《《信息系统安全原理》电子教案 第8章 安全协议》由会员分享,可在线阅读,更多相关《《信息系统安全原理》电子教案 第8章 安全协议(100页珍藏版)》请在金锄头文库上搜索。
1、第8章 安全协议,协议就是规范。安全协议是对某些基于密码体制的信任关系的规范。具体地说,就是在密码体制的基础上,根据应用目的,将密钥分配、身份认证、信息保密以及数据交换予以规范化。,一般说来,安全协议的评估可以从它在以下4个方面的 性能上进行: (1)认证性。认证是分布式系统中的主体进行身份识别的过程。这个过程是通过对主体和认证服务器共享的一个秘密(如口令、加密密钥等)的证明进行的。通过认证,可以建立一种信任关系,对抗 假冒攻击。 (2)秘密性。秘密性用来保护协议消息不泄露给非授权拥有此协议者。它也是建立一种信任关系,根据是否对秘密拥有解释权,把主题分为有信任关系和没有信任关系的两部分。但是,
2、在安全协议中,一般不考虑密码算法的细节。,(3)完整性。完整性用来保护协议信息不被非法篡改、删除和替代。最常用的方法是封装和签名,如把消息认证码和杂凑码附在消息上,作为验证消息完整性的依据。 (4)不可否认性。不可否认性要求协议主题对自己的合法行为负责,也不可事后否认。为此,要收集对方参与协议交换的证据,用于出现纠纷时可信仲裁证明。证据一般以数字签名方式给出。 安全协议都是基于特定的目的制定的。按照制定的目的,安全协议可以分为密钥交换协议、认证协议、认证和密钥交换协议以及其他一些不同应用领域的安全协议等。有些协议前面已经介绍了。这一章主要介绍目前在应用中人们比较关注的协议。,8.1 政务电子公
3、文流转安全协议,8.1.1 电子公文流转概述 1. 电子公文流转软件开发的关键问题 随着政府信息化基础设施建设的逐渐完备,改革传统办公模式,开展电子政务,使业务办公、公文流转和管理过程电子化、信息化,让文职人员从长期繁杂的办公事务中解放出来,通过统一办公规范,提高工作效率,降低行政成本,实现办公自动化已势在必行。,公文流转系统作为一类非标准性的软件产品,具有很强的随意性和扩展性,其成功与否主要受三个关键技术的制约: (1)开发模式:是B/S模式,还是C/S模式。 (2)开发平台与框架。目前主要有: 基于LotusNotes的公文流转系统。 基于ExchangeServer的公文流转系统。 基于
4、Windows、Net框架的公文流转系统。 基于JAVA的公文流转系统。 其他。 (3)其他。主要涉及:公文流定义、身份验证、数字签名与传输加密、审批、电子签章和痕迹跟踪等。,2. 电子公文流转系统的安全保障 (1)身份验证 政府机关公文处理工作保密性、严肃性特点,因而公文流转系统必须使用与之相适应的身份验证技术。目前的身份验证技术主要有简单用户密码匹配、物理地址识别、智能卡等硬件识别、生物识别等,它们的安全程度不同,开发和应用成本也有很大差别。,(2)数字签名与传输加密技术 政府公文流转过程中严格的保密性是公文流转系统基本要求之一,也是政务类应用软件验收的硬性指标,所以一个成熟的公文流转系统
5、必须使用数字签名技术,并在其基础上对数据传输进行加密,数字签名技术也是识别用户身份、确定公文责任的主要技术。在一些公文流转系统中已经应用了小型的CA数字签名认证系统。,(3)电子签章技术 传统的公文是否有效与其是否具有公章直接相关,这种“红头+公章”的公文处理模式仍会延续到公文处理系统中,由于没有具体规定的出台,因而对于电子签章的合法性问题还存在很大的争议。在一些公文系统中,使用模拟化的电子签章,在公文上直接加盖,再由高精度打印设备打印,或作为二次加盖传统公章的凭据。在政府机关未形成大范围的无纸化办公的前提下,电子签章技术的发展趋势呈现以数字化的虚拟签章使公文在系统中生效,一旦需要出现纸介质公
6、文时,在输出后对公文的合法性进行数字与人工的混合验证,并加盖传统的公章。,(4)痕迹跟踪技术 公文在处理的过程往往经过多个部门的多个工作人员,可能存在大量的修改行为,为了保证公文的原始信息,确定公文责任,需要对各种修改行为进行跟踪,并形成附属公文的流程跟踪报表。目前的公文流转系统大多实现了这一功能,或在数据库中、或在文档上保留公文处理的痕迹,以备审核 。,3. 电子公文流转安全协议 应当说,电子公文流转安全协议是上述电子公文安全保证在不同层次上的规范化和标准化。这里仅根据现行公文流转的方式和未来可能的需求,讨论电子公文流转安全协议应当具备的主要性能,主要涉及: 电子公文完整性验证。 发文单位验
7、证。 收文单位验证。 收文方已签收验证。 电子公文佐证验证。 电子公文防窃取验证。,8.1.2 收文端单方认证协议 单方认证协议可以让收文端对发文端认证,以确保电子公文的完整性。这类协议一般用于没有责任归属问题的公文传输,如会议通知、政府公告等。这类协议可以有三个层次。 1. 电子公文完整性及发文单位验证协议 这两个协议的作业程序如图8.1所示。它们是基于数字签名的认证。它们是基于数字签名的认证: 使用公开密钥体系,可以验证发文单位。 使用数字签名,可以验证公文的完整性。 这两个安全协议主要用于敏感性较低、防窃取需求不太明显的公文发送。,图8.1 电子公文完整性及发文单位验证协议作业过程,2.
8、 电子公文防窃取验证 这个协议用以保护敏感性较高,一旦泄密会造成严重损失的公文,如重要会议通知、一定机密程度的公文。因此,因此,如图8.2所示,它不仅要需要进行数据完整性认证和发芳身份认证,还要对公文进行加密。,图8.2 电子公文防窃取验证协议作业过程,8.1.3 不可否认电子公文流转协议 不可否认公文流转协议主要用于传送具有责任归属的公文,如工作部署、人事任免、疫情报告等。下面介绍这类协议的几种不同形式。 1. 双方三次认证的不可否认电子公文流转协议,双方认证的不可否认电子公文流转协议的基本操作过程如图8.3所示,它是一个三次认证过程(也称三次握手协议): 发文方发送用主密钥加密公文和用发文
9、方的私钥加密的杂凑值。收文方用发文方的公钥验证签名的正确性。但是收文方没有主密钥对公文解密。 收文方验证签名后,用自己的私钥对杂凑值加密,作为收文证明传送给发文方。 发文方用收文方的公钥验证收文证明后,将主密钥传给收文方。收文方解密公文。,图8.3 不可否认电子公文流转的双方三次认证协议操作过程,2. 公正第三方参与的电子公文佐证协议 有公正第三方参与的电子公文佐证协议是在不可否认电子公文流转协议的基础上,增加一个公正第三方(Trust Third Party,TTP)角色,为有责任归属的电子公文流转中的认证提供第三方佐证,以备以后有争议时,协助裁决。由于地三方的加入,认证过程也由原来的三次握
10、手,变为7次握手,如图8.4所示。,图中:“中”指公正第三方公正中心,8.2 安全电子交易协议SET,8.2.1 电子交易中的安全支付问题 1. 电子商务中的B to C交易过程 交易指双方买卖双方之间进行商品买卖的行为。广义的交易是一个复杂的过程。在电子商务中,由于参与方不同等原因,会形成不同的交易过程,如B to B(Business to Business,企业间电子商务,也缩写作B2B)的交易过程、B to C(Business to Consumer,企业对消费者的电子商务)的交易过程等。,下面主要介绍B to C的交易过程 在B to C的交易过程中,主要角色有: 商家(Merch
11、ant):商品或服务的提供者。 银行(Acquirer):为在线交易者开设账号,并处理支付卡的认证和支付业务。 支付网关(Payment gateway):将Internet上的传输数据转换为金融机构内部数据。 持卡者(Cardholder):消费者,可以使用付款卡结算。 发卡机构(Issuer):为每一个建立了账户的客户颁发付款卡,也可以由指派的第三方处理商家支付信息和客户支付命令。,图8.5为B to C的基本交易过程,下面进一步介绍 (1)订货 消费者上网,查看企业和商家网页,选择商品;消费者通过对话框填写订货单(姓名、地址、品种、规格、数量、价格)给商家。 (2)支付 商家核对消费者订
12、货单后,向用户发出付款通知,同时向银行发出转账请求。 消费者选择支付方式,如向发卡机构提交付款卡。,(3)转账 发卡机构验证消费者付款卡后,将卡号加密传向银行(支付网关)。银行审查消费者付款卡(有效、款够等)合格后,进行转账。 转账成功,向商家发出和发卡机构出转账成功回执。 发卡机构向消费者发出支付收据。 (4)付货 商家向消费者付货。,2. 电子支付中的安全需求 支付是交易的重要环节。由于电子支付的虚拟性,它的安全倍受人们关注,也是电子商务安全的最重要和最困难环节。 电子支付的问题表现在支付的每一个方面和每一个步骤中。归纳起来,主要表现为有如下一些安全需求:,确定交易过程中交易伙伴的真实性。
13、 保证电子单据的隐秘性,防范被无关者窃取。 保证业务单据不丢失,即使丢失也可察觉。 验证电子单据内容的完整性。 验证电子单据内容的真实性。 具有防抵赖性和可仲裁性。 保证存储的交易信息的安全性。,8.2.2 SET的目标、角色和安全保障作用 SET(Secure Electric Transaction,安全电子交换)协议是一种利用加密技术(Cryptography),以确保信用卡消费者、销售上及金融机构在Internet上从事电子交易的安全性和隐私性的协议。它是由两大信用卡公司VISA和Master在GTE、IBM、Microsoft、Netscape、SAIC、Terisa System、
14、Verisign等著名IT公司的支持下开发的。于1996年2月1日正式发表。,1. SET的目标 SET的主要目标是: (1)保证数据在Internet上安全传输,不被窃取。 (2)订单信息与账号信息隔离,如把包含消费者账号信息的订单送给商家时,商家应看不到消费者账号信息。 (3)消费与商家可以互相认证(一般由第三方提供信用担保),确定通信双方身份。 (4)采用统一的协议和数据格式,使不同厂家开发的软件具有兼容性和互操作性,并可以运行在不同的硬件和操作系统平台上。,2. SET的参与角色 一个SET交易过程可能会涉及如下6种角色: (1)消费者,即持卡人,必须持有 发卡机构支付卡账号; 认证机
15、构颁发的身份证书; 上网条件。,(2)商家,即经营者,必须持有: 网上经营许可权; 经过银行委托授权机构(认证中心、CA)颁发的数字证书; 相应的电子商务平台:处理消费者申请、与支付网关通信、存储自身公钥签名、存储自己的公钥交换私钥、存储交易参与方的公钥交换私钥、申请和接受认证、与后台数据库通信等。 (3)银行:给在线交易参与者建立账号,处理转账业务。 (4)发卡机构:金融机构,为建立了账号的消费者发卡。,(5)支付网关,实际上是一台可以处理SET协议数据的计算机,可在SET协议和银行交易系统之间进行数据格式转换,实现传统银行网上支付功能的延伸。支付网关有如下服务: 确定商家和消费者身份; 解
16、密持卡人的支付指令; 签署数字响应。,支付网关必须具有: 银行授权; CA颁发的数字证书。 (6)认证机构,是参与交易各方都信任的第三方,可以接受发卡行和收单行的委托,对持卡人、商家和支付网关完成数字证书的发放。,3. SET的安全保障作用 (1)基于持卡人的安全保障 对账号数据保密; 对交易数据保密; 持卡人对商家的认证。 (2)基于商家的安全保障 对交易数据完整性的认证; 对持卡人账户数据的认证; 对持卡人的认证;,对银行端的认证; 对交易数据保密; 提供交易数据的佐证。 (3)基于银行(支付网关)的安全保障 对消费者账号数据的认证; 对交易数据的间接认证; 对交易数据完整性的认证; 提供交易数据的佐证。,8.2.3 SET关键技术 1. 双重签名 SET有一个基本性能:不需要让某个角色无关的其他角色的机密,就不让它知道,例如 只与持卡人和商家之间的交易有关的机密数据,不必要,也不可以让银行知道。 持卡者的账户数据也是持卡者的个人秘密数据,不必要,也不可以让厂商知道。,但是,在知道他人机密的情况下,还要对其数据的正确
