当前位置:文档之家 › SSL协议课件..

SSL协议课件..

  • 格式:ppt
  • 大小:467.50 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

《电子商务法课件》课件——5电子支付相关法律法规

《电子商务法课件》课件——5电子支付相关法律法规

电子支付协议
SSL协议的运行流程如下: 支付初始化请求与响应 消费者使用SET协议进行支付时,SET电子钱包会要求消费者输入口令,新助商家确认消费者为合 法的持卡人,消费者同时确认商家可以接受信用卡。 支付请求:消费者确认订单并发出支付指令时,支付指令中需要含有消费者的电子签名认证证书, 确保商家无法获取消费者支付账户信息。支付网关负责对支付指令进行处理。 授权请求:商家收到订单后,发出包含消费者支付指令的授权请求的指令;收单行收到授权请求后 ,再前往发卡行进行信息确认。 授权响应:发卡行完成信息确认,收单行收到来自发卡行的批准后,通过支付网关将授权响应发 送至商家。 支付响应:商家将购买成功的消息发送至消费者。
电子支付协议
电子支付协议,是指消费者、商家和电子支付服务提供者之间的一种加密协议。协议的运作方式 如下:电子支付服务供应商向消费者和商家提供用于交易的终端软件,购买商品或服务时,消费者在软 件中填写订单信息和支付信息,终端软件将支付信息加密后传输给商家,这样商家既能及时收到订单, 又无法读取消费者支付账户中的数据,保证了支付信息的安全性。
电子支付概述
(二)电子支付的法律主体 1.电子支付用户:付款人与收款人 电子支付的付款人,是指电子商务活动中通过电子终端发出支付指令的人,通常是指购买商品或服
务的消费者。电子支付的收款人,是指电子商务活动中根据付款人发出的支付指令收取货款的人,通常 是销售商品或服务的个人或组织。
2.电子支付服务提供者 我国电子支付服务的提供者主要是商业银行和一些非金融支付机构。商业银行在开展电子支付业务 时,需要通过银行业相关监督管理机构的批准。而非金融支付机构的设立则需要经过中国人民银行的审 批。未经审批的单位或个人不得经营电子支付业务。对于通过审批的电子支付服务机构,政府会颁发支 付许可证,允许其依法从事电子支付业务 根据功能的不同,电子支付中的银行分为收单行和发卡行两种。其中,收单行是指负责将消费者账 户中的货款转入商家账户的金融机构,发卡行是指向消费者发放银行卡的金融机构。

https详解PPT学习课件

https详解PPT学习课件

6 SSL/TLS协议作用:
• 认证用户和服务器,确保数据发送到正确的客户机和服务器; • 加密数据以防止数据中途被窃取; • 维护数据的完整性,确保数据在传输过程中不被改变。
7 SSL、TLS的握手过程
1.客户端发起请求 3.客户端验证证书
5.客户端发送数据 .。。。。。
a.支持的协议版本 b.支持的加密算法 c.产生一个随机数
a.确定的加密协议版本及加密算法 b.服务器证书 c.服务器随机数
a.随机数(使用证书中公钥加密) b.编码改变通知 c.握手结束通知
a.编码改变通知 b.握手结束通知
对称加密数据传输
2.服务器回应 4.生成密钥 .。。。。。8 Nhomakorabea化版握手过程
1、客户端发送请求,服务器返回公钥给客户端; 2、客户端生成对称加密秘钥,用公钥对其进行加密后,返回给服务器; 3、服务器收到后,利用私钥解开得到对称加密秘钥,保存; 4、之后的交互都使用对称加密后的数据进行交互。
6.测试 在浏览器中输入:https://localhost:8443/,会弹出选择客户端证书界面,点击“确定”,会进入tomcat主页, 地址栏后会有“锁”图标,表示本次会话已经通过HTTPS双向验证,接下来的会话过程中所传输的信息都已 经过SSL信息加密。
2.为客户端生成证书 keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 双击mykey.p12文件,即可将证书导入至浏览器(客户端)。
3.让服务器信任客户端证书 keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc file D:\home\mykey.cer 下一步,是将该文件导入到服务器的证书库,添加为一个信任证书使用命令如下: keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore 通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书: keytool -list -keystore D:\home\tomcat.keystore (tomcat为你设置服务器端的证书名)。

PKICASSL精品PPT课件

PKICASSL精品PPT课件
• 无法查找经HASH操作后生成特定HASH值的 原报文(不可逆性)
• 无法查找两个经HASH操作后生成相同HASH 值的不同报文
• SHA、MD5
数据加密
• 公钥加密,私钥解密 • 保证所发送数据的机密性 • 不能完全保证数据的完整性和不可抵赖性
数字签名
• 身份验证 ,数据的完整性 • 创建消息摘要 • 消息摘要经过私钥加密 • 接收方用同样的算法创建出一个新的消息摘
证书申请过程(cont.)
安装证书服务
2.安装证书1. 服在3务W. 证后in书,do可计w以算s组通机件过名中W和安e域b装注成证册员书身服份务都不能更改
• 企业根CA • 企业从属CA • 独立根CA • 独立从属CA
创建CA
选择CA 的模型
企业根 CA 认证系统中的顶级 CA,需要活动目录, 可给自己颁发证书
企业子 CA 从其它CA 处获得证书的子 CA,需要活动 目录
独立根 CA 认证系统中的顶级 CA ,不需要活动目录
独立子 CA 从其它CA 处获得证书的子 CA,不需要活 动目录
CA 的模型
• 企业证书颁发机构

企业证书颁发机构取决于当前使用的 AcБайду номын сангаасive Directory。

可以使用“证书申请向导”(从“证书”管理单元中启动)以及
– 证书的颁发 – 证书的查询 – 证书的吊销 – 证书的归档
数字证书
Windows Server 2003证书服务中可以查看证书的状态
证书的用途
• 信息的保密性 • 交易者身份的确定性 • 不可否认性 • 不可修改性
证书申请过程
• 证书申请 • RA确认用户 • 证书策略处理 • RA提交用户申请信息到CA • CA为用户生成密钥对 • CA将数字证书传送给批准该用户的RA • RA将数字证书传送给用户 • 用户验证CA颁发的证书

TLS(SSL)协议PPT教学课件

TLS(SSL)协议PPT教学课件
握手协议允许服务器与客户机在应用程序传 输和接收数据之前互相认证、协商加密算法 和密钥。
10
一、SSL协议的概述
SSL握手协议
在初次建立SSL连接时使用SSL记录协议交换 一系列消息。为如下操作做准备: . 客户机对服务器的认证。 . 客户机与服务器都支持的加密算法或密码。 . 服务器对客户的认证(可选)。 .使用公钥加密技术生成共享密钥。 .建立加密SSL连接。
4、完整性:所有通过加密SSL连接发送的数 据都被一种检测篡改的机制所保护,这种机 制自动地决定传输中的数据是否已经被更改。
7
连接安全
一、SSL协议的概述
SSL协议提供的连接安全有三个基本属性:
连接是保密的。对称加密法用于数据加密 (如用DES和RC4等)。
对方的身份能够使用非对称或公钥密码进行 认证(如用RSA和DSS等)。
➢带SHA-1消息认证、支持56位加密的DES, 大约有7.2 * 1016 个可用的密码(在SSL2.0中该 密码使用的是MD5 消息认证)。
13
三、SSL协议支持的密码支持Leabharlann 密码美国允许以下加密技术出口:
带MD5消息认证、支持40位加密的RC4,大约有 个1.1 * 1012可用的密码。
带MD5消息认证、支持40位加密的RC2,大约有 个1.1 * 1012可用的密码。
2、SSL客户机认证:允许服务器确认用户身 份。使用应用于服务器认证同样的技术,支 持SSL协议的服务器软件能检查客户证书、公 用ID是否有效和是否由在服务器信任的认证 机构列表内的CA发放。
6
主要功能
一、SSL协议的概述
3、机密性:一个加密的SSL连接要求所有在 客户机与服务器之间发送的信息由发送方软 件加密和由接受方软件解密,这样提供了高 度机密性。

SSL及SE课件

SSL及SE课件
双向签名可以连接两个发送给不同接收者的消 息报文 ,可以满足这种需求。
SSL及SE
双联签名
PIM
PI
H
D

OIMD
OI
H
SKC
POMD
DS
H
E
H:杂凑函数(SHA-1)PIMD:支付消息摘
‖ :连接

OIMD:订购消息摘

POMD:支付定单消息摘要 E:加密(RSA)
SSL及SE
SET支持的交易类型(1)
商家向支付网关请求支付
持卡用户或商家向CA发出证书请求后,如果CA不能立 刻处理,它将给持卡用户或商家发送回答,指示请 求者以后再查看。持卡用户或商家通过发送“证书 调查”报文来确定该证书请求的状态,并且在请求 被批准时接收证书
SSL及SE
SET支持的交易类型(2)
购买调查 认可撤销
收款撤销 信用 信用撤销 支付网关证书请求 批管理 差错信息
商家对先前请求的信用进行更正。
用于商家请求验证支付网关的,并且接收支付网关当前的 密钥交换和签名证书。
允许商家与支付网关之间的批量信息通信。
用于指示由于报文错误而导致的报文被拒绝。
SSL及SE
购买请求的交互过程
发起请求消息
向商家请求商家的证书和支付网关的证书。
发起响应消息
(1) 用户向商家发送购货单和一份经过签名、 加密的信托书。书中的信用卡号是经过加密的, 商家无从得知; (2) 商家把信托书传送到收单银行,收单银行 可以解密信用卡号,并通过认证验证签名; (3) 收单银行向发卡银行查问,确认用户信用 卡是否属实; (4) 发卡银行认可并签证该笔交易; (5) 收单银行认可商家并签证此交易; (6) 商家向用户传送货物和收据; (7) 交易成功,商家向收单银行索款; (8) 收单银行按合同将货款划给商家; (9) 发卡银行向用户定期寄去信用卡消费账单。

《网络安全协议基础》课件

《网络安全协议基础》课件

1 SSH
2 SSL/TLS
Secure Shell 是一种常用 的应用层安全协议,用于 安全远程登录和文件传输。
SSL/TLS在应用层进行加 密,保护Web浏览器和服 务器之间的通信安全。
3 PGP
Pretty Good Privacy 是一 种常用的加密和数字签名 协议,用于保护电子邮件 和文件的安全。
主要的网络安全协议标准
1
RFC 5246
TLS协议的标准文档,规定了TLS/SSL的
RFC 4301
2
实现和使用。
IPSec协议的标准文档,定义了IPSec的
协议规范和安全架构。
3
RFC 4251
SSH协议的标准文档,描述了SSH协议 的工作原理和安全机制。
总结
网络安全协议是保护网络通信安全的重要手段,包括传输层安全协议、网络 层安全协议和应用层安全协议。了解常见的网络安全协议和标准,对建立安 全的网络环境至关重要。
网络层安全协议
1
IPS ec隧道模式
IPSec隧道模式用于创建安全的虚拟专用网络,保证数据在网络上的安全传输。
2
防火墙
防火墙是一种常见的网络层安全设备,用于检测和过滤网络流量,以保护网络免 受攻击。
3
路由器访问控制列表
路由器访问控制列表用于限制网络流量的访问权限,增强网络的安全性。
应用层安全协议
SSH
Secure Shell 是一种应用层安 全协议,用于远程登录和安全 文件传输程
SSL证书
HTTPS
TLS握手过程包括协议版本协商、 密钥交换、身份验证和加密通信 等步骤。
SSL证书用于验证服务器身份, 并提供公钥加密和数字签名功能。

网络安全PPT课件演示


07
CATALOGUE
数据安全与隐私保护
数据加密存储和传输技术
01
对称加密技术
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和
解密。
02
非对称加密技术
又称公钥加密技术,使用一对密钥来分别完成加密和解密操作,其中一
个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。
03
混合加密技术
应急响应计划和演练实施
01
02
03
04
制定应急响应计划
明确应急响应组织、通讯方式 、处置流程等。
资源准备
准备必要的应急响应资源,如 备份数据、安全专家团队等。
演练实施
定期组织应急响应演练,提高 团队应对突发事件的能力。
持续改进
根据演练结果和实际情况,不 断完善应急响应计划,提高应
对效率。
THANKS
密码等。
拒绝服务攻击
通过大量无用的请求拥 塞目标服务器,使其无
法提供正常服务。
漏洞攻击
利用系统或应用程序中 的漏洞,实施非法访问
和数据窃取。
网络安全法律法规
1 2
《中华人民共和国网络安全法》
我国首部全面规范网络空间安全管理的基础性法 律,明确规定了网络运营者、网络产品和服务提 供者等的法律责任和义务。
结合对称加密和非对称加密的优点,先用非对称加密技术对对称密钥进
行加密,再用对称加密技术对明文进行加密。
数据备份和恢复策略
完全备份
备份所有数据,包括操作系统、应用程 序和所有数据文件。
差分备份
备份自上次完全备份以来有变化的数 据。
增量备份
只备份自上次备份以来有变化的数据 。

第6讲安全协议ppt课件


精品课件
4
二、IPSec协议
网络层提供了端到端的数据传输服务,而 网络层安全协议主要解决两个端点之间的安 全交换数据问题, 涉及数据传输的机密性和 完整性, 防止在数据交换过程中数据被非法 窃听和篡改
IPSec协议是对IP协议的安全性增强,它在网 络层协议的基础上增加了安全算法协商和数 据加密/解密处理的功能和过程
精品课件
7
AH和ESP协议可以分别单独使用,也可以联合 使用。每个协议都支持两种应用模式:
(1) 传输模式:为上层协议数据提供安全保 护
(2) 隧道模式:以隧道方式传输IP报文
AH/ESP的安全性完全依赖于所采用的加密算 法。为保证不同实现方案之间的互通性, 必 须定义强制实现的加密算法
因此,在使用数据认证和加密机制时, 必须
报中插入一个惟一的、单向递增的序列号
接收端可通过检验该序列号来验证数据报的
惟一性,但并非必须检查数据报序列号
精品课件
10
精品课件
11
SPI:32位随机数,用来确定一个特定的SA。
在密钥交换过程中,由目标主机来选定SPI
序列号:32位整数, 用于提供抗重播服务。发
送端必须产生和填写序列号,接收端并非不一
精品课件
9
ESP通过加密器和验证器提供数据机密性和完
整性,加密器和验证器使用的算法由ESP SA
来指定
为了互操作, IPSec规定了ESP强制实施的密
码算法(DES/3DES)和认证算法(MD5/SHA)
基本的ESP功能和实际使用的算法是分离的,
有利于算法的更换和更新
ESP抗重播服务是可选的, 发送端在ESP数据
精品课件
15
对于隧道模式, ESP头插在整个IP数据报前面 , ESP头的“下一个头”字段值为4, 表示是 IP-in-IP 在ESP头前增加一个IP头,填写下列字段: 源IP地址取自源ESP节点的IP地址 目的IP地址从处理该数据报的SA中获取 协议号为50,代表是ESP 其它字段按常规方式填写 (2) 数据加密处理步骤 从SA中得到加密算法和密钥

SSL协议介绍ppt课件

在应用层通信之前就已经完 成加密算法、通信密钥的 协商以及服务器认证工作, 在此之后,应用层协议所传 送的数据都被加密。
SSL安全协议实际是SSL握手 协议、SSL修改密文协议 、SSL警告协议和SSL记录 协议组成的一个协议族。
握手 协议
修改秘 报警 文协议 协议
SSL记录协议 TCP
5
SSL记录协议
• 提供两种服务:一是机密性,二是消息完整性。 • SSL记录协议接收传输的应用报文,将数据分片成可管理的块,进
行数据压缩(可选),应用MAC,接着利用IDEA、DES、3DES或 其他加密算法进行数据加密,最后增加由内容类型、主要版本、 次要版本和压缩长度组成的首部。被接收的数据刚好与接收数 据工作过程相反,依次被解密、验证、解压缩和重新装配,然后 交给更高级用户。 • 每个SSL记录包括下面的信息: 内容类型; 协议版本号; 长度; 数据有效载荷; MAC。
change_cipher_spec 完成
change_cipher_spec 完成
更改密码组合并完成 握手协议
注意:加阴影的传送是可选的, 或是与情况相关的消息,13并不是 总是发送。
SSL握手过程中的RSA运算
• 服务器认证过程中,客户端使用服务器 公钥加密,私钥解密,这就确保了服务器 证书关联,确实是建立通信相关的,否则 会话将会被终止。
11
SSL握手协议
• 握手过程一般是由五个阶段构成的: 客户端验证服务器 客户段与服务器选择彼此支持的算法 服务器验证客户端(可选) 使用公开密钥算法产生共享的密钥 SSL连接建立
12
SSL握手过程
客户机
时 间
client_hello server_hello
证书 server_key_exchange certificate_request server_hello_done

信息安全课件ppt


信息安全的威胁来源
网络攻击
黑客利用漏洞或恶意软 件对网络进行攻击,窃 取、篡改或删除数据。
内部威胁
组织内部的员工因疏忽 、恶意或误操作导致的
信息泄露。
物理威胁
对存储设备、网络设施 等进行物理破坏或盗窃

社会工程学攻击
利用人的心理和行为弱 点进行欺诈和窃取信息

信息安全的防护策略
01
02
03
04
加密技术
对称加密算法是指加密和解密使用相同密钥的算 法,常见的对称加密算法包括AES、DES等。
非对称加密算法
非对称加密算法是指加密和解密使用不同密钥的 算法,常见的非对称加密算法包括RSA、ECC等 。
公钥基础设施(PKI)
PKI是一种基于非对称加密算法的密钥管理架构 ,通过公钥证书和证书颁发机构等机制,实现密 钥的安全分发和管理。
常见的加密算法
AES(高级加密标准)
AES是一种常用的对称加密算法,采用128位、192位或256位密钥长度,支持多种块 大小,广泛应用于数据加密和保护。
RSA(Rivest-Shamir-Adleman)
RSA是一种非对称加密算法,主要用于公钥加密和数字签名,其安全性基于大数因子分 解的难度。
SHA(安全散列算法)
防垃圾邮件
通过过滤和识别技术,防止垃圾邮件的发送 和接收。
防网络钓鱼
教育用户识别网络钓鱼邮件,避免点击恶意 链接或下载附件,防止个人信息泄露。
06
应急响应与恢复
安全事件的处理流程
初步分析
收集相关信息,对安全事件进 行初步分类和评估,确定影响 范围和严重程度。
恢复系统
对受损的系统、应用和数据进 行修复和恢复,确保业务正常 运行。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

• ⑷ 抗重放攻击。 SSL使用序列号来保护通信方免受报文重 放攻击。这个序列号被加密后作为数据包的 负载。在整个SSL握手中,都有一个唯一的随 机数来标记这个SSL握手,这样重放便无机可 乘。
5. SSL在电子商务中的应用
• SSL当初并不是为支持电子商务而设计的,所 以在电子商务系统的应用中还存在很多弊端: • SSL是一个面向连接的协议,在涉及多方的电 子交易中,只能提供交易中客户与服务器间 的双方认证,而电子商务往往是客户、网站、 银行三家协作完成, SSL协议并不能协调各方 间的安全传输和信任关系; • 购货时客户要输入通信地址,这样将可能使 得客户收到大量垃圾信件。
SSL记录协议操作过程
3.2 SSL握手协议
• 使得服务器和客户能够相互鉴别对方,协商具 体的加密算法和MAC算法以及加密密钥,用来保 护在SSL记录中发送的数据 • SSL握手协议包含四个阶段:
–第一个阶段建立安全能力; –第二个阶段服务器鉴别(可选)和密钥交换; –第三个阶段客户鉴别(可选)和密钥交换; –第四个阶段完成握手协议。
• SSL协议运行的基点是商家对客户信息保密的 承诺。但在上述流程中SSL协议有利于商家而 不利于客户。 • 客户的信息首先传到商家,商家阅读后再传 到银行,这样,客户资料的安全性便受到威 胁。
• 随着电子商务参与方的迅速增加,认证问题越 来越突出,SSL协议的缺点完全暴露出来。SSL 协议逐渐被新的SET协议所取代。
• SSL本身是一个2层协 议 • SSL安全协议实际是 SSL握手协议、SSL修 改密文协议、SSL警告 协议和SSL记录协议组 成的一个协议簇。
握手 协议 修改秘 文协议 报警 协议
SSL记录协议 TCP
3.1 SSL记录协议
• 提供两种服务:一是机密性,二是消息完整性。 • SSL记录协议接收传输的应用报文,将数据分片成可管理 的块,进行数据压缩(可选),加MAC,接着利用加密算法进 行数据加密,最后增加由内容类型、主要版本、次要版 本和压缩长度组成的首部。被接收的数据刚好与接收数 据工作过程相反。 • 每个SSL记录包括下面的信息: • 内容类型; • 协议版本号; • 长度; • 数据有效载荷; • MAC
SSL协议介绍
主要内容
SSL发展过程及概述 SSL 工作原理 SSL 体系结构 SSL 体系结构 SSL 安全性 SSL 安全性 SSL 应用 SSL应用
1.1 SSL发展过程
• SSL 1.0 1993 • SSL 2.0 Netscape Communications. 1995.Apr 第一个 公布版本 • SSL 3.0 Netscape Communications 1996.Oct • TLS 1.0 TLS WorkGroup in IETF RFC 2246 1999.Jan • TLS 1.1 RFC 4346 2000.Apr • IE7 已经全面支持TLS • 安全套接层协议(SSL,Security Socket Layer)是网 景(Netscape)公司提出的基于WEB应用的安全协议, 它包括:
3.4 SSL改变密码规格协议
• 使用SSL记录协议服务的SSL高层协议的3个特 定协议之一,也是其中最简单的一个。协议由 单个消息组成,该消息只包含一个值为1的单个 字节。该消息的唯一作用就是使未决状态拷贝 为当前状态,更新用于当前连接的密码组。 • 为了保障SSL传输过程的安全性,双方应该每隔 一段时间改变加密规范。
单向认证SSL协议握手过程
双向认证SSL协议握手过程
3.3 SSL告警协议
• 为对等实体传递SSL的相关警告。如果在通信 过程中某一方发现任何异常,就需要给对方发 送一条警示消息通告。警示消息有两种:一种 是 Fatal错误,如传递数据过程中,发现错误的 MAC,双方就需要立即中断会话,同时消除自己 缓冲区相应的会话记录;第二种是Warning消息, 这种情况,通信双方通常都只是记录日志,而对 通信过程不造成选) – SSL链路上的数据完整性和SSL 链路上的数据保密性。
1.2 SSL协议概述
• SSL 以对称密码技术和公开密码技术相结合,可以 实现如下三个通信目标: • (1)秘密性: SSL客户机和服务器之间传送的数据都经 过了加密处理,网络中的非法窃听者所获取的信息都 将是无意义的密文信息。 • ( 2)完整性: SSL利用密码算法和散列(HASH)函数,通 过对传输信息特征值的提取来保证信息的完整性,确 保要传输的信息全部到达目的地,可以避免服务器和 客户机之间的信息受到破坏。 • (3)认证性:利用证书技术和可信的第三方认证,可以 让客户机和服务器相互识别对方的身份。为了验证证 书持有者是其合法用户(而不是冒名用户), SSL要求 证书持有者在握手时相互交换数字证书,通过验证来 保证对方身份的合法性。
• 目前我国开发的电子支付系统,无论是中国银 行的长城卡电子支付系统,还是上海长途电信 局的网上支付系统,均没有采用SSL协议,主 要原因就是无法保证客户资金的安全性。
结语
• SSL协议采用数字证书进行双端实体认证,用非 对称加密算法进行密钥协商,用对称加密算法将 数据加密后进行传输以保证数据的保密性,并且 通过计算数字摘要来验证数据在传输过程中是 否被篡改和伪造,从而为敏感数据在Internet上 的传输提供了一种安全保障手段。
2. SSL工作原理
1.提供身份
2.协商密码套件
A
3.协商密码密钥 4.交换加密信息
B
SSL协议
回顾:CryptoAPI加密通信流程图
加密 原文 解密
密文
原文
HASH
会话 密钥
公钥2
加密会 话密钥
私钥2
会话 密钥
HASH
散列 数据
签名 私钥1
CryptVerifySignature()
公钥1
3. SSL协议的体系结构
4. SSL协议安全性分析
•安全机制分析 • ⑴ 鉴别机制。 公开密钥技术和数字证书可以实现客户端 和服务器端的身份鉴别。ClientHello和 ServerHello发过去自己的证书(里面包含了身 份和自己的公钥)。
⑵ 加密机制。 混合密码体制的使用提供了会话和数据传输的加密性保 护。双方使用非对称密码体制协商出本次将要使用的会 话密钥,并选择一种对称加密算法。 ⑶ 完整性机制。 定义了共享的,可以用来形成报文鉴别码MAC的密钥。 数据进行分片压缩后,使用单向散列函数产生一个MAC, 加密后置于数据包的后部,并且再一次和数据一起被加 密,然后加上SSL首部进行网络传输。 这样,如果数据被修改,其散列值就无法和原来的 MAC相匹配,从而保证了数据的完整性。