【正文】 確認(rèn)證書(shū)信息時(shí)，通過(guò) LDAP協(xié)議來(lái)下載證書(shū)或證書(shū)撤銷列表，或通過(guò)在線證書(shū)狀態(tài)協(xié)議OCSP向目錄服務(wù)器查詢證書(shū)的當(dāng)前狀況。 （ 2）證書(shū)有良好的完整性。 （ 4）證書(shū)處在有效期內(nèi)。 （ 6）證書(shū)的使用方式與任何聲明的策略和使用限制相一致。這意味著每當(dāng)某個(gè)實(shí)體聲稱具有一個(gè)特定的身份（例如，一個(gè)特定的用戶名）時(shí)，認(rèn)證服務(wù)將提供某種方法來(lái)證實(shí)這一聲明的正確性。聲稱者提交一個(gè)主體的身份并聲稱他就是那個(gè)主體，身份認(rèn)證系統(tǒng)能使驗(yàn)證者獲得對(duì)聲稱者所聲稱的事實(shí)的信任。 75 身份認(rèn)證的分類 主要按身份認(rèn)證信息的來(lái)源，可分為： ? 聲稱者證明他知道某事或物，例如口令。 智能卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， 它由專門的廠商通過(guò)專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。 生物特征是人體固有的特征，與人體是唯一綁定的，是個(gè)人身份的最好證明 , 但其設(shè)備及技術(shù)成本較高。 ? 傳統(tǒng)的口令系統(tǒng)面臨外部泄露、口令猜測(cè)、線路竊聽(tīng)以及重放等威脅。 消息 p 180。 id id q 比較 是或不是 77 一次性口令機(jī)制 ? 設(shè)計(jì)思想是在每次登錄過(guò)程中加入不確定因素，使每次登陸時(shí)用戶的密碼都不同，來(lái)增強(qiáng)身份認(rèn)證過(guò)程的安全性，以便抵抗重放攻擊。 – 挑戰(zhàn) /響應(yīng)機(jī)制 – 口令序列機(jī)制 – 時(shí)間同步機(jī)制 78 （ 1）挑戰(zhàn) /響應(yīng)機(jī)制 ? 每次登錄時(shí)，由服務(wù)器產(chǎn)生隨機(jī)數(shù)發(fā)送給用戶；用戶進(jìn)行計(jì)算后，發(fā)送給服務(wù)器。 p 180。 i d g 比較 i d q 是或不是 r 180。 g ? n rv id 79 （ 2）口令序列機(jī)制 ? 在口令序列機(jī)制中，允許用戶登錄 n次 。 ? 當(dāng)用戶第一次登錄時(shí)，提供 fn1(x)，而系統(tǒng)初始存儲(chǔ) fn(x)，收到 fn1(x)后計(jì)算 f (fn1(x))，驗(yàn)證是否等于 fn(x)，若通過(guò)，則系統(tǒng)重新存儲(chǔ) fn1(x)。后面依次類推。 80 （ 3）時(shí)間同步機(jī)制 ? 該機(jī)制把當(dāng)前時(shí)間作為不確定因素來(lái)產(chǎn)生一次性口令。 ? 當(dāng)用戶登錄時(shí)，啟動(dòng)令牌，令牌會(huì)提取當(dāng)前時(shí)鐘，和密鑰一起作為散列函數(shù)的輸入，得到一個(gè)口令，然后用戶將該口令傳到服務(wù)器，服務(wù)器將作同樣的運(yùn)算來(lái)計(jì)算當(dāng)前的口令，并與收到的口令進(jìn)行匹配，然后將匹配結(jié)果傳給用戶。 81 基于數(shù)字證書(shū)的認(rèn)證 （ 1）服務(wù)器生成、存儲(chǔ)和向用戶發(fā)布數(shù)字證書(shū) 。 （ 3）服務(wù)器驗(yàn)證證書(shū)的有效性，然后隨機(jī)生成挑戰(zhàn)值，將其返回給用戶。 （ 5）服務(wù)器驗(yàn)證簽名來(lái)恢復(fù)挑戰(zhàn)值，并進(jìn)行比較，最后根據(jù)驗(yàn)證結(jié)果，向用戶返回響應(yīng)消息。 ? 根據(jù)威脅的位置， Web安全威脅分為對(duì) Web服務(wù)器的攻擊、對(duì) Web瀏覽器的攻擊以及對(duì)服務(wù)器和瀏覽器之間的網(wǎng)絡(luò)通信量的攻擊。 84 常見(jiàn)的 Web安全威脅 ? 電子欺騙：攻擊者通過(guò)偽造數(shù)據(jù)來(lái)假冒合法用戶來(lái)獲得服務(wù)權(quán)限，或者假冒服務(wù)器來(lái)欺騙用戶。 ? 信息泄漏：攻擊者通過(guò)網(wǎng)絡(luò)竊聽(tīng)或其他手段來(lái)竊取服務(wù)器和客戶計(jì)算機(jī)中的重要數(shù)據(jù)信息。攻擊者通過(guò)產(chǎn)生大量非正常的數(shù)據(jù)流來(lái)耗盡系統(tǒng)資源，使合法用戶無(wú)法訪問(wèn)服務(wù)器。 HTTP FTP SMTPTCPIP/ IPSecHTTP FTP SMTPIPSSL 或 TLSTCPHTTPSMTPIPTCPUDPKer berosS/M IME PGP SET第 3 種方式第 2 種方式第 1 種方式86 SSL協(xié)議 ? 1994年 , Netscape公司為保護(hù) Web通信協(xié)議HTTP,開(kāi)發(fā)了 SSL（ Secure Socket Layer）協(xié)議來(lái)保障數(shù)據(jù)傳輸?shù)陌踩? ? 銀行、金融、電子商務(wù)等系統(tǒng)經(jīng)常使用 SSL協(xié)議來(lái)加強(qiáng)網(wǎng)絡(luò)通信安全，以保障帳號(hào)、密碼在傳輸過(guò)程中不被他人截獲。 ? 利用數(shù)據(jù)加密技術(shù)保證數(shù)據(jù)的機(jī)密性。 ? 利用數(shù)字簽名技術(shù)維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。SSL握手協(xié)議（ SSL Handshake Protocol）建立在 SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開(kāi)始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。 SSL記錄協(xié)議建立在可靠的傳輸協(xié)議（如 TCP）上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。 ? 當(dāng)客戶與服務(wù)器第一次通信時(shí)，雙方通過(guò)握手協(xié)議在版本號(hào)、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成一致，然后互相驗(yàn)證對(duì)方身份，最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個(gè)只有雙方知道的秘密信息，客戶和服務(wù)器各自根據(jù)此秘密信息產(chǎn)生數(shù)據(jù)加密算法和 Hash算法參數(shù)。Step2 ：服務(wù)器發(fā)送證書(shū)、交換密鑰、證書(shū)請(qǐng)求，最后發(fā)送 hello 階段的結(jié)束信號(hào)。Step4 ：改變加密規(guī)格，結(jié)束握手協(xié)議。：服務(wù)器發(fā)送證書(shū)、交換密鑰、證書(shū)請(qǐng)求，最后發(fā)送 階段的結(jié)束信號(hào)。：改變加密規(guī)格，結(jié)束握手協(xié)議。 ? 當(dāng)瀏覽器和 Web服務(wù)器之間建立 SSL連接時(shí)，必須具備以下條件： – 從可信任的證書(shū)頒發(fā)機(jī)構(gòu)獲取 Web服務(wù)器證書(shū)。 – 在 Web服務(wù)器上設(shè)置 SSL選項(xiàng)。 94 防火墻 防火墻的基本概念和功能 防火墻的主要技術(shù) 防火墻的體系結(jié)構(gòu) 防火墻的發(fā)展方向 95 防火墻的基本概念和功能 ? 防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制策略。 ? 防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”，而外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”。 96 防火墻在網(wǎng)絡(luò)中的位置 In tern et工作站 工作站??內(nèi)部網(wǎng)防火墻97 防火墻的安全特性 ? 所有的通信，無(wú)論是從內(nèi)部到外部還是從外部到內(nèi)部的，都必須經(jīng)過(guò)防火墻。不同類型的防火墻實(shí)現(xiàn)不同的安全策略。這意味著防火墻應(yīng)該是具有安全操作系統(tǒng)特性的可信系統(tǒng)，自身能夠抵抗各種攻擊。 ? 記錄和統(tǒng)計(jì)網(wǎng)絡(luò)上的非法活動(dòng)，根據(jù)統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷可能的攻擊和探測(cè)，實(shí)現(xiàn)審計(jì)和報(bào)警功能。 ? 可增強(qiáng)網(wǎng)絡(luò)的保密性，使用防火墻來(lái)禁止易受攻擊的服務(wù)。 99 防火墻的不足 ? 對(duì)繞過(guò)它的攻擊無(wú)能為力。 ? 不能防范全新的網(wǎng)絡(luò)威脅，無(wú)法阻止數(shù)據(jù)驅(qū)動(dòng)式攻擊，不能完全防止感染病毒的軟件或文件。 ? 防火墻無(wú)法做到安全與速度的同步提高。 100 防火墻的主要技術(shù) ? 根據(jù)防火墻在網(wǎng)絡(luò)協(xié)議棧中過(guò)濾的層次不同，防火墻系統(tǒng)可以分成不同的類型。 ? 常見(jiàn)的防火墻有 : – 路由器級(jí)防火墻：工作在網(wǎng)絡(luò)層，一般采用包過(guò)濾（ Packet Filtering）技術(shù)。 101 包過(guò)濾技術(shù)和代理服務(wù)技術(shù) ? 包過(guò)濾技術(shù) ——依據(jù)系統(tǒng)事先設(shè)定的過(guò)濾邏輯（通常稱為訪問(wèn)控制表，即 Access Control List），通過(guò)檢查包地址、協(xié)議、端口等信息來(lái)決定是否允許通過(guò)網(wǎng)絡(luò)。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來(lái)區(qū)分各種應(yīng)用。 102 包過(guò)濾技術(shù) ? 使用包過(guò)濾技術(shù)的防火墻也稱為包過(guò)濾防火墻，由于其工作在網(wǎng)絡(luò)層，又稱為網(wǎng)絡(luò)層防火墻。 ? 檢查內(nèi)容： IP源地址和目標(biāo)地址、協(xié)議類型（ TCP包、 UDP包和 ICMP包） 、 TCP或 UDP包的源和目的端口、 ICMP消息類型、 TCP包頭的 ACK位、 TCP包的序列號(hào)等。 ? 缺點(diǎn) : – 包過(guò)濾規(guī)則不容易維護(hù)和配置； – 只檢查地址和端口，容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)，不能理解特定服務(wù)的上下文環(huán)境； – 沒(méi)有記錄功能，無(wú)法了解過(guò)濾規(guī)則存在的漏洞； – 有些協(xié)議使用包過(guò)濾方式的效果不明顯； – 對(duì)于包中所含的文件內(nèi)容無(wú)法過(guò)濾； – 無(wú)法做到用戶級(jí)別的身份認(rèn)證和訪問(wèn)控制。它從應(yīng)用程序級(jí)來(lái)進(jìn)行訪問(wèn)控制。 ? 一般針對(duì)某一特定應(yīng)用，由用戶端的代理客戶和防火墻端的代理服務(wù)兩部分組成，代理客戶對(duì)原應(yīng)用客戶改造，使其與防火墻交互，代理服務(wù)代用戶向應(yīng)用服務(wù)器提交請(qǐng)求，并將結(jié)果返回給用戶，用戶和服務(wù)器之間不會(huì)由直接的 IP分組交換。 106 應(yīng)用代理的工作原理 內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)代理服務(wù)器代理服務(wù)器請(qǐng)求被轉(zhuǎn)發(fā)的請(qǐng)求響應(yīng)被轉(zhuǎn)發(fā)的響應(yīng)服務(wù)器客戶機(jī)代理獲得了客戶機(jī)和服務(wù)器之間通信的全部控制權(quán)107 代理服務(wù)技術(shù)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： – 防止內(nèi)外主機(jī)間直接建立聯(lián)系，增強(qiáng)了安全性。 ? 缺點(diǎn)： – 在應(yīng)用層進(jìn)行，處理速度慢，效率低； – 針對(duì)專門應(yīng)用，只能對(duì)特定服務(wù)的數(shù)據(jù)流進(jìn)行過(guò)濾，必須為特定的應(yīng)用服務(wù)編寫特定的代理程序。 108 防火墻的體系結(jié)構(gòu) ? 防火墻作為安全防護(hù)系統(tǒng)，它可能是一個(gè)屏蔽 路由器或單個(gè)的主機(jī)系統(tǒng)，而更多的可能是由多個(gè)設(shè)備組成的一個(gè)系統(tǒng)。 ? 以防火墻為核心的網(wǎng)絡(luò)安全體系：在防火墻功能的基礎(chǔ)上增加簡(jiǎn)單的 IDS、病毒檢測(cè)、 VPN、防范垃圾郵件等功能，形成整體的全方位的立體防護(hù)。 ? 高速防火墻：不斷提高處理速度以滿足網(wǎng)絡(luò)速度的不斷提高。 ? 數(shù)據(jù)加密技術(shù)保障網(wǎng)絡(luò)信息的機(jī)密性。 ? 用戶認(rèn)證是確認(rèn)用戶身份的一種機(jī)制，可根據(jù)用戶所知、所有和個(gè)人特征進(jìn)行用戶的身份認(rèn)證。主要的防火墻技術(shù)包括包過(guò)濾技術(shù)和代理技術(shù)。 ? 鏈路加密和端到端加密各有什么特點(diǎn)，使用在什么場(chǎng)合？ ? 實(shí)現(xiàn)身份認(rèn)證的基本途徑是那些？ ? 數(shù)字簽名主要解決什么問(wèn)題？說(shuō)明公鑰密碼實(shí)現(xiàn)數(shù)字簽名的過(guò)程。