安全套接层协议SSL二.ppt

章安全套接层协议SSL ;;目前国际上流行的电子商务所采用的协议主要有：;6.1 SSL概述;SSL/TLS协议;协议的使用;;IP/IPSec;;;SSL解决的问题（功能）;SSL提供的安全服务;SSL协议实现的六步骤 ;;6.1.3 SSL协议与电子商务;SSL证书保障在线服务器的安全 ;;SSL服务器证书工作原理介绍;SSL服务器证书工作原理介绍;SSL服务器证书工作原理介绍;SSL服务器证书工作原理介绍;SSL当初并不是为支持电子商务而设计的，所以在电子商务系统的应用中还存在很多弊端:;;;6.1.4 SSL协议的分层结构;应用层协议（HTTP、Telnet、FTP、SMTP等）;;;SSL的两个重要概念; 会 话;会话状态参数;连接状态;连接状态;6.2 SSL握手协议(Handshake protocol);;SSL握手协议使用的消息;第一阶段：建立起安全协商;CipherSuite密码套件 ;第二阶段：服务器鉴别和密钥交换;第三阶段：客户鉴别和密钥交换;第四阶段：结束;SSL握手协议的流程;6.3 SSL记录协议(SSL Record Protocol);SSL数据单元的形成过程;SSL记录协议操作流程 ;SSL Record Format;6.4 SSL协议采用的加密和认证算法;6.4.2 认证算法;6.4.3 会话层的密钥分配协议 ;6.5 SSL协议安全性分析;;;6.5.2 脆弱性分析;1.客户端假冒;2.SSL协议无法提供基于UDP应用的安全保护;3.SSL协议不能对抗通信流量分析;4.进程中主密钥泄漏;5.磁盘上的临时文件可能遭受攻击;6.对证书的攻击和窃取;3.安全盲点;;Web安全威胁;;CGI程序的安全性问题 CGI是Common Gateway Interface（通用网关接口）的简写，它是一个Web服务器主机提供信息服务的标准接口，通过提供这样一个标准接口，Web服务器能够执行应用程序并将它们的输出，如文字、图形、声音等传递给一个Web浏览器 CGI程序是WWW安全漏洞的主要来源 编写安全的CGI脚本;Web服务器端安全性;Cgi文件的安全性，此目录禁止通过Web读写 检查每一个cgi文件，不要保留有漏洞的cgi文件，特别是系统预装的一些cgi示例文件，这些文件往往为了说明功能，而忽略了安全性的考虑 要求鉴别：由于协商的原因，要注意安全性最低的鉴别协议 授权机制：保护好口令的安全存储，以及客户信息的保存 日志：打开系统中对于Web服务的日志功能，以及Web服务的日志记录 ;服务器端的安全防护;安全Web服务器;Web客户端的安全性;4.2.6 Plug-in的安全性 Plug-in在运行时完全作为浏览器的一部分 不要盲目执行任何从Internet上下载的程序 4.2.7 ActiveX的安全性 ActiveX技术是Microsoft提出的一组使用COM使得软件部件在网络环境中进行交互的技术集。 ActiveX的安全模型 用户可以禁用ActiveX;4.2.8 cookie的安全性 cookie是对HTTP协议的一种补充，用来改善HTTP协议的无状态性 用户要注意防止cookie文件被盗 用户可以完全删除cookie文件 ;4.3.1 Java的特点 Java是一种简单的、面向对象的、分布式的、解释型的、健壮的、安全的、体系中立的、可移植的、高性能的、多线程的、动态的语言。 特点 简单性 去掉了C和C++中的一些无用特性 接管了容易出错的任务 自动垃圾收集 系统精简;4.3.1 Java的特点 面向对象 分布式 支持基于网络的应用程序 解释性 Java是一门解释性的语言 Java程序在JVM（Java虚拟机）上运行 健壮性 强类型语言 内存模式改进 例外处理;4.3.1 Java的特点 安全性 体系中立性 Java程序可以在任何系统上运行，只要该系统能构成Java虚拟机即可。 可移植性 Java可以运行于安装了解释器的任何机器上 高性能 多线程 动态性 ;4.3.2 Java的安全性 Java的安全模型不同于传统的安全方法，主要通过访问控制来实现。 Java applet：一种小的Java应用程序，主要用于网页中。;4.3.2 Java的安全性 Applet受到以下一些限制： applet不能读、写、重命名或者删除文件 除了下载applet的那台计算机之外， applet本身不能连接到或者接受来自于其他任何一台计算机的连接请求 applet不能执行系统级的函数 applet不能访问一些图形和GUI相关的程序 applet不能读取某些系统属性 applet不能注册一个新的SecurityManager对象避免这些安全上的限制 Java也不是完全安全的，用户需要及时打上补丁和更新;4