版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
網(wǎng)絡(luò)安全協(xié)議安全套接層協(xié)議SSL安全電子交易協(xié)議SET
在Browser和WebServer之間提供敏感信息傳輸通道
SocialSecurityNumber(SSN)CreditCard,etc
提供訪問控制
OpenClosedSSL被設(shè)計用來使用TCP提供一個可靠的端到端安全服務(wù),為兩個通訊個體之間提供保密性和完整性(身份鑒別)SSL設(shè)計目標
Netscape公司于1994開發(fā)
SSLv2releasedin1995SSLv3alsoreleasedin1995duetobugsinv2
1996年IETF成立
TransportLayerSecurity(TLS)committeeTLSv1wasbaseduponSSLv3
Netscape、Microsoft都支持TLSv1SSL歷史
SSL提供四個基本功能
AuthenticationEncryption
Integrity
KeyExchangeSSL功能采用兩種加密技術(shù)
非對稱加密
認證
交換加密密鑰
對稱加密:加密傳輸數(shù)據(jù)SSL功能SSL是獨立于各種協(xié)議的常用于HTTP協(xié)議,但也可用于別的協(xié)議,如NNTP,TELNET等SSL的結(jié)構(gòu)建立在可靠的傳輸協(xié)議(如TCP)基礎(chǔ)上提供連接安全性保密性,使用了對稱加密算法完整性,使用HMAC算法用來封裝高層的協(xié)議SSL記錄協(xié)議客戶和服務(wù)器之間相互鑒別協(xié)商加密算法和密鑰提供連接安全性身份鑒別,至少對一方實現(xiàn)鑒別,也可以是雙向鑒別協(xié)商得到的共享密鑰是安全的,中間人不能知道協(xié)商過程是可靠的SSL握手協(xié)議協(xié)議的使用SSL體系結(jié)構(gòu)連接會話SSL基本概念連接是能提供合適服務(wù)類型的傳輸(在OSI分層模型中的定義)對SSL,這樣的連接是對等關(guān)系連接是暫時的,每個連接都和一個會話相關(guān)連接SSL會話是指在客戶機和服務(wù)器之間的關(guān)聯(lián)會話由握手協(xié)議創(chuàng)建會話定義了一組可以被多個連接共用的密碼安全參數(shù)對于每個連接,可以利用會話來避免對新的安全參數(shù)進行代價昂貴的協(xié)商會話在任意一對的雙方之間,也許會有多個安全連接理論上,雙方可以存在多個同時會話,但在實踐中并未用到這個特性連接Vs會話會話狀態(tài)參數(shù)連接狀態(tài)參數(shù)pre_master_secretmastersecretClientwriteMACsecretClientwritesecretClientwriteIVServerwriteMACsecretServerwritesecretServerwriteIV各種密鑰SSLHandshakeSSL握手協(xié)議報文格式ClientServer一建立安全能力ClientHelloSSLClientSSLServerPort443TheClientHellomessageiscomposedofSSLVersion(highest)thatisunderstoodbytheclient.
TLSv1elseSSLv3b.KeyExchangetoidentifythemethodofexchangingkeys.RSAifnotthenD-H.c.DataEncryptiontoidentifytheencryptionmethodsavailabletotheClient.TripleDesorelseDES
d.MessageDigestfordataintegrity.
SHAorelseMD5e.DataCompressionmethodformessageexchangePKZiporelsegzipf.ARandomnumbertocomputethesecretkeyhttps://www.SSLClientSSLServerServerHelloTheServerHellomessageiscomposedofSSLVersion(highest)thatisunderstoodbytheclient.TLSv1b.KeyExchangetoidentifythemethodofexchangingkeys.RSA.c.DataEncryptiontoidentifytheencryptionmethodsavailabletotheClient.DESd.MessageDigestfordataintegrity.
MD5e.DataCompressionmethodformessageexchangePKZip
f.ARandomnumbertocomputethesecretkey一建立安全能力DataEncryption:
RC2-40RC4-128DESDES403DESIDEA
FortezzaMessageDigest:MD5SHA.KeyExchange.
RSAFixedDiffie-HellmanEphemeralDiffie-HellmanAnonymousDiffie-Hellman
FortezzaDataCompression:PKZipWinZip
gzip
StuffItCipherSuiteAlternativesSSLClientSSLServerServerCertificateTheServerCertificatemessageiscomposedofTheserverIdentifierinformationADigitalCertificateoftheseverinformationencryptedwiththeCAsPrivateKey.Thiscontainstheserver'sPublicKeyClientCertificateRequestTheClientCertificateRequestmessageiscomposedofTheCertificatetypetoindicatethetypeofpublickeyTheCertificateAuthorityisalistofdistinguishednamesofCertificateAuthoritiesacceptabletotheServerServerDoneMessageThisServerDonemessagehasnoparameters.二服務(wù)器鑒別和密鑰交換SSLClientSSLServerClientCertificateTheClientCertificatemessageiscomposedofTheserverIdentifierinformationADigitalCertificateoftheclientinformationencryptedwiththeCAsPrivateKey
TheClientAuthenticatestheServerwiththeCA.a.ExtractsthepublickeyoftherootsignedcertificatethatcameinstalledwiththeclientandComputesaMDoftheservercertificateinformation.b.Decryptstheservercertificate(thatwasissuedbytherootCA)thatcontainsthehashcomputedbytheCAPrivateKeyc.ComparesthecomputedhashwiththehashcontainedintheserverDigitalCertificate.Generatesasessionkey(psuedo-randomnumber)touseasa Pre-MasterKeythen3.Encryptsthesessionkeywiththeserver’spublickey.三客戶機驗證和密鑰交換SSLClientSSLServerClientKeyExchangeTheClientKeyExchangemessageiscomposedofTheencryptedsessionkeywhichwillserveasapre-mastersecretkeyencryptedwiththeserver’spublickey.Boththeclientandtheserverusethepre-mastersecretkeytocomputethreeidenticalsetsofsecretkeypairsThefirstpair(i.e.DES)isusedtoencryptoutgoingtrafficfromtheclienttotheserverandtodecryptincomingtraffictotheserverwhileThesecondpair(i.e.HMAC)isusedtoencryptoutgoingtrafficfromtheserverandtodecryptincomingtraffictotheclientc.ThethirdpairisusedtoinitializethecipherIV(InitializationVector)Note:BoththeClientandtheServereachgeneratethreesetsofkeys三客戶機驗證和密鑰交換SSLClientSSLServerC>SS>CC>SS>CEncryptionMACIVEncryptionMACIV密鑰交換結(jié)果TheClientFinishmessageiscomposedofTheclientauthenticatestheserverwithamessageencryptedwiththenewlygeneratedsharedkeys.Thisvalidatestotheserverthatasecureconnectionhasbeencreated.SSLClientSSLServerClientFinishServerFinishTheServerFinishmessageiscomposedofTheserverauthenticatestheclientwithamessageencryptedwiththenewlygeneratedsharedkeys.Thisvalidatestotheclientthatasecureconnectionhasbeencreated.Note:theServerandclientcannowbegintousetheirsixsharedkeysforbulkdataencryptionutilizingtheSSLRecordLayerprotocol四完成SSLRecordProtocolByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirschSSL記錄協(xié)議操作ByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirsch1.分片ByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirsch2.壓縮無損壓縮不會增加1024字節(jié)以上長度的內(nèi)容沒有默認壓縮算法3.MAC計算4.加密5.封裝機密性:握手協(xié)議定義了共享的、可用于對SSL有效載荷進行常規(guī)加密的密鑰及初始/后續(xù)的IV完整性:握手協(xié)議還定義了共享的、可用于生成報文MAC的密鑰SSL記錄協(xié)議提供的服務(wù)SSLChangeCipherSpecProtocol由單個報文組成,報文值為1的單個字節(jié)使得掛起狀態(tài)被復制到當前狀態(tài),改變了這個連接將要使用的密文族SSL修改密碼規(guī)格協(xié)議SSLAlertProtocol用于將SSL有關(guān)的告警傳輸給對方實體傳輸時按照當前狀態(tài)說明被壓縮和加密SSL告警協(xié)議SSL密碼計算主密鑰的創(chuàng)建共享主密鑰(MasterSecret)由客戶機和服務(wù)器共享,是通過安全密鑰交換生成的臨時48字節(jié)值MasterSecret分兩個步驟生成:
交換pre_master_secret
雙方計算master_secretpre_master_secret交換方法:
RSA
Diffie-Hellman主密鑰的創(chuàng)建密碼參數(shù)的生成pre_master_secretmastersecretClientwriteMACsecretClientwritesecretClientwriteIVServerwriteMACsecretServerwritesecretServerwriteIV密碼參數(shù)的生成SSL通訊模型為標準的C/S結(jié)構(gòu),除了在TCP層之上進行傳輸之外,與一般的通訊沒有什么明顯的區(qū)別主要介紹如何使用OpenSSL進行安全通訊的程序設(shè)計。關(guān)于OpenSSL的一些詳細的信息請參考OpenSSL的官方主頁SSL程序設(shè)計OpenSSL初始化SSL環(huán)境申請證書驗證證書加載SET協(xié)議概述SET協(xié)議(SecureElectronicTransaction,安全電子交易)是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范SET主要是為了解決用戶商家和銀行之間通過信用卡支付的交易而設(shè)計的,以保證支付信息的機密,支付過程的完整性,商戶及持卡人的合法身份以及可操作性。SET中的核心技術(shù)主要有公開密鑰、加密、數(shù)字簽名、數(shù)子信封、數(shù)字證書等。SET能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。SET協(xié)議用以支持BtoC這種類型的電子商務(wù)模式,即消費者持卡在網(wǎng)上購物與交易的模式。SET實現(xiàn)架構(gòu)SET證書體系RCABCA1GCA1GCAnCCA1MCA1BCAnGCA1GCAnPCA1CHMCPGCCA1MCA1PCA1CHMCPGCH:CardHolderMC:MerchantPG:PaymentGateway????????????SET證書格式序列號簽名頒發(fā)者有效期主體頒發(fā)者唯一標識符擴展由授權(quán)CA簽發(fā)版本號主體公鑰信息主體唯一標識符由授權(quán)CA簽發(fā)通道(G)密鑰使用???證書類型證書卡需求(G)SET限定符(G)-支付網(wǎng)關(guān)(M)-商家授權(quán)密鑰標識符商業(yè)數(shù)據(jù)(M)標準擴展SET私有擴展雙聯(lián)簽名HH‖HEPIOIPIMDOIMDPOMDDSH:雜湊函數(shù)(SHA-1)‖:連接PIMD:支付消息摘要OIMD:訂購消息摘要POMD:支付定單消息摘要E:加密(RSA)數(shù)字信封所謂數(shù)字信封是指信息發(fā)送方用信息接收方的公開密鑰,將一個會話密鑰(對稱密鑰)加密,形成一個數(shù)字信封(DigitalEnvelope,DE),然后發(fā)送給接收方,只有指定的接收方才能使用自己的秘密密鑰打開(加密)DE,獲取其中的對稱密鑰,并使用對稱密鑰來解讀發(fā)送方傳送過來的信息。SET交易過程SET交易分三個階段進行:在購買請求階段,用戶與商家確定所用支付方式的細節(jié)在支付確認階段,商家會與銀行核實,隨著交易的進展他們將得到付款在收款階段,商家向銀行出示所有交易的細節(jié),然后銀行以適當方式轉(zhuǎn)移貨款如果不是使用借記卡,而直接支付現(xiàn)金,商家在第二階段完成以后的任何時間即可以供貨支付。第三階段將緊接著第二階段進行,用戶只和第一階段交易有關(guān),銀行與第二三階段有關(guān),而商家與三個階段都要發(fā)生關(guān)系。每個階段都涉及到RSA對數(shù)據(jù)加密以及RSA數(shù)字簽名。SET支付流程持卡人商家收單行支付網(wǎng)關(guān)PInitReqPInitResPReqAuthReqAuthResPResCapReqCapResSSL與SET協(xié)議的比較事實上,SET和SSL除了都采用RSA公鑰算法以外,二者在其他技術(shù)方面沒有太多相似之處,而RSA在二者中也被用來
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- xx省低空經(jīng)濟產(chǎn)業(yè)園項目可行性研究報告
- 服裝店安全管理人員合同
- 跨部門合同協(xié)作指南
- 美妝顧問招聘協(xié)議樣本
- 教育出版企業(yè)的組織創(chuàng)新與人才培養(yǎng)策略
- 海外投資合作模式與股權(quán)結(jié)構(gòu)
- 智能化設(shè)備安裝合同案例
- 生態(tài)保護區(qū)設(shè)施機耕道施工合同
- 2023全國注冊安全工程師《安全生產(chǎn)管理》考前三色考點筆記
- 2023年注冊消防工程師安全技術(shù)綜合能力模擬卷三
- 2023-2024學年天津市部分地區(qū)六年級數(shù)學第一學期期末綜合測試試題含答案
- 2023年阻礙中國芯片產(chǎn)業(yè)發(fā)展的主要因素分析
- 城市亮化高空作業(yè)及安全措施施工方案
- 實驗心理學文獻閱讀報告
- Rexroth (博世力士樂)VFC 3610系列變頻器使用說明書
- 黑龍江龍江森工集團招聘筆試題
- 大班美術(shù)教案:拉手小人教案及教學反思
- 外墻外保溫監(jiān)理實施細則
- 剪映使用課件s
- 《Python Web 企業(yè)級項目開發(fā)教程(Django 版)》課后答案
- 《基礎(chǔ)教育課程改革(新課程改革)》題庫含答案解析
評論
0/150
提交評論