第六章應(yīng)用安全

1、LOGO應(yīng)用安全應(yīng)用安全德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲本章要點1電子商務(wù)安全的現(xiàn)狀2. 加密技術(shù)、數(shù)字簽名技術(shù)和數(shù)字時間戳3. 認(rèn)證技術(shù)4.電子商務(wù)安全協(xié)議：SSL協(xié)議和SET協(xié)議5. 瀏覽器、服務(wù)器安全問題6. HTTP協(xié)議、HTML語言德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲應(yīng)用安全vInternet 無處不在，web要廣泛地使用，它的安全性就是必須要考慮的重要問題之一。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.1web技術(shù)簡介 web又稱world wide web（萬維網(wǎng)），其基本結(jié)構(gòu)是采用開放式的客戶機(jī)/服務(wù)器結(jié)構(gòu)（Client/Server），分成服務(wù)器端、

2、客戶機(jī)接收端及傳輸規(guī)程3個部分。服務(wù)器規(guī)定傳輸設(shè)定、信息傳輸格式和服務(wù)器本身的開放式結(jié)構(gòu)，客戶機(jī)統(tǒng)稱瀏覽器，用于向服務(wù)器發(fā)送資源索取請求，并將接收到的信息進(jìn)行解碼和顯示；通信協(xié)議是web瀏覽器與服務(wù)器之間進(jìn)行通信傳輸?shù)囊?guī)范。 德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.1.1HTTP協(xié)議vHTTP（超文本傳輸協(xié)議）是分布式的web應(yīng)用的核心技術(shù)協(xié)議，在TCP/IP協(xié)議棧中屬于應(yīng)用層。他定義web瀏覽器向web服務(wù)器發(fā)送索取web頁面請求格式以及文頁面在Internet上的傳輸方式。HTTP協(xié)議一直在不斷發(fā)展和完善。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.1.2HTML語言與其他的w

3、eb編程語言vWeb的特點決定了web的內(nèi)容必須能夠以適當(dāng)?shù)男问絹斫M織和安排，使得他在各種平臺上的web瀏覽器上能夠得到正確的解釋，并具有豐富層次的界面。vHTML幾乎為所有常見的web瀏覽器所支持。vHTML中可以包括層疊式樣表CSS。CSS屬于一種式樣設(shè)計模版。它能夠幫助用戶控制HTML元素的呈現(xiàn)方式和輪廓，將HTML的內(nèi)容制作和式樣設(shè)計分開。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.1.3web服務(wù)器vInternet上眾多的web服務(wù)器匯集了大量的信息，web服務(wù)器的作用就是管理這些文檔，處理用戶發(fā)來的各種請求，將滿足用戶要求的信息返回給用戶。v 其實，本質(zhì)上來說，web服務(wù)器是

4、駐留在服務(wù)器上的一個程序，通過web瀏覽器與用戶交互操作，為用戶提供興趣信息。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.1.4web瀏覽器vWeb瀏覽器是閱讀web上信息的客戶端軟件。如果用戶在本地上安裝了web瀏覽器軟件，就可以讀取web上的信息了。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.1.5公共網(wǎng)關(guān)接口vCGI（公共網(wǎng)關(guān)接口）是web信息服務(wù)器與外部應(yīng)用程序之間交換數(shù)據(jù)的標(biāo)準(zhǔn)接口。v1.CGI的功能 （1）收集從web瀏覽器發(fā)送給web服務(wù)器的信息，并且把這些信息傳送給外部程序。 （2）把外部程序的輸出作為web服務(wù)器對發(fā)送信息的web瀏覽器的響應(yīng)，發(fā)送給該web瀏覽器。

5、（3）通過CGI程序，web服務(wù)器真正實現(xiàn)了與web瀏覽器用戶之間的交互。比如：可以收集用戶意見和建議、根據(jù)用戶要求，從服務(wù)器上的數(shù)據(jù)庫中提取相關(guān)信息并回傳給用戶、為用戶創(chuàng)建動態(tài)的圖表，如股票市場動態(tài)走勢圖等德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.1.5公共網(wǎng)關(guān)接口vCGI工作原理 在HTML文件中，表單與CGI程序配合使用，共同來完成信息交流的目的。一般過程如下：1.用戶web瀏覽器提交表單登錄2.Web瀏覽器發(fā)送登錄請求到web服務(wù)器3.Web服務(wù)器分析web瀏覽器發(fā)送來的數(shù)據(jù)包，確認(rèn)是CGI請求，然后通過CGI將表單數(shù)據(jù)按照一定格式發(fā)送給相應(yīng)的CGI應(yīng)用程序。4.CGI應(yīng)用程序?qū)?/p>

6、數(shù)據(jù)處理、驗證，將動態(tài)生成的頁面發(fā)送給web服務(wù)器。5.Web服務(wù)器把CGI應(yīng)用程序生成的頁面發(fā)送給請求登錄的web瀏覽器。6.Web瀏覽器接收到并解釋、顯示頁面。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.1.5公共網(wǎng)關(guān)接口vCGI與服務(wù)器的交互關(guān)系1.Post方式。Web服務(wù)器通過標(biāo)準(zhǔn)輸入方式把數(shù)據(jù)轉(zhuǎn)換交給CGI應(yīng)用程序。數(shù)據(jù)處理完畢后，將結(jié)果輸出到標(biāo)準(zhǔn)輸出即可為web服務(wù)器所接收。2.Get方式。在UNIX類的系統(tǒng)中，web服務(wù)器通過環(huán)境變量把數(shù)據(jù)交給CGI應(yīng)用程序。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.2web的安全需求v6.2.1web的優(yōu)點與缺點 web帶來的利益 建

7、立和使用網(wǎng)站不再是困難的事情。軟件豐富，硬件價格低廉，web服務(wù)可以減輕商家負(fù)擔(dān)，提高用戶滿意度，節(jié)省人力，商家可以很容易的把服務(wù)推廣到全球網(wǎng)絡(luò)覆蓋的地方。隨著web技術(shù)的不斷更新和完善，他肯定會推出更加先進(jìn)的服務(wù)。Web帶來的憂慮 1.信息泄露 2.拒絕服務(wù) 3.系統(tǒng)崩潰 4.跳板 德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.2.2web安全風(fēng)險與體系結(jié)構(gòu)v Web的安全有很多因素需要考慮，比如：web服務(wù)器的安全、web服務(wù)器所在的網(wǎng)絡(luò)安全、web瀏覽器的無辜用戶的安全風(fēng)險等。 1.web的安全體系結(jié)構(gòu)Web的安全體系結(jié)構(gòu)非常復(fù)雜，具體來說，包括以下幾個方面： web瀏覽器軟件的安全

8、web服務(wù)器上web服務(wù)器軟件的安全 主機(jī)系統(tǒng)的安全 客戶機(jī)端的局域網(wǎng) 服務(wù)器端的局域網(wǎng) Internet德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.2.2web安全風(fēng)險與體系結(jié)構(gòu)v2.主機(jī)系統(tǒng)的安全 主機(jī)系統(tǒng)的安全指瀏覽器端的計算機(jī)設(shè)備及其操作系統(tǒng)的安全。 通常情況下，對某計算機(jī)的使用權(quán)限，主要是通過口令來約束的。 關(guān)于口令不安全主要有以下幾點： （1）大部分計算機(jī)沒有提供認(rèn)證系統(tǒng)，根本沒有口令與身份認(rèn)證的概念。 （2）非法獲取口令，這是網(wǎng)絡(luò)上主機(jī)的最大的安全威脅。主要有兩種途徑： 一、口令破譯 二、口令監(jiān)聽德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.2.2web安全風(fēng)險與體系結(jié)構(gòu)v

9、3網(wǎng)絡(luò)系統(tǒng)的安全v4web應(yīng)用的安全 （1）web服務(wù)器的安全需求 （2）web瀏覽器的安全需求 （3）web傳輸過程的安全需求德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.2.3web服務(wù)器的安全需求v要真正做到安全，要考慮安全需求，主要有以下幾個方面： 1.維護(hù)公布信息的真實、完整性 2.維持web服務(wù)的安全可用 3.保護(hù)web訪問者的隱私 4.保證web服務(wù)器不被入侵者作為“跳板”使用德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.2.4web瀏覽器的安全需求v一般情況下，用戶使用web瀏覽器獲取信息時，安全需求有以下幾個方面： 1.確保運(yùn)行瀏覽器的系統(tǒng)不被病毒或者木馬或者其他惡意程序

10、侵害而遭受破壞。 2.確保個人安全信息不外泄。 3.確保所交互的站點的真實性，以免被騙，遭受損失。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.2.5web傳輸?shù)陌踩枨髒不同web應(yīng)用對于傳輸有不同的要求，但一般都包括以下幾個方面： 1.保證傳輸方（信息）的真實性。 2.保證傳輸信息的完整性。 3.特殊的安全性較高的web，需要傳輸?shù)谋Ｃ苄浴?4.認(rèn)證應(yīng)用的web，需要信息的不可否認(rèn)性。 5.對于防偽要求較高的web應(yīng)用，保證信息的不可重復(fù)性 。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.3web服務(wù)器安全策略v6.3.1定制安全政策 無論多么優(yōu)秀的系統(tǒng)，必須有人的安全管理和合法地使用

11、；否則，就沒有安全可言。所以，要有安全政策。他包括以下幾個方面： 1.定義安全資源，進(jìn)行重要等級劃分 2.進(jìn)行安全風(fēng)險評估 3.制定安全策略的基本原則 4.簡歷安全培訓(xùn)制度 5.具有意外事件處理措施德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.3web服務(wù)器安全策略v6.3.2認(rèn)真組織web服務(wù)器 服務(wù)器的安全策略有很多內(nèi)容，再次簡單說明幾個必須的內(nèi)容。 1.認(rèn)真選擇web服務(wù)器設(shè)備和相關(guān)軟件 2.仔細(xì)配置web服務(wù)器 （1）將web服務(wù)器與內(nèi)部網(wǎng)絡(luò)分隔開來 （2）維護(hù)安全的web站點的拷貝 （3）合理配置主機(jī)系統(tǒng) （4）合理配置web服務(wù)器軟件 3.謹(jǐn)慎組織web服務(wù)器的相關(guān)內(nèi)容 4.安全

12、管理web服務(wù)器德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.4web瀏覽器安全v6.4.1瀏覽器自動引發(fā)的應(yīng)用、 1.postscrip文件 2.配置/bin/csh作為查看器 3.Javal Applet的安全性 4.JavaScript的安全性 5.ActiveX的安全性 6.安全對策 德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.4web瀏覽器安全v6.4.2web頁面或者下載文件中內(nèi)嵌的惡意代碼 由于某些動態(tài)頁面以來源不可信的用戶輸入的數(shù)據(jù)為參數(shù)生成頁面，所以web網(wǎng)頁中可能會不經(jīng)意地包含一些惡意的腳本程序等。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.4web瀏覽器安全v6

13、.4.3瀏覽器本身的漏洞 緩沖區(qū)溢出漏洞 遞歸frames漏洞 IE5的ActiveX漏洞 重定向漏洞德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.4web瀏覽器安全v6.4.4瀏覽器泄露的敏感信息 web服務(wù)器大多對每次接受的訪問都作相應(yīng)的記錄，并保存到日志文件中。通常包括來訪IP地址或者用戶名、請求的URL、請求的狀態(tài)、傳輸數(shù)據(jù)的大小，瀏覽器在向外傳送信息的時候，很可能已經(jīng)把自己的敏感信息發(fā)送出去了。德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.4.5web欺騙v由于Internet上web網(wǎng)頁容易復(fù)制的特點，使得web欺騙變得很簡單。 1.欺騙攻擊 2.web欺騙攻擊的原理 3.對策

14、德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.5電子商務(wù)安全技術(shù)v6.5.1電子商務(wù)安全需求 要保證電子商務(wù)活動的安全可靠，真正實現(xiàn)一個安全的電子商務(wù)系統(tǒng)，一般來說，電子商務(wù)安全有以下需求： 1.保密性 2.正確性和完整性 3.身份的確定性 4.不可抵賴性德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.5電子商務(wù)安全技術(shù)v6.5.2認(rèn)證技術(shù) 電子商務(wù)交易安全在技術(shù)上要解決兩大問題：安全傳輸和身份認(rèn)證。 1.數(shù)字證書 （1）數(shù)字證書的概念 （2）數(shù)字證書的類型 （3）數(shù)字證書的申請 （4）數(shù)字證書的用途 2.認(rèn)證中心 （1）CA整體框架 （2）CA的功能德州科技職業(yè)學(xué)院德州科技職業(yè)學(xué)院佟佳哲佟佳哲6.5電子商務(wù)安全技術(shù)v6.5.3電子商務(wù)安全協(xié)議 1.安全套接層SSL協(xié)議 SSL協(xié)議主要提供三方面服務(wù)： （1）用戶和服務(wù)器的合法性認(rèn)證 （2）加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù) （3）保護(hù)數(shù)據(jù)的完整