TCPIP原理与应用精品课程网站安全存储方案的设计与实现 文献综述.docx
《TCPIP原理与应用精品课程网站安全存储方案的设计与实现 文献综述.docx》由会员分享,可在线阅读,更多相关《TCPIP原理与应用精品课程网站安全存储方案的设计与实现 文献综述.docx(8页珍藏版)》请在冰点文库上搜索。
TCPIP原理与应用精品课程网站安全存储方案的设计与实现文献综述
单位代码10
学 号
分类号TP393
密级
文献综述
关键数据的安全存储和安全传输
院(系)名称
专业名称
学生姓名
指导教师
2012年3月2日
摘要
在过去十年中,存储已演变为多个系统共享的一种资源。
非常多案例都表明,只保护存储设备所在的系统的安全已不能满足需要了。
存储设备目前连接到非常多系统上,因此,必须保护各个系统上的有价值的数据,防止其他系统XX访问数据,或破坏数据。
相应的,存储设备必须要防止未被授权的设置改动,对所有的更改都要做审计跟踪。
关键词:
计算机,网络,存储,安全
目录
1绪论1
2关键工具分析2
2.1VisualStudio开发工具2
2.1.1VisualStudio的发展史2
2.1.2VisualStudio的优点及功能2
2.2SQLServer数据库3
3关键技术分析4
3.1ASP.net技术优点及功能4
3.2SSL协议技术的应用4
3.2.1SSL协议的主要服务6
3.2.2SSL协议的工作流程7
总结7
参考文献8
1绪论
存储安全是客户整个安全计划的一部分,也是数据中心安全和组织安全的一部分如果只小心翼翼地保护存储的安全而将整个系统向互连网开放,那这样的存储安全是丝毫没有意义的。
应该认识到,安全计划可能需要满足各种数据库和应用的不同层次的安全需求原则上,存储安全是非常简单直接的。
在线存储――磁盘存储――被指定为不同的部分。
每个部分属于一个特别的系统或用户。
如果这个部分被访问,存储系统会查看访问请求发回的地址,如果这个地址不是所有者的,那么就拒绝请求。
在实践中,建立存储安全需求专业的知识,留意细节,不断检查,确保存储解决方案继续满足业务不断改动的需要。
必须减少诸如伪造回复地址这样的威胁。
最重要的是,安全的数据存储安全保障措施达到平衡,即采取安全措施的成本,安全缺口带来的影响,入侵者要突破安全措施所需要的资源。
数据存储安全目标:
保护机密的数据;确保数据的完整性;防止数据被破坏或丢失。
一旦发生数据丢失或被破坏,后果可想而知。
敏感的业务数据或客户资料将被泄露,业务记录将被篡改或毁坏。
所有最糟糕的情形都有可能发生。
2关键工具分析
2.1开发工具
2.1.1VisualStudio的发展史
VisualStudio是微软公司推出的开发环境,VisualStudio可以用来创建Windows平台下的Windows应用程序和网络应用程序,也可以用来创建网络服务、智能设备应用程序和Office插件。
VisualStudio是目前最流行的Windows平台应用程序开发环境。
目前已经开发到10.0版本,也就是VisualStudio2010。
正在开发的版本为11.0版本.
2.1.2VisualStudio的优点及功能
快速的应用程序开发,高效的团队协作,突破性的用户体验,VisualStudio2008提供了高级开发工具、调试功能、数据库功能和创新功能,帮助在各种平台上快速创建当前最先进的应用程序。
VisualStudio2008包括各种增强功能,例如可视化设计器(使用.NETFramework3.5加速开发)、对Web开发工具的大量改进,以及能够加速开发和处理所有类型数据的语言增强功能。
VisualStudio2008为开发人员提供了所有相关的工具和框架支持,帮助创建引人注目的、令人印象深刻并支持AJAX的Web应用程序。
开发人员能够利用这些丰富的客户端和服务器端框架轻松构建以客户为中心的Web应用程序,这些应用程序可以集成任何后端数据提供程序、在任何当前浏览器内运行并完全访问ASPNET应用程序服务和Microsoft平台。
2.2SQLServer数据库
美国Microsoft公司推出的一种关系型数据库系统。
SQLServer是一个可扩展的、高性能的、为分布式客户机/服务器计算所设计的数据库管理系统,实现了与WindowsNT的有机结合,提供了基于事务的企业级信息管理系统方案。
其主要特点如下:
(1)高性能设计,可充分利用WindowsNT的优势。
(2)系统管理先进,支持Windows图形化管理工具,支持本地和远程的系统管理和配置。
(3)强壮的事务处理功能,采用各种方法保证数据的完整性。
(4)支持对称多处理器结构、存储过程、ODBC,并具有自主的SQL语言。
SQLServer以其内置的数据复制功能、强大的管理工具、与Internet的紧密集成和开放的系统结构为广大的用户、开发人员和系统集成商提供了一个出众的数据库平。
3关键技术分析
3.1ASP.net技术优点及功能
ASP.NET的前身ASP技术,是在IIS2.0上首次推出(WindowsNT3.51),当时与ADO1.0一起推出,在IIS3.0(WindowsNT4.0)发扬光大,成为服务器端应用程序的热门开发工具,微软还特别为它量身打造了VisualInterDev开发工具,在1994年到2000年之间,ASP技术已经成为微软推展WindowsNT4.0平台的关键技术之一,数以万计的ASP网站也是这个时候开始如雨后春笋般的出现在网络上。
它的简单以及高度可定制化的能力,也是它能迅速崛起的原因之一。
因为ASP.NET是基于通用语言的编译运行的程序,适应性强。
通用语言的基本库,消息机制,数据接口的处理都能无缝的整合到ASP.NET的Web应用中。
ASP.NET同时也是language-independent语言独立化的,所以,你可以选择一种最适合你的语言来编写你的程序,或者把你的程序用很多种语言来写,现在已经支持的有C#(C和Java的结合体),VB,Jscript。
将来,这样的多种程序语言协同工作的能力保护您现在的基于COM开发的程序,能够完整的移植到ASP.NET。
3.2SSL协议技术的应用
3.2.1SSL协议的主要服务
SSL协议提供的服务主要有:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;2)加密数据以防止数据中途被窃取;3)维护数据的完整性,确保数据在传输过程中不被改变。
3.2.2SSL协议的工作流程
SSL协议的工作流程:
服务器认证阶段:
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
用户认证阶段:
在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。
经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
从SSL协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。
在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。
但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。
虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。
在这种情况下,Visa和MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
HTTPS(SecureHypertextTransferProtocol)安全超文本传输协议是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。
HTTPS实际上应用了Netscape的完全套接字层(SSL)作为HTTP应用层的子层。
(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。
)SSL使用40位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。
HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
。
https是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
即HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容请看SSL。
它是一个URIscheme(抽象标识符体系),句法类同http:
体系。
用于安全的HTTP数据传输。
https:
URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面限制的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持. 一种常见的误解是“银行用户在线使用https:
就能充分彻底保障他们的银行卡号不被偷窃。
”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。
并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,常见例子是模仿银行域名的钓鱼攻击。
少数罕见攻击在网站传输客户数据时发生,攻击者尝试窃听数据于传输中。
总结
精品网站的数据的安全存储和设计至关重要,尤其是对网站未来的发展和使用期。
对数据的安全存储的加密和解密算法对数据的存贮更加重要,在基于ssl协议的加密和解密算法更能保护你的网站数据的安全。
再经过和老师和同学的交流和沟通后熟悉网站的制作流程,重点掌握网站数据的安全存贮的设计和加密解密的算法。
有许多不懂得地方需要继续努力克服。
参考文献
[1]孙更新,陈月主编.ASP+SQLServer2005动态网站建设基础与实践教程[J].北京电子工业出版社,2008.
[2]孙印杰等编著.ASP.NET+SQLServer动态网站设计实例精解[J].北京:
电子工业出版社,2005.
[3]新编网站规划设计入门与提高[M].西安:
西北工业大学出版社,2004.
[4]陈娴,刘开文,王蓉玲,等.ASP.NET项目开发实践[M].中国铁道出版社,2004.
[5]张跃廷,王小科,许文武.ASP.NET数据库系统开发案例精选[M].人民邮电出版社,2007.
[6]曹强,黄建忠,万继光.海量网络存储系统原理与设计[M].华中科技大学出版社,2010.
[7]俞彬.信息存储与管理:
数字信息的存储、管理和保护[M].人民邮电出版社,2010.
[8]王春燕.DreamweaverCS5网页设计入门、进阶与提高[M].北京:
电子工业出版社,2011.
[9]邵必林.基于组密钥管理技术的SAN安全存储研究[J].西安建筑科技大学学报(自然科学版),2008,40(5):
841-845.
[10]杨亚平,李伟琴.基于SSL的数据安全传输系统的设计与实现[J].北京航空航天大学学报,2001,27(4):
469-473.
[11]王正飞,汪卫,施伯乐.基于商用数据库管理系统的字符串数据的加密存储与查询[J].小型微型计算机系统,2005,26(11):
1933-1936.
[12]王伟.SSL、SET协议及其安全技术[J].郑州航空工业管理报,2004,23
(1):
122-123.
[13]张鹏,李建,王坤.IPSec和SSL的分析和比较[J].信息工程学报,2002,1.3
(1):
67-70.
[14]尹剑,郑玉山.信息安全存储的初步研究与应用[J].工矿自动化.,2005,2
(1):
23-26.
[15][美]Bruceschneier.应用密码学,协议、算法与C源程序(第二版)[M].吴世忠,祝世雄,张文政,等译.北京:
机械工业出版社,2001.