荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: michaelx (==GuanShui=M.X), 信区: Security
标 题: 互联网安全标准
发信站: 荔园晨风BBS站 (Sat Dec 22 11:34:57 2001), 转信
互联网安全标准
发布日期: 2001-12-20
内容:
----------------------------------------------------------------------------
----
作者:wxh101
来源:eMook
本文针对标准化组织正巧提出了保护数据的方法。你所要做的就是学习由这些组
织提出的管理Web站点的方法。采用这些方法有两方面的好处:首先,你不必重新摸索和
创造这些标准;其次,你所采用的安全方法能够与其它站点采用的方法相一致,它减少
了用户在学习中所走的弯路,可以使其他编程者使用那些已开发好的工具。
如果你想寻找有关Internet安全标准的最新信息,请访问http://www.w3.org/pub/www/
security/,这个Web页虽然只提供了概括性信息,但它能让你连接到其它站点上以获得
更多的信息;另一个好的站点是http://ww-ns.rutgers.edu/ww-security/reference.h
tml,它放置了Rutgers大学网络服务中心提供的WWW安全会议资料,这个站点主要告诉你
各种安全会议的联系方法以及摘要信息,而不是有关安全的详细规范;如果开发者想要
获得商业角度的安全信息,可以访问http://www.rsa.com/,RSA站点覆盖了一个非常广
阔的主题,其中包括MasterCard和VISA开发安全信用卡事务的当前状况;通过ftp://ft
p.isi.edu/internet-drafts/lid-abstracts.txt,你也能看到IETF产品的当前状况。
下面,让我们看一看Internet的各类安全标准,这些标准有的已经实现,有的正在成为
标准。表一显示的是在编写本文时已有的标准或标准的草稿,在你阅读本文时,又会出
现更多的标准,令人惊奇的是,在Internet上的厂商标准可能是除浏览器技术外增长最
快的一个领域,(浏览器技术的发展速度如此之快,以至于测试者都难以跟得上它)。
你还将注意到,这里列出的主要标准不是来自微软或其它公司,而是来自下述两个组织
之一:IETF(Internet EngineeringTask Force,Internet工程任务组)或著名组织W3
C(World Wide WebConsortium)。IETF已有很长的历史,它是最早为Internet工作的组
织。W3C对每一类要用于Internet的新标准负责,例如,微软现在正努力征得W3C对其<O
BJIECT>标志和其它与ActiveX相关的HTML扩展的许可。
表一 Internet当前的安全标准
分布式身份认证安全服务(DASS)--IETFRFC1507 DASS是IETF正在改进中的一个标准
,它为在Internet上提供身份认证服务定义了一个试验的方法。这里认证的目的是确认
发送消息或提出请求的人是谁。DASS正在努力解决当前保密字设计中存在的许多问题,
例如,现在还不能检验出发送保密字的人是否在模仿他人。由于DASS是在一个分布式环
境中提供认证服务,所以它有着特殊的挑战,因为用户不止是登录一个机器,他们能在
网络上登录所有能够想到的机器
DSI(数字签名优先权)--这个标准由W3C制定,它用于克服通道级安全的一些限制。
例如,通道级安全不能对文档或应用程序的语意做处理;因为所有的处理过程都发生在
Internet上,而不是在客户或服务器端,所以通道也不能有效利用Internet的带宽。DS
I为传输签名定义了一个数学的方法,它实质上是对指定的个体或公司做唯一的表述。D
SI也为标识安全属性提供了一种新的方法(PICS2),为维护提供了一种新的格式(PEP
)。DSI标准也被建立在PKCS7和X509.V3标准中
扩展的Internet标记SHTTP(EITSHTTP)--它是SHTTP的扩展,它在当前的HTTP列表中
增加了与安全相关的标志。目前还没有标准化组织支持这种技术,但以后将会有的。(
IETF最近成立的Web事务安全组织正关注着这一技术,你可以通过http://www-ns.rutge
rs.edu/www-security/wts-wg.html来进一步了解详细信息)
通用安全服务应用程序接口(GSS-API)IETF RFC1508 --这是个已批准的IETF规范,
它定义了以通用方式支持安全服务调用的方法。使用通用接口允许在更广泛的平台提供
更多的源代码级可移植能力。IETF并没有把这个标准看成是这类标准的结束,而是一个
开始,将来会有更多的规范和标准。然而,学会这些已有的标准将帮助你在各种安全实
施方法中找到通用的线索
通用安全服务应用程序接口(GSS-API)C-bindingRFC1508 这是个已批准的IETF规范,
它定义了C语言中使用支持服务调用的方法,这个标准是最先基于RFC1508实现的标准之
一
Internet协议安全协议(IPSec)--IETF最近成立了一个IP安全协议工作组来寻找IP安
全性方面的问题,比如,在IP协议级无法对数据加密的问题。这个工作组当前正在研究
覆盖面相当广泛的规范,以便最终提供更加安全的IP功能。在http://www.ietf.cnri.r
eston.va.us/html.charters/ipsec-charter.html站点你可以找到有关这个组织的更多
信息
JEPI(Joint ElectronicPayment Initiative,联合电子支付协议)--它是由W3C创建
的标准,JEPI提供了创建电子贸易的方法。使用电子现金或信用卡进行交易,从客户到
服务器间的数据传输将使用加密、数字签名、身份认证(密钥交换)来保证安全的交换
。这是一个新兴的标准,它的一些条目,比如传输层安全(也叫私有),当前正通过IE
TF继续向前发展
Kerberos网络认证服务(V5)IETFRFC1510--这是个已经批准的IETF标准,它定义了第
三方认证的协议。Kerberos模型部分基于Needham和Schroeder的可信任第三方认证协议
和基于Denning与Sacco提出的第三方认证协议的修正协议。与许多Internet认证协议一
样,Kerberos作为一个可信任的第三方认证服务来工作。它使用了依赖于把共享的公共
密钥与私有密钥结合起来的常用加密方法。Kerberos着重于带可选服务器认证的客户身
份认证
Privacy EnhancedMail part I(PEM1)--消息加密和认证过程IETF RFC1421 这是个
已经批准的IETF标准,它用来确认你的私有邮件依然保持秘密。实质上,它显示了一个
你在加密邮件中采用保护方式的过程,这些过程在解密过程中用户是看不见的。这个标
准运用了密钥和其它形式的认证管理。此标准的一些条款基于CCITT X.400棗特别是采用
了邮件句柄服务(MHS)和邮件传送系统(MTS)中的某些条款
PrivacyEnhancedMail part II(PEM2)--基于证书的密钥管理IETF RFC1422 这是个
用于管理安全密钥的已批准IETF标准。它提供了基于公共密钥认证技术的基础结构和管
理结构。IETF RFC1422是CCITT X.509规范的增强改进版本,它为使用PEM提供了密钥管
理基础的过程和协议,这是CCITT X.509中所没有的
PrivacyEnhanced Mail part III(PEM3)--算法、模式和标识 IETFRFC1423 这是个
已经批准的IETF标准,它定义了加密算法、使用模式和PEM特定用法的标识。这个标准覆
盖了与加密信息相关的四个主要领域:信息加密算法、信息完整性检测算法、对称密钥
管理算法、非对称密钥管理算法(包括对称加密和非对称签名算法)
PrivacyEnhancedMail part IV(PEM4)--密钥证书和相关服务IETF RFC1424 这是个
已经批准的IETF标准,它定义了验证密钥的方法,它也提供了一个与加密相关的服务列
表,Internet站点可能需要把它提供给最终用户
安全/多用途Internet邮件扩展(S/MIME)--这是由多家公司联合提出的一个标准,这
些公司包括Microsoft、Banyan、VeriSign、ConnectSoft、QUALOCOMM、Frontier Tech
nologies、Network Computing Devices、FTPSoftware、Wollongong、SecurWare和Lot
us,它最初由RSA DataSecurity公司开发,目的是为了使不同产品的开发者能使用兼容
的加密技术创建消息传输代理(MTAS)。它实质上意味着,如果有人用Lotus产品发送给
你一个信息,你能使用Banyan产品来读取它。S/MIME以流行的Internet MIME标准(RFC
1521)为基础
安全/广域网(S/WAN)--在很多人眼里,S/WAN现在只是一点朦胧的微光。S/WAN是RS
A Data Security公司提出的一个标准,IETF也有一个委员正在研究这个标准,RSA准备
将IETF的IPSec标准也纳入S/WAN中。S/WAN的主要目标是允许各公司最佳地混合和匹配防
火墙与TCP/IP栈产品,以创建基于Internet的虚拟专用网(VPNs)。这两种产品当前的
方案通常是将用户封锁在单一资源内
SHTTP(安全的超文本传输协议)--这是Open MarketPlace Server公司当前使用的加
密数据传输技术。在功能上它与安全套接层(SSL)非常相似,而最大的不同是这种方法
只应用于HTTP。现在还没有标准化组织支持这种标准,不过将来会有的。(IETF最近成
立的Web事务安全组织,正关注着这方面的技术)
SSL(安全套接层)--SSL是一个W3C标准,它最初由Netscape公司提出,目的是为了让
客户至服务器端能从协议层传输加密信息。套接口允许在高层协议如HTTP、NNTP和FTP上
进行低层的事务加密。这个标准也制定了客户和服务器的身份认证方法(客户站点的身
份认证是可选的)。通过http://www.netscape.com/info/security-doc.html,你可以
了解这个标准的详细信息
WWW上的统一资源识别(URI)--IETFRFC1630 URI是IETF正在开发的标准,目前,资源
名和地址是纯粹的文本。URL(统一资源地址)实际是包含了地址信息的URI的一种形式
,这个地址在Internet上映射到一个指定的位置。URI能提供将Internet对象的名字和地
址编码的方法。实质上,要访问一个私有的站点,你应该知道它的编码名字,而不是纯
粹的文本名
注释 MTS是个有多种意思的缩略语,在本文中只用到了两种:微软事务服务器和邮件传
输系统。除了第14章中代表邮件传输系统外,一般都是指微软事务服务器。
注释 如果立即使用安全套接层(SSL),将还有许多安全方面的顾虑,因为一些计算机
黑客在特殊情况下有可能破解你的密码。美国.政府限制出口加密技术中的密钥长度不能
超过40位,所以计算机通过尝试2的40次方的密钥组合,便可以破解这个密钥;美国本土
使用的加密程序只能使用128位密钥,它意味着一个人要等待计算机做2的128次方的字母
组合才能破译它(这恐怕一辈子也等不到)。那么你将如何判断交易的安全等级呢?Ne
tscape使这个问题变得非常容易,你只需查看一下屏幕左下角的钥匙:一把断开的钥匙
表示没有加密;一把单排齿的钥匙表示40位的加密;一把双排齿钥匙表示128位的加密。
Netscape 和IE都提供了文档属性对话框(在"文件"菜单中可以找到它),你可以简单调
用这个对话框来查看指定站点提供了什么类型的加密保护方式
表一中为你介绍了很多由IETF创建的与安全相关的标准。大部分IETF RFC文档能在http
://ds.internic.net/rfc/上找到。在http://www. ietf.cnri.reston.va.us/html.cha
rters/上,你也能看到IETF当前工作组的列表,这些工作组协助创建Internet上使用的
标准。
表一中的安全标准描绘了Internet最终的安全蓝图,将它牢记在头脑中是很重要的,所
有这些标准真正覆盖了客户和服务器间的连接。你还能在客户、服务器端增加其它安全
策略。这些标准中的大部分还没有覆盖Internet的附加产品,比如防火墙等。你的公司
能够增加这些附加的安全特性,并最终使得黑客很难攻进你的系统。
如果你还没有足够多的安全信息的话,可以花点时间查看一下IETF的情报站点,目前的
两个站点是gopher://ds1.internic.net/00/fyi/fyi8.txt(站点安全手册)和gopher:
//ds1.internic.net//00/fyi/fyi25.txt(网络信息检索状态报告)。
谁是W3C
在我们做进一步学习前,让我们大概了解一下W3C组织。W3C最早出现在1994年12月,当
时,它批准了SSL(安全套接层);在1995年2月,W3C也支持了Internet上的应用级安全
。它当前的项目是数字签名协议,W3C于1996年在巴黎发表了该协议。正如你所看到的,
W3C是一个专注于安全需求的标准化组织,它的其它一些职能也是从这个角度发展起来的
。
那么我们为什么还需要其它的标准化组织呢?其主要想法是把业界的主要厂商集中起来
,创建一个安全的Internet网络环境。另外,某些标准化组织,比如IETF棗主要由自愿
者组成,它们的动作过于迟缓,根本不能满足企业的当前需求。W3C是在为增加新标准并
尽快将其实施而产生的组织,W3C最终提供了实际的标准和规范说明,并提供了采用这些
标准的应用示范,以及使用这些标准创建应用程序所需的代码等。
W3C所研究的另一个项目是Joint Electronic Payment Initiative(JEPI),一个将影响
Internet商务交易的标准。它大胆地假设在英国、法国、德国和美国的客户都能访问同
一个站点,并以完全相同的价格去购买同一个商品。但在此之前,它们必须解决一些问
题,例如,你是否要询问客户提供一种付款的方式?你需要什么样的付款?你还必须考
虑到纸币以外的东西,因为纸币还不能通过电子方式交换。信用卡提供了一种解决方案
,但W3C也在探究其它方式,如电子支票(electonic check)、借贷卡(debit card)
和电子现金(electronic cash)等。这只是其中的一个小主题,更大的主题是要为商品
的价格创建一些与纸币无关的方法。例如,你如何告诉一个在德国的人,外套的价格是
80美元?如果不给他们展示一美元是多少德国马克,他们是否也能知道?对美国人来说
,他们若访问一个英国商店,则必须找到兑换英镑的价格。
那么JEPI将对安全性做些什么工作呢?它将交易作为一个整体来考虑。你的公司也许不
用与一个想买外套的客户打交道,但有可能要与其它一些和贸易有关的问题打交道。大
公司也许想提供一个更快、更有效的方法来将资金从世界的一个地方转移到另一个地方
。通过Internet做电子贸易将最终解决这个问题,这当然不是眼前所能做得到的。如果
你的移动雇员缺乏资金时,你该怎么办呢?你可能想到立刻发行一个信用卡,虽然你可
以通过Internet获得一个日消费的报告,但现在这样做是不明智的,因为Internet还存
在太多的安全漏洞。而这些交易标准将帮助公司建立一些新的方法来传送敏感数据。
处理货币的标准方法
如果你的公司在Internet上出售产品(不论是有形的还是无形的),那你必须找到
一个能在Web服务器上收钱的方法,就像在其它地方一样,你能在Internet轻松地出售装
饰品,甚至还可以卖得更好,但你还得提供一些服务,例如,你要为客户提供一种电子
支付帐单的方式,而不是通过邮件送传支票。有谣言说,可能至少有一家电话公司正在
作Internet监听。小公司可能会发现Internet交易太麻烦,但一些中等和大型企业将在
某些方面倾心支持它,银行和信用卡公司最终也将加入其中。事实上,通过在线填写的
形式,你便能获得一个WebConductor VISA卡(查看站点http://www.conductor.com以获
得详细的信息)。这个特制的卡允许你在线查看状态和请求服务,在不久的未来,它将
允许在线付款,以大大减少填写支票所花的时间。
当前有三种不同的公开方案来实现在 Web服务器上处理现金,它们是FirstVirtual
Account、DigiCash和Cybercash。每种方案都各有千秋,也各有缺陷,你应该认识到的
是,它们中没有一个是至善至美的,如果现在实施这些方案,你可能需要在某些地方做
一些妥协。虽然有许多金融公司正在研究一些方法来确保金融贸易的真正安全,但恐怕
目前尚无有效的方法。
从实施的角度看,First Virtual Account方案更容易使用,用户通过电话报名加入
一个First Virtual Account并接收到一个指定的帐户名,这个帐户名与信用卡提供的帐
户名毫无关系,支持这种方案的商家使用安全证书来接受这个指定的号码。每个交易都
使用这个号码,而不使用真正的信用卡号码,这样防止了有人偷去你的信用卡并趁你不
知道时使用它。商家通过First Virtual Account做交易,它能检验用户的事务,当用户
同意交易,商家便接收到付款并开始运送用户所需的产品。你能在http://www.fv.com站
点上看到有关First VirtualAccount的更多信息。
DigiCash取代了信用卡而使用真正的资金做交易,这意味着商家不必支付信用卡的
追缴款。另外,DigiCash还可以像ATM借贷卡一样工作,商家获得了真正的资金,而不用
等待信用卡公司来按期支付,这需要用户在一个指定的银行有抵押,银行设置一个帐户
,除了在线工作外,这个帐户就像是一个支票户头。当用户购买物品时,他或她使用"E
-cash",商家简单地进入E-cash,便可获得真正的资金。显然,用户必须不时地添满自
己帐户内的资金。你可以访问http://www.digicash.nl/站点来获取更多信息。
Cybercash是前面两种方案的组合,它提供了借贷和信用两种能力,有点像银行内有
透支保护的户头。与其它两种方案不同的是,Cybercash使用真正的帐户信息,对用户来
说,这有点冒险,因为他们的帐户信息能在任何地方以非加密的形式终止。当用户购买
东西时,Cybercash弹出一个窗体,要求输入帐户信息,在信用方式下,用户要提供自己
的名字和信用卡号码;在借贷方式下,用户要提供本地银行的名字和其它银行的帐户名
。你可以在http://www.cybercash.com站点看到与此相关的更多信息。
不止是银行和信用卡公司在讨论在线交易问题,作为一家Web服务器公司,Open Ma
rket也在制定基于SHTTP的在线交易方案,如果你使用了这个方案,那么它将充当银行和
信用卡公司。你可以在http://www.openmarket.com站点找到与此相关的更多信息。
--
M.X的FTP SERVER
ftp://192.168.55.18
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 203.93.19.1]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店