第五章电子商务网站常用防御方法.pptx

1、第五章第五章 电子商务网站常用防御电子商务网站常用防御方法方法 4/17/20221 本章主要内容：本章主要内容：本章主要内容： 防火墙防火墙(Firewall)工作原理工作原理 非军事区域非军事区域(DMZ)概念概念 虚拟专用网虚拟专用网(VPN) 入侵检测系统入侵检测系统(IDS) 认证认证4/17/20222 一、防火墙(Firewan)(一一)防火墙的工作原理防火墙的工作原理 指的是一个由软件和硬件设备组合而成、在内指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。护屏障。防火墙主要有

2、防火墙主要有：包过滤防火墙、代理服务器防火墙：包过滤防火墙、代理服务器防火墙和应用层网关防火墙和应用层网关防火墙 。4/17/202231包过滤防火墙包过滤防火墙 包过滤防火墙主要有两种实现方式：基于路由器的包过滤防火墙主要有两种实现方式：基于路由器的防火墙和基于独立运行软件防火墙和基于独立运行软件(如如Packet Filter)的防的防火墙。下面主要介绍基于路由器的防火墙。火墙。下面主要介绍基于路由器的防火墙。是网络上信息流动的单位。是网络上信息流动的单位。 每个包有两个部分：每个包有两个部分：部分和部分和。 包头中含有包头中含有源地址和目标地址源地址和目标地址的信息。的信息。优点：透明性

3、好，简单易用，费用低。优点：透明性好，简单易用，费用低。缺点：设置繁多，易留下安全漏洞。缺点：设置繁多，易留下安全漏洞。 4/17/202241包过滤防火墙包过滤防火墙 包过滤路由器防火墙可能遇到的攻击方式：包过滤路由器防火墙可能遇到的攻击方式： (1)源源IP地址欺骗地址欺骗 (2)源路由攻击源路由攻击 (3)微小碎片攻击微小碎片攻击 包过滤防火墙包过滤防火墙 4/17/202252代理服务器代理服务器(Proxy Server)防火墙防火墙 在在Internet网络和网络和Intranet互连时，广泛采用一种称为代理互连时，广泛采用一种称为代理服务的工作方式，使服务的工作方式，使Inter

4、net用户在访问用户在访问Intranet的同时，的同时，提供的是一种类似网关的提供的是一种类似网关的代理服务器型防火墙代理服务器型防火墙。优点：优点：代理服务可提供详细的日志代理服务可提供详细的日志(Log)和审计和审计(Audit)记录，记录，提高了网络的安全性和可靠性。提高了网络的安全性和可靠性。缺点：缺点：不能处理高负荷通信量，且对用户的透明性不好。不能处理高负荷通信量，且对用户的透明性不好。 4/17/202263应用层网关防火墙应用层网关防火墙 应用层网关防火墙可使网络管理员实现比包过滤路应用层网关防火墙可使网络管理员实现比包过滤路由器防火墙更严格的安全策略。由器防火墙更严格的安全

5、策略。应用层网关不使用包过滤工具来限制应用层网关不使用包过滤工具来限制Internet服务服务进出防火墙系统，而是采用为每种所需服务在网关进出防火墙系统，而是采用为每种所需服务在网关上安装专用程序代码，否则该服务就不被支持且不上安装专用程序代码，否则该服务就不被支持且不能通过防火墙来转发。能通过防火墙来转发。 网络的安全性比较高。网络的安全性比较高。 过程复杂、费用比较高、透明性差、限制严格，使过程复杂、费用比较高、透明性差、限制严格，使用带来不便用带来不便 。4/17/20227(二二)防火墙规则集防火墙规则集 设计规则集的基本过程：设计规则集的基本过程： 1拒绝一切未特别允许的连接拒绝一切

6、未特别允许的连接 彻底分析每个系统和网段确定实现它们的功能所需要的服务彻底分析每个系统和网段确定实现它们的功能所需要的服务和连接。和连接。 2常见通信的常用端口常见通信的常用端口 确定每个服务器和网段需要什么端口和协议。确定每个服务器和网段需要什么端口和协议。 3将伪代码转换成防火墙规则将伪代码转换成防火墙规则 查看手册，确定特定的方法和要求。查看手册，确定特定的方法和要求。 4协议和风险：作出最佳决策协议和风险：作出最佳决策 需要保证只允许了必要的协议，并且只能用于需要它们的服需要保证只允许了必要的协议，并且只能用于需要它们的服务器和网段。务器和网段。 4/17/20228二、非军事区域二、

7、非军事区域(DMZ)(一一)DMZ的概念的概念 (二二)非军事区域的设置非军事区域的设置(三三)电子商务非军事区域的实现电子商务非军事区域的实现 (四四)多区网络存在的问题多区网络存在的问题 4/17/20229(一一)DMZ的概念的概念 DMZ(demilitarized zone)的定义：是指为不的定义：是指为不信任系统提供服务的孤立网段，它是两个防信任系统提供服务的孤立网段，它是两个防火墙之间的网段。火墙之间的网段。 DMZ网段的创建方法通常有两种。网段的创建方法通常有两种。 1.两个防火墙的两个防火墙的DMZ 系统放置在有不同规则的两个防火墙之间，系统放置在有不同规则的两个防火墙之间，

8、这就能允许这就能允许Internet上的系统连接到上的系统连接到DMZ系系统提供的服务，但不能连接到企业内部网段统提供的服务，但不能连接到企业内部网段(通常叫做受保护网络通常叫做受保护网络)中的电脑。中的电脑。4/17/202210二、非军事区域二、非军事区域(DMZ) 图示为：两个防火墙的图示为：两个防火墙的DMZ4/17/202211二、非军事区域二、非军事区域(DMZ) 2.单个防火墙的单个防火墙的DMZ（如上图）（如上图）实现实现DMZ网段的方法是在防火墙上实际增加第三个网段的方法是在防火墙上实际增加第三个接口，并将接口，并将DMZ系统放置在那个网段。系统放置在那个网段。允许同一个防火

9、墙管理允许同一个防火墙管理Internet。降低了硬件的花。降低了硬件的花费，集中了网络的规则集，使管理和处理问题更容费，集中了网络的规则集，使管理和处理问题更容易。现在已成为创建易。现在已成为创建DMZ网段的主要方法。网段的主要方法。 4/17/202212DMZ目的：就是把敏感的内部网络和其他提目的：就是把敏感的内部网络和其他提供访问服务的网络分离开，为网络层提供深供访问服务的网络分离开，为网络层提供深度的防御。度的防御。DMZ作用：防火墙上的策略和访问控制系统作用：防火墙上的策略和访问控制系统定义限制了通过定义限制了通过DMZ的全部通信数据。相反，的全部通信数据。相反，在在Interne

10、t和企业内部网之间的通信数据通和企业内部网之间的通信数据通常是不受限制的。常是不受限制的。4/17/202213(二二)非军事区域的设置非军事区域的设置 安全的安全的DMZ配置配置4/17/202214(二二)非军事区域的设置非军事区域的设置DMZ是放置公共信息的最佳位置，把没有包是放置公共信息的最佳位置，把没有包含敏感数据、担当代理数据访问职责的主机含敏感数据、担当代理数据访问职责的主机放置于放置于DMZ中，这样用户、潜在用户和外部中，这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司访问者都可以直接获得他们所需的关于公司的一些信息，而不用通过内部网。的一些信息，而不用通过内部网

11、。企业的机密和私人的信息可以安全地存放在企业的机密和私人的信息可以安全地存放在内部网中，即内部网中，即DMZ的后面。的后面。 4/17/202215(二二)非军事区域的设置非军事区域的设置可以在下列系统中装入非军事区域可以在下列系统中装入非军事区域(DMZ)安全网络：安全网络： 载有公共信息的网络服务器。载有公共信息的网络服务器。 与电子商务交易服务器相连接的前端机，该前端机用与电子商务交易服务器相连接的前端机，该前端机用来接收客户订单。存放客户资料的后端应置于防火墙之后。来接收客户订单。存放客户资料的后端应置于防火墙之后。 把外来电子邮件中转至内部的邮件服务器。把外来电子邮件中转至内部的邮件

12、服务器。 可据此进入内部网络的证书服务及服务器。可据此进入内部网络的证书服务及服务器。 虚拟专用网络上的各端点。虚拟专用网络上的各端点。 应用应用(层层)网关。网关。 测试及登录服务器测试及登录服务器(根据系统要求或用户请求，使数根据系统要求或用户请求，使数据从一个脱机或优先权低的设备返回到一个联机的或优先据从一个脱机或优先权低的设备返回到一个联机的或优先权高的设备的过程权高的设备的过程)。4/17/202216(三三)电子商务非军事区域的实现电子商务非军事区域的实现 网络存储顾客信息和网络存储顾客信息和金融数据与存储商业金融数据与存储商业处理的普通信息的需处理的普通信息的需求是不同的。很多网

13、求是不同的。很多网站通过实现一个多网站通过实现一个多网段结构来更好地管理段结构来更好地管理和安全化商业信息。和安全化商业信息。第一个网段是用于信第一个网段是用于信息存储的，第二个网息存储的，第二个网段则是特别用于商业段则是特别用于商业信息的处理的。信息的处理的。电子商务系统中DMZ的实现 4/17/202217(四四)多区网络存在的问题多区网络存在的问题 随着网站的成长，要提供新的功能，可能需要建立随着网站的成长，要提供新的功能，可能需要建立新的区。重复上面的过程，建立管理这些新网段的新的区。重复上面的过程，建立管理这些新网段的规则集。规则集。：一定要监视和检查任何变动，备份旧的：一定要监视和

14、检查任何变动，备份旧的规则集以备紧急的时候需要回复过去。规则集以备紧急的时候需要回复过去。：创建和管理诸如防火墙、：创建和管理诸如防火墙、IDS入侵检测入侵检测系统（即系统（即Intrusion Detection System）签名和用）签名和用户访问规则之类的安全控制是个很大的任务，户访问规则之类的安全控制是个很大的任务，。 4/17/2022184/17/202219三、虚拟专用网三、虚拟专用网(VPN)InternetIntranet内部网内部网4/17/202220三、虚拟专用网三、虚拟专用网(VPN) 通过通过Internet或或其他线路其他线路(如私有网络和租用的线路等如私有网络

15、和租用的线路等)在公在公司外地雇员、驻外机构、公司总部及其相关司外地雇员、驻外机构、公司总部及其相关企业和组织机构之间企业和组织机构之间，以保证所传输信息的安全性和完整，以保证所传输信息的安全性和完整性，并设置用户对特定资源的访问权限。性，并设置用户对特定资源的访问权限。 4/17/202221三、虚拟专用网三、虚拟专用网(VPN) (一一) 技术技术 (二二) IPSec协议协议 4/17/202222(一一) VPN技术技术 通过一个公共网络通过一个公共网络(通常是通常是Internet)建立一个建立一个临时的、安全的与内网的连接。临时的、安全的与内网的连接。可以帮助远程用户与公司的内部网

16、建可以帮助远程用户与公司的内部网建立可信的安全连接，并保证数据的安全传输。立可信的安全连接，并保证数据的安全传输。即即大幅度地减少用户花费在大幅度地减少用户花费在WAN上和上和远程网络连接上的费用。远程网络连接上的费用。使用使用VPNVPN将简化网络的设计和管理，将简化网络的设计和管理，加速连接新的用户和网站。加速连接新的用户和网站。可以保护现有的网络投资。可以保护现有的网络投资。 4/17/202223(一一) VPN技术技术： 以保证通过公网传输的信息即以保证通过公网传输的信息即使被他人截获也不会泄露。使被他人截获也不会泄露。 保证信息的完整性、保证信息的完整性、合法性，并能鉴别用户的身份

17、。合法性，并能鉴别用户的身份。 不同的用户有不同的访问不同的用户有不同的访问权限。权限。 4/17/202224(一一) VPN技术技术 (Secure Tunneling Technology)。将待传输的原始信息经过加密和协议封装处理后再将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送人公共网络嵌套装入另一种协议的数据包送人公共网络(如如Internet)中，像普通数据包一样传输。中，像普通数据包一样传输。经过这样的处理，只有经过这样的处理，只有和和的用户对隧道的用户对隧道中的嵌套中的嵌套能进行能进行，其他用户看到的，其他用户看到的只是无意义的信息，就像是在源端和目

18、标端的用户只是无意义的信息，就像是在源端和目标端的用户之间建立了一个安全的信息专用隧道。之间建立了一个安全的信息专用隧道。 4/17/202225(一一) VPN技术技术隧道模式的隧道模式的VPN框架框架 4/17/202226(一一) VPN技术技术(User Authentication Technology)。在隧道连接开始之前需要确认用户的身份，以便于在隧道连接开始之前需要确认用户的身份，以便于系统进一步实施资源访问控制或用户授权。系统进一步实施资源访问控制或用户授权。(Access Control Technology)。由由VPN服务的提供者与最终网络信息资源的提供者服务的提供者与

19、最终网络信息资源的提供者共同确定特定用户对特定资源的访问权限，以此实共同确定特定用户对特定资源的访问权限，以此实现基于用户访问的访问控制，以实现对信息资源的现基于用户访问的访问控制，以实现对信息资源的最大限度的保护。最大限度的保护。4/17/202227(一一) VPN技术技术 4/17/202228(二二) IPSec协议协议 IPsec主要提供主要提供IP网络层上的加密通信能力。网络层上的加密通信能力。 (1)IP security Protocol proper，定义，定义IPsec报文格式。报文格式。 (2)ISAKMPOakley，负责加密通信协商。，负责加密通信协商。4/17/20

20、2229(二二) IPSec协议协议 (1)IPsec Tunnel：整个：整个IP封装在封装在Ipsec报报文。提供文。提供IPsecgateway之间的通信。之间的通信。 (2)IPsec transport：对：对IP包内的数据进行包内的数据进行加密，使用原来的源地址和目的地址。加密，使用原来的源地址和目的地址。 4/17/202230四、入侵检测系统四、入侵检测系统(IDS) （即（即Intrusion Detection System）(一一)入侵检测概念入侵检测概念(二二)基于主机的基于主机的IDS(三三)基于网络的基于网络的IDS (四四)入侵检测技术发展方向入侵检测技术发展方向

21、 4/17/202231(一一)入侵检测概念入侵检测概念通过计算机网络或计算机系统中的若干通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭络或系统中是否有违反安全策略的行为和遭到袭击的迹象。到袭击的迹象。入侵检测是对防火墙的合理补充，帮入侵检测是对防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的助系统对付网络攻击，扩展了系统管理员的安全管理能力安全管理能力(包括安全审计、监视、攻击识包括安全审计、监视、攻击识别和响应别和响应)，提高了信息安全基础结构的完整，提高了信息安全基础结构的完整

22、性。性。4/17/202232(一一)入侵检测概念入侵检测概念监视、分析用户及系统活动；监视、分析用户及系统活动；系统构造和弱点的审计；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；异常行为模式的统计分析；评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全操作系统的审计跟踪管理，并识别用户违反安全策略的行为。策略的行为。4/17/202233(二二)基于主机的基于主机的IDS基于主机的基于主机的IDS主要用于主要用于的的服务器，它是服务器，它是的入侵检

23、测系统。的入侵检测系统。是检测主机系统是否受到外部或是检测主机系统是否受到外部或内部的攻击以及系统本地用户是否有滥用或内部的攻击以及系统本地用户是否有滥用或误用行为。误用行为。是根据系统审计记录和系统日志是根据系统审计记录和系统日志文件、应用程序日志、目录和文件的不期望文件、应用程序日志、目录和文件的不期望改变、程序执行中的非正常行为等信息来发改变、程序执行中的非正常行为等信息来发现系统是否存在可疑事件的。现系统是否存在可疑事件的。4/17/202234(二二)基于主机的基于主机的IDS基于主机的基于主机的IDS之之 基于主机的基于主机的IDS可以从系统审计和事件可以从系统审计和事件日志中提取

24、攻击信息，从而判断本地或远程日志中提取攻击信息，从而判断本地或远程用户是否做了系统的安全规则。用户是否做了系统的安全规则。 基于主机的基于主机的IDS可以精确地判断入侵事可以精确地判断入侵事件，并可对入侵事件立即进行反应。件，并可对入侵事件立即进行反应。 基于主机的基于主机的IDS还可以针对不同的操作还可以针对不同的操作系统的特点判断应用层的入侵事件。系统的特点判断应用层的入侵事件。 4/17/202235(二二)基于主机的基于主机的IDS基于主机的基于主机的IDS之之占用主机资源，在服务器上产生额外的负占用主机资源，在服务器上产生额外的负载。载。缺乏跨平台支持，可移植性差，因而应用缺乏跨平台

25、支持，可移植性差，因而应用范围受到严重限制。范围受到严重限制。4/17/202236(三三)基于网络的基于网络的IDS主要表现：主要表现：主机的审计信息容易受到攻击，入侵者可通过使主机的审计信息容易受到攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来用某些系统特权或调用比审计本身更低级的操作来逃避审计；逃避审计；不能通过分析主机审计记录来检测网络攻击不能通过分析主机审计记录来检测网络攻击(域名域名欺骗、端口扫描等欺骗、端口扫描等)；基于主机的基于主机的IDS的运行或多或少地影响服务器的的运行或多或少地影响服务器的性能；性能；只能对服务器的特定用户和应用程序的执行动作、只能对服务

26、器的特定用户和应用程序的执行动作、日志进行检测，所能检测到的攻击类型有限。日志进行检测，所能检测到的攻击类型有限。4/17/202237(三三)基于网络的基于网络的IDS基于网络的基于网络的IDS基于网络的入侵检测基于网络的入侵检测IDS放置在比较重要的放置在比较重要的网段内，不停地监视网段中的各种数据包。网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，析。如果数据包与产品内置的某些规则吻合，入侵检测系统认为受到攻击，就会发出通知、入侵检测系统认为受到攻击，就会发出通知、警报甚至直接切断网

27、络连接。警报甚至直接切断网络连接。基于网络的基于网络的IDS基于网络的入侵检测基于网络的入侵检测IDS通常放置在通常放置在。 4/17/202238(三三)基于网络的基于网络的IDS 4/17/202239(三三)基于网络的基于网络的IDS 通过实时监视网络数据包和网络管理信息，通过实时监视网络数据包和网络管理信息，来寻找具有网络供给特征的活动。来寻找具有网络供给特征的活动。 可以检测包括协议攻击和某些特定攻击可以检测包括协议攻击和某些特定攻击在内的各种攻击。在内的各种攻击。 基于网络的入侵检测系统通常可以适合基于网络的入侵检测系统通常可以适合多种网络环境。多种网络环境。 基于网络的入侵检测系

28、统不基于网络的入侵检测系统不会对服务器以及网络整体性能造成影响。会对服务器以及网络整体性能造成影响。4/17/202240(三三)基于网络的基于网络的IDS基于网络的入侵检测系统存在的基于网络的入侵检测系统存在的： 只能监视经过本网段的活动，精确度不只能监视经过本网段的活动，精确度不高。高。 在交换网络环境下难以配置。在交换网络环境下难以配置。 防入侵欺骗的能力较差，难以定位入侵。防入侵欺骗的能力较差，难以定位入侵。4/17/202241(四四)入侵检测技术发展方向入侵检测技术发展方向 主要反映在下列几个主要反映在下列几个方面：方面： (1)入侵或攻击的综合化与复杂化。入侵或攻击的综合化与复杂

29、化。 (2)入侵主体对象的间接化，即实施入侵与入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽性。攻击的主体的隐蔽性。 (3)人侵或攻击的规模扩大。人侵或攻击的规模扩大。 (4)入侵或攻击技术的分布化。入侵或攻击技术的分布化。 (5)攻击对象的转移。攻击对象的转移。4/17/202242(四四)入侵检测技术发展方向入侵检测技术发展方向含义一是针对分布式网络攻击的含义一是针对分布式网络攻击的检测方法；含义二是使用分布式的方法来检测分布式的检测方法；含义二是使用分布式的方法来检测分布式的攻击。攻击。使用智能化的方法与手段来进行使用智能化的方法与手段来进行入侵检测。所谓的入侵检测。所谓的，现阶段常

30、用的有，现阶段常用的有等方法，这些方法等方法，这些方法常用于入侵特征的辨识与泛化。利用常用于入侵特征的辨识与泛化。利用来来构建入侵检测系统也是常用的方法之一。构建入侵检测系统也是常用的方法之一。即使用安全工程风险管理的即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从整体工程来处理。从等多方位对所关注的网络作全等多方位对所关注的网络作全面的评估，然后提出可行的解决方案。面的评估，然后提出可行的解决方案。4/17/202243五、认证五、认证 (一一)第三方认证第三方认证 (二二)PKI组成组成 (三三)证书

31、认证机构证书认证机构CA 4/17/202244(一一)第三方认证第三方认证在电子商务中，必须从技术上保证在交易过程中能在电子商务中，必须从技术上保证在交易过程中能够实现身份认证、安全传输、不可否认性、数据完够实现身份认证、安全传输、不可否认性、数据完整性。整性。数字证书认证技术采用了加密传输和数字签名，能数字证书认证技术采用了加密传输和数字签名，能够实现上述要求，因此在国内外电子商务中，得到够实现上述要求，因此在国内外电子商务中，得到了广泛的应用。了广泛的应用。 PKI采用证书进行公钥管理，通过第三方的可信任采用证书进行公钥管理，通过第三方的可信任机构机构(认证中心，即认证中心，即CA)，把

32、用户的公钥和用户的其，把用户的公钥和用户的其他标识信息捆绑在一起，其中包括用户名和电子邮他标识信息捆绑在一起，其中包括用户名和电子邮件地址等信息，以在件地址等信息，以在Internet网上验证用户的身份。网上验证用户的身份。 4/17/202245(二二)PKI组成组成PKI（Public Key Infrastructure）即）即“”。 PKI在实际应用上是一套软硬件系统和安全在实际应用上是一套软硬件系统和安全策略的集合，它提供了一整套安全机制，使策略的集合，它提供了一整套安全机制，使用户在不知道对方身份或分布地很广的情况用户在不知道对方身份或分布地很广的情况下，以证书为基础，通过一系列的

33、信任关系下，以证书为基础，通过一系列的信任关系进行通信和电子商务交易。进行通信和电子商务交易。4/17/202246(二二)PKI组成组成一个简单的一个简单的PKI系统包括证书机构系统包括证书机构CA、注册机构注册机构RA和相应的和相应的PKI存储库。存储库。其各部分作用如下：其各部分作用如下：CA(Certificate Authority)用于签发并管理证书；用于签发并管理证书；RA(Registration Authority)，数字证书注册审批，数字证书注册审批机构。机构。RA系统是系统是CA的证书发放、管理的延伸。它的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放

34、等负责证书申请者的信息录入、审核以及证书发放等工作工作(安全审计安全审计)。同时，对发放的证书完成相应的。同时，对发放的证书完成相应的管理功能管理功能(安全管理安全管理)。PKI存储库包括存储库包括LDAP目录服务器和普通数据库，用目录服务器和普通数据库，用于对用户申请、证书、密钥、于对用户申请、证书、密钥、CRL和日志等信息进和日志等信息进行存储和管理，并提供一定的查询功能。行存储和管理，并提供一定的查询功能。 4/17/202247(三三)证书认证机构证书认证机构CA1数字证书基础数字证书基础 2发行证书的发行证书的CA签名签名 3CA框架模型框架模型 4证书的申请和撤消证书的申请和撤消

35、5证书管理证书管理 6密钥管理密钥管理 7证书的使用证书的使用 4/17/2022481数字证书基础数字证书基础 CA(Certificate Authority)是数字证书认证中是数字证书认证中心的简称，是指发放、管理、废除数字证书心的简称，是指发放、管理、废除数字证书的机构。的机构。 数字证书是一个经证书授权中心数字签名的数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文包含公开密钥拥有者信息和公开密钥的文件。件。数字证书是一种数字标识，是数字证书是一种数字标识，是Internet上的上的安全护照或身份证明。安全护照或身份证明。 4/17/202249 4/17/2

36、022502发行证书的发行证书的CA签名签名 证书第二部分包括证书第二部分包括CA的签名和用来生成数字的签名和用来生成数字签名的签名算法。签名的签名算法。任何人收到证书后都能使用签名算法来验证任何人收到证书后都能使用签名算法来验证证书是不是由证书是不是由CA的签名密钥签署的。的签名密钥签署的。 4/17/2022513CA框架模型框架模型 证书机构证书机构CA用于创建和发布证书，它通常为一个用于创建和发布证书，它通常为一个称为安全域称为安全域(Securitv Domain)的有限群体发放证的有限群体发放证书。书。 创建证书的时候，创建证书的时候，CA系统首先获取用户的请求信系统首先获取用户的

37、请求信息，其中包括用户公钥息，其中包括用户公钥(公钥一般由用户端产生，如公钥一般由用户端产生，如电子邮件程序或浏览器等电子邮件程序或浏览器等)，CA将根据用户的请求将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。信息产生证书，并用自己的私钥对证书进行签名。其他用户、应用程序或实体将使用其他用户、应用程序或实体将使用CA的公钥对证的公钥对证书进行验证。如果一个书进行验证。如果一个CA系统是可信的，则验证系统是可信的，则验证证书的用户可以确信，他所验证的证书中的公钥属证书的用户可以确信，他所验证的证书中的公钥属于证书所代表的那个实体。于证书所代表的那个实体。 4/17/2022523C

38、A框架模型框架模型 CA还负责维护和发布证书废除列表还负责维护和发布证书废除列表(Certificate Revocation Lists，又称为，又称为 )。当一个证书，特别是其中的公钥因为。当一个证书，特别是其中的公钥因为其他原因无效时其他原因无效时(不是因为到期不是因为到期)，CRL提供了一种提供了一种通知用户和其他应用的中心管理方式。通知用户和其他应用的中心管理方式。CA系统生成系统生成CRL以后，要么是放到以后，要么是放到LDAP(目录访目录访问协议问协议，Lightweight Directory Access Protocol )服务器中供用户查询或下载，要么是放服务器中供用户查

39、询或下载，要么是放置在置在Web服务器的合适位置，以页面超级链接的方服务器的合适位置，以页面超级链接的方式供用户直接查询或下载。式供用户直接查询或下载。 4/17/2022533CA框架模型框架模型4/17/2022544证书的申请和撤消证书的申请和撤消 证书的申请有两种方式，一是在线申请，另证书的申请有两种方式，一是在线申请，另外一种就是离线申请。外一种就是离线申请。 就是通过浏览器或其他应用系统通就是通过浏览器或其他应用系统通过在线的方式来申请证书，这种方式一般用过在线的方式来申请证书，这种方式一般用于申请普通用户证书或测试证书。于申请普通用户证书或测试证书。一般通过人工的方式直接到证书机

40、一般通过人工的方式直接到证书机构证书受理点去办理证书申请手续，通过审构证书受理点去办理证书申请手续，通过审核后获取证书，这种方式一般用于比较重要核后获取证书，这种方式一般用于比较重要的场合，如服务器证书和商家证书等。的场合，如服务器证书和商家证书等。 4/17/2022554证书的申请和撤消证书的申请和撤消在线申请步骤如下：在线申请步骤如下： 用户使用浏览器通过用户使用浏览器通过Internet访问安全服务器，下载访问安全服务器，下载CA的数字证书的数字证书(又叫做根证书又叫做根证书)，然后注册机构服务器对用户进，然后注册机构服务器对用户进行身份审核，认可后便批准用户的证书申请，然后操作员对行

41、身份审核，认可后便批准用户的证书申请，然后操作员对证书申请表进行数字签名，并将申请及其签名一起提交给证书申请表进行数字签名，并将申请及其签名一起提交给CA服务器。服务器。 CA操作员获得注册机构服务器操作员签发的证书申请，操作员获得注册机构服务器操作员签发的证书申请，发行证书或者拒绝发行证书，然后将证书通过硬拷贝的方式发行证书或者拒绝发行证书，然后将证书通过硬拷贝的方式传输给注册机构服务器。传输给注册机构服务器。 注册机构服务器得到用户的证书以后将用户的一些公开信注册机构服务器得到用户的证书以后将用户的一些公开信息和证书放到息和证书放到LDAP服务器上提供目录浏览服务，并且通过服务器上提供目录

42、浏览服务，并且通过电子邮件的方式通知用户从安全服务器上下载证书。电子邮件的方式通知用户从安全服务器上下载证书。 用户根据邮件的提示到指定的网址下载自己的数字证书，用户根据邮件的提示到指定的网址下载自己的数字证书，而其他用户可以通过而其他用户可以通过LDAP服务器获得他的公钥数字证书。服务器获得他的公钥数字证书。 4/17/2022565证书管理证书管理 实际中的证书系统以树型结构存在，并根据实际中的证书系统以树型结构存在，并根据需要和系统级别分为不同的层次。需要和系统级别分为不同的层次。 如一个全国性的证书系统，如一个全国性的证书系统，根根CA集中控制，集中控制，每一个省级单位可建立一个二级每

43、一个省级单位可建立一个二级CA，市级地区可建立一个三级市级地区可建立一个三级CA，依此类推，并根据需要和级别，在不同的依此类推，并根据需要和级别，在不同的CA处为用户颁发证书。处为用户颁发证书。4/17/2022576密钥管理密钥管理 密钥对的产生是证书申请过程中重密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由用户保留，公钥和其要的一步，其中产生的私钥由用户保留，公钥和其他信息则交于他信息则交于CA中心进行签名，从而产生证书。中心进行签名，从而产生证书。PKI系统必须备份用于加密的系统必须备份用于加密的密钥对，并允许用户进行恢复，否则，用于解密的密钥对，并允许用户进行恢复，否则，用于

44、解密的私钥丢失将意味着加密数据的完全不可恢复。私钥丢失将意味着加密数据的完全不可恢复。对每一个由对每一个由CA颁发的证书都会有有颁发的证书都会有有效期，密钥对生命周期的长短由签发证书的效期，密钥对生命周期的长短由签发证书的CA中中心来确定，各心来确定，各CA系统的证书有效期限有所不同，系统的证书有效期限有所不同，一般为一般为23年。年。 4/17/2022587证书的使用证书的使用在电子商务系统中，证书的持有者可以是在电子商务系统中，证书的持有者可以是等。等。完整的验证过程：完整的验证过程： 将客户端发来的数据解密。将客户端发来的数据解密。 将解密后的数据分解成原始数据、签名数据和客户证书将解

45、密后的数据分解成原始数据、签名数据和客户证书三部分。三部分。 用用CA根证书验证客户证书的签名完整性。根证书验证客户证书的签名完整性。 检查客户证书是否有效检查客户证书是否有效(当前时间在证书结构中的所定当前时间在证书结构中的所定义的有效期内义的有效期内)。 检查客户证书是否作废。检查客户证书是否作废。 验证客户证书结构中的证书用途。验证客户证书结构中的证书用途。 验证客户证书原始数据的签名完整性。验证客户证书原始数据的签名完整性。 4/17/202259思考题思考题 1简述防火墙的工作原理。简述防火墙的工作原理。 2描述包过滤防火墙的基本原理及特点。描述包过滤防火墙的基本原理及特点。 3描述代理防火墙的基本原理及特点。描述代理防火墙的基本原理及特点。 4DMZ的主要原理及实现方式有哪些的主要原理及实现方式有哪些? 5什么是入侵检测系统什么是入侵检测系统? 试比较基于网试比较基于网络的入侵检测系统和基于主机的入侵检测系络的入侵检测系统和基于主机的入侵检测系统统? 6叙述叙述PKI原理。原理。4/17/202260演讲完毕，谢谢观看！