A. 怎样关闭SSL证书策略
功能表——设来置——数据管理自——程序管理——选项——设置——在线证书检查选择关。
工具——Internet选项——安全-----自定义级别——对未标记为安全执行脚本的ActiveX(设置为启用)
不行就选择默认级别
因为你是进入了非法网站 也就是钓鱼网站 网站内隐藏了木马程序或其它病毒软件 病毒会在你打开网页的同时自动安装在你的电脑中 win7自带浏览器防病毒程序会自动检测到 并在第一时间提醒你 这是对你的负责 希望不要自作主张试图关闭它 不想让系统崩溃的话 尽量不要浏览这些网站
再试一下进入浏览器---工具--internet选项--高级--下拉到安全选项-----将SSL2.0 前边的钩钩关掉试试
主要是因为访问海尔的SSL证书时,IE会自动去检查证书中的吊销列表,而目前国际证书的吊销列表都是放在国外,所以可能会出现连接不上的情况。
关于SSL的协议,因为目前已知2.0存在安全问题,所以都建议选择SSL3.0和TLS1.0
再就是海尔BCC系统网站使用的是企业型的SSL安全证书
B. 公钥策略是什么意思
公钥基础设施PKI 简介
中科院计算机网络信息中心 在读研究生 孔 宁
摘要:本文简介了当前广泛用于解决电子商务中安全问题的PKI 技术。PKI(Pubic Key Infrastructure)是一
种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成
部分CA( Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身
份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。
关键词:公钥基础设施PKI 认证中心CA 数字证书
一 PKI 简介
随着Internet 的普及,人们通过因特网进行沟通越来越多,相应的通过网络进行商务活
动即电子商务也得到了广泛的发展。电子商务为我国企业开拓国际国内市场、利用好国内
外各种资源提供了一个千载难逢的良机。电子商务对企业来说真正体现了平等 竞争、高效
率、低成本、高质量的优势,能让企业在激烈的市场竞争中把握商机、脱颖而出。发达国
家已经把电子商务作为21 世纪国家经济的增长重点,我国的有关部门也正在大力推进我国
企业发展电子商务。然而随着电子商务的飞速发展也相应的引发出一些Internet 安全问题。
概括起来,进行电子交易的互联网用户所面临的安全问题有: 一,保密性 :如何保证电
子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取;二,完整性 :如何保证
电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易;三,身份认证
与授权 :在电子商务的交易过程中,如何对双方进行认证,以保证交易双方身份的正确性;
四,抗抵赖 :在电子商务的交易完成后,如何保证交易的任何一方无法否认已发生的交易。
这些安全问题将在很大程度上限制电子商务的进一步发展,因此如何保证Internet 网上信息
传输的安全,已成为发展电子商务的重要环节。
为解决这些Internet 的安全问题,世界各国对其进行了多年的研究,初步形成了一套完
整的Internet 安全解决方案,即目前被广泛采用的PKI 技术(Public Key Infrastructure-公钥基
础设施),PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构--认证中
心CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如名称、e-mail、身份
证号等)捆绑在一起,在Internet 网上验证用户的身份。目前,通用的办法是采用基于PKI
结构结合数字证书,通过把要传输的数字信息进行加密,保证信息传输的保密性、完整性,
签名保证身份的真实性和抗抵赖。
二 PKI 的基本定义与组成
PKI 的基本定义十分简单,所谓PKI 就是一个用公钥概念和技术实施和提供安全服务
的具有普适性的安全基础设施。
PKI 是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)
和关于公开密钥的安全策略等基本成分共同组成的。PKI 是利用公钥技术实现电子商务安全
的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。从某种意义上
讲,PKI 包含了安全认证系统,即安全认证系统-CA 系统是PKI 不可缺的组成部分。
PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或
平台,目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立
一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止
列表CRL(X.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。一个典型、完整、
有效的PKI 应用系统至少应具有以下五个部分;
1) 认证中心CA CA 是PKI 的核心,CA 负责管理PKI 结构下的所有用户(包括
各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上
验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布,后面有
CA 的详细描述。
2) X.500 目录服务器 X.500 目录服务器用于发布用户的证书和黑名单信息,用户
可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。
3) 具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer(SSL)协议
最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以
及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
4) Web(安全通信平台) Web 有Web Client 端和Web Server 端两部分,分别安装
在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务
器端数据的机密性、完整性、身份验证。
5) 自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用
系统,例如银行、证券的应用系统等。
完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级
关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、
所涉及的各方法律关系内容以及技术的实现等。
三 PKI 的原理
公钥基础设施PKI 的原理,顾名思义PKI 是基于公钥密码技术的。要想深刻理解PKI
的原理,就一定要对PKI 涉及到的密码学知识有比较透彻的理解。下面简单介绍一下密码
学知识。对于普通的对称密码学,加密运算与解密运算使用同样的密钥。通常,使用的加密
算法比较简便高效,密钥简短,破译极其困难,由于系统的保密性主要取决于密钥的安全
性,所以,在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。正是由于对
称密码学中双方都使用相同的密钥,因此无法实现数据签名和不可否认性等功能。而与此
不同的非对称密码学,具有两个密钥,一个是公钥一个是私钥,它们具有这种性质:用公
钥加密的文件只能用私钥解密,而私钥加密的文件只能用公钥解密。公钥顾名思义是公开
的,所有的人都可以得到它;私钥也顾名思义是私有的,不应被其他人得到,具有唯一性。
这样就可以满足电子商务中需要的一些安全要求。比如说要证明某个文件是特定人的,该
人就可以用他的私钥对文件加密,别人如果能用他的公钥解密此文件,说明此文件就是这
个人的,这就可以说是一种认证的实现。还有如果只想让某个人看到一个文件,就可以用
此人的公钥加密文件然后传给他,这时只有他自己可以用私钥解密,这可以说是保密性的
实现。基于这种原理还可以实现完整性。这就是PKI 所依赖的核心思想,这部分对于深刻
把握PKI 是很重要的,而恰恰这部分是最有意思的。
比如在现实生活中,我们想给某个人在网上传送一个机密文件,该文件我们只想让那
个人看到,我们设想了很多方法,首先我们想到了用对称密码将文件加密,而在我们把加
密后的文件传送给他后,我们又必须得让他知道解密用的密钥,这样就又出现了一个新的
问题,就是我们如何保密的传输该密钥,此时我们发现传输对称密钥也不可靠。后来我们
可以改用非对称密码的技术加密,此时发现问题逐渐解决了。然而又有了一个新的问题产
生,那就是如何才能确定这个公钥就是某个人的,假如我们得到了一个虚假的公钥,比如
说我们想传给A 一个文件,于是开始查找A 的公钥,但是这时B 从中捣乱,他把自己的公钥
替换了A 的公钥,让我们错误的认为B 的公钥就是A 的公钥,导致我们最终使用B 的公钥
加密文件,结果A 无法打开文件,而B 可以打开文件,这样B 实现了对保密信息的窃取行
为。因此就算是采用非对称密码技术,我们仍旧无法保证保密性的实现,那我们如何才能
确切的得到我们想要的人的公钥呢?这时我们很自然的想到需要一个仲裁机构,或者说是
一个权威的机构,它能为我准确无误的提供我们需要的人的公钥,这就是CA。
这实际上也是应用公钥技术的关键,即如何确认某个人真正拥有公钥(及对应的私钥)。
在PKI 中,为了确保用户的身份及他所持有密钥的正确匹配,公开密钥系统需要一个值得
信赖而且独立的第三方机构充当认证中心(Certification Authority,CA),来确认公钥拥有人
的真正身份。就象公安局发放的身份证一样,认证中心发放一个叫"数字证书"的身份证明。
这个数字证书包含了用户身份的部分信息及用户所持有的公钥。象公安局对身份证盖章一
样,认证中心利用本身的私钥为数字证书加上数字签名。任何想发放自己公钥的用户,可以
去认证中心申请自己的证书。认证中心在鉴定该人的真实身份后,颁发包含用户公钥的数字
证书。其他用户只要能验证证书是真实的,并且信任颁发证书的认证中心,就可以确认用户
的公钥。认证中心是公钥基础设施的核心,有了大家信任的认证中心,用户才能放心方便的
使用公钥技术带来的安全服务。
四PKI 的核心部分CA
认证中心CA 作为PKI 的核心部分,CA 实现了PKI 中一些很重要的功能,概括地说,
认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA 的核心功能就
是发放和管理数字证书,具体描述如下:
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理最终用户的数字证书更新请求-证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
认证中心CA 为了实现其功能,主要由以下三部分组成:
注册服务器:通过 Web Server 建立的站点,可为客户提供24×7 不间断的服务。客户
在网上提出证书申请和填写相应的证书申请表。
证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申
请并进行审核。
认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书
废止列表(CRL)的生成和处理等服务。
在具体实施时,CA 的必须做到以下几点:
1) 验证并标识证书申请者的身份。
2) 确保CA 用于签名证书的非对称密钥的质量。
3) 确保整个签证过程的安全性,确保签名私钥的安全性。
4) 证书资料信息(包括公钥证书序列号,CA 标识等)的管理。
5) 确定并检查证书的有效期限。
6) 确保证书主体标识的唯一性,防止重名。
7) 发布并维护作废证书列表。
8) 对整个证书签发过程做日志记录。
9) 向申请人发出通知。
在这其中最重要的是CA 自己的一对密钥的管理,它必须确保其高度的机密性,防止他
方伪造证书。CA 的公钥在网上公开,因此整个网络系统必须保证完整性。CA 的数字签名
保证了证书(实质是持有者的公钥)的合法性和权威性。用户的公钥有两种产生的方式:(1)
用户自己生成密钥队,然后将公钥以安全的方式传送给CA,该过程必须保证用户公钥的验
证性和完整性。(2)CA 替用户生成密钥队,然后将其以安全的方式传送给用户,该过程必
须确保密钥对的机密性,完整性和可验证性。该方式下由于用户的私钥为CA 所产生,所以
对CA 的可信性有更高的要求。CA 必须在事后销毁用户的私钥。
一般而言公钥有两大类用途,就像本文前面所述,一个是用于验证数字签名,一个是
用于加密信息。相应的在CA 系统中也需要配置用于数字签名/验证签名的密钥对和用于数
据加密/脱密的密钥对,分别称为签名密钥对和加密密钥对。由于两种密钥对的功能不同,
管理起来也不大相同,所以在CA 中为一个用户配置两对密钥,两张证书。
CA 中比较重要的几个概念点有:证书库。证书库是CA 颁发证书和撤销证书的集中存
放地,它像网上的“白页“一样,是网上的一种公共信息库,供广大公众进行开放式查询。
这是非常关键的一点,因为我们构建CA 的最根本目的就是获得他人的公钥。目前通常的做
法是将证书和证书撤消信息发布到一个数据库中,成为目录服务器,它采用LDAP 目录访
问协议,其标准格式采用X.500 系列。随着该数据库的增大,可以采用分布式存放,即采用
数据库镜像技术,将其中一部分与本组织有关的证书和证书撤消列表存放到本地,以提高证
书的查询效率。这一点是任何一个大规模的PKI 系统成功实施的基本需求,也是创建一个
有效的认证机构CA 的关键技术之一。
另一个重要的概念是证书的撤消。由于现实生活中的一些原因,比如说私钥的泄漏,
当事人的失踪死亡等情况的发生,应当对其证书进行撤消。这种撤消应该是及时的,因为如
果撤消延迟的话,会使得不再有效的证书仍被使用,将造成一定的损失。在CA 中,证书的
撤消使用的手段是证书撤消列表或称为CRL。即将作废的证书放入CRL 中,并及时的公布
于众,根据实际情况不同可以采取周期性发布机制和在线查询机制两种方式。
密钥的备份和恢复也是很重要的一个环节。如果用户由于某种原因丢失了解密数据的
密钥,那么被加密的密文将无法解开,这将造成数据丢失。为了避免这种情况的发生,PKI
提供了密钥备份于解密密钥的恢复机制。这一工作也是应该由可信的机构CA 来完成的,而
且,密钥的备份与恢复只能针对解密密钥,而签名密钥不能做备份,因为签名密钥匙用于不
不可否认性的证明的,如果存有备份的话,将会不利于保证不可否认性。
还有,一个证书的有效期是有限的,这样规定既有理论上的原因,又有实际操作的因
素。在理论上诸如关于当前非对称算法和密钥长度的可破译性分析,同时在实际应用中,证
明密钥必须有一定的更换频度,才能得到密钥使用的安全性。因此一个已颁发的证书需要有
过期的措施,以便更换新的证书。为了解决密钥更新的复杂性和人工干预的麻烦,应由PKI
本身自动完成密钥或证书的更新,完全不需要用户的干预。它的指导思想是:无论用户的证
书用于何种目的,在认证时,都会在线自动检查有效期,当失效日期到来之前的某时间间隔
内,自动启动更新程序,生成一个新的证书来替代旧证书。
结束语
个人感觉PKI/CA 技术很有发展前途,只是在我国的应用才刚刚起步。另外CA 作为电
子商务的特殊实体,它必须具有权威性,这种权威性来自政府或公共组织的授予;它必须使
公众所依赖的机构,它颁发的证书可信;它必须是公正的,不参与交易双方的。本文仅是停
留在比较简单的理论介绍,希望此文能让更多人了解PKI,投入到PKI 的研究中来。
参考书目:
[1] 《公钥基础设施(PKI)实现和管理电子安全》 [美] Andrew Nash 等著 清华大学出版社
[2] 《公钥基础设施PKI 与认证机构CA》 关振胜 著 电子工业出版社出版
C. 电子认证业务规则 和证书策略有什么作用
电子认证业务规则规范(试行)
电子认证业务规则规范说明
为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。
信息产业部电子认证服务管理办公室 .
2005年4月 .
电子认证业务规则规范(试行)
一、电子认证业务规则的主要组成部分
电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。 (一)概括性描述 (二)信息发布与信息管理 (三)身份标识与鉴别 (四)证书生命周期操作要求
(五)认证机构设施、管理和操作控制 (六)认证系统技术安全控制
(七)证书、证书吊销列表和在线证书状态协议 (八)认证机构审计和其他评估 (九)法律责任和其他业务条款
二、主要组成部分的内容说明
(一) 概括性描述
对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。 1、概述
对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。例如,可以设定所提供证书的不同保证等级,也可以用图形的方式来表达电子认证服务机构的结构。 2、文档名称与标识
关于电子认证业务规则的任何适用名称或标识符,包括ASN.1对象标识符的说明。 3、电子认证活动参与者
* 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。
* 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准更新证书或更新密钥的申请。
http://wenku..com/link?url=_-MhzwXC3O_z94CNNq8vCBoLAjNOboQe3m-3DtpDK4djK
D. 怎么批量在组策略里添加禁止的软件证书
记事本
输入以下代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\ Software\ Policies\Microsoft\Windows\Installer]
"NoLowDiskspaceChecks"=dword:00000002
点击文件——另存为,选择保存路径,输入文件名内“禁用Windows Installer.reg”,保存。
然后双容击运行该文件,出现如下提示时点击“是”即可。
E. 什么是加密认证策略
信息加密是网络安全的有效策略之一。一个加密的网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
信息加密的目的是保护计算机网络内的数据、文件,以及用户自身的敏感信息。网络加密常用的方法有链路加密、端到端加密和节点加密三种。链路加密的目的是保护链路两端网络设备间的通信安全;节点加密的目的是对源节点计算机到目的节点计算机之间的信息传输提供保护;端到端加密的目的是对源端用户到目的端用户的应用系统通信提供保护。用户可以根据需求酌情选择上述加密方式。
信息加密过程是通过各种加密算法实现的,目的是以尽量小的代价提供尽量高的安全保护。在大多数情况下,信息加密是保证信息在传输中的机密性的惟一方法。据不完全统计,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密钥算法和公开密钥算法。采用常规密钥方案加密时,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的,其优点是保密强度高,能够经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,密钥管理成为系统安全的重要因素。采用公开密钥方案加密时,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。公开密钥加密方案的优点是可以适应网络的开放性要求,密钥管理较为简单,尤其可方便地实现数字签名和验证。
加密策略虽然能够保证信息在网络传输的过程中不被非法读取,但是不能够解决在网络上通信的双方相互确认彼此身份的真实性问题。这需要采用认证策略解决。所谓认证,是指对用户的身份“验明正身”。目前的网络安全解决方案中,多采用两种认证形式,一种是第三方认证,另一种是直接认证。基于公开密钥框架结构的交换认证和认证的管理,是将网络用于电子政务、电子业务和电子商务的基本安全保障。它通过对受信用户颁发数字证书并且联网相互验证的方式,实现了对用户身份真实性的确认。
除了用户数字证书方案外,网络上的用户身份认证,还有针对用户账户名+静态密码在使用过程中的脆弱性推出的动态密码认证系统,以及近年来正在迅速发展的各种利用人体生理特征研制的生物电子认证方法。
F. 为什么域默认策略的恢复时无法取得efs证书
EFS恢复代理,说简单点,就相当于一个或多个被用户信任的人,他/他们手里握有一种万能钥匙,拿着这把钥匙,可以解密任何信任他/他们的用户使用EFS加密过的文件。
大家都知道,Windows 2000 pro/server 系统中默认的管理员账户就是administrator,这意味着就算发生上述状况,使用administrator都可以打开任何用户的加密文件。但是到了xp pro/Windows server 2003,微软修正了工作组环境下的管理员账户,已经不再是默认的代理恢复了。
xp pro/Windows server 2003默认为domain administrator账号。他能被自动加进来也是因为默认域组策略生效的原因。
如何让EFS恢复代理,下面就给大家详细的介绍一下:
打开默认域策略Default Domain Policy,找到”计算机配置”—“Windows设置”–“安全设置”–“公钥策略”—“加密文件系统”。
我们可以看到这里有一个证书的存在,名称是administrator。
双击此证书,浏览到”详细信息”选项卡。
对比微缩图号码和客户端中证书缩略图,号码是一样的。
使用方法:
注:现在模拟fisher已经离职,且账号已经被删除,证书也没有备份。Lucifer接替fisher的工作,但发现文件被加密无法打开。
导出EFS恢复代理的证书和密钥(导出私钥),或使用手动制作恢复代理帐号时,产生的密钥。
用域管理员进入用户电脑,并将刚才导出的密钥导入:
再看一下就能打开了。
同时我们可对文档进行解密操作,再以lucifer登陆,则可以正常使用了。
手动创建的恢复代理是一样的操作原理,但要注意在生成手动创建恢复代理的时候注意保存密钥以及证书。
G. 电子商务的安全策略包括哪些
一、网络节点的安全
1.防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。
2.防火墙安全策略
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1.数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于:
(1)客户浏览器端与电子商务WEB服务器端的通讯;
(2)电子商务WEB服务器与电子商务数据库服务器的通讯;
(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。
2.安全链路
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4O位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
四、用户的认证管理
1.身份认证
电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2.CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
五、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
对于所有接触系统的人员,按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
H. 下载农行证书,安装成功,查看证书,却出现所有应用程序策略,但是上淘宝却能买东西这是怎么回事
这样不会对网上购物有影响的。个人推荐,网银的钱,先充支付宝专里,再在淘宝上买东属西,这样方便多了,也安全很多。我的是这样弄的,先实名认证,安装支付宝数字证书,绑定手机这三样。不用带着K宝走啊,只能在认证的电脑上使用,如果,别人找你代付,你可以用手机回复信息来确认帮着别人付款。。。。。。。。。。。方便,安全。
I. 作废证书有哪些策略
火烧粉碎机把印章去除或涂抹掉--------------------僧淘