2章电子商务安全技术管理

2电子商务安全的技术保障2008-6学习目标标◆了解电子子商务安安全技术术保障的的主要手手段◆掌握常常用的防防病毒技技术及其其工作原原理◆了解主主要的加加密体系系，掌握握对称密密码和公公钥密码码的加密密原理◆了解主主要的认认证技术术，掌握握数字证证书的类类型和工工作原理理◆了解如如何建立立安全的的电子商商务交易易系统2沈阳理工工大学本章内容容从技术角角度讲，，电子商商务交易易安全的的需求突突出表现现为网络络系统的的硬件、、软件及及其系统统中的数数据受到到保护，，不受偶偶然的或或者恶意意的原因因而遭到到破坏，，系统连连续可靠靠地运行行，网络络上的信信息都是是安全的的。为了保证证上述各各个方面面的安全全，电子子商务网网站或从从事电子子商务的的企业通通常会采采用一些些网络安安全技术术措施。。本章重点点介绍了了防火墙墙技术、、加密技技术、认认证技术术等，这这些安全全技术的的使用可可以从一一定程度度上满足足网络安安全需求求，但不不能满足足整体的的安全需需求，因因为它们们只能保保护特定定的某一一方面。。如防火火墙最主主要的功功能是访访问控制制，加密密技术可可以保证证信息传传输的安安全性。。对于电子子商务系系统还需需要一种种整体的的安全策策略，这这种安全全策略不不仅包括括安全技技术，还还包括安安全管理理、实时时监控、、响应和和恢复等等措施。。3沈阳理工工大学内容概要要防火墙技术1加密技术2认证技术3系统安全全模型及及具体实实现44沈阳理工工大学2.1防防火火墙技术术1.防火墙技技术及其其访问控控制技术术2.入侵检测测技术3.安全扫描描技术5沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术1.防火墙技技术2.物理隔离离技术6沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术1.防火墙技技术防火墙是是由软件件系统和和硬件系系统组成成的，在在内部网网与外部部网之间间构造保保护屏障障。所有有内外部部网之间间的连接接都必须须经过保保护屏障障，并在在此进行行检查和和连接，，只有被被授权的的信息才才能通过过此保护护屏障，，从而使使内部网网与外部部网形成成一定的的隔离，防止非非法入侵侵、非法法盗用系系统资源源，执行行安全管管制机制制，记录录可疑事事件等。。防火墙用用来在两两个或多多个网络络间加强强访问控制制、实施相相应的访访问控制制策略，，力求把把那些非非法用户户隔离在在特定的的网络之之外，从从而保护护某个特特定的网网络不受受其他网网络的攻攻击，但但又不影影响该特特定网络络正常的的工作。。7沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术1.防火墙技技术防火墙技术的基本思想想：并不是是要对每每台主机机系统进进行保护护，而是是让所有有对系统统的访问问都通过过上述所所设的保保护层，，并且对对这一保保护层加加以保护护，尽可可能地对对外界屏屏蔽所保保护网络络的信息息和结构构。它是设置置在可信信任的内内部网络络和不可可信任的的外部网网络之间间的一道道中间屏屏障，可可以实施施较为广广泛的安安全策略略来控制制信息流流，防止止各种潜潜在的、、不可预预料的入入侵破坏坏。8沈阳理工工大学2.1防防火火墙技术术9沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术1.防火墙技技术防火墙是是网络安安全策略略的有机机组成部部分，它它通过控控制和监监测网络络之间的的信息交交换和访访问行为为来实现现对网络络安全的的有效管管理。从从主体上上看，防防火墙具具有的五五大基本本功能：：（1）过过滤进、、出网络络的数据据（2）管管理进、、出网络络的访问问行为（3）封封堵某些些禁止的的业务（4）记记录通过过防火墙墙的信息息内容和和活动（5）对对网络络攻击检检测和报报警10沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术1.防火墙技技术防火墙的的类型：：（1）包包过滤防防火墙（2）代代理服务务器型防防火墙（3）复复合型防防火墙11沈阳理工工大学包过滤防防火墙基本思想想简单对于每个个进来的的包，适适用一组组规则，，然后决决定转发发或者丢丢弃该包包往往配置置成双向向的如何过滤滤过滤的规规则以IP和传输层层的头中中的域((字段))为基础础，包括括源和目目标IP地址、IP协议域、、源和目目标端口口号过滤器往往往建立立一组规规则，根根据IP包是否匹匹配规则则中指定定的条件件来作出出决定。。如果匹配配到一条条规则，，则根据据此规则则决定转转发或者者丢弃如果所有有规则都都不匹配配，则根根据缺省省策略12沈阳理工工大学安全缺省省策略两种基本本策略，，或缺省省策略没有被拒拒绝的流流量都可可以通过过(默认认转发))管理员必必须针对对每一种种新出现现的攻击击，制定定新的规规则没有被允允许的流流量都要要拒绝（（默认丢丢弃）比较保守守根据需要要，逐渐渐开放13沈阳理工工大学包过滤防防火墙数据包过过滤可以以在网络络层截获获数据。。使用一一些规则则来确定定是否转转发或丢丢弃所各各个数据据包。通常情况况下，如如果规则则中没有有明确允允许指定定数据包包的出入入，那么么数据包包将被丢丢弃14沈阳理工工大学包过滤路路由器示示意图网络层链路层物理层外部网络内部网络15沈阳理工工大学包过滤防防火墙((小结))在网络层层上进行行监测并没有考考虑连接接状态信信息通常在路路由器上上实现实际上是是一种网网络的访访问控制制机制优点实现简单单对用户透透明效率高缺点正确制定定规则并并不容易易不可能引引入认证证机制16沈阳理工工大学代理服务务器也称为应用层网网关特点所有的连连接都通通过防火火墙，防防火墙作作为网关关在应用层层上实现现可以监视视包的内内容可以实现现基于用用户的认认证所有的应应用需要要单独实实现可以提供供理想的的日志功功能非常安全全，但是是开销比比较大17沈阳理工工大学代理服务务器应用代理理（ApplicationProxy））是运行在在防火墙墙上的一一种服务务器程序序，防火火墙主机机可以是是一个具具有两个个网络接接口的双双重宿主主主机，，也可以以是一个个堡垒主主机。代代理服务务器被放放置在内内部服务务器和外外部服务务器之间间，用于于转接内内外主机机之间的的通信，，它可以以根据安安全策略略来决定定是否为为用户进进行代理理服务。。18沈阳理工工大学19沈阳理工工大学应用层网网关的结结构和协议栈示意图HTTPFTPTelnetSmtp传输层网络层链路层20沈阳理工工大学代理服务务器的优缺点点优点允许用户户“直接接”访问问Internet易于记录录日志缺点新的服务务不能及及时地被被代理每个被代代理的服服务都要要求专门门的代理理软件客户软件件需要修修改，重重新编译译或者配配置有些服务务要求建建立直接接连接，，无法使使用代理理比如聊天天服务、、或者即即时消息息服务代理服务务不能避避免协议议本身的的缺陷或或者限制制21沈阳理工工大学常见防火火墙系统统模型常见防火火墙系统统一般按按照四种种模型构构建筛选路由由器模型型单宿主堡堡垒主机机（屏蔽蔽主机防防火墙））模型双宿主堡堡垒主机机模型（（屏蔽防防火墙系系统模型型）屏蔽子网网模型。。几个概念念堡垒主机机(BastionHost)：：对外部部网络暴暴露，同同时也是是内部网网络用户户的主要要连接点点单宿主主主机(single--homedhost)：：只有一一个网络络接口的的通用计计算机系系统双宿主主主机(dual-homedhost))：至少少有两个个网络接接口的通通用计算算机系统统DMZ((DemilitarizedZone，非军军事区或或者停火火区)：：在内部部网络和和外部网网络之间间增加的的一个子子网22沈阳理工工大学筛选路由由器模型型筛选路由由器模型型是网络络的第一一道防线线，功能能是实施施包过滤滤。创建建相应的的过滤策策略时对对工作人人员的TCP//IP的知识有有相当的的要求，，如果筛筛选路由由器被黑黑客攻破破那么内内部网络络将变得得十分的的危险。。该防火火墙不能能够隐藏藏内部网网络的信信息，不不具备监监视和日日志记录录功能。。23沈阳理工工大学单宿主堡堡垒主机机模型单宿主堡堡垒主机机（屏蔽蔽主机防防火墙））模型由由包过滤滤路由器器和堡垒垒主机组组成。该该防火墙墙系统提提供的安安全等级级比包过过滤防火火墙系统统要高，，因为它它实现了了网络层层安全（（包过滤滤）和应应用层安安全（代代理服务务）。所所以入侵侵者在破破坏内部部网络的的安全性性之前，，必须首首先渗透透两种不不同的安安全系统统。24沈阳理工工大学配置方案案一屏蔽主机机方案：：单宿主主堡垒主主机只允许堡堡垒主机机可以与与外界直直接通讯讯优点：两两层保护护：包过过滤+应应用层网网关；灵灵活配置置缺点：一一旦包过过滤路由由器被攻攻破，则则内部网网络被暴暴露25沈阳理工工大学双宿主堡堡垒主机机模型双宿主堡堡垒主机机模型（（屏蔽防防火墙系系统）可可以构造造更加安安全的防防火墙系系统。双双宿主堡堡垒主机机有两种种网络接接口但是是主机在在两个端端口之间间直接转转发信息息的功能能被关掉掉了。在在物理结结构上强强行将所所有去往往内部网网络的信信息经过过堡垒主主机。26沈阳理工工大学配置方案案二屏蔽主机机方案：：双宿主主堡垒主主机从物理上上把内部部网络和和Internet隔隔开，必必须通过过两层屏屏障优点：两两层保护护：包过过滤+应应用层网网关；配配置灵活活27沈阳理工工大学屏蔽子网网模型屏蔽子网网模型用用了两个个包过滤滤路由器器和一个个堡垒主主机。它它是最安安全的防防火墙系系统之一一，因为为在定义义了“中中立区””(DMZ，DemilitarizedZone))网络后后，它支支持网络络层和应应用层安安全功能能。网络络管理员员将堡垒垒主机、、信息服服务器、、Modem组组，以及及其它公公用服务务器放在在DMZ网络中中。如果果黑客想想突破该该防火墙墙那么必必须攻破破以上三三个单独独的设备备。28沈阳理工工大学配置方案案三屏蔽子网网防火墙墙优点三层防护护，用来来阻止入入侵者外面的router只向Internet暴露屏蔽蔽子网中中的主机机内部的router只向内部部私有网网暴露屏屏蔽子网网中的主主机29沈阳理工工大学防火墙的的局限性性防火墙不不能防范范网络内内部的攻攻击。比比如：防防火墙无无法禁止止变节者者或内部部间谍将将敏感数数据拷贝贝到软盘盘上。防火墙也也不能防防范那些些伪装成成超级用用户或诈诈称新雇雇员的黑黑客们劝劝说没有有防范心心理的用用户公开开其口令令，并授授予其临临时的网网络访问问权限。。防火墙不不能防止止传送己己感染病病毒的软软件或文文件，不不能期望望防火墙墙去对每每一个文文件进行行扫描，，查出潜潜在的病病毒。对于绕过过防火墙墙的攻击击，它无无能为力力，例如如，在防防火墙内内部通过过拨号出出去30沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术2.物理隔离离技术物理隔离离技术是是近年来来发展起起来的防防止外部部黑客攻攻击的有有效手段段。物理理隔离产产品主要要有：——物理理隔离卡卡1）单硬硬盘物理理隔离卡卡2）双硬硬盘物理理隔离卡卡——隔离离网闸31沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术2.物理隔离离技术——物理隔离离卡1）单硬硬盘物理理隔离卡卡主要工作作原理：：将用户的的一个硬硬盘分成成两个区区：①公共硬硬盘区（（外网））②安全硬硬盘区（（内网））将一个普普通计算算机变成成两台虚拟计算机；；每次启启动进入入其中的的一个硬硬盘/区区。它们拥有有独立的的操作系系统，并并能通过过各自的的专用接接口与网网络连接接。32沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术2.物理隔离离技术——物理隔离离卡1）单硬硬盘物理理隔离卡卡主要工作作原理：：在外网时时：操作作系统对对于数据交换换区可以任意读写写，可以把外外网的数数据（如从互互联网上上下载的的有用资资料或应应用程序序）复制到数数据交换换区中。。当切换到到内网时时：操作作系统对对数据交换换区是只读的，无法法写入任任何数据据，但这这时我们们可以把把从外网网复制到到数据交交换区中中的数据据复制到到内网中中使用。。由于在在内网中中数据交交换区是是只读的的，因此此数据只只能从外外网导入入到内网网中，而而内网的的保密数数据绝对对不可能能通过这这个通道道传到外外网中。。即使黑黑客的程程序进去去内网，，也无法法窃取保保密数据据。33沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术2.物理隔离离技术——物理隔离离卡2）双硬盘盘物理隔隔离卡相对于高高端的单单硬盘物物理隔离离卡，双硬盘物物理隔离离卡是一一种功能能相对简简单但较较为经济济的物理理隔离产产品。基本原理理：在连接到到内部网网络时，，启动内内网硬盘盘及操作作系统，，同时关关闭外网网硬盘；；在连接到到外部网网络时，，启动外外部硬盘盘及其操操作系统统，同时时关闭内内网硬盘盘。双网主要要适用于于政府、、军队、、企业等等已拥有有内外网网两套环环境和设设备的用用户。34沈阳理工工大学2.1防防火火墙技术术2.1..1防火墙技技术及其其访问控控制技术术2.物理隔离离技术——隔离网闸闸组成：物理隔隔离网络络电脑++物理隔隔离系统统交换机机1）物理理隔离网网络电脑脑：物理隔离离网络电电脑负责责与物理理隔离交交换机通通信，并并承担选选择内网网服务器器和外网网服务器器的功能能。2）物理理隔离交交换机：：物理隔离离交换机机是一个个加载了了智能功功能的电子选择择开关；具有选选择网络络的能力力。35沈阳理工工大学36沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术1.入侵基础础知识介介绍2.入侵检测测系统3.入侵检测测系统的的任务4.入侵检测测系统的的分类5.入侵检测测系统的的构成37沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术1.入侵基础础知识介介绍入侵者——伪装者：：未被授授权的使使用计算算机的人人（Outside）——违法者：：访问没没有经过过授权的的数据、、程序和和资源的的合法用用户（Inside）——秘密用户户：夺取取系统超超级控制制并使用用这种控控制权逃逃避审计计和访问问控制，，或者抑抑制审计计记录的的人（Outside&Inside）防止入侵侵的手段段——身份认证证——安全访问问控制——入侵检测测系统38沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术1.入侵基础础知识介介绍入侵检测测技术——入侵检测测（IntrusionDetection）：对系系统的运运行状态态进行监监视，发发现各种种攻击企企图、攻攻击行为为或者攻攻击结果果，以保保证系统统资源的的机密性性、完整整性和可可用性——入侵行为为能够被被迅速检检测出来来并驱逐逐出去——进行入侵侵检测的的软件与与硬件的的组合便便是入侵侵检测系系统（IDS，IntrusionDetectionSystem）——入侵检测测可以搜搜集有关关入侵技技术的信信息，自自动升级级和加强强入侵防防止机制制39沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术2.入侵基础础系统入侵检测测系统——入侵检测测系统从从计算机机网络系系统中的的若干关关键点收收集信息息，并分分析这些些信息，，看看网网络中是是否有违违反安全全策略的的行为和和遇到袭袭击的迹迹象。——入侵检测测系统是是处于防防火墙之之后对网网络活动动的实时时监控；；入侵检检测系统统是不仅仅能检测测来自外外部的入入侵行为为，同时时也监督督内部用用户的未未授权活活动。——入侵检测测系统被被认为是是防火墙墙之后的的第二道道安全闸闸门，在在不影响响网络性性能的情情况下能能对网络络进行检检测，从从而提供供对内部部攻击、、外部攻攻击和误误操作的的实时保保护。40沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术3.入侵基础础系统的的任务入侵检测测系统的的任务：：（1）监视、、分析用用户及系系统活动动（2）对系统统构造和和弱点的的审计（3）识别、、反映已已知攻击击的活动动模式并并向相关关人士报报警（4）异常行行为模式式的统计计分析（5）评估重重要系统统和数据据文件的的完整性性（6）操作系系统的审审计跟踪踪管理，，并识别别用户违违反安全全策略的的行为。。41沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术4.入侵基础础系统的的分类入侵检测测系统根根据其检测数据据来源分为：（1）基于主主机的入入侵检测测系统从单个主主机上提提取数据据（如审审计记录录）作为为入侵分分析的数数据源。。（2）基于网网络的入入侵检测测系统从网络上上提取数数据（如如网络链链路层的的数据帧帧）作为为入侵分分析的数数据源。。42沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术4.入侵基础础系统的的分类（1）基于主主机的入入侵检测测系统（（HIDS）从单个主主机上提提取数据据（如审审计记录录）作为为入侵分分析的数数据源。。主机入侵侵检测系系统分析析对象为为主机审审计日志志，所以以需要在在主机上上安装软软件，针针对不同同的系统统、不同同的版本本需安装装不同的的主机引引擎，安安装配置置较为复复杂，同同时对系系统的运运行和稳稳定性造造成影响响，目前前在国内内应用较较少。43沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术4.入侵基础础系统的的分类（2）基于网网络的入入侵检测测系统从网络上上提取数数据（如如网络链链路层的的数据帧帧）作为为入侵分分析的数数据源。。网络入侵侵检测系系统分析析对象为为网络数数据流，，只需安安装在网网络的监监听端口口上，对对网络的的运行无无任何影影响，目目前国内内使用较较为广泛泛。44沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术5.入侵基础础系统的的构成入侵检测测系统包包括三个个功能部部件（1）信息收收集（2）信息分分析（3）结果处处理45沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术5.入侵基础础系统的的构成——信息收集集入侵检测测的第一一步是信信息收集集，收集集内容包包括系统统、网络络、数据据及用户户活动的的状态和和行为需要在计计算机网网络系统统中的若若干不同同关键点点（不同同网段和和不同主主机）收收集信息息尽可能扩扩大检测测范围从一个源源来的信信息有可可能看不不出疑点点46沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术5.入侵基础础系统的的构成——信息分析析模式匹配配统计分析析完整性分分析，往往往用于于事后分分析47沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术5.入侵基础础系统的的分类——信息分析析模式匹配配模式匹配配就是将将收集到到的信息息与已知知的网络络入侵和和系统误误用模式式数据库库进行比较，从而发现现违背安安全策略略的行为为。48沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术5.入侵基础础系统的的分类——信息分析析统计分析析统计分析析方法首首先给系系统对象象（如用用户、文文件、目目录和设设备等））创建一一个统计描述述，统计正常使用用时的一些些测量属属性（如如访问次次数、操操作失败败次数和和延时等等）测量属性性的平均均值和偏偏差将被被用来与与网络、、系统的的行为进进行比较较，任何何观察值值在正常常值范围围之外时时，就认认为有入入侵发生生。49沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术5.入侵基础础系统的的分类——信息分析析完整性分分析，往往往用于于事后分分析完整性分分析主要要关注某某个文件件或对象象是否被被更改；；这经常常包括文文件和目目录的内内容及属属性；在在发现被被更改的的、被安安装木马马的应用用程序方方面特别别有效。。50沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术5.入侵基础础系统的的分类——结果处理理入侵响应应（IntrusionResponse）：当检测到到入侵或或攻击时时，采取取适当的的措施阻阻止入侵侵和攻击击的进行行。入侵响应应系统（IntrusionResponseSystem）实施入侵侵响应的的系统51沈阳理工工大学响应方式式记录安全全事件产生报警警信息记录附加加日志激活附加加入侵检检测工具具隔离入侵侵者IP禁止被攻攻击对象象的特定定端口和和服务隔离被攻攻击对象象警告攻击击者跟踪攻击击者断开危险险连接攻击攻击击者较温和被动响应应介于温和和和严厉之之间主动响应应较严厉主动响应应52沈阳理工工大学实时监控控非法入入侵的过过程示意意图报警日志记录录攻击检测测记录入侵侵过程重新配置置防火墙路由器内部入侵入侵检测测记录终止入侵侵53沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术IDS应用——与其它网网络安全全设备联联动工作作1.与防火墙墙联动IDS不能做最最好的阻阻断-----IDS根据实时时检测出出的结果果调整防防火墙来来进行相相应的阻阻断2.与扫描器器联动IDS可以根据据扫描器器所做的的扫描结结果，对对一点特特殊系统统做重点点监测，，也可让让扫描器器根据实实时探测测的结果果做更详详细的安安全评估估54沈阳理工工大学2.1防防火火墙技术术2.1..2入侵检测测技术.如果把防防火墙比比作大门门警卫的的话，入入侵检测测就是网网络中不不间断的的摄像机机，入侵侵检测通通过旁路路监听的的方式不不间断地地提取网网络数据据，对网网络的运运行和性性能无任任何影响响，同时时判断其其中是否否含有攻攻击的企企图，通通过各种种手段向向管理员员报警。。它不但但可以发发现外部部的攻击击，也可可以发现现内部的的恶意行行为。所所以说，，入侵检测测是网络络安全的的第二道道闸门，是防火火墙的必必要补充充，两者者可构成成完整的的网络安安全解决决方案。。55沈阳理工工大学典型的攻攻防模型型1.56沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术1.安全扫描描技术的的重要性性2.安全扫描描技术分分类3.安全扫描描技术的的工作原原理4.安全扫描描过程5.安全扫描描技术中中的核心心技术57沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术1.安全扫描描技术的的重要性性安全扫描描就是对对计算机机系统或或者其它它网络设设备进行行安全相相关的检检测，以以找出安安全隐患患和可被被黑客利利用的漏漏洞。显然，安安全扫描描软件是是把双刃刃剑，黑黑客利用用它入侵侵系统，，而系统统管理员员掌握它它以后又又可以有有效的防防范黑客客入侵。。因此，，安全扫扫描是保保证系统统必不可可少的手手段，必必须仔细细研究利利用。58沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术1.安全扫描描技术的的重要性性安全扫描描技术是是一类重重要的网网络安全全技术。。安全扫扫描技术术与防火火墙、入入侵检测测系统互互相配合合，能够够有效提提高网络络的安全全性。通过对网网络的扫扫描，网网络管理理员可以以了解网络的安安全配置置和运行行的应用用服务，，及时发现安全漏洞洞，客观观评估网网络风险险等级。。网络管理理员可以以根据扫扫描的结结果更正网络安全全漏洞和和系统中中的错误误配置，，在黑客客攻击前前进行防防范。如果说防防火墙和和网络监监控系统统是被动的防御手手段，那那么安全全扫描就就是一种种主动的防范措措施，可可以有效效避免黑黑客攻击击行为，，防患于于未然。。59沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术2.安全扫描描技术的的分类安全扫描描技术主主要分为为两类：：——主机机的安全全扫描技技术主机安全全扫描技技术通过过执行一一些脚本本文件模模拟对系系统进行行攻击的的行为并并记录系系统的反反应，从从而发现现其中的的漏洞。。——网络络的安全全扫描技技术网络安全全扫描技技术主要要针对系系统中不不合适的的设置、、脆弱口口令，以以及其他他同安全全规则抵抵触的对对象进行行检查等等。60沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术3.安全扫描描技术的的工作原原理网络安全全扫描技技术是一一种基于于互联网网远程监监测目标标网络或或本地主主机安全全性脆弱弱点的技技术。通过网络络安全扫扫描，系系统管理理员能够够发现所所维护的的Web服务器器的各种种TCP/IP端口的的分配、、开放的的服务、、Web服务软软件版本本和这些些服务及及软件呈呈现在互互联网上上的安全全漏洞。。网络安全全扫描技技术也是是采用积积极的、、非破坏坏性的办办法来检检验系统统是否有有可能被被攻击崩崩溃。它它利用一一系列的的脚本模模拟对系系统进行行攻击的的行为，，并对结结果进行行分析。。61沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术3.安全扫描描技术的的工作原原理安全扫描描器，是是一种通通过收集集系统的的信息来来自动检检测远程程或本地地主机安安全性脆脆弱点的的程序。安全扫描描器采用用模拟攻攻击的形形式对目目标可能能存在的的已知安安全漏洞洞进行逐逐项检查查。目标可以以是工作作站、服服务器、、交换机机、数据据库等各各种对象象。并且且，一般般情况下下，安全全扫描器器会根据据扫描结结果向系系统管理理员提供供周密可可靠的安安全性分分析报告告，为提提高网络络安全整整体水平平提供了了重要依依据。62沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术3.安全扫描描技术的的工作原原理扫描器的的作用就就是用检检测、扫扫描系统统中存在在的漏洞洞或缺陷陷。目前前主要有有两种类类型的扫扫描工具具，即主主机扫描描器和网网络扫描描器，它它们在功功能上各各有侧重重。（1）主主机扫描描器主机扫描描器又称称本地扫扫描器，它与待待检查系系统运行行于同一一节点，，执行对对自身的检检查。它的主主要功能能为分析析各种系系统文件件内容，，查找可可能存在在的对系系统安全全造成威威胁的漏漏洞或配配置错误误。（2）网网络扫描描器网络扫描描器又称称远程扫扫描器，一般它它和待检检查系统统运行于于不同的的节点上上，通过过网络远远程探测测目标节节点，检检查安全全漏洞。。远程扫扫描器检检查网络络和分布布式系统统的安全全漏洞。。63沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术4.安全扫描描过程一次完整整的网络络安全扫扫描分为为3个阶阶段：（1）第第1阶段段：发现现目标主主机或网网络。（2）第第2阶段段：发现现目标后后进一步步搜集目目标信息息，包括括操作系系统类型型、运行行的服务务以及服服务软件件的版本本等。如如果目标标是一个个网络，，还可以以进一步步发现该该网络的的拓扑结结构、路路由设备备以及各各主机的的信息。。（3）第第3阶段段：根据据搜集到到的信息息判断或或者进一一步测试试系统是是否存在在安全漏漏洞。64沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术4.安全扫描描过程网络安全全扫描技技术包括括有PING扫扫射、操操作系统统探测、、如何探探测访问问控制规规则、端端口扫描描以及漏漏洞扫描描等。这这些技术术在网络络安全扫扫描的3个阶段段中各有有体现。。第1阶段段：PING扫射可以帮助助我们识识别系统统是否处处于活动动状态。。第2阶段段：操作系统统探测顾名思义义就是对对目标主主机运行行的操作作系统进进行识别别；如何探测测访问控控制规则则用于获取取被防火火墙保护护的远端端网络的的资料；；端口扫描描是通过与与目标系系统的TCP//IP端端口连接接，并查查看该系系统处于于监听或或运行状状态的服服务。第3阶段段：漏洞扫描描通常是在在端口扫扫描的基基础上，，对得到到的信息息进行相相关处理理，进而而检测出出目标系系统存在在的安全全漏洞。。65沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术4.安全扫描描技术的的核心技技术端口扫描描技术和和漏洞扫扫描技术术是网络络安全扫扫描技术术中的两两种核心心技术，，并且广广泛用于于当前较较为成熟熟的网络络扫描器器中。——端口口扫描技技术一个端口口就是一一个潜在在的通信信通道，，也就是是一个入入侵通道道。对目目标计算算机进行行端口扫扫描，能能得到许许多有用用的信息息，从而而发现系系统的安安全漏洞洞。它使使系统用用户了解解系统目目前向外外界提供供了哪些些服务，，从而为为系统用用户管理理网络提提供了一一种手段段。66沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术4.安全扫描描技术的的核心技技术——端口扫描描技术端口扫描描向目标标主机的的TCP/IP服务端端口发送送探测数数据包，，并记录录目标主主机的响响应。通过分析析响应来来判断服服务端口口是打开开还是关关闭，就就可以得得知端口口提供的的服务或或信息。。其实，漏漏洞扫描描本身就就是模拟拟黑客的的入侵过过程，只只是程度度有限制制，要求求尽可能能小地影影响被扫扫描对象象，67沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术4.安全扫描描技术的的核心技技术——漏洞扫描描技术漏洞源自自“vulnerability””（脆弱弱性）。。一般认认为，漏漏洞是指指硬件、、软件或或策略上上存在的的的安全全缺陷，，从而使使得攻击击者能够够在未授授权的情情况下访访问、控控制系统统。漏洞扫描描技术的的原理：漏洞扫描描主要通通过以下下两种方方法来检检查目标标主机是是否存在在漏洞：：（1）在在端口扫扫描后得得知目标标主机开开启的端端口以及及端口上上的网络络服务，，将这些些相关信信息与网网络漏洞洞扫描系系统提供供的漏洞库进行匹配配，查看看是否有有满足匹匹配条件件的漏洞洞存在（2）通通过模拟拟黑客的的攻击手手法对目目标主机机系统进进行攻击击性的安安全漏洞洞扫描，，如测试试弱势口口令。若若模拟攻攻击成功功，则表表明目标标主机系系统存在在安全漏漏洞。68沈阳理工工大学2.1防防火火墙技术术2.1..3安全扫描描技术4.安全扫描描技术的的核心技技术——漏洞库基于网络络系统漏漏洞库的的漏洞扫扫描的关关键部分分就是它它所使用用的漏洞洞库。通通过采用用基于规则则的匹配配技术，即根据据安全专专家对网网络系统统安全漏漏洞、黑黑客攻击击案例的的分析和和系统管管理员对对网络系系统安全全配置的的实际经经验，可可以形成成一套标标准的网网络系统统漏洞库库，然后后再在此此基础之之上构成成相应的的匹配规规则，由由扫描程程序自动动的进行行漏洞扫扫描的工工作。漏洞库信信息的完完整性和和有效性性决定了了漏洞扫扫描系统统的性能能。漏洞洞库信息息是漏洞洞扫描的的主要判判断依据据。如果果漏洞库库信息不不全面或或得不到到即时的的更新，，不但不不能发挥挥漏洞扫扫描的作作用，还还会给系系统管理理员以错错误的引引导，从从而对系系统的安安全隐患患不能采采取有效效措施并并及时的的消除69沈阳理工工大学2.2加加密密技术1.加密技术术概述2.对称密码码体制3.公钥密码码体制4.PKI加密技术术5.数字签名名技术70沈阳理工工大学2.2加加密密技术2.2..1加密技术术概述密码理论论与技术术主要包包括两个个部分：：——基于于数学的的密码理理论与技技术公钥密码码、数字字签名、、身份识识别、PKI技技术——非数数学的密密码理论论与技术术信息隐形形、基于于生物特特征的识识别理论论与技术术总的来说说，非数数学的密密码理论论与技术术还处于于探索之之中。基基于数学学的密码码理论与与技术目目前仍然然是电子子商务安安全应用用技术的的主流。。密码算法法主要分分为：对对称密码码算法、、非对称称密码算算法71沈阳理工工大学密码技术术是保护护信息安安全的重重要手段段之一明文：信信息的原原始形式式。密文：明明文经过过变换加加密后的的形式。。密钥：在在处理过过程中要要有通讯讯双方掌掌握的专专门信息息参与，，这种专门信息息，是具具有确定定bit长度的的数字单单元，称称为密钥钥。算法：用用于加密密和解密密的数学学函数（（algorithm公开开)。。加密：由由明文变变成密文文的过程程称为加加密（Encrypt），由加加密算算法来来实现的的。解密：将将密文变变成明文文的过程程称为解解密（Decrypt），由解解密算算法来来实现的的。1.1密码学基基础72沈阳理工工大学2.2加密技术术2.2..2对称密码码体制对称密码码技术，，在加密密和解密密过程中中使用同同一个密密钥。对称密码码体系的的构成要要素：——对称密码码算法——用作对称称密钥的的随机数数当A发送送数据给给B时，，A用加加密密钥钥将明文文进行加加密后成成为密文，而而B在接接收到密密文后，，必须用用A的密密钥进行行解密，，还原成明文。。73沈阳理工工大学2.2加密技术术2.2..2对称密码码体制74沈阳理工工大学2.2加密技术术2.2..2对称密码码体制一个简单单的加密密方法是是把英文文字母按按字母表表的顺序序编号作作为明文文，将密密钥定为为17，，加密算算法为将将明文加加上密钥钥17，，就得到到一个密密码表。。75沈阳理工工大学2.2加密技术术2.2..2对称密码码体制替代密码码(substitutioncipher)的原理可可用一个个例子来来说明。。（密钥钥是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文c变成了密密文F76沈阳理工工大学2.2加密技术术2.2..2对称密码码体制FDHVDUFLSKHU替代密码码(substitutioncipher)的原理可可用一个个例子来来说明。。（密钥钥是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文a变成了密密文D77沈阳理工工大学2.2加密技术术2.2..2对称密码码体制优点：加密和解解密的密密钥相同同，加密密速度比比较快；；得到的的密文紧凑，大大小几乎乎等于明明文。缺点：密钥需经经过互联联网发送送给接收收者，密密钥本身身可能被被黑客截获。78沈阳理工工大学对称加密密算法------对称算算法分类类分组密码码(BlockCipher)分组密码码算法是是在明文文分组和和密文分分组上进进行运算算——通通常分组组长为64比特特。序列密码码(StreamCipher))序列密码码算法在在明文和和密文数数据流的的1比特特或1字字节上进进行运算算。79沈阳理工工大学对称加密密算法------DESDES（DataEncryptionStandard)是是第一个个得到广广泛应用用的对称称密码算算法；；DES是是一种分分组加密密算法，，输入的的明文为为64位位，密钥钥为56位，，生成的的密文为为64位位；DES加密原理理示意图图80沈阳理工工大学1.2对称加密密算法------RC系列RC系列是RonRivest为RSA公司司设计的的一系列列密码：：RC2是变长密密钥加密密密法；；(RC3在设设计过程程中在RSADSI内内被攻破破);RC1从从未被公公开，以以致于许许多人们们称其只只出现在在Rivest的记事事本上；；RC4是是Rivest在1987年年设计的的变长密密钥的序序列密码码；RC5是是Rivest在1994年年设计的的分组长长、密钥钥长的迭迭代轮数数都可变变的分组组迭代密密码算法法；DES((56)),RC5-32/12/5,RC5--32//12//6,RC-32/12/7已分别在在1997年被被破译；；81沈阳理工工大学相同密钥方案&#&#方案发方收方明文密文明文密文单钥加密密体制算法DESRC5IDEAAES对称加密密算法82沈阳理工工大学2.2加加密密技术2.2..3公钥密码码体制公开密码码体制又又称非对对称密钥钥体制，，或公钥钥密码体体制。加密和解解密密钥钥各不相相同，并并且不可可能由一一个密钥钥推导出出另一个密密钥；加加密函数数和解密密函数也也不可相相互推导导。在这种加加密体制制下，每每个用户户拥有一一对不同同的密钥钥。——公钥：加加密密钥钥即公开开密钥，，是完全全公开的的，像电电话号码一样样公诸于于世，让让所有参参加通信信的人都都知道；；——私钥：解解密密钥钥须严格格保管，，由每个个用户单单独掌握握。在加密应应用时，，某个用用户总是是将一个个密钥公公开，让让需要发信的人人把信息息用其公公开密钥钥加密后后发给该该用户，，而信息息一旦加密后后就只有有使用该该用户一一个人所所知道的的私用密密钥才能能解密。。83沈阳理工工大学非对称加加密体制制84沈阳理工工大学2.2加加密密技术2.2..3公钥密码码体制85沈阳理工工大学非对称加加密体制制-----RSARonRivest,AdiShamir和LenAdleman于于1977年研研制并于于1978年首首次发表表；RSA是是一种分分组密码码，其理理论基础础是一种种特殊的的可逆模模幂运算算，其安安全性基基于分解解大整数数的困难难性；RSA既既可用于于加密，，又可用用于数字字签名，，已得到到广泛采采用；RSA已已被许多多标准化化组织((如ISO、ITU、、IETF和SWIFT等))接纳；；RSA--155(512bit)),RSA--140于1999年年分别被被分解；；86沈阳理工工大学2.2加加密密技术2.2..3公钥密码码体制公开密钥钥密码体体制的优优点：（1）密码数数量足够够大，可可以适应应网络的的开放性性要求；；（2）密钥的的分配和和管理比比较容易易。由于于加密密密钥是公公开的，，用户只需需保存自自己的解解密密钥钥。（3）对互相相不认识识的人也也可以提提供通信信的保密密性。（3）可以实实现数字字签名和和数据鉴鉴别。缺点：密密钥长度度长、算算法复杂杂、运行行效率低低。实际应用用中，常常将两种种密码体体制结合合使用，，使用对对称密码码体制来加加密信息息、采用用非对称称密码体体制来传传递会话话密钥，，充分发挥它们们的优点点，确保保信息安安全、高高效传输输。87沈阳理工工大学2.2加加密密技术2.2..4PKI加密技术术1.PKI的定义PKI的基本机机制：是是定义和和建立身身份认证证和授权权规则，，然后分发、、交换这这些规则则，并在在网络之之间解释释和管理理这些规规则。PKI对数据加加密、数数字签名名、抗抵抵赖、数数据完整整性以及及身份鉴别所所需的密密钥和认认证实施施统一的的集中化化管理，，支持电电子商务的参与与者在网网络环境境下建立立和维护护平等的的信任关关系，保保证网上在线交交易的安安全。总的来说说，PKI是一个使使用公钥钥概念和和密码技技术实施施和提供供安全服务务的具有有普适性性的安全全基础设设施的总总称。PKI（publickeyinfrastructure）是一种种遵循标标准公钥钥加密技术术、为电电子商务务的开展展提供一一套安全全基础平平台的技技术和规规范.用户可以以利用PKI平台提供供的服务务进行安安全通信信。88沈阳理工工大学2.2加加密密技术2.2..4PKI加密技术术2.PKI的服务PKI技术是信息安全全技术的核心，，也是电电子商务务的关键键和基础技术术。PKI的基础技技术包括括加密、、数字签签名、数数据完整整性机制、数数字信封封、双重重数字签签名等。。一个典型型、完整整、有效效的PKI应用系统统至少应应具有以以下部分分：公钥密码码证书管管理黑名单的的发布和和管理密钥的备备份和恢恢复自动更新新密钥自动管理理历史密密钥支持交叉叉认证89沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术定义：

《电子签名名法》赋予可靠靠电子签签名与手手写签名名或盖章章具有同等的法法律效力力。电子签名名包括多多种形式式，如视视网膜鉴鉴别、手手纹鉴别别等。典典型的电子子签名是是数字签签名，也也是最方方便的一一种电子子签名方方法。以电子形形式存在在于数据据信息之之中的，，或作为为其附件件的或逻逻辑上与与之有联联系的数数据，可可用于辨辨别数据据签署人人的身份份，并表表明签署署人对数数据信息息中包含含的信息息的认可可。90沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术签名的作作用：（1）标明当当事人接接受或承承认文件件的内容容；（2）证实文文件的真真实性数字签名名就是在在以计算算机文件件为基础础的事务务处理过过程中采采用了电子子形式的的签名。。数字签名名技术以以加密技技术为基基础，采采用公钥钥密码体体制对整个明文文进行变变换，得得到一个个作为核核实签名名的值。。接收者者使用发送者的的公开密密钥对签名进进行解密密运算，，如其结结果为明明文，则证明对对方身份份的真实实性。91沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术（1）接收者者可以确确认发送送者的真真实身（2）发送者者事后不不能否认认发过该该报文（3）保证报报文的准准确性和和完整性性数字签名名使接收收方和非非法入侵侵者均不不能伪造造或篡改改报文，保证证了报文文在传输输过程中中不会遭遭到任何何修改和和增删。。92沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术

过程1：先用hash算法将原原文压缩缩为数据据摘要，，然后用用公开密密钥算法对摘要要进行加加密和解解密，(原文任何何变化都都会使数数据摘要要改变)93沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术明文MMD经过报文摘要运算H密钥KMDH比较（是否一致？）发送明文M明文M得出报文摘要加密的报文摘要加密的报文摘要附加在明文后面密钥K得出解密的报文摘要发端收端收端算出的报文摘要94沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术(2)数字签名名还有另另外一个个过程2：即用公公开密钥钥(非对称算算法)而不用hash单向散散列函数数其其过程是是：首先将原原文用私私钥加密密，得数数字签名名，然后后将原文文和数字字签名一一起发向向接收方方，收收方用发发方的公公钥解密密，再与与原文比比较只只要比较较X’＝X可确定三三件事：：·消息X确实由A方发出的的(即真实性性)；·签发Y确实由A方发出的的(即不可否否认性)；·B方收到的的信息是是完整的的(即完整性性)；95沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术这两种数数字签名名的主要要区别在在于，前前者是一一种对压缩信息息的签名，，适用于于长文件件信息；；后者者是一种种对整个消息息的签名，，适用于于短文件件信息。。96沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术上述过程程只是对对报文进进行了数数字签名名以确保保报文来来自正确确的发送方方，而对对于发送送方的报报文本身身并未加加密。为了同时时实现数数字签名名和密码码通信，，发送方方可以使使用接收收方的公钥钥对发送送的信息息进行加加密。这样，只只有接收收方才能能通过自自己的私私钥对报报文进行行解密以以获得正常常的信息息，其他他人由于于没有接接收方的的私钥，，所以即即使截获了报文文并知道道了发送送者的身身份也无无法理解解报文的的内容。。97沈阳理工工大学2.2加加密密技术发送方所做工作98沈阳理工工大学2.2加加密密技术接收方所所做工作作99沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术（1）秘密密密钥的数数字签名名秘密密钥钥的加密密技术是是指发送送方和接接收方依依照事先先约定的的密钥进行行加密和和解密的的算法，，加密和和解密均均使用同同一密钥钥。由于发送送方和接接收方都都知道同同一密钥钥，就有有可能发发生否认认或篡改报报文的欺欺诈行为为，为此此必须引引入权威威机构作作为第三三方加以控制。。（2）公开密密钥的数数字签名名（3）只需确确认的数数字签名名（4）数字摘摘要的数数字签名名100沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术（1）秘密密密钥的数数字签名名（2）公开密密钥的数数字签名名由于秘密密密钥的的数字签签名技术术需要第第三方参参与，还还必须保证密钥钥管理权权威机构构的安全全性和可可靠性，，给网络络管理带带来不便。公开密钥钥的加密密体制只只需发送送和接收收双方参参与就达达到充分分利用数字字签名的的目的。。使用公公共密钥钥和私人人密钥。。（3）只需确确认的数数字签名名（4）数字摘摘要的数数字签名名101沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术（1）秘密密密钥的数数字签名名（2）公开密密钥的数数字签名名（3）只需确确认的数数字签名名签名方法法具有两两种相互互区别的的功能：：确认和和保密。。对原文进进行公开开密钥加加密，速速度缓慢慢；可通通过采用用函数来来生成一个个比原报报文小得得多的报报文，对对其进行行计算和和传输。。（4）数字摘摘要的数数字签名名102沈阳理工工大学2.2加加密密技术2.2..5数字签名名技术（1）秘密密密钥的数数字签名名（2）公