电子商务安全技术(3)课件

1、电子商务安全技术(3)1 第第2章章 电子商务安全技术电子商务安全技术 电子商务安全技术(3)2 内内容提要容提要 网络网络安全安全概概述述 信息安全信息安全概概述述 公公开开密密钥钥体系体系结构结构 网络网络安全技安全技术术 1 2 3 4 电子商务安全技术(3)3 2.12.1 网络网络安全安全概概述述 u 电子商务的安全技术，蕴含于网络安全应用的各电子商务的安全技术，蕴含于网络安全应用的各 个方面，其目的是保证整个电子商务系统安全、个方面，其目的是保证整个电子商务系统安全、 有效地运行。然而，因特网本身的开放性、跨国有效地运行。然而，因特网本身的开放性、跨国 界、无主管、不设防、无法律约

2、束等特性，在给界、无主管、不设防、无法律约束等特性，在给 人们带来巨大便利的同时，也带来了一些不容忽人们带来巨大便利的同时，也带来了一些不容忽 视的问题。视的问题。 u 由于网络安全漏洞，导致敏感信息泄漏、信息篡由于网络安全漏洞，导致敏感信息泄漏、信息篡 改、数据破坏、恶意信息发布、计算机病毒发作改、数据破坏、恶意信息发布、计算机病毒发作 等现象屡见不鲜，由此造成的经济损失和社会不等现象屡见不鲜，由此造成的经济损失和社会不 良影响难以估计。良影响难以估计。 电子商务安全技术(3)4 2.1.12.1.1 网络网络安全的含安全的含义义 u从内容看网络安全大致包括从内容看网络安全大致包括4个方面个

3、方面: n网络安全实体 n软件安全 n数据安全 n安全管理 u从特征看网络安全包括从特征看网络安全包括5个基本要素个基本要素: n机密性 n完整性 n可用性 n可控性 n可审查性 电子商务安全技术(3)5 2.1.22.1.2 影影响网络响网络安全的因素安全的因素 u网络系统自身的脆弱性网络系统自身的脆弱性 n硬件系统 n软件系统 n网络和通信协议 n缺乏用户身份鉴别机制 n缺乏路由协议鉴别认证机制 n缺乏保密性 nTCP/UDP的缺陷 nTCP/IP服务的脆弱性 电子商务安全技术(3)6 2.1.22.1.2 影影响网络响网络安全的因素安全的因素( (续续) ) u 安全威胁安全威胁 n基本

4、威胁 n信息泄露 n完整性破坏 n服务拒绝 n未授权访问 n威胁网络安全的主要方法 n假冒 n旁路控制 n破坏系统的完整性 n破坏系统的可用性 n重放 n陷门 n木马 n抵赖 n威胁和攻击的来源 n内部操作不当 n内部管理漏洞 n来自外部的威胁和犯罪 电子商务安全技术(3)7 2.1.32.1.3 网络网络安全模型安全模型 网络安全的基本模型 电子商务安全技术(3)8 2.1.32.1.3 网络网络安全模型安全模型( (续续) ) 网络安全访问模型 电子商务安全技术(3)9 u保密性保密性 n物理保密 n防窃听 n防辐射 n信息加密 u身份验证身份验证 u完整性完整性 n良好的协议 n密码校验

5、和 n数字签名 n公证 u不可抵赖性不可抵赖性 u访问控制访问控制 u可用性可用性 n身份的识别与确认 n访问控制 n业务流控制 n路由选择控制 n审计跟踪 2.1.42.1.4 网络安全服务网络安全服务 电子商务安全技术(3)10 2.1.52.1.5 基本安全技基本安全技术术 u防火墙防火墙(Firewall) u加密加密(Encryption) u身份认证身份认证(Authentication) u数字签名数字签名(Digital Signature) u内容检查内容检查(Content Inspection) 电子商务安全技术(3)11 2.2 2.2 信息安全技信息安全技术术 u 2

6、.2.12.2.1 密密码码技技术术 u加密是一种通过使信息变得混乱的方式，从而使未经授 权的人无法访问，而被授权的人却可以访问的信息安全 技术。 u通过使用加密，我们可以提供六种安全服务中的三种服 务： 保密性加密可以用于对未经授权的人隐藏传输中的 信息和存储的信息 完整性加密可以用于识别对信息做出的更改，无论 是传输中的信息还是存储的信息 不可抵赖性加密用于认证信息的来源验证并用于防 止原始信息的来源被篡改 电子商务安全技术(3)12 对称对称密密码码技技术术 对称密码系统模型 u分组密码技术分组密码技术 n数据加密标准DES n三重DES u流密码技术流密码技术 nA5 nRC-4 nP

7、KZIP 电子商务安全技术(3)13 公公钥钥密密码码技技术术 u Diffie-HellmanDiffie-Hellman密钥交换密钥交换 u RSARSA算法算法 u 椭圆曲线密码算法椭圆曲线密码算法 电子商务安全技术(3)14 2.2.22.2.2 报报文文鉴别鉴别技技术术 u 报文加密报文加密: : 以整个消息的密文作为它的鉴别码以整个消息的密文作为它的鉴别码 u 报文鉴别码报文鉴别码(MAC): (MAC): 以一个报文的公共函数和一以一个报文的公共函数和一 个密钥作用于报文，产生一个数据分组，即报文个密钥作用于报文，产生一个数据分组，即报文 鉴别码，并将其附加在报文中鉴别码，并将其

8、附加在报文中 u 散列函数散列函数: : 一个将任意长度的报文映射为定长的一个将任意长度的报文映射为定长的 散列值的公共函数，以散列值作为验证码散列值的公共函数，以散列值作为验证码 电子商务安全技术(3)15 2.2.3 2.2.3 数数字字签签名名 u 数字签名具有以下性质数字签名具有以下性质: : 必须能够证实是作者本人的签名以及签名的日期和时 间 在签名时必须能对内容进行鉴别 签名必须能被第三方证实以便解决争端 电子商务安全技术(3)16 数数字字签签名分名分类类 u RSARSA签名体制签名体制 u 数字签名标准数字签名标准 u 不可否认签名不可否认签名 u 防失败签名防失败签名 u

9、盲签名盲签名 u 群签名群签名 电子商务安全技术(3)17 2.32.3 公公开开密密钥钥体系体系结构结构(Public(Public KeyKey Infrastructure,Infrastructure, PKI)PKI) uPKI包含包含: n安全策略，以规定加密系统在何种规则下运行 n产生、存储、管理密钥的产品 n怎样产生、分发、使用密钥和证书的一套过程 uPKI为电子商务提供了为电子商务提供了4个主要的安全功能个主要的安全功能: n保密性保证信息的私有性 n完整性保证信息没有被篡改 n真实性证明一个人或一个应用的身份 n不可否认性保证信息不能被否认 电子商务安全技术(3)18 2.

10、3.12.3.1 PIKPIK的定的定义义 uPKI是一种遵循标准的利用公钥理论和技术建立是一种遵循标准的利用公钥理论和技术建立 的提供安全服务的基础设施。公钥基础设施希望的提供安全服务的基础设施。公钥基础设施希望 从技术上解决网上身份证、电子信息的完整性和从技术上解决网上身份证、电子信息的完整性和 不可抵赖性等安全问题，为网络应用（如浏览器不可抵赖性等安全问题，为网络应用（如浏览器 、电子邮件、电子交易）提供可靠的安全服务。、电子邮件、电子交易）提供可靠的安全服务。 PKI是遵循标准的密钥管理平台，所以它能为所是遵循标准的密钥管理平台，所以它能为所 有网络应用透明地提供采用加密和数字签名等密

11、有网络应用透明地提供采用加密和数字签名等密 码服务所需要的密钥和证书管理。码服务所需要的密钥和证书管理。 电子商务安全技术(3)19 2.3.22.3.2 PKIPKI的的内内容容 u 认证中心认证中心CACA u 注册中心注册中心RARA u 证书发布库证书发布库 u 密钥备份及恢复密钥备份及恢复 u 证书撤销证书撤销 u PKIPKI应用接口应用接口 电子商务安全技术(3)20 2.3.32.3.3 PKIPKI服服务务 u 认证认证 u 完整性完整性 u 保密性保密性 u 不可否认性不可否认性 u 安全时间戳安全时间戳 u 安全公证安全公证 电子商务安全技术(3)21 2.4 2.4 网

12、络网络安全技安全技术术 u 2.4.12.4.1 防火防火墙墙技技术术 u网络防火墙技术是一种用来加强网络之间访问控制，防 止外部网络用户以非法手段通过外部网络进入内部网络， 访问内部网络资源，保护内部网络操作环境的特殊网络 互联设备，它对两个或多个网络之间传输的数据包如链 接方式按照一定的安全策略来实施检查，以决定网络之 间的通信是否被允许，并监视网络运行状态。 电子商务安全技术(3)22 防火防火墙概墙概述述 防火墙的一般模型 电子商务安全技术(3)23 分分组过滤组过滤 u分组过滤(Packet Filtering)作用于网络层和传 输层，它根据分组包头源地址，目的地址和端口 号、协议类

13、型等标志确定是否允许数据包通过。 只有满足过滤逻辑的数据包才被转发到相应的目 的地出口端，其余数据包则从数据流中被丢弃。 电子商务安全技术(3)24 分分组过滤组过滤( (续续) ) u优点优点 n透明的防火墙系统 n高速的网络性能 n易于配置 n支持网络内部隐藏 u缺点缺点 n易于IP地址假冒 n记录日志信息不充分 n源路易受攻击 n设计和配置一个真正 安全的分组过滤规则 比较困难 n分组过滤防火墙并不 能过滤所有的协议 n无法阻止数据驱动式 攻击 电子商务安全技术(3)25 应应用代理用代理 u应用代理(Application Proxy)也叫应用网关 (Application Gatew

14、ay)，它作用于应用层，其 特点是完全“阻隔”了网络通信流，通过对每种 应用服务编制专门的代理程序，实现监视和控制 应用层通信流。实际中的应用网关通常由专用工 作站实现。 电子商务安全技术(3)26 应用代理应用代理( (续续) ) u优点优点 n在网络连接建立之前 可以对用户身份进行 认证 n所有通过防火墙的信 息流可以被记录下来 n易于配置 n支持内部网络的信息 隐藏 n与分组过滤规则相比 较为简单 n易于控制和管理 u缺点缺点 n对每种类型的服务都 需要一个代理 n网络性能不高 n源路易受攻击 n防火墙对用户不透明 n客户应用可能需要修 改 n需要多个防火墙主机 电子商务安全技术(3)2

15、7 电电路中路中继继 u电路中继(Circuit Relay)也叫电路网关(Circuit Gateway)或TCP代理(TCP Proxy)，其工作原 理与应用代理类似，不同之处是该代理程序是专 门为传输层的TCP协议编制的。 u电路中继工作在OSI（开发系统互联）参考模型 的会话层或TCP/IP协议模型的传输层。 u电路中继服务器常常提供网络地址翻译，将通过 一台网络主机将内部网络主机的包进行修改，这 样，修改后的包就能够通过Internet发出去了。 电子商务安全技术(3)28 包包过滤过滤路由器路由器 包过滤流程图 电子商务安全技术(3)29 防火防火墙墙系系统统模型模型 u 筛选路由

16、器模型筛选路由器模型 u 单宿主堡垒主机模型单宿主堡垒主机模型 u 双宿主堡垒主机模型双宿主堡垒主机模型 u 屏蔽子网模型屏蔽子网模型 电子商务安全技术(3)30 防火防火墙墙的局限性的局限性 u 防火墙不能防范网络内部的攻击防火墙不能防范网络内部的攻击 u 防火墙也不能防范没有防范心理的管理员授予其防火墙也不能防范没有防范心理的管理员授予其 些入侵者临时的网络访问权限些入侵者临时的网络访问权限 u 防火墙不能防止传送已感染病毒的软件或文件，防火墙不能防止传送已感染病毒的软件或文件， 不能期望防火墙去对每一个文件进行扫描，查出不能期望防火墙去对每一个文件进行扫描，查出 潜在的病毒潜在的病毒 电

17、子商务安全技术(3)31 防火防火墙应墙应用的用的发发展展趋势趋势 u 防火墙将从目前对子网或内部网管理方式向远程网上集防火墙将从目前对子网或内部网管理方式向远程网上集 中管理方式转变中管理方式转变 u 过滤深度不断加强，从目前的地址、服务过滤，发展到过滤深度不断加强，从目前的地址、服务过滤，发展到 URLURL过滤，关键字过滤和对过滤，关键字过滤和对Active XActive X、Java AppletJava Applet等服等服 务的过滤，并逐渐具有病毒扫除功能务的过滤，并逐渐具有病毒扫除功能 u 利用防火墙建立专用网利用防火墙建立专用网 u 单向防火墙将作为一种产品门类而出现单向防火

18、墙将作为一种产品门类而出现 u 对网络攻击的检测和示警将成为防火墙的重要功能对网络攻击的检测和示警将成为防火墙的重要功能 u 安全管理工具不断完善，特别是可疑活动的日志分析工安全管理工具不断完善，特别是可疑活动的日志分析工 具将成为防火墙产品中的一个重要组成部分具将成为防火墙产品中的一个重要组成部分 电子商务安全技术(3)32 2.4.22.4.2 VPNVPN技技术术 u 随着全球化步伐的加快，移动办公人员越来越多，随着全球化步伐的加快，移动办公人员越来越多， 公司客户关系越来越庞大，这样的方案必然导致公司客户关系越来越庞大，这样的方案必然导致 高昂的长途线路租用费及长途电话费。于是，虚高昂

19、的长途线路租用费及长途电话费。于是，虚 拟专用网拟专用网VPN(Virtual Private Network)VPN(Virtual Private Network)的概念的概念 与市场随之出现。与市场随之出现。 电子商务安全技术(3)33 VPNVPN概概述述 u VPNVPN被定义为通过一个公用网络（通常是因特网）被定义为通过一个公用网络（通常是因特网） 建立一个临时的、安全的连接，是一条穿过混乱建立一个临时的、安全的连接，是一条穿过混乱 的公用网络的安全、稳定的隧道。的公用网络的安全、稳定的隧道。 u VPNVPN作为一种组网技术的概念，有作为一种组网技术的概念，有3 3种应用方式：种

20、应用方式： 远程访问虚拟专用网远程访问虚拟专用网(Access VPN)(Access VPN)、企业内部虚、企业内部虚 拟专用网拟专用网(Intranet VPN)(Intranet VPN)、扩展的企业内部虚拟、扩展的企业内部虚拟 专用网专用网(Extranet VPN)(Extranet VPN)。 u 目前，目前，VPNVPN主要采用四种技术来保证安全。这四主要采用四种技术来保证安全。这四 种技术分别是隧道技术、加解密技术、密钥管理种技术分别是隧道技术、加解密技术、密钥管理 技术、使用者与设备身份认证技术。其中，隧道技术、使用者与设备身份认证技术。其中，隧道 技术是技术是VPNVPN的

21、基本技术。的基本技术。 电子商务安全技术(3)34 VPNVPN的解的解决决方案方案 u 隧道技术隧道技术 u 虚拟电路虚拟电路 u SOCKSSOCKS v5v5 u IPSecIPSec 电子商务安全技术(3)35 2.4.32.4.3 计计算机病毒算机病毒 u 美国计算机研究专家美国计算机研究专家F.CohenF.Cohen博士最早提出了博士最早提出了“计算机病计算机病 毒毒”的概念。计算机病毒是一段人为编制的计算机程序的概念。计算机病毒是一段人为编制的计算机程序 代码。这段代码一旦进入计算机并得以执行，它就会搜代码。这段代码一旦进入计算机并得以执行，它就会搜 寻其他符合其传染条件的程序

22、或存储介质，确定目标后寻其他符合其传染条件的程序或存储介质，确定目标后 再将自身代码插入其中，达到自我繁殖的目的。再将自身代码插入其中，达到自我繁殖的目的。 u 19941994年年2 2月月1818日日中华人民共和国计算机信息系统安全保中华人民共和国计算机信息系统安全保 护条例护条例第二十八条规定：计算机病毒，是指编制或者第二十八条规定：计算机病毒，是指编制或者 在计算机程序中插入的破坏计算机功能或者毁坏数据，在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用，并能自我复制的一组计算机指令或者影响计算机使用，并能自我复制的一组计算机指令或者 程序代码。以上是我国司法部门对电脑病

23、毒的法律解释程序代码。以上是我国司法部门对电脑病毒的法律解释 ，司法部门凭该解释所赋予的法律要件，就可以逮捕病，司法部门凭该解释所赋予的法律要件，就可以逮捕病 毒制作和散播者。目前，我国仍然沿用此条例，没有新毒制作和散播者。目前，我国仍然沿用此条例，没有新 的修订。的修订。 电子商务安全技术(3)36 病毒的病毒的发发展展阶阶段段 u 原始病毒阶段原始病毒阶段 u 混合型病毒阶段混合型病毒阶段 u 多态性病毒阶段多态性病毒阶段 u 网络病毒阶段网络病毒阶段 u 主动攻击阶段主动攻击阶段 u 手机病毒阶段手机病毒阶段 电子商务安全技术(3)37 病毒的特征病毒的特征 u 非授权可执行性非授权可执

24、行性 u 隐蔽性隐蔽性 u 传染性传染性 u 潜伏性潜伏性 u 表现性表现性( (破坏性破坏性) ) u 可触发性可触发性 电子商务安全技术(3)38 病毒的分病毒的分类类 u 宏病毒宏病毒(Macro(Macro Virus)Virus) u 引导型病毒引导型病毒(Boot(Boot StrapStrap SectorSector Virus)Virus) n传统引导型病毒 n隐型引导型病毒 n目录型引导病毒 u 文件型病毒文件型病毒(File(File InfectorInfector Virus)Virus) n非常驻型病毒 n常驻型病毒 n隐型文件型病毒 u 复合型病毒复合型病毒(Mu

25、lti-Partite(Multi-Partite Virus)Virus) 电子商务安全技术(3)39 病毒的病毒的结构结构 病毒的一般结构 电子商务安全技术(3)40 病毒的工作机理病毒的工作机理 u 病毒的引导机理病毒的引导机理 u 病毒的传播机理病毒的传播机理 u 病毒的破坏表现机理病毒的破坏表现机理 电子商务安全技术(3)41 病毒病毒产产生的原因生的原因 u 一些计算机爱好者出于好奇或兴趣，也有的是为一些计算机爱好者出于好奇或兴趣，也有的是为 了满足自己的表现欲了满足自己的表现欲 u 来源于软件加密来源于软件加密 u 产生于游戏产生于游戏 u 用于研究或实验而设计的用于研究或实验而设计的“有用有用”程序，由于某程序，由于某 种原因失去控制而扩散出来种原因失去控制而扩散出来 u 由于政治、经济和军事等特殊目的由于政治、经济和军事等特殊目的 电子商务安全技术(3)42 病毒的病毒的传传播途播途径径 u 通过软盘、通过软盘、U U盘、光