- 1、本文档共52页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全概论 * * Web安全性威胁与对策 §8.2 Web安全 威胁 后果 对策 完整性 修改用户的数据 特洛伊木马浏览器 修改内存 修改传输的数据流 信息丢失 机器暴露 其它所有威胁的弱点 加密校验和 保密性 网上偷听 从服务器处偷信息 从客户端处偷信息 关于网络配置的信息 关于客户连接的信息 丢失信息 丢失隐私 加密、 Web 代理 业务否决 - 中断用户连接 - 用伪造的威胁淹没服务器 塞满硬盘或内存 攻击 DNS 隔离服务器 中断 骚扰 阻止用户完成正常工作 难以防范 认证鉴别 冒充合法用户 数据伪造 以假乱真 误信错误信息 加密技术 信息安全概论 * * Web安全防护技术 基于主机的入侵检测 文件I/O监测 上载请求的合法性验证 信息流的认证和加密 基于Web信息流的安全方法 网络层——IP 安全性(IPSec) 传输层—— SSL / TLS 应用层——S/MIME,PGP,SET,Kerberos §8.2 Web安全 信息安全概论 * * SSL -Secure Socket Layer 安全套接层是一种用于网站安全连接的协议或技术 所谓的安全连接有两个作用: 首先是SSL可以提供信息交互双方认证对方的身份标识。显而易见地,这对当你开始与对方交换机密信息前确切了解对方身份是非常重要的。SSL通过数字证书的技术实现使得这一需求得以满足。 另一个是它能够使数据以不可读的格式传输,以利于在不可信网络(例如互联网)上的安全传输需要。这种不可读格式通常由加密技术实现。 §8.2 Web安全 信息安全概论 * * SSL体系结构 SSL设计用来使用TCP提供一个可靠的端到端安全服务 SSL记录协议为更高层提供基本安全服务。 特别是HTTP,它提供了Web的client/server交互的传输服务,可以构造在SSL之上 SSL握手协议,SSL修改密文协议,SSL告警协议是SSL的高层协议,用于管理SSL交换 §8.2 Web安全 SSL Handshake Protocol SSL Chang Cipher Spec Protocol SSL Alert Protocol HTTP SSL Record Protocol TCP IP 信息安全概论 * * SSL的两个重要概念 SSL连接(connection) 一个连接是一个提供一种合适类型服务的传输。 SSL的连接是点对点的关系。 连接是暂时的,每一个连接和一个会话关联。 SSL会话(session) 一个SSL会话是在客户与服务器之间的一个关联。会话 由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数。 会话用以避免为每一个连接提供新的安全参数所需昂 的谈判代价。 §8.2 Web安全 信息安全概论 * * SSL 应用中的安全问题 Client系统、Server系统、Keys和Applications都要安全 短的公开密钥、加密密钥以及匿名服务器需谨慎使用 对证书、CA要谨慎选择 SSL的实现不出安全错误。在实现上最可能失败之处是sanity check和密钥管理 §8.2 Web安全 信息安全概论 * * 电子商务安全任务 身份认证:持卡者、商家银行 有效性 机密性 完整性 抗抵赖 §8.3 电子商务安全 信息安全概论 * * 安全协议SET 协议 (Secure Electronic Transaction 安全电子交易协议) 是由世界上两大信用卡商Visa和Master Card于1997年5月联合制定的实现网上信用卡交易的模型和规范。 SET规范,是一种为基于信用卡而进行的电子交易提供安全措施的规则;是一种能广泛应用于Internet上的安全电子付款协议。 SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等 §8.3 电子商务安全 信息安全概论 * * SET协议的作用和地位 SET规范,为在Internet上进行安全的电子商务提供了一个开放的标准。SET综合使用私用密钥加密和公用密钥加密的电子认证技术,其认证过程使用RSA和DES算法。因此,可以为电子商务提供很强的安全保护。 SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份,以及可操作性。 SET规范是目前电子商务中最重要的协议。SET得到了美国IT企业的支持,如GTE、IBM、Microsoft、Netscape、RSA、SAIC、Terisa 和VeriSign §8.3 电子商务安全 信息安全概论 * * SET协议的参与实体 SET协议执行步骤与常规的信用卡交易过程基本相同,只是它是通过因特网来实现的。
您可能关注的文档
- 《薪酬策略与薪酬结构》-(课件).ppt
- 《薪酬的概念与构成》-(课件).ppt
- 《薪酬二级》-(课件).ppt
- 《薪酬方案与绩效考核体系(91)页》-(课件).ppt
- 《薪酬变革与人力资源战略》-(课件).ppt
- 《薪酬方案与绩效考核体系》-(课件).ppt
- 《薪酬福利》-(课件).ppt
- 《薪酬分配策略与目标设定考核设计【中】》-(课件).ppt
- 《薪酬福利方案》-(课件).ppt
- 《薪酬福利管理》-(课件).ppt
- 《JJF 2132-2024荧光紫外灯人工气候老化试验装置校准规范:辐射照度参数》.pdf
- JJF 2120-2024轮速传感器校准规范.pdf
- 计量规程规范 JJF 2120-2024轮速传感器校准规范.pdf
- 《JJF 2129-2024钙钛矿太阳电池校准规范:光电性能参数》.pdf
- JJF 2129-2024钙钛矿太阳电池校准规范:光电性能参数.pdf
- 《JJF 2120-2024轮速传感器校准规范》.pdf
- JJF 2117-2024沥青混合料理论最大相对密度仪校准规范.pdf
- JJF 2116-2024特定蛋白分析仪校准规范.pdf
- 《JJF 2116-2024特定蛋白分析仪校准规范》.pdf
- 计量规程规范 JJF 2117-2024沥青混合料理论最大相对密度仪校准规范.pdf
文档评论(0)