Date post: | 01-Jan-2016 |
Category: |
Documents |
Upload: | denton-santos |
View: | 51 times |
Download: | 0 times |
1 مركز امنبت شبكه شریف
امنیت وب
از کتاب 14فصل مبتنی بر Network Security, Principles and
Practice,2nd Ed.ویرایش شده توسط: حمید رضا شهریاری
http://www.fata.irhttp://mehr.sharif.edu/~shahriari
فيمركز امنبت شبكه شر 3
دكننده وبیخطرات تهد
با توجه به سادگی و گستردگی استفاده از مرورگرها وخدمات وب و راه اندازی سرورها، امنیت وب از
دگی باالیی برخوردار است.یپیچ
:نمونه ای از خطرات متداولحمله به وب سرورهاتهدید اعتبار برنامه های تجاری مهموجود كاربران عام و ناآشنا به خطرات امنیتیدسترسی به حریم خصوصی افراد و آزار و اذیت آنها
فيمركز امنبت شبكه شر 5
روشهای مختلف تامین امنیت وب
استفاده ازIPSec: مزایا . همه منظورهشفاف از دید كاربران الیه باالتر سربار اضافی استفاده ازIPSec با استفاده از فیلترینگ
قابل حل است استفاده ازSSL/TLS
شفاف از دیدApplicationها پشتیبانی مرورگرهایی مانندNetscape و IE و نیز بسیاری
از وب سرورهاسرویسهای امنیتی وابسته به كاربرد خاص
SET
فيمركز امنبت شبكه شر 8
SSLتاریخچه -
July, 1994 شرکتNetscape طراحی SSL 1.0.را انجام داد !این نسخه هیچگاه منتشر نشد
Dec, 1994 مرورگرNetscape همراه با SSL 2.0 به بازار عرضه
شد. ساعت می شد به آن نفوذ 1آسیب پذیر بود. کمتر از
کرد. بیتی در خارج آمریکا40محدودیت استفاده از کلیدهای
فيمركز امنبت شبكه شر 9
SSL –چه)...ادامه(یخ تار
July, 1995 مایکروسافت نسخه جدیدی ازIE را به بازار عرضه کرد که از
SSL.پشتیبانی می کرد پشتیبانی از مدهای کاری جدید و افزایش طول کلیدهای قابل
استفاده
Nov, 1995 شرکتNetscape توصیف SSL 3.0را منتشر کرد با تغییرات و جهش عمده نسبت به نسخه های قبلی همراه بود ضمن اینکه نسبت به نسخهSSL v2.0، Backward
Compatibleبود
فيمركز امنبت شبكه شر 10
SSL –چه)...ادامه(یخ تار
May, 1996IETF گروه کاری TLSی ی را تشکیل داد و مسئولیت پاسخگو
را برعهده گرفت.SSLبه مشکالت قرارداد
Jan, 1999TLS 1.0 بطور رسمی همراه با RFC 2246 به بازار عرضه
شد. در واقع همانSSL v3.1 بود که به دالیل تجاری تغییر نام
داده بود.
فيمركز امنبت شبكه شر 11
SSL
الیه امنیتی در باالی الیه انتقال ارائه شده توسط شرکتNetscape و نسخه
نترنت می باشدی آن نسخه استاندارد ا3س قابل اطمینان انتها به انتها)یسروend to
end و مبتنی بر )TCPپروتكل آن در دو الیه پیاده سازی می شود
فيمركز امنبت شبكه شر 12
SSLمعماری -
ه کاربردیالیه اول باالی الیه انتقال و الیه دوم در ال الیه اول شامل پروتکلRecord و الیه دوم مربوط به
زیر می شود سرویسهای مدیریتی بوده و شامل پروتکلهای
فيمركز امنبت شبكه شر 13
SSL –پروتكلها
SSL Record Protocol دو سرویس برای : SSL فراهم می كند:
: محرمانگی ك كلید متقارن مخفی كه در پروتكل یبا استفاده از
Handshake.به اشتراك گذاشته شده است كی از الگوریتمهای یاستفاده ازIDEA، RC2-40، DES-40،
DES، 3DES، Fortezza، RC4-40، RC4-128تمامیت پیغام
تولیدMACبا استفاده از کلید متقارن مخفی استفاده ازSHA-1 یا MD5
وظیفه تولید و توزیع کلیدهای متقارن برای انجام برعهده پروتکل MACرمزگذاری مرسوم و نیز محاسبه
handshakeاست
فيمركز امنبت شبكه شر 16
SSL –پروتكلها
Recordاعمال انجام شده در پروتكل ا كمتر .ی 214: تولید بالكهای به طول قطعه بندی اختیاری و بدون از دست رفتن داده.فشرده سازی : تولیدMAC مشابه : HMAC:و روی ورودی زیر انجام می گیرد
)محتوای بالك، طول بالك، نوع فشرده سازی، شماره سریال(تم تولید کد احراز هویت یالگورMD5 یا SHA-1.می باشد
استفاده از رمز بالكی یا نهری. رمزنگاری : به ابتدای بالك رمزشده می چسبد و شامل موارد زیر است:دیناضافه كردن سرآ :
، طول داده فشرده شده(SSL، نسخه فرعی SSL)نوع محتوا، نسخه اصلی ( بیان كننده پروتكل استفاده كننده از این سرویس Content Typeنوع محتوا)
در الیه باالتر می باشد
فيمركز امنبت شبكه شر 18
SSL –پروتكلها
:Change Cipher Specپروتكل پروتكل الیه دوم 3یكی از SSL كه از پروتكل Record
استفاده می كنند. بایت می باشد1شامل منجر به نوشته شدن مشخصات رمزنگاری
( بجای مشخصات فعلی می شود تا در pendingمعلق)اتصال جاری مورد استفاده قرار گيرد.
فيمركز امنبت شبكه شر 19
SSL –پروتكلها
:SSL Alertپروتكل هشدارها و خطاهای مربوط بهSSL را به طرف مقابل
منتقل می كند : شدت خطای پیش آمدهWarning or Fatal مانند بقیه داده هایSSL فشرده سازی و رمزنگاری می
شود.: نمونه خطاها
unexpected message, bad record mac, decompression failure, handshake failure
فيمركز امنبت شبكه شر 20
SSL –پروتكلها
SSL Handshakeپروتكل
پیش از انتقال هر نوع داده ای تحتSSL.انجام می شود
: با استفاده از آن کارفرما و کارگزار می توانندهمدیگر را شناسایی كنند الگوریتم های رمزنگاری، توابع درهم ساز مورد استفاده و
کلیدهای رمزنگاری متقارن و نامتقارن را رد و بدل كنند.
فيمركز امنبت شبكه شر 21
Hello فاز –قرارداد توافق
SSL Handshakeپروتكل فاز اصلی زیر می باشد4شامل
تهای رمزنگاری دو طرفیمشخص كردن قابلاحراز هویت کارگزار به کارفرما و مبادله كلیدهای آناحراز هویت کارفرما به کارگزار و مبادله كلیدهای آن جایگزینی پارامترهای رمزنگاری جدید به جای قبلی و
خاتمه توافق
فيمركز امنبت شبكه شر Sharif Network Sharif Network Security CenterSecurity Center
22
SSL Handshake Protocol
فيمركز امنبت شبكه شر 24
Hello فاز –قرارداد توافق
)آغازگر جلسه( توسط کارفرماHelloارسال پیغام بانی شده یپیشنهاد نسخه قرارداد: آخرین نسخه پش
توسط کارفرماپیشنهاد الگوریتم های مناسب و روش تبادل کلید آنهاپیشنهاد مکانیزم فشرده سازی مناسبم های مورد قبول کارگزاریتانتخاب نسخه و الگور کارگزار بررسی می کند که آیا این پیشنهاد قابل
قبول است یا نه؟
فيمركز امنبت شبكه شر 25
فاز تبادل –قرارداد توافق دیکل
ارسال گواهی کارگزار برای کارفرما(همراه با کلید عمومیRSA یا پارامترهای )DH
تولید و ارسال کلید سری کارفرما کلید سری را تولید کرده و برای کارگزار می
فرستدا این که هر دو با استفاده از پارامترهای یDH کلید
سری را محاسبه می کنند.
فيمركز امنبت شبكه شر 26
فاز خاتمه–قرارداد توافق
فعال کردن قرارداد تغییر مشخصات رمز کارفرما قرارداد تغییر مشخصات رمز را فعال کرده و برای
کارگزار می فرستد. کارگزار نیز قرارداد تغییر مشخصات رمز را فعال کرده و
ارسال می کند.
پایانارسال پیغام پایانیآغاز تبادل اطالعات به صورت محرمانه و با پارامترهای جدید
فيمركز امنبت شبكه شر 28
SSL – نتیجه گیری
SSLنیازهای امنیتی زیر را فراهم می کند محرمانگی
رمزنگاری متقارنتمامیت داده
کد احراز هویت دادهاحراز هویت
استانداردx.509 امروزه مهمترین کاربردSSL در قرارداد HTTPS
می باشد.
فيمركز امنبت شبكه شر 29
TLS)Transport Layer Security(
یك استاندارد ازIETF نترنتی از یك نسخه استاندارد ایبه دنبال ایجادSSL
می باشد بسیار شبیهSSL بدون در نظرگرفتن 3 نسخه
تفاوتهای جزئی زیر: بهره گیری ازHMAC واقعی در محاسبه MAC استفاده(
(XORاز عملگر تابع تولید اعداد تصادفی همانHMACاست درTLS کد خطای no-certificateقابل قبول نیست الگوریتمFortezzaع كلید و ی از الگوریتمهای توز
رمزگذاری پیغام حذف شده
فيمركز امنبت شبكه شر 31
SET: Secure Electronic Transactions
عبارت است از مجموعه ای از پروتكلها و فرمتها كه امكان در شبكه های گسترده كارتهای اعتباری عادیاستفاده از
(MasterCard&Visa شده توسط یمعرفرا فراهم می سازد):سه سرویس زیر را فراهم می سازد
فراهم آوردن یك كانال ارتباطی امن بین افراد درگیر در یك(.transactionانتقال مالی)
استفاده از گواهی های قابل اعتمادX.509v3برای اشخاصی محافظت از حریم خصوصی افراد: اطالعات فقط
كه به آن نیاز دارند، قابل رویت است
فيمركز امنبت شبكه شر 32
SET
SETنیازمندیهای تجاری و فنی حفظ محرمانگی اطالعات پرداخت و سفارش خریداحراز هویت صاحب كارت اعتباریحفظ تمامیت كلیه داده های منتقل شده استفاده از بهترین ابزارهای امنیتی)پروتكلها و
الگوریتمها( و نیز بهترین تكنیكهای طراحی سیستم. ا عدم وجود مكانیسمهای یعدم وابستگی به وجود
(SSL یا IPSecامنیتی الیه انتقال )مانند به وجود آوردن امکان عملکرد متقابل بین نرم
افزارها و سرویس دهندگان شبكه: مستقل بودن SETاز بستر نرم افزاری یا سخت افزاری
فيمركز امنبت شبكه شر 33
SET
SET ی قابلیت های كلیدشماره كارت اعتباری خریدار از محرمانگی اطالعات :
(DESدید فروشنده مخفی می ماند)استفاده از با استفاده از امضاء رقمی حفظ جامعیت داده ها :
RSA كد درهم ،SHA-1 وHMACامضاء رقمی با گواهی احراز هویت دارنده كارت :
X.509v3 امضاء رقمی با گواهی احراز هویت فروشنده :
X.509v3
فيمركز امنبت شبكه شر 35
SET
افراد و نهادهای درگیر عبارتند از :
صاحب كارت(Card Holder كاربر صاحب كارت اعتباری :)
فروشنده(Merchant فرد یا سازمانی كه قصد فروختن :)كاالی خود را از طریق اینترنت دارد.
صادركننده كارت(Issuer موسسه مالی مانند بانك كه : )برای كاربران كارت صادر می كند و مسئول پرداخت كاربر
در مقابل خرید او می باشد
فيمركز امنبت شبكه شر 36
SET
افراد و نهادهای درگیر در سیستم )ادامه(
موسسه حسابرسی مالی(Acquirer یک موسسه مالی موظف :)با وظایف زیر:
باز کردن حساب برای فروشندهتعیین سقف اعتبار کارتها و فعال بودن آنهاواریز مبلغ دریافت شده از طریق کارت به حساب فروشنده
دروازه پرداخت(Payment Gateway جهت پردازش پیامهای :) یا فرد سومAcquirerپرداختی و فروشنده توسط
مرجع صدور گواهی(CA): صادركننده گواهی X509 برای صاحبان کارتها، فروشنده ها و دروازه های پرداخت
فيمركز امنبت شبكه شر 37
SET
مراحل انتقال مالیحساب كارت اعتباری در بانكی كه افتتاح حساب توسط مشتری :
SETرا پشتیبانی می كند
گواهی دریافت گواهی توسط مشتری :X509بانك ی كه به امضا ده باشد.یرس
یكی برای امضاء پیام و دیگری دریافت گواهی توسط فروشنده :برای توزیع كلید
:از طرف مشتری برای فروشندهارسال سفارش خرید
از جانب مشتری : از روی گواهی ارسال تایید هویت فروشنده شده
فيمركز امنبت شبكه شر 38
SET
مراحل انتقال مالی مشتری ارسال مشخصات پرداختتایید سفارش و :
اطالعات سفارش و پرداخت خود كه شامل گواهی او نیز می شود را برای فروشنده می فرستد. اطالعات پرداخت به صورت رمزشده فرستاده می شوند و برای فروشنده قابل
فهم نیستند.
از جانب فروشنده : فروشنده تقاضای اجازه پرداخت “آیااطالعات پرداخت را برای دروازه پرداخت می فرستد.
”كارت اعتباری خریدار به اندازه خرید جاری موجودی دارد؟
فيمركز امنبت شبكه شر 39
SET
مراحل انتقال مالیاز جانب فروشنده : در صورتی كه تایید سفارش
پاسخ سوال فوق مثبت باشد!
برای ارسال اجناس یا فراهم آوردن خدمات مشتری
از جانب فروشنده: تقاضای انتقال تقاضای پرداخت مبلغ مورد نظر از حساب مشتری به حساب
فروشنده از جانب دروازه پرداخت
فيمركز امنبت شبكه شر 40
SET
(Dual Signatureامضاء دوبل)مكانیسمی برای اتصال پیغامهایی كه برای گیرنده های مختلف فرستاده
می شوند. مثال: (اطالعات سفارشOIكه برا )فروشنده و اطالعاتی ( پرداختPI )
كه برای بانك فرستاده می شوند.د شماره كارت اعتباری را بداندیفروشنده نباد جزییات سفارش خرید را بداندیبانك نبا باید بتوان ثابت كرد كه پرداخت فعلی متعلق به سفارش خرید
فعلی و نه احیانا سفارشهای قبلی یا بعدی است.
می توان جلوی سوءاستفاده Dual Signatureبا استفاده از مكانیسم های احتمالی فروشنده را گرفت
فيمركز امنبت شبكه شر 42
SET
عموما از سه تراکنش اصلی SETقرارداد تشکیل می شود
(سفارش خریدPurchase Request)
(اجازه پرداختPayment Authorization)
یدر(افت پرداختPayment Capture)
فيمركز امنبت شبكه شر 43
SET
پیام 4(: طی آن Purchase Requestد)یدرخواست خررد و بدل می شود:
(4 از 1درخواست اولیه از طرف خریدار به فروشنده)(شامل نوع كارت اعتباری، شناسه یكتاID مربوط به این )
تقاضا و nonce.
(4 از 2پاسخ اولیه از طرف فروشنده به خریدار) شاملnonce ،مشتری nonce جدید و ID مرحله قبل كه
به امضای فروشنده رسیده اند، به عالوه گواهی فروشنده و گواهی دروازه پرداخت
فيمركز امنبت شبكه شر 44
SET
)ادامه ...(دیدرخواست خر
( 4 از 3د از طرف خریدار به فروشنده)یدرخواست خرشامل¶¶ :
اطالعات مربوط به سفارش كه باید به فروشنده برسد)اطالعات پرداخت كه باید بدست بانك برسد)از طریق فروشندهگواهی کلید عمومی خریدار برای امضا
(4 از 4پاسخ خرید از طرف فروشنده به خریدار)گواهی خریداراطالعات پرداخت جهت اجازه و تایید كارت به بانك ارسال می شود پاسخ خرید جهت تایید خرید بصورت امضاشده به خریدار ارسال
می شود
فيمركز امنبت شبكه شر 47
SET
Payment Gatewayاجازه دروازه پرداخت)
Authorization)این مرحله جهت اطالع فروشنده از اعتبار خریدار
و این كه پرداخت حتما صورت خواهد پذیرفت، بین فروشنده و دروازه پرداخت انجام می
ام می باشد:یشود. شامل دو پ
فيمركز امنبت شبكه شر 48
SET
از طرف فروشنده به دروازه پرداخت:درخواست اجازه1.(شامل اطالعات خریدارPI امضای دوگانه و ،OIMD اطالعات ،)
و غیره( و گواهیهای خریدار و IDمربوط به اجازه)شامل اطالعات فروشنده
از طرف دروازه پرداخت به فروشندهپاسخ اجازه2. )شامل اطالعات مربوط به اجازه)رمزشده توسط دروازه پرداخت
( توسط capture tokenاطالعات مربوط به دریافت پرداختی)فروشنده و گواهی امضای دروازه پرداخت.
اطالعاتcapture token.برای مرحله بعد مورد نیاز است
فيمركز امنبت شبكه شر 49
SET
(payment captureدریافت پرداخت)
پس از ارسال جنس و یا سرویس می فروشندهتواند هزینه سرویس خود را از كارت اعتباری
خریدار دریافت كند. این كار طی دو پیام انجام می شود:
فيمركز امنبت شبكه شر 50
SET
( از طرف فروشنده به capture request )درخواست دریافت1.دروازه پرداخت:
،شامل مبلغID و capture token كه رمز و امضاء شده اند و فروشندهتوزیع كلید و امضاءنیز گواهیهای
به بانك درخواستدر صورت تایید، از طریق شبكه خصوصی ارسال شده و مبلغ از حساب خریدار به فروشنده منتقل می شود
( از طرف دروازه پرداخت به capture response )پاسخ دریافت2.فروشنده
در صورت انتقال مبلغ پاسخ مناسب به فروشنده داده می شود