第六章应用安全.ppt

Company Name LOGO 应用安全 德州科技职业学院 德州科技职业学院 佟佳哲 本章要点 1电子商务安全的现状 2. 加密技术、数字签名技术和数字时间戳 3. 认证技术 4.电子商务安全协议：SSL协议和SET协议 5. 浏览器、服务器安全问题 6. HTTP协议、HTML语言 德州科技职业学院 佟佳哲 应用安全 Internet 无处不在，web要广泛地使用，它的安全性就是必须要考虑的重要问题之一。 德州科技职业学院 佟佳哲 6.1web技术简介 web又称world wide web（万维网），其基本结构是采用开放式的客户机/服务器结构（Client/Server），分成服务器端、客户机接收端及传输规程3个部分。 服务器规定传输设定、信息传输格式和服务器本身的开放式结构，客户机统称浏览器，用于向服务器发送资源索取请求，并将接收到的信息进行解码和显示；通信协议是web浏览器与服务器之间进行通信传输的规范。  德州科技职业学院 佟佳哲 6.1.1HTTP协议 HTTP（超文本传输协议）是分布式的web应用的核心技术协议，在TCP/IP协议栈中属于应用层。他定义web浏览器向web服务器发送索取web页面请求格式以及文页面在Internet上的传输方式。HTTP协议一直在不断发展和完善。 德州科技职业学院 佟佳哲 6.1.2HTML语言与其他的web编程语言 Web的特点决定了web的内容必须能够以适当的形式来组织和安排，使得他在各种平台上的web浏览器上能够得到正确的解释，并具有丰富层次的界面。 HTML几乎为所有常见的web浏览器所支持。 HTML中可以包括层叠式样表CSS。CSS属于一种式样设计模版。它能够帮助用户控制HTML元素的呈现方式和轮廓，将HTML的内容制作和式样设计分开。 德州科技职业学院 佟佳哲 6.1.3web服务器 Internet上众多的web服务器汇集了大量的信息，web服务器的作用就是管理这些文档，处理用户发来的各种请求，将满足用户要求的信息返回给用户。 其实，本质上来说，web服务器是驻留在服务器上的一个程序，通过web浏览器与用户交互操作，为用户提供兴趣信息。 德州科技职业学院 佟佳哲 6.1.4web浏览器 Web浏览器是阅读web上信息的客户端软件。如果用户在本地上安装了web浏览器软件，就可以读取web上的信息了。 德州科技职业学院 佟佳哲 6.1.5公共网关接口 CGI（公共网关接口）是web信息服务器与外部应用程序之间交换数据的标准接口。 1.CGI的功能 （1）收集从web浏览器发送给web服务器的信息，并且把这些信息传送给外部程序。 （2）把外部程序的输出作为web服务器对发送信息的web浏览器的响应，发送给该web浏览器。 （3）通过CGI程序，web服务器真正实现了与web浏览器用户之间的交互。比如：可以收集用户意见和建议、根据用户要求，从服务器上的数据库中提取相关信息并回传给用户、为用户创建动态的图表，如股票市场动态走势图等 德州科技职业学院 佟佳哲 6.1.5公共网关接口 CGI工作原理 在HTML文件中，表单与CGI程序配合使用，共同来完成信息交流的目的。一般过程如下： 1.用户web浏览器提交表单登录 2.Web浏览器发送登录请求到web服务器 3.Web服务器分析web浏览器发送来的数据包，确认是CGI请求，然后通过CGI将表单数据按照一定格式发送给相应的CGI应用程序。 4.CGI应用程序对数据处理、验证，将动态生成的页面发送给web服务器。 5.Web服务器把CGI应用程序生成的页面发送给请求登录的web浏览器。 6.Web浏览器接收到并解释、显示页面。 德州科技职业学院 佟佳哲 6.1.5公共网关接口 CGI与服务器的交互关系 1.Post方式。Web服务器通过标准输入方式把数据转换交给CGI应用程序。数据处理完毕后，将结果输出到标准输出即可为web服务器所接收。 2.Get方式。在UNIX类的系统中，web服务器通过环境变量把数据交给CGI应用程序。 德州科技职业学院 佟佳哲 6.2web的安全需求 6.2.1web的优点与缺点 web带来的利益 建立和使用网站不再是困难的事情。软件丰富，硬件价格低廉，web服务可以减轻商家负担，提高用户满意度，节省人力，商家可以很容易的把服务推广到全球网络覆盖的地方。随着web技术的不断更新和完善，他肯定会推出更加先进的服务。 Web带来的忧虑 1.信息泄露 2.拒绝服务 3.系统崩溃 4.跳板 德州科技职业学院 佟佳哲 6.2.2web安全风险与体系结构 Web的安全有很多因素需要考虑，比如：web服务器的安全、web