计算机安全与电子商务第7章.pptVIP

计算机安全与电子商务 讲 授 余 智 豪 佛山科学技术学院机电学院 2008.9 《电子商务安全与保密》 使用教材： 祁 明 主 编 高等教育出版社 2006年12月第2版 第7章 WWW与Web服务安全 本章主要内容 TCP/IP服务安全 Web服务安全 Web编程的安全性 7.1 TCP/IP服务安全 7.1.1 WWW服务器的安全 1.Apache Web保护的安全措施 2.IIS保护的安全措施 3.Tomcat的安全设置 4.ASP.NET的安全机制 5.CGI安全 7.1 TCP/IP服务安全 7.1.2 Web客户端安全 1.Java applet的安全性 2.ActiveX的安全性 3.Cookie的安全设置 7.1 TCP/IP服务安全 7.1.3 FTP协议 7.1.4 Telnet协议 7.1.5 DNS的安全性 7.1.6 NFS和NIS安全 7.2 Web服务安全 7.2.1 Web服务简介 1.Web服务体系结构 7.2 Web服务安全 7.2.1 Web服务简介 2.Web服务的关键技术 (1)SOAP(简单对象访问协议) (2)WSDL(Web服务描述语言) (3)UDDI(同一描述、发现与集成规范) 7.2 Web服务安全 7.2.2 XML及Web服务安全标准 7.2 Web服务安全 7.2.2 XML及Web服务安全标准 1.XML Encryption(加密过程及结果的XML表示) 2.XML Signature(数字签名的XML表示、验证) 3.XKMS(XML密钥管理规范) 4.XACML(可扩展的访问控制标记语言，P202图) 7.2 Web服务安全 7.2.2 XML及Web服务安全标准 5.SAML(商业伙伴间验证和授权信息的XML框架) (1)断言 (2)请求/响应协议 (3)绑定 (4)配置文件 7.2 Web服务安全 7.2.2 XML及Web服务安全标准 SAML应用的三种类型: (1)单点登录 (2)授权服务 (3)B2B交易事务处理 7.2 Web服务安全 7.2.3 Web服务安全协议栈 7.2 Web服务安全 7.2.3 Web服务安全协议栈 1.WS-Security 2.WS-Policy 3.WS-Trust 4.WS-Privacy 5.WS-SecureConversation 6.WS-Federation 7.WS-Authorization 7.3 Web编程的安全性 7.3.1 J2EE的安全结构 Java体系结构对安全性的支持主要通过Java语言本身的安全性、虚拟机的类加载器和安全管理器以及Java提供的安全API几个方面来实现。 7.3 Web编程的安全性 7.3.2 ASP.NET应用程序安全模型 1)ASP.NET应用程序安全模型 2)SSL和IPSec可用来在.NET应用程序的各层上联合安全通信 3)使用基本或窗体身份验证时,可使用SSL保护通过网络传递的明文证书 4)建立在.NET Framework版本1上的ASP.NET应用程序必须作为完全可信的应用程序运行 5).NET使用WindowsPrincipal和WindowsIdentity类的组合来表示已经过Windows身份验证的用户 7.3 Web编程的安全性 7.3.2 ASP.NET应用程序安全模型 6)GenericPrincipal和GenericIdentity或FormsIdentity类用于表示已由非Windows身份验证验证通过的用户 7)可通过创建实现IPrincipal和Identity的类来创建自己的主体和标识实现 8)表示经过身份验证的用户的IPrincipal对象使用HttpContext.User属性与当前的HTTPWeb请求关联 9)关口是应用程序内的访问控制点 10)使用多个网关守卫提供纵深防御安全策略 11)Web服务和依靠ASP.NET及IIS提供底层安全性服务的.NET Remoting. 7.3 Web编程的安全性 7.3.2 ASP.NET应用程序安全模型 .NET Framework安全性的关键内容: 1.代码访问安全性 2.证据和安全策略 3.CAS和ASP.NET Web应用程序 4.主体和标识 5.IPrincipal和IIdentity接口 7.3 Web编程的安全性 7.3.2 ASP.NET应用程序安全模型 .