奔跑吧

猫和老鼠

扫一扫关注微信二维码 凯特王妃
欢迎来到黑龙江省数字证书认证有限公司官方网站

解决方案

网上证券安全解决方案

作者:admin 发布时间:2016-12-03
 一、 信息和网络安全的基本要求
    互连网络在拉进人们的距离,改变人们的生活、生产和生存的方式。人们从传统的面对面的交易和作业,变成跨时空互相不见面的网上操作,没有国界,没有时间限制。值得注意的是,当人们在尽情享受数字化生活、利用互连网资源和工具时,同时也面临着被攻击的危险。其正在作业的系统可能会遭到攻击者的非法访问甚至破坏,部门机关的机密资料、个人隐私、交易的敏感信息、支付的信息等可能遭到窃取、盗用或篡改互联网络并不太平。互联网络起初阶段用户之间互相信任、可以进行自由开放信息交换的君子风度已经所剩无几了。社会上能找到的所有欺诈、凶险、卑鄙和投机等种种现象,互联网络上已经应有尽有。在这样的环境里,开放性成了互联网络的一把双刃剑。企图闯入系统者有之。如果不及时规划实施安全策略的技术,不制服形形色色的灾难,任凭灾难发作,信息网络系统就可能陷入瘫痪,严重的可能引起大面积恐慌其至灾难性后果。
    对安全的概念有不同的解释,但从本质上讲,互联网络的安全性一般包括访问控制安全和信息传输安全。从互联网络信息的层次来分,安全性包括网络层安全性、传输层的安全性、应用层的安全性。按照实施安全措施的对象来看,可以分为物理安全、运行管理安全、数据库资源的安全。信息和网络的安全虽然有许多不同的需求,从总体上讲,可以归纳为以下5项基本要求:
    1、信息的保密性
    在INTERNET上传送的信息以包的形式转发的,所有信息就象一张被整齐剪裁了的明信片,只要攻击者收集到所有的包,那么,发送的信息对于攻击者来说就无保密可言了。如果传输的信息是国家机密、商业秘密或者消费者私人的金融信息,攻击者就有可能加以利用和破坏,造成损失。传输信息的保密性要求信息发送和接收是在安全通道进行,保证通信双方的信息保密,交易的非参与方不能获取交易和作业的明文信息。
    2、身份的真实性
    在互不见面的网上,假冒身份是经常发生的。如冒充上级领导发布命令、调阅密件:冒充他人消费、栽赃:冒充主机欺骗合法用户获取重要信息;冒充网络控制程序,套取或修改使用权限、通行字、密钥等信息;接管合法用户,欺骗系统,占用合法用户的资源等等。身份真实性要求交易和作业参与方的身份不能被假冒或伪装,网上作业时能够有效地鉴别确定交易的真实身份。
    3、信息的完整性
    信息在传输过程中可能被攻击和截取,攻击者对其进行篡改,对购买商品的出贷地址、单位发奖金的金额、领导的讲话原意进行改变;插入或删除传输消息或信息的某些部分,让按受方接受错误的信息。信息的完整性要求发送和接收的信息应该保持一致,信息接收方可以验证收到的信息是否是完整,是否被人篡改。
    4、访问可控性
    授权什么人、可以访问什么资源、有什么权限等等,涉及到用户访问的权限控制,包括分配或终止用户的访问、操劳作、接入等权利,就是因为非法用户穷尽接入访问资源,使合法用户不能正常访问网站为了聚"人气",吸引访问量,前台大多没有进行访问可控性的设置,因此比较容易受到拒绝服务的攻击。
    5、不可抵赖性
    在网上容易因抵赖行为产生纠纷。如购买飞机票后不承认,否认曾经发送过某条信息或内容;收信者事后否认曾经收到地某条消息或内容;购买者估了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等等。不可抵赖性就是信息的发送方不能抵赖曾经发送的信息,不能否认自己的行为。
二、 数字证书认证体系的架构和功能
    如何应用最有效的安全技术,建立互连网络的安全体系结构,成为建设数字化信息化社会首先需要解决的问题。防火墙技术是针对访问控制方面的安全性提出来的。防火墙如今已经是网络安全中用的最普遍的产品,导致一些人把网络安全和防火墙划等号。应该指出,防火墙并不是解决所有网络安全问题的万能药方,只是网络安全策略中的一个组成部分。其作用是防止未经授权的访问。统计表明,70%以上的攻击是来自内部,这是基于隔离的防火墙防范措施无能为力的。同样,防火墙也不能解决进入防火墙的数据带来的所有安全问题。从信息和网络安全的全局出发,经过研究和实践,国际上提出了基于公开密钥体制(Public Key Infrastructure,简称PKI)的CA认证体系,可以满足上述信息和网络安全的5项基本要求,现已被普遍认可。鉴于CA建设的重要性,多数国家都在建立自己的CA认证体系。由于政治上的原因,目前还没有国际统一的认证机构。
    CA认证体系的核心是证书认证中心(Certificate Authority,简称CA中心)。CA中心是公正的第三方,它为建立身份认证过程的权威性框架奠定了基础,为交易和作业的参与方提供了安全保障。为网上交易构筑了一个互相信任的环境,同时解决了网上身份认证、公钥分发及信息完整性检验、不可抵赖验证控制访问等一系列问题。第三方的概念是从信任关系中得出的。茫茫网海,不可能认识网上作业的所有参与方,互不见面的情况下如何信任对方?只好求助认识的或有责任义务关系的中间人来保证双方的身份,交易和作业双方信任的第三方,由第三方保证参与方的真实身份。
    CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、运行安全管理技术、可靠的信任责任体系等等。从业务流程涉及的脚色看,包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书下级中心(子CA)、证书审批中心(RA中心)、证书审批受理点(RAT)等。CA中心一般要发布认证体系声明书(SDCA白皮书),向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。
    根据的PKI结构,身份人证的实体需要有一对密钥,分别为私钥和公钥。其中私钥是保密的,公钥是公开的。从原理上讲,不能从公钥推导出私钥,穷举法来求私钥则由于目前的技术、运算工具和时间的限制而不可能。每个实体的密钥总是成对出现,即一个公钥必定对应一个私钥。公钥加密的信息必须由对应的私钥才能解密,同样,私钥做出的签名,也只有配对的公钥才能解密。公钥有时传送对称密钥,这就是数字信封技术。密钥的管理政策是把公钥和实体绑定,由CA中心把实体的信息和实体的公钥制作成数字证书,证书的尾部必须有CA中心的数字签名。由于CA中心的数字签名是不可伪造的,因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后,才对申请者颁发数字证书,将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心,因此,实体可以信任由CA中心颁发证书的其他实体,放心地在网上进行作业和交易。
    数字证书主要内容包含一个公开密钥、名称以及CA中心的数字签名、密钥的有效时间,发证机关的名称,证书的序列号等等,证书格式遵循ITU-T X.509标准。这里要说明两个问题。其一是数字签名,假设A做数字签名,A要做什么事,表达在信息原文里。A首先将信息原文进行摘要处理(即HASH算法),得到一定长度(通常为128-160BITS)的数字指纹(一堆杂乱码),再用A的私钥对数字指纹进行加密。信息原文和加密后的数字指纹一起形成数字签名。可见数字签名一定要和信息原文一起存在。由于签名私钥只有A有,因此别人不可能A伪造的数字签名。验证数字签名则相反。接收方B得到信息原文后,再做摘要处理,得到数字指纹B,然后用A证书的公钥将加密过的数字指纹解密,得到数字指纹A,只要对照两份数字指纹,便可以验证数字签名。如果不一致,可以肯定发送的信息是假的。


xml地图 | sitemap地图
戴安娜王妃
分享到:QQ空间新浪微博腾讯微博人人网微信
穿越火线姐妹俱乐部 崩坏3 哥斯拉大战金刚 欧洲杯 熊出没 杨幂 猪猪侠 熊出没之夏日连连看 张哲瀚 特斯拉 传世之爱 剑灵 月光变奏曲 全职法师 奥运开幕式生变故 恰好是少年 叛逆者 下一位前度 魔兽世界 如棋 张哲瀚 密室大逃脱 烟火里的尘埃 萌探探探案 完美世界 37年积蓄家中发霉 减肥减出世界冠军 吴亦凡整容 杨紫 happier 移动成立芯片公司 狼行者 三国演义 樱花 江西一村全年无蚊重庆发现吃虫植物 私生饭 双世宠妃3非诚勿扰 强军战歌 刑侦日记 七一晚会 吴亦凡 虎扑 只是太爱你 宝马 易烊千玺 王牌对王牌 意甲直播 梦幻西游 张哲瀚 光年之外我的世界 水球 5566 今年盛夏气候预测 减肥减出世界冠军 张哲瀚 金像奖 三孩政策配套措施 | 下一页
Baidu
sogou
百度 搜狗 360