《《电子商务的安全技术》-劳帼龄-电子教案 第4章》由会员分享,可在线阅读,更多相关《《电子商务的安全技术》-劳帼龄-电子教案 第4章(31页珍藏版)》请在金锄头文库上搜索。
1、第4章 TCP/IP服务与WWW安全,2,4.1 TCP/IP服务 4.2 WWW的安全 4.3 Java的安全性,3,主要的TCP/IP服务 电子邮件 文件传输 Usenet新闻组 远程终端访问 万维网访问 域名查询,4.1TCP/IP服务,4,4.1TCP/IP服务,4.1.1 电子邮件 定义: 一种用信息手段提供信息交换的通信方式 原理: 简单邮件传输协议(SMTP) 电子邮件地址及组成 协议: SMTP、POP和IMAP协议 电子邮件安全 直接攻击:窃取邮件密码,邮件炸弹 间接攻击:通过邮件传输病毒,5,4.1.1 电子邮件,4.1TCP/IP服务,6,4.1.2 文件传输 FTP协议
2、 定义: FTP是为进行文件共享而设计的因特网标准协议,主要用于在两台计算机之间实现文件的上传和下载。 应用: 软件下载服务,Web网站更新服务,文件传输服务 安全:SSLftp 其他文件传输协议 TFTP、UUCP、FSP,4.1TCP/IP服务,7,4.1.2 文件传输,4.1TCP/IP服务,8,4.1TCP/IP服务,4.1.3 Usenet新闻组 Usenet新闻组顶层体系结构,NNTP的安全性,9,4.1TCP/IP服务,4.1.4 远程终端访问 Telnet是一个远程登陆协议,提供了在Internet上异质网之间传递数据和控制信息的重要方法,允许一台机器中的程序像访问本地服务器那
3、样访问远程另一台主机中的资源。,10,4.1TCP/IP服务,4.1.5 万维网访问 WWW是World Wide Web的缩写,通常称为万维网。它是以HTML语言和HTTP(超文本传输协议)为基础,建立在Client/Server(客户机/服务器)模型之上,能够提供面向各种Internet服务的,用户界面统一的信息浏览系统。,11,4.1.5 万维网访问 Web 的基本工作原理,4.1TCP/IP服务,12,4.1.6 域名查询 DNS是Internet用于名字登记和解析的标准,任何IP地址均可以由字母组成的名字代替。 DNS本质上不是一个用户级服务,它是SMTP、FTP和Telnet的基础
4、,4.1TCP/IP服务,13,14,4.2.1 HTTP协议 HTTP协议(Hypertext transfer Protocol),即超文本传输协议,是WWW服务的支撑协议。它的工作过程是典型的客户/服务器模式。,4.2WWW的安全,15,4.2.1 s-HTTP协议 安全超文本传输协议(S-HTTP)是HTTP 的一种安全扩展版本,主要利用密钥对加密的方法来保障Web 站点上的信息安全。,4.2WWW的安全,16,4.2.2 SSL协议 安全套接层协议 SSL(secure socket layer)是在因特网基础上提供的一种保证机密性的安全协议。 SSL 建立在 TCP 协议之上,它的
5、优势在于与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。它是目前在电子商务中应用最广泛的安全协议之一。,4.2WWW的安全,17,4.2.2 SSL协议 SSL的功能模型,4.2WWW的安全,18,4.2.2 SSL协议 SSL的体系结构,4.2WWW的安全,19,4.2.3 SET协议 安全电子交易(Secure Electronic Transaction)协议,简称SET协议,是一种应用于因特网环境下,以信用卡为基础的安全电子支付协议,它给出了一套电子交易的过程规范。它是目前公认的信用卡的网上交易的国际标准。 SET协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、
6、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。,4.2WWW的安全,20,4.2.4 WWW服务器软件的安全漏洞 最流行的几种服务器软件: Apache HTTP Server 微软Internet Information Server iPlannet Enterprise Server,4.2WWW的安全,21,4.2.5 CGI程序的安全性问题 CGI是Common Gateway Interface(通用网关接口)的简写,它是一个Web服务器主机提供信息服务的标准接口,通过提供这样一个标准接口,Web服务器能够执行应用程序并将它们的输出,
7、如文字、图形、声音等传递给一个Web浏览器 CGI程序是WWW安全漏洞的主要来源 编写安全的CGI脚本,4.2WWW的安全,22,4.2.6 Plug-in的安全性 Plug-in在运行时完全作为浏览器的一部分 不要盲目执行任何从Internet上下载的程序 4.2.7 ActiveX的安全性 ActiveX技术是Microsoft提出的一组使用COM使得软件部件在网络环境中进行交互的技术集。 ActiveX的安全模型 用户可以禁用ActiveX,4.2WWW的安全,23,4.2.8 cookie的安全性 cookie是对HTTP协议的一种补充,用来改善HTTP协议的无状态性 用户要注意防止c
8、ookie文件被盗 用户可以完全删除cookie文件,4.2WWW的安全,24,4.3.1 Java的特点 Java是一种简单的、面向对象的、分布式的、解释型的、健壮的、安全的、体系中立的、可移植的、高性能的、多线程的、动态的语言。 特点 简单性 去掉了C和C+中的一些无用特性 接管了容易出错的任务 自动垃圾收集 系统精简,4.3Java的安全性,25,4.3.1 Java的特点 面向对象 分布式 支持基于网络的应用程序 解释性 Java是一门解释性的语言 Java程序在JVM(Java虚拟机)上运行 健壮性 强类型语言 内存模式改进 例外处理,4.3Java的安全性,26,4.3.1 Jav
9、a的特点 安全性 体系中立性 Java程序可以在任何系统上运行,只要该系统能构成Java虚拟机即可。 可移植性 Java可以运行于安装了解释器的任何机器上 高性能 多线程 动态性,4.3Java的安全性,27,4.3.2 Java的安全性 Java的安全模型不同于传统的安全方法,主要通过访问控制来实现。 Java applet:一种小的Java应用程序,主要用于网页中。,4.3Java的安全性,28,4.3.2 Java的安全性 Applet受到以下一些限制: applet不能读、写、重命名或者删除文件 除了下载applet的那台计算机之外, applet本身不能连接到或者接受来自于其他任何一
10、台计算机的连接请求 applet不能执行系统级的函数 applet不能访问一些图形和GUI相关的程序 applet不能读取某些系统属性 applet不能注册一个新的SecurityManager对象避免这些安全上的限制 Java也不是完全安全的,用户需要及时打上补丁和更新,4.3Java的安全性,29,4.3.3 Javascript的安全性 JavaScript是Netscape公司设计的一系列HTML语言扩展,它增强了HTML语言的动态交互能力,并且可以把部分处理移到客户机,减轻服务器的负载。 JavaScript的漏洞不像Java的漏洞那样能损坏用户的机器,而是只涉及侵犯用户的隐私 可以
11、完全关掉Javascript,4.3Java的安全性,30,本章小结,本章介绍了TCP/IP服务与WWW安全的内容。 TCP/IP是网络中使用的基本的通信协议,它实际上是一个协议族,其中TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。以这些协议为基础,TCP/IP提供了一系列标准的服务,包括电子邮件、文件传输、Usenet新闻组、远程终端访问、万维网访问、域名查询等。 WWW是以HTML语言和HTTP(超文本传输协议)为基础,建立在Client/Server(客户机/服务器)模型之上,能够提供面向各种Internet服务的,用户界面统一的信息浏览系统。 Java是一种简单的、面向对象的、分布式的、解释型的、健壮的、安全的、体系中立的、可移植的、高性能的、多线程的、动态的语言。Java主要通过访问控制来保证安全性。,Thanks!,
