信息安全_第13章安全议协议.ppt

支付授权阶段 特约商店会授权支付网关来处理此次交易。 支付授权过程中包含了授权请求和授权回应消息。 授权请求消息包括： 采购的相关消息 授权的相关消息 证书 支付网关传回一个授权响应，内容包括： 授权相关的信息 记录信封的信息 证书 取得支付阶段 为了得到消费者的付费款项，特约商店必须和支付网关进行支付信息的交换处理，这项交易过程中包含了两个消息，分别是记录请求消息与记录响应消息。 SET协议的安全性分析 认证安全 完整性安全 机密性安全 抗否认性 隐私权的安全保护 * * 1、网路互联性不好：IPSec协议工作在IP层，对TCP层的数据进行了加密，导致TCP报文头中的目的端口号和源端口号无法识别。 如果进行地址转换的路由器不支持NAT穿越，IPSec报文将不能正常传输。如果防火墙没有进行特殊的配置，允许IPSec报文通过，IPSec报文也会被过滤掉。 2、客户端使用不便： (1)IPSec VPN的客户端预先安装和配置 (2)需要为不同的操作系统开发不同的客户端 (3)升级维护麻烦：升级时需要为每个用户逐一操作。 3、IPSec协议实现的是IP层的互联，远程主机可以通过IPSec隧道访问IP网络内的任何一台主机。 * * 1、网络互联性： (1)NAT对IP头和TCP头的修改，不会影响SSL报文的正常传输。 (2)SSL服务的TCP端口是443，为知名端口。网络管理员在配置防火墙时，一般会允许通过。 2、客户端的维护： (1) 目前几乎所有的软件平台都提供浏览器，如果用户通过SSL VPN的Web接入来访问网络资源，用户只需要使用浏览器就可以了，不用再安装任何VPN客户端软件，即实现了免客户端。 (2)如果采用TCP接入或IP接入访问网络资源，则远程主机上需要安装相应的客户端。但是借助Web技术，使用ActiveX或者Java Applet，可以在打开网页时，自动下载安装和配置客户端的程序。 (3)如果要升级客户端软件，只需将VPN网关上的SSL VPN软件包升级。之后，用户登录SSL VPN时，远程主机上的VPN客户端将自动进行升级。 2、访问权限管理： (1)用户登录SSL VPN时，网关会对用户的身份进行认证，并根据管理员的配置确定用户的访问权限。 (2)采用Web接入时，SSL VPN网关可以解析报文的URL并根据授权进行相应的访问控制。 (3)采用TCP接入时，SSL VPN网关可以识别TCP报文的IP地址和端口号，对通讯过程进行控制。 (4)采用IP接入时， SSL VPN网关可以根据授权对报文的目的IP地址进行过滤。 * * * * * * 1、密钥改变协议 向对方发送“密钥改变”消息，通知对方本端后续的报文将使用刚才协商出的密钥参数进行加密。而对方在收到“密钥改变”消息后，对后续接收到的报文将采用刚才协商出的密钥进行解密。 2、告警协议 在SSL通讯期间，握手协议模块或者上层应用程序如果发现某种异常，可以使用告警协议通知对方发生了什么情况的异常。告警消息中有一种是“通知关闭”消息，用以通知对端本端将关闭SSL连接。 * * 1、消息验证码(MAC，Message Authentication Code) 采用Hash算法计算出的报文摘要，用以检验报文的完整性。SSL协议采用HMAC摘要算法，使得MAC值具有更强的抗破解能力。 * * 1、验证对方身份(可选) 使用PKI证书和数字签名，客户端和服务器端可以验证对方的真实身份。 2、SSL会话(SSL Session) 与通讯连接相关的参数和状态的一个记录。SSL会话中会保存SSL连接所使用的SSL协议版本、加密套件、密钥参数等内容。 3、协商密钥参数： SSL连接是全双工的，所以需要协商出两套彼此独立的密钥参数。 4、加密套件(Encryption Suite) 一套相关加密算法的组合，包括：密钥交换算法、加密算法、摘要算法。SSL协议在握手过程中会协商出双方一致使用的加密套件。 * * 无客户端身份认证的全握手过程 有客户端身份认证的全握手过程 如果未建立过SSL会话，或者SSL会话已过期，通讯双方需要使用完整的握手过程来协议会话参数。在握手过程中，服务器端可以选择是否验证客户端的身份。 会话恢复过程 由于SSL握手过程涉及较多的复杂计算，耗时较多，为提高SSL连接建立的效率，SSL使用会话来保存原来协商过的会话参数，包括：协议版本、加密套件和密钥参数。会话有一定的超时时间，过期后会话记录将被清除。 在会话有效期内，通讯双方不用重新协商会话参数，直接使用原来会话的协议版本、加密算法和密钥参数进行通讯即可。 * * * * * * * * SSL协议简介 SSL：英文“Sec