- 1、本文档共44页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络和信息安全第8章 Web安全
网络与信息安全 第8章 Web安全 本章主要内容: 8.1 Web安全概述 8.2 安全套接字层(SSL)和传输层安全(TLS) 8.3 SSL/TLS在Web中的应用 8.4 安全电子交易(SET) 8.1 Web安全概述 8.1.1 Web面临的安全威胁 8.1.2 Web安全的实现方法 8.1.1 Web面临的安全威胁 Web是一个运行于internet和TCP/IP intranet 之上的基本的client/server应用。 Web安全性涉及前面讨论的所有计算机与网络的安全性内容。同时还具有新的挑战。 Web具有双向性,Web server易于遭受来自Internet的攻击。(传统出版系统为单向,包括电子出版系统图文电视、语音应答、传真应答系统) 实现Web浏览、配置管理、内容发布等功能的软件异常复杂。其中隐藏许多潜在的安全隐患。短短的Web发展历史已经说明了这一点。 Web通常是一个公司或机构的发布板,常常和其它计算机联系在一起。一旦Web server被攻破,可能殃及其它。 用户往往是偶然的和未经训练的,对安全风险没有意识,更没有足够的防范工具和知识。 8.1.1 Web面临的安全威胁 Web安全威胁分类 被动攻击和主动攻击 被动攻击包括监听浏览器和服务器之间的数据流,以及对Web站点的施加了访问控制措施的信息的未授权访问。 主动攻击包括对其他用户的冒充、修改客户服务器之间传递的消息,以及修改Web站点的信息等。 两种攻击方法是互补的,被动攻击难以检测但相对容易预防,而主动攻击难以预防但相对容易检测。 8.1.1 Web面临的安全威胁 Web面临的安全威胁与对策 8.1.2 Web安全的实现方法 保证Web应用安全首先需要保证服务器系统和客户工作站计算机系统的安全,因为系统安全是整个应用安全性保障的基础。 在此基础上, Web应用的安全实现主要依赖于应用协议的安全性和网络通信的安全性。 应用协议的安全性在协议的设计和实现中体现。网络通信的安全性需要依靠一些安全通信协议和机制来保护网络中的通信流量。 安全协议是附加在TCP/IP协议中的一系列安全机制。从TCP/IP协议栈的角度,Web安全的实现方法分为3种:基于网络层、基于传输层和基于应用层。 1.网络层 8.1.2 Web安全的实现方法 2.传输层 8.1.2 Web安全的实现方法 3.应用层 8.2 安全套接字层和传输层安全 8.2.1 SSL概述 8.2.2 SSL体系结构 8.2.3 SSL记录协议 8.2.4 更改加密规格协议 8.2.5 报警协议 8.2.6 握手协议 8.2.7 主密钥计算 8.2.8 传输层安全(TLS) 8.2.1 SSL概述 1994年,Netscape公司开发了SSL协议,用于保证Web通信协议的安全。 SSL v1:没有被真正应用。 SSL v2:第一个成熟版本,被集成到Netscape的因特网相关产品中。 SSL v3:1996年发布,事实上的工业标准,该版本增加了对除RSA算法以外的其他算法的支持和一些新的安全特性,并且修改了前一个版本中存在的安全缺陷。 Microsft公司在SSL v2之上作了一些改进,提出了一种类似的协议PCT(Private Communication Technology)。 8.2.2 SSL体系结构 SSL包含两层协议:一种底层协议,即SSL记录协议;三种上层协议,即SSL握手协议、SSL更改密码规格协议和SSL报警协议。 SSL记录协议为不同的上层协议提供基本的安全服务。SSL特有的三种高层协议主要用于管理SSL的密钥交换。 8.2.2 SSL体系结构 SSL会话:SSL会话是客户和服务器之间的一种关联,会话是通过握手协议来创建的,会话定义了一个密码学意义的安全参数集合,这些参数可以在多个连接中共享,从而避免每建立一个连接都要进行的代价昂贵的重复协商 会话状态分为两种: 待决状态:包含了当前握手协议协商好的压缩、加密和MAC算法,以及加解密的密钥等参数。 当前操作状态,包含了当前SSL记录协议正在使用的压缩、加密和MAC算法,以及加解密的密钥等参数。 “待决状态”和“当前操作状态“又分别分为:”读状态”和“写状态”分别表示有关读操作(接收)和写操作(发送)中使用的参数。如读状态中包含解压缩、解密和MAC的验证算法以及解密密钥等;写状态中则包含压缩、加密和MAC生成算法以及加密密钥等。 SSL连接:一个连接是一个提供某种类型服务的传输载体(在OSI层模型中定义)。对SSL而言,连接是一种点对点关系,同时,这种连接是暂时的,每一个连接和一个会话相关联。 8.2.3 SSL记录协议 SSL记录协议(Re
您可能关注的文档
- 糖尿病和高血压病的关系.ppt
- 糖尿病药物进展和评价.ppt
- 糖尿病足溃疡的治疗和护理课件.ppt
- 糖尿病和麻醉1.ppt
- 糖尿病慢性合并症和伴发病——培训.ppt
- 糖尿病视网膜病变 激光和手术治疗.ppt
- 系列道路材料和路桥工程.doc
- 系统工程基础和可行性研究.ppt
- 糖尿病和脑卒中课件.ppt
- 系统工程 第三章 系统模型和模型化.ppt
- 2024年中国钽材市场调查研究报告.docx
- 2024年中国不锈钢清洗车市场调查研究报告.docx
- 2024年中国分类垃圾箱市场调查研究报告.docx
- 2024年中国水气电磁阀市场调查研究报告.docx
- 2024年中国绿藻片市场调查研究报告.docx
- 2010-2023历年初中毕业升学考试(青海西宁卷)数学(带解析).docx
- 2010-2023历年福建厦门高一下学期质量检测地理卷.docx
- 2010-2023历年初中数学单元提优测试卷公式法(带解析).docx
- 2010-2023历年初中毕业升学考试(山东德州卷)化学(带解析).docx
- 2010-2023历年初中毕业升学考试(四川省泸州卷)化学(带解析).docx
文档评论(0)