第四章 互联网安全技术-电子商务应用安全协议xx.ppt

* * Technology of Electronic Business Security 2011年10月10日 第四章 互联网安全技术 电子商务应用安全协议 Technology of Electronic Business Security 2011年10月10日 本章学习内容： 互联网安全概述 防火墙技术 IP协议安全 电子商务应用安全协议 VPN技术 网络入侵检测 Technology of Electronic Business Security 2011年10月10日 4.4电子商务应用安全协议 电子邮件安全协议 电子邮件内容的安全问题 保密性 内容完整性 发送者身份认证 不可否认 以上安全问题主要涉及：邮件服务器安全、网络安全、邮件接收系统安全等方面。 解决方案：采用安全协议： S/MIME、 PEM、PGP。其共同特点是?采用公钥和私钥密码算法对邮件内容加密或签名；?按各自规定的格式对解密或签名的结果进行编码和重排。 Technology of Electronic Business Security 2011年10月10日 4.4电子商务应用安全协议 增强的私密电子邮件（PEM） 增强Internet电子邮件隐秘性的标准草案。 美国RSA实验室基于RSA和DES算法开发的产品。IETF 1993提出。 在Internet电子邮件标准格式(每个电子邮件报文头)上增加加密算法、数字身份认证算法、哈希算法等信息，实现对邮件的加密、身份认证和密钥管理等功能。 支持认证与密钥管理方案：对称密钥、公开密钥。 详细内容参考IETF公布的RFC1421、RFC1422、RF1423、 RF1424。 Technology of Electronic Business Security 2011年10月10日 4.4电子商务应用安全协议 安全多用途网际邮件扩充协议(Secure/MultiPur-pose Internet Mail Extensions, S/MIME) 由PEM，MIME发展而来。1995，RSA等公司提出。IETF标准。为email用户提供验证、完整性、防抵赖等安全服务。 在MIME基础上为邮件提供数字签名和加密功能。允许在不同电子邮件客户端程序之间收发安全电子邮件。 MIME邮件： 邮件头部：发送方、接收方的信息。 邮件主体：复合数据-ASC字符/文本数据类型及非文本对象-图像、音频、格式化文本文件等等。用开始/结束标志表示每个不同类型数据的开始与结束。 Technology of Electronic Business Security 2011年10月10日 4.4电子商务应用安全协议（Cont.） S/MIME邮件格式 Technology of Electronic Business Security 2011年10月10日 4.4电子商务应用安全协议（Cont.） S/MIME采用的安全标准 加密标准：RSA、DES、3DES、SHA-1、MD5、Diffie-Hellman； 数字证书：X.509。 Technology of Electronic Business Security 2011年10月10日 4.4电子商务应用安全协议（Cont.） 安全超文本传输协议 (Secure-HTTP，S-HTTP) CommerceNet提出，HTTP的安全扩展版本。 保护单一的处理请求或响应的消息。即所有HTTP请求和响应都经过加密并作为S-HTTP请求和响应的实体主体。为HTTP事务提供机密性、身份认证、完整性和不可否认服务。 Content-Privacy-Domain：消息格式说明。 PEM：RFC1421定义的格式； PKCS-7：S-HTTP定义的一种消息格式； PGP：PretlyGoodPrivacy2.6定义的格式； Technology of Electronic Business Security 2011年10月10日 4.4电子商务应用安全协议（Cont.） Content-Trabsfer-Encoding：对象编码方式说明。包括7BIT、8BIT、BASE64。 Content-TYPE：S-HTTP中返回值为Application/http。 Prearranged-Key-Info：标识加密所用的密钥。 MAC-Info：验证信息。为服务器提供一个验证用的校验和，保证该消息不是旧消息的副本以及消息中的数据在传递过程中不被篡改。 此外，S-HTTP还定义了对象内容格式；为了在HTML文档中嵌入有关安全性的信息，还定义了新的HTML标签，最后还定义了一种新的URL机制，S-HTTP中的URL以SHTTP开头。 Technology of Electronic B