1 / 37

Chapter 14 Authentication Applications

Chapter 14 Authentication Applications. 什麼是網路安全通訊協定. 網路安全通訊協定是一組可讓人們在網路上安全地交換資訊的一套規則與規範。. 應用層. 傳輸層. 網路層. 常用的網路安全通訊協定. 應用層的網路安全通訊協定. 開放網路系統的認證服務 ( Kerberos) 安全電子交易 ( Secure Electronic Transaction) 安全電子郵件 ( Privacy Enhanced Mail). Kerberos.

laksha
Download Presentation

Chapter 14 Authentication Applications

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chapter 14Authentication Applications

  2. 什麼是網路安全通訊協定 • 網路安全通訊協定是一組可讓人們在網路上安全地交換資訊的一套規則與規範。 應用層 傳輸層 網路層 常用的網路安全通訊協定

  3. 應用層的網路安全通訊協定 • 開放網路系統的認證服務(Kerberos) • 安全電子交易(Secure Electronic Transaction) • 安全電子郵件(Privacy Enhanced Mail)

  4. Kerberos • support application-level authentication developed by MIT • provides centralized private-key third-party authentication in a distributed network • allows users access to services distributed through network • without needing to trust all workstations • rather all trust a central authentication server • two versions in use: 4 & 5

  5. Kerberos Requirements • first published report identified its requirements as: • security • reliability • transparency • scalability • implemented using an authentication protocol based on Needham-Schroeder

  6. 開放網路系統的認證服務(Kerberos) • 使用者(Users) • 提供服務的主機(Server Hosts) • 提供服務許可證的伺服器(Ticket Granting Server),簡稱發證伺服器 • 提供身份驗證的伺服器(Authentication Server),簡稱驗證伺服器 Kerberos是一分散式的主從架構(Server-Client architecture),主要組成份子有以下四種:

  7. 開放網路系統的認證服務(Kerberos) Kerberos系統的運作流程

  8. 開放網路系統的認證服務(Kerberos) 獲得發證伺服器的許可證

  9. 開放網路系統的認證服務(Kerberos) 獲得服務許可證

  10. 開放網路系統的認證服務(Kerberos) 要求服務

  11. Secure Electronic Transactions (SET) • open encryption & security specification • to protect Internet credit card transactions • developed in 1996 by Mastercard, Visa etc • not a payment system • rather a set of security protocols & formats • secure communications amongst parties • trust from use of X.509v3 certificates • privacy by restricted info to those who need it

  12. 安全電子交易(Secure Electronic Transaction) • 交易的資料內容不容窺視 • 交易的資料內容不容纂改 • 交易進行時各相關主體之身分確認 SET的精神即在保障人們在網際網路上從事電子交易的安全,讓每筆交易在透過網路傳送時,都能做到下列三點:

  13. 安全電子交易(Secure Electronic Transaction) • 持卡人的個人電腦(Electronic Wallet) • 特約商店的電腦(Merchant Server) • 收單銀行的電腦(Payment Gateway) • 認證中心的認證技術電腦(Certificate Authority) 含有SET規格的軟體儲存於:

  14. 安全電子交易(Secure Electronic Transaction) 安全電子交易的四個主體

  15. Condifientiality 私密性(Privacy): 確定卡號被保護 Integrity(完整性) 確定付款資料不被更改 Non-repudiation 交易之不可否認 Authentication(身份鑑別) 讓買方知道賣方是安全的Visa商店 讓賣方知道買方擁有「有效卡」 Cryptographic Modules DES, RSA, CDMF Random Number Generator HashFunction SHA-1, MD5 Digital Signature - RSA public key cryptography Authentification Module PKCS#1, 5, 7 X.509 ext 3 Policy Certificate Authority SET Technology

  16. 安全電子交易(Secure Electronic Transaction) 申請電子證書之流程

  17. 電子證書(Digital Certificate) 電子證書是獨特的電子代表物: • 含有個人金融資料和相關連的公開鑰匙資料 • 是經由金融機構電子化的簽字過 • 用來確認電子簽字 • 是信用卡和商店合約電子的代表

  18. 電子證書是信用卡電子化的代表 BANK XYZ BANK XYZ Public Key Information John Doe Bank Digital Signature • 電子證書代表銀行名稱 • 電子證書增加了安全性 • 需要密碼和私密鑰匙(private key)才能使用 • 帳號和持卡人的資料是被加密過的 • 發揮私密性, 完整性和當做認證 實際卡片 V.S.電子證書

  19. 安全電子交易(Secure Electronic Transaction) 安全電子交易之流程

  20. SET Transaction • customer opens account • customer receives a certificate • merchants have their own certificates • customer places an order • merchant is verified by certificate • order and payment are sent • merchant requests payment authorization • merchant confirms order • merchant provides goods or service • merchant requests payment

  21. Dual Signature • customer creates dual messages • order information (OI) for merchant • payment information (PI) for bank • neither party needs details of other • but must know they are linked • use a dual signature for this • signed concatenated hashes of OI & PI

  22. Cardholder Sends Purchase Request

  23. Merchant Verifies Purchase Request

  24. Merchant Verifies Purchase Request • verifies cardholder certificates using CA sigs • verifies dual signature using customer's public signature key to ensure order has not been tampered with in transit & that it was signed using cardholder's private signature key • processes order and forwards the payment information to the payment gateway for authorization (described later) • sends a purchase response to cardholder

  25. Payment Gateway Authorization • verifies all certificates • decrypts digital envelope of authorization block to obtain symmetric key & then decrypts authorization block • verifies merchant's signature on authorization block • decrypts digital envelope of payment block to obtain symmetric key & then decrypts payment block • verifies dual signature on payment block • verifies that transaction ID received from merchant matches that in PI received (indirectly) from customer • requests & receives an authorization from issuer • sends authorization response back to merchant

  26. Payment Capture • merchant sends payment gateway a payment capture request • gateway checks request • then causes funds to be transferred to merchants account • notifies merchant using capture response

  27. 安全電子郵件(Privacy Enhanced Mail) 安全電子郵件(Privacy Enhanced Mail)主要是針對下述傳統電子郵件的缺陷而加以設計: • 信件的內容易遭人偷窺,甚至被有心人士竄改 • 隱藏或修改發信的地點,例如郵件炸彈或黑函決不會顯示其真正的發信處 • 假冒他人的名義發信 • 對送信行為加以否認 它主要是利用加解密技術、雜湊函數及電子證書來保證被傳送信件的完整性、發信人的身份確認及不可否認性 。

  28. 安全電子郵件(Privacy Enhanced Mail) PEM信件加密流程

  29. 安全電子郵件(Privacy Enhanced Mail) PEM信件完整性、身份認證及不可否認性的運作流程

  30. 安全電子郵件(Privacy Enhanced Mail)

  31. 安全電子郵件(Privacy Enhanced Mail) PEM傳送信件之處理流程

  32. 編碼 值 編碼 值 編碼 值 編碼 值 編碼 0 A 13 N 26 a 39 n 52 0 1 B 14 O 27 b 40 o 53 1 2 C 15 P 28 c 41 p 54 2 3 D 16 Q 29 d 42 q 55 3 4 E 17 R 30 e 43 r 56 4 5 F 18 S 31 f 44 s 57 5 6 G 19 T 32 g 45 t 58 6 7 H 20 U 33 h 46 u 59 7 8 I 21 V 34 i 47 v 60 8 9 J 22 W 35 j 48 w 61 9 10 K 23 X 36 k 49 x 62 + 11 L 24 Y 37 l 50 y 63 / 12 M 25 Z 38 m 51 z 填充值 = 安全電子郵件(Privacy Enhanced Mail) 信件編碼是將信件內容重新編碼,每六個位元對應一字母,其對應關係如下表所示。

  33. 安全電子郵件(Privacy Enhanced Mail) • MIC-CLEAR:保證信件完整性、發信人身份認證及不可否認性,在PEM傳送信件之處理流程中只需執行信件正規化及計算信件摘要兩個步驟。 • MIC-ONLY:其功能與MIC-CLEAR格式完全相同,但是要求PEM在信件送出前需作編碼動作,且在PEM傳送信件之處理流程的步驟二中不執行加密動作。 • ENCRYPTED:除了保證信件完整性、發信人身份認證及不可否認性外,並保證信件的私密性,需執行PEM傳送信件之處理流程的三個完整步驟。 PEM提供三種不同安全程度的信件傳送格式,分別是:

  34. 安全電子郵件(Privacy Enhanced Mail) PEM信件常使用的一些控制欄位: • Proc-Type:出現在PEM信件的第一行,說明信件的傳送格式 • Content-Domain:說明信件正規化時使用何種的信件標準化格式, • MIC-Info:說明PEM計算信件摘要所使用的演算法、保護信件摘要所使用的演算法,最後才是經過保護的信件摘要。 • DEK-Info:說明信件加密所使用的演算法及該演算法在執行時所需要的參數。 • Key-Info:說明保護加密信件秘密鑰匙所使用的演算法,緊接著即為經過保護的秘密鑰匙。 • Originator-Certificate:發信者的電子證書。

  35. 安全電子郵件(Privacy Enhanced Mail) MIC-ONLY傳送格式範例 Proc-Type: 4,MIC-ONLY Content-Domain: RFC822 Originator-Certificate: 經過編碼步驟的發信者電子證書放於此處 Issuer-Certificate: 經過編碼步驟的認證中心的電子證書放於此處 MIC-Info: RSA-MD5,RSA, jV2OfH+nnXHU8bnL8kPAad/mSQlTDZlbVuxvZAOVRZ5q5+Ejl5bQvqNeqOUNQjr6EtE7K2QDeVMCyXsdJlA8fA==(經過加密及編碼步驟的信件摘要放於此處) LSBBIG1lc3NhZ2UgZm9yIHVzZSBpbiB0ZXN0aW5nLg0KLSBGb2xsb3dpbmcgaXMgYSBibGFuayBsaW5lOg0KDQpUaGlzIGlzIHRoZSBlbmQuDQo=(經過編碼步驟的信件內容)

  36. 安全電子郵件(Privacy Enhanced Mail) ENCRYPTED傳送格式範例 Proc-Type: 4, ENCRYPTED Content-Domain: RFC822 DEK-Info: DES-CBC,BFF968AA74691AC1 Originator-Certificate: 經過編碼步驟的發信者電子證書放於此處 Key-Info: RSA, I3rRIGXUGWAF8js5wCzRTkdhO34PTHdRZY9Tuvm03M+NM7fx6qc5udixps2Lng0+wGrtiUm/ovtKdinz6ZQ/aQ==(經過加密及編碼步驟的秘密鑰匙放於此處) Issuer-Certificate: 經過編碼步驟的認證中心的電子證書放於此處 MIC-Info: RSA-MD5,RSA, UdFJR8u/TIGhfH65ieewe2lOW4tooa3vZCvVNGBZirf/7nrgzWDABz8w9NsXSexvAjRFbHoNPzBuxwmOAFeA0HJszL4yBvhG(經過加密及編碼步驟的信件摘要放於此處) Recipient-ID-Asymmetric: MFExCzAJBgNVBAYTAlVTMSAwHgYDVQQKExdSU0EgRGF0YSBTZWN1cml0eSwgSW5jLjEPMA0GA1UECxMGQmV0YSAxMQ8wDQYDVQQLEwZOT1RBUlk=, 66 Key-Info: RSA, O6BS1ww9CTyHPtS3bMLD+L0hejdvX6Qv1HK2ds2sQPEaXhX8EhvVphHYTjwekdWv7x0Z3Jx2vTAhOYHMcqqCjA== qeWlj/YJ2Uf5ng9yznPbtD0mYloSwIuV9FRYx+gzY+8iXd/NQrXHfi6/MhPfPF3djIqCJAxvld2xgqQimUzoS1a4r7kQQ5c/Iua4LqKeq3ciFzEv/MbZhA== (經過加密及編碼步驟的信件內容)

More Related