手机PKI应用安全解决方案
手机PKI应用安全解决方案
一、方案背景
随着无线移动通信技术的迅速发展,促使了无线应用的丰富化和多样化,其中移动电子商务、移动办公作为无线移动通信应用的主要发展方向,日益受到人们关注,人们借助手机终端设备可以随时随地地接入网络进行交易和数据交换,而移动交易中的安全问题也随之凸显,如何消除手机终端用户的安全顾虑,使用户放心的享受移动服务,是制约手机应用发展的一个重要因素,而手机证书技术的问世则标志着以手机作为用户在网络空间的可靠身份凭证,来提供互联网应用系统安全保障,在技术实现上和市场推广上都具有切实可行性。
二、需求分析
随着移动终端应用的不断推广,我们所面临的安全需求也日益迫切,包括移动手机终端用户在登录应用系统时的身份认证问题、通过手机终端进行转账、支付等关键业务操作的抗抵赖问题以及支付信息、银行卡号信息、密码信息等敏感信息在无线网络传输过程中的保密问题和防篡改问题等。
(1)身份认证:确认用户的合法身份,包括用户每次登录服务器使用服务以及发生异常后的用户身份合法性认证。
(2)安全传输:保证交易信息向服务器上传和下载的过程中不会被窃听和破坏。
(3)抗抵赖性:防止用户在应用系统中关键业务操作的不可抵赖。
(4)一证多用:以手机为证书载体,需同时为互联网应用系统提供安全服务,有效整合证书载体,降低用户成本,实现一证跨网多用,提升用户操作方便性。
三、方案简介
1、设计思路
针对常见的互联网应用系统,利用移动通信运行商所提供的移动信息交互服务,提出基于手机证书的移动签名服务,为应用系统解决系统登录和表单上传等业务安全问题提供一种新型处理机制。
2、方案设计
按照设计思路,为手机PKI应用设计如下安全解决方案。
(1)通过BJCA的CA系统为信息系统服务器颁发服务器证书,代表其在网络上的真实身份;为手机用户终端颁发手机证书,代表手机用户的真实身份。
(2)移动签名服务平台(简称MSSP),是无线通信领域的数字证书应用系统,通过在信息系统放部署该系统,实现用户以手机证书方式进行登录认证、数字签名等功能,并提供签名证据保存和查询等服务。
(3)通过在用户手机集成手机证书应用中间件,实现基于数字证书的身份认证的功能,同时提供数据加密解密,满足业务安全传输的功能以及数字签名,满足业务系统中的抗抵赖要求。
(4)同时,用户可在PC终端实现基于手机证书的安全登录等功能。
3、方案特点
(1)认证体系的法律保障性
BJCA是政府批准成立的认证机构,首批具有信息产业部办法《电子认证服务许可证》的合法第三方电子认证服务机构。
(2)先进的技术体系
充分保障系统的可靠性、先进性、以及以后扩展更新、升级换代的连贯性和有效保证。
(3)规范全面的运营支撑服务
BJCA作为国内首家通过ISO9001-2000质量管理体系认证的CA机构,建立起了一套规范的运营管理制度和策略。
(4)客户保障计划
提供完善的客户保障计划,具备真正意义上的赔付计划,充分保障了用户在鉴证、使用数字证书过程中的意外损失。
(5)集成简便采用通用的组、控件技术
适用于多种应用环境,集成开发便利。
四、产品清单
-数字证书
-MSSP
-手机证书中间件软件等
五、适用范围
-手机银行
-手机证券
-移动办公
-移动警务
-公众健康档案查询等
智能手机操作系统概述
本文对当前市场上流行的智能手机的操作系统作了简要介绍,同时概括了一下当前手机操作系的情况,最后预测了未来智能手机的主流操作系统。 1.引言 智能手机操作系统之争已经进入群雄争霸的时代,新势力的不断崛起,使其不断进步。因此,对智能手机的操作系统的研究与开发是当前移动计算技术发展中最为活跃的领域。但是,目前手机操作系统有哪些,哪个操作系统才是未来智能手机的主流操作系统呢?本文对此作了详细的分析。 2.智能手机的概述 所谓智能手机,是指使用开放式操作系统的手机,同时第三方可根据操作系统提供的应用编程接口为手机开发各种扩展应用硬件。这种手机除了具有普通手机的通话功能外,还具有PDA的大部分功能。另外,在个人信息管理以及基于无线数据通信的浏览器和电子通信功能方面也比较突出。现在把是否具有嵌入式操作系统与是否可以支持第三方软件作为智能手机与普通手机的两大区分点。 3.智能手机的分类 现在市场上的智能手机共有以下几种不同的操作系统,它们分别是:Symbian,Windows Mobile,Linux,Palm,Android,Mac OS X,Rim和OMS。 3.1 Android操作系统 2008年手机市场最值得期待的就是谷歌新推出的Andriod,它在手机操作系统领域掀起了波澜。谷歌把其命名为Gphone。Andriod实际上是一款基于手机平台的操作系统,它是以Linux为最底层技术进行开发,依仗开放源代码。它是完全开放的,几乎能在所有硬件上运行,充分地开放和自由,并且拥有完全的原始代码。虽然,在开发的过程中遇到了很多困难(出现安全技术漏洞),但是现在按照它的发展趋势,瓜分手机操作系统市场已成为定局,它现在不仅仅是一部手机操作系统,许多厂商已经计划把该操作系统移植到其它电子产品上。 3.2 OMS操作系统 为了推动移动互联网产业的发展,并保持中国移动对产业链的控制力,在苹果iPhone以及谷歌Andriod平台的启发下,中国移动将要携联想推出自有的手机操作系统OMS(Open Mobile System)。OMS同样是基于Linux内核,采用Android 源代码,但在业务层和此前的谷歌手机完全不一样,OMS将集成大量中国移动
公钥基础设施(PKI)的原理与应用
公钥基础设施(PKI)的原理与应用 作者:数计系计科本091班林玉兰 指导老师:龙启平 摘要: 安全是网络活动最重要的保障,随着Internet的发展,网络安全问题越来越受到人们的关注。网络交易活动面临着诸如黑客窃听、篡改、伪造等行为的威胁,对重要的信息传递和控制也非常困难,交易安全无法得到保障,一旦受到攻击,就很难辨别所收到的信息是否由某个确定实体发出的以及在信息的传递过程中是否被非法篡改过。而PKI技术是当前解决网络安全的主要方式之一,本文以PKI技术为基础,详细列举了公钥基础设施基本组成,PKI系统组件和PKI所提供的服务,并介绍了PKI技术特点与应用举例。 关键词:PKI,公钥,认证,网络安全。 一:什么叫公钥基础设施(PKI)? 公钥基础设施(PKI)是当前解决网络安全的主要方式之一。PKI技术是一种遵循既定标准的密钥管理平台,它的基础是加密技术,核心是证书服务,支持集中自动的密钥管理和密钥分配,能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。简单来说PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施,是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体,PKI可以用来建立不同实体间的“信任”关系,她是目前网络安全建设的基础与核心。 在通过计算机网络进行的各种数据处理、事务处理和商务活动中,涉及业务活动的双方能否以某种方式建立相互信任关系并确定彼此的身份是至关重要的。而PKI就是一个用于建立和管理这种相互信任关系的安全工具。它既能满足电子商务、电子政务和电子事务等应用的安全需求,又可以有效地解决网络应用中信息的保密性、真实性、完整性、不可否认性和访问控制等安全问题。 二:公钥基础设施(PKI)系统的组成 PKI一般包括以下十个功能组件: 1、认证中心(CA) 认证中心(CA)是PKI的核心组成部分,是证书签发的机构,是PKI应用中权威的、可信任的、公正的第三方机构。CA向主体发行证书,该主体成为证书的持有者。通过CA在数字证书上的数字签名来声明证书特有的身份。CA是信任的起点,各个终端实体必须对CA高度信任,因为他们要通过CA 来保证其它主体。 认证中心又由6部分组成:
最受欢迎的十大WEB应用安全评估系统
最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那游侠就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,游侠尽量摘取其官方网站的说明: 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作,能扫描和检测所有常见的Web 应用安全漏洞,例如SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)等方面安全漏洞的扫描。 游侠标注:AppScan不但可以对WEB进行安全评估,更重要的是导出的报表相当实用,也是国外产品中唯一可以导出中文报告的产品,并且可以生成各种法规遵从报告,如ISO 27001、OWASP 2007等。 2.HP WebInspect
目前,许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术,HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核(simultaneous crawl and audit, SCA)及并发应用程序扫描,您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能: ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具(HP Security Toolkit)执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注:毫无疑问的,WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner
一个完整的PKI应用系统包含哪几个部分
1.一个完整的PKI应用系统包含哪几个部分? 证书签发机构CA 证书注册机构RA 证书库 密钥备份及恢复系统 证书废除处理系统 应用系统接口 2.简述SSL的组成和基本功能。 SSL 协议指定了一种在应用程序协议(如HTTP 、Telenet 、NMTP 和FTP 等)和TCP/IP 协议之间提供数据安全性分层的机制,它为TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 1)认证用户和服务器,确保数据发送到正确的客户机和服务器; 2)加密数据以防止数据中途被窃取; 3)维护数据的完整性,确保数据在传输过程中不被改变。 SSL协议的工作流程: 3.数字签名的原理是什么?有哪些数字签名的方法? 1) 在网络环境下,发送方不承认自己发送过某一报文;接收方自己伪造一份报文,并声称它来自发送方;网络上的某个用户冒充另一个用户接收或发送报文;接收方对收到的信息进行篡改。 数字签名技术可以解决上述情况引发的争端。 数字签名离不开公钥密码学,在公钥密码学中,密钥由公开密钥和私有密钥组成。 数字签名包含两个过程:使用私有密钥进行加密(称为签名过程),接受方或验证方用公开密钥进行解密(称为验证过程)。 由于从公开密钥不能推算出私有密钥,所以公开密钥不会损害私有密钥的安全;公开密钥无须保密,可以公开传播,而私有密钥必须保密。因此,当某人用其私有密钥加密消息,能够用他的公开密钥正确解密,就可肯定该消息是某人签名的。因为其他人的公开密钥不可能正确解密该加密过的消息,其他人也不可能拥有该人的私有密钥而制造出该加密过的消息,这就是数字签名的原理。 从技术上来讲,数字签名其实就是通过一个单向函数对要传送的报文(或消息)进行处理产生别人无法识别的一段数字串,这个数字串用来证明报文的来源并核实报文是否发生了变化。在数字签名中,私有密钥是某个人知道的秘密值,与之配对的唯一公开密钥存放在数字证书或公共数据库中,用签名人掌握的秘密值签署文件,用对应的数字证书进行验证 2) RSA数字签名Schnorr数字签名DSA数字签名特殊数字签名
智能手机各大系统的优缺点介绍
或许智能手机还不算是现在手机的主流,但是势必要成为未来手机市场的主流!因为手机的功能越来越强大,很多朋友在选择智能手机的时候无所适从,不知道该选择哪个操作系统的手机,下面icech搜集整理了7大主流的智能手机操作系统介绍,还附加了网友的优缺点评论。 Symbian OS(塞班) Symbian OS(中文译音“塞班系统”)由诺基亚、索尼爱立信、摩托罗拉、西门子等几家大型移动通讯设备商共同出资组建的一个合资公司,专门研发手机操作系统。而Symbian操作系统的前身是EPOC,而EPOC是 Electronic Piece ofCheese取第一个字母而来的,其原意为"使用电子产品时可以像吃乳酪一样简单",这就是它在设计时所坚持的理念。 Symbian操作系统在智能移动终端上拥有强大的应用程序以及通信能力,这都要归功于它有一个非常健全的核心-强大的对象导向系统、企业用标准通信传输协议以及完美的sun java 语言。Symbian认为无线通讯装置除了要提供声音沟通的功能外,同时也应具有其它种沟通方式,如触笔、键盘等。在硬件设计上,它可以提供许多不同风格的外型,像使用真实或虚拟的键盘,在软件功能上可以容纳许多功能,包括和他人互相分享信息、浏览网页、传输、接收电子信件、传真以及个人生活行程管理等。此外,Symbian操作系统在扩展性方面为制造商预留了多种接口,而且EPOC 操作系统还可以细分成三种类型:Pearl/Quartz/Crystal,分别对应普通手机、智能手机、Hand Held PC场合的应用。 优点:多年来Symbian系统一直占据智能系统的市场霸主地位,系统能力和易用性等各方面很强! 缺点:一般配置的机型反映较慢,对主流的媒体格式的支持性较差,不同版本的软件兼容性不好,且证书问题也很头痛。 Windows Mobile 微软推出的Windows Mobile操作系统最初被视作是与Palm OS竞争的产品,然而时至今日,Windows Mobile的应用已经超过Palm,开始显露出掌上设备王者的风范。去年发布的V5.0做出了很多实用的改进,包括更加智能化的Word和Excel版本、直接邮件技术和持久的数据存储。 Windows Mobile是 Microsoft 用于 Pocket PC 和 Smartphone 的软件平台。Windows Mobile 将熟悉的 Windows 桌面扩展到了个人设备中。 Windows Mobile是微软为手持设备推出的“移动版Windows”,使用WindowsMobile操作系统的设备主要有手机、PDA、随身音乐播放器等。Windows Mobile操作系统有三种,分别是WindowsMobile Standard、Windows MobileProfessional,Windows Mobile Classic。目前最新的版本是Windows Mobile 6.1,6.5版本即将公布。 Windows Mobile掌上电脑和手机的主流硬件配置:CPU: 195-624 Mhz, 主要芯片厂商:Intel,Texas Instruments, Samsung, Qualcomm等,内存:64-128MB Ram (用于程序运行),128-256MBRom (用于第三方程序及用户文件储存),显示屏:240x320或480x640,6.5万色,2.4-3.5英寸,扩充卡:Micro SD或SD,SDHC,高端机型内置WiFi无线网络接收模块,GPS 卫星接收模块,FM收音机接收模块,3G或3.5G高速网络,另配有蓝牙及用于和电脑同步用的USB接口。
浅谈WEB应用安全问题及防范
浅谈WEB应用安全问题及防范 随着WEB应用技术的发展,越来越多的企业或学校使用WEB应用来进行企业或学校信息开放性管理,使机构管理信息暴露在越来越多的威胁中。由于WEB应用具有一定的运行特点,传统防火墙对于其存在的安全问题缺少针对性和有效性,新的防护工具——Web应用防火墙应运而生。 标签:web应用开放性安全问题Web防火墙 随着信息资源逐渐向数据高度集中的模式,Web成为一种普适平台,Web 应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。Web应用提供了丰富的开放资源和高效率的新工作方式,但它的开放性、易用性和易开发性同样也使Web应用的安全问题日益突出,已成为了网络安全核心问题之一。 1 Web应用的工作原理和特点 Web应用程序首先是“应用程序”,和用标准的程序语言,如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方,就是它是基于Web的,而不是采用传统方法运行的。 目前广泛使用的Web应用程序一般是B/S模式,使用标准的三层架构模型:第一层是客户端;使用动态Web内容技术的部分属于中间层;数据库是第三层。在B/S模式中,客户端运行浏览器软件。浏览器以超文本形式向Web服务器提出访问数据库的要求,Web服务器接受客户端请求后,将这个请求转化为SQL 语法,并交给数据库服务器,数据库服务器得到请求后,验证其合法性,并进行数据处理,然后将处理后的结果返回给Web服务器,Web服务器再一次将得到的所有结果进行转化,变成HTML文档形式,转发给客户端浏览器以友好的Web 页面形式显示出来。 因此,Web应用具有以下特点: 1.1 易用性 Web应用所基于的Web浏览器的界面都很相似,对于无用户交互功能的页面,用户接触的界面都是一致的,因此Web应用的操作简单易上手。 1.2 开放性 在Web应用的B/S模式下,除了内部人员可以访问,外部的用户亦可通过通用的浏览器进行访问,并且不受浏览器的限制。 1.3 易扩展性
智能操作系统介绍
智能手机操作系统 智能手机 关于智能手机的操作系统,目前使用Linux操作系统的人越来越多,摩托罗拉是一大支持该系统的手机厂商。BLACKBERRY是美股市场占有率第一的手机,但在中国影响力小。PALM 系统操作稳定性好,但近年来被更加智能化的WINDOWS MOBILE 超过。SYMBIAN系统是诺基亚主打的系统。Android 是Google开发的基于Linux平台的开源手机操作系统。而iPhone OS是由苹果公司为iPhone开发的操作系统,主要供iPhone使用。 目录 Linux: BlackBerry: Windows Mobile 1、基本功能易用性: 2、桌面兼容性: 3、Office兼容性: 4、电子邮件: 5、多媒体性能: 6、第三方软件: Palm 基本功能易用性: Office兼容性: 电子邮件: 多媒体性能: 第三方软件: Symbian 基本功能易用性: Office兼容性 E-mail 第三方应用软件 android Android介绍 Android团队成员 手机开放联盟大家庭成员名单: 四、移动运营商 iPhone OS 支持的软件 iPhone OS自带的应用程序 Web应用程序
关于SDK 关于解锁与越狱 MeeGo j2me Linux: BlackBerry: Windows Mobile 1、基本功能易用性: 2、桌面兼容性: 3、Office兼容性: 4、电子邮件: 5、多媒体性能: 6、第三方软件: Palm 基本功能易用性: Office兼容性: 电子邮件: 多媒体性能: 第三方软件: Symbian 基本功能易用性: Office兼容性 E-mail 第三方应用软件 android Android介绍 Android团队成员 手机开放联盟大家庭成员名单:四、移动运营商 iPhone OS 支持的软件 iPhone OS自带的应用程序Web应用程序 关于SDK 关于解锁与越狱 MeeGo j2me 展开
智能手机什么系统最好
智能手机什么系统最好? 本文观点:对于目前的智能手机,最理智的选择应该是安卓,最豪华的选择应该是苹果,最盲目的选择应该是微软,最个性的选择应该是黑莓,最OUT的选择可能是塞班。
Symbian 优点:多年来Symbian系统一直占据智能系统的市场霸主地位,系统能力和易用性等各方面很强!不过成了萧何败也萧何,正是塞班让诺基亚走到了今天江河日下的地步,淘汰的塞班,你还能坚持多久?? 缺点:一般配置的机型反映较慢,对主流的媒体格式的支持性较差,不同版本的软件兼容性不好,且证书问题也很头痛。
Google Android:
优点:平台的开放性造就了安卓无穷的发展潜力,具备触摸屏、高级图形显示和上网功能,界面强大,可以说是一种融入全部Web应用的单一平台。 缺点:1. 太接近网络,可能让我们活在人肉搜索下,寝食难安。 2. 山寨!山寨将会对Android造成难以估计的打击。没办法,时代产物。3. 系统推出时间不是太长但市场占有率疯涨,苹果、微软等对安卓的侵权诉讼怕是一道坎。 Mac OS X (苹果iphone的系统):
优点:全触摸设计,真的是一次手机革命,娱乐性能强,第三方软件多。 缺点:系统封闭发展,功能不是太全面。 Windows Phone 7: 优点:界面和操作都和电脑上的Windows十分接近,对于机友来说十分熟悉又上手;各种保存在电脑或手机里的信息、资料可以轻松实现共享;有较多的应用软件可供用户选择。 缺点:中文芒果系统推出太晚,苹果、谷歌已经把市场抢得差不多了,要想翻盘,怕不是一时半刻的光阴能做到的。
Linux: 优点:具有自由、免费、开放源代码的优势,可以由用户自主研究代码,自定义多数系统的内容。严格地说,安卓就是基于Linux基础上的系统。但纯Linux 系统现在基本在手机上废弃了。 缺点:Linux操作系统的机型来自官方的第三方软件很少,需要用户自行刷机后才能安装更多的程序,操作起来有些门槛。
五个常见的Web应用漏洞及其解决方法
五个常见的Web应用漏洞及其解决方法开放Web应用安全项目(OW ASP)很快会发布今年的10大Web应用安全漏洞清单。这个清单与去年并没有太大差别,这表明负责应用设计与开发的人仍然没能解决以前那些显而易见的错误。许多最常见的Web应用漏洞仍然广泛存在,许多恶意软件搜索和攻击这些漏洞,连黑客新手都能轻松做到。 本文介绍了5个最常见的Web应用漏洞,以及企业该如何修复初级问题,对抗那些针对这些漏洞的攻击。 注入攻击和跨站脚本攻击 Web应用主要有2种最常见的严重缺陷。首先是各种形式的注入攻击,其中包括SQL、操作系统、电子邮件和LDAP注入,它们的攻击方式都是在发给应用的命令或查询中夹带恶意数据。别有用心的数据可以让应用执行一些恶意命令或访问未授权数据。如果网站使用用户数据生成SQL查询,而不检查用户数据的合法性,那么攻击者就可能执行SQL注入。这样攻击者就可以直接向数据库提交恶意SQL查询和传输命令。举例来说,索尼的PlayStation 数据库就曾经遭遇过SQL注入攻击,并植入未授权代码。 跨站脚本(XSS)攻击会将客户端脚本代码(如JavaScript)注入到Web应用的输出中,从而攻击应用的用户。只要访问受攻击的输出或页面,浏览器就会执行代码,让攻击者劫持用户会话,将用户重定向到一个恶意站点或者破坏网页显示效果。XSS攻击很可能出现在动态生成的页面内容中,通常应用会接受用户提供的数据而没有正确验证或转码。 为了防御注入攻击和XSS攻击,应用程序应该配置为假定所有数据——无论是来自表单、URL、Cookie或应用的数据库,都是不可信来源。要检查所有处理用户提供数据的代码,保证它是有效的。验证函数需要清理所有可能有恶意作用的字符或字符串,然后再将它传给脚本和数据库。要检查输入数据的类型、长度、格式和范围。开发者应该使用现有的安全控制库,如OW ASP的企业安全API或微软的反跨站脚本攻击库,而不要自行编写验证代码。此外,一定要检查所有从客户端接受的值,进行过滤和编码,然后再传回给用户。 身份验证和会话管理被攻破 Web应用程序必须处理用户验证,并建立会话跟踪每一个用户请求,因为HTTP本身不具备这个功能。除非任何时候所有的身份验证信息和会话身份标识都进行加密,保证不受其他缺陷(如XSS)的攻击,否则攻击者就有可能劫持一个激活的会话,伪装成某个用户的身份。如果一个攻击者发现某个原始用户未注销的会话(路过攻击),那么所有帐号管理功能和事务都必须重新验证,即使用户有一个有效的会话ID。此外,在重要的事务中还应该考虑使用双因子身份验证。 为了发现身份验证和会话管理问题,企业要以执行代码检查和渗透测试。开发者可以使用自动化代码和漏洞扫描程序,发现潜在的安全问题。有一些地方通常需要特别注意,其中包括会话身份标识的处理方式和用户修改用户身份信息的方法。如果没有预算购买商业版本,那么也可以使用许多开源和简化版本软件,它们可以发现一些需要更仔细检查的代码或进程。
目前应用在手机上的操作系统的介绍
概述 手机操作系统一般只应用在高端智能化手机上。目前,在智能手机市场上,中国市场仍以个人信息管理型手机为主,随着更多厂商的加入,整体市场的竞争已经开始呈现出分散化的态势。从市场容量、竞争状态和应用状况上来看,整个市场仍处于启动阶段。 目前应用在手机上的操作系统主要有PalmOS、Symbian、Windows mobile、Linux和Android、iPhoneOS,黑莓以及中国移动将推自有手机操作系 统“Ophone”。 Symbian系统(诺基亚为主、索爱、三星也有…) 简介 Symbian是一个实时性、多任务的纯32位操作系统,具有功耗低、内存占用少等特点,非常适合手机等移动设备使用,经过不断完善,可以支持GPRS、蓝牙、SyncML、以及3G技术。最重要的是它是一个标准化的开放式平台,任何人都可以为支持Symbian的
设备开发软件。与微软产品不同的是,Symbian将移动设备的通用技术,也就是操作系统的内核,与图形用户界面技术分开,能很好的适应不同方式输入的平台,也可以使厂商可以为自己的产品制作更加友好的操作界面,符合个性化的潮流,这也是用户能见到不同样子的symbian系统的主要原因。现在为这个平台开发的java程序已经开始在互联网上盛行。用户可以通过安装这些软件,扩展手机功能。 发展 在Symbian发展阶段,出现了三个分支:分别是Crystal、Pearl和Quarz。前两个主要针对通讯器市场,也是出现在手机上最多的,是今后智能手机操作系统的主力军。第一款基于Symabian系统的手机是2000年上市的爱立信R380手机。而真正较为成熟的同时引起人们注意的则是2001年上市的诺基亚9210,它采用了Crystal分支的系统。而2002年推出的诺基亚7650与3650则是Symbian Pearl分系的机型,其中7650是第一款基于2.5G网的智能手机产品,他们都属于Symbian的6.0版本。索尼爱立信推出的一款机型也使用了Symbian的Pearl分支,版本已经发展到7.0,是专为3G网络而开发的,而目前的诺基亚已经达到8.0的6630、6681等,可以说代表了当今最强大的手机操作系统。此外,Symbian从6.0版本就开始支持外接存储设备,如MMC卡,这让它强大的扩展能力得以充分发挥,使存放更多的软件以及各种大容量的多媒体文件成为了可能。 到今天,Symbian的系统已经发展至OS9.4,也就是S60的第5版操作系统,最大的革新就是加入了触控的可玩性。像5800XM,5530XM和最新推出的5230都是采用了这个系统。 分类 目前根据人机界面的不同,Symbian体系的UI(User Interface 用户界面)平台分为Series 60、Series 80、Series 90、UIQ等。 为了更强力地支持Symbian平台,Nokia在2001年成立Nokia Mobile Software 新部门,全力发展移动通信相关的软件。为了让手机厂商有更多的选择以投入Symbian手机的开发,Nokia发展出三种不同的用户界面:Series 60/80/90。Series60主要是给数字键盘手机用,Series 80是为完整键盘所设计,Series 90则是为触控笔方式而设计。另外一个重要的平台是由Symbian百分之百转投资的UIQ Technology所开发出来的UIQ。 Nokia开发的UI平台 Series 20/30多为低端手机所采用,Series 40多为中端商务手机所使用支持Java 的扩展,Series 60/80/90是为采用Symbian系统的中高端智能手机和高端商务手机而设计。 Series 20 : 84x48 像素
《PKI技术及其应用》期中试卷
2012-2013学年第1学期期中考试试题课程名称《PKI技术及其应用》 考试方式(开)卷适用专业09计科 考试时间( 120 )分钟 一、名词解释(20分,每小题4分) 1.公钥基础设施 2. 数字证书 3. 信任关系 4.证书生命周期 5.认证惯例陈述 二、选择题(10分,每题2分) 1.数字证书不包括( ) A. 证书所有人公钥 B.证书有效期 C. 证书所有人私钥 D. 认证机构名 2.中国PKI论坛成立于( ) A. 1980 年 B. 1990年 C. 1998年 D. 2001年3.RA与CA功能的一个主要不同点在于() A.注册、注销以及批准或拒绝对用户证书属性的变更要求B.对证书申请人进行合法性确认 C.发放证书 D.向有权拥有身份标记的人当面分发标记或恢复旧标记 4. 以下哪种形式不是简单鉴别( ) A.刮刮卡 B. 口令+ID以明文方式传输 C.随机数加密保护 D.三向认证鉴别 5.下列哪种方式不是PKI管理的传输方式()A.基于TCP的管理协议 B.基于文件大小的协议 C.通过电邮的管理协议D.通过HTTP的管理协议 三、简答题( 共30分,每题10分) 1.PKI的核心服务有哪些? 2. CA如何对证书进行更新? 3. 信任模型是什么?有哪几种典型的信任模型? 四、分析题( 共40分,每题20分) 1.试详细描述DES算法,并描述加密和解密的过程。 2. 试分析CA系统在网络基础上实施的安全性。
《PKI技术及其应用》标准答案 1. 公钥基础设施:是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。 2. 数字证书:又叫“数字身份证”、“网络身份证”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。 3. 信任关系:当两个认证机构中的一方给对方的公钥或双方给对方的公钥颁发证书时,二者之间就建立了这种信任关系。 4. 证书生命周期:证书申请、证书生成、证书存储、证书发布、证书废止这一过程就是证书的生命周期。 5.认证惯例陈述:一种认证惯例陈述可采取CA宣布的形式,包括它的信任系统详细情况及它在操作中和在支持颁发证书中采用的惯例,或者它可以是一种适用于CA的条令或规则和相似的主题。它也可以是CA和签署者之间的部分契约。一种认证惯例陈述也可由多份文档、公共法律组合、私人合同或声明组成。 二、选择题(10分,每题2分) 1. C 2. D 3.C 4.D 5.B 三、简答题( 共30分,每题10分) 1. (1)PKI服务的认证性:使得实体甲可以用自己的私钥加密一段挑战 信息,乙收到信息后用甲的公钥(如果乙不知道甲的公钥可以到公开的网站或机构去查明)对信息进行解密,从而确定甲就是甲所声明的实体本身。 (2)PKI服务的保密性:采用了类似于完整性服务的机制,具体如下: a.甲生成一个对称密钥(使用密钥协商协议)。 b. 用对称密钥加密数据(使用对称分组密码)。 c.将加密后的数据发送给对方。 (3)不可否认性服务是指从技术上保证实体对他们的行为的诚实性。最受关注的是对数据来源的不可抵赖,即用户不可能否认敏感消息或文件。此外,还包括其他类型的不可否认性,如传输的不可否认性、创建的不可否认性以及同意的不可否认性等。 2.这个过程依赖于CA,使用它先前的密钥签名新证书,并且使用新密钥签名旧证书。结果是根CA经历一次密钥更新创建了4个证书。这4个证书是: 旧用旧证书原始自签名证书,此时先前的CA私钥被用来签名CA证书中先前的公开密钥。 旧用新证书用新CA私钥签名的CA证书中的原始公开密钥。 新用旧证书用先前的CA私钥签名的CA证书中的新的公开密钥。 新用新证书用新CA私钥签名的CA证书中的新的公开密钥。 先前的CA证书(旧用旧证书)在密钥更新事件发生时由所有依赖方拥有。新用旧证书允许新产生的CA公开密钥由先前的、可信的密钥证实。一旦新密钥是可信的,依赖方获得的新CA证书(新用新证书)将能够信任它,此时旧用旧证书和新用旧证书对于依赖方不再是必要的。新用旧证书的有效期限从新CA密钥的密钥产生时间开始,在所有依赖方转移到承认新密钥的适当日期结束。最后的可能时间是先前的密钥的过期期限。旧用新证书实现旧密钥对向新密钥对的平滑转换,其有效期从先前的密钥对产生的日期开始,到旧用旧证书过期的日期结束。在CA新旧证书交迭时期,旧证书
常见WEB安全漏洞及整改建议
常见WEB安全漏洞及整改建议 1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 1.2 整改建议: CSRF的防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。有以下三种方法: (1).Cookie Hashing(所有表单都包含同一个伪随机值): (2).验证码 (3).One-Time Tokens(不同的表单包含一个不同的伪随机值) 1.3 案例: 1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 1.3.1 Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败.
//构造加密的Cookie信息 $value = “DefenseSCRF”; setcookie(”cookie”, $value, time()+3600); ?> 在表单里增加Hash值,以认证这确实是用户发送的请求。 $hash = md5($_COOKIE['cookie']); ?> ”> 然后在服务器端进行Hash值验证 if(isset($_POST['check'])) { $hash = md5($_COOKIE['cookie']); if($_POST['check'] == $hash) { doJob(); } else {
公钥基础设施 PKI及其应用
公钥基础设施PKI及其应用 PKI-公钥基础设施 对称加密算法 相同的密钥做加密和解密 DES,3-DES,CAST,RC4,IDEA,SSF33,AES 加解密速度快,适合大量数据的加密,极强的安全性,增加密钥长度增强密文安 全 缺点用户难以安全的分享密钥,扩展性差,密钥更新困难,不能用以数字签名,故不能用以身份认证 非对称加密算法——公钥算法 公私钥对 公钥是公开的 私钥是由持有者安全地保管 用公私钥对中的一个进行加密,用另一个进行解密 用公钥加密,私钥解密 用私钥签名,公钥验证 公钥不能导出私钥 发送方用接受方的公钥加密 接受方用其私钥解密 我国已发布了中国数字签名法 签名原理 发送方用其私钥进行数字签名 接受方用发送方的公钥验证签名 RSA,DSA,ECC,Diffie-Hellman 优点 参与方不用共享密钥 扩展性很好 实现数字签名 缺点 慢,不适合大量数据的加解密
解决:结合对称密钥算法 RSA,ECC同时支持加密和签名 密钥和证书管理 生命周期 X509证书格式,DN,serial,valid date,CRL,public key,extensions,CA digital signature 数字证书的验证 证书黑名单CRL 双证书 签名证书 密钥只作签名用 私钥用户自己保管 加密证书 密钥做数据加密用 私钥应由PKI统一管理 CA安全管理 证书管理中心 策略批准 证书签发 证书撤消 证书发布 证书归档 密钥管理中心 生成 恢复 更新 备份托管 证书生命周期 申请产生发放查询撤消 CA交叉验证 应用及证书种类 email证书,SET证书,模块签名
智能手机的应用
计算机导论JISUANJIDAOLUN 智能手机的应用 龚毅 (青岛科技大学信息科学技术学院,青岛201612) 【摘要】近年来以智能手机为代表的便携式电子产品在人们的生国忠占据了越来越多的位置,在公共场所中,随处可见人们使用着电子产品,而智能手机作为便携性程度最高、使用必要性最强的电子产品,其发展趋势将改变人类未来的生活,本文简要介绍了智能手机应用。 【关键词】智能手机手机应用The application of smart phone Gong Yi (College of information science and technology, Qingdao University of Science & Technology, Qingdao 201612) [Abstract] in recent years, the portable electronic products with intelligent mobile phone as the representative of the people in the country have more and more loyal position in public places, everywhere people use electronic products, electronic products and intelligent mobile phone as the highest degree of portability, need to use the strongest, its development will change the future of humanity life, this paper briefly introduces the application of intelligent mobile phone. [Key words] intelligent mobile phone application 0 引言 广义上说,智能手机除了具备手机的通话功能外,还具备了PDA的大部分功能,特别是个人信息管理以及基于无线数据通信的浏览器和电子邮件功能。智能手机为用户提供了足够的屏幕尺寸和带宽,既方便随身携带,又为软件运行和内容服务提供了广阔的舞台,很多增值业务可以就此展开,如:股票、新闻、天气、交通、商品、应用程序下载、音乐图片下载等等。但是发展至今,这些功能已经远远不够用于人们的生活,人们开始注重更多功能的发展,比如曲面屏幕的应用,副屏的应用,OLED的大规模采用,模块化设计,更高得像素,更好的成像效果等等。今天就这些功能作简要的介绍。1 应用 1.1.软件是什么? 智能手机APP简单的说是一个移动应用程序,指可以在智能设备运行的应用程序,也称为客户端。应用程序随着移动互联网技术的进一步发展应运而生,尤其是随着2G+,3G,LTE 无线网络的快速覆盖和智能手机的快速普及和发展,应用程序极大的方便了用户的日常生活,手机APP呈现井喷式增长,也使得企业开发,个人开发的积极性空前的高涨,每天都有数万应用程序出现并推广入到消费者的衣食住行各个领域,包括支持在线支付,在线购物,团购,美食,娱乐,生活资讯,地图,旅游,气
十大常见漏洞
Web应用常见的安全漏洞有哪些 随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险: 一、非法输入 Unvalidated Input 在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查,非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。 二、失效的访问控制 Broken Access Control 大部分企业都非常关注对已经建立的连接进行控制,但是,允许一个特定的字符串输入可以让攻击行为绕过企业的控制。 三、失效的账户和线程管理 Broken Authentication and Session Management 有良好的访问控制并不意味着万事大吉,企业还应该保护用户的密码、会话令牌、
账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。 四、跨站点脚本攻击 XSS 跨站漏洞以及钓鱼式攻击 XSS,中文名称为跨站脚本,是一种很常见的脚本漏洞。因为跨站脚本攻击不能直接对系统进行攻击,所以往往被人们忽视。 由于WEB应用程序没有对用户的输入进行严格的过滤和转换,就导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现,此这种攻击能在一定程度上隐藏身份。 由于跨站脚本不能直接对系统进行攻击,所以跨站脚本总是伴随社会工程学来 实现攻击的,这种攻击的主要表现形式是钓鱼式攻击。钓鱼式攻击方式有很多,如获取Cookie, 伪造页面,屏蔽页面特定信息,与其它漏洞结合攻击操作系统等等。钓鱼式攻击是针对人脑的攻击方式,它的传播手段有EMAIL、IM、聊天室、恶意连接、游戏中的聊天系统,凡是能实现用户之间互动操作的系统都存在钓鱼式攻击的风险。 在电子商务蓬勃发展的今天,针对个人财务信息的钓鱼攻击事件数量成直线上升,其中一个主要攻击途径就是跨站脚本执行漏洞。据统计,国内外存在跨站脚本漏洞的网站多达60%, 其中包括许多大型知名网站。 这是一种常见的攻击,当攻击脚本被嵌入企业的Web页面或其它可以访问的Web 资源中,没有保护能力的台式机访问这个页面或资源时,脚本就会被启动,这种攻击可以影响企业内成百上千员工的终端电脑。 网站开发者角度,如何防护XSS攻击? 对XSS最佳的防护应该结合以下两种方法:验证所有输入数据,有效检 测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。 网站用户角度,如何防护XSS攻击? 当你打开一封Email或附件、浏览论坛帖子时,可能恶意脚本会自动执行,因此,在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭
智能手机的应用范围
智能手机的应用范围: 广义上说,智能手机除了具备手机的通话功能外,还具备了PDA的大部分功能,特别是个人信息管理以及基于无线数据通信的浏览器和电子邮件功能。智能手机为用户提供了足够的屏幕尺寸和带宽,既方便随身携带,又为软件运行和内容服务提供了广阔的舞台,很多增值业务可以就此展开,如:股票、新闻、天气、交通、商品、应用程序下载、音乐图片下载等等。融合3C(Computer、Communication、Comsumer)的智能手机必将成为未来手机发展的新方向。 1、具备普通手机的全部功能,能够进行正常的通话,发短信等手机应用。 2、具备无线接入互联网的能力,即需要支持GSM网络下的GPRS或者CDMA网络下的CDMA 1X或者3G网络。 3、具备PDA的功能,包括PIM(个人信息管理),日程记事,任务安排,多媒体应用,浏览网页。 4、具备一个具有开放性的操作系统,在这个操作系统平台上,可以安装更多的应用程序,从而使智能手机的功能可以得到无限的扩充。 既然只有具备操作系统的手机才配叫智能手机,那其的操作系统种类又有哪些呢?既然智能手机的诞生和掌上电脑有关,那它的操作系统也肯定会与掌上电脑有关。Symbian和Windows CE、Palm、Linux依旧是这四大阵营,不过与PDA操作系统中Palm和Windows CE 两强争霸的局面不同,在智能手机操作系统中,Symbian却抢得了先机,索爱、诺基亚、摩托罗拉以及松下等公司基本上都采用了Symbian为主的操作系统。 Symbian:Symbian的很像是Windows和Linux的结合体,有着良好的界面,采用内核与界面分离技术,对硬件的要求比较低,支持C++,VB和J2ME。兼容性较差。代表机型:诺基亚6600索爱P908西门子SX1 Windows CE:由于微软的强大实力,WINDOWS CE有很多先天的优势,比如拥有强大的内建软件,WORD,EXCEL,IE,MSN MESSENGER,OUTLOOK,MediaPlay等,其它系统上的同类软件很难做到如此完善和统一。由于硬件要求极高使价格也高了,耗电还是很比较大,系统稳定性差。代表机型:多普达智能手机系列。 Palm:这种系统对硬件的要求很低,因此在价格上能很好的控制,耗电量也很小。PALM 由于比较早出现,应用在手机上还是有很多不完善的地方,相同于其它两大系统,PALM 显得比较弱小。代表机型:三星SGH-i500Treo 600。 Linux:Linux具有源代码开放、软件授权费用低、应用开发人才资源丰富等优点,便于开发个人和行业应用。起步太晚,没有雄厚的基础。代表机型:摩托罗拉A760 ,三星i519 。 除了这四个操作系统以外,大家是不是还听说过什么S60、S70等操作系统,这些又是什么呢?其实这些都是Symbian的分支,为什么这么说呢?原来Symbian OS只是一个操作系统
智能手机操作系统介绍
智能手机操作系统介绍 一、Symbian操作系统介绍 Symbian操作系统(“塞班系统”)是由摩托罗拉、西门子、诺基亚等几家大型移动通讯设备商共同出资组建的一个合资公司,专门研发手机操作系统。而Symbian操作系统的前身是EPOC,而EPOC是Electronic Piece of Cheese取第一个字母而来的,其原意为"使用电子产品时可以像吃乳酪一样简单",这就是它在设计时所坚持的理念。现已被NOKIA全额收购。 Symbian操作系统在智能移动终端上拥有强大的应用程序以及通信能力,这都要归功于它有一个非常健全的核心-强大的对象导向系统、企业用标准通信传输协议以及完美的sunjava语言。Symbian认为无线通讯装置除了要提供声音沟通的功能外,同时也应具有其它种沟通方式,如触笔、键盘等。在硬件设计上,它可以提供许多不同风格的外型,像使用真实或虚拟的键盘,在软件功能上可以容纳许多功能,包括和他人互相分享信息、浏览网页、传输、接收电子信件、传真以及个人生活行程管理等。此外,Symbian 操作系统在扩展性方面为制造商预留了多种接口,而且EPOC操作系统还可以细分成三种类型:Pearl/Quartz/Crystal,分别对应普通手机、智能手机、HandHeld PC场合的应用。 Symbian是一个实时性、多任务的纯32位操作系统,具有功耗低、内存占用少等特点,非常适合手机等移动设备使用,经过不断完善,可以支持GPRS、蓝芽、SyncML、以及3G技术。最重要的是它是一个标准化的开放式平台,任何人都可以为支持Symbian的设备开发软件。与微软产品不同的是,Symbian 将移动设备的通用技术,也就是操作系统的内核,与图形用户界面技术分开,能很好的适应不同方式输入的平台,也可以使厂商可以为自己的产品制作更加友好的操作界面,符合个性化的潮流,这也是用户能见到不同样子的symbian系统的主要原因。现在为这个平台开发的java程序已经开始在互联网上盛行。用户可以通过安装这些软件,扩展手机功能。 基于Symbian的UI 目前根据人机界面的不同,Symbian体系的UI(User Interface 用户界面)平台分为Series 60、Series80、Series90、UIQ等。 为了更强力地支持Symbian平台,Nokia在2001年成立NokiaMobileSoftware新部门,全力发展移动通信相关的软件。为了让手机厂商有更多的选择以投入Symbian手机的开发,Nokia发展出三种不同的用户界面:Series 60/80/90。Series60主要是给数字键盘手机用,Series80是为完整键盘所设计,Series90则是为触控笔方式而设计。另外一个重要的平台是由Symbian百分之百转投资的UIQTechnology所开发出来的UIQ。 Nokia开发的UI平台 Series 20/30多为低端手机所采用,Series 40多为中端商务手机所使用支持Java的扩展,Series 60/80/90是为采用Symbian系统的中高端智能手机和高端商务手机而设计。 Series 20 : 84x48 像素 Series 30 : 96x65 像素,型号一般为1系列,手机型号如:1100,1108...... Series 40 : 96x68或128x128 像素, 手机型号如:1112,1116,1110i,6230,7210,2610,6020..... Series 60 : 支持多种分辨率,机型如:5310,5320xm,6122c, 6220c,N95...... 基本定位于单手操纵设备,至今为止,分为第一版第二版和第三版还有最新的第五版,第五版为触屏版本,包括诺基亚E77,N97,5800XM,5802XM,5530XM,三星i8910,第三版还分为预FP1(MR),FP1,FP2,支持176X208, 240x320、352x416分辨率,五方向键,两个功能键。使用Symbian OS Preal平台。里面的菜单呈九宫格或十二宫格方式排列。支持MIDP JAVA和使用C++编写的.SIS扩展程序包。不失小巧体积的