第4章网络安全.pptx

上传人:可****阿 文档编号:75317439 上传时间:2023-03-03 格式:PPTX 页数:113 大小:1.24MB
返回 下载 相关 举报
第4章网络安全.pptx_第1页
第1页 / 共113页
第4章网络安全.pptx_第2页
第2页 / 共113页
点击查看更多>>
资源描述

《第4章网络安全.pptx》由会员分享,可在线阅读,更多相关《第4章网络安全.pptx(113页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第第4 4章章 网络网络安全安全电子商务安全与支付电子商务安全与支付(第二版第二版)课程教学课程教学PPTPPTTCP/IP基本基本知识知识4.1SET协议协议4.2SSL协议4.3防火墙技术防火墙技术4.4本章目录本章目录虚拟专用网虚拟专用网4.54.5网络网络入侵检测入侵检测4.6电子商务电子商务网站常见的攻击网站常见的攻击4.7非军事区非军事区域域4.8WWW中的安全中的安全问题问题4.9本章目录本章目录移动移动安全安全4.104.104.1TCP/IP基本基本知识知识2020世世纪6060年代初,年代初,DARPADARPA(美国国防部高(美国国防部高级研究研究项目局)投目局)投资建建

2、立了一个立了一个项目,通目,通过一个名一个名为ARPANetARPANet(阿帕网)的网(阿帕网)的网络将全国将全国各地的大学及硬件部各地的大学及硬件部门连接起来。接起来。19831983年,年,TCP/IPTCP/IP协议取代了取代了早先的早先的ARPANetNCPARPANetNCP(网(网络控制控制协议)。用来运行)。用来运行这个网个网络的的TCP/IPTCP/IP协议是开放的、是开放的、简单的和易于使用的。的和易于使用的。网网络的的规模迅速模迅速扩大,最大,最终成成为现在人所共知的在人所共知的InternetInternet(因特网)。(因特网)。InternetInternet也就是

3、运行也就是运行TCP/IPTCP/IP协议套件的所有网套件的所有网络的一个大集合。的一个大集合。图4.1TCP/IP4.1TCP/IP堆堆栈分分层应用层传输层网络层数据链路层4.1TCP/IP基本基本知识知识1 1应用用层应用用层(ApplicationLayerApplicationLayer)直接)直接为网网络应用提供服用提供服务,使它,使它们能通能通过网网络收收发数据。它也提供像域名解析(参数据。它也提供像域名解析(参见DNSDNS)这样的服的服务。对于像万于像万维网(网(WWWWWW)浏览器或器或E-mailE-mail客客户端端这样的的应用来用来说,使用的便是由,使用的便是由应用用层

4、提供的服提供的服务,分,分别与与WWWWWW服服务器以器以及及电子子邮件服件服务器通信。器通信。应用用层也定也定义了到了到传送送层的接口。注意,的接口。注意,这个接口与操作系个接口与操作系统是无关的。最流行的接口是是无关的。最流行的接口是socketsocket(套接字)(套接字)接口,套接字接口在各种形式的接口,套接字接口在各种形式的UNIXUNIX操作系操作系统和微和微软平台上均有平台上均有提供提供。4.1TCP/IP基本基本知识知识2 2传输层传输层负责向向应用用层提供服提供服务。在。在TCP/IPTCP/IP协议套件中,套件中,传输层提提供的是以下服供的是以下服务:(1 1)“面向面向

5、连接接”或或“无无连接接”的数据的数据传输。进行行“面向面向连接接”的的传输时,一旦两个,一旦两个应用建立了通信关系(信道),用建立了通信关系(信道),这种种连接接就会一直保留下去,直到其中一个就会一直保留下去,直到其中一个应用放弃用放弃连接。在接。在连接建立的接建立的时候,候,应用只需指定一次目的。它最好的例子便是用只需指定一次目的。它最好的例子便是电话服服务,一,一旦呼叫建立,两部旦呼叫建立,两部电话便会一直便会一直连下去,直到一方挂机。而在所下去,直到一方挂机。而在所谓的的“无无连接接”传输中,中,针对自己自己发出的每个数据包,都必出的每个数据包,都必须为其指定目的地其指定目的地。4.1

6、TCP/IP基本基本知识知识(2 2)可靠或不可靠)可靠或不可靠传输。在可靠。在可靠传输的情况下,假如一个包由的情况下,假如一个包由于某种原因在网于某种原因在网络中中丢失了(网失了(网络过载、无效地址或一方、无效地址或一方节点关点关机等),便会由机等),便会由传输层重新重新发出。此出。此时,传输层可担保将数据包可担保将数据包可靠地可靠地传至目的地。而在不可靠的至目的地。而在不可靠的连接中,接中,传输层并不并不负责数据数据的重的重发。此。此时要由具体的要由具体的应用来用来负责解决数据包由于解决数据包由于丢失而未能失而未能正常抵达目的地的情况。正常抵达目的地的情况。(3 3)数据安全。)数据安全。

7、这是由是由传输层提供的一种提供的一种较新的服新的服务。安全服。安全服务涉及数据的真涉及数据的真实性、完整性、机密性等。未来的安全服性、完整性、机密性等。未来的安全服务将与将与堆堆栈紧密地集成在一起,并会得到广泛的密地集成在一起,并会得到广泛的应用。网用。网络应用必用必须从从传输层挑挑选自己需要的服自己需要的服务。选择不同的服不同的服务既有既有优点也有缺点。点也有缺点。除此以外,能除此以外,能够选择的服的服务组合也可能存在一定的限制合也可能存在一定的限制。4.1TCP/IP基本基本知识知识3 3网网络层网网络层用于提供无用于提供无连接服接服务,它,它负责对数据包数据包进行路由行路由选择。所。所谓

8、“路由路由选择”,是指决定一个数据包的具体,是指决定一个数据包的具体传输路径,以最高路径,以最高的效率抵达目的地。用来决定怎的效率抵达目的地。用来决定怎样对包包进行路由的行路由的设备叫做叫做“路路由器由器”(RouterRouter)。)。为了了对一个包一个包进行路由行路由选择,网,网络层需要明需要明确确标识出每一个目的地(目出每一个目的地(目标主机)。主机主机)。主机应遵从定址机制,以遵从定址机制,以利用由网利用由网络层提供的服提供的服务。4 4数据数据链路路层数据数据链路路层负责在物理媒介中在物理媒介中传输数据包。数据数据包。数据传输在两个物理在两个物理性性连接在一起的接在一起的设备间进行

9、。数据行。数据链路路层的例子包括的例子包括EthernetEthernet(以太网)、(以太网)、TokenRingTokenRing(令牌(令牌环)、)、ATMATM(异步(异步传输模式)等。模式)等。4.2SSL协议协议4.2.14.2.1SSL协议概述概述1SSL协议的作用的作用SSL是提供是提供Internet上的通信上的通信隐私性的安全私性的安全协议。该协议允允许客客户机与服机与服务器之器之间进行防窃听、防消息行防窃听、防消息篡改及消息改及消息伪造的安全的造的安全的通信。通信。HTTPLDAPIMAPSecureSocketsLayerTCP/IPLayer.应用层网络通信层图4.4

10、SSL协议的位置4.2SSL协议协议4.2.24.2.2SSL协议工作原理工作原理SSL协议是由是由Netscape公司开公司开发出来的一种在出来的一种在浏览器和服器和服务器器之之间构造的安全通道中构造的安全通道中传输信息的网信息的网络协议,它运行在可靠的,它运行在可靠的传输协议和和应用用层之之间。浏览器端就是我器端就是我们所所说的客的客户端,端,SSL协议为这一端提供的一端提供的认证可以使服可以使服务器端器端获得客得客户的有关信息。支持的有关信息。支持SSL协议的服的服务器端器端软件可以用公开密件可以用公开密钥算法算法验证客客户的的证书和公开和公开ID是否合法,以是否合法,以及是否及是否拥有

11、服有服务器端信任的器端信任的CA机构所机构所发放的数字放的数字证书。服服务器端的器端的认证可以将服可以将服务器的信息器的信息传递给客客户。支持。支持SSL协议的客的客户端端软件可以用公开密件可以用公开密钥算法算法验证服服务器端的器端的证书和公开和公开ID是否合法,以及是否是否合法,以及是否拥有客有客户端信任的端信任的CA机构所机构所发放的数字放的数字证书。SSL协议提供的安全通道会将双方提供的安全通道会将双方传输的数据全部加密,的数据全部加密,这样就就保保证了数据在了数据在传输的的过程中不能被程中不能被恶意的窃取和更改。意的窃取和更改。4.2SSL协议协议4.2.34.2.3SSL握手握手协议

12、和和记录协议SSL协议主要包含握手主要包含握手协议(HandshakeProtocol)和和记录协议(RecordProtocol),记录协议确定数据安全确定数据安全传输的模式,握手的模式,握手协议用于客用于客户机和服机和服务器建立起安全器建立起安全连接之前交接之前交换一系列的安全一系列的安全信息。信息。1SSL握手握手协议SSL握手握手协议被封装在被封装在记录协议中,中,该协议允允许服服务器与客器与客户机机在在应用程序用程序传输和接收数据之前互相和接收数据之前互相认证、协商加密算法和密商加密算法和密钥。在初次建立在初次建立SSL连接接时服服务器与客器与客户机交机交换一系列消息。一系列消息。这

13、些消些消息交息交换能能够实现如下操作:如下操作:(1)客客户机机认证服服务器。器。(2)允允许客客户机与服机与服务器器选择双方都支持的密双方都支持的密码算法。算法。(3)可可选择的服的服务器器认证客客户。(4)使用公使用公钥加密技加密技术生成共享密生成共享密钥。(5)建立加密建立加密SSL连接。接。4.2SSL协议协议2SSL记录协议SSL记录协议为SSL连接提供两种服接提供两种服务:机密性和:机密性和报文完整性。文完整性。在在SSL协议中,所有的中,所有的传输数据都被封装在数据都被封装在记录中。中。记录是由是由记录头和和长度不度不为0的的记录数据数据组成的。所有的成的。所有的SSL通信都使用

14、通信都使用SSL记录层,记录协议封装上封装上层的握手的握手协议、警告、警告协议、改、改变密密码格式格式协议和和应用数据用数据协议。SSL记录协议包括了包括了记录头和和记录数据格式的数据格式的规定。定。SSL记录协议位于位于SSL协议的底的底层,用于定,用于定义传输数据的格式,数据的格式,加密解密、加密解密、压缩解解压缩、MAC计算等操作。算等操作。SSL记录协议将将高高层的的协议数据分成数据分成较小的小的单元,并元,并对它它进行行压缩、附加消息、附加消息认证码MAC、加密、附加、加密、附加SSL记录头,然后通,然后通过低低层的的传输层协议发送。接收消息的送。接收消息的过程正好与程正好与发送消息

15、的送消息的过程相反,即解密、程相反,即解密、验证、解、解压、拼装,然后送、拼装,然后送给高高层协议。4.2SSL协议协议4.2.44.2.4SSL协议安全性分析安全性分析l安全机制分析安全机制分析SSL协议可以被用来建立一个在客可以被用来建立一个在客户和服和服务器之器之间安全的安全的TCP连接。它可以接。它可以鉴别服服务器器(有有选择地地鉴别客客户)、执行密行密钥交交换、提、提供消息供消息鉴别、提供在、提供在TCP协议上的任意上的任意应用用协议数据的完整性和数据的完整性和机密性服机密性服务,其安全机制包括以下几个方面:,其安全机制包括以下几个方面:(1)鉴别机制机制。(2)加密机制)加密机制。

16、(3)完整性机制)完整性机制。(4)抗重放攻)抗重放攻击。4.2SSL协议协议2脆弱性分析脆弱性分析SSL协议是是为解决数据解决数据传输的安全的安全问题而而设计的,的,实践也践也证明了明了它它针对窃听和其他的被窃听和其他的被动攻攻击相当有效,但是由于相当有效,但是由于协议本身的一本身的一些缺陷以及在使用些缺陷以及在使用过程中的不程中的不规范行范行为,SSL协议仍然存在不可仍然存在不可忽略的安全脆弱性。忽略的安全脆弱性。(1)SSL协议自身的缺陷。自身的缺陷。客客户端假冒端假冒。SSL协议无法提供基于无法提供基于UDP应用的安全保用的安全保护。SSL协议不能不能对抗通信流量分析抗通信流量分析。可

17、能受到可能受到针对基于公基于公钥加密加密标准(准(PKCS)的)的协议的自适的自适应选择密文攻密文攻击。进程中的主密程中的主密钥泄漏泄漏。磁磁盘上的上的临时文件可能遭受攻文件可能遭受攻击。4.2SSL协议协议(2)不)不规范范应用引起的用引起的问题。对证书的攻的攻击和窃取和窃取。中中间人攻人攻击。中。中间人(人(man-inmiddle)攻)攻击是指是指A和和B通信通信的同的同时,有第三方,有第三方C处于信道的中于信道的中间,可以完全听到,可以完全听到A和和B通信的通信的消息,并可消息,并可拦截、替截、替换和添加和添加这些消息些消息。即使采用了有即使采用了有证书的密的密钥交交换算法,攻算法,攻

18、击者者还可以从与服可以从与服务器器握手握手过程中程中获得一些内容,用于得一些内容,用于伪造一个与服造一个与服务器非常相似的器非常相似的证书(如(如证书发行者的行者的OU域比真域比真证书多一个空格等),多一个空格等),这样,当,当攻攻击者以中者以中间人的形式与用人的形式与用户进行行连接接时,虽然客然客户程序能程序能够识别并提出警告,但仍然有相当多的用并提出警告,但仍然有相当多的用户被迷惑而遭到攻被迷惑而遭到攻击。只要。只要用用户有一定的警惕性,是可以避免有一定的警惕性,是可以避免这种攻种攻击的。的。安全盲点安全盲点。IE浏览器的器的SSL身份身份鉴别缺陷缺陷。由于美国密由于美国密码出口的限制,出

19、口的限制,IE、Netscape等等浏览器所支持的器所支持的加密加密强度是很弱的度是很弱的。4.3SET协议协议4.3.1SET4.3.1SET协议简介介在互在互联网上开网上开发对所有公众开放的所有公众开放的电子商子商务系系统,从技,从技术角度角度讲,关关键的技的技术问题有两个:一是信息有两个:一是信息传递的准确性;二是信息的准确性;二是信息传递的安全可靠性。前者是各种数据交的安全可靠性。前者是各种数据交换协议已已经解决了的解决了的问题,后,后者者则是目前学是目前学术界、工商界和消界、工商界和消费者最者最为关注的关注的问题。为此,西此,西方学者和企方学者和企业界在界在这方面投入了大量的人力和物

20、力。方面投入了大量的人力和物力。在在SETSET协议中主要定中主要定义了以下内容:了以下内容:加密算法的加密算法的应用。用。证书消息和消息和对象格式。象格式。购买消息和消息和对象格式。象格式。请款消息和款消息和对象格式。象格式。参与者之参与者之间的消息的消息协议。4.3SET协议协议4.3.2SET4.3.2SET协议相关技相关技术1.1.加密技加密技术目前广泛使用的加密方法不外乎分目前广泛使用的加密方法不外乎分为常常规密密码体制(体制(对称加密)称加密)和公开秘和公开秘钥体制(非体制(非对称加密体制)。称加密体制)。SETSET协议的加密的加密过程中程中这两种加密体制都用到了。两种加密体制都

21、用到了。SETSET将将对称加密体制的速度和低成本,称加密体制的速度和低成本,与非与非对称加密体制的有效性完美地称加密体制的有效性完美地结合在一起。合在一起。SETSET中所涉及的中所涉及的密密码技技术主要有如下几种。主要有如下几种。对称加密密称加密密码技技术。非非对称加密密称加密密码技技术。数字信封。数字信封。数字数字签名。名。消息摘要。消息摘要。双重数字双重数字签名。名。4.3SET协议协议(1 1)对称加密密称加密密码技技术该体制又称常体制又称常规加密体制,它使用相同的密加密体制,它使用相同的密钥进行加密和解密操行加密和解密操作。最著名的作。最著名的对称密称密码算法当属数据加密算法当属数

22、据加密标准准DESDES。4.3SET协议协议(2 2)非)非对称加密密称加密密码技技术该体制又称公开密体制又称公开密钥密密码体制,它使用一个密体制,它使用一个密钥对,一个用来加,一个用来加密,一个用来解密。每个用密,一个用来解密。每个用户都要有两个密都要有两个密钥,一个,一个对所有人公所有人公开开(公公钥),一个,一个严格保密格保密(私私钥)。由于两个密。由于两个密钥之之间存在有数学存在有数学关系,任何使用公关系,任何使用公钥加密的数据,只有用加密的数据,只有用对应的私的私钥才能解密;才能解密;反之亦然。最著名的公开密反之亦然。最著名的公开密钥算法是算法是RSARSA。考考虑到网上商店的情况

23、,到网上商店的情况,对于成千上万的消于成千上万的消费者在者在InternetInternet上交上交换信息,要信息,要对每一个消每一个消费者通者通过某种渠道某种渠道发放密放密钥,在,在现实中是中是不可取的。通常商家生成一个公共密不可取的。通常商家生成一个公共密钥对,任何一个消,任何一个消费者都可者都可以用商家公开以用商家公开发布的公开密布的公开密钥与商家与商家进行保密通信行保密通信。4.3SET协议协议(3 3)数字信封)数字信封SETSET依靠密依靠密码系系统来保来保证消息的可靠消息的可靠传输,使用随机生成的,使用随机生成的对称称密密钥来加密数据,然后将此来加密数据,然后将此对称密称密钥用接

24、收方的公用接收方的公钥加密(称加密(称为消息的消息的“数字信封数字信封”),将其和数据一起),将其和数据一起发送送给接收方。接收方接收方。接收方先用他的私先用他的私钥解开数字信封,得到解开数字信封,得到对称密称密钥,然后使用,然后使用对称密称密钥解开密文,得到数据。解开密文,得到数据。4.3SET协议协议(4 4)数字)数字签名名由于公由于公钥和私和私钥之之间存在一定的关系,使用其中一个密存在一定的关系,使用其中一个密钥加密的加密的数据只能用另一个密数据只能用另一个密钥解开。解开。发送方用自己的私送方用自己的私钥加密数据加密数据给接接收方,接收方用收方,接收方用发送者的公送者的公钥解开数据后,

25、就可以确定消息来自解开数据后,就可以确定消息来自于哪一个于哪一个发送方,送方,这就保就保证了了发送方送方对所所发送的信息不能抵送的信息不能抵赖。这样就相当于信息被就相当于信息被签名了,因此称名了,因此称为数字数字签名。名。4.3SET协议协议(5 5)消息摘要)消息摘要消息摘要(消息摘要(MessageDigestMessageDigest)是唯一)是唯一对应一个消息或文本的一个消息或文本的值,由一个由一个单向向HashHash函数函数对消息消息进行运算行运算产生。用生。用发送方的私送方的私钥加密加密摘要附在原文后面,一般称摘要附在原文后面,一般称为消息的消息的“数字数字签名名”。通。通过数字

26、数字签名,接收方可以确信消息确名,接收方可以确信消息确实来自于来自于谁。另外,如果消息在途中。另外,如果消息在途中被被篡改,改,则接收方通接收方通过将收到的消息重新将收到的消息重新进行行计算所算所产生的摘要生的摘要与原摘要就会不一致,与原摘要就会不一致,这样就可以知到消息是否被就可以知到消息是否被篡改,因此消改,因此消息摘要保息摘要保证了消息的完整性。了消息的完整性。4.3SET协议协议(6 6)双重数字)双重数字签名名双重双重签名是名是SETSET推出的数字推出的数字签名的新名的新应用,其主要目的在于用,其主要目的在于让相相关方只知道和自己相关的消息,而不能知道另外的消息。例如,关方只知道和

27、自己相关的消息,而不能知道另外的消息。例如,张三要三要买李四的一李四的一处房房产,张三三发送送给李四一个李四一个购买报价价单和他和他对银行的授行的授权书的消息,要求的消息,要求银行如果李四同意按此价格出行如果李四同意按此价格出卖,则将将钱划到李四的划到李四的账上。但是,上。但是,张三不想三不想让银行看到行看到报价,同价,同时不希望李四看到他的不希望李四看到他的账号信息;此外,号信息;此外,报价和付款是相价和付款是相连的、不的、不可分割的,可分割的,仅当李四同意他的当李四同意他的报价价时,钱才被才被转移。移。4.3SET协议协议要达到要达到这个要求,采用双重个要求,采用双重签名即可名即可实现。首

28、先生成两条消息的。首先生成两条消息的摘要,将两个摘要摘要,将两个摘要连接起来,生成一个新的摘要(成接起来,生成一个新的摘要(成为双重双重签名)名),然后用,然后用发送者的私送者的私钥加密,加密,为了了让接收者接收者验证双重双重签名,名,还必必须将另外一条消息的摘要一起将另外一条消息的摘要一起传过去。去。这样,任何一个消息的接,任何一个消息的接收者都可以通收者都可以通过以下方法以下方法验证消息的真消息的真实性,生成消息摘要,将性,生成消息摘要,将它和另外一个消息摘要它和另外一个消息摘要连接起来,生成新的摘要,如果它与解密接起来,生成新的摘要,如果它与解密后的双重后的双重签名相等,就可以确定消息是

29、真名相等,就可以确定消息是真实的。在前面的例子中,的。在前面的例子中,如果李四同意,他将如果李四同意,他将发送一个消息送一个消息给银行表示他同意,并行表示他同意,并报出出报价价单的摘要,的摘要,银行能行能验证张三授三授权的真的真实性,用性,用张三的授三的授权书生生成的摘要和李四消息中的成的摘要和李四消息中的报价价单的摘要的摘要验证双重双重签名。名。银行根据行根据双重双重签名,可以判定名,可以判定报价价单的真的真实性,但却看不到性,但却看不到报价价单的内容。的内容。4.3SET协议协议2.SET2.SET的的认证技技术网上的任意两方要完成一笔交易,首先需要知道网上的任意两方要完成一笔交易,首先需

30、要知道对方的身份是否方的身份是否可信。可信。对用用户的网的网络身份的身份的鉴别称称为认证(AuthenticationAuthentication),),主要目的在于确主要目的在于确认使用者就是其所声称的使用者就是其所声称的对象。一种确象。一种确认的的办法法是,通是,通过秘密途径收到的由秘密途径收到的由发送者送来的密送者送来的密钥,但在,但在实际应用中用中这显然是行不通的。一个可行的解决然是行不通的。一个可行的解决办法是由一个大家都信任的法是由一个大家都信任的第三方来第三方来验证所声称的所声称的对象,象,这样的第三方就是的第三方就是认证中心。中心。(1 1)证书(2 2)持卡者)持卡者证书(3

31、 3)商家)商家证书(4 4)支付网关)支付网关证书(5 5)收)收单行行证书(6 6)发卡行卡行证书4.3SET协议协议签字品牌签字ECA签字CCA签字MCA签字PCA签字持卡者签字持卡者签字持卡者签字持卡者签字持卡者签字4.3SET协议协议4.3.3SET4.3.3SET协议的交易的交易过程程SETSET协议的交易的交易对象包括消象包括消费者、网上商店、收者、网上商店、收单银行、行、电子子货币和和认证中心等。中心等。SETSET协议的系的系统组成包括成包括电子子钱包、商店服包、商店服务器、支付网关和器、支付网关和认证中心中心软件等。件等。SETSET协议是基于信用卡的是基于信用卡的电子子支

32、付支付协议,可以,可以实现消消费者、商家和者、商家和银行行间的身份的身份认证,同,同时,可以可以实现交易数据的保密性、完整性、身份可交易数据的保密性、完整性、身份可认证性以及交易的性以及交易的不可否不可否认性。性。SETSET协议的交易的交易过程主要包括持卡人注册、商家注程主要包括持卡人注册、商家注册、消册、消费者与商家交易、者与商家交易、电子支付和交易子支付和交易结算算。4.3SET协议协议(1 1)持卡人注册和申)持卡人注册和申请证书在在SET协议中,持卡人在中,持卡人在应用用SET协议进行行电子交易前需要先向子交易前需要先向CA申申请数字数字证书。通。通过Internet申申请数字数字证

33、书的步的步骤如下如下。持卡人提交注册申持卡人提交注册申请CACA响响应注册申注册申请持卡人申持卡人申请注册表注册表CACA处理注册表理注册表请求求持卡人申持卡人申请数字数字证书CACA颁发证书持卡人持卡人验证证书4.3SET协议协议持卡人计算机持卡人申请证书机CA服务器持卡人提交注册申请持卡人申请注册表持卡人申请数字证书持卡人验证证书注册申请响应注册申请注册表请求CA响应注册申请CA处理注册表请求CA颁发数字证书响应注册表请求证书申请响应证书申请图4.64.6持卡人申持卡人申请数字数字证书的基本流程的基本流程4.3SET协议协议(2 2)商)商户注册和申注册和申请证书在在SETSET协议中,商

34、家在中,商家在应用用SETSET协议进行行电子交易前需要先向子交易前需要先向CACA申申请数字数字证书。通。通过InternetInternet申申请数字数字证书的步的步骤如下。如下。商家提交注册申商家提交注册申请CACA响响应申申请商家申商家申请数字数字证书CACA颁发证书商家商家验证证书4.3SET协议协议商家计算机商家申请证书机CA服务器商家提交注册申请商家申请数字证书商家验证数字证书注册申请响应注册申请CA响应注册申请CA颁发数字证书证书申请响应证书申请图4.7商家申商家申请数字数字证书的基本流程的基本流程4.3SET协议协议(3 3)消)消费者与商家交易者与商家交易消消费者,即持卡人

35、。消者,即持卡人。消费者与商家基于者与商家基于SETSET协议进行行电子交易可子交易可以以实现交易数据的保密性、完整性、身份可交易数据的保密性、完整性、身份可认证性以及交易的不性以及交易的不可否可否认性,主要交易步性,主要交易步骤如下。如下。持卡人提交交易申持卡人提交交易申请商家商家处理交易申理交易申请持卡人提交持卡人提交订单商家商家处理理订单持卡人接收持卡人接收订单响响应4.3SET协议协议持卡人计算机交易请求商家计算机持卡人提交交易申请持卡人提交订单持卡人接收订单响应交易申请响应交易申请商家处理交易申请商家处理订单申请订单申请响应订单申请图4.8消消费者与商家者与商家进行交易的步行交易的步

36、骤4.3SET协议协议(4)电子支付授子支付授权在在SET协议中,中,电子支付授子支付授权是指商家向是指商家向银行支付网关提交行支付网关提交电子子支付支付请求,并求,并获得支付授得支付授权的的过程。程。电子支付授子支付授权的基本步的基本步骤如如下。下。商家商家请求求电子支付授子支付授权银行支付网关行支付网关处理授理授权请求求商家计算机电子支付授权支付网关商家请求支付授权商家处理支付授权响应支付授权请求响应支付授权请求支付网关处理支付授权请求图4.9商家申商家申请电子支付授子支付授权的基本流程的基本流程4.3SET协议协议(5 5)电子交易子交易结算算在在SETSET协议中,持卡人在商家的网上商

37、店中,持卡人在商家的网上商店选购商品,提交商品,提交订单,并将支付指令并将支付指令发送送给商家,商家在商家,商家在银行支付网关行支付网关获得支付授得支付授权后,后,将将电子交易的子交易的结算算请求求发送送给发卡卡银行来完成行来完成结结算的主要步算的主要步骤如下。如下。商家商家请求交易求交易结算算支付网关支付网关处理交易理交易结算算请求求商家商家处理交易理交易结算算响响应4.3SET协议协议商家计算机电子交易结算银行支付网关商家请求交易结算商家处理交易结算响应交易结算请求响应结算请求银行支付网关处理交易结算4.10电子交易结算流4.3SET协议协议4.3.4SET4.3.4SET协议的安全性分析

38、的安全性分析SETSET协议是基于信用卡的是基于信用卡的电子支付子支付协议,为电子商子商务交易提供了交易提供了一种基于一种基于InternetInternet和第三方支付机构的和第三方支付机构的电子支付方式。子支付方式。SETSET协议的参与的参与实体包括持卡人、在体包括持卡人、在线商家、支付网关,可以通商家、支付网关,可以通过认证机机构构CACA实现实体身份体身份验证,以确保,以确保电子商子商务实体身份的真体身份的真实性。所性。所以,以,SETSET协议为电子商子商务交易提供了一个安全的交易提供了一个安全的电子支付平台,子支付平台,可以保障可以保障电子商子商务交易数据的机密性、完整性、身份可

39、交易数据的机密性、完整性、身份可认证性和性和抗抵抗抵赖性。性。SETSET协议的安全性包括如下几个方面:的安全性包括如下几个方面:(1 1)信息的机密性)信息的机密性。(2 2)数据的完整性)数据的完整性。(3 3)身份的可)身份的可认证性性。(4 4)交易的抗抵)交易的抗抵赖性性。(5 5)互操作性)互操作性。4.3SET协议协议4.3.5SSL4.3.5SSL与与SETSET的比的比较1 1SSLSSL与与SETSET的特点的特点(1 1)SETSET协议具有良好的抗抵具有良好的抗抵赖性性。(2 2)SETSET协议安全性更高安全性更高。(3 3)SETSET协议更适用于信用卡更适用于信用

40、卡。(4 4)SETSET协议具有更好的互操作性具有更好的互操作性。(5 5)SETSET协议具有更高的灵活性具有更高的灵活性。4.3SET协议协议2 2SSLSSL和和SETSET性能比性能比较SSLSSL协议相相对于于SETSET协议成本低、速度快、使用成本低、速度快、使用简单,已,已经被被绝大大多数多数WebWeb浏览器和服器和服务器内置和支持。器内置和支持。SETSET协议与与SSLSSL协议相比具相比具有更高的安全性,但有更高的安全性,但SETSET协议相相对更复更复杂。SETSET协议和和SSLSSL协议对客客户端端计算机、商家的算机、商家的电子商子商务服服务器、支付网关服器、支付

41、网关服务器的影响器的影响也存在着也存在着较大的区大的区别。(1 1)对客客户端端计算机的影响算机的影响(2 2)对电子商子商务服服务器的器的影响影响4.4防火墙技术防火墙技术4.4.14.4.1什么是防火什么是防火墙防火防火墙是是设置在被保置在被保护网网络(本地网本地网络)和外界网和外界网络(主要是(主要是InternetInternet)之)之间的一道防御系的一道防御系统,以防止,以防止发生不可生不可预测的、潜在的、潜在破坏性的侵入。它可通破坏性的侵入。它可通过监测、限制、更改跨越防火、限制、更改跨越防火墙的数据流,的数据流,尽可能地尽可能地对外部屏蔽网外部屏蔽网络内部的信息、内部的信息、结

42、构和运行状构和运行状态,以此用,以此用来保来保护内部网内部网络中的信息、中的信息、资源等不受来自外部网源等不受来自外部网络中非法用中非法用户的侵犯。它控制内部网的侵犯。它控制内部网络与外部网与外部网络间的所有数据流,只的所有数据流,只让确确认为合法的数据流通合法的数据流通过,保,保证只有授只有授权的用的用户可以可以访问网网络,并且,并且保保证其中的其中的资源和有价源和有价值的数据不会流出网的数据不会流出网络。因此,防火。因此,防火墙被被放在两个网放在两个网络之之间,并具有以下特征:,并具有以下特征:(1 1)所有的从内部到外部或从外部到内部的通信都必)所有的从内部到外部或从外部到内部的通信都必

43、须经过它。它。(2 2)只有有内部)只有有内部访问策略授策略授权的通信才被允的通信才被允许通通过。(3 3)系)系统本身具有高可靠性。本身具有高可靠性。4.4防火墙技术防火墙技术根据不同的需要,防火根据不同的需要,防火墙的功能有的功能有较大的差异,但是一般都包含大的差异,但是一般都包含以下三种基本功能:以下三种基本功能:(1 1)过滤不安全的服不安全的服务和非法用和非法用户。所有。所有进出内部网出内部网络的信息的信息都必都必须通通过防火防火墙,防火,防火墙成成为一个一个检查点,禁止未授点,禁止未授权的用的用户访问受保受保护的网的网络。(2 2)控制)控制对特殊站点的特殊站点的访问。防火。防火墙

44、可以允可以允许受保受保护网网络中的中的一部分主机被外部网一部分主机被外部网访问,而另一部分,而另一部分则被保被保护起来。例如,受起来。例如,受保保护网中的网中的E-mailE-mail、FTPFTP、WWWWWW服服务器等可被外部网器等可被外部网访问,而其他,而其他访问则被禁止。被禁止。(3 3)作)作为网网络安全的集中安全的集中监视点点。通。通过以上的以上的讨论,我,我们已已经认识到在相关到在相关WebWeb站点安装防火站点安装防火墙的必要性,其可以的必要性,其可以归纳为两点:两点:1 1)通)通过防火防火墙设置的安全策略控制信息流出入,防止不可置的安全策略控制信息流出入,防止不可预料料的潜

45、在的入侵破坏;的潜在的入侵破坏;2 2)尽可能地)尽可能地对外界屏蔽和保外界屏蔽和保护网网络的信息和的信息和结构,确保可信任构,确保可信任的内部网的内部网络的安全。的安全。4.4防火墙技术防火墙技术4.4.2防火防火墙的的类型型认识了防火墙以后,可以对当前市场上的防火墙进行分类。从不同的角度有不同的分类方法。从技术方面对防火墙进行分类,一般可以分为两种基本类型:分组过滤型防火墙、应用代理型防火墙。1分组过滤型分组过滤(packet filtering)也称为包过滤型防火墙,是目前防火墙最常用的技术。分组过滤型防火墙作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标

46、志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。在这里,进行选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control table)。分组过滤防火墙通过检查数据流中每个分组的IP源地址、目的地址、所使用的端口号、协议状态等因素,或它们的组合来确定是否允许该分组通过。4.4防火墙技术防火墙技术图4.12 分组过滤防火墙的实现原理4.4防火墙技术防火墙技术2 2应用代理型用代理型应用代理型(用代理型(applicationproxyapplicationproxy)防火)防火墙指指处理代表内部客理代表内部客户的外部

47、服的外部服务器的程序,工作在器的程序,工作在应用用层,因此也称,因此也称应用型防火用型防火墙。其特点是完全其特点是完全“阻隔阻隔”了网了网络通信流,通通信流,通过对每种每种应用服用服务编制制专门的代理程序,的代理程序,实现监视和控制和控制应用用层通信流的作用。人通信流的作用。人们常常使用代理服使用代理服务器器进行信息行信息过滤,以防止网,以防止网络之之间出出现直接的直接的传输。外部网外部网络与内部网与内部网络之之间想要建立想要建立连接,首先必接,首先必须通通过代理服代理服务器的中器的中间转换,内部网,内部网络只接收代理服只接收代理服务器提出的服器提出的服务要求,拒要求,拒绝外部网外部网络的直接

48、的直接请求。求。这种种类型的防火型的防火墙优点在于可以将被保点在于可以将被保护的网的网络内部内部结构屏蔽起构屏蔽起来,增来,增强网网络的安全性;可用于的安全性;可用于实施施较强的数据流的数据流监控、控、过滤、记录和和报告等。但是,告等。但是,实现起来比起来比较困困难,对于每一种服于每一种服务协议必必须设计一个代理一个代理软件模件模块,以便,以便进行安全控制,透明性比行安全控制,透明性比较差。差。4.4防火墙技术防火墙技术4.4.3防火防火墙的的实现方式方式1 1分分组过滤防火防火墙图4.134.13分分组过滤防火防火墙4.4防火墙技术防火墙技术2 2屏蔽主机防火屏蔽主机防火墙内部网络内部网络I

49、nternet堡垒主机堡垒主机屏蔽路由器屏蔽路由器防火墙防火墙图4.144.14屏蔽主机防火屏蔽主机防火墙4.4防火墙技术防火墙技术3双宿主主机型双宿主主机型防火防火墙内部网络内部网络Internet堡垒主机堡垒主机双重宿双重宿主主机主主机防火墙防火墙图4.154.15双宿主主机防火双宿主主机防火墙4.4防火墙技术防火墙技术4 4屏蔽主机屏蔽主机防火防火墙内部网络内部网络Internet堡垒主机堡垒主机外部路由器外部路由器防火墙防火墙内部路由器内部路由器周边网周边网图4.164.16屏蔽主机防火屏蔽主机防火墙4.4防火墙技术防火墙技术4.4.4防火防火墙过滤规则案例案例案例:用案例:用WinR

50、outeWinRoute禁止禁止FTPFTP访问。假假设某公司的某公司的FTPFTP服服务器存器存储有相关的公司有相关的公司资料文件,服料文件,服务器器IPIP地址地址为“172“17218182525109”109”,现在出于保密需要,不希望在出于保密需要,不希望InternetInternet公网上其他用公网上其他用户通通过FTPFTP方式下方式下载该公司公司FTPFTP服服务器上的器上的文件信息,那么文件信息,那么应该如何如何实现呢呢?我我们知道知道FTPFTP服服务采用的采用的协议是是应用用层的的FTPFTP协议,而,而FTPFTP协议是是基于基于TCPTCP协议的,并且占用到的,并且

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 工作计划

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁