freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

格爾網(wǎng)上銀行安全方案-預(yù)覽頁(yè)

 

【正文】 配置 仔細(xì)研究最新的系統(tǒng)維護(hù)文檔,完善系統(tǒng)各方面的安全配置,降低安全風(fēng)險(xiǎn)。關(guān)閉所有不必要的文件共享。口令策略 制定完善的口令策略,限制口令的最小長(zhǎng)度和最長(zhǎng)有效期,檢查口令的質(zhì)量。這些網(wǎng)段由兩個(gè)網(wǎng)關(guān)連為一體。通過(guò)這種隔離進(jìn)一步增強(qiáng)了系統(tǒng)的安全保證。最簡(jiǎn)單的防火墻是雙主機(jī)系統(tǒng)(具有兩個(gè)網(wǎng)絡(luò)連接的系統(tǒng)) 。它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò)。最好的例子是先連接到防火墻,然后從該處再連接到另一個(gè)系統(tǒng)。 在網(wǎng)上銀行系統(tǒng)中,由于 Web 服務(wù)器需要連接到 Inter,因此,我們建議在 Web 服務(wù)器和 Inter 之間架設(shè)一個(gè) IP 過(guò)濾防火墻。入侵攻擊的特點(diǎn)是在一個(gè)攻擊源同時(shí)發(fā)出密集攻擊數(shù)據(jù)。這種攻擊模式是能夠被檢測(cè)到的。而這些屬于信息安全范疇。在網(wǎng)上銀行業(yè)務(wù)中,僅通過(guò)這樣的方式來(lái)進(jìn)行身份驗(yàn)證,存在很大的不足:1. 由于網(wǎng)上銀行業(yè)務(wù)的通信信道是公開(kāi)網(wǎng)絡(luò),所以口令明文傳輸容易被截獲。錯(cuò)誤次數(shù)限制會(huì)給合法的用戶(hù)帶來(lái)了很大的不便。SSL 協(xié)議是采用最為廣泛的數(shù)字證書(shū)身份認(rèn)證技術(shù)。SSL 不支持客戶(hù)證書(shū),客戶(hù)可以通過(guò)驗(yàn)證服務(wù)器的證書(shū)來(lái)判斷服務(wù)器的合法性,服務(wù)器則無(wú)法驗(yàn)證客戶(hù)的證書(shū),通常服務(wù)8 / 31器仍然通過(guò)口令驗(yàn)證客戶(hù)的身份,由于口令在傳輸時(shí)已經(jīng)被加密,所以安全性有了很大的提高。私鑰永遠(yuǎn)不會(huì)在公開(kāi)網(wǎng)絡(luò)上傳輸,而且從公鑰無(wú)法推導(dǎo)出私鑰口令一旦泄密,所有安全機(jī)制即失效 用戶(hù)私鑰可以存放在 IC 卡中并有口令保護(hù),安全性更高服務(wù)器需要維護(hù)龐大的用戶(hù)口令列表并負(fù)責(zé)口令保存的安全服務(wù)器使用數(shù)字證書(shū)驗(yàn)證用戶(hù)身份,不保存用戶(hù)的私鑰,所以用戶(hù)私鑰不可能在服務(wù)器端泄露與傳統(tǒng)方法一致,易于理解 技術(shù)較新,普通用戶(hù)理解略有難度對(duì)于企業(yè)銀行,由于數(shù)據(jù)安全性要求較高,所以應(yīng)該采用數(shù)字證書(shū)身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。企業(yè)用戶(hù)的身份驗(yàn)證過(guò)程和 CA 不可分割。對(duì)于個(gè)人用戶(hù),考慮到使用的方便性更為重要,可以采用 方式對(duì)口令加密進(jìn)行身份驗(yàn)證,因此用戶(hù)不需要申請(qǐng)證書(shū),只需要記住口令就行。由于采用了 SSL 技術(shù),Web 應(yīng)用的開(kāi)發(fā)也大為簡(jiǎn)化,Web 服務(wù)器應(yīng)用程序可以把與查詢(xún)狀態(tài)有關(guān)的信息都保存在 Cookie 中,而不必?fù)?dān)心 Cookie 的安全問(wèn)題。數(shù)據(jù)完整性所謂數(shù)據(jù)完整性就是指用戶(hù)在支付指令和轉(zhuǎn)賬指令中所填寫(xiě)的數(shù)據(jù)必須保持完整,不能在公開(kāi)網(wǎng)絡(luò)上被其他用戶(hù)無(wú)意或惡意地修改。不可否認(rèn)性不可否認(rèn)性是指指令發(fā)出者不能在事后否認(rèn)曾經(jīng)發(fā)出該指令。所以用私11 / 31鑰對(duì)交易指令的摘要簽名后,就保證了該用戶(hù)確實(shí)是發(fā)出了該指令。對(duì)于個(gè)人銀行業(yè)務(wù)來(lái)說(shuō),轉(zhuǎn)賬金額比較小,風(fēng)險(xiǎn)相對(duì)較低,所以在雙方都認(rèn)可的情況下,沒(méi)有數(shù)字簽名的支付和轉(zhuǎn)賬的指令也是可以接受的。另外不同的應(yīng)用可能需要開(kāi)發(fā)不同的插件,對(duì)用戶(hù)和系統(tǒng)開(kāi)發(fā)者來(lái)說(shuō)都增加了額外的負(fù)擔(dān)。這種方案克服了第一種方案的缺點(diǎn),但是需要瀏覽器支持對(duì)應(yīng)的腳本語(yǔ)言。它通過(guò)在網(wǎng)頁(yè)中嵌入一段 XML,瀏覽器或其12 / 31他客戶(hù)端程序在處理 XML 時(shí)自動(dòng)將數(shù)據(jù)簽名。3 格爾網(wǎng)上銀行解決方案 SSL 代理 SSL 介紹SSL 是一種在 Web 服務(wù)協(xié)議 (HTTP) 和 TCP/IP 之間提供數(shù)據(jù)連接安全性的協(xié)議。信號(hào)交換機(jī)制協(xié)調(diào)客戶(hù)和服務(wù)器使用的安全性級(jí)別,并履行連接的身份驗(yàn)證。服務(wù)器證書(shū)用來(lái)在 Inter 上標(biāo)識(shí)一臺(tái)服務(wù)器的身份,服務(wù)器證書(shū)是 Web 服務(wù)器 SSL 安全功能的基礎(chǔ)。綜合使用客戶(hù)證書(shū)標(biāo)13 / 31識(shí)和 SSL,能夠?qū)崿F(xiàn)身份認(rèn)證功能和防止信息篡改。服務(wù)器和 Web 瀏覽器都使用會(huì)話(huà)密鑰加密和解密傳輸?shù)男畔?。Web 服務(wù)器使用本質(zhì)上相同的加密方法來(lái)維護(hù)與用戶(hù)的通訊鏈接的安全。這種加密方法盡管安全,但有先天不足:在創(chuàng)建安全鏈接過(guò)程期間,會(huì)話(huà)密鑰的副本可能會(huì)在不安全的網(wǎng)絡(luò)上傳輸。使用了兩個(gè)附加密鑰:私人和公共密鑰。 ) ? 用戶(hù)的 Web 瀏覽器和服務(wù)器參與商議交換,以確定用于安全通訊的加密度。 ? Web 服務(wù)器和瀏覽器都用會(huì)話(huà)密鑰加密和解密傳輸?shù)臄?shù)據(jù)。這意味著 Web 服務(wù)器和用戶(hù)瀏覽器都必須具有兼容的會(huì)話(huà)密鑰加密和解密能力。但是,使用瀏覽器缺省的 SSL 功能,存在著許多缺點(diǎn):1. 由于國(guó)內(nèi)瀏覽器受到美國(guó)出口限制,加密位數(shù)無(wú)法達(dá)到 128 位。3. 由于 CSP 和 PKCS11 的接口不同,所以要兼顧兩個(gè)瀏覽器的用戶(hù),應(yīng)用系統(tǒng)必須開(kāi)發(fā)兩套網(wǎng)頁(yè),增加了應(yīng)用系統(tǒng)的開(kāi)發(fā)工作量。所以國(guó)內(nèi)采用比較多的就是 SSL 代理的做法,SSL 代理通過(guò)截獲 HTTPS請(qǐng)求響應(yīng)對(duì),在客戶(hù)請(qǐng)求受保護(hù)的 URL 時(shí)建立 SSL 連接。當(dāng)用戶(hù)需要用瀏覽器的 SSL 與服務(wù)器(代理服務(wù)器或 Web Server 本身)進(jìn)行連接時(shí),該請(qǐng)求被代理服務(wù)器捕獲后,代理客戶(hù)端先與服務(wù)器建立高位數(shù)加密強(qiáng)度(高于 128 位)的握手,再和瀏覽器之間生成低位數(shù)的 SSL 握手,瀏覽器發(fā)出的 請(qǐng)求通過(guò) 40 位 SSL 到達(dá)代理客戶(hù)端,代理客戶(hù)端首先將數(shù)據(jù)解密,然后用與服務(wù)器端之間建立的 128 位SSL 連接加密,發(fā)送給服務(wù)器,類(lèi)似地,服務(wù)器將 響應(yīng)發(fā)送給代理客戶(hù)端,代理客戶(hù)端先將數(shù)據(jù)解密,然后通過(guò)與瀏覽器之間建立的 40 位 SSL 連接將數(shù)據(jù)發(fā)送給瀏覽器。代理服務(wù)器和 web server 之間亦是如此。這一點(diǎn),無(wú)論是對(duì)于面向國(guó)際的國(guó)內(nèi)web 站點(diǎn),還是對(duì)于希望能夠與國(guó)外的 web 站點(diǎn)建立 128 位連接的用戶(hù)來(lái)說(shuō),都是至關(guān)重要的。 SSL 代理的特性上海格爾軟件公司開(kāi)發(fā)的 SSL 代理具有以下特性:1) SSL 代理通過(guò)格爾 PKI 加密模塊提供加密和密鑰管理的能力,因此基于該模塊開(kāi)發(fā)的應(yīng)用系統(tǒng)都可以盡可能地共用同一張用戶(hù)證書(shū),為用戶(hù)節(jié)約了證書(shū)管理費(fèi),簡(jiǎn)化了管理復(fù)雜度。4) SSL 代理具有良好的兼容性,支持 Windows 和 Unix 平臺(tái)。7) 即將推出的 SSL 代理客戶(hù)端具備 XML 處理能力,可以實(shí)現(xiàn)用 XML 方式進(jìn)行各種加密,簽名操作。除此之外,格爾 PKI 加密模塊向二次開(kāi)發(fā)提供了接口和 SDK,基于此,網(wǎng)上銀行應(yīng)用系統(tǒng)的開(kāi)發(fā)就不必再考慮加密運(yùn)算和密鑰管理的設(shè)計(jì)了。對(duì)于加密模塊來(lái)說(shuō),除了加密功能以外,密鑰的管理機(jī)制十分重要,例如18 / 31密鑰是保存在磁盤(pán)文件中,Memory IC 卡還是 IC 卡,是否終生保存在 IC 卡中,密鑰的備份機(jī)制如何等等。格爾 PKI(Public Key Infrastructure)加密模塊是參照 PKCS11 規(guī)范設(shè)計(jì)的加密模塊。除了應(yīng)用在 PKI 系統(tǒng)外,該加密模塊也包括了符合 PBOC 規(guī)范的密鑰分散等 IC 卡加密機(jī)制。Token 以PlugIn 的方式插入到加密模塊中。加密模塊提供了比較好的便攜性能,證書(shū)和密鑰很容易從一臺(tái) PC 的加密模塊移到另一臺(tái)上。一方面,我們可以實(shí)現(xiàn)用戶(hù)私鑰的硬件方式保存,將用戶(hù)的私鑰保存在 IC卡上,并采用有效的手段保護(hù)用戶(hù)的私鑰。? 私有密鑰分塊存放在多個(gè)固定存儲(chǔ)介質(zhì)里。20 / 31保密鑰信息塊和塊長(zhǎng)度被不同的個(gè)人應(yīng)用密鑰加密后,存入一張 IC 卡的不同文件中保存。IC 卡實(shí)現(xiàn)方案如果 IC 卡不具有非對(duì)稱(chēng)運(yùn)算功能(非 PK 卡) ,我們利用它來(lái)保存用戶(hù)的私有密鑰。因此,對(duì)于個(gè)人用戶(hù)來(lái)說(shuō),IC 卡是一個(gè)很好的密鑰保存介質(zhì)。格爾證書(shū)認(rèn)證系統(tǒng)是數(shù)字證書(shū)的簽發(fā)者。Comment [Jun1]: Page: 21 服務(wù)器證書(shū)被用于支持 SSL協(xié)議的Web服務(wù)器上,首先用戶(hù)的服務(wù)器產(chǎn)生一個(gè)證書(shū)簽名請(qǐng)求(CSR)其中包含了服務(wù)器的一個(gè)公鑰,用戶(hù)將該請(qǐng)求發(fā)送到身份認(rèn)證服務(wù)器,身份認(rèn)證經(jīng)過(guò)檢查同意用戶(hù)請(qǐng)求后產(chǎn)生數(shù)字證書(shū),并發(fā)送給用戶(hù),用戶(hù)收到數(shù)字證書(shū)后將證書(shū)合并到 Web服務(wù)器的密鑰環(huán)中,成為完整可用的密鑰環(huán),服務(wù)器數(shù)字證書(shū)申請(qǐng)過(guò)程完成。所發(fā)行的數(shù)字證書(shū)能夠用來(lái)驗(yàn)證客戶(hù)身份和服務(wù)器身份,從而達(dá)到對(duì)某些敏感信息的保護(hù)。與 CA中心相比,網(wǎng)上銀行系統(tǒng)維護(hù)自己的 CA服務(wù)器成本更低,而且實(shí)時(shí)性更好,一般來(lái)說(shuō),CA 中心不主動(dòng)發(fā)放 CRL(證書(shū)廢止列表) ,應(yīng)用程序必須自己下載并維護(hù) CRL,而且查詢(xún) CRL的方式往往實(shí)時(shí)性比較差,處理 CRL比較好的辦法是通過(guò) OCSP(實(shí)時(shí)證書(shū)狀態(tài)驗(yàn)證協(xié)議)直接向 CA查詢(xún),但是 CA中心處理 OCSP請(qǐng)求的性能往往較低。隨后發(fā)送給用戶(hù),用戶(hù)的瀏覽器接受到證書(shū)以后會(huì)在自己的密鑰庫(kù)中對(duì)證書(shū)中的公鑰進(jìn)行匹配,如果找到匹配的私鑰,瀏覽器便將證書(shū)與私鑰合并成完整的密鑰環(huán),整個(gè)證書(shū)申請(qǐng)過(guò)程完成。用戶(hù)界面包括基本服務(wù)、用戶(hù)信息管理、個(gè)人數(shù)字證書(shū)和服務(wù)器數(shù)字證書(shū)四部分。用戶(hù)申請(qǐng)數(shù)字證書(shū)之前首先必須注冊(cè),用戶(hù)必須將必要的身份信息提交給身份認(rèn)證服務(wù)器,用戶(hù)提供的信息將作為數(shù)字證書(shū)的一部分被身份認(rèn)證服務(wù)器簽名來(lái)產(chǎn)生用戶(hù)的數(shù)字證書(shū)。具體工作流程是:首先用戶(hù)必須進(jìn)行注冊(cè),已注冊(cè)用戶(hù)可以直接申請(qǐng)數(shù)字證書(shū)。此外,用戶(hù)還能夠撤消原有的證書(shū)或更新已撤消用戶(hù)注冊(cè) 證書(shū)申請(qǐng)證書(shū)獲得 證書(shū)廢除證書(shū)更新23 / 31或過(guò)期的證書(shū)。發(fā)行也是自動(dòng)發(fā)行的,這樣才能夠滿(mǎn)足大量帳戶(hù)用戶(hù)的自動(dòng)發(fā)行要求。查詢(xún)個(gè)人數(shù)字證書(shū)提供對(duì)其他用戶(hù)的數(shù)字證書(shū)的檢索,用戶(hù)可以查詢(xún)身份認(rèn)證的數(shù)據(jù)庫(kù),也可以查詢(xún)目錄服務(wù)器。24 / 31圖 6 管理員工作流程示意圖管理員界面是基于瀏覽器的,需要對(duì)連接的用戶(hù)進(jìn)行身份識(shí)別,這一點(diǎn)必須通過(guò) WWW 服務(wù)器的安全機(jī)制來(lái)實(shí)現(xiàn)。個(gè)人數(shù)字證書(shū)管理負(fù)責(zé)對(duì)用戶(hù)的個(gè)人數(shù)字證書(shū)申請(qǐng)進(jìn)行手工確認(rèn)或廢除工作,同時(shí)還能對(duì)一段時(shí)間內(nèi)的用戶(hù)申請(qǐng)進(jìn)行統(tǒng)計(jì)。身份認(rèn)證安裝完畢后必須首先進(jìn)行系統(tǒng)參數(shù)配置和根證書(shū)安裝,只有安裝了根證書(shū)后才能正確安裝身份認(rèn)證證書(shū),系統(tǒng)參數(shù)配置包括數(shù)據(jù)庫(kù)配置信息,SMTP 服務(wù)器配置信息以及目錄服務(wù)器信息配置等等。管理員可以查看或清除這些日志。26 / 31附錄參考站點(diǎn)? PKCS 系列協(xié)議: ? SSL 協(xié)議? 協(xié)議:名詞術(shù)語(yǔ)單鑰密碼體制和公鑰密碼體制單鑰密碼體制,又稱(chēng)對(duì)稱(chēng)密碼體制:是指加密密鑰和解密密鑰為同一密鑰的密碼體制。但是,在公開(kāi)的計(jì)算機(jī)網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個(gè)嚴(yán)峻的問(wèn)題。這兩個(gè)密鑰之間存在著相互依存關(guān)系:即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。在通過(guò)網(wǎng)絡(luò)傳輸信息時(shí),公鑰密碼體制體現(xiàn)出了單密鑰加密體制不可替代的優(yōu)越性??蛻?hù)只需用商戶(hù)的公開(kāi)鑰加密信息,就可以保證將信息安全地傳送給商戶(hù)。因?yàn)楣_(kāi)鑰與秘密鑰之間存在的依存關(guān)系,在用戶(hù)安全保存秘密鑰的前提下,只有用戶(hù)本身才能解密該信息,任何未受用戶(hù)授權(quán)的人包括信息的發(fā)送者都無(wú)法將此信息解密。摘要算法是一類(lèi)符合特殊要求的散列函數(shù)(hash)函數(shù),這些特殊要求是: :? 接受的輸入報(bào)文數(shù)據(jù)沒(méi)有長(zhǎng)度限制。 28 / 31? 難以生成兩個(gè)不同的報(bào)文具有相同的摘要。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對(duì)稱(chēng)密碼加密信息體,再利用接收方的公開(kāi)鑰加密對(duì)稱(chēng)密碼,被公開(kāi)鑰加密的對(duì)稱(chēng)密碼稱(chēng)之為數(shù)字信封。證書(shū)格式及證書(shū)內(nèi)容遵循 標(biāo)準(zhǔn)。
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1