《信息安全--第8讲 网络安全协议与网络应用》-(课件).ppt

信息安全概论 * * Web安全性威胁与对策 §8.2 Web安全 威胁 后果 对策 完整性 修改用户的数据 特洛伊木马浏览器 修改内存 修改传输的数据流 信息丢失 机器暴露 其它所有威胁的弱点 加密校验和 保密性 网上偷听 从服务器处偷信息 从客户端处偷信息 关于网络配置的信息 关于客户连接的信息 丢失信息 丢失隐私 加密、 Web 代理 业务否决 - 中断用户连接 - 用伪造的威胁淹没服务器 塞满硬盘或内存 攻击 DNS 隔离服务器 中断 骚扰 阻止用户完成正常工作 难以防范 认证鉴别 冒充合法用户 数据伪造 以假乱真 误信错误信息 加密技术 信息安全概论 * * Web安全防护技术 基于主机的入侵检测 文件I/O监测 上载请求的合法性验证 信息流的认证和加密 基于Web信息流的安全方法 网络层——IP 安全性(IPSec) 传输层—— SSL / TLS 应用层——S/MIME，PGP，SET，Kerberos §8.2 Web安全 信息安全概论 * * SSL -Secure Socket Layer 安全套接层是一种用于网站安全连接的协议或技术 所谓的安全连接有两个作用： 首先是SSL可以提供信息交互双方认证对方的身份标识。显而易见地，这对当你开始与对方交换机密信息前确切了解对方身份是非常重要的。SSL通过数字证书的技术实现使得这一需求得以满足。 另一个是它能够使数据以不可读的格式传输，以利于在不可信网络（例如互联网）上的安全传输需要。这种不可读格式通常由加密技术实现。 §8.2 Web安全 信息安全概论 * * SSL体系结构 SSL设计用来使用TCP提供一个可靠的端到端安全服务 SSL记录协议为更高层提供基本安全服务。 特别是HTTP，它提供了Web的client/server交互的传输服务，可以构造在SSL之上 SSL握手协议，SSL修改密文协议，SSL告警协议是SSL的高层协议，用于管理SSL交换 §8.2 Web安全 SSL Handshake Protocol SSL Chang Cipher Spec Protocol SSL Alert Protocol HTTP SSL Record Protocol TCP IP 信息安全概论 * * SSL的两个重要概念 SSL连接（connection) 一个连接是一个提供一种合适类型服务的传输。 SSL的连接是点对点的关系。 连接是暂时的，每一个连接和一个会话关联。 SSL会话（session） 一个SSL会话是在客户与服务器之间的一个关联。会话 由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数。 会话用以避免为每一个连接提供新的安全参数所需昂 的谈判代价。 §8.2 Web安全 信息安全概论 * * SSL 应用中的安全问题 Client系统、Server系统、Keys和Applications都要安全 短的公开密钥、加密密钥以及匿名服务器需谨慎使用 对证书、CA要谨慎选择 SSL的实现不出安全错误。在实现上最可能失败之处是sanity check和密钥管理 §8.2 Web安全 信息安全概论 * * 电子商务安全任务 身份认证：持卡者、商家银行 有效性 机密性 完整性 抗抵赖 §8.3 电子商务安全 信息安全概论 * * 安全协议SET 协议 (Secure Electronic Transaction 安全电子交易协议) 是由世界上两大信用卡商Visa和Master Card于1997年5月联合制定的实现网上信用卡交易的模型和规范。 SET规范，是一种为基于信用卡而进行的电子交易提供安全措施的规则；是一种能广泛应用于Internet上的安全电子付款协议。 SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等 §8.3 电子商务安全 信息安全概论 * * SET协议的作用和地位 SET规范，为在Internet上进行安全的电子商务提供了一个开放的标准。SET综合使用私用密钥加密和公用密钥加密的电子认证技术，其认证过程使用RSA和DES算法。因此，可以为电子商务提供很强的安全保护。 SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。 SET规范是目前电子商务中最重要的协议。SET得到了美国IT企业的支持，如GTE、IBM、Microsoft、Netscape、RSA、SAIC、Terisa 和VeriSign §8.3 电子商务安全 信息安全概论 * * SET协议的参与实体 SET协议执行步骤与常规的信用卡交易过程基本相同，只是它是通过因特网来实现的。