Internet安全协议与标准(PPT38页)

《Internet安全协议与标准(PPT38页)》由会员分享，可在线阅读，更多相关《Internet安全协议与标准(PPT38页)（37页珍藏版）》请在金锄头文库上搜索。

1、Internet安全协议与标准安全协议与标准第第4课课唐礼勇唐礼勇 博士博士7/3/2003Internet安全协议及标准安全协议及标准之之安全安全网络安全网络安全7/3/2003网络安全网络安全Agenda通信安全应用程序安全分发Mobile codeFirewall电子商务其他话题7/3/20033Internet安全协议及标准安全协议及标准通信安全通信安全OSI七层协议与信息安全物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层OSIOSI 协议层协议层加密加密/ / 安全技术安全技术安全协议安全协议信道加密信道加密PPTP/L2TPPPTP/L2TPI

2、PIPS SececSSL/TLSSSL/TLS信源加密信源加密SOCKSSOCKS应用相关应用相关应用程序网关应用程序网关 / /保密网关保密网关静态包过滤静态包过滤动态包过滤动态包过滤7/3/20034Internet安全协议及标准安全协议及标准通信安全通信安全(续一续一)三类加密安全体系7/3/20035Internet安全协议及标准安全协议及标准通信安全通信安全(续二续二)应用层安全性安全HTTP(S-HTTP)对HTTP进行的扩展，描述了一种使用标准加密工具来传送HTTP数据的机制是一个非常完整的实现，几乎包括了在一个很长的时间内可能需要的安全HTTP访问应该具有的所有特征支持少，已

3、基本消失PGP、S/MIMES/MIME、PGP都是针对电子邮件进行的安全协议PGP还可用于文件加密及签名SSH用于安全的远程登录其他问题7/3/20036Internet安全协议及标准安全协议及标准通信安全通信安全(续三续三)传输层安全性SSL(安全套接字层，Secure Socket Layer)、TLS工作在传输层，独立于上层应用，给应用提供一个安全的点点通信隧道由协商过程和通信过程组成，协商过程用于确定加密机制、加密算法、交换会话密钥服务器认证以及可选的客户端认证，通信过程秘密传送上层数据。理论上讲，它可以支持任何应用层协议7/3/20037Internet安全协议及标准安全协议及标准

4、通信安全通信安全(续四续四)网络层安全性：IPSec协议族7/3/20038Internet安全协议及标准安全协议及标准通信安全通信安全(续五续五)网络层安全性：IPSec协议族IP认证消息头(AH)协议IP封装安全协议(ESP)IKE(ISKAMP/Oakley)7/3/20039Internet安全协议及标准安全协议及标准应用程序安全分发应用程序安全分发“砂箱”(Sandbox)模型：囚牢模型应用程序只能访问到一个受限的、经过严格检查的系统资源集合一种积极防御策略Unix chroot机制Java安全机制“代码签名”模型代码在进行发布之前利用公开密钥机制进行签名，而网络用户在下载之前先检查

5、签名是否真实再决定是否下载。可防止代码被篡改，但不能防止代码自身问题ActiveX、Java7/3/200310Internet安全协议及标准安全协议及标准防火墙防火墙(Firewall)用于隔离内部网与外部不可信网络包过滤(Packet filter)“状态检查”(Stateful)型包过滤电路型(Circuit)网关应用程序(Application)代理(Proxy)NAT(Network Address Translate)VPN(Virtual Private Network)7/3/200311Internet安全协议及标准安全协议及标准电子商务安全电子商务安全支付协议基于卡的支付协

6、议明文发送信用卡号码经保密路径发送信用卡号码通过第三方进行交易安全支付协议SET：双签名(dual signature)iKPCyberCashLow and et al., 1994匿名信用卡支付协议7/3/200312Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续一续一)支付协议 (SET)7/3/200313Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续二续二)支付协议 (SET - Dual Signature)7/3/200314Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续三续三)支付协议 (SET Pa

7、yment Processing 持卡人商家)7/3/200315Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续四续四)支付协议 (SET Payment Processing 商家验证持卡人)7/3/200316Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续五续五)支付协议(续)基于支票的支付协议：借-贷模型，维护账目的绝对平衡借-贷模型，支付服务器维护账目的绝对平衡。FSTC的eCheckNetBill系统：主要是一个研究系统，定义的是信息商品的交换NetCheque系统NetChex基于现金的支付协议：使用盲签名技术，保证匿名性Digi

8、Cash的e-CashUSC-ISI的NetCashMondex及VISA的储值卡7/3/200317Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续六续六)业务-业务型电子商务电子数据交换(EDI)传统：专用增值网络Internet：安全信道安全Web、安全电子邮件、VPN等分布式对象技术CORBA安全机制尚不成熟DCE/RPC、Kerberos用于身份认证IIOP用于不同在TCP/IP网络上不同ORB之间互操作安全隧道(SSL、VPN)7/3/200318Internet安全协议及标准安全协议及标准电子商务安全电子商务安全(续七续七)业务-业务型电子商务(续)分布式

9、对象技术(续)DCOMMicrosoftSSPI实现通用网络认证和数据传输加密SSPI支持Kerberos、NTLM、SSL、DPAimpersonate：使对象工作在客户安全环境下单一实现，不需使用同GIOP类似的ORB桥基于Java的RMI完全定义在Java上，以Java为中心安全隧道、“砂箱”模型7/3/200319Internet安全协议及标准安全协议及标准其他有意思的话题其他有意思的话题无线网络安全问题 (Wireless Security)XML技术与安全关于可信任计算的讨论系统芯片(SoC)技术与安全问题7/3/200320Internet安全协议及标准安全协议及标准安全协议基础

10、安全协议基础7/3/2003Agenda何谓协议Base64编码加密算法同明文相关的几个问题一个简单协议的分析7/3/200322Internet安全协议及标准安全协议及标准何谓协议何谓协议Protocol (协议,规程,规约;议定)A standard procedure for regulating data transmission between computers为管理调整计算机间数据交流的标准程序为管理调整计算机间数据交流的标准程序A set of semantic and syntactic rules that determines the behavior of functi

11、onal units in achieving communication一组语义和语法规则一组语义和语法规则,决定功能部件在通信时如何进行工作决定功能部件在通信时如何进行工作A specification for the format and relative timing of information exchanged between communicating parties通信双方之间交换信息的格式和相对定时同步的一种规范通信双方之间交换信息的格式和相对定时同步的一种规范The set of rules governing the operation of functional un

12、its of a communication system that must be followed if communication is to be achieved管理某一通信系统的功能部件操作的一组规则管理某一通信系统的功能部件操作的一组规则,如果要实现通信如果要实现通信,必须必须遵循这些规则遵循这些规则7/3/200323Internet安全协议及标准安全协议及标准安全协议安全协议安全协议首先是协议标准程序语义、语法规则双边或多边数据交换安全协议是协议中与安全相关的部分？同安全相关的协议？安全协议的基石通信技术加密、摘要计算、公开密钥加密和数字签名技术的组合应用加密原语、安全服务、

13、安全机制7/3/200324Internet安全协议及标准安全协议及标准Base64编码编码7/3/200325Internet安全协议及标准安全协议及标准Base64编码编码(续续)Base64编码使消息长度增加了约33%7/3/200326Internet安全协议及标准安全协议及标准分组密码的工作模式分组密码的工作模式7/3/200327Internet安全协议及标准安全协议及标准分组密码的明文填充分组密码的明文填充最流行的做法：确定待填充的字节数并在数据的最后字节后重复该值当不需要填充时怎么办？7/3/200328Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用

14、中的问题RSA算法：选择两个大素数p和q，通常要求每个均大于10100。计算npq和z(p1)(q1)。选择一与z互质的数、令其为e。找到一个d满足ed1 (mod z)。公钥：(e, n) 私钥： (d, n) 加密M：计算CMe(mod n)解密C：计算MCd(mod n) Med(mod n)=M7/3/200329Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续一续一)M是一个数，真正的数据Data是二进制字节串，二者如何对应？需要建立从Data到M的编码规则经该规则转换后得到的M大小应和n相当，但不能比n更大，Why?转换规则在PKCS#1中有定

15、义7/3/200330Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续二续二)PKCS#1Data conversion primitivesI2OSP(x,l)OSP2I(X)En/Decryption primitivesRSAEP(n,e),m)RSADP(K,c)K: (n,d) or (p, q, dP, dQ, qInv)Signature/verification primitivesRSASP1(K,m)RSAVP1(n,e), s)Other7/3/200331Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的

16、问题(续三续三)PKCS#1编码方法填充模式00|Type|PS|00|DPS至少应包含8个字节类型1：用于签名签名M=00|01|PS|00|DPS为由0 xFF组成的填充数据类型2：用于加密加密M=00|02|PS|00|DEME-PKCS1-v1_5: PKCS1v2.0以前，PS为不含0的伪随机数序列100万次消息攻击，可计算出私钥EME-OAEP: PKCS1v2.0起，加密时使用OAEP填充7/3/200332Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续四续四)OAEP7/3/200333Internet安全协议及标准安全协议及标准RSA算法应用中的问题算法应用中的问题(续五续五)签名方案RSA签名不仅仅是对消息摘要进行加密而是加密一个DER(BER,v1.5中)编码的DigestInfo结构DigestInfo := SEQUENCE digestAlgorithmDigestAlgorithmIdentifier,digestDigestDigestAlgorithmIdentifier := AlgorithmIdentifi