9.2.2Web安全防护技术 Web程序组件安全防护 对于一个连接到 Interne上的计算机系统而言, 最危险的事件之一就是从网上任意下载程序并在本 机上运行它。因为没有一个操作系统能控制一个已 经开始执行的程序的权限。Java通过“沙盒”机制 来实现它的安全性。除了类似沙盒这样的权限限制 机制外,避免因程序的漏洞而使服务器受到攻击 在编写Web程序时还有以下一些要注意的地方。 (1)ID字段使用随机产生的大数,而不是连续的 整数;(2)使用 Session或加密的 cookie来记录访 问者的状态及必要信息;(3)处理输入内容前, 先核对提交的表单来源;(4)对输入数据要进行 类型检查、非法字符检查、数组越界检查國國心心
9.2.2 Web安全防护技术 1.Web程序组件安全防护 对于一个连接到Internet上的计算机系统而言, 最危险的事件之一就是从网上任意下载程序并在本 机上运行它。因为没有一个操作系统能控制一个已 经开始执行的程序的权限。Java通过“沙盒”机制 来实现它的安全性。除了类似沙盒这样的权限限制 机制外,避免因程序的漏洞而使服务器受到攻击, 在编写Web程序时还有以下一些要注意的地方。 (1)ID字段使用随机产生的大数,而不是连续的 整数;(2)使用Session或加密的cookie来记录访 问者的状态及必要信息;(3)处理输入内容前, 先核对提交的表单来源;(4)对输入数据要进行 类型检查、非法字符检查、数组越界检查
9.2.3SSL 1.概述 安全套接层协议SSL( Secure Socket Layer)是 个用来保证安全传输文件的协议,它主要是使用公开密 钥体制和Ⅹ.509数字证书技术保护信息传输的机密性和 完整性,但它不能保证信息的不可抵赖性,主要适用于 点对点之间的信息传输。 SSL协议包括子协议有 (1)SSL记录协议 (2)SSL握手协议 (3)SSL警告协议
1. 概述 安全套接层协议SSL(Secure Socket Layer)是一 个用来保证安全传输文件的协议,它主要是使用公开密 钥体制和X.509数字证书技术保护信息传输的机密性和 完整性,但它不能保证信息的不可抵赖性,主要适用于 点对点之间的信息传输。 SSL协议包括子协议有: (1)SSL记录协议 (2)SSL握手协议 (3)SSL警告协议 9.2.3 SSL
SSL体系结构图 SSL Change Cipher Spec SSL alert andrae 上rtc0 Protocol rotOCOl ecrd上Ytco IP
SSL体系结构图
2.SSL握手过程 (1)SSL握手过程 具体过程:①~⑩ (2)服务器身份的认证 (3)客户端身份的认证 3、SSL的缺点 利用SSL的攻击无法被入侵系统IDS( Intrusion Detection System)检测到。 对电子商务来说,问题并没有完全解决
2. SSL握手过程 (1)SSL握手过程 具体过程:① ~⑩ (2)服务器身份的认证 (3)客户端身份的认证 3、SSL的缺点 • 利用SSL的攻击无法被入侵系统IDS(Intrusion Detection System)检测到。 • 对电子商务来说,问题并没有完全解决
9.2.4电子商务的安全技术 安全电子交易SET( SecureElectronic Transaction) 它采用公钥密码体制和X.509数字证书标准,保障网上 购物信息的安全性。 SET的实现构架图 Intermet 商家〔 Merchant 持卡人〔 Cardholder 证书认证 Certificate Intemet authorty 发卡机构 C Issuer Netrork 银行〔 Acquirer 支付网关 Payment Gateway 支付网络
安全电子交易SET(SecureElectronic Transaction), 它采用公钥密码体制和X.509数字证书标准,保障网上 购物信息的安全性。 SET的实现构架图 9.2.4 电子商务的安全技术