A. 基於Web的資料庫系統開發論文
基於web的資料庫方面的論文,在鍵盤論文網上很多的,你可以參考下,我之前也是找他們的在線輔導老師咨詢的,非常專業
這里還有點資料,你參考下
主要的內容:
1)將Web技術和資料庫技術相結合,在WWW上開發動態交互的Web資料庫應用,已逐 漸成為基於WWW的信息管理系統的核心和重要發展方向,本文分析和研究了關於動態Web 資料庫的開發與應用及其相關的問題。
2)簡要地介紹了Web資料庫與傳統資料庫相比的諸多優點,以及目前Web資料庫在不 同應用方案中的類型;討論了兩種Web資料庫系統結構:混合Web資料庫系統結構、B/S模 式Web資料庫系統結構
3)闡述了Web和關系資料庫處理模式的不同之處,在此基礎上討論了 三種集成模型:CGI、API、Fat Client;分析了Web資料庫的幾種實現技術,並分析了它們各 自的優缺點和應用場所;初步探討了Windows DNA體系結構,在此基礎上把Web資料庫與 DNA相集成,進行可擴展設計
4)最後,在資料庫安全與網路安全問題的基礎上,從伺服器安 全、用戶身份驗證、對話期安全三方面研究了基於Web的資料庫的安全問題。
結論:
本文研究了資料庫與www相結合的理論和技術問題,研究結果表明:兩者的集成可以 把Web與資料庫的優點集中在一起,使計算機系統具有資料庫功能、網路功能、多媒體功能 和超文本功能。Web資料庫與DNA體系結構相結合,利用XML技術,使應用程序具有更好 的擴展性,達到節約資源的目的
論文的框架你看下,大同小異的:
第一章 緒論38-45
1.1 Www的動態交互技術38-39
1.2 WWW環境下建立資料庫系統39-43
1.2.1 資料庫系統39-41
1.2.2 WWW環境下的資料庫系統41-43
1.3 Web資料庫的應用分類43-45
第二章 Web資料庫系統結構45-49
2.1 混合web資料庫系統45
2.2 B/S模式Web資料庫系統45-49
2.2.1 三層體系結構45-47
2.2.2 多層體系結構47
2.2.3 三層B/S模式47-49
第三章 Web資料庫的集成模型49-55
3.1 CGI Architecture50-51
3.2 API Architecture51-52
3.3 Fat Client Architecture52-55
第四章 Web資料庫的實現技術55-87
4.1 基於web的異構資料庫系統的集成55-58
4.1.1 資料庫系統之間的差異性55
4.1.2 異構資料庫系統集成的策略55-56
4.1.3 ODBC(開放式資料庫互聯)56-57
4.1.4 OLE DB技術57-58
4.2 存取資料庫的對象群:DAO,RDO,及ADO58-61
4.2.1 DAO58-59
4.2.2 RDO59
4.2.3 ADO(ActiveX Data Objects)59-60
4.2.4 與其他數據訪問對象一起使用ADO60-61
4.3 用類進行資料庫訪問61-63
4.4 ASP網路開發技術63-66
4.4.1 ASP技術概述63-64
4.4.2 IDC技術64-65
4.4.3 ASP和傳統CGI的對比65
4.4.4 ASP同腳本語言的關系65-66
4.5 利用ASP技術訪問Web資料庫的方法66-68
4.5.1 Web資料庫訪問方法之一66
4.5.2 Web資料庫訪問方法之二66-67
4.5.3 RDS67-68
4.6 用Java語言訪問資料庫68-80
4.6.1 Java語言的特點68-70
4.6.2 Applet和Application70-71
4.6.3 Java語言與資料庫的介面JDBC71
4.6.4 JDBC的體系結構71-74
4.6.5 JDBC的功能與特點74-78
4.6.6 Agave JDBC NetServer78-80
4.7 JSP網路開發技術80-85
4.7.1 JSP的運行方式80-81
4.7.2 JSP與ASP的比較81
4.7.3 JSP與傳統CGI比較81
4.7.4 Java Servlet技術81-83
4.7.5 JSP和Servlet的結合使用83-84
4.7.6 JavaBeans84-85
4.8 PHP網路開發技術85-87
4.8.1 PHP技術概述85-86
4.8.2 PHP與其它動態發布網頁技術的比較86-87
第五章 Web資料庫與DNA87-96
5.1 Web資料庫與DNA87-89
5.1.1 DNA體系結構的優點87
5.1.2 DNA體系結構的實現87-88
5.1.3 Web-DNA體系結構88-89
5.2 使用ADO記錄集89-91
5.2.1 在伺服器之間傳送數據89-90
5.2.2 使用層次化的ADO記錄集90-91
5.3 使用DNA模型進行可擴展設計91-93
5.3.1 可擴展性是關於節約資源的91
5.3.2 三種不同的用戶界面91
5.3.3 有限可擴展性的經典實現及其改進方法91-93
5.4.1 XML94
5.4.2 把記錄集轉成XML94-96
第六章 Web資料庫系統安全96-106
6.1 信息安全問題的新局面96-97
6.2 資料庫的安全問題97-98
6.3 網路安全問題98-100
6.3.1 防火牆技術99
6.3.2 數據加密技術99-100
6.3.3 網路安全一體化解決方法100
6.4 基於Web的資料庫安全問題100-106
6.4.1 Web資料庫的安全問題100-101
6.4.2 伺服器安全101-103
6.4.3 用戶身份驗證安全103-106
總結
最後還有參考文獻和致謝就不寫了
如果還有什麼不懂的就上鍵盤論文自己看吧
B. WEB 加密
如果你在電腦城也有電腦可以同時連接有線網(前提有線網可以上網)和無線網(你可以用USB無線網卡),那就有辦法可以讓你在家也上網,但必須兩邊有開著機。
首先配置電腦城的電腦:連接有線網路和無線網路,然後右鍵點擊網上鄰居-屬性-無線網路-屬性-TCP/IP設置-更改無線IP地址為一個你自己設置的地址,比如10.0.0.1,子網掩碼255.255.255.0,其他空著。
接著右鍵點擊你的本地連接-屬性-高級-internet共享-允許其他網路用戶通過此計算機的internet連接來連接。如果你的網路連接多於2個,它會讓你選擇共享的目標網路,選你的無線網路的名稱就可以了。
下面是配置你家裡的電腦,首先連接無線網路到電腦城中,然後配置無線網路,如上例,IP地址為10.0.0.2,子網掩碼255.255.255.0,網關10.0.0.1,DNS設置為你當地的DNS伺服器地址,如北京的是202.106.0.20,你也可以參考你電腦城的主機的有線網路的DNS設置(雙擊本地連接-支持-詳細信息)。
如此一來,你的家裡電腦應該就可以通過你電腦城的電腦作為中轉用電腦城的有線網路連接互聯網了!!
如果有不明白的地方可以問我
C. web前端的數據如何加密
前端數據一般都需要在後台使用的所以必須要用可逆的加密方式 現在比較流行的就是非對稱的加密方式比如RSA 具體方法是生成兩個秘鑰 公鑰 私鑰 前端使用js(可以網路下載)把數據利用公鑰進行加密 加密結果傳給後端 後端利用私鑰解密方法對數據進行解密
D. 分析web-sso的實現原理和實現技術有哪些
單點登錄SSO(Single Sign On)說得簡單點就是在一個多系統共存的環境下,用戶在一處登錄後,就不用在其他系統中登錄,也就是用戶的一次登錄能得到其他所有系統的信任。單點登錄在大型網站里使用得非常頻繁,例如像阿里巴巴這樣的網站,在網站的背後是成百上千的子系統,用戶一次操作或交易可能涉及到幾十個子系統的協作,如果每個子系統都需要用戶認證,不僅用戶會瘋掉,各子系統也會為這種重復認證授權的邏輯搞瘋掉。實現單點登錄說到底就是要解決如何產生和存儲那個信任,再就是其他系統如何驗證這個信任的有效性,因此要點也就以下幾個:
存儲信任 驗證信任 只要解決了以上的問題,達到了開頭講得效果就可以說是SSO。最簡單實現SSO的方法就是用Cookie,實現流程如下所示:
常用的兩種web單點登錄SSO的實現原理X
不然發現以上的方案是把信任存儲在客戶端的Cookie里,這種方法雖然實現方便但立馬會讓人質疑兩個問題:
Cookie不安全 不能跨域免登 對於第一個問題一般都是通過加密Cookie來處理,第二個問題是硬傷,其實這種方案的思路的就是要把這個信任關系存儲在客戶端,要實現這個也不一定只能用Cookie,用flash也能解決,flash的Shared Object API就提供了存儲能力。
一般說來,大型系統會採取在服務端存儲信任關系的做法,實現流程如下所示:
常用的兩種web單點登錄SSO的實現原理
以上方案就是要把信任關系存儲在單獨的www.hbbz08.com SSO系統(暫且這么稱呼它)里,說起來只是簡單地從客戶端移到了服務端,但其中幾個問題需要重點解決:
如何高效存儲大量臨時性的信任數據 如何防止信息傳遞過程被篡改 如何讓SSO系統信任登錄系統和免登系統 對於第一個問題,一般可以採用類似與memcached的分布式緩存的方案, 既能提供可擴展數據量的機制,也能提供高效訪問。對於第二個問題,一般採取數字簽名的方法,要麼通過數字證書簽名,要麼通過像md5的方式,這就需要SSO系統返回免登URL的時候對需驗證的參數進行md5加密,並帶上token一起返回,最後需免登的系統進行驗證信任關系的時候,需把這個token傳給SSO系統,SSO系統通過對token的驗證就可以辨別信息是否被改過。對於最後一個問題,可以通過白名單來處理,說簡單點只有在白名單上的系統才能請求生產信任關系,同理只有在白名單上的系統才能被免登錄。
通過第二種方案的演變,可以使用發放票據的方式實現websso登錄:
常用的兩種web單點登錄SSO的實現原理
通過第三種方式,客戶端只做票據的發放和獲取,不涉及用戶信息傳輸,用戶信息均可交給子系統和SSO系統之間處理,更有效保護用戶隱私。
以上只是提供了些簡單的實現技術,但需要強調的是這只是技術實現而已,僅僅是為了解決上面談到的一些問題,SSO本身來說並不是什麼高科技,有了這個認識比較有利於我們深入探索SSO
E. 使用JAVA WEB技術實現加密和解密功能,
可以用MD5,但是MD5不能解碼。Base64可以解碼,要方便一點
F. 基於Web登入功能的開發
您好,用戶名和口令
首先,我們先來說說用戶名和口令的事。這並不是本站第一次談論這個事了。如何管理自己的口令讓你知道怎麼管理自己的口令,破解你的口令讓你知道在現代這樣速度的計算速度下,用窮舉法破解你的口令可能會是一件很輕松的事。在這里我想告訴從開發者的角度上來做設計這個用戶名和口令的事。下面一幾件規則:
限制用戶輸入一些非常容易被破解的口令。如什麼qwert,123456, password之類,就像twitter限制用戶的口令一樣做一個口令的黑名單。另外,你可以限制用戶口令的長度,是否有大小寫,是否有數字,你可以用你的程序做一下校驗。當然,這可能會讓用戶感到很不爽,所以,現在很多網站都提供了UX讓用戶知道他的口令強度是什麼樣的(比如這個有趣的UX),這樣可以讓用戶有一個選擇,目的就是告訴用戶——要想安全,先把口令設得好一點。
千萬不要明文保存用戶的口令。正如如何管理自己的口令所說的一樣,很多時候,用戶都會用相同的ID相同的口令來登錄很多網站。所以,如果你的網站明文保存的話,那麼,如果你的數據被你的不良員工流傳出去那對用戶是災難性的。所以,用戶的口令一定要加密保存,最好是用不可逆的加密,如MD5或是SHA1之類的有hash演算法的不可逆的加密演算法。CSDN曾明文保存過用戶的口令。(另,對於國內公司的品行以及有關部門的管理方式,我不敢保證國內網站以加密的方式保存你的口令。我覺得,做為一個有良知的人,我們應該加密保存用戶的口令)
是否讓瀏覽器保存口令。我們有N多的方法可以不讓瀏覽器保存用戶名和口令。但是這可能對用戶來說很不爽。因為在真實世界裡誰也記得不住那麼多的口令。很多用戶可能會使用一些密碼管理工具來保存密碼,瀏覽器只是其中一種。是否讓瀏覽器保存這個需要你做決定,重點是看一下你的系統的安全級別是否要求比較高,如果是的話,則不要讓瀏覽器保存密碼,並在網站明顯的位置告訴用戶——保存口令最安全的地方只有你的大腦。
口令在網上的傳輸。因為HTTP是明文協議,所以,用戶名和口令在網上也是明文發送的,這個很不安全。你可以看看這篇文章你就明白了。要做到加密傳輸就必需使用HTTPS協議。但是,在中國還是有很多網站的Web登錄方式還在使用ActiveX控制項,這可能成為IE6還大量存在的原因。我通常理解為這些ActiveX控制項是為了反鍵盤記錄程序的。 不過,我依然覺ActiveX控制項不應該存在,因為在國外的眾多安全很重要的站點上都看不到ActiveX的控制項的身影。
用戶登錄狀態
首先,我想告訴大家的是,因為HTTP是無狀態的協議,也就是說,這個協議是無法記錄用戶訪問狀態的,其每次請求都是獨立的無關聯的,一筆是一筆。而我們的網站都是設計成多個頁面的,所在頁面跳轉過程中我們需要知道用戶的狀態,尤其是用戶登錄的狀態,這樣我們在頁面跳轉後我們才知道是否可以讓用戶有許可權來操作一些功能或是查看一些數據。
所以,我們每個頁面都需要對用戶的身份進行認證。當然,我們不可能讓用戶在每個頁面上輸入用戶名和口令,這會讓用戶覺得我們的網站相當的SB。為了實現這一功能,用得最多的技術就是瀏覽器的cookie,我們會把用戶登錄的信息存放在客戶端的cookie里,這樣,我們每個頁面都從這個cookie里獲得用戶是否登錄的信息,從而達到記錄狀態,驗證用戶的目的。但是,你真的會用cookie嗎?下面是使用cookie的一些原則。
千萬不要在cookie中存放用戶的密碼。加密的密碼都不行。因為這個密碼可以被人獲取並嘗試離線窮舉。所以,你一定不能把用戶的密碼保存在cookie中。我看到太多的站點這么幹了。
正確設計「記住密碼」。這個功能簡直就是一個安全隱患,我覺得並不是所有的程序員都知道怎麼設計這個事。一般的設計 是——一時用戶勾選了這個功能,系統會生成一個cookie,cookie包括用戶名和一個固定的散列值,這個固定的散列值一直使用。這樣,你就可以在所有的設備和客戶上都可以登錄,而且可以有多個用戶同時登錄。這個並不是很安全。下面是一些更為安全的方法供你參考:
(——更新 2011/08/26,原文中有些小錯誤,並且說的不清楚,重新調整了一下——)
1)在cookie中,保存三個東西——用戶名,登錄序列,登錄token。
用戶名:明文存放。
登錄序列:一個被MD5散列過的隨機數,僅當強制用戶輸入口令時更新(如:用戶修改了口令)。
登錄token:一個被MD5散列過的隨機數,僅一個登錄session內有效,新的登錄session會更新它。
2)上述三個東西會存在伺服器上,伺服器的驗證用戶需要驗證客戶端cookie里的這三個事。
3)這樣的設計會有什麼樣的效果,會有下面的效果,
a)登錄token是單實例登錄。意思就是一個用戶只能有一個登錄實例。
b)登錄序列是用來做盜用行為檢測的。如果用戶的cookie被盜後,盜用者使用這個cookie訪問網站時,我們的系統是以為是合法用戶,然後更新「登錄token」,而真正的用戶回來訪問時,系統發現只有「用戶名」和「登錄序列」相同,但是「登錄token」 不對,這樣的話,系統就知道,這個用戶可能出現了被盜用的情況,於是,系統可以清除並更改登錄序列 和 登錄token,這樣就可以令所有的cookie失效,並要求用戶輸入口令。並給警告用戶系統安全。
4)當然,上述這樣的設計還是會有一些問題,比如:同一用戶的不同設備登錄,甚至在同一個設備上使用不同的瀏覽器保登錄。一個設備會讓另一個設備的登錄token和登錄序列失效,從而讓其它設備和瀏覽器需要重新登錄,並會造成cookie被盜用的假象。所以,你在伺服器服還需要考慮- IP 地址,
a) 如果以口令方式登錄,我們無需更新伺服器的「登錄序列」和 「登錄token」(但需要更新cookie)。因為我們認為口令只有真正的用戶知道。
b) 如果 IP相同 ,那麼,我們無需更新伺服器的「登錄序列」和 「登錄token」(但需要更新cookie)。因為我們認為是同一用戶有同一IP(當然,同一個區域網里也有同一IP,但我們認為這個區域網是用戶可以控制的。網吧內並不推薦使用這一功能)。
c) 如果 (IP不同 && 沒有用口令登錄),那麼,「登錄token」 就會在多個IP間發生變化(登錄token在兩個或多個ip間被來來回回的變換),當在一定時間內達到一定次數後,系統才會真正覺得被盜用的可能性很高,此時系統在後台清除「登錄序列」和「登錄token「,讓Cookie失效,強制用戶輸入口令(或是要求用戶更改口令),以保證多台設備上的cookie一致。
不要讓cookie有許可權訪問所有的操作。否則就是XSS攻擊,這個功能請參看新浪微博的XSS攻擊。下面的這些功能一定要用戶輸入口令:
1)修改口令。
2)修改電子郵件。(電子郵件通過用來找回用戶密碼)
3)用戶的隱私信息。
4)用戶消費功能。
權衡Cookie的過期時間。如果是永不過期,會有很不錯的用戶體驗,但是這也會讓用戶很快就忘了登錄密碼。如果設置上過期期限,比如2周,一個月,那麼可能會好一點,但是2周和一個月後,用戶依然會忘了密碼。尤其是用戶在一些公共電腦上,如果保存了永久cookie的話,等於泄露了帳號。所以,對於cookie的過期時間我們還需要權衡。
找回口令的功能
找回口令的功能一定要提供。但是很多朋友並不知道怎麼來設計這個功能。我們有很多找回口令的設計,下面我逐個點評一下。
千萬不要使用安全問答。事實證明,這個環節很煩人,而且用戶並不能很好的設置安全問答。什麼,我的生日啊,我母親的生日,等等。因為今天的互聯網和以前不一樣了,因為SNS,今天的互聯比以前更真實了,我可以上facebook,開心,人人網,LinkedIn查到你的很多的真實的信息。通過這些信息我可以使用安全問答來重設你的口令。 這里需要說一下 Facebook,Facebook的安全問答很強大,還要你通過照片認人,呵呵。
不要重置用戶的密碼。因為這有可能讓用戶的密碼遭到惡意攻擊。當然,你要發個郵件給用戶讓其確認,用戶點擊郵件中的一個鏈接,你再重置。我並不推薦這樣的方法,因為用戶一般都會用筆記下來這個很難記的口令,然後登錄系統,因為登錄系統時使用了「記住密碼」的功能,所以導致用戶不會去修改密碼,從而要麼導到被寫下來的密碼被人盜取,要麼又忘記了密碼。
好一點的做法——通過郵件自行重置。當用戶申請找回口令功能的時候,系統生成一個MD5唯一的隨機字串(可通過UID+IP+timestamp+隨機數),放在資料庫中,然後設置上時限(比如1小時內),給用戶發一個郵件,這個連接中包含那個MD5的字串的鏈接,用戶通過點擊那個鏈接來自己重新設置新的口令。
更好一點的做法——多重認證。比如:通過手機+郵件的方式讓用戶輸入驗證碼。手機+郵件可能還不把握,因為手機要能會丟了,而我的手機可以訪問我的郵箱。所以,使用U盾,SecureID(一個會變化的6位數token),或是通過人工的方式核實用戶身份。當然,這主要看你的系統的安全級別了。
口令探測防守
使用驗證碼。驗證碼是後台隨機產生的一個短暫的驗證碼,這個驗證碼一般是一個計算機很難識別的圖片。這樣就可以防止以程序的方式來嘗試用戶的口令。事實證明,這是最簡單也最有效的方式。當然,總是讓用戶輸入那些肉眼都看不清的驗證碼的用戶體驗不好,所以,可以折中一下。比如Google,當他發現一個IP地址發出大量的搜索後,其會要求你輸入驗證碼。當他發現同一個IP注冊了3個以上的gmail郵箱後,他需要給你發簡訊方式或是電話方式的驗證碼。
用戶口令失敗次數。調置口令失敗的上限,如果失敗過多,則把帳號鎖了,需要用戶以找回口令的方式來重新激活帳號。但是,這個功能可能會被惡意人使用。最好的方法是,增加其嘗試的時間成本(以前的這篇文章說過一個增加時間成本的解密演算法)。如,兩次口令嘗試的間隔是5秒鍾。三次以上錯誤,帳號被臨時鎖上30秒,5次以上帳號被鎖1分鍾,10次以上錯誤帳號被鎖4小時……
系統全局防守。上述的防守只針對某一個別用戶。惡意者們深知這一點,所以,他們一般會動用「僵屍網路」輪著嘗試一堆用戶的口令,所以上述的那種方法可能還不夠好。我們需要在系統全局域上監控所有的口令失敗的次數。當然,這個需要我們平時沒有受到攻擊時的數據做為支持。比如你的系統,平均每天有5000次的口令錯誤的事件,那麼你可以認為,當口令錯誤大幅超過這個數後,而且時間相對集中,就說明有黑客攻擊。這個時候你怎麼辦?一般最常見使用的方法是讓所有的用戶輸錯口令後再次嘗試的時間成本增加。
G. 基於web的安全防範措施的研究與應用
一、計算機網路攻擊的常見手法
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。
(一)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
(二)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓,這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。
(三)解密攻擊
在互聯網上,使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。但一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用於區域網,一旦成功攻擊者將會得到很大的操作權益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
(四)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。這些後門軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,並使用一定的反編譯軟體,查看來源數據是否有其他可疑的應用程序,從而杜絕這些後門軟體。
(五)拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作,所以大家在上網時一定要安裝好防火牆軟體,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
二、計算機網路安全的防火牆技術
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的,就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。
(一)防火牆的含義
所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
(二)防火牆的安全性分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,作者對防火牆的安全性有如下幾點認識:
1.只有正確選用、合理配置防火牆,才能有效發揮其安全防護作用
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:
a.風險分析;
b.需求分析;
c.確立安全政策;
d.選擇准確的防護手段,並使之與安全政策保持一致。
然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2.應正確評估防火牆的失效狀態
評價防火牆性能如何,及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,它應有這樣四種狀態:
a.未受傷害能夠繼續正常工作;
b.關閉並重新啟動,同時恢復到正常工作狀態;
c.關閉並禁止所有的數據通行;
d. 關閉並允許所有的數據通行。
前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3.防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆軟體進行更新。
4.目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大,主要原因是:
a.防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。
b.防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
c.選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要,進而提出這樣一個問題:不進行測試,何以證明防火牆安全?
5.非法攻擊防火牆的基本「招數」
a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面,因此攻擊者無需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。
b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
c.防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
(三)防火牆的基本類型
實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1;
(2)允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet (23口)到主機150.0.0.2上;
(3)允許任何地址的E-mail(25口)進入主機150.0.0.3;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
(四)防火牆的配置
防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。 這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網,稱之為"停火區"(DMZ,即DemilitarizedZone),Bastionhost放置在"停火區"內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
(五)防火牆的安全措施
各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關介面相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,並向網路管理員報警。
2.網路地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP定址方式的諸多限制,完善內部定址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.開放式結構設計
開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易,典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。
4.路由器安全管理程序
它為Bay和Cisco的路由器提供集中管理和訪問列表控制。
(六)傳統防火牆的五大不足
1.無法檢測加密的Web流量
如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網路防火牆,根本就不提供數據解密的功能。
2、普通應用程序加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。
但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程序,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設置與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務數據。網路防火牆的防護范圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程序時,由於無法全面控制網路、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的數據中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程序;
★ 經常需要增加或更新軟體模塊;
★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。
在這樣動態復雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠數據流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要屏蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程序。
5、無法擴展帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網路性能,這是不行的。
真正的針對所有網路和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議性能;
這些任務,在基於標准PC硬體上,是無法高效運行的,雖然一些網路防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。
三、結束語
由於互聯網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的網路安全防範體系就更為迫切。實際上,保障網路安全不但需要參考網路安全的各項標准以形成合理的評估准則,更重要的是必須明確網路安全的框架體系、安全防範的層次結構和系統設計的基本原則,分析網路系統的各個不安全環節,找到安全漏洞,做到有的放矢。
H. 請教webservice安全和加密的方法
眾所周知,WebService訪問API是公開的,知道其URL者均可以研究與調用。那麼,在只允許注冊用戶的WebService應用中,如何確保API訪問和通信的安全性呢?本文所指的訪問與通信安全性包括:
訪問安全性:當前訪問者是注冊合法用戶
通信安全性:客戶端與伺服器之間的消息即使被第三方竊取也不能解密
本文安全的基本思路是:
注冊用戶登錄時使用RSA加密
Web API調用參數使用DES加密(速度快)
Web API調用中包含一個身份票據Ticket
Web伺服器保存當前Ticket的Session,包括:Ticket、DES加密矢量、注冊用戶基本信息
1 WebService身份驗證
確保注冊用戶的訪問安全,需要如下步驟:1)產生一個當前客戶端機器票據(Ticket);2)請求伺服器RSA公鑰(RSAPublicKey);3)使用RSA加密登錄口令及發布DES加密矢量(DESCipherVector)。
1.1 產生客戶端機器票據Ticket
一般而言,可以由客戶端機器根據自己的MAC、CPU序列號等唯一標識產生一個本機器的Ticket字元串票據,其目的是:唯一標識當前客戶端,防止其它機器模仿本客戶端行為。
1.2 請求伺服器公鑰RSAPublicKey
客戶端攜帶票據Ticket向伺服器請求RSA公鑰RSAPublicKey。在伺服器端,一般採取如下策略產生RSA加密鑰匙:
Application_Start時產生一個1024或更長的RSA加密鑰匙對。如果伺服器需要長久運行,那麼Application_Start產生的RSA可能被破解,替代方案是在當前Session_Start時產生RSA加密鑰匙對
保存當前票據對應的客戶帳號對象,即:Session[Ticket] = AccountObject,在確認身份後在填寫AccountObject具體內容:帳號、RSA加密鑰匙對、DES加密矢量
完成上述步驟後,伺服器將RSAPublicKey傳回給客戶端。
1.3 加密登錄口令及DES加密矢量
客戶端獲得RSAPulbicKey後,產生自己的DES加密矢量DESCipherVector(至少要8位及以上,該加密矢量用於以後的常規通信消息加密,因為其速度比RSA快)。接著,客戶端使用RSAPublicKey加密登錄帳號、口令及DESCipherVector,連同Ticket,發送到伺服器並請求身份驗證。登錄API格式如下:
public void Login(string Ticket, string cipherLongID, string cipherPassword);
如果驗證成功,伺服器將當前帳號信息、RSA鑰匙、DESCipherVector等保存到會話Session[Ticket]中。
2 WebService通信安全性
2.1 加密WebService API參數
身份確認後,在客戶端調用的WebService API中,必須包括參數Ticket,其它參數則均使用DESCipherVector加密。伺服器端返回的消息也同樣處理。例如,提交一個修改email的函數定義為:
public void ModifyEmail(string Ticket, string cipherEmai);
2.2 客戶端解密消息
客戶端接收到伺服器返回消息後,先做解密操作,如果成功則進入下步處理。否則拋出加密信息異常。
2.3 伺服器端解密消息
伺服器接收到客戶提交的API請求後,首先驗證Ticket的合法性,即查找Session中是否有該票據以驗證客戶身份。然後,解密調用參數。如果成功則進入下不操作,否則返回操作異常消息給客戶端。
需要指出,如果第三方截獲全部會話消息,並保留其Ticket,此時伺服器端仍然認可這個第三方消息。但是,第三方不能瀏覽,也不能修改調用API的參數內容,此時解密參數時將拋出異常。
上面探討了一個基於加密的WebService訪問與通信安全方法,即使第三方獲取消息,不能查看原始內容,也不能修改內容,保證了WebService API的安全性。
I. SSL協議原理及WEB安全實現
SSL (Secure Socket Layer)
為Netscape所研發,用以保障在Internet上數據傳輸之安全,利用數據加密(Encryption)技術,可確保數據在網路
上之傳輸過程中不會被截取及竊聽。目前一般通用之規格為40 bit之安全標准,美國則已推出128 bit之更高安全
標准,但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。
當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密數據傳輸。
SSL協議位於TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。SSL協議可分為兩層: SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。 SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密演算法、交換加密密鑰等。
SSL協議提供的服務主要有:
1)認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器;
2)加密數據以防止數據中途被竊取;
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL協議的工作流程:
伺服器認證階段:1)客戶端向伺服器發送一個開始信息「Hello」以便開始一個新的會話連接;2)伺服器根據客戶的信息確定是否需要生成新的主密鑰,如需要則伺服器在響應客戶的「Hello」信息時將包含生成主密鑰所需的信息;3)客戶根據收到的伺服器響應信息,產生一個主密鑰,並用伺服器的公開密鑰加密後傳給伺服器;4)伺服器恢復該主密鑰,並返回給客戶一個用主密鑰認證的信息,以此讓客戶認證伺服器。
用戶認證階段:在此之前,伺服器已經通過了客戶認證,這一階段主要完成對客戶的認證。經認證的伺服器發送一個提問給客戶,客戶則返回(數字)簽名後的提問和其公開密鑰,從而向伺服器提供認證。
從SSL 協議所提供的服務及其工作流程可以看出,SSL協議運行的基礎是商家對消費者信息保密的承諾,這就有利於商家而不利於消費者。在電子商務初級階段,由於運作電子商務的企業大多是信譽較高的大公司,因此這問題還沒有充分暴露出來。但隨著電子商務的發展,各中小型公司也參與進來,這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web伺服器雙方的身份驗證,但是SSL協議仍存在一些問題,比如,只能提供交易中客戶與伺服器間的雙方認證,在涉及多方的電子交易中,SSL協議並不能協調各方間的安全傳輸和信任關系。在這種情況下,Visa和 MasterCard兩大信用卡公組織制定了SET協議,為網上信用卡支付提供了全球性的標准。
https介紹
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協議
它是由Netscape開發並內置於其瀏覽器中,用於對數據進行壓縮和解壓操作,並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的完全套接字層(SSL)作為HTTP應用層的子層。(HTTPS使用埠443,而不是象HTTP那樣使用埠80來和TCP/IP進行通信。)SSL使用40 位關鍵字作為RC4流加密演算法,這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證,如果需要的話用戶可以確認發送者是誰。。
https是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,https的安全基礎是SSL,因此加密的詳細內容請看SSL。
它是一個URI scheme(抽象標識符體系),句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的默認埠及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司進行,提供了身份驗證與加密通訊方法,現在它被廣泛用於萬維網上安全敏感的通訊,例如交易支付方面。
限制
它的安全保護依賴瀏覽器的正確實現以及伺服器軟體、實際加密演算法的支持.
一種常見的誤解是「銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊。」實際上,與伺服器的加密連接中能保護銀行卡號的部分,只有用戶到伺服器之間的連接及伺服器自身。並不能絕對確保伺服器自己是安全的,這點甚至已被攻擊者利用,常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶數據時發生,攻擊者嘗試竊聽數據於傳輸中。
商業網站被人們期望迅速盡早引入新的特殊處理程序到金融網關,僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個資料庫里。那些資料庫和伺服器少數情況有可能被未授權用戶攻擊和損害。
J. 《基於WEB的電子郵件系統的設計與實現》論文
基於JAVA的安全WEB電子郵件系統-收費碩士博士論文-論文天下③對稱加密與非對稱加密技術的原理和實現方法,以及兩者的優點和缺點; ④典型垃圾郵件的特徵,以及反垃圾郵件技術的原理和實現方法。 針對以上研究,本文對基於JAVA的安全WEB電子郵件系統的設計,提出了自己的解決方案,該方案具有以下的創新點:... www.lunwentianxia.com/proct.sf.3400905.1/