计算机网络安全课件(沈鑫剡)第11章教学文案.pptx

计算机网络安全课件(沈鑫剡)第 11章 ■ Web安全问题； ■ Web安全机制； ■ HTTP over TLS； ■ SET。 由于网络用户通常都通过网站访问网络、 进行网上购物和电子银行转账 ， 因此， Web安全问题是广大网络用户最关心 ， 也 是直接影响网络健康发展的问题。 11. 1 Web安全协议 伪造和篡改网页 ■ 伪造银行网站 ， 诱使用户登录； ■ 篡改著名网站网页 ， 用银行或其他著名网站域名链接伪 造网站。 截取用户私密信息 ■ 拦截用户和商务网站进行电子商务活动过程中交换的信 息； ■ 伪造网页进行诈骗。 拒绝服务攻击 ■ 耗尽服务器资源； ■ 耗尽服务器链接网络链路的带宽。 网际层 运输层 应用层 ■ 解决Web安全问题的关键是服务器身份认证和信息传输加 密 ， 服务器身份认证解决伪造网站的问题 ， 信息传输加密 解决截获用户私密信息的问题； ■ 解决这两个问题需要动态协商安全参数并完成对方身份认 证的协议 ， 网际层的IPSec 、运输层的TLS和应用层的SET 都是具有这种功能的协议； ■ 越是底层 ， 通用性越好 ， 但无法顾及特定应用的细节； 和 指定应用关联越多 ， 越能满足指定应用的安全要求。 ■ TLS完成双方身份认证和安全参数协商 ， 安全传输上层信息； ■ 这里 ， TLS主要实现对服务器的身份认证， 约定安全传输过程用到的加密解密算法 、 密钥 、 消息认证算法等安全参数； ■ 将用户和服务器之间交换的HTTP报文封 装成TLS记录协议报文。 HTTP over TLS ■ 用证书证明服务器 域名和公钥PKS的 绑定； ■ 终端用PKS加密预 主密钥 ， 预主密钥 是生成密钥的主要 参数； ■ 一旦确认服务器和 终端生成相同的密 钥 ， 服务器身份得 到确认； ■ 终端和服务器用约 定的加密解密算法 和密钥实现数据的 安全传输。 HTTP over TLS ■ 由于TLS约定的安全 参数只有终端和服务 器知道 ， 因此 ， 加密 和消息认证码计算过 程本身具有认证发送 者身份的作用； ■ 消息认证码用于完整 性检测 ， 序号保证顺 序接收TLS记录协议 报文； ■ 用三重DES加密需要 传输的数据。 HTTP over TLS ■ SET应用系统用于实 现电子购物； ■ 既要保证持卡人的私 密信息只在持卡人和 发卡机构之间传输 ， 又要保证商家权益； ■ 信息只能在指定的发 送端和接收端之间传 输 ， 即必须对发送端 进行身份认证 ， 只有 指定接收端才能获得 信息。 SET应用系统 ■ 持卡人封装处理过程一是需要认证发送者身份 ， 二是保证只有指定接收者才能获 得信息 ， 三是持卡人不能否定发送过的购物请求； ■ 认证发送者身份和无法否认发送过的购物请求通过数字签名实现 ， 数字签名 = DSKC (H (P))； SKC是发送者私钥 ， H是报文摘要算法 。 ■ 明文 、数字签名和证明发送者和公钥之间绑定的证书用3DES加密算法加密 ， 并 将密钥用指定接收者的公钥加密 ， 因此 ， 只有指定接收者才能还原密钥 ， 并因此 获得明文 、数字签名和证书 。 ■ 指定商家才能用私钥解密出密钥KEY ， 并因此获得明文 、 数字签名和证 书； ■ 对明文P进行报文摘要运算 ， 对数字签名用证书给出的公钥进行加密运 算 ， 然后对两者进行比较 ， 如果相等： 一是证明由证书指定的发送者发 送 ， 二是明文确实是发送者发送的明文 。 这样 ， 完成了发送者身份认证、 数字签名认证和完整性检测 。 ■ 双重签名的目的是证明两份报文的关联性 ， 不仅 通过数字签名证实由发送者发送 ， 而且证实这两 份报文和同一事务相关； ■ 这里需要证明支付信息和购货信息是对应的 ， 是 与同一次电子购物相关的两份报文。 ■ 持卡人 、 商家 和支付网关需 要获得由认证 中心签发的证 书； ■ 选择商品 ， 得 到商家发送的 定货信息； ■ 向商家提供定 货信息和支付 信息； ■ 商家认证支付 信息； ■ 商家提供商品 。 电子交易过程 购买请求消息在获得商家提供的购物 清单后发送； 根据购物清单构件定货信息和支付信 息 ， 定货信息发送给商家 ， 支付信息 由商家用于认证持卡人的支付能力， 为了将定货信息和支付信息绑定在一 起 ， 持卡人采用双重签名； 为