計(jì)算機(jī)網(wǎng)絡(luò)安全課件(沈鑫剡)第11章

?

2006工程兵工程學(xué)院計(jì)算機(jī)教研室計(jì)算機(jī)網(wǎng)絡(luò)安全第11章應(yīng)用層安全協(xié)議第11章應(yīng)用層安全協(xié)議計(jì)算機(jī)網(wǎng)絡(luò)安全Web安全協(xié)議；電子郵件安全協(xié)議；門(mén)戶網(wǎng)站。應(yīng)用層安全協(xié)議給出了應(yīng)用層解決資源訪問(wèn)安全問(wèn)題的基本原則、方法和機(jī)制。應(yīng)用層安全協(xié)議11.1

Web安全協(xié)議計(jì)算機(jī)網(wǎng)絡(luò)安全Web安全問(wèn)題；Web安全機(jī)制；HTTP

over

TLS；SET。由于網(wǎng)絡(luò)用戶通常都通過(guò)網(wǎng)站訪問(wèn)網(wǎng)絡(luò)、進(jìn)行網(wǎng)上購(gòu)物和電子銀行轉(zhuǎn)賬，因此，

Web安全問(wèn)題是廣大網(wǎng)絡(luò)用戶最關(guān)心，也是直接影響網(wǎng)絡(luò)健康發(fā)展的問(wèn)題。應(yīng)用層安全協(xié)議Web安全問(wèn)題計(jì)算機(jī)網(wǎng)絡(luò)安全偽造和篡改網(wǎng)頁(yè)偽造銀行網(wǎng)站，誘使用戶登錄；

篡改著名網(wǎng)站網(wǎng)頁(yè)，用銀行或其他著名網(wǎng)站域名鏈接偽造網(wǎng)站。截取用戶私密信息

攔截用戶和商務(wù)網(wǎng)站進(jìn)行電子商務(wù)活動(dòng)過(guò)程中交換的信息；偽造網(wǎng)頁(yè)進(jìn)行詐騙。拒絕服務(wù)攻擊耗盡服務(wù)器資源；耗盡服務(wù)器鏈接網(wǎng)絡(luò)鏈路的帶寬。應(yīng)用層安全協(xié)議Web安全機(jī)制網(wǎng)際層

運(yùn)輸層

應(yīng)用層

解決Web安全問(wèn)題的關(guān)鍵是服務(wù)器身份認(rèn)證和信息傳輸加密，服務(wù)器身份認(rèn)證解決偽造網(wǎng)站的問(wèn)題，信息傳輸加密解決截獲用戶私密信息的問(wèn)題；

解決這兩個(gè)問(wèn)題需要?jiǎng)討B(tài)協(xié)商安全參數(shù)并完成對(duì)方身份認(rèn)證的協(xié)議，網(wǎng)際層的IPSec、運(yùn)輸層的TLS和應(yīng)用層的SET都是具有這種功能的協(xié)議；

越是底層，通用性越好，但無(wú)法顧及特定應(yīng)用的細(xì)節(jié)；和指定應(yīng)用關(guān)聯(lián)越多，越能滿足指定應(yīng)用的安全要求。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議HTTP

over

TLS計(jì)算機(jī)網(wǎng)絡(luò)安全

TLS完成雙方身份認(rèn)證和安全參數(shù)協(xié)商，安全傳輸上層信息；

這里，TLS主要實(shí)現(xiàn)對(duì)服務(wù)器的身份認(rèn)證，約定安全傳輸過(guò)程用到的加密解密算法、密鑰、消息認(rèn)證算法等安全參數(shù)；

將用戶和服務(wù)器之間交換的HTTP報(bào)文封裝成TLS記錄協(xié)議報(bào)文。應(yīng)用層安全協(xié)議

用證書(shū)證明服務(wù)器域名和公鑰PKS的綁定；

終端用PKS加密預(yù)主密鑰，預(yù)主密鑰是生成密鑰的主要參數(shù)；

一旦確認(rèn)服務(wù)器和終端生成相同的密鑰，服務(wù)器身份得到確認(rèn)；

終端和服務(wù)器用約定的加密解密算法和密鑰實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。HTTP

over

TLS計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議

由于TLS約定的安全參數(shù)只有終端和服務(wù)器知道，因此，加密和消息認(rèn)證碼計(jì)算過(guò)程本身具有認(rèn)證發(fā)送者身份的作用；

消息認(rèn)證碼用于完整性檢測(cè)，序號(hào)保證順序接收TLS記錄協(xié)議報(bào)文；

用三重DES加密需要傳輸?shù)臄?shù)據(jù)。HTTP

over

TLS計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

SET應(yīng)用系統(tǒng)用于實(shí)現(xiàn)電子購(gòu)物；

既要保證持卡人的私密信息只在持卡人和發(fā)卡機(jī)構(gòu)之間傳輸，又要保證商家權(quán)益；

信息只能在指定的發(fā)送端和接收端之間傳輸，即必須對(duì)發(fā)送端進(jìn)行身份認(rèn)證，只有指定接收端才能獲得信息。SET應(yīng)用系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）持卡人封裝過(guò)程

持卡人封裝處理過(guò)程一是需要認(rèn)證發(fā)送者身份，二是保證只有指定接收者才能獲得信息，三是持卡人不能否定發(fā)送過(guò)的購(gòu)物請(qǐng)求；

認(rèn)證發(fā)送者身份和無(wú)法否認(rèn)發(fā)送過(guò)的購(gòu)物請(qǐng)求通過(guò)數(shù)字簽名實(shí)現(xiàn)，數(shù)字簽名＝DSKC(H(P))；SKC是發(fā)送者私鑰，H是報(bào)文摘要算法。

明文、數(shù)字簽名和證明發(fā)送者和公鑰之間綁定的證書(shū)用3DES加密算法加密，并將密鑰用指定接收者的公鑰加密，因此，只有指定接收者才能還原密鑰，并因此獲得明文、數(shù)字簽名和證書(shū)。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）商家認(rèn)證發(fā)送者身份和解密數(shù)據(jù)過(guò)程

指定商家才能用私鑰解密出密鑰KEY，并因此獲得明文、數(shù)字簽名和證書(shū)；

對(duì)明文P進(jìn)行報(bào)文摘要運(yùn)算，對(duì)數(shù)字簽名用證書(shū)給出的公鑰進(jìn)行加密運(yùn)

算，然后對(duì)兩者進(jìn)行比較，如果相等：一是證明由證書(shū)指定的發(fā)送者發(fā)

送，二是明文確實(shí)是發(fā)送者發(fā)送的明文。這樣，完成了發(fā)送者身份認(rèn)證、數(shù)字簽名認(rèn)證和完整性檢測(cè)。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）雙重簽名過(guò)程

雙重簽名的目的是證明兩份報(bào)文的關(guān)聯(lián)性，不僅通過(guò)數(shù)字簽名證實(shí)由發(fā)送者發(fā)送，而且證實(shí)這兩份報(bào)文和同一事務(wù)相關(guān)；

這里需要證明支付信息和購(gòu)貨信息是對(duì)應(yīng)的，是與同一次電子購(gòu)物相關(guān)的兩份報(bào)文。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議

持卡人、商家和支付網(wǎng)關(guān)需要獲得由認(rèn)證中心簽發(fā)的證書(shū)；

選擇商品，得到商家發(fā)送的定貨信息；

向商家提供定貨信息和支付信息；

商家認(rèn)證支付信息；商家提供商品。安全電子交易（SET）電子交易過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

購(gòu)買請(qǐng)求消息在獲得商家提供的購(gòu)物清單后發(fā)送；

根據(jù)購(gòu)物清單構(gòu)件定貨信息和支付信息，定貨信息發(fā)送給商家，支付信息由商家用于認(rèn)證持卡人的支付能力，為了將定貨信息和支付信息綁定在一起，持卡人采用雙重簽名；

為了上支付網(wǎng)關(guān)和商家認(rèn)證雙重簽名，發(fā)送給商家的信息中包含支付信息的

報(bào)文摘要，發(fā)送給支付網(wǎng)關(guān)的信息中

包含訂貨信息的報(bào)文摘要；

為了區(qū)別信息的接收者，分別用支付網(wǎng)關(guān)和商家的公鑰加密發(fā)送給它們的信息。購(gòu)買請(qǐng)求消息封裝過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）商家驗(yàn)證雙重簽名過(guò)程商家驗(yàn)證雙重簽名，確定定貨信息的發(fā)送者和雙重簽名證實(shí)的支付信息的報(bào)文摘要

對(duì)發(fā)送給支付網(wǎng)關(guān)的密文不作處理，用于生成用于驗(yàn)證持卡人支付能力的授權(quán)請(qǐng)求息。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

授權(quán)請(qǐng)求信息的目的是驗(yàn)證持卡人的支付能力；

支付信息中除了有關(guān)賬戶、密碼等私密信息，還有交易標(biāo)識(shí)符和支付金額等與本次交易關(guān)聯(lián)的信息；

授權(quán)信息中同樣提供交易標(biāo)識(shí)符和支付金額等與本次交易有關(guān)的信息，便于支付網(wǎng)關(guān)驗(yàn)證。商家封裝授權(quán)請(qǐng)求消息過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議

認(rèn)證支付信息發(fā)送者身份和授權(quán)請(qǐng)求消息發(fā)送者身份；

認(rèn)證雙重簽名，確認(rèn)支付信息和訂貨信息之間的關(guān)聯(lián)；

根據(jù)商家提供的授

權(quán)信息和

持卡人提

供的支付

信息驗(yàn)證

持卡人的

支付能力。安全電子交易（SET）支付網(wǎng)關(guān)驗(yàn)證授權(quán)請(qǐng)求消息過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

支付網(wǎng)關(guān)驗(yàn)證持卡人支付能力后，向

商家提供承兌憑證，一旦商家提供已向

持卡人提供商品或

服務(wù)的證據(jù)，即可

憑承兌憑證要求電

子轉(zhuǎn)賬；

商家不能處理承兌憑證；

授權(quán)信息由支付網(wǎng)關(guān)數(shù)字簽名，用于向商家通告驗(yàn)證持卡人支付能力的結(jié)果。支付網(wǎng)關(guān)封裝授權(quán)響應(yīng)消息過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議安全電子交易（SET）

商家向持卡人提供商品或服務(wù)后，要求支付網(wǎng)關(guān)完成電子轉(zhuǎn)賬；

商家提供支付網(wǎng)關(guān)提供的承兌憑證和請(qǐng)求消息；

請(qǐng)求消息中給出本次購(gòu)物的相關(guān)信息，如交易標(biāo)識(shí)符、支付金額等，還有已經(jīng)完成向持卡人提供商品或服務(wù)的證據(jù)；

支付網(wǎng)關(guān)根據(jù)請(qǐng)求消息驗(yàn)證承兌憑證，在驗(yàn)證無(wú)誤的情況下，通過(guò)支付網(wǎng)絡(luò)和專用支付系統(tǒng)完成持卡人至商家的電子轉(zhuǎn)賬。商家封裝請(qǐng)求消息過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議11.2電子郵件安全協(xié)議計(jì)算機(jī)網(wǎng)絡(luò)安全PGP；S/MIME。電子郵件安全協(xié)議采用的技術(shù)和其他安全傳輸協(xié)議相似，一是通過(guò)數(shù)字簽名完成發(fā)送者身份認(rèn)證，二是通過(guò)加密實(shí)現(xiàn)保密傳輸。只是PGP采用和郵件格式無(wú)關(guān)的機(jī)制，

S/MIME采用在郵件內(nèi)容的定義中增加數(shù)

字簽名和保密傳輸類型。應(yīng)用層安全協(xié)議PGP發(fā)送端處理過(guò)程

前提是雙方均已通過(guò)認(rèn)證中心獲得公鑰、私鑰對(duì)和證書(shū)，并向?qū)Ψ桨l(fā)送了證書(shū)；數(shù)字簽名實(shí)現(xiàn)發(fā)送者身份認(rèn)證和完整性檢測(cè)；

用3DES加密，并用接收端公鑰加密3DES加密用的密鑰，保證只有指定接收端才能閱讀郵件。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議PGP接收端處理過(guò)程

指定接收端用私鑰解密出3DES的密鑰，然后還原出壓縮消息；

對(duì)解壓后的消息通過(guò)用發(fā)送端公鑰驗(yàn)證數(shù)字簽名、完成完整性檢測(cè)。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議S/MIME

5個(gè)常見(jiàn)關(guān)鍵詞：Date、From、Subject、To、Cc；只能傳輸ASCII碼。SMTP郵件格式計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議

增加了郵件內(nèi)容類型，允許郵件內(nèi)容為多媒體信息，如圖片、視頻、音頻等；經(jīng)過(guò)編碼，將多媒體信息轉(zhuǎn)換成ASCII碼進(jìn)行傳輸。S/MIMEMIME郵件格式計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議S/MIMEMIME和SMTP的關(guān)系

為了和SMTP兼容，非ASCII碼的MIME郵件內(nèi)容被轉(zhuǎn)換成7位ASCII碼后，通過(guò)SMTP發(fā)送；

接收端需要將通過(guò)SMTP接收到的7位ASCII碼重新還原為非

ASCII碼的MIME郵件內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議S/MIME認(rèn)證郵件子報(bào)文過(guò)程

為了安全傳輸郵件，需要認(rèn)證發(fā)送者身份、進(jìn)行郵件完整性檢測(cè)，認(rèn)證子報(bào)文就用于實(shí)現(xiàn)這一功能；

采用數(shù)字簽名技術(shù)，認(rèn)證子報(bào)文中給出證書(shū)、數(shù)字簽名采用的算法等；消息和數(shù)字簽名作為認(rèn)證子報(bào)文主要內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議S/MIME加密郵件子報(bào)文過(guò)程

用3DES對(duì)郵件加密，用接收端的公鑰加密3DES的密鑰，保證只有指定接收端才能獲取郵件內(nèi)容；

用明文方式給出消息加密算法，密鑰加密算法，加密密鑰的公鑰的證書(shū)。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議11.3門(mén)戶網(wǎng)站計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)；系統(tǒng)配置；實(shí)現(xiàn)機(jī)制。門(mén)戶網(wǎng)站是內(nèi)部網(wǎng)絡(luò)資源的入口，由門(mén)戶網(wǎng)站統(tǒng)一實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)控制過(guò)程，門(mén)戶網(wǎng)站根據(jù)事先配置的不同用戶的訪問(wèn)權(quán)限，對(duì)用戶身份進(jìn)行認(rèn)證，監(jiān)管用戶權(quán)限內(nèi)的資源訪問(wèn)過(guò)程。應(yīng)用層安全協(xié)議系統(tǒng)結(jié)構(gòu)

必須由防火墻控制信息傳輸過(guò)程，即用戶和服務(wù)器之間不能直接通信，用戶必須經(jīng)過(guò)門(mén)戶網(wǎng)站訪問(wèn)服務(wù)器；外網(wǎng)授權(quán)終端同樣必須經(jīng)過(guò)門(mén)戶網(wǎng)站訪問(wèn)內(nèi)網(wǎng)服務(wù)器資源；門(mén)戶網(wǎng)站必須建立授權(quán)用戶庫(kù)，對(duì)每一個(gè)授權(quán)用戶設(shè)置訪問(wèn)權(quán)限。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議系統(tǒng)結(jié)構(gòu)用戶通過(guò)HTTP訪問(wèn)門(mén)戶網(wǎng)站；

門(mén)戶網(wǎng)站認(rèn)證用戶身份、確定用戶訪問(wèn)權(quán)限，通過(guò)對(duì)應(yīng)資源訪問(wèn)協(xié)議訪問(wèn)內(nèi)網(wǎng)資源，將訪問(wèn)結(jié)果統(tǒng)一用HTTP響應(yīng)傳輸給用戶。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議系統(tǒng)配置計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻配置從用戶區(qū)到門(mén)戶區(qū)源IP地址=/24目的IP地址=/32

HTTP服務(wù)；

從門(mén)戶區(qū)到服務(wù)器區(qū)源IP地址=/32目的IP地址=/32

HTTP服務(wù)；

從門(mén)戶區(qū)到服務(wù)器區(qū)源IP地址=/32目的IP地址=/32

FTP服務(wù)；

從門(mén)戶區(qū)到服務(wù)器區(qū)源IP地址=/32目的IP地址=/32

SMTP+POP3服務(wù)。防火墻配置的目的是保證用戶只能和門(mén)戶網(wǎng)站進(jìn)行HTTP服務(wù)、門(mén)戶網(wǎng)站只能和相應(yīng)服務(wù)器進(jìn)行對(duì)應(yīng)服務(wù)。應(yīng)用層安全協(xié)議

門(mén)戶網(wǎng)站為每一個(gè)用戶設(shè)置認(rèn)證機(jī)制和允許訪問(wèn)的資源及訪問(wèn)方式；訪問(wèn)的資源可以具體到某個(gè)文件或某個(gè)信箱。系統(tǒng)配置計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用層安全協(xié)議實(shí)現(xiàn)機(jī)制計(jì)算機(jī)網(wǎng)絡(luò)安全獲取證書(shū)鏈用戶和門(mén)戶網(wǎng)站都需通過(guò)認(rèn)證中心獲得證書(shū)；相互具有證明證書(shū)真?zhèn)蔚淖C書(shū)鏈。登錄門(mén)戶網(wǎng)站登錄門(mén)戶網(wǎng)站；完成相互身份認(rèn)證；確定用戶訪問(wèn)權(quán)限。訪問(wèn)資源要求用戶輸入資源名稱和訪問(wèn)方式；門(mén)戶網(wǎng)站檢測(cè)是否符合用戶訪問(wèn)權(quán)限；通過(guò)對(duì)應(yīng)資源訪問(wèn)協(xié)議完成資源訪問(wèn)；通過(guò)HTTP響應(yīng)報(bào)文傳輸資源訪問(wèn)結(jié)果?！觥?/p>

190、、要閱學(xué)讀生一做切的好事書(shū)，如教同職和員過(guò)躬去親最共杰做出；的要人學(xué)談生話學(xué)。的12知:2識(shí)8:，25教12職:2員8:躬25親12共:2學(xué)87；/2要3/學(xué)20生21守12的:2規(guī)8:則25，PM教職員躬親共守。21.7.2321.7.23Friday,July23,2021

應(yīng)應(yīng)用用層層安安全全協(xié)協(xié)議議■■

1112、、一要個(gè)記好住的，教你師不僅，是是教一課個(gè)的懂教得師心，理也學(xué)和是教學(xué)育生學(xué)的的教人育。者2，1.生7.活23的12導(dǎo):2師8:和25道12德:2的8J引ul路-2人12。3-1J2u:l2-82:12512:28:2512:28Friday,July23,2021■■ 1134、、H誰(shuí)ew要ho是se自iz己et還he沒(méi)ri有g(shù)h發(fā)tm展om培en養(yǎng)t,和is教th育er