网络安全超强课件.ppt

数字证书的概念 由于电子商务是在网络上完成，交易双方互相之间不见面，为了保证每个人及机构（如银行、商家）都能唯一而且被无误的识别，需要进行身份认证。身份验证可以通过参与各方的数字证书来实现。而数字证书是由认证中心(CA)颁发的。 CA（认证中心）仅仅是一个统称，是拥有和颁发数字证书的权威机构的统称。目前比较有名的具有颁发数字证书的CA有上海电子商务安全证书管理中心有限公司，天威诚信（支付宝，阿里巴巴）。 数字证书的原理 数字证书采用公钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行解密和数字签名。 数字证书的内容： 数字证书名含以下信息：版本号，证书序列号，每一个由CA发行的证书都有唯一的一个序列号；证书所采用的加密算法；证书颁发机构的名称；证书的有效期限；证书拥有者的姓名；证书拥有者的公钥；证书颁发机构对证书的数字签名。 数字证书的查看方法： 工具—INTERNET选项－内容－证书命令然后选择一种证书类别，再在证书列表中选择一个证书，点查看按钮就可以查看所选证书内容。 数字证书的种类： 个人数字证书 仅为某个用户提供凭证，一般安装在客户浏览器上，以帮助其个人在网上进行安全交易的操作。如：访问需要客户安全验证的互联网站点。 企业(服务器)数字证书 服务器数字证书为网上的某个WEB服务器提供凭证，有服务器的企业就可以用具有凭证的WEB站点进行安全电子交易：开启服务器SSL安全通道（淘宝），使用户和服务器之间的数字传输以加密的方式进行。要求用户出示个人证书，保证WEB服务器不被未授权的用户入侵。 SSL交易模式 软件开发者数字证书 为软件提供凭证，证明该软件的合法性。 数字证书的申请 不同的CA认证中心中数字证书的申请步骤也略有不同，一般有以下步骤： 1、下载并安装CA根证书 2、填交证书申请表 3、CA进行身份审核 4、下载或领取证书。 实例：安全电子邮件证书 实现防火墙的主要技术 包过滤技术：在网络层通过对数据包进行过滤把满足规则的数据包都发送到目地地址，把不满足过滤规则的数据包从数据流中除掉。 实现方法：是在系统内部设置一张访问控制表，当数据流通过时，首先检查数据流中每一个数据包的源地址，目的地址，所有的端口号，协议状态等因素或因素的组合，来确定是否允许该数据包通过。 应用网关：建立 在网络应用层上的协议过滤技术，它在内部网络和外部网络之间设置多个代理主机，并针对特定的网络应用服务采取特定的数据过滤规则或逻辑，同时还对数据进行统计分析，形成数据报告。 网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。 能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。 代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是必威体育精装版的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server（代理服务器）是Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联（OSI）模型的会话层。主要的功能有： 防火墙的应用实例：360个人防火墙 身份识别技术 身份识别技术的目的是证实被识别对象是否属实，和是否有效。被识别的对象可以是口令、问题解答或指纹、声音等生理特征，常用的身份识别技术有口令，标记法和生物特征法。 口令：是传统的识别技术。 标记法：是记录着用于机器识别的个人信息的介质，共作用类似于钥匙，比如饭卡，IC卡。由于易被修改和转录，已逐渐被智能卡所代替。 智能卡是内部带有CPU和存储单元的集能电路卡，可以存储用户的私钥和数字证书等信息，比如工商银行的U盾。 生物特征法：采用模式