第7章节 安全性61.pptVIP

第七章 WWW安全性 第七章 WWW安全性 7.1 HTTP协议及WWW服务 7.2 WWW服务器的安全性 7.3 Web欺骗 7.4 WWW客户安全性 7.5 增强WWW的安全性 7.1 HTTP协议及WWW服务 7.1.1 HTTP协议及其安全性 7.1.2 Web的访问控制 7.1.3 安全超文本传输协议S-HTTP 7.1.5 安全套接层SSL 7.1.6 缓存的安全性 7.1.1 HTTP协议及其安全性 HTTP协议 通用的、无状态的协议。 分布式Web应用的核心技术协议，在TCP/IP协议栈中属于应用层。 定义了Web浏览器向Web服务器发送Web页面请求的格式，以及Web页面在Internet上的传输方式。 通信发生在TCP/IP连接上，默认端口为80。 HTTP的两个安全漏洞： HTTP协议允许远程用户对服务器的通信请求，并允许用户在远程执行命令——危及Web服务器和客户的安全 A 随意的远程请求验证 B 随意的WEB服务器验证 C 滥用服务器资源 服务器日志， Web服务器会记录用户访问信息，但是对其检索未加限制，泄露用户信息。 7.1.2 Web的访问控制 对于不正确IP地址，Web服务器就伪造一个域名继续工作。 一旦Web服务器获得IP地址及相应客户的域名，便开始进行验证，来决定客户是否有权访问请求的文档。这其中隐含着安全漏洞： 服务器伪造域名，可能把信息发给其他用户 电子客户对服务器存在威胁 增强服务器安全性的措施 仔细配置服务器，有效利用访问控制 以非特权用户运行WEB服务器 在WINDOWS 2000 上，检查共享的权限，最好设置为只读。 进行服务器镜像，敏感文件放在主系统上，辅系统不放敏感文件，并向INTERNET开放。 作好最坏打算。 检查APPLET、脚本程序、CGI程序有无漏洞 在WINDOWS 2000 上运行WEB服务器比在UNIX上安全。 镜像 冗余的一种类型 一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像。 镜像技术 集群技术的一种。 是将建立在同一个局域网之上的两台服务器通过软件或其他特殊的网络设备，将两台服务器的硬盘做镜像。 其中，一台服务器被指定为主服务器，另一台为从服务器。客户只能对主服务器上的镜像的卷进行读写，从服务器上相应的卷被锁定以防对数据的存取。 当主服务器因故障停机时，从服务器将在很短的时间内接管主服务器的应用。 7.1.3 安全超文本传输协议S-HTTP S-HTTP 保护Internet上所传输的敏感信息的安全协议。 随着Internet和Web对身份验证的需求的日益增长，用户在彼此收发加密文件之前需要身份验证。 S-HTTP协议 S-HTTP的目标是保证商业交易的传输安全，因而推动了电子商务的发展。 S-HTTP使Web客户和服务器均处于安全保护之下，其文件交换是加密（签名）的。 对多种单向散列(Hash)函数的支持， 如: MD2，MD5及SHA; 对多种对称加密体制的支持， 如：DES，RC2，RC4，CDMF; 对数字签名体制的支持， 如: RSA，DSS。 7.1.5 安全套接层SSL Netscape公司开发的Internet数据安全协议。 位于TCP/IP协议与各种应用层协议之间，提高应用层协议（如HTTP，Telnet，NNTP，FTP等）的安全性。 广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。 7.1.5 安全套接层SSL SSL协议分为两层：SSL握手协议和SSL记 录协议。SSL协议与TCP/IP协议间的关系如图： 7.1.5 安全套接层SSL SSL记录协议（SSL Record Protocol） 它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持 SSL握手协议（SSL Handshake Protocol） 它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 7.1.5 安全套接层SSL SSL协议的功能包括：数据加密、服务器验证、信息完整性以及可选的客户TCP/IP连接验证。 SSL的主要目的是增强通信应用程序之间的保密性和可靠性。 7.1.5 SSL 与 S-HTTP SSL由NETSCAPE开发，S-HTTP由NCSA开发。 SSL是一个通过套接层对客户和服务器之间的通信事务进行安全处理的协议，适用于所有TCP/IP应用；S-HTTP是HTTP的超集，只限于Web的使用。 SSL支持数据加密、来源