chap5电子商务研讨.ppt

* 当上述动作完成之后，两者间的资料传送就会加密。发送时信息用会话密钥加密形成一个数据包 A，对称密钥用非对称算法加密形成另一个数据包 B，再把两个包绑在一起传送过去。 接收的过程与发送正好相反，先用非对称算法打开有对称密钥的加密包 B，获得会话密钥。然后再用会话密钥解密数据包 A，获取发送来的信息原文。即使盗窃者在网络上取得编码后的资料，如果没有会话加密密钥，也不能获得可读的有用资料。 * 5.10.3 SSL提供的安全性 用户和服务器的合法性认证 加密数据以隐藏被传送的数据 保护数据的完整性 * 5.10.4 SSL对数字证书的使用 在使用SSL协议进行通信时，通常客户端持有客户证书（即个人证书），而服务器端持有服务器证书。 认证可以是单向的，也可以是双向的。 在Web Service 中，可使用客户证书来验证Web服务请求者身份。 * 应用层安全协议--SHTTP SHTTP是在HTTP的基础之上扩充了安全功能，提供了HTTP客户和服务器之间的安全通信机制，以增强Web通信的安全。 SHTTP和HTTP协议一样，也是一种面向安全消息的通信协议，与HTTP消息模型共存，容易与HTTP应用集成。 SHTTP客户机与服务器是与某些加密消息格式标准相结合的。 * 协议对比 SHTTP是应用层的加密协议，它能感知到应用层数据的结构，而不是象SSL一样完全当作流来处理。 SHTTP把消息当作对象进行签名或加密传输，而SSL则主动把数据流分帧处理，而不理会消息的边界。 SHTTP可以提供基于消息的抗抵赖证明，而SSL不可以。 SHTTP比SSL更灵活，功能更强大，但实现较困难。目前使用SSL的HTTPS比SHTTP更普遍。 * 本章目录 5.1 电子商务安全概述 5.2 数据加密技术 5.3 防火墙技术 5.4 VPN虚拟专用网 5.5 消息摘要 5.6 数字签名 5.7 数字时间戳 5.8 数字证书 5.9 认证中心 5.10 SSL安全协议 5.11 LDAP * 5.11 LDAP 5.11.1 LDAP 的概念 5.11.2 LDAP命名模型 5.11.3 LDAP功能模型 5.11.4 LDAP安全模型 5.11.5 LDAP的应用 * 5.11.1 LDAP 的概念 LDAP：Lightweight Directory Access Protocol，轻量级目录访问协议 是目录访问协议的一个标准。基于X.500标准，可以根据需要定制。 轻量级目录访问协议以信息目录的形式存在，在该目录中可只定义一次用户和组，而在多台机器和多个应用程序间共享它们。 * LDAP定义与目录服务进行通信所使用的操作，如何找到目录中的实体，如何描述实体属性，以及许多安全特性。这些安全特性可用于对目录进行身份验证，控制对目录中的实体的访问。 * 目录服务 目录是用于安全的认证和授权 一个目录服务简单地讲是信息的存储库 目录服务使用开放的，标准的APIs，提供了保存，修改，删除，和获取信息的能力 常用的基于标准的目录结构 基于标准的LDAP的客户端和服务器端 公共目录模式：一个公共的目录模式允许不同的应用程序共享相同的对象集合（例如用户，地址等）以便每个人或资源的信息不会在网络中生成或储存多次 元目录 ：元目录提供了不同应用程序存储在目录中的信息的公共管理基础 * 基于标准的LDAP的客户端和服务器端 * 5.11.2 LDAP命名模型 命名模型描述LDAP中的数据如何组织。 在LDAP 目录中，条目被组织在称为目录信息树(DIT) 的层次树中。 树中的每个节点都是一个条目，该条目可能存储信息，也可能是其他条目的容器。 * 有两种方法提及树中的条目：使用其相对可分辨名称(RDN) 或其可分辨名称(DN)。 DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识。 RDN 在目录中是唯一的，而DN 是全局唯一的。 * 5.11.3 LDAP功能模型 查询类操作－－如搜索、比较； 更新类操作－－如添加条目、删除条目、修改条目、修改条目名； 认证类操作－－做客户身份验证和访问控制，对目录进行身份验证（绑定操作，解绑定操作）； 其它操作――如放弃和扩展操作扩展操作 * 5.11.4 LDAP安全模型 安全模型为根据目录进行身份验证以及授权客户端控制对目录的访问提供了方法 使用LDAP 的身份验证 对目录中的对象的访问控制 * 5.11.5 LDAP的应用 企业 IT 系统中有许多应用，每一个应用都有相关的资源和使用者信息。每个应用针对每一个使用者可能会需要提供不一样的访问权力，企业需要针对不同的用户分配不