《应用层安全协议》由会员分享,可在线阅读,更多相关《应用层安全协议(33页珍藏版)》请在金锄头文库上搜索。
1、 2006工程兵工程学院 计算机教研室计算机网络安全第11章应用层安全协议应用层安全协议计算机网络安全计算机网络安全第11章 应用层安全协议nWeb安全协议;n电子邮件安全协议;n门户网站。 应用层安全协议给出了应用层解决资源访 问安全问题的基本原则、方法和机制。应用层安全协议应用层安全协议计算机网络安全计算机网络安全11.1 Web安全协议nWeb安全问题;nWeb安全机制;nHTTP over TLS;nSET。由于网络用户通常都通过网站访问网 络、进行网上购物和电子银行转账,因此 ,Web安全问题是广大网络用户最关心, 也是直接影响网络健康发展的问题。应用层安全协议应用层安全协议计算机网
2、络安全计算机网络安全Web安全问题伪造和篡改网页n伪造银行网站,诱使用户登录;n篡改著名网站网页,用银行或其他著名网站域名链接 伪造网站。 截取用户私密信息n拦截用户和商务网站进行电子商务活动过程中交换的 信息;n伪造网页进行诈骗。 拒绝服务攻击n耗尽服务器资源;n耗尽服务器链接网络链路的带宽。应用层安全协议应用层安全协议计算机网络安全计算机网络安全Web安全机制n解决Web安全问题的关键是服务器身份认证和信息传输 加密,服务器身份认证解决伪造网站的问题,信息传输加 密解决截获用户私密信息的问题;n解决这两个问题需要动态协商安全参数并完成对方身份 认证的协议,网际层的IPSec、运输层的TLS
3、和应用层的 SET都是具有这种功能的协议;n越是底层,通用性越好,但无法顾及特定应用的细节; 和指定应用关联越多,越能满足指定应用的安全要求。网际层际层运输层输层应应用层层应用层安全协议应用层安全协议计算机网络安全计算机网络安全HTTP over TLSnTLS完成双方身份认证和安全参数协商 ,安全传输上层信息;n这里,TLS主要实现对服务器的身份认 证,约定安全传输过程用到的加密解密算 法、密钥、消息认证算法等安全参数;n将用户和服务器之间交换的HTTP报文封 装成TLS记录协议报文。应用层安全协议应用层安全协议计算机网络安全计算机网络安全n用证书证明服务 器域名和公钥PKS 的绑定;n终端
4、用PKS加密 预主密钥,预主密 钥是生成密钥的主 要参数;n一旦确认服务器 和终端生成相同的 密钥,服务器身份 得到确认;n终端和服务器用 约定的加密解密算 法和密钥实现数据 的安全传输。HTTP over TLS应用层安全协议应用层安全协议计算机网络安全计算机网络安全n由于TLS约定的安 全参数只有终端和服 务器知道,因此,加 密和消息认证码计算 过程本身具有认证发 送者身份的作用;n消息认证码用于完 整性检测,序号保证 顺序接收TLS记录协 议报文;n用三重DES加密需 要传输的数据。HTTP over TLS应用层安全协议应用层安全协议计算机网络安全计算机网络安全安全电子交易(SET)n
5、SET应用系统用于 实现电子购物;n既要保证持卡人的 私密信息只在持卡人 和发卡机构之间传输 ,又要保证商家权益 ;n信息只能在指定的 发送端和接收端之间 传输,即必须对发送 端进行身份认证,只 有指定接收端才能获 得信息。SET应用系统应用层安全协议应用层安全协议计算机网络安全计算机网络安全n持卡人封装处理过程一是需要认证发送者身份,二是保证只有指定接收者才 能获得信息,三是持卡人不能否定发送过的购物请求;n认证发送者身份和无法否认发送过的购物请求通过数字签名实现,数字签名 DSKC(H(P);SKC是发送者私钥,H是报文摘要算法。n明文、数字签名和证明发送者和公钥之间绑定的证书用3DES加
6、密算法加密, 并将密钥用指定接收者的公钥加密,因此,只有指定接收者才能还原密钥,并因 此获得明文、数字签名和证书。安全电子交易(SET)持卡人封装过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全n指定商家才能用私钥解密出密钥KEY,并因此获得明文、数字签名和 证书;n对明文P进行报文摘要运算,对数字签名用证书给出的公钥进行加密 运算,然后对两者进行比较,如果相等:一是证明由证书指定的发送者 发送,二是明文确实是发送者发送的明文。这样,完成了发送者身份认 证、数字签名认证和完整性检测。安全电子交易(SET)商家认证发认证发 送者身份和解密数据过过 程应用层安全协议应用层安全协议计算
7、机网络安全计算机网络安全n双重签名的目的是证明两份报文的关联性,不 仅通过数字签名证实由发送者发送,而且证实这两 份报文和同一事务相关;n这里需要证明支付信息和购货信息是对应的, 是与同一次电子购物相关的两份报文。安全电子交易(SET)双重签签名过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全n持卡人、商 家和支付网关 需要获得由认 证中心签发的 证书;n选择商品, 得到商家发送 的定货信息;n向商家提供 定货信息和支 付信息;n商家认证支 付信息;n商家提供商 品。安全电子交易(SET)电电子交易过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全n购买请求消息在获得
8、商家提供的购 物清单后发送;n根据购物清单构件定货信息和支付 信息,定货信息发送给商家,支付信 息由商家用于认证持卡人的支付能力 ,为了将定货信息和支付信息绑定在 一起,持卡人采用双重签名;n为了上支付网关和商家认证双重签 名,发送给商家的信息中包含支付信 息的报文摘要,发送给支付网关的信 息中包含订货信息的报文摘要;n为了区别信息的接收者,分别用支 付网关和商家的公钥加密发送给它们 的信息。安全电子交易(SET)购买请购买请 求消息封装过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全n商家验证双重签名,确定定货信息的发送者和双重签名证实的支付信息的报文摘要 ;n对发送给支付网关
9、的密文不作处理,用于生成用于验证持卡人支付能力的授权请求 消息。安全电子交易(SET)商家验证验证 双重签签名过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全n授权请求信息的 目的是验证持卡人 的支付能力;n支付信息中除了 有关账户、密码等 私密信息,还有交 易标识符和支付金 额等与本次交易关 联的信息;n授权信息中同样 提供交易标识符和 支付金额等与本次 交易有关的信息, 便于支付网关验证 。安全电子交易(SET)商家封装授权请权请 求消息过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全n认证支 付信息发 送者身份 和授权请 求消息发 送者身份 ;n认证双 重签名
10、, 确认支付 信息和订 货信息之 间的关联 ;n根据商 家提供的 授权信息 和持卡人 提供的支 付信息验 证持卡人 的支付能 力。安全电子交易(SET)支付网关验证验证 授权请权请 求消息过过 程应用层安全协议应用层安全协议计算机网络安全计算机网络安全n支付网关验证 持卡人支付能力后 ,向商家提供承兑 凭证,一旦商家提 供已向持卡人提供 商品或服务的证据 ,即可凭承兑凭证 要求电子转账;n商家不能处理 承兑凭证;n授权信息由支 付网关数字签名, 用于向商家通告验 证持卡人支付能力 的结果。安全电子交易(SET)支付网关封装授权权响应应消息过过程应用层安全协议应用层安全协议计算机网络安全计算机网
11、络安全n商家向持卡人提供商品 或服务后,要求支付网关 完成电子转账;n商家提供支付网关提供 的承兑凭证和请求消息;n请求消息中给出本次购 物的相关信息,如交易标 识符、支付金额等,还有 已经完成向持卡人提供商 品或服务的证据;n支付网关根据请求消息 验证承兑凭证,在验证无 误的情况下,通过支付网 络和专用支付系统完成持 卡人至商家的电子转账。安全电子交易(SET)商家封装请请求消息过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全11.2 电子邮件安全协议nPGP;nS/MIME。电子邮件安全协议采用的技术和其他 安全传输协议相似,一是通过数字签名完 成发送者身份认证,二是通过加密
12、实现保 密传输。只是PGP采用和邮件格式无关的 机制,S/MIME采用在邮件内容的定义中 增加数字签名和保密传输类型。应用层安全协议应用层安全协议计算机网络安全计算机网络安全PGPn前提是双方均已通过认证中心获得公钥、私钥对和证书 ,并向对方发送了证书;n数字签名实现发送者身份认证和完整性检测;n用3DES加密,并用接收端公钥加密3DES加密用的密 钥,保证只有指定接收端才能阅读邮件。发发送端处处理过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全PGPn指定接收端用私钥解密出3DES的密钥, 然后还原出压缩消息;n对解压后的消息通过用发送端公钥验证数 字签名、完成完整性检测。接收
13、端处处理过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全S/MIMEn5个常见关键词:Date、From、Subject、To 、Cc;n只能传输ASCII码。SMTP邮邮件格式应用层安全协议应用层安全协议计算机网络安全计算机网络安全n增加了邮件内容类型,允许邮件内容为多媒体信息,如 图片、视频、音频等;n经过编码,将多媒体信息转换成ASCII码进行传输。S/MIMEMIME邮邮件格式应用层安全协议应用层安全协议计算机网络安全计算机网络安全n为了和SMTP兼容,非ASCII码的MIME邮件内容被转换成 7位ASCII码后,通过SMTP发送;n接收端需要将通过SMTP接收到的7位A
14、SCII码重新还原为 非ASCII码的MIME邮件内容。S/MIMEMIME和SMTP的关系应用层安全协议应用层安全协议计算机网络安全计算机网络安全n为了安全传输邮件,需要认证发送者身份、进行邮件完整 性检测,认证子报文就用于实现这一功能;n采用数字签名技术,认证子报文中给出证书、数字签名采 用的算法等;n消息和数字签名作为认证子报文主要内容。S/MIME认证邮认证邮 件子报报文过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全n用3DES对邮件加密,用接收端的公钥加密3DES的密 钥,保证只有指定接收端才能获取邮件内容;n用明文方式给出消息加密算法,密钥加密算法,加密 密钥的公钥
15、的证书。S/MIME加密邮邮件子报报文过过程应用层安全协议应用层安全协议计算机网络安全计算机网络安全11.3 门户网站n系统结构;n系统配置;n实现机制。门户网站是内部网络资源的入口,由 门户网站统一实现对内部网络资源的访问 控制过程,门户网站根据事先配置的不同 用户的访问权限,对用户身份进行认证, 监管用户权限内的资源访问过程。应用层安全协议应用层安全协议计算机网络安全计算机网络安全系统结构n必须由防火墙控制信息传输过程,即用户和服务器之间不能直接通信,用 户必须经过门户网站访问服务器;n外网授权终端同样必须经过门户网站访问内网服务器资源;n门户网站必须建立授权用户库,对每一个授权用户设置访
16、问权限。应用层安全协议应用层安全协议计算机网络安全计算机网络安全系统结构n用户通过HTTP访问门户网站;n门户网站认证用户身份、确定用户访问权限,通过对应资源访问 协议访问内网资源,将访问结果统一用HTTP响应传输给用户。应用层安全协议应用层安全协议计算机网络安全计算机网络安全系统配置防火墙配置n从用户区到门户区 源IP地址=200.1.1.0/24 目的IP地 址=200.1.3.7/32 HTTP服务;n从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP 地址=200.1.2.5/32 HTTP服务;n从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP 地址=200.1.2.7/32 FTP服务;n从门户区到服务器区 源IP地址=200.1.3.7/32 目的IP 地址=200.1.2.6/32 SMTP+POP3服务。防火墙配置的目的是保证用户只能和门户网站进行 HTTP服务、门户网站只能和相应服务器进行对应服务。应用层安全协议应用层安全协议计算机网络安全计算机网络安全n门户网站为每一个用户设置认证机制和允许访问的资源 及访问方式;n访问的资
