網絡安全協議安全套接層協議SSL安全電子交易協議SET

在Browser和WebServer之間提供敏感信息傳輸通道

SocialSecurityNumber(SSN)CreditCard,etc

提供訪問控制

OpenClosedSSL被設計用來使用TCP提供一個可靠的端到端安全服務，為兩個通訊個體之間提供保密性和完整性(身份鑒別)SSL設計目標

Netscape公司于1994開發

SSLv2releasedin1995SSLv3alsoreleasedin1995duetobugsinv2

1996年IETF成立

TransportLayerSecurity(TLS)committeeTLSv1wasbaseduponSSLv3

Netscape、Microsoft都支持TLSv1SSL歷史

SSL提供四個基本功能

AuthenticationEncryption

Integrity

KeyExchangeSSL功能采用兩種加密技術

非對稱加密

認證

交換加密密鑰

對稱加密：加密傳輸數據SSL功能SSL是獨立于各種協議的常用于HTTP協議，但也可用于別的協議，如NNTP，TELNET等SSL的結構建立在可靠的傳輸協議（如TCP）基礎上提供連接安全性保密性，使用了對稱加密算法完整性，使用HMAC算法用來封裝高層的協議SSL記錄協議客戶和服務器之間相互鑒別協商加密算法和密鑰提供連接安全性身份鑒別，至少對一方實現鑒別，也可以是雙向鑒別協商得到的共享密鑰是安全的，中間人不能知道協商過程是可靠的SSL握手協議協議的使用SSL體系結構連接會話SSL基本概念連接是能提供合適服務類型的傳輸（在OSI分層模型中的定義）對SSL，這樣的連接是對等關系連接是暫時的，每個連接都和一個會話相關連接SSL會話是指在客戶機和服務器之間的關聯會話由握手協議創建會話定義了一組可以被多個連接共用的密碼安全參數對于每個連接，可以利用會話來避免對新的安全參數進行代價昂貴的協商會話在任意一對的雙方之間，也許會有多個安全連接理論上，雙方可以存在多個同時會話，但在實踐中并未用到這個特性連接Vs會話會話狀態參數連接狀態參數pre_master_secretmastersecretClientwriteMACsecretClientwritesecretClientwriteIVServerwriteMACsecretServerwritesecretServerwriteIV各種密鑰SSLHandshakeSSL握手協議報文格式ClientServer一建立安全能力ClientHelloSSLClientSSLServerPort443TheClientHellomessageiscomposedofSSLVersion(highest)thatisunderstoodbytheclient.

TLSv1elseSSLv3b.KeyExchangetoidentifythemethodofexchangingkeys.RSAifnotthenD-H.c.DataEncryptiontoidentifytheencryptionmethodsavailabletotheClient.TripleDesorelseDES

d.MessageDigestfordataintegrity.

SHAorelseMD5e.DataCompressionmethodformessageexchangePKZiporelsegzipf.ARandomnumbertocomputethesecretkeyhttps://www.SSLClientSSLServerServerHelloTheServerHellomessageiscomposedofSSLVersion(highest)thatisunderstoodbytheclient.TLSv1b.KeyExchangetoidentifythemethodofexchangingkeys.RSA.c.DataEncryptiontoidentifytheencryptionmethodsavailabletotheClient.DESd.MessageDigestfordataintegrity.

MD5e.DataCompressionmethodformessageexchangePKZip

f.ARandomnumbertocomputethesecretkey一建立安全能力DataEncryption:

RC2-40RC4-128DESDES403DESIDEA

FortezzaMessageDigest:MD5SHA.KeyExchange.

RSAFixedDiffie-HellmanEphemeralDiffie-HellmanAnonymousDiffie-Hellman

FortezzaDataCompression:PKZipWinZip

gzip

StuffItCipherSuiteAlternativesSSLClientSSLServerServerCertificateTheServerCertificatemessageiscomposedofTheserverIdentifierinformationADigitalCertificateoftheseverinformationencryptedwiththeCAsPrivateKey.Thiscontainstheserver'sPublicKeyClientCertificateRequestTheClientCertificateRequestmessageiscomposedofTheCertificatetypetoindicatethetypeofpublickeyTheCertificateAuthorityisalistofdistinguishednamesofCertificateAuthoritiesacceptabletotheServerServerDoneMessageThisServerDonemessagehasnoparameters.二服務器鑒別和密鑰交換SSLClientSSLServerClientCertificateTheClientCertificatemessageiscomposedofTheserverIdentifierinformationADigitalCertificateoftheclientinformationencryptedwiththeCAsPrivateKey

TheClientAuthenticatestheServerwiththeCA.a.ExtractsthepublickeyoftherootsignedcertificatethatcameinstalledwiththeclientandComputesaMDoftheservercertificateinformation.b.Decryptstheservercertificate(thatwasissuedbytherootCA)thatcontainsthehashcomputedbytheCAPrivateKeyc.ComparesthecomputedhashwiththehashcontainedintheserverDigitalCertificate.Generatesasessionkey(psuedo-randomnumber)touseasa Pre-MasterKeythen3.Encryptsthesessionkeywiththeserver’spublickey.三客戶機驗證和密鑰交換SSLClientSSLServerClientKeyExchangeTheClientKeyExchangemessageiscomposedofTheencryptedsessionkeywhichwillserveasapre-mastersecretkeyencryptedwiththeserver’spublickey.Boththeclientandtheserverusethepre-mastersecretkeytocomputethreeidenticalsetsofsecretkeypairsThefirstpair(i.e.DES)isusedtoencryptoutgoingtrafficfromtheclienttotheserverandtodecryptincomingtraffictotheserverwhileThesecondpair(i.e.HMAC)isusedtoencryptoutgoingtrafficfromtheserverandtodecryptincomingtraffictotheclientc.ThethirdpairisusedtoinitializethecipherIV(InitializationVector)Note:BoththeClientandtheServereachgeneratethreesetsofkeys三客戶機驗證和密鑰交換SSLClientSSLServerC>SS>CC>SS>CEncryptionMACIVEncryptionMACIV密鑰交換結果TheClientFinishmessageiscomposedofTheclientauthenticatestheserverwithamessageencryptedwiththenewlygeneratedsharedkeys.Thisvalidatestotheserverthatasecureconnectionhasbeencreated.SSLClientSSLServerClientFinishServerFinishTheServerFinishmessageiscomposedofTheserverauthenticatestheclientwithamessageencryptedwiththenewlygeneratedsharedkeys.Thisvalidatestotheclientthatasecureconnectionhasbeencreated.Note:theServerandclientcannowbegintousetheirsixsharedkeysforbulkdataencryptionutilizingtheSSLRecordLayerprotocol四完成SSLRecordProtocolByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirschSSL記錄協議操作ByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirsch1.分片ByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirsch2.壓縮無損壓縮不會增加1024字節以上長度的內容沒有默認壓縮算法3.MAC計算4.加密5.封裝機密性：握手協議定義了共享的、可用于對SSL有效載荷進行常規加密的密鑰及初始/后續的IV完整性：握手協議還定義了共享的、可用于生成報文MAC的密鑰SSL記錄協議提供的服務SSLChangeCipherSpecProtocol由單個報文組成，報文值為1的單個字節使得掛起狀態被復制到當前狀態，改變了這個連接將要使用的密文族SSL修改密碼規格協議SSLAlertProtocol用于將SSL有關的告警傳輸給對方實體傳輸時按照當前狀態說明被壓縮和加密SSL告警協議SSL密碼計算主密鑰的創建共享主密鑰(MasterSecret)由客戶機和服務器共享，是通過安全密鑰交換生成的臨時48字節值MasterSecret分兩個步驟生成：

交換pre_master_secret

雙方計算master_secretpre_master_secret交換方法：

RSA

Diffie-Hellman主密鑰的創建密碼參數的生成pre_master_secretmastersecretClientwriteMACsecretClientwritesecretClientwriteIVServerwriteMACsecretServerwritesecretServerwriteIV密碼參數的生成SSL通訊模型為標準的C/S結構，除了在TCP層之上進行傳輸之外，與一般的通訊沒有什么明顯的區別主要介紹如何使用OpenSSL進行安全通訊的程序設計。關于OpenSSL的一些詳細的信息請參考OpenSSL的官方主頁SSL程序設計OpenSSL初始化SSL環境申請證書驗證證書加載SET協議概述SET協議(SecureElectronicTransaction，安全電子交易)是由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范SET主要是為了解決用戶商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密，支付過程的完整性，商戶及持卡人的合法身份以及可操作性。SET中的核心技術主要有公開密鑰、加密、數字簽名、數子信封、數字證書等。SET能在電子交易環節上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。SET協議用以支持BtoC這種類型的電子商務模式，即消費者持卡在網上購物與交易的模式。SET實現架構SET證書體系RCABCA1GCA1GCAnCCA1MCA1BCAnGCA1GCAnPCA1CHMCPGCCA1MCA1PCA1CHMCPGCH:CardHolderMC:MerchantPG:PaymentGateway????????????SET證書格式序列號簽名頒發者有效期主體頒發者唯一標識符擴展由授權CA簽發版本號主體公鑰信息主體唯一標識符由授權CA簽發通道（G）密鑰使用???證書類型證書卡需求（G）SET限定符（G）-支付網關（M）-商家授權密鑰標識符商業數據（M）標準擴展SET私有擴展雙聯簽名HH‖HEPIOIPIMDOIMDPOMDDSH：雜湊函數（SHA-1）‖：連接PIMD：支付消息摘要OIMD：訂購消息摘要POMD：支付定單消息摘要E：加密（RSA）數字信封所謂數字信封是指信息發送方用信息接收方的公開密鑰，將一個會話密鑰（對稱密鑰）加密，形成一個數字信封（DigitalEnvelope，DE），然后發送給接收方，只有指定的接收方才能使用自己的秘密密鑰打開（加密）DE，獲取其中的對稱密鑰，并使用對稱密鑰來解讀發送方傳送過來的信息。SET交易過程SET交易分三個階段進行:在購買請求階段，用戶與商家確定所用支付方式的細節在支付確認階段，商家會與銀行核實,隨著交易的進展他們將得到付款在收款階段，商家向銀行出示所有交易的細節，然后銀行以適當方式轉移貨款如果不是使用借記卡，而直接支付現金，商家在第二階段完成以后的任何時間即可以供貨支付。第三階段將緊接著第二階段進行，用戶只和第一階段交易有關，銀行與第二三階段有關，而商家與三個階段都要發生關系。每個階段都涉及到RSA對數據加密以及RSA數字簽名。SET支付流程持卡人商家收單行支付網關PInitReqPInitResPReqAuthReqAuthResPResCapReqCapResSSL與SET協議的比較事實上，SET和SSL除了都采用RSA公鑰算法以外，二者在其他技術方面沒有太多相似之處，而RSA在二者中也被用來