信息安全導(dǎo)論（以問題為導(dǎo)向） 課件 08 Web與電子商務(wù)安全

1Web與電子商務(wù)安全Web&ECSecurity教學(xué)視頻、國家級一流在線課程鏈接：/course/FUDAN-12063578112內(nèi)容提要信息安全的學(xué)科內(nèi)容Web和電子商務(wù)安全問題提出安全套接字協(xié)議SSL與傳輸層安全協(xié)議TLS安全電子交易(SET)3內(nèi)容提要1、信息安全的學(xué)科內(nèi)容4回顧和總結(jié)密碼學(xué)基礎(chǔ)安全協(xié)議（PKI，身份認(rèn)證協(xié)議）網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全5信息安全涵蓋的學(xué)科內(nèi)容涉及多方面的理論和應(yīng)用知識，除了數(shù)學(xué)、通信、計算機等自然科學(xué)外，還涉及法律、心理學(xué)等社會科學(xué)。狹義上，僅從從自然科學(xué)的角度研究網(wǎng)絡(luò)隱私與安全，則其各部分研究內(nèi)容及相互關(guān)系如圖抗抵賴6回顧和總結(jié)保密性Confidentiality,機密性完整性Integrity可用性Availability可認(rèn)證Authentication抗抵賴Non-repudiation安全服務(wù)/安全需求7內(nèi)容提要Web與電子商務(wù)安全問題提出Web、電子商務(wù)的定義威脅有哪些（What）哪里會有威脅（Where）8內(nèi)容提要Web和電子商務(wù)安全問題提出Web,EC定義威脅有哪些（What）哪里會有威脅（Where）安全套接字協(xié)議SSL安全電子交易

(SET)互聯(lián)網(wǎng)=WorldWideWeb(WWW)?1989年CERN的TimBerners-Lee為了方便物理學(xué)家共享信息而發(fā)明了WWW（超文本）http://info.cern.ch/Thewebsiteoftheworld'sfirst-everwebserver圖形化瀏覽器的出現(xiàn)使WWW迅速普及-（殺手應(yīng)用，killer）Mosaic

->NetscapeNavigator->IE,Firefox,Chrome,…被政府、企業(yè)、個人廣泛使用10Web系統(tǒng)脆弱性討論WEB是外網(wǎng)可見的復(fù)雜的軟件會隱藏漏洞Web站點容易配置和管理可被用作跳板發(fā)起對內(nèi)網(wǎng)的攻擊用戶沒有意識到威脅存在11Web安全威脅有哪些原生的基于Http協(xié)議的Web應(yīng)用面臨多種威脅考慮網(wǎng)絡(luò)通信過程：瀏覽器Web服務(wù)器保密性

http,etc.plaintext完整性可用性可認(rèn)證結(jié)論：需要安全機制12威脅在哪里（Where）網(wǎng)絡(luò)上：網(wǎng)絡(luò)竊聽，報文篡改服務(wù)端：惡意的釣魚站點或安全性弱的站點釣魚，使用相同口令客戶端：惡意軟件Spyware、TrojanHorse等BrowserServerpasswordcookie13網(wǎng)絡(luò)釣魚PhishingBankAFakeSitepwdApwdA14使用相同密碼,CommonPassword安全性弱的網(wǎng)站B容易泄露用戶的口令獲的用戶口令后嘗試用同樣的用戶名和口令進(jìn)入安全性高的網(wǎng)站（BankA）BankAlowsecuritysitehighsecuritysitepwdApwdB=pwdASiteB15電子商務(wù)在Web應(yīng)用之前早在1839年，當(dāng)電報出現(xiàn)，電子商務(wù)的討論如電子資金清算系統(tǒng)(基于金融專線傳輸)EFT，Electronicdatainterchange(EDI)等

這里主要考慮基于Internet（公眾網(wǎng)絡(luò)）的商務(wù)活動16EC的發(fā)展歷史1990后，Internet及其上商務(wù)的發(fā)展帶來了電子商務(wù)新概念I(lǐng)nternet上的Web，是電子商務(wù)發(fā)展的一個轉(zhuǎn)折點WEB使得商務(wù)活動的一種便宜方便、快捷多種多樣的經(jīng)濟(jì)活動17Web&電子商務(wù),本章解決安全問題保密性完整性可用性（抗拒絕服務(wù)攻擊）可認(rèn)證隱私保護(hù)Privacy18內(nèi)容提要Web和電子商務(wù)安全問題提出身份認(rèn)證方法安全套接字協(xié)議SSL安全電子交易

(SET)19內(nèi)容提要3、安全套接字協(xié)議SSL與傳輸層安全協(xié)議TLS3.1

SSL/TLS協(xié)議提供的安全服務(wù)20SSLandTLS安全套接字協(xié)議SSL(SecureSocketLayer)協(xié)議最初由網(wǎng)景(Netscape)公司開發(fā)，有V1.0，V2.0，V3.0三個版本后來成為Internet標(biāo)準(zhǔn)，名稱改為TLS(TransportLayerSecurity)，即傳輸層安全協(xié)議TLSworkinggroupinIETFTLS第一版V1.0(1999年)可以認(rèn)為是SSLv3.121在TCP/IP協(xié)議分層中的位置1、安全機制在那一層實現(xiàn)？答：在傳輸層、網(wǎng)絡(luò)、應(yīng)用層分別有相應(yīng)的實現(xiàn)方案2、在不同的網(wǎng)絡(luò)層實現(xiàn)安全機制，有什么區(qū)別？SSL/TLS協(xié)議的安全服務(wù)協(xié)議的設(shè)計目標(biāo)為兩個通訊個體之間提供保密性,數(shù)據(jù)完整性,身份認(rèn)證互操作性、可擴展性、相對效率SSL/TLS協(xié)議的安全服務(wù)協(xié)議的設(shè)計目標(biāo)為兩個通訊個體之間提供保密性,數(shù)據(jù)完整性,身份認(rèn)證互操作性、可擴展性、相對效率24Anexampletest/index.jsp25SSL協(xié)議體系結(jié)構(gòu)26內(nèi)容提要3、安全套接字協(xié)議SSL與傳輸層安全協(xié)議TLS3.2

SSL記錄協(xié)議27SSL/TLS的子協(xié)議協(xié)議分為兩層底層：ssl記錄協(xié)議上層：ssl握手協(xié)議、ssl密碼變化協(xié)議、ssl警告協(xié)議ssl記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上它提供連接安全性，有兩個特點保密性，使用了對稱加密算法完整性，使用MAC算法用來封裝高層的協(xié)議ssl握手協(xié)議-最復(fù)雜客戶和服務(wù)器之間相互認(rèn)證協(xié)商加密算法和密鑰它提供連接安全性，有三個特點身份認(rèn)證，至少對一方實現(xiàn)認(rèn)證，也可以是雙向認(rèn)證協(xié)商得到的共享密鑰是安全的，中間人不能夠知道協(xié)商過程是可靠的28SSL工作流程先握手單向身份認(rèn)證，雙向認(rèn)證（可選）協(xié)商SSL會話的密鑰等參數(shù)SSL記錄協(xié)議加密會話數(shù)據(jù)提供完整性、保密性支持什么是會話？Sessionidentifier、Peercertificate、Compressionmethod、……29SSL記錄協(xié)議封裝214B30SSL記錄協(xié)議報文struct{ContentTypetype;——8位，上層協(xié)議類型

ProtocolVersionversion;——16位，主次版本

uint16length;——加密后數(shù)據(jù)的長度，

不超過214+2048字節(jié)

EncryptedDatafragment;——密文數(shù)據(jù)

}SSLCiphertext;31SSL記錄協(xié)議的載荷(Payload)32內(nèi)容提要3、安全套接字協(xié)議SSL與傳輸層安全協(xié)議TLS3.3

SSL握手協(xié)議33握手協(xié)議ProtocolSSL協(xié)議最復(fù)雜的部分在應(yīng)用數(shù)據(jù)傳輸之前最先開始工作34交換Hello消息，對于算法、交換隨機值等協(xié)商一致SSL握手協(xié)議的流程client_hello消息，包括以下參數(shù)：

版本、隨機數(shù)(32位時間戳+28字節(jié)隨機序列)、會話ID、客戶支持的密碼算法列表(CipherSuite)、客戶支持的壓縮方法列表35內(nèi)容提要Web和電子商務(wù)安全問題提出身份認(rèn)證方法安全套接字協(xié)議SSL安全電子交易

(SET)36內(nèi)容提要4、安全電子交易

(SET)4.1

SET概述37SecureElectronicTransactionsSET

(SecureElectronicTransactions)開放的安全電子交易安全規(guī)范保護(hù)Internet上的信用卡支付交易由Mastercard,Visa發(fā)起參與者包括:MasterCard,Visa,IBM,Microsoft,Netscape,RSA,andVerisign不是支付系統(tǒng)一系列安全協(xié)議和規(guī)范格式38SET服務(wù)提供安全的交易通道通信的保密性和完整性基于X.509證書提供交易方之間的信任基于公鑰密碼實現(xiàn)身份認(rèn)證強調(diào)隱私保護(hù)privacy.byrestrictedinfotothosewhoneedit39SET參與方40客戶和商家交易的10個基本步驟Thecustomeropensanaccount.Thecustomerreceivesacertificate.Merchantshavetheirowncertificates.Thecustomerplacesanorder.Themerchantisverified.Theorderandpaymentaresent.Themerchantrequestpaymentauthorization.Themerchantconfirmtheorder.Themerchantprovidesthegoodsorservice.Themerchantrequestspayments.注意：SET是在線信用卡交易，不是第三方支付41內(nèi)容提要4、安全電子交易

(SET)4.2隱私保護(hù)－雙重數(shù)字簽名42雙重數(shù)字簽名(DualSignature)43支付過程(第6步對應(yīng)的報文)

CardholdersendsPurchas