《第二章电子商务安全技术精选文档.ppt》由会员分享,可在线阅读,更多相关《第二章电子商务安全技术精选文档.ppt(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第二章第二章 电子商子商务安安全技全技术本讲稿第一页,共四十五页内内容提要容提要网网络安全安全概概述述信息安全信息安全概概述述公公开开密密钥体系体系结构构网网络安全技安全技术1234本讲稿第二页,共四十五页2.1 网网络安全安全概概述述u电子商务的安全技术,蕴含于网络安全应用的各电子商务的安全技术,蕴含于网络安全应用的各个方面,其目的是保证整个电子商务系统安全、个方面,其目的是保证整个电子商务系统安全、有效地运行。然而,因特网本身的开放性、跨国有效地运行。然而,因特网本身的开放性、跨国界、无主管、不设防、无法律约束等特性,在给界、无主管、不设防、无法律约束等特性,在给人们带来巨大便利的同时,也
2、带来了一些不容忽人们带来巨大便利的同时,也带来了一些不容忽视的问题。视的问题。u由于网络安全漏洞,导致敏感信息泄漏、信息篡由于网络安全漏洞,导致敏感信息泄漏、信息篡改、数据破坏、恶意信息发布、计算机病毒发作改、数据破坏、恶意信息发布、计算机病毒发作等现象屡见不鲜,由此造成的经济损失和社会不等现象屡见不鲜,由此造成的经济损失和社会不良影响难以估计。良影响难以估计。本讲稿第三页,共四十五页2.1.1 网网络安全的含安全的含义u从内容看网络安全大致包括从内容看网络安全大致包括4个方面个方面:n网络安全实体n软件安全n数据安全n安全管理u从特征看网络安全包括从特征看网络安全包括5个基本要素个基本要素:
3、n机密性n完整性n可用性n可控性n可审查性本讲稿第四页,共四十五页2.1.2 影影响网响网络安全的因素安全的因素u网络系统自身的脆弱性网络系统自身的脆弱性n硬件系统n软件系统n网络和通信协议n缺乏用户身份鉴别机制n缺乏路由协议鉴别认证机制n缺乏保密性nTCP/UDP的缺陷nTCP/IP服务的脆弱性本讲稿第五页,共四十五页2.1.2 影影响网响网络安全的因素安全的因素(续)u安全威胁安全威胁n基本威胁n信息泄露n完整性破坏n服务拒绝n未授权访问n威胁网络安全的主要方法n假冒n旁路控制n破坏系统的完整性n破坏系统的可用性n重放n陷门n木马n抵赖n威胁和攻击的来源n内部操作不当n内部管理漏洞n来自外
4、部的威胁和犯罪本讲稿第六页,共四十五页2.1.3 网网络安全模型安全模型网络安全的基本模型本讲稿第七页,共四十五页2.1.3 网网络安全模型安全模型(续)网络安全访问模型本讲稿第八页,共四十五页u保密性保密性n物理保密n防窃听n防辐射n信息加密u身份验证身份验证u完整性完整性n良好的协议n密码校验和n数字签名n公证u不可抵赖性不可抵赖性u访问控制访问控制u可用性可用性n身份的识别与确认n访问控制n业务流控制n路由选择控制n审计跟踪2.1.4 网络安全服务网络安全服务本讲稿第九页,共四十五页2.1.5 基本安全技基本安全技术u防火墙防火墙(Firewall)u加密加密(Encryption)u身
5、份认证身份认证(Authentication)u数字签名数字签名(Digital Signature)u内容检查内容检查(Content Inspection)本讲稿第十页,共四十五页2.2 信息安全技信息安全技术u2.2.1 密密码技技术u加密是一种通过使信息变得混乱的方式,从而使未经授权的人无法访问,而被授权的人却可以访问的信息安全技术。u通过使用加密,我们可以提供六种安全服务中的三种服务:保密性加密可以用于对未经授权的人隐藏传输中的信息和存储的信息完整性加密可以用于识别对信息做出的更改,无论是传输中的信息还是存储的信息不可抵赖性加密用于认证信息的来源验证并用于防止原始信息的来源被篡改本讲
6、稿第十一页,共四十五页对称称密密码技技术对称密码系统模型u分组密码技术分组密码技术n数据加密标准DESn三重DESu流密码技术流密码技术nA5nRC-4nPKZIP本讲稿第十二页,共四十五页公公钥密密码技技术uDiffie-Hellman密钥交换密钥交换uRSA算法算法u椭圆曲线密码算法椭圆曲线密码算法 本讲稿第十三页,共四十五页2.2.2 报文文鉴别技技术u报文加密报文加密:以整个消息的密文作为它的鉴别码以整个消息的密文作为它的鉴别码u报文鉴别码报文鉴别码(MAC):以一个报文的公共函数和一以一个报文的公共函数和一个密钥作用于报文,产生一个数据分组,即报文个密钥作用于报文,产生一个数据分组,
7、即报文鉴别码,并将其附加在报文中鉴别码,并将其附加在报文中u散列函数散列函数:一个将任意长度的报文映射为定长的一个将任意长度的报文映射为定长的散列值的公共函数,以散列值作为验证码散列值的公共函数,以散列值作为验证码本讲稿第十四页,共四十五页2.2.3 数数字字签名名u数字签名具有以下性质数字签名具有以下性质:必须能够证实是作者本人的签名以及签名的日期和时间在签名时必须能对内容进行鉴别签名必须能被第三方证实以便解决争端本讲稿第十五页,共四十五页数数字字签名分名分类uRSA签名体制签名体制u数字签名标准数字签名标准u不可否认签名不可否认签名u防失败签名防失败签名u盲签名盲签名u群签名群签名本讲稿第
8、十六页,共四十五页2.3 公公开开密密钥体系体系结构构(Public Key Infrastructure,PKI)uPKI包含包含:n安全策略,以规定加密系统在何种规则下运行n产生、存储、管理密钥的产品n怎样产生、分发、使用密钥和证书的一套过程uPKI为电子商务提供了为电子商务提供了4个主要的安全功能个主要的安全功能:n保密性保证信息的私有性n完整性保证信息没有被篡改n真实性证明一个人或一个应用的身份n不可否认性保证信息不能被否认本讲稿第十七页,共四十五页2.3.1 PIK的定的定义uPKI是一种遵循标准的利用公钥理论和技术建立的提供是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础
9、设施。公钥基础设施希望从技术上解决安全服务的基础设施。公钥基础设施希望从技术上解决网上身份证、电子信息的完整性和不可抵赖性等安全问网上身份证、电子信息的完整性和不可抵赖性等安全问题,为网络应用(如浏览器、电子邮件、电子交易)提题,为网络应用(如浏览器、电子邮件、电子交易)提供可靠的安全服务。供可靠的安全服务。PKI是遵循标准的密钥管理平台,是遵循标准的密钥管理平台,所以它能为所有网络应用透明地提供采用加密和数字签所以它能为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。名等密码服务所需要的密钥和证书管理。本讲稿第十八页,共四十五页2.3.2 PKI的的内内容容u认证中
10、心认证中心CAu注册中心注册中心RAu证书发布库证书发布库u密钥备份及恢复密钥备份及恢复u证书撤销证书撤销uPKI应用接口应用接口本讲稿第十九页,共四十五页2.3.3 PKI服服务u认证认证u完整性完整性u保密性保密性u不可否认性不可否认性u安全时间戳安全时间戳u安全公证安全公证本讲稿第二十页,共四十五页2.4 网网络安全技安全技术u2.4.1 防火防火墙技技术u网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决
11、定网络之间的通信是否被允许,并监视网络运行状态。本讲稿第二十一页,共四十五页防火防火墙概概述述防火墙的一般模型本讲稿第二十二页,共四十五页分分组过滤u分组过滤(Packet Filtering)作用于网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则从数据流中被丢弃。本讲稿第二十三页,共四十五页分分组过滤(续续)u优点优点n透明的防火墙系统n高速的网络性能n易于配置n支持网络内部隐藏u缺点缺点n易于IP地址假冒n记录日志信息不充分n源路易受攻击n设计和配置一个真正安全的分组过滤规则比较
12、困难n分组过滤防火墙并不能过滤所有的协议n无法阻止数据驱动式攻击本讲稿第二十四页,共四十五页应用代理用代理u应用代理(Application Proxy)也叫应用网关(Application Gateway),它作用于应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流。实际中的应用网关通常由专用工作站实现。本讲稿第二十五页,共四十五页应用代理应用代理(续续)u优点优点n在网络连接建立之前可以对用户身份进行认证n所有通过防火墙的信息流可以被记录下来n易于配置n支持内部网络的信息隐藏n与分组过滤规则相比较为简单n易于控制和管理u缺点缺点n对每
13、种类型的服务都需要一个代理n网络性能不高n源路易受攻击n防火墙对用户不透明n客户应用可能需要修改n需要多个防火墙主机本讲稿第二十六页,共四十五页电路中路中继u电路中继(Circuit Relay)也叫电路网关(Circuit Gateway)或TCP代理(TCP Proxy),其工作原理与应用代理类似,不同之处是该代理程序是专门为传输层的TCP协议编制的。u电路中继工作在OSI(开发系统互联)参考模型的会话层或TCP/IP协议模型的传输层。u电路中继服务器常常提供网络地址翻译,将通过一台网络主机将内部网络主机的包进行修改,这样,修改后的包就能够通过Internet发出去了。本讲稿第二十七页,共
14、四十五页包包过滤路由器路由器包过滤流程图本讲稿第二十八页,共四十五页防火防火墙系系统模型模型u筛选路由器模型筛选路由器模型u单宿主堡垒主机模型单宿主堡垒主机模型u双宿主堡垒主机模型双宿主堡垒主机模型u屏蔽子网模型屏蔽子网模型本讲稿第二十九页,共四十五页防火防火墙的局限性的局限性u防火墙不能防范网络内部的攻击防火墙不能防范网络内部的攻击u防火墙也不能防范没有防范心理的管理员授予其防火墙也不能防范没有防范心理的管理员授予其些入侵者临时的网络访问权限些入侵者临时的网络访问权限u防火墙不能防止传送已感染病毒的软件或文件,防火墙不能防止传送已感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查
15、出不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒潜在的病毒本讲稿第三十页,共四十五页防火防火墙应用的用的发展展趋势u防火墙将从目前对子网或内部网管理方式向远程网上集中管理方式防火墙将从目前对子网或内部网管理方式向远程网上集中管理方式转变转变u过滤深度不断加强,从目前的地址、服务过滤,发展到过滤深度不断加强,从目前的地址、服务过滤,发展到URL过过滤,关键字过滤和对滤,关键字过滤和对Active X、Java Applet等服务的过滤,等服务的过滤,并逐渐具有病毒扫除功能并逐渐具有病毒扫除功能u利用防火墙建立专用网利用防火墙建立专用网u单向防火墙将作为一种产品门类而出现单向防火墙将作为一种
16、产品门类而出现u对网络攻击的检测和示警将成为防火墙的重要功能对网络攻击的检测和示警将成为防火墙的重要功能u安全管理工具不断完善,特别是可疑活动的日志分析工具将成安全管理工具不断完善,特别是可疑活动的日志分析工具将成为防火墙产品中的一个重要组成部分为防火墙产品中的一个重要组成部分本讲稿第三十一页,共四十五页2.4.2 VPN技技术u随着全球化步伐的加快,移动办公人员越来越多,随着全球化步伐的加快,移动办公人员越来越多,公司客户关系越来越庞大,这样的方案必然导致公司客户关系越来越庞大,这样的方案必然导致高昂的长途线路租用费及长途电话费。于是,虚高昂的长途线路租用费及长途电话费。于是,虚拟专用网拟专
17、用网VPN(Virtual Private Network)的概念与市场随之出现。的概念与市场随之出现。本讲稿第三十二页,共四十五页VPN概概述述uVPN被定义为通过一个公用网络(通常是因特被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。混乱的公用网络的安全、稳定的隧道。uVPN作为一种组网技术的概念,有作为一种组网技术的概念,有3种应用方式:种应用方式:远程访问虚拟专用网远程访问虚拟专用网(Access VPN)、企业内部、企业内部虚拟专用网虚拟专用网(Intranet VPN)、扩展的
18、企业内部、扩展的企业内部虚拟专用网虚拟专用网(Extranet VPN)。u目前,目前,VPN主要采用四种技术来保证安全。这主要采用四种技术来保证安全。这四种技术分别是隧道技术、加解密技术、密钥管四种技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。其中,隧理技术、使用者与设备身份认证技术。其中,隧道技术是道技术是VPN的基本技术。的基本技术。本讲稿第三十三页,共四十五页VPN的解的解决决方案方案u隧道技术隧道技术u虚拟电路虚拟电路uSOCKS v5uIPSec本讲稿第三十四页,共四十五页2.4.3 计算机病毒算机病毒u美国计算机研究专家美国计算机研究专家F.Cohen博
19、士最早提出了博士最早提出了“计算机病计算机病毒毒”的概念。计算机病毒是一段人为编制的计算机程序代的概念。计算机病毒是一段人为编制的计算机程序代码。这段代码一旦进入计算机并得以执行,它就会搜寻其码。这段代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。身代码插入其中,达到自我繁殖的目的。u1994年年2月月18日中华人民共和国计算机信息系统安全日中华人民共和国计算机信息系统安全保护条例第二十八条规定:计算机病毒,是指编制或者保护条例第二十八条规定:计算机病毒,是指编制或
20、者在计算机程序中插入的破坏计算机功能或者毁坏数据,影在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序响计算机使用,并能自我复制的一组计算机指令或者程序代码。以上是我国司法部门对电脑病毒的法律解释,司法代码。以上是我国司法部门对电脑病毒的法律解释,司法部门凭该解释所赋予的法律要件,就可以逮捕病毒制作和部门凭该解释所赋予的法律要件,就可以逮捕病毒制作和散播者。目前,我国仍然沿用此条例,没有新的修订。散播者。目前,我国仍然沿用此条例,没有新的修订。本讲稿第三十五页,共四十五页病毒的病毒的发展展阶段段u原始病毒阶段原始病毒阶段u混合型病毒阶段混合型病
21、毒阶段u多态性病毒阶段多态性病毒阶段u网络病毒阶段网络病毒阶段u主动攻击阶段主动攻击阶段u手机病毒阶段手机病毒阶段本讲稿第三十六页,共四十五页病毒的特征病毒的特征u非授权可执行性非授权可执行性u隐蔽性隐蔽性u传染性传染性u潜伏性潜伏性u表现性表现性(破坏性破坏性)u可触发性可触发性本讲稿第三十七页,共四十五页病毒的分病毒的分类u宏病毒宏病毒(Macro Virus)u引导型病毒引导型病毒(Boot Strap Sector Virus)n传统引导型病毒n隐型引导型病毒n目录型引导病毒u文件型病毒文件型病毒(File Infector Virus)n非常驻型病毒n常驻型病毒n隐型文件型病毒u复合
22、型病毒复合型病毒(Multi-Partite Virus)本讲稿第三十八页,共四十五页病毒的病毒的结构构病毒的一般结构本讲稿第三十九页,共四十五页病毒的工作机理病毒的工作机理u病毒的引导机理病毒的引导机理u病毒的传播机理病毒的传播机理u病毒的破坏表现机理病毒的破坏表现机理本讲稿第四十页,共四十五页病毒病毒产生的原因生的原因u一些计算机爱好者出于好奇或兴趣,也有的是为一些计算机爱好者出于好奇或兴趣,也有的是为了满足自己的表现欲了满足自己的表现欲u来源于软件加密来源于软件加密u产生于游戏产生于游戏u用于研究或实验而设计的用于研究或实验而设计的“有用有用”程序,由于某程序,由于某种原因失去控制而扩散
23、出来种原因失去控制而扩散出来u由于政治、经济和军事等特殊目的由于政治、经济和军事等特殊目的本讲稿第四十一页,共四十五页病毒的病毒的传播途播途径径u通过软盘、通过软盘、U盘、光盘、移动硬盘等移动存储设盘、光盘、移动硬盘等移动存储设备传染,大量的移动存储设备的使用,是造成病备传染,大量的移动存储设备的使用,是造成病毒传染并泛滥蔓延的温床毒传染并泛滥蔓延的温床u通过点对点通信系统和无线信道传播通过点对点通信系统和无线信道传播u通过网络传染,这种传播扩散的速度很快,能在通过网络传染,这种传播扩散的速度很快,能在短时间内使网络上的机器受到感染短时间内使网络上的机器受到感染本讲稿第四十二页,共四十五页病毒
24、的危害病毒的危害u破坏文件或数据,造成用户数据丢失或损毁破坏文件或数据,造成用户数据丢失或损毁u抢占系统网络资源,造成网络阻塞或系统瘫痪抢占系统网络资源,造成网络阻塞或系统瘫痪u破坏操作系统等软件或计算机主板等硬件,造成破坏操作系统等软件或计算机主板等硬件,造成计算机无法启动计算机无法启动本讲稿第四十三页,共四十五页计算机病毒防治算机病毒防治u管理层面管理层面u技术层面技术层面u法律法规层面法律法规层面u计算机病毒的发展及其遏制对策计算机病毒的发展及其遏制对策本讲稿第四十四页,共四十五页习题2u2.1 网络信息安全面临的威胁有哪些?网络信息安全面临的威胁有哪些?u2.2 保证网络信息安全的技术主要有哪些?保证网络信息安全的技术主要有哪些?u2.3 DES的主要缺点是什么?的主要缺点是什么?u2.4 三重三重DES增加增加DES安全的代价是什么?安全的代价是什么?u2.5 什么是数字签名?什么是数字签名?u2.6 PKI技术包括那些内容?其核心技术是什技术包括那些内容?其核心技术是什么?么?u2.7 试述各种防火墙体系结构的优缺点。试述各种防火墙体系结构的优缺点。u2.8 计算机病毒经历了哪几个发展阶段,其主计算机病毒经历了哪几个发展阶段,其主要特征是什么?要特征是什么?本讲稿第四十五页,共四十五页