当前位置:文档之家 › 信息安全原理及应用:第11章 WEB的安全性

信息安全原理及应用:第11章 WEB的安全性

  • 格式:ppt
  • 大小:644.50 KB
  • 文档页数:45

下载文档原格式

  / 45

合集下载

简述web的工作原理及应用

简述web的工作原理及应用

简述Web的工作原理及应用1. Web的工作原理Web是指万维网,是由网络和超文本系统构成的。

Web的工作原理主要包括客户端和服务器之间的相互通信和资源的传输。

具体步骤如下:1.客户端发送请求:用户在浏览器中输入URL或通过点击链接等方式发出请求,请求被发送到服务器。

2.服务器响应请求:服务器在收到请求后,根据请求的内容进行处理,并返回相应的资源。

3.资源传输:服务器将响应的资源(如HTML、CSS、JavaScript、图片等)通过网络传输给客户端。

4.客户端解析资源:客户端接收到资源后,解析HTML、CSS、JavaScript等代码,并渲染显示在浏览器中。

5.用户与网页交互:用户可以在浏览器中与网页进行交互,如点击链接、填写表单等。

6.数据交互:客户端与服务器之间可以通过HTTP协议进行数据的交互,实现网页的动态更新和用户登录等功能。

2. Web的应用Web的应用广泛,涵盖了各个领域。

以下列举了一些主要的Web应用:•电子商务:通过Web平台进行在线购物、支付、物流跟踪等活动,如淘宝、京东等。

•社交网络:通过Web提供的各种社交功能,实现用户之间的交流和分享,如Facebook、Twitter等。

•在线教育:通过Web提供的在线课程、教学资源等实现远程教育,如Coursera、edX等。

•在线娱乐:通过Web提供的游戏、音乐、视频等娱乐内容,满足用户的娱乐需求,如YouTube、Netflix等。

•新闻媒体:通过Web提供的新闻、文章、博客等内容,传递各种信息和观点,如CNN、BBC等。

•金融服务:通过Web提供的银行、证券等金融服务,满足用户的理财需求,如支付宝、微信支付等。

•企业服务:通过Web提供的企业管理、协作、客户关系管理等服务,提高企业的效率和竞争力,如Salesforce、Slack等。

Web的应用日益丰富和多样化,不仅改变了人们的生活方式,也加快了信息的传播和社会的发展。

3. Web的优势和挑战Web作为一种信息传播和交流的平台,具有以下优势:•全球性:Web可以实现全球范围内的信息传播和交流,帮助人们跨越地域和国界的限制。

网络与信息安全-WEB应用安全-AIO

网络与信息安全-WEB应用安全-AIO
不常见的HTTP请求方法 – 如:非法PUT请求 服务器头的区别 – 如:顺序、额外信息等
- 工具:
httprint
网络与信息安全-Web应用安全
2.1 构架剖析
中间件构架ຫໍສະໝຸດ - 检测虚拟主机网络与信息安全-Web应用安全
2.1 构架剖析
中间件构架
- 检测负载均衡器
在一个IP范围内做端口扫描 时间戳分析 Etag与Last-Modified的差别 负载均衡器Cookies 枚举SSL差别 检查HTML源代码
- 检测代理
TRACE请求-服务器精确回显收到的请求 代理插入固定的头 反向代理
» » TRACE /folder1/index.aspx HTTP/1.1 -> TRACE site1/folder1/index.aspx HTTP/1.1 Host:
Connect标准测试 一般代理请求 GET index.html->GET / HTTP 1.0 配置不完备,可被用于端口扫描 GET http://192.168.1.1:25/ HTTP/1.0
使用HEAD方法获取服务器banner 使用HEAD方法获取服务器banner HEAD方法获取服务器
网络与信息安全-Web应用安全
2.1 构架剖析
高级HTTP指纹(fingerprinting)
- 定义:抓取HTTP相关版本的banner,不再简单查看头部值,而是观察 每种Web服务器的整体行为,以及各种Web服务器的独特响应。 - 目的:Banner被消除或改写 - 方法:
HTTP分析和篡改工具
- HTTP代理
实现:本地运行HTTP服务,把本地Web客户端重定向到该服务 缺陷:不能正常处理HTTPS 工具:Paros(最流行的Web安全评估工具之一)、OWASP WebScarab、Fiddler、Burp Intruder、Watchfire PowerTools 示例: /sandbox/shop/

网络安全Web的安全概述

网络安全Web的安全概述

8.CGI漏洞
通过CGI脚本存在的安全漏洞,比如暴露敏感 信息、缺省提供的某些正常服务未关闭、利 用某些服务漏洞执行命令、应用程序存在远 程溢出、非通用CGI程序的编程漏洞等。
7.2.2 Server下Web服务器的安全配置 (1)目录规划与安装
无论是什么漏洞,都体现着安全是一个整体, 考虑Web服务器的安全性,必须要考虑到与之相配 合的操作系统。
1.物理路径泄露
物理路径泄露一般是由于Web服务器处理用户请求出 错导致的,如通过提交一个超长的请求,或者是某 个精心构造的特殊请求,或是请求一个Web服务器上 不存在的文件。这些请求都有一个共同特点,那就 是被请求的文件肯定属于CGI脚本,而不是静态HTML 页面。
(5)Internet本身没有审计和记录功能,对发生的事情 没有记录,这本身也是一个安全隐患。
(6)Internet从技术上来讲是开放的,是基于可信、友 好的前提设计的,是为君子设计而不防小人的。
7.1.2 Web的安全问题
1.影响Web安全的因素 (1)由于Web服务器存在的安全漏洞和复杂性,
使得依赖这些服务器的系统经常面临一些无法预测的 风险。Web站点的安全问题可能涉及与它相连的内部 局域网,如果局域网和广域网相连,还可能影响到广 域网上其他的组织。另外,Web站点还经常成为黑客 攻击其他站点的跳板。随着Internet的发展,缺乏有 效安全机制的Web服务器正面临着成千上万种计算机 病毒的威胁。Web使得服务器的安全问题显得更加重 要。
正因为这些强大的优势,使Apache Server与其他的Web服 务器相比,充分展示了高效、稳定及功能丰富的特点。 Apache Server 已用于超过600万个Internet站点。
1.Windows2000 Server下Web服务器的安全配置

网络安全防护中的Web应用安全

网络安全防护中的Web应用安全

网络安全防护中的Web应用安全在当今互联网发展迅猛的时代,Web应用安全成为了一个非常重要的话题。

越来越多的企业和个人都依赖于Web应用来进行业务处理和用户交互,因此Web应用的安全性就显得异常重要。

本文将讨论网络安全防护中的Web应用安全的主要问题和相关的防护措施。

一、Web应用安全的主要问题1. 跨站脚本攻击(XSS):XSS攻击是指攻击者通过在Web应用中插入恶意脚本,来获取或者篡改用户的敏感信息。

这种攻击通常利用用户输入的漏洞,将恶意脚本嵌入到Web页面中,当其他用户访问该页面时,恶意脚本就会在其浏览器中执行。

2. SQL注入攻击:SQL注入攻击是指攻击者通过在Web应用的输入字段中注入恶意的SQL代码,从而获取或者篡改数据库中的数据。

这种攻击通常利用对用户输入没有进行充分验证和过滤的漏洞,将恶意SQL代码传递给数据库,导致数据库执行该恶意SQL代码。

3. 跨站请求伪造(CSRF):CSRF攻击是指攻击者通过伪造合法用户的请求,来执行非法操作。

攻击者通常通过获取用户的登录凭证,然后在用户毫不知情的情况下发送伪造的请求。

这种攻击常见于一些带有权限操作的Web应用,如修改密码、转账等。

4. 文件上传漏洞:文件上传漏洞是指攻击者通过上传恶意文件,来获取Web应用的控制权或者执行非法操作。

这种漏洞通常出现在Web应用对用户上传文件进行不充分验证的情况下,攻击者可以上传含有恶意代码的文件,并通过访问该文件来执行攻击。

二、Web应用安全的防护措施1. 输入验证和过滤:Web应用应对用户的输入进行充分验证和过滤,确保输入的内容符合预期,并防止恶意脚本和SQL注入等攻击的发生。

常见的方法有输入长度检查、过滤特殊字符、对用户输入进行转义等。

2. 权限控制和认证:Web应用应实施合理的权限管理和认证机制,确保只有授权用户才能访问敏感数据和执行特定操作。

密码应采用加密存储,且用户的会话管理应保持有效和安全。

3. 输入输出编码:Web应用在处理用户的输入和输出内容时,应进行适当的编码处理,以防止XSS攻击的发生。

Web安全与应用防护

Web安全与应用防护

Web安全与应用防护Web安全从根本上意味着保护网站和网络应用程序免受恶意攻击和非法访问。

在当前数字化时代,Web安全已成为一个关键的问题,因为越来越多的人和组织依赖于互联网进行日常活动和交易。

因此,应用防护也成为确保Web安全的重要一环。

一、Web安全的重要性Web安全在个人、商业和政府层面上都非常重要。

作为个人用户,我们在购物、银行业务和社交媒体上都要输入个人信息,如密码和信用卡号码。

在没有足够的Web安全保护措施的情况下,这些敏感信息可能会遭到黑客的窃取和滥用,导致财务损失和隐私泄露。

对于企业而言,Web安全更为重要,因为任何数据泄露或攻击都可能导致商业机密的曝光、服务中断和声誉受损。

此外,政府机构也需要确保Web安全,以保护国家重要信息免受黑客和其他恶意行为的侵犯。

二、Web安全威胁在保护Web安全时,需要认识到不同类型的威胁和攻击,以便采取适当的防护措施。

1. 恶意软件 (Malware):恶意软件包括病毒、木马和间谍软件等,可通过Web网站、电子邮件附件和下载文件等途径传播。

一旦感染,恶意软件可以窃取个人信息、破坏数据,或利用你的计算机加入一个大型网络攻击中。

2. SQL注入攻击 (SQL Injection):这种攻击是通过在Web应用程序中插入恶意SQL代码,以获取数据库中的敏感信息。

SQL注入攻击是常见的攻击方式,需要网站开发人员采取防范措施来防止这类漏洞。

3. 跨站脚本攻击 (Cross-Site Scripting):这种攻击方式允许攻击者在受害者的浏览器中执行恶意脚本,以窃取用户的身份验证令牌或其他敏感信息。

网站开发人员可以通过输入验证和输出编码来防止跨站脚本攻击。

4. DDOS攻击 (Distributed Denial of Service):这种攻击旨在通过同时向目标网站发送大量请求来使网络服务不可用。

DDOS攻击可以通过占用系统资源和消耗带宽来导致业务中断。

三、Web应用防护措施在面对各种Web安全威胁时,采取适当的应用防护措施非常关键。

常见的web安全及防护原理

常见的web安全及防护原理

常见的web安全及防护原理随着互联网的快速发展,Web安全问题越来越受到人们的关注。

下面列举了一些常见的Web安全问题及防护原理。

1. XSS攻击跨站脚本攻击(XSS)是一种常见的Web攻击方式,攻击者通过注入恶意脚本来获取用户的敏感信息。

防护原理:开发人员需要对输入的数据进行过滤和转义,以预防恶意脚本注入。

同时,浏览器也可以通过禁止执行脚本来防止XSS攻击。

2. CSRF攻击跨站请求伪造(CSRF)攻击是一种利用用户在未退出登录的情况下,通过欺骗用户的浏览器向Web应用发送伪造请求,以达到攻击者的目的。

防护原理:开发人员需要在请求中添加CSRF令牌,限制请求的来源;同时,设置短时间内过期的会话cookie可以增加安全性。

3. SQL注入攻击SQL注入攻击是通过注入恶意的SQL语句来获取到数据库中的敏感信息,甚至可以对数据进行破坏。

防护原理:开发人员需要使用参数化查询语句,对输入的数据进行过滤和转义,以避免恶意SQL语句的注入。

4. 密码安全密码是Web应用中非常重要的安全要素,为了防止密码泄露,开发人员需要进行密码的加密存储,并在传输过程中使用HTTPS协议来保证传输的安全性。

同时,为了避免用户使用弱密码,可以设置密码强度要求,并提示用户使用更加安全的密码。

5. 授权与认证授权与认证是Web应用中的重要安全问题,只有经过认证后的用户才能够访问到特定的资源。

防护原理:使用双因素认证可以增加安全性,同时需要使用HTTPS协议来保证传输的安全性。

6. 文件上传安全文件上传功能是Web应用中常见的功能,但是如果没有进行安全性检查,会导致恶意文件的上传。

防护原理:开发人员需要对文件类型、文件大小等参数进行限制,并在上传后进行病毒扫描。

综上所述,Web安全问题不仅涉及到开发人员的技术水平,也需要用户的安全意识,只有通过共同努力,才能够保证Web应用的安全性。

web安全技术课程概述

web安全技术课程概述Web安全技术课程概述随着互联网的普及和发展,Web安全问题日益突出。

为了保护个人隐私和企业数据的安全,Web安全技术显得尤为重要。

本文将对Web 安全技术课程进行概述,介绍其基本概念、内容和意义。

一、基本概念Web安全技术是指在互联网和Web应用中,保护系统和数据免受恶意攻击和非法访问的技术手段和方法。

它涵盖了多个方面的安全问题,包括网络安全、应用安全、数据安全等。

Web安全技术的目标是确保系统的机密性、完整性和可用性。

二、课程内容Web安全技术课程通常包括以下几个方面的内容:1. 网络安全基础:介绍网络安全的基本概念、原理和攻击方式,以及常见的网络安全威胁和防御措施。

2. Web应用安全:讲解Web应用的安全问题,包括跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL注入等常见漏洞的原理和防范方法。

3. 身份认证与访问控制:介绍用户身份认证的原理和方法,包括单因素认证、多因素认证等,以及访问控制的实现方式和策略。

4. 数据加密与传输安全:讲解数据的加密算法和实现方法,包括对称加密、非对称加密等,以及安全的数据传输协议和机制。

5. 恶意代码防范:介绍常见的恶意代码类型和传播方式,以及防范恶意代码的措施和工具。

6. 安全漏洞分析与修复:讲解常见的Web安全漏洞,如文件包含漏洞、代码注入漏洞等,以及漏洞的分析和修复方法。

7. 安全审计与监控:介绍安全审计的目的和方法,以及安全监控的实现手段和策略。

三、意义与应用学习Web安全技术的课程具有以下几个方面的意义:1. 提高安全意识:学习Web安全技术可以增强个人和组织对安全问题的认识,培养安全意识和安全思维,提高对潜在威胁的警惕性。

2. 保护个人隐私:学习Web安全技术可以帮助个人保护自己的隐私,避免个人信息被恶意获取和滥用。

3. 维护企业安全:对于企业来说,Web安全技术的学习和应用可以保护企业的重要数据和机密信息,防止被黑客攻击和泄露。

Web安全攻防的核心原理

Web安全攻防的核心原理随着互联网技术的不断发展,现代社会已经离不开网络的便利,因此Web安全问题也日益成为了关注的焦点。

Web安全指的是保障Web应用程序免受未经授权的访问,利用和破坏,确保数据及其服务的完整性,保护用户的信息不受恶意软件、网络攻击、数据泄漏、钓鱼等威胁。

攻防是网络安全中最基本的概念之一,攻击指的是试图利用漏洞获取未授权的数据或控制权的行为;防御则是抵御攻击,保护系统和数据不被破坏和损失。

攻防是两个互相竞争的过程,攻击者寻找漏洞来攻击,而防御者则需要在其攻击之前发现漏洞并修补它们。

Web安全攻防的核心原理在于攻击者和防御者之间的沟通和协作。

攻击者通过发现和利用Web应用程序中的漏洞来攻击,同时防御者则需要不断的寻找并修补漏洞,以确保系统的安全。

这意味着攻防是一种持续的过程,需要不断地监视和维护。

Web安全攻防的核心原理可以分为以下几个方面:1. 漏洞扫描和评估漏洞扫描和评估是发现Web应用程序漏洞的一种技术,它可以有效地发现系统中的安全漏洞和弱点。

漏洞扫描器可以模拟攻击的行为,并产生有关系统的详细报告,这些报告可以帮助防御者更好地理解系统中的漏洞。

防御者可以根据漏洞扫描器的报告来修补漏洞,并加强系统的安全。

2. 密码保护密码保护是Web安全攻防的重要部分,它可以确保用户的密码得到有效保护,防止攻击者利用暴力破解攻击窃取用户的密码。

防御者需要实施一些密码保护措施,例如加密密码、限制密码的有效期、设置密码长度和复杂度要求等。

3. 网络拦截与技巧网络拦截是指在网络模型中的某个地方截获和检查网络数据包,这可以帮助更好地了解网络流量,并检测是否有恶意的活动。

防御者需要利用网络拦截工具来检测Web应用程序是否受到SQL注入、跨站脚本攻击(XSS)等攻击。

同时,针对多种攻击,防御者需要学会不断改进技巧,如熟悉Web开发技术,防止无效转义,对输入进行验证、输出进行过滤等。

4. 数据加密数据加密是一种保护敏感数据不被非法获得的方式,它可以保护数据的隐私,防止被攻击者窃取,因此在Web应用程序中尤为重要。

《网络空间安全导论》第11章 网络信息安全风险评估


思考题
1.什么是信息安全风险评估? 2.信息系统为什么要进行风险评估? 3.1985年12月由美国国防部公布TCSEC计算机信息安全 评估标准当中,将计算机安全评估结果分为7个安全级别 ,请从最低到最高依次说明是哪7个安全级别? 4.我国国家标准《计算机信息系统安全保护等级划分准则 》(GB17859)当中将计算机信息系统安全划分为哪几个 安全级别? 5.如何计算信息系统安全风险评估当中的风险值? 6.如果进行信息系统风险识别? 7.简述信息系统安全风险评估都有哪些方法?
11.2国内外风险评估标准
11.2.1国外风险评估相关标准 1. CC 标准 信息技术安全评估公共标准 CCITSE(common criteria of information technical security evaluation ) , 简 称 CC ( ISO/IEC15408-1),是美国、加拿大及欧洲4国(共6国7 个组织)经协商同意,于1993年6月起草的,是国际标准 化组织统一现有多种准则的结果,是目前最全面的评估准 则。
11.2国内外风险评估标准
1.《计算机信息系统安全保护等级划分准则》(GB17859) 我国国家标准《计算机信息系统安全保护等级划分准则》 (GB17859)于1999年9月正式批准发布,该准则将计算 机信息系统安全分为5级:用户自主保护级、系统审核保 护级、安全标记保护级、结构化保护级和访问验证保护级 。
11.2国内外风险评估标准
第1级:用户自主保护级。它的安全保护机制使用户具备 自主安全保护的能力,保护用户的信息免受非法的读写破 坏。 第2级:系统审计保护级。除具备第1级所有的安全保护功 能外,要求创建和维护访问的审计跟踪记录,是所有的用 户对自己行为的合法性负责。 第3级:安全标记保护级。除继承前一个级别的安全功能 外,还要求以访问对象标记的安全级别限制访问者的访问 权限,实现对访问对象的强制访问。

Web安全技术及其应用

Web安全技术及其应用Web安全技术是现代互联网时代不可或缺的部分,尤其是大数据和云计算时代,隐私和数据泄漏的问题越来越重要。

本文将介绍Web安全技术及其应用,涉及Web安全的概念、攻击和威胁、防御和保护,以及常用的Web安全技术和工具。

Web安全的概念Web安全是指利用各种技术和措施,保护Web应用不被黑客和恶意攻击者攻击和侵入,保护用户的隐私和敏感信息不被泄漏,确保Web应用正常运行和服务。

Web应用的攻击和威胁Web应用的攻击和威胁主要分为以下几类:1. SQL注入攻击:黑客利用Web应用的漏洞,注入恶意SQL语句,从而获取敏感信息或控制整个系统。

2. XSS攻击:黑客利用Web应用的漏洞,在Web页面插入恶意脚本,从而获取用户的敏感信息或控制整个系统。

3. CSRF攻击:黑客以用户的身份,利用Web应用的漏洞,发送恶意请求,从而实现非法操作。

4. 爬虫攻击:黑客利用爬虫软件扫描Web应用的漏洞,获取系统信息或敏感数据。

5. DDoS攻击:黑客利用分布式拒绝服务攻击,使Web应用无法正常运行或服务。

Web应用的防御和保护Web应用的防御和保护主要包括以下几个方面:1. 数据验证和过滤:对用户输入的数据进行验证和过滤,避免注入攻击和XSS攻击的发生。

2. 身份认证和授权:用户登录时进行身份认证,根据用户的权限授权其对Web应用的访问和操作。

3. 访问控制和监管:对Web应用的访问进行控制和监管,避免CSRF攻击的发生。

4. 数据保护和备份:对用户的敏感信息进行加密和保护,同时定期进行数据备份和恢复工作。

5. 安全更新和维护:定期对Web应用进行安全更新和维护,修补漏洞和隐患,防止黑客利用已知漏洞进行攻击。

常用的Web安全技术和工具为了保障Web应用的安全和稳定运行,现在有很多Web安全技术和工具可以选择使用,以下是常用的几种:1. SSL/TLS:一种基于公钥密码学体系的安全协议,用于保护Web应用的通信过程,防止数据被窃取和篡改。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

13
SSL工作过程 工作过程
发送方的工作过程
– 从上层接收要发送的数据 (包括各种消息和数据); – 对信息进行分段,成若干 记录; – 使用指定的压缩算法进行 数据压缩数据(可选); – 使用指定的MAC算法生成 MAC; – 使用指定的加密算法进行 数据加密; – 发送数据.
接收方的工作过程
20
握手协议过程( ) 握手协议过程(2)
第三阶段 客户认证和密钥交换
(7) 客户 → 服务器 :client_certificate. (8) 客户 → 服务器 :client_key_exchange. (9) 客户 → 服务器 :certificate_verify.
第四阶段 结束阶段
(10) 客户 → 服务器 :change_cipher_spec. (11) 客户 → 服务器 :finished. (12) 服务器 → 客户 :change_cipher_spec. (13) 服务器 → 客户 :finished.
– SSL握手协议(SSL HandShake Protocol); – SSL密码参数修改协议(SSL Change Cipher Spec Protocol); – 应用数据协议(Application Data Protocol); – SSL告警协议(SSL Alert Protocol).
22
SET的设计目标 的设计目标
为支付/订购信息提供机密性. 通信信息的完整性. 鉴证持卡者是否是信用卡账户的合法用户. 持卡用户需要确认能与之进行安全交易的商家的 身份. 采用最好的安全策略和系统设计技术来保护电子 商务交易中的所有合法方. 安全性应不依赖于传运输层安全机制,但又可以 充分利用传输层的安全服务. 协议应该独立于硬件平台,操作系统和WEB软件.
18
握手协议定义的消息类型(2) 握手协议定义的消息类型
消息类型 certificate_request server_hello_done 说明 用于服务器向客户端要求一个客户证书. 参数 类型,授 权 该消息表明服务器端的握手请求报文已经发送完毕,正在等 无 待客户端的响应.客户端在收到该消息时,将检查服务 器提供的证书及其他参数是否是有效,可以接受的. 客户端对服务器certificate_request消息的响应,只有在服务 器端要求客户证书的时候使用.一般该消息是客户端收 到server_hello_done消息后所发送的第一条消息.若客 户端没有合适的证书,则向服务器端发送no_certificate 的告警消息(无证书可能导致握手失败) X.509v3 证书链
SSL 记录协议
SSL 记录协议为SSL连接提供两种服务
– 保密性.利用握手协议所定义的共享密钥对 SSL SSL净荷(payload)加密 . payload – 完整性.利用握手协议所定义的共享的 MAC密值来生成报文的鉴别码(MAC).
12
SSL工作过程和 工作过程和SSL记录格式 工作过程和 记录格式
26
SET的双向签名机制 的双向签名机制
27
SET支持的交易类型(1) 支持的交易类型( ) 支持的交易类型
卡用户注册 商家注册 购买请求 支付认可 支付获取 证书调查和状态 持卡用户在CA中注册,以便能够与商家进行SET报文的交 互 商家在CA中注册,以便能够支持与持卡用户和支付网关 之间的SET报文交互 持卡用户向商家发送报文,其中包含提交给给商家的订购 信息OI和提交给的银行系统的支付信息PI 支付认可是商家和支付网关之间的交换,用来核准用户的 信用卡账号足以支付购买 商家向支付网关请求支付 持卡用户或商家向CA发出证书请求后,如果CA不能立刻 处理,它将给持卡用户或商家发送回答,指示请求者 以后再查看.持卡用户或商家通过发送"证书调查" 报文来确定该证书请求的状态,并且在请求被批准时 接收证书
23
SET安全电子商务的构成 安全电子商务的构成
24
利用SET协议的典型交易事件序列 协议的典型交易事件序列 利用
1. 申领信用卡. 2. 持卡用户获得证书. 3. 商家获得证书. 4. 持卡用户订购商品. 5. 用户对商家的身份认证. 6. 用户发送订购和支付信息. 7. 商家请求支付认可. 8. 商家确认订购. 9. 供货. 10. 商家请求支付.
第11章 章 WEB的安全性 的安全性
1
WEB的安全性问题 的安全性问题
WEB已经成为Internet上最重要的应用. WEB的安全性问题的原因.
– HTTP协议的安全性是非常脆弱的; – 服务实现上的复杂性系统的配置和管理趋于 复杂化 ,导致许多的安全隐患; – WEB最终用户常常是未经训练或不了解系统 安全细节的用户.
client_hello
server_hello
server_certifica te server_key_exc hange
服务器提供的证书.如果客户要求对服务器进行认证, X.509v3证书链 则服务器在发送server_hello消息后,向客户端发 送该消息.证书的类型一般是X.509v3. 服务器密钥交换.当服务器不使用证书,或其证书中 仅提供签名而不提供密钥时,需要使用本消息来 交换密钥. 参数,签名
2
WEB安全威胁 (1) 安全威胁 )
根据威胁的位置 ,可分为:
– 对WEB服务器的攻击; – 对WEB浏览器的攻击; – 对浏览器与服务器间通信流量的攻击.
3
WEB安全威胁 (2) 安全威胁 )
根据威胁的后果 ,可分为:
– – – – 对信息完整性的攻击; 对信息保密性的攻击; 拒绝服务攻击; 对身份认证攻击.
– 接收数据; – 使用指定的解密算法解 密数据; – 使用指定的MAC算法校 验MAC; – 使用压缩算法对数据解 压缩(在需要时进行); – 将记录进行数据重组; – 将数据发送给高层.
14
SSL握手协议层 (1) 握手协议层
加密规约修改协议
– 仅定义了一个由单个字节"1"构成的消息报 文; – 该消息将改变了连接所使用的加密规约.
10
状态分为两种:
SSL的会话状态 的
–待用状态(pending state),它包含了当前握手协议协商 好的压缩,加密和MAC的算法,以及加解密的密钥等参数. –当前操作状态(current operating state),它包含了当 前SSL纪录层协议正在使用的压缩,加密和MAC的算法,以及 加解密的密钥等参数.
21
安全电子交易 (SET)
Security Electronic Transaction. 主要是为了解决用户,商家和银行之间 通过信用卡支付的交易而设计的,以保 证支付信息的机密和支付过程的完整. SET中的核心技术包括公开密钥加密,数 字签名,电子信封,电子安全证书等. 是一个安全协议的集合.
握手协议过程( ) 握手协议过程(1)
第一阶段 安全能力的建立
(1) 客户 → 服务器 :client_hello. (2) 服务器 → 客户 :server_hello.
第二阶段 服务器认证和密钥交换
(3) 服务器 → 客户 :server_certificate. (4) 服务器 → 客户 :server_key_exchange. (5) 服务器 → 客户 :certificate_request. (6) 服务器 → 客户 :server_hello_done.
16
SSL握手协议的消息格式 握手协议的消息格式
17
握手协议定义的消息类型(1) 握手协议定义的消息类型
消息类型 hello_request 说明 握手请求,服务器可在任何时候向客户端发送该消息. 无 若客户端正在进行握手过程就可忽略该消息.否 则客户端发送cleint_hello消息,启动握手过程. 客户启动握手请求,该消息时当客户第一次连接服务 版本,随机数,会话 ID,密文族,压 器时向服务器发送的第一条消息.该消息中包括 缩方法 了客户端支持的各种算法.若服务器端不能支持, 则本次会话可能失败. 其结构与client_hello消息,该消息是服务器对客户端 client_hello消息的恢复. 版本,随机数,会话 ID,密文族,压 缩方法 参数
25
双向签名
持卡用户需要将订购信息(OI)和支付信息 (PI)一起发送给商家. 但是实际上订购信息是发送给商家的,而支付 信息是需要发送给银行系统的.为了向持卡用 户提供更好的隐私保护,SET将OI和PI分离开 来,由不同的机构处理. 简单地将OI和PI分离是不行的.这两个方面的 信息也必须采用某种必要的方式连接起来,以 解决可能出现的争端. 双向签名可以连接两个发送给不同接收者的消 息报文 ,可以满足这种需求.
9
SSL的两个重要概念 的两个重要概念
SSL连接(connection)
– 一个连接是一个提供一种合适类型服务的传输; – SSL的连接是点对点的关系; – 连接是暂时的,每一个连接和一个会话关联.
SSL会话(session)
– 一个SSL会话是在客户与服务器之间的一个关联; – 会话由Handshake Protocol创建.会话定义了一组可 供多个连接共享的加密安全参数; – 会话用以避免为每一个连接提供新的安全参数所需 昂贵的谈判代价.
参数:
–会话标识符: 服务器选择的一个任意字节序列,用以标识一 个活动的或可激活的会话状态. –对方的证书: 一个X.509.v3证书.可为空. –压缩算法: 加密前进行数据压缩的算法. –加密规约: 指明数据体加密的算法(无,或DES等)以及散 列算法(如MD5或SHA-1)用以计算MAC.还包括其他参数, 如散列长度. –主密值: 48位秘密,在client与server之间共享. –可重新开始的标志:一个标志,指明该会话是否能用于产生 11 一个新连接.
6
SSL的体系结构 的体系结构