計(jì)算機(jī)網(wǎng)絡(luò)安全(沈鑫剡)第11章

1、計(jì)算機(jī)網(wǎng)絡(luò)平安第11章第11章 運(yùn)用層平安協(xié)議Web平安協(xié)議；電子郵件平安協(xié)議；門戶網(wǎng)站。運(yùn)用層平安協(xié)議給出了運(yùn)用層處理資源訪問平安問題的根本原那么、方法和機(jī)制。11.1 Web平安協(xié)議Web平安問題；Web平安機(jī)制； over TLS；SET。由于網(wǎng)絡(luò)用戶通常都經(jīng)過網(wǎng)站訪問網(wǎng)絡(luò)、進(jìn)展網(wǎng)上購物和電子銀行轉(zhuǎn)賬，因此，Web平安問題是寬廣網(wǎng)絡(luò)用戶最關(guān)懷，也是直接影響網(wǎng)絡(luò)安康開展的問題。Web平安問題偽造和篡改網(wǎng)頁偽造銀行網(wǎng)站，誘運(yùn)用戶登錄；篡改著名網(wǎng)站網(wǎng)頁，用銀行或其他著名網(wǎng)站域名鏈接偽造網(wǎng)站。截取用戶私密信息攔截用戶和商務(wù)網(wǎng)站進(jìn)展電子商務(wù)活動過程中交換的信息；偽造網(wǎng)頁進(jìn)展詐騙。回絕效力攻擊耗盡效

2、力器資源；耗盡效力器鏈接網(wǎng)絡(luò)鏈路的帶寬。Web平安機(jī)制處理Web平安問題的關(guān)鍵是效力器身份認(rèn)證和信息傳輸加密，效力器身份認(rèn)證處理偽造網(wǎng)站的問題，信息傳輸加密處理截獲用戶私密信息的問題；處理這兩個問題需求動態(tài)協(xié)商平安參數(shù)并完成對方身份認(rèn)證的協(xié)議，網(wǎng)際層的IPSec、運(yùn)輸層的TLS和運(yùn)用層的SET都是具有這種功能的協(xié)議；越是底層，通用性越好，但無法顧及特定運(yùn)用的細(xì)節(jié)；和指定運(yùn)用關(guān)聯(lián)越多，越能滿足指定運(yùn)用的平安要求。網(wǎng)際層運(yùn)輸層運(yùn)用層 over TLSTLS完成雙方身份認(rèn)證和平安參數(shù)協(xié)商，平安傳輸上層信息；這里，TLS主要實(shí)現(xiàn)對效力器的身份認(rèn)證，商定平安傳輸過程用到的加密解密算法、密鑰、音訊認(rèn)證算法

3、等平安參數(shù)；將用戶和效力器之間交換的HTTP報(bào)文封裝成TLS記錄協(xié)議報(bào)文。用證書證明效力器域名和公鑰PKS的綁定；終端用PKS加密預(yù)主密鑰，預(yù)主密鑰是生成密鑰的主要參數(shù)；一旦確認(rèn)效力器和終端生成一樣的密鑰，效力器身份得到確認(rèn)；終端和效力器用商定的加密解密算法和密鑰實(shí)現(xiàn)數(shù)據(jù)的平安傳輸。 over TLS由于TLS商定的平安參數(shù)只需終端和效力器知道，因此，加密和音訊認(rèn)證碼計(jì)算過程本身具有認(rèn)證發(fā)送者身份的作用；音訊認(rèn)證碼用于完好性檢測，序號保證順序接納TLS記錄協(xié)議報(bào)文；用三重DES加密需求傳輸?shù)臄?shù)據(jù)。 over TLS平安電子買賣SETSET運(yùn)用系統(tǒng)用于實(shí)現(xiàn)電子購物；既要保證持卡人的私密信息只在持

4、卡人和發(fā)卡機(jī)構(gòu)之間傳輸，又要保證商家權(quán)益；信息只能在指定的發(fā)送端和接納端之間傳輸，即必需對發(fā)送端進(jìn)展身份認(rèn)證，只需指定接納端才干獲得信息。SET運(yùn)用系統(tǒng)持卡人封裝處置過程一是需求認(rèn)證發(fā)送者身份，二是保證只需指定接納者才干獲得信息，三是持卡人不能否認(rèn)發(fā)送過的購物懇求；認(rèn)證發(fā)送者身份和無法否認(rèn)發(fā)送過的購物懇求經(jīng)過數(shù)字簽名實(shí)現(xiàn)，數(shù)字簽名DSKC(H(P)；SKC是發(fā)送者私鑰，H是報(bào)文摘要算法。明文、數(shù)字簽名和證明發(fā)送者和公鑰之間綁定的證書用3DES加密算法加密，并將密鑰用指定接納者的公鑰加密，因此，只需指定接納者才干復(fù)原密鑰，并因此獲得明文、數(shù)字簽名和證書。平安電子買賣SET持卡人封裝過程指定商家才

5、干用私鑰解密出密鑰KEY，并因此獲得明文、數(shù)字簽名和證書；對明文P進(jìn)展報(bào)文摘要運(yùn)算，對數(shù)字簽名用證書給出的公鑰進(jìn)展加密運(yùn)算，然后對兩者進(jìn)展比較，假設(shè)相等：一是證明由證書指定的發(fā)送者發(fā)送，二是明文確實(shí)是發(fā)送者發(fā)送的明文。這樣，完成了發(fā)送者身份認(rèn)證、數(shù)字簽名認(rèn)證和完好性檢測。平安電子買賣SET商家認(rèn)證發(fā)送者身份和解密數(shù)據(jù)過程雙重簽名的目的是證明兩份報(bào)文的關(guān)聯(lián)性，不僅經(jīng)過數(shù)字簽名證明由發(fā)送者發(fā)送，而且證明這兩份報(bào)文和同一事務(wù)相關(guān)；這里需求證明支付信息和購貨信息是對應(yīng)的，是與同一次電子購物相關(guān)的兩份報(bào)文。平安電子買賣SET雙重簽名過程持卡人、商家和支付網(wǎng)關(guān)需求獲得由認(rèn)證中心簽發(fā)的證書；選擇商品，得到商

6、家發(fā)送的定貨信息；向商家提供定貨信息和支付信息；商家認(rèn)證支付信息；商家提供商品。平安電子買賣SET電子買賣過程購買懇求音訊在獲得商家提供的購物清單后發(fā)送；根據(jù)購物清單構(gòu)件定貨信息和支付信息，定貨信息發(fā)送給商家，支付信息由商家用于認(rèn)證持卡人的支付才干，為了將定貨信息和支付信息綁定在一同，持卡人采用雙重簽名；為了上支付網(wǎng)關(guān)和商家認(rèn)證雙重簽名，發(fā)送給商家的信息中包含支付信息的報(bào)文摘要，發(fā)送給支付網(wǎng)關(guān)的信息中包含訂貨信息的報(bào)文摘要；為了區(qū)別信息的接納者，分別用支付網(wǎng)關(guān)和商家的公鑰加密發(fā)送給它們的信息。平安電子買賣SET購買懇求音訊封裝過程商家驗(yàn)證雙重簽名，確定定貨信息的發(fā)送者和雙重簽名證明的支付信息的

7、報(bào)文摘要；對發(fā)送給支付網(wǎng)關(guān)的密文不作處置，用于生成用于驗(yàn)證持卡人支付才干的授權(quán)懇求音訊。平安電子買賣SET商家驗(yàn)證雙重簽名過程授權(quán)懇求信息的目的是驗(yàn)證持卡人的支付才干；支付信息中除了有關(guān)賬戶、密碼等私密信息，還有買賣標(biāo)識符和支付金額等與本次買賣關(guān)聯(lián)的信息；授權(quán)信息中同樣提供買賣標(biāo)識符和支付金額等與本次買賣有關(guān)的信息，便于支付網(wǎng)關(guān)驗(yàn)證。平安電子買賣SET商家封裝授權(quán)懇求音訊過程認(rèn)證支付信息發(fā)送者身份和授權(quán)懇求音訊發(fā)送者身份；認(rèn)證雙重簽名，確認(rèn)支付信息和訂貨信息之間的關(guān)聯(lián)；根據(jù)商家提供的授權(quán)信息和持卡人提供的支付信息驗(yàn)證持卡人的支付才干。平安電子買賣SET支付網(wǎng)關(guān)驗(yàn)證授權(quán)懇求音訊過程支付網(wǎng)關(guān)驗(yàn)證持

8、卡人支付才干后，向商家提供承兌憑證，一旦商家提供已向持卡人提供商品或效力的證據(jù)，即可憑承兌憑證要求電子轉(zhuǎn)賬；商家不能處置承兌憑證；授權(quán)信息由支付網(wǎng)關(guān)數(shù)字簽名，用于向商家通告驗(yàn)證持卡人支付才干的結(jié)果。平安電子買賣SET支付網(wǎng)關(guān)封裝授權(quán)呼應(yīng)音訊過程商家向持卡人提供商品或效力后，要求支付網(wǎng)關(guān)完成電子轉(zhuǎn)賬；商家提供支付網(wǎng)關(guān)提供的承兌憑證和懇求音訊；懇求音訊中給出本次購物的相關(guān)信息，如買賣標(biāo)識符、支付金額等，還有曾經(jīng)完成向持卡人提供商品或效力的證據(jù)；支付網(wǎng)關(guān)根據(jù)懇求音訊驗(yàn)證承兌憑證，在驗(yàn)證無誤的情況下，經(jīng)過支付網(wǎng)絡(luò)和公用支付系統(tǒng)完成持卡人至商家的電子轉(zhuǎn)賬。平安電子買賣SET商家封裝懇求音訊過程11.2

9、電子郵件平安協(xié)議PGP；S/MIME。電子郵件平安協(xié)議采用的技術(shù)和其他平安傳輸協(xié)議類似，一是經(jīng)過數(shù)字簽名完成發(fā)送者身份認(rèn)證，二是經(jīng)過加密實(shí)現(xiàn)嚴(yán)密傳輸。只是PGP采用和郵件格式無關(guān)的機(jī)制，S/MIME采用在郵件內(nèi)容的定義中添加數(shù)字簽名和嚴(yán)密傳輸類型。PGP前提是雙方均已經(jīng)過認(rèn)證中心獲得公鑰、私鑰對和證書，并向?qū)Ψ桨l(fā)送了證書；數(shù)字簽名實(shí)現(xiàn)發(fā)送者身份認(rèn)證和完好性檢測；用3DES加密，并用接納端公鑰加密3DES加密用的密鑰，保證只需指定接納端才干閱讀郵件。發(fā)送端處置過程PGP指定接納端用私鑰解密出3DES的密鑰，然后復(fù)原出緊縮音訊；對解壓后的音訊經(jīng)過用發(fā)送端公鑰驗(yàn)證數(shù)字簽名、完成完好性檢測。接納端處置

10、過程S/MIME5個常見關(guān)鍵詞：Date、From、Subject、To、Cc；只能傳輸ASCII碼。SMTP郵件格式添加了郵件內(nèi)容類型，允許郵件內(nèi)容為多媒體信息，如圖片、視頻、音頻等；經(jīng)過編碼，將多媒體信息轉(zhuǎn)換成ASCII碼進(jìn)展傳輸。S/MIMEMIME郵件格式為了和SMTP兼容，非ASCII碼的MIME郵件內(nèi)容被轉(zhuǎn)換成7位ASCII碼后，經(jīng)過SMTP發(fā)送；接納端需求將經(jīng)過SMTP接納到的7位ASCII碼重新復(fù)原為非ASCII碼的MIME郵件內(nèi)容。S/MIMEMIME和SMTP的關(guān)系為了平安傳輸郵件，需求認(rèn)證發(fā)送者身份、進(jìn)展郵件完好性檢測，認(rèn)證子報(bào)文就用于實(shí)現(xiàn)這一功能；采用數(shù)字簽名技術(shù)，認(rèn)證

11、子報(bào)文中給出證書、數(shù)字簽名采用的算法等；音訊和數(shù)字簽名作為認(rèn)證子報(bào)文主要內(nèi)容。S/MIME認(rèn)證郵件子報(bào)文過程用3DES對郵件加密，用接納端的公鑰加密3DES的密鑰，保證只需指定接納端才干獲取郵件內(nèi)容；用明文方式給出音訊加密算法，密鑰加密算法，加密密鑰的公鑰的證書。S/MIME加密郵件子報(bào)文過程11.3 門戶網(wǎng)站系統(tǒng)構(gòu)造；系統(tǒng)配置；實(shí)現(xiàn)機(jī)制。門戶網(wǎng)站是內(nèi)部網(wǎng)絡(luò)資源的入口，由門戶網(wǎng)站一致實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問控制過程，門戶網(wǎng)站根據(jù)事先配置的不同用戶的訪問權(quán)限，對用戶身份進(jìn)展認(rèn)證，監(jiān)管用戶權(quán)限內(nèi)的資源訪問過程。系統(tǒng)構(gòu)造必需由防火墻控制信息傳輸過程，即用戶和效力器之間不能直接通訊，用戶必需經(jīng)過門戶網(wǎng)

12、站訪問效力器；外網(wǎng)授權(quán)終端同樣必需經(jīng)過門戶網(wǎng)站訪問內(nèi)網(wǎng)效力器資源；門戶網(wǎng)站必需建立授權(quán)用戶庫，對每一個授權(quán)用戶設(shè)置訪問權(quán)限。系統(tǒng)構(gòu)造用戶經(jīng)過HTTP訪問門戶網(wǎng)站；門戶網(wǎng)站認(rèn)證用戶身份、確定用戶訪問權(quán)限，經(jīng)過對應(yīng)資源訪問協(xié)議訪問內(nèi)網(wǎng)資源，將訪問結(jié)果一致用HTTP呼應(yīng)傳輸給用戶。系統(tǒng)配置防火墻配置從用戶區(qū)到門戶區(qū) 源IP地址=/24 目的IP地址=/32 HTTP效力；從門戶區(qū)到效力器區(qū) 源IP地址=/32 目的IP地址=/32 HTTP效力；從門戶區(qū)到效力器區(qū) 源IP地址=/32 目的IP地址=/32 FTP效力；從門戶區(qū)到效力器區(qū) 源IP地址=/32 目的IP地址=/32 SMTP+POP3效力。防火墻配置的目的是保證用戶只能和門戶網(wǎng)站進(jìn)展HTTP效力、門戶網(wǎng)站只能和相應(yīng)效力器進(jìn)展對應(yīng)效力。門戶網(wǎng)站為每一個用戶