Web應(yīng)用的安全模式課件_第1頁
Web應(yīng)用的安全模式課件_第2頁
Web應(yīng)用的安全模式課件_第3頁
Web應(yīng)用的安全模式課件_第4頁
Web應(yīng)用的安全模式課件_第5頁
已閱讀5頁,還剩50頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

Web應(yīng)用的平安模式本講內(nèi)容介紹根本的平安概念和根本的平安機(jī)制Web環(huán)境下的平安機(jī)制防火墻的工作原理常用的平安措施Web應(yīng)用平安“外患〞“內(nèi)憂〞“外患〞?AspectsofSecurity?AuthenticationandEncryption?InternetFirewallsandPacketFiltering?VirtualPrivateNetworks?SecureHTTP(SHTTP)andSecureSocketLayer(SSL)?SecuringyourSiteMainrisks:信息被非法竊聽:未經(jīng)認(rèn)可的用戶對數(shù)據(jù)的非法訪問假冒他人發(fā)送信息信息被非法修改拒絕效勞病毒。。。解決DataIntegrity:referstoprotectionfromchange:Isthedatareceivedexactlythesameasthedatathatwassent?DataAvailability:referstoprotectionagainstdisruptionofservice:Doesthedataremainavailableforlegitimateuse?DataConfidentiality:referstoprotectionagainstunauthorizeddataaccess:Isdataprotectedagainstunauthorizedaccess?Privacy:referstotheabilityofthesendertoremainanonymous:Isthesender’sidentityrevealed?完整性機(jī)制防止偶然或成心破壞數(shù)據(jù)完整性的常用方法:奇偶校驗(yàn)〔paritybits)校驗(yàn)和(checksum)循環(huán)冗余校驗(yàn)(cyclicredundancychecks,CRC).發(fā)送者以包的數(shù)據(jù)為函數(shù)計(jì)算出一個(gè)整數(shù)值。接收者從接收到的數(shù)據(jù)中重新計(jì)算出這個(gè)整數(shù),并比較二者的結(jié)果。However,aattackercancreateavalidchecksumorCRCfromthealtereddata.完整性機(jī)制Severalmechanismsagainstmalicious〔惡意〕intentionalchangeofintercepteddataexist:用MAC(MessageAuthenticationCode)來編碼要發(fā)送的數(shù)據(jù)。MAC基于無法破譯或仿造的密碼機(jī)制工作。采用只有收發(fā)雙方知道的secretkey。發(fā)送者用thesecretkey來scramblethedataandthechecksumorCRC訪問控制和口令在傳統(tǒng)的計(jì)算機(jī)系統(tǒng)中,簡單的口令即足以保護(hù)對系統(tǒng)的訪問。Simplepasswordmechanismsarevulnerable〔易受攻擊〕onnetworksbecausetheyaresusceptibletoeavesdropping〔偷聽〕.Wiretapping〔搭線竊聽〕iseasyespeciallythatpasswordsontelnet,FTPorHTTParecleartext.“外患〞?AspectsofSecurity?AuthenticationandEncryption?InternetFirewallsandPacketFiltering?VirtualPrivateNetworks?SecureHTTP(SHTTP)andSecureSocketLayer(SSL)?SecuringyourSite你是誰?Howdoyouknowthecustomeristhecustomerhe/shepretendstobe?Howdoyouknowtheserveristheserveritpurportstobe?IsitreallythethewebpageIwanttoconnectto?IsitreallythecompanyIwanttomakeatransactionwith?IsitreallythecustomerIthinkIamdealingwith?認(rèn)證Theprocessofmakingsuretheserverandtheclientareindeedtheserverandclienttheypurporttobeiscalledauthentication.用戶認(rèn)證是計(jì)算機(jī)平安中最為困難的局部之一。AuthenticationisbasedondigitalsignaturesTosignamessage,thesenderencryptsthemessageusingakeyknownonlytothesender加密目的:即使消息被竊聽〔wiretapping〕也仍可保持其confidentiality.方法:SenderScramblesthebitsofthemessageinawaythatonlytheintendedreceivercanunscramblethemessage.Basedonkeys.結(jié)果:Interceptingamessagesisuselesssincenoinformationextraction.對等加密ThereceiverandthesendersharethesamesecretkeyThesenderencryptsthemessagewithakeyKandthereceiverdecodestheencryptedmessagewiththesamekeyK.Example:DES

E=encrypt(Key,M)M=decrypt(Key,E)Mathematicallydecryptisinverseofencryptdecrypt=encrypt-1對稱加密缺陷需要進(jìn)行私鑰交換規(guī)模復(fù)雜未知實(shí)體間通信困難公鑰密碼機(jī)制由Deffie和Hellman創(chuàng)造:“NewDirectionsinCryptography〞,1976原理Publiclyrevealinganencryptionkeydoesnottherebyrevealthecorrespongdingdecryptiondecryption.重要結(jié)論Noneedtotransmitkeys.onlytheintendedrecipientcandecipherthemessage.Amessagecanbe“signed〞byaprivatelyhelddecryptionkey.Signaturescannotbeforged.Asignercannotlaterdenythevalidaityofhissignature.下面我們來看如何用這種機(jī)制來實(shí)現(xiàn):機(jī)密性和隱私性:privacyandconfidentiality數(shù)字簽名:signature實(shí)體鑒別:authenticationPrivacyandconfidencialityBob向Alice發(fā)一個(gè)privatemessage的過程:GetthepublickeyEafromthepublicfileSendherEa(M)Alicedecpherit:Da(Ea(M))=M特點(diǎn)Noneedtoestablishprivatetransactions〔保證了私密性〕Anintruderlisteninginonthechannelcannotdecipheranymessages.Sincederivedecryptionkeysfromencryptionkeysisimpossible.〔保證了機(jī)密性〕數(shù)字簽名Signatures Alice首先用自己的私鑰對要發(fā)給Bob的消息簽名:s=Da(M)然后用Bob的公鑰加密:Eb(S).并把結(jié)果發(fā)出.Bob先用自己的私鑰解密得到S,然后用Alice的公鑰解密得到M.數(shù)字簽名Signatures 完整性:Bob或其他人不可修改M,對輸入數(shù)據(jù)的任何修改都會引起輸出的變化。不可否認(rèn)性:Alice不可否認(rèn)發(fā)給Bob消息,因?yàn)槌怂麤]人能得到他的簽名s=Da(M)。機(jī)密性:因?yàn)橹挥蠦ob才有他自己的私鑰,別人無法獲得。Authentication簡單的<id,password>的缺陷:Replay:重放攻擊例子:“阿里巴巴與四十大盜〞基于公鑰技術(shù),采用“挑戰(zhàn)-響應(yīng)〞協(xié)議和信息簽名解決實(shí)體鑒別問題.AlicechallengetoBob:anumber100Bobsignthenumberwithhisprivatekey.AlicegetthesignednumberanddecpheritwithBob’spublickey,comparetheresult.Alice的challenge每次都不一樣,因此不可能重放攻擊.Certificates上面的討論基于:Alice認(rèn)為他獲得的Bob的公鑰是“真的〞。攻擊者常會假冒因此需要一個(gè)方法來保證這一點(diǎn),保證你得到的證書是可以信賴的。這個(gè)方法就是:證書機(jī)制,所有的證書都經(jīng)過頒發(fā)者的私鑰簽名,因此是可以信賴的。發(fā)放證書的機(jī)構(gòu)就是:PKI-公開密鑰根底設(shè)施Certificates證書是一種驗(yàn)證效勞器身份的電子手段??蛻舳丝梢酝ㄟ^檢查證書確認(rèn)自己連接到了正確的效勞器上。證書被預(yù)先存放在客戶端數(shù)據(jù)庫或一個(gè)證書權(quán)威〔certificateauthority〕處,通過比較可以驗(yàn)證一個(gè)收到的證書是否正確。證書一般由第三方公布。證書有期限。你可以公布自己的證書并分發(fā)給允許訪問你站點(diǎn)的用戶。PKI:公開密鑰根底設(shè)施證書管理認(rèn)證完整性機(jī)密性“外患〞?AspectsofSecurity?AuthenticationandEncryption?InternetFirewallsandPacketFiltering?VirtualPrivateNetworks?SecureHTTP(SHTTP)andSecureSocketLayer(SSL)?SecuringyourSiteInternetfirewall加密技術(shù)并不能解決所有的平安問題,還需要其他技術(shù)的配合.對內(nèi)網(wǎng)的每臺計(jì)算機(jī)都施加保護(hù)代價(jià)太大。Bettercreateaprotectivewall防火墻技術(shù)幫助保護(hù)內(nèi)網(wǎng)不被unwantedInternettraffic所騷擾.防火墻通常放在內(nèi)網(wǎng)與Internet之間,防止問題從Internet擴(kuò)散到內(nèi)部。防火墻的要點(diǎn)所有進(jìn)入內(nèi)網(wǎng)的流量必須經(jīng)過防火墻所有離開內(nèi)網(wǎng)的流量必須經(jīng)過防火墻防火墻拒絕任何違反內(nèi)網(wǎng)平安規(guī)那么的流量防火墻本身對平安攻擊有免疫力。IfanorganizationhasmultipleInternetconnections,afirewallshouldbeplacedoneach包過濾Packetfiltering是防火墻采用的主要機(jī)制防火墻檢查所有進(jìn)出的IP包,從而控制內(nèi)網(wǎng)與外界的聯(lián)系,同時(shí)也控制外網(wǎng)與內(nèi)網(wǎng)的通信?;贗P包中的源/目的地址來決定是否丟棄某個(gè)包。過濾效勞filteringservice除了低級的IP地址包過濾,還可檢查包的協(xié)議或其他高層效勞即實(shí)施基于效勞的過濾Example:allowHTTPandSMTPandFTPonly實(shí)現(xiàn)的方法:Canuseabooleancombinationofdestination,sourceandservices.FirewallwithPacketFiltering“外患〞?AspectsofSecurity?AuthenticationandEncryption?InternetFirewallsandPacketFiltering?VirtualPrivateNetworks?SecureHTTP(SHTTP)andSecureSocketLayer(SSL)?SecuringyourSitePrivateNetworksPlus&MinusofPrivateNetworks專線連接站點(diǎn):完全的平安性。(completelyprivate)Nobodyelsehasaccessorcanreadpassingdata租用專線==?昂貴代價(jià)Internet無法保證confidentiality,但很廉價(jià):justgetISPonbothends.能否同時(shí)兼得二者的好處?VirtualPrivateNetwork(VPN)VPNisimplementedinsoftwareEachrouterrunsaVPNsoftwareVPNsoftwareactsasapacketfilterVPNsoftwareencryptspackets,allcommunicationremainsconfidentialTunneling技術(shù)將整個(gè)報(bào)文都加密傳送????如果報(bào)頭加密,routerswouldn’tknowwhoisthereceiver如果報(bào)頭不加密,信息可能泄露(whoissendingandwhoisreceivingmaybeobserved)VPN使用一種稱為IP-in-IPtunneling的技術(shù)來完全隱藏信息。IP-in-IPTunneling“外患〞?AspectsofSecurity?AuthenticationandEncryption?InternetFirewallsandPacketFiltering?VirtualPrivateNetworks?SecureHTTP(SHTTP)andSecureSocketLayer(SSL)?SecuringyourSiteSecureHTTPS-HTTPrequestheader–Secure*secure-HTTP/1.1–Content-Privacy-DomainPEMorPKS-7–Content-Type:application/–Security-Scheme,Certificate-Info,Key-AssignS-HTTPresponseheader–Secure-HTTP/1.1200OK兩個(gè)特點(diǎn):協(xié)商、脆弱NegotiationS-HTTP允許交互雙方就平安參數(shù)進(jìn)行協(xié)商S-HTTPallowsbothpartiestonegotiatetheirneedsandpreferencesregardingsecurityparameters(algorithm,keylength,etc.)VulnerabilityS-HTTP容易受低層攻擊,因?yàn)樗且粋€(gè)應(yīng)用層的協(xié)議。S-HTTPisvulnerablesinceitissusceptibletolowlevelattacksattheTCPorIPlevel.Itissecureattheapplicationlevelonly.SecureSocketLayer(SSL)為了解決這個(gè)問題,SSL在OSI模型的更低層實(shí)現(xiàn)。因此,它不僅可用于HTTP,也可用于其他協(xié)議,如FTP,telnet,NNTP,etc.SSL建立并維護(hù)一個(gè)用于通信的平安通道〔securechannel〕UnlikeHTTP,SSLisstateful.SecureChannelPropertiesChannelisauthenticated:效勞器必須對客戶端進(jìn)行認(rèn)證而客戶端也可對效勞器進(jìn)行認(rèn)證。認(rèn)證的方法是采用public/privatekey進(jìn)行加密。?Channelisprivate:先進(jìn)行握手定義一個(gè)密鑰,此后所有的消息傳遞都用它進(jìn)行加密。加密方法是對等加密法。?Channelisreliable:EachmessageincludesamessageintegritycheckusingaMACSSLHandshake?DuringanSSLsession,somevariablesneedtobedefined.Theserverneedstodetermine:–VersionofSSLsupported〔版本〕–Encryptionalgorithmtobeused〔加密算法〕–SessionID(eachSSLsessionhasauniqueID)〔會話號〕–Compressionalgorithmtobeused(ifneeded)〔壓縮算法〕–2randomnumbers以上參數(shù)在協(xié)商過程中確定下來。協(xié)商過程又稱為handshake(SSL握手協(xié)議)AuthenticationalsooccursatthehandshakeHandshakeProtocolHandshakeProtocol1.瀏覽器發(fā)一個(gè)clienthello消息2.效勞器返回一個(gè)serverhello消息3.如果客戶端需要對效勞器進(jìn)行認(rèn)證,效勞器將自己的證書〔certificate〕發(fā)給對方。同時(shí)可按彼此同意的加密算法發(fā)一個(gè)serverkeyexchange消息。4.效勞器向客戶端請求證書〔certificate〕5.效勞器發(fā)serverhellodone消息6.如果客戶端發(fā)會證書或發(fā)回nocertificatealert消息,還將發(fā)送一個(gè)clientkeyexchange消息HandshakeProtocol7.如果一切正常,客戶端發(fā)送一個(gè)changecipherspec消息,同時(shí)附帶同意的參數(shù)。8.客戶端發(fā)finished消息9.效勞器發(fā)自己的changecipherspec消息10.效勞器發(fā)finished消息“內(nèi)憂〞對內(nèi)部后臺信息系統(tǒng)的保護(hù)更難防范主要平安原那么LeastpriviledgeprinciplesSeparationofDutyDataabstraction完成機(jī)制:訪問控制(AccessControl)平安策略最早使用訪問控制方法的兩種:軍用:MAC(MandatoryAccessControls)軍方應(yīng)用的平安目標(biāo):preventingtheunauthorizedobservationofclassifiedinformation.民用:DAC(DiscretinaryAccessControls)Integritydealswithbroaderissuesofsecritythanconfidentiality特別是:fundstransfer,clinicalmedicine,environmentalresearch,airtrafficcontrol等行業(yè)每個(gè)企業(yè)都有自己唯一的平安需求,傳統(tǒng)的DAC和MAC難以滿足要求。平安策略DAC的定義:ameansofrestrictingaccesstoobjectsbasedontheidentityofsubjectsand/orgroupstowhichtheybelong.Thecontrolsarediscretinaryinthesensethatasubjectwithacertainaccesspermissioniscapableofpassingthatpermission(perhanpsindirectly)ontoanyothersubject(unlessrestrainedbymandatoryaccesscontrol)一言蔽之,DAC的特點(diǎn)是:用戶可不經(jīng)批準(zhǔn)的把自己擁有的權(quán)限批準(zhǔn)給其他人使用。平安策略MAC的定義:ameansofrestrictingaccesstoobjectsbasedonthesensitivity(asrepresentedbyalabel)oftheinformationcontainedintheobjectsandtheformalauthorization(I.eclearance)ofsubjectstoaccessinforamtionofsuchsensitivity.強(qiáng)調(diào)的是:嚴(yán)格限制什么級別的人訪問什么級別的信息。RBACPermissonsareassociatedwithrolesandusersaremadmembersofappropriater

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論