第二章 电子商务安全技术

第二章电子商务安全技术第一页，共四十五页，2022年，8月28日内容提要网络安全概述信息安全概述公开密钥体系结构网络安全技术1234第二页，共四十五页，2022年，8月28日2.1网络安全概述电子商务的安全技术，蕴含于网络安全应用的各个方面，其目的是保证整个电子商务系统安全、有效地运行。然而，因特网本身的开放性、跨国界、无主管、不设防、无法律约束等特性，在给人们带来巨大便利的同时，也带来了一些不容忽视的问题。由于网络安全漏洞，导致敏感信息泄漏、信息篡改、数据破坏、恶意信息发布、计算机病毒发作等现象屡见不鲜，由此造成的经济损失和社会不良影响难以估计。第三页，共四十五页，2022年，8月28日2.1.1网络安全的含义从内容看网络安全大致包括4个方面:网络安全实体软件安全数据安全安全管理从特征看网络安全包括5个基本要素:机密性完整性可用性可控性可审查性第四页，共四十五页，2022年，8月28日2.1.2影响网络安全的因素网络系统自身的脆弱性硬件系统软件系统网络和通信协议缺乏用户身份鉴别机制缺乏路由协议鉴别认证机制缺乏保密性TCP/UDP的缺陷TCP/IP服务的脆弱性第五页，共四十五页，2022年，8月28日2.1.2影响网络安全的因素(续)安全威胁基本威胁信息泄露完整性破坏服务拒绝未授权访问威胁网络安全的主要方法假冒旁路控制破坏系统的完整性破坏系统的可用性重放陷门木马抵赖威胁和攻击的来源内部操作不当内部管理漏洞来自外部的威胁和犯罪第六页，共四十五页，2022年，8月28日2.1.3网络安全模型网络安全的基本模型第七页，共四十五页，2022年，8月28日2.1.3网络安全模型(续)网络安全访问模型第八页，共四十五页，2022年，8月28日保密性物理保密防窃听防辐射信息加密身份验证完整性良好的协议密码校验和数字签名公证不可抵赖性访问控制可用性身份的识别与确认访问控制业务流控制路由选择控制审计跟踪2.1.4网络安全服务第九页，共四十五页，2022年，8月28日2.1.5基本安全技术防火墙(Firewall)加密(Encryption)身份认证(Authentication)数字签名(DigitalSignature)内容检查(ContentInspection)第十页，共四十五页，2022年，8月28日2.2信息安全技术2.2.1密码技术加密是一种通过使信息变得混乱的方式，从而使未经授权的人无法访问，而被授权的人却可以访问的信息安全技术。通过使用加密，我们可以提供六种安全服务中的三种服务：保密性——加密可以用于对未经授权的人隐藏传输中的信息和存储的信息完整性——加密可以用于识别对信息做出的更改，无论是传输中的信息还是存储的信息不可抵赖性——加密用于认证信息的来源验证并用于防止原始信息的来源被篡改第十一页，共四十五页，2022年，8月28日对称密码技术对称密码系统模型分组密码技术数据加密标准DES三重DES流密码技术A5RC-4PKZIP第十二页，共四十五页，2022年，8月28日公钥密码技术Diffie-Hellman密钥交换RSA算法椭圆曲线密码算法第十三页，共四十五页，2022年，8月28日2.2.2报文鉴别技术报文加密:以整个消息的密文作为它的鉴别码报文鉴别码(MAC):以一个报文的公共函数和一个密钥作用于报文，产生一个数据分组，即报文鉴别码，并将其附加在报文中散列函数:一个将任意长度的报文映射为定长的散列值的公共函数，以散列值作为验证码第十四页，共四十五页，2022年，8月28日2.2.3数字签名数字签名具有以下性质:必须能够证实是作者本人的签名以及签名的日期和时间在签名时必须能对内容进行鉴别签名必须能被第三方证实以便解决争端第十五页，共四十五页，2022年，8月28日数字签名分类RSA签名体制数字签名标准不可否认签名防失败签名盲签名群签名第十六页，共四十五页，2022年，8月28日2.3公开密钥体系结构(PublicKeyInfrastructure,PKI)PKI包含:安全策略，以规定加密系统在何种规则下运行产生、存储、管理密钥的产品怎样产生、分发、使用密钥和证书的一套过程PKI为电子商务提供了4个主要的安全功能:保密性——保证信息的私有性完整性——保证信息没有被篡改真实性——证明一个人或一个应用的身份不可否认性——保证信息不能被否认第十七页，共四十五页，2022年，8月28日2.3.1PIK的定义PKI是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。公钥基础设施希望从技术上解决网上身份证、电子信息的完整性和不可抵赖性等安全问题，为网络应用（如浏览器、电子邮件、电子交易）提供可靠的安全服务。PKI是遵循标准的密钥管理平台，所以它能为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。第十八页，共四十五页，2022年，8月28日2.3.2PKI的内容认证中心CA注册中心RA证书发布库密钥备份及恢复证书撤销PKI应用接口第十九页，共四十五页，2022年，8月28日2.3.3PKI服务认证完整性保密性不可否认性安全时间戳安全公证第二十页，共四十五页，2022年，8月28日2.4网络安全技术2.4.1防火墙技术网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备，它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。第二十一页，共四十五页，2022年，8月28日防火墙概述防火墙的一般模型第二十二页，共四十五页，2022年，8月28日分组过滤分组过滤(PacketFiltering)作用于网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则从数据流中被丢弃。第二十三页，共四十五页，2022年，8月28日分组过滤(续)优点透明的防火墙系统高速的网络性能易于配置支持网络内部隐藏缺点易于IP地址假冒记录日志信息不充分源路易受攻击设计和配置一个真正安全的分组过滤规则比较困难分组过滤防火墙并不能过滤所有的协议无法阻止数据驱动式攻击第二十四页，共四十五页，2022年，8月28日应用代理应用代理(ApplicationProxy)也叫应用网关(ApplicationGateway)，它作用于应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流。实际中的应用网关通常由专用工作站实现。第二十五页，共四十五页，2022年，8月28日应用代理(续)优点在网络连接建立之前可以对用户身份进行认证所有通过防火墙的信息流可以被记录下来易于配置支持内部网络的信息隐藏与分组过滤规则相比较为简单易于控制和管理缺点对每种类型的服务都需要一个代理网络性能不高源路易受攻击防火墙对用户不透明客户应用可能需要修改需要多个防火墙主机第二十六页，共四十五页，2022年，8月28日电路中继电路中继(CircuitRelay)也叫电路网关(CircuitGateway)或TCP代理(TCPProxy)，其工作原理与应用代理类似，不同之处是该代理程序是专门为传输层的TCP协议编制的。电路中继工作在OSI（开发系统互联）参考模型的会话层或TCP/IP协议模型的传输层。电路中继服务器常常提供网络地址翻译，将通过一台网络主机将内部网络主机的包进行修改，这样，修改后的包就能够通过Internet发出去了。第二十七页，共四十五页，2022年，8月28日包过滤路由器包过滤流程图第二十八页，共四十五页，2022年，8月28日防火墙系统模型筛选路由器模型单宿主堡垒主机模型双宿主堡垒主机模型屏蔽子网模型第二十九页，共四十五页，2022年，8月28日防火墙的局限性防火墙不能防范网络内部的攻击防火墙也不能防范没有防范心理的管理员授予其些入侵者临时的网络访问权限防火墙不能防止传送已感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒第三十页，共四十五页，2022年，8月28日防火墙应用的发展趋势防火墙将从目前对子网或内部网管理方式向远程网上集中管理方式转变过滤深度不断加强，从目前的地址、服务过滤，发展到URL过滤，关键字过滤和对ActiveX、JavaApplet等服务的过滤，并逐渐具有病毒扫除功能利用防火墙建立专用网单向防火墙将作为一种产品门类而出现对网络攻击的检测和示警将成为防火墙的重要功能安全管理工具不断完善，特别是可疑活动的日志分析工具将成为防火墙产品中的一个重要组成部分第三十一页，共四十五页，2022年，8月28日2.4.2VPN技术随着全球化步伐的加快，移动办公人员越来越多，公司客户关系越来越庞大，这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，虚拟专用网VPN(VirtualPrivateNetwork)的概念与市场随之出现。第三十二页，共四十五页，2022年，8月28日VPN概述VPN被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN作为一种组网技术的概念，有3种应用方式：远程访问虚拟专用网(AccessVPN)、企业内部虚拟专用网(IntranetVPN)、扩展的企业内部虚拟专用网(ExtranetVPN)。目前，VPN主要采用四种技术来保证安全。这四种技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。其中，隧道技术是VPN的基本技术。第三十三页，共四十五页，2022年，8月28日VPN的解决方案隧道技术虚拟电路SOCKSv5IPSec第三十四页，共四十五页，2022年，8月28日2.4.3计算机病毒美国计算机研究专家F.Cohen博士最早提出了“计算机病毒”的概念。计算机病毒是一段人为编制的计算机程序代码。这段代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。1994年2月18日《中华人民共和国计算机信息系统安全保护条例》第二十八条规定：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。以上是我国司法部门对电脑病毒的法律解释，司法部门凭该解释所赋予的法律要件，就可以逮捕病毒制作和散播者。目前，我国仍然沿用此条例，没有新的修订。第三十五页，共四十五页，2022年，8月28日病毒的发展阶段原始病毒阶段混合型病毒阶段多态性病毒阶段网络病毒阶段主动攻击阶段手机病毒阶段第三十六页，共四十五页，2022年，8月28日病毒的特征非授权可执行性隐蔽性传染性潜伏性表现性(破坏性)可触发性第三十七页，共四十五页，2022年，8月28日病毒的分类宏病毒(MacroVirus)引导型病毒(BootStrapSectorVirus)传统引导型病毒隐型引导型病毒目录型引导病毒文件型病毒(FileInfectorVirus)非常驻型病毒常驻型病毒隐型文件型病毒复合型病毒(Multi-PartiteVirus)第三十八页，共四十五页，2022年，8月28日病毒的结构病毒的一般结构第三十九页，共四十五页，2022年，8月28日病毒的工作机理病毒的引导机理病毒的传播机理病毒的破坏表现机理第四十页，共四十五页，2022年，8月28日病毒产生的原因一些计算机爱好者出于好奇或兴趣，也有的是为了满足自己的表现欲来源于软件加密产生于游戏用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来由于政治、经济和军事等特殊目的第四十一页，共四十五页，2022年，8月28日病毒的传播途径通过软盘、U盘、光盘、移动硬盘等移动存储设备传染，大量的移动存储设备的使用，是造成病毒传染并泛滥蔓延的温床通过点对点通信系统和无线信道传播通过网络传染，这种传播扩散的速度很快，能在短时间内使网络上的机器受到感染第四十二页，共四十五页，2022年，8月28日病毒的危害破坏文件或数据，造成用户数据丢失或损毁抢占系统网络资源，造成网络阻塞或系统瘫痪破坏操作系统等软件或计算机主板等硬件，造成计算机无法启动第四十三页，