Internet安全協(xié)議與標(biāo)準(zhǔn)第3課_第1頁(yè)
Internet安全協(xié)議與標(biāo)準(zhǔn)第3課_第2頁(yè)
Internet安全協(xié)議與標(biāo)準(zhǔn)第3課_第3頁(yè)
Internet安全協(xié)議與標(biāo)準(zhǔn)第3課_第4頁(yè)
Internet安全協(xié)議與標(biāo)準(zhǔn)第3課_第5頁(yè)
已閱讀5頁(yè),還剩32頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Internet安全協(xié)議與標(biāo)準(zhǔn)

第3課唐禮勇博士tly@7/3/2003Internet安全協(xié)議及標(biāo)準(zhǔn)

安全─網(wǎng)絡(luò)安全7/3/2003網(wǎng)絡(luò)安全Agenda通信安全應(yīng)用程序安全分發(fā)MobilecodeFirewall電子商務(wù)其他話題7/3/20033Internet安全協(xié)議及標(biāo)準(zhǔn)通信安全OSI七層協(xié)議與信息安全物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層OSI協(xié)議層加密/安全技術(shù)安全協(xié)議信道加密PPTP/L2TPIPSecSSL/TLS信源加密SOCKS應(yīng)用相關(guān)應(yīng)用程序網(wǎng)關(guān)/保密網(wǎng)關(guān)靜態(tài)包過(guò)濾動(dòng)態(tài)包過(guò)濾7/3/20034Internet安全協(xié)議及標(biāo)準(zhǔn)通信安全(續(xù)一)三類(lèi)加密安全體系7/3/20035Internet安全協(xié)議及標(biāo)準(zhǔn)通信安全(續(xù)二)應(yīng)用層安全性安全HTTP(S-HTTP)對(duì)HTTP進(jìn)行的擴(kuò)展,描述了一種使用標(biāo)準(zhǔn)加密工具來(lái)傳送HTTP數(shù)據(jù)的機(jī)制是一個(gè)非常完整的實(shí)現(xiàn),幾乎包括了在一個(gè)很長(zhǎng)的時(shí)間內(nèi)可能需要的安全HTTP訪問(wèn)應(yīng)該具有的所有特征支持少,已基本消失PGP、S/MIMES/MIME、PGP都是針對(duì)電子郵件進(jìn)行的安全協(xié)議PGP還可用于文件加密及簽名SSH用于安全的遠(yuǎn)程登錄其他問(wèn)題7/3/20036Internet安全協(xié)議及標(biāo)準(zhǔn)通信安全(續(xù)三)傳輸層安全性SSL(安全套接字層,SecureSocketLayer)、TLS工作在傳輸層,獨(dú)立于上層應(yīng)用,給應(yīng)用提供一個(gè)安全的點(diǎn)點(diǎn)通信隧道由協(xié)商過(guò)程和通信過(guò)程組成,協(xié)商過(guò)程用于確定加密機(jī)制、加密算法、交換會(huì)話密鑰服務(wù)器認(rèn)證以及可選的客戶端認(rèn)證,通信過(guò)程秘密傳送上層數(shù)據(jù)。理論上講,它可以支持任何應(yīng)用層協(xié)議7/3/20037Internet安全協(xié)議及標(biāo)準(zhǔn)通信安全(續(xù)四)網(wǎng)絡(luò)層安全性:IPSec協(xié)議族7/3/20038Internet安全協(xié)議及標(biāo)準(zhǔn)通信安全(續(xù)五)網(wǎng)絡(luò)層安全性:IPSec協(xié)議族IP認(rèn)證消息頭(AH)協(xié)議IP封裝安全協(xié)議(ESP)IKE(ISKAMP/Oakley)7/3/20039Internet安全協(xié)議及標(biāo)準(zhǔn)應(yīng)用程序安全分發(fā)“砂箱”(Sandbox)模型:囚牢模型應(yīng)用程序只能訪問(wèn)到一個(gè)受限的、經(jīng)過(guò)嚴(yán)格檢查的系統(tǒng)資源集合一種積極防御策略Unixchroot機(jī)制Java安全機(jī)制“代碼簽名”模型代碼在進(jìn)行發(fā)布之前利用公開(kāi)密鑰機(jī)制進(jìn)行簽名,而網(wǎng)絡(luò)用戶在下載之前先檢查簽名是否真實(shí)再?zèng)Q定是否下載??煞乐勾a被篡改,但不能防止代碼自身問(wèn)題ActiveX、Java7/3/200310Internet安全協(xié)議及標(biāo)準(zhǔn)防火墻(Firewall)用于隔離內(nèi)部網(wǎng)與外部不可信網(wǎng)絡(luò)包過(guò)濾(Packetfilter)“狀態(tài)檢查”(Stateful)型包過(guò)濾電路型(Circuit)網(wǎng)關(guān)應(yīng)用程序(Application)代理(Proxy)NAT(NetworkAddressTranslate)VPN(VirtualPrivateNetwork)7/3/200311Internet安全協(xié)議及標(biāo)準(zhǔn)電子商務(wù)安全支付協(xié)議基于卡的支付協(xié)議明文發(fā)送信用卡號(hào)碼經(jīng)保密路徑發(fā)送信用卡號(hào)碼通過(guò)第三方進(jìn)行交易安全支付協(xié)議SET:雙簽名(dualsignature)iKPCyberCash[Lowandetal.,1994]匿名信用卡支付協(xié)議7/3/200312Internet安全協(xié)議及標(biāo)準(zhǔn)電子商務(wù)安全(續(xù)一)支付協(xié)議(SET)7/3/200313Internet安全協(xié)議及標(biāo)準(zhǔn)電子商務(wù)安全(續(xù)二)支付協(xié)議(SET-DualSignature)7/3/200314Internet安全協(xié)議及標(biāo)準(zhǔn)電子商務(wù)安全(續(xù)三)支付協(xié)議(SET–PaymentProcessing–持卡人商家)7/3/200315Internet安全協(xié)議及標(biāo)準(zhǔn)電子商務(wù)安全(續(xù)四)支付協(xié)議(SET–PaymentProcessing–商家驗(yàn)證持卡人)7/3/200316Internet安全協(xié)議及標(biāo)準(zhǔn)電子商務(wù)安全(續(xù)五)支付協(xié)議(續(xù))基于支票的支付協(xié)議:借-貸模型,維護(hù)賬目的絕對(duì)平衡借-貸模型,支付服務(wù)器維護(hù)賬目的絕對(duì)平衡。FSTC的eCheckNetBill系統(tǒng):主要是一個(gè)研究系統(tǒng),定義的是信息商品的交換NetCheque系統(tǒng)NetChex基于現(xiàn)金的支付協(xié)議:使用盲簽名技術(shù),保證匿名性DigiCash的e-CashUSC-ISI的NetCashMondex及VISA的儲(chǔ)值卡7/3/200317Internet安全協(xié)議及標(biāo)準(zhǔn)電子商務(wù)安全(續(xù)六)業(yè)務(wù)-業(yè)務(wù)型電子商務(wù)電子數(shù)據(jù)交換(EDI)傳統(tǒng):專(zhuān)用增值網(wǎng)絡(luò)Internet:安全信道安全Web、安全電子郵件、VPN等分布式對(duì)象技術(shù)CORBA安全機(jī)制尚不成熟DCE/RPC、Kerberos用于身份認(rèn)證IIOP用于不同在TCP/IP網(wǎng)絡(luò)上不同ORB之間互操作安全隧道(SSL、VPN)7/3/200318Internet安全協(xié)議及標(biāo)準(zhǔn)電子商務(wù)安全(續(xù)七)業(yè)務(wù)-業(yè)務(wù)型電子商務(wù)(續(xù))分布式對(duì)象技術(shù)(續(xù))DCOMMicrosoftSSPI實(shí)現(xiàn)通用網(wǎng)絡(luò)認(rèn)證和數(shù)據(jù)傳輸加密SSPI支持Kerberos、NTLM、SSL、DPAimpersonate:使對(duì)象工作在客戶安全環(huán)境下單一實(shí)現(xiàn),不需使用同GIOP類(lèi)似的ORB橋基于Java的RMI完全定義在Java上,以Java為中心安全隧道、“砂箱”模型7/3/200319Internet安全協(xié)議及標(biāo)準(zhǔn)其他有意思的話題無(wú)線網(wǎng)絡(luò)安全問(wèn)題(WirelessSecurity)XML技術(shù)與安全關(guān)于可信任計(jì)算的討論系統(tǒng)芯片(SoC)技術(shù)與安全問(wèn)題……7/3/200320Internet安全協(xié)議及標(biāo)準(zhǔn)安全協(xié)議基礎(chǔ)7/3/2003Agenda何謂協(xié)議Base64編碼加密算法同明文相關(guān)的幾個(gè)問(wèn)題一個(gè)簡(jiǎn)單協(xié)議的分析7/3/200322Internet安全協(xié)議及標(biāo)準(zhǔn)何謂協(xié)議Protocol(協(xié)議,規(guī)程,規(guī)約;[議定])Astandardprocedureforregulatingdatatransmissionbetweencomputers為管理調(diào)整計(jì)算機(jī)間數(shù)據(jù)交流的標(biāo)準(zhǔn)程序Asetofsemanticandsyntacticrulesthatdeterminesthebehavioroffunctionalunitsinachievingcommunication一組語(yǔ)義和語(yǔ)法規(guī)則,決定功能部件在通信時(shí)如何進(jìn)行工作Aspecificationfortheformatandrelativetimingofinformationexchangedbetweencommunicatingparties通信雙方之間交換信息的格式和相對(duì)定時(shí)[同步]的一種規(guī)范Thesetofrulesgoverningtheoperationoffunctionalunitsofacommunicationsystemthatmustbefollowedifcommunicationistobeachieved管理某一通信系統(tǒng)的功能部件操作的一組規(guī)則,如果要實(shí)現(xiàn)通信,必須遵循這些規(guī)則7/3/200323Internet安全協(xié)議及標(biāo)準(zhǔn)安全協(xié)議安全協(xié)議首先是協(xié)議標(biāo)準(zhǔn)程序語(yǔ)義、語(yǔ)法規(guī)則雙邊或多邊數(shù)據(jù)交換安全協(xié)議是協(xié)議中與安全相關(guān)的部分?同安全相關(guān)的協(xié)議?安全協(xié)議的基石通信技術(shù)加密、摘要計(jì)算、公開(kāi)密鑰加密和數(shù)字簽名技術(shù)的組合應(yīng)用加密原語(yǔ)、安全服務(wù)、安全機(jī)制7/3/200324Internet安全協(xié)議及標(biāo)準(zhǔn)Base64編碼7/3/200325Internet安全協(xié)議及標(biāo)準(zhǔn)Base64編碼(續(xù))Base64編碼使消息長(zhǎng)度增加了約33%7/3/200326Internet安全協(xié)議及標(biāo)準(zhǔn)分組密碼的工作模式7/3/200327Internet安全協(xié)議及標(biāo)準(zhǔn)分組密碼的明文填充最流行的做法:確定待填充的字節(jié)數(shù)并在數(shù)據(jù)的最后字節(jié)后重復(fù)該值當(dāng)不需要填充時(shí)怎么辦?7/3/200328Internet安全協(xié)議及標(biāo)準(zhǔn)RSA算法應(yīng)用中的問(wèn)題RSA算法:選擇兩個(gè)大素?cái)?shù)p和q,通常要求每個(gè)均大于10100。計(jì)算n=pq和z=(p-1)(q-1)。選擇一與z互質(zhì)的數(shù)、令其為e。找到一個(gè)d滿足e×d=1(modz)。公鑰:(e,n)私鑰:(d,n)加密M:計(jì)算C=Me(modn)解密C:計(jì)算M=Cd(modn)=Med(modn)=M7/3/200329Internet安全協(xié)議及標(biāo)準(zhǔn)RSA算法應(yīng)用中的問(wèn)題(續(xù)一)M是一個(gè)數(shù),真正的數(shù)據(jù)Data是二進(jìn)制字節(jié)串,二者如何對(duì)應(yīng)?需要建立從Data到M的編碼規(guī)則經(jīng)該規(guī)則轉(zhuǎn)換后得到的M大小應(yīng)和n相當(dāng),但不能比n更大,Why?轉(zhuǎn)換規(guī)則在PKCS#1中有定義7/3/200330Internet安全協(xié)議及標(biāo)準(zhǔn)RSA算法應(yīng)用中的問(wèn)題(續(xù)二)PKCS#1DataconversionprimitivesI2OSP(x,l)OSP2I(X)En/DecryptionprimitivesRSAEP((n,e),m)RSADP(K,c)K:(n,d)or(p,q,dP,dQ,qInv)Signature/verificationprimitivesRSASP1(K,m)RSAVP1((n,e),s)Other…7/3/200331Internet安全協(xié)議及標(biāo)準(zhǔn)RSA算法應(yīng)用中的問(wèn)題(續(xù)三)PKCS#1編碼方法填充模式00||Type||PS||00||DPS至少應(yīng)包含8個(gè)字節(jié)類(lèi)型1:用于簽名M=00||01||PS||00||DPS為由0xFF組成的填充數(shù)據(jù)類(lèi)型2:用于加密M=00||02||PS||00||DEME-PKCS1-v1_5:PKCS1v2.0以前,PS為不含0的偽隨機(jī)數(shù)序列100萬(wàn)次消息攻擊,可計(jì)算出私鑰EME-OAEP:PKCS1v2.0起,加密時(shí)使用OAEP填充7/3/200332Internet安全協(xié)議及標(biāo)準(zhǔn)RSA算法應(yīng)用中的問(wèn)題(續(xù)四)OAEP7/3/200333Internet安全協(xié)議及標(biāo)準(zhǔn)RSA算法應(yīng)用中的問(wèn)題(續(xù)五)簽名方案RSA簽名不僅僅是對(duì)消息摘要進(jìn)行加密而是加密一個(gè)DER(BER,v1.5中)編碼的DigestInfo結(jié)構(gòu)DigestInfo::=SEQUENCE{digestAlgorithm DigestAlgorithmIdentifier,digest Digest}DigestAlgorithmIdentifier::=AlgorithmIdentifierDigest::=OCTETSTRING想一想,為什么?7/3/200334Internet安全協(xié)議及標(biāo)準(zhǔn)RSA算法應(yīng)用中的問(wèn)題(續(xù)六)大整數(shù)運(yùn)算多數(shù)加密算法庫(kù)都包含了opensslCrypto++RSAREFgmp7/3/200335Internet安全

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論