SETSET的双签名的双签名的生成的生成SETSET的购买请求及验证的购买请求及验证13.4 IP安全13.4 IP安全13.4 IP安全13.4 IP安全信息安全概论信息安全概论 472022-10-313.4 IP
10、安全IPSec概述IPSec(ip security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。IPSec包括AH(authentication header,认证头)和ESP(encapsulating security payload,封装安全载荷)两个安全协议。验证报头IPSec认证包头(AH)提供IP数据包完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变。AH协议通过在整个IP数据报中实施一个消息摘要计算来提供完整性和认证服务;消息摘要算法的结果放到AH包头的认证数据(Authentication _Data)区。
11、IPSec加密ESP 封包安全协议包头提供IP数据报的完整性和可信性服务。ESP协议是设计以两种模式工作的:隧道(Tunneling)模式 传输(Transport)模式IPSec加密安全关联安全关联(SA)是最基本的IPSec概念之一,这是对等体或主机之间的策略约定.IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。安全联盟是IPSec的基础,也是IPSec的本质 安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。安全联盟由一个三元组来唯一标识 SPI(security parameter index,安全参数索引)目的I
12、P地址 安全协议号(AH或ESP)安全联盟具有生存周期。生存周期的计算包括两种方式 以时间为限制 以流量为限制安全关联安全联盟的协商方式 一种是手工方式(manual)一种是IKE自动协商(ISAKMP)方式 IPSec的运行1、启动IPSec过程2、IKE阶段13、IKE阶段24、传输数据5、拆除IPSec隧道使用IKEIKE(Internet Key Exchange)IKE协议是建立在由Internet安全联盟和密钥管理协议ISAKMP(internet security association and key management protocol)定义的框架上。它能够为IPSec提供
13、了自动协商交换密钥、建立安全联盟的服务,以简化IPSec的使用和管理。IKE具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。DF(diffie-hellman)交换及密钥分发。完善的前向安全性(perfect forward secrecy,PFS)。PFS是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。PFS是由DH算法保障的。使用IKE第一阶段:ISAKMP SA 通信各方彼此间建立了一个已通过身份验证和安全保护的通道。第二阶段:IPSec SA 用在第一阶段建立的安全通道为IPSec协商安全服务。使用IKE
14、IKE第一阶段的协商可以采用两种模式:主模式(main mode)被设计成将密钥交换信息与身份、认证信息相分离 这种分离保护了身份信息 增加了3条消息的开销 野蛮模式(aggressive mode)允许同时传送与SA、密钥交换和认证相关的载荷 减少了消息的往返次数 无法提供身份保护 可以满足某些特定的网络环境需求使用IKEIKE具有以下优点 使得无需在加密映射中手工指定IPSec安全参数 能够指定IPSec SA的寿命 能够在IPSec会话期间修改加密密钥 能够提供防重发服务 支持CA,实现易于管理、可扩展 能够动态地验证对等体的身份IKE可以使用的技术包括MD5、SHA-1、DES、3DE
15、S IKE与IPSec流程图课程议题 VPN概述利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等VPN概述VPN提供了三种主要功能:加密:通过网络传输分组之前,发送方可对其进行加密。这样,即使有人窃听,也无法读懂其中的信息;数据完整性:接收方可检查数据通过internet传输的过程中是否被修改;来源验证:接收方可验证发送方的身份,确保信息来自正确的地方。VPN连接的主要优点有:费用更低 业务更灵
16、活 简单化了管理工作 隧道化网络拓扑降低了管理负担 VPN术语VPN常用的术语 隧道 加密/解密 加密系统 散列算法 身份验证 授权(Authorization)密钥管理 认证服务 验证报头(Authenticaton Header)VPN术语 VPN常用的术语 封装安全有效负载(ESP)Internet密钥交换(IKE,Internet Key Exchange Protocol)ISAKMP 安全关联(SA)验证、授权和统计(AAA)终端访问控制器访问控制系统:(TACACS,Terminal Access Controller Access Control System),远程用户拨入认
17、证系统:RADIUS,Remote Authentication Dial In User Service)VPN类型VPN分为三种类型:远程访问虚拟网(Access VPN)企业内部虚拟网(Intranet VPN)企业扩展虚拟网(ExtranetVPN)Access VPN 用户发起(Client-initiated)的VPN连接,接入服务器发起(NAS-initiated)的VPN连接。Access VPNAccess VPN的优点 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。极大的
18、可扩展性,简便地对加入网络的新用户进行调度。远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务Intranet VPNIntranet VPNExtranet VPNExtranet VPNVPN技术隧道技术 网络隧道协议 支撑隧道协议的承载协议 隧道协议所承载的被承载协议隧道协议L2TP网络协议GRE协议选择3层VPN隧道技术加解密技术密钥管理技术 核心技术就是DH(Diffie Hellman)交换技术 阶段1建立ISAKMP SA,有主模式(Main Mode)和激进模式(Aggressive Mode)两种 阶段2在阶段1 ISAKMP SA的保护下建立IPSec SA,称之为快速模式(Quick Mode)。IPSec SA用于最终的IP数据安全传送。IKE还包含有传送信息的信息交换(Informational Exchange)和建立新DH组的组交换(DH Group Exchange)身份认证技术
