【正文】 數(shù)字證書和身份認證 ? 數(shù)字證書的功能與應(yīng)用 ? 1．數(shù)字證書的功能 ? 數(shù)字證書有以下幾個功能。 ? （ 1）網(wǎng)上銀行 ? （ 2）電子商務(wù) ? （ 3）手機移動支付 ? （ 4）網(wǎng)上證券 數(shù)字證書和身份認證 ? 身份認證概述 ? 1．身份認證定義 ? 聲稱者向驗證者出示自己的身份的證明過程。 ? 身份認證又叫身份鑒別、實體認證、身份識別。身份認證是獲得系統(tǒng)服務(wù)所必須的第一道關(guān)卡。 ? （ 1）本地，實體在本地環(huán)境的初始化鑒別（就是說，作為實體個人只和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信）。 ? 實體鑒別可以是單向的也可以是雙向的。雙向認證是指通信雙方相互進行鑒別。消息認證的有關(guān)內(nèi)容參見加密解密部分和數(shù)字簽名部分。包括① 識別，明確并區(qū)分訪問者的身份；② 驗證，對訪問者聲稱的身份進行確認。 ? （ 2）單向認證 ? 單向認證是指通信的雙方只要一方被另一方鑒別，這樣的身份認證過程就是一種單向認證。 ? 解決方案：① 采用對稱密鑰加密體制，通過一個可信任的第三方 —— 通常稱為 KDC（密鑰分發(fā)中心），由這個第三方來實現(xiàn)通信雙方的身份認證和密鑰分發(fā)；② 采用非對稱的密鑰加密體制，無需第三方的參與。 ? （ 4）身份的零知識證明 ? 通常的身份認證都要求傳輸口令或身份信息，但如果能夠不傳輸這些信息身份也得到認證就好了。 ? 被認證方 A掌握某些秘密信息， A想設(shè)法讓認證方 B相信他確實掌握那些信息，但又不想讓認證方 B知道那些信息。 ? 基于生物學(xué)的方案包括基于指紋識別的身份認證、基于聲音識別的身份認證以及基于虹膜識別的身份認證等技術(shù)。這樣可以有效地防止口令猜測，有卡有密碼的用戶會被得到認證。 ? 防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，將“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。 ? 防火墻是一種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問。圖 55所示的是防火墻示意圖。 ? （ 1）作為網(wǎng)絡(luò)安全的屏障 ? 只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，可使網(wǎng)絡(luò)環(huán)境變得更安全。 ? 防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和 ICMP重定向中的重定向路徑。 防火墻 ? （ 2）可以強化網(wǎng)絡(luò)安全策略 ? 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻身上。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息?？梢郧宄阑饓κ欠衲軌虻謸豕粽叩奶綔y和攻擊，并且清楚防火墻的控制是否充足。 ? （ 4）可以防止內(nèi)部信息的外泄 ? 通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。 ? （ 2）防火墻可以用于限制對某些特殊服務(wù)的訪問。 ? （ 4）防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應(yīng)的周期。 ? （ 1）不能防御已經(jīng)授權(quán)的訪問，以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊。 ? （ 3）不能修復(fù)脆弱的管理措施和存在問題的安全策略。 防火墻 ? 分組過濾式防火墻 ? 1．分組過濾式防火墻概念 ? 分組過濾器是目前使用最為廣泛的防火墻，其原理很簡單。滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)，否則丟棄。 防火墻 外部網(wǎng) 通過過慮規(guī)則的數(shù)據(jù)包，允許通過。 防火墻 內(nèi)部網(wǎng) 防火墻 ? （ 1）分組過濾軟件通常集成到路由器上，允許用戶根據(jù)某種安全策略進行設(shè)置，允許特定的分組穿越防火墻。 ? （ 3）普通路由器只執(zhí)行兩種操作：如果它知道分組的目的地址的路由，就轉(zhuǎn)發(fā)該分組；否 則丟棄或者退回分組。 ? （ 4）接入因特網(wǎng)的每臺主機都有一個 IP地址，并且內(nèi)部網(wǎng)的應(yīng)用一般都與特定的端口號有關(guān)，例如：遠程登錄（ Tel）的 TCP端口號的默認值為 23。例如：可以建立一個對應(yīng)端口號為 23的防火墻過濾器來阻止向內(nèi)部計算機上發(fā)送遠程登錄分組；建立一個對應(yīng)端口號為 21的防火墻過濾器來阻止外部用戶向內(nèi)部計算機發(fā)送文件傳輸分組（ FTP）等。 ? （ 7）由于分組過濾防火墻是由用戶來設(shè)置安全策略的，因此根據(jù)系統(tǒng)對用戶設(shè)置的理解，目前的產(chǎn)品又為兩類：“不允許的就是禁止”和“不禁止的就是允許”。 ? ② 能有效地保護易受攻擊的服務(wù)。 ? （ 2）缺點 ? ① 不能防止假冒。 ? ③ 缺乏可審核性。當代理服務(wù)器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務(wù)器會像一個客戶一樣，去那個站點取回所需信息再轉(zhuǎn)發(fā)給客戶。 外部網(wǎng) 路由器 1. 請求 代理 服務(wù)器 2. 請求 3. 響應(yīng) 4. 響應(yīng) 內(nèi)部網(wǎng) 服務(wù)器 防火墻 ? 從圖 57中可知： ? （ 1）當外部網(wǎng)的用戶希望訪問內(nèi)部網(wǎng)某個應(yīng)用服務(wù)器時，實際上是向運行在防火墻上的代理服務(wù)軟件提出請求，建立連接。 ? （ 3）應(yīng)用系統(tǒng)給予代理服務(wù)器響應(yīng)。 ? 外部網(wǎng)用戶與應(yīng)用服務(wù)器之間的數(shù)據(jù)傳輸全部由代理服務(wù)器中轉(zhuǎn)，外部網(wǎng)用戶無法直接與應(yīng)用服務(wù)器交互，避免了來自外部用戶的攻擊。 ? 目前，很多內(nèi)部網(wǎng)絡(luò)都同時使用分組過濾路由器和代理服務(wù)器來保證內(nèi)部網(wǎng)絡(luò)的安全性，并且取得了較好的效果。 ? ② 代理能生成各項記錄。 ? ④ 代理能過濾數(shù)據(jù)內(nèi)容。 ? ⑥ 代理可以方便地與其他安全手段集成。 ? ② 代理對用戶不透明。 ? ④ 代理服務(wù)不能保證免受所有協(xié)議弱點的限制。 防火墻 ? 狀態(tài)監(jiān)視式防火墻 ? 1．狀態(tài)監(jiān)視式防火墻工作原理 ? 這種防火墻安全特性非常好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。 ? 2．狀態(tài)監(jiān)視式防火墻的優(yōu)缺點 ? （ 1）優(yōu)點 ? ① 檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充。 ? ③ 性能堅固。 ? ② 會降低網(wǎng)絡(luò)的速度。防火墻設(shè)施通常具有 2個或者 1個端口；雙端口時，分別接外部網(wǎng)和內(nèi)部網(wǎng)如下圖所示。 外部網(wǎng) 路由器 單端口防火墻 服務(wù)器 內(nèi)部網(wǎng) 交換器 本次課程結(jié)束，謝謝合作！！ 演講完畢，謝謝觀看！