电子商务安全与管理-Internet安全

Internet安全23.1Internet安全概述3.2防火墙技术3.3VPN技术3.4网络入侵检测3.5IP协议安全3.6电子商务应用安全协议目录3引例——万事达系统遇袭事件万事达系统遇袭事件不是网络时代的个案，网站遇袭时间早已不是新闻，难道Internet毫无安全可言吗？43.1Internet安全概述3.1.1网络层安全3.1.2应用层安全3.1.3系统安全53.1.1网络层安全网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。典型的网络层安全服务包括：认证和完整性保密性访问控制3.1Internet概述63.1.2应用层安全应用层安全指的是建立在某个特定的应用程序内部，不依赖于任何网络层安全措施而独立运行的安全措施。应用层安全措施包括：认证访问控制保密性数据完整性不可否认性与Web、与信息传送有关的安全措施3.1Internet概述73.1.3系统安全系统安全是指对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层安全措施所承担的通信保护。系统安全措施包括：确保在安装的软件中没有已知的安全缺陷确保系统的配置能使入侵风险降至最低确保所下载的软件其来源是可信任的和可靠的确保系统能得到适当管理以使侵入风险最小确保采用合适的审计机制，以便能防止对系统的成功入侵和采取新的合适的防御性措施3.1Internet概述83.2防火墙技术3.2.1防火墙的基本概念3.2.2防火墙的基本原理3.2.3防火墙的实现方式93.2.1防火墙的基本概念防火墙（firewall）是在两个网络之间强制实施访问控制策略的一个系统或一组系统。狭义——指安装了防火墙软件的主机或路由器系统。3.2防火墙技术103.2.1防火墙的基本概念防火墙的功能：过滤不安全的服务和非法用户控制对特殊站点的访问作为网络安全的集中监视点防火墙的不足之处：不能防范不经由防火墙的攻击——e.g.拨号不能防止受到病毒感染的软件或文件的传输不能防止数据驱动式攻击3.2防火墙技术113.2.2防火墙的基本原理1.包过滤型防火墙3.2防火墙技术123.2.2防火墙的基本原理2.应用网关型防火墙3.2防火墙技术133.2.2防火墙的基本原理3.代理服务型防火墙3.2防火墙技术143.2.3防火墙的实现方式包过滤路由器双穴防范网关过滤主机网关过滤子网防火墙3.2防火墙技术153.3VPN技术

虚拟专用网络(virtualprivatenetwork,VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。163.3.1VPN的基本功能一个成功的VPN方案应能满足：用户身份验证地址管理数据加密密钥管理多协议支持3.3.2VPN的安全策略隧道技术加解密技术密钥管理技术使用者与设备身份认证技术3.3VPN技术173.4网络入侵检测3.4.1网络入侵检测的原理检测策略基于主机的检测基于应用程序的检测基于目标的检测基于网络的检测3.4.2网络入侵检测的主要方法异常检测误用检测183.5IP协议安全3.5.1IP安全体系结构IPsec文档IPsec的服务IPsec安全结构3.5.2认证头协议(AH)3.5.3分组加密协议(ESP)3.5.4安全关联3.5.5密钥交换3.5.6Ipsec的应用193.5.1IP安全体系结构IPsec的基本功能包括：在IP层提供安全服务选择需要的安全协议决定使用的算法保存加密使用的密钥IPsec文档3.5IP协议地址203.5.1IP安全体系结构IPsec的服务访问控制无连接完整性数据源的鉴别拒绝重放的分组机密性有限的通信量机密性IPsec安全结构安全协议——AH和ESP安全关联（SA）密钥交换——手工和自动（IKE）认证和加密算法3.5IP协议地址213.5.2认证头协议AHAH的功能AH的格式AH的两种模式认证算法3.5IP协议地址223.5.3分组加密协议ESPESP的功能主要支持IP数据项的机密性也可提供认证服务ESP的格式ESP的两种模式传输模式隧道模式ESP的处理输出包处理输入包处理3.5IP协议地址233.5.4安全关联（SA）安全关联的概念一个SA是在发送者和接收者这两个IPsec系统之间的一个简单的单向逻辑连接SA三元组：<SecurityParameterIndex,IPDestinationAddress,SecurityProtocol>安全关联的类型传输模式隧道模式SPD和SAD3.5IP协议地址243.5.5密钥交换IPsec的密钥交换包括密钥的确定和分配两种类型手工方式自动方式3.5IP协议地址253.5.6Ipsec的应用Ipsec的优点Ipsec的应用3.5IP协议地址263.6电子商务应用安全协议3.6.1增强的私密电子邮件(PEM)3.6.2安全多用途网际邮件扩充协议(S/MIME)3.6.3安全超文本传输协议(S-HTTP)3.6.4安全套接层协议(SSL)3.6.5安全电子交易协议(SET)273.6.1

增强的私密电子邮件(PEM)PEM规范缺点：与同期的多用途网际邮件扩充协议MIME不兼容3.6电子商务应用安全协议283.6.2

安全多用途网际邮件扩充协议S/MIME电子邮件内容的安全问题发送者身份认证不可否认邮件的完整性邮件的保密性S/MIME标准（Secure/MultipurposeInternetMailExtension）设计目标：使自己能较易加入到已有的Email产品之中安全标准：信息格式：继承了MIME规格信息加密标准：包括DES、三重DES、RC4数字签名标准：PKCS数字证书格式：X.509MIME和S/MIME3.6电子商务应用安全协议293.6.3安全超文本传输协议（S-HTTP）

S-HTTP是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障Web站点上的信息安全。3.6电子商务应用安全协议303.6.4安全套接层协议(SecureSocketsLayer，SSL)SSL协议概述

SSL建立在TCP协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL协议之上。

e.g.HTTPoverSSL(HTTPS)3.6电子商务应用安全协议313.6.4安全套接层协议(SecureSocketsLayer，SSL)SSL协议的功能SSL服务器认证确认用户身份保证数据传输的机密性和完整性SSL的体系结构基于SSL的银行卡支付过程3.6电子商务应用安全协议323.6.5安全电子交易协议——SecureElectronicTransaction，SETSET协议概述

SET是一种应用于因特网环境下，以信用卡为基础的安全电子支付协议。通过SET可以实现电子商务交易中的加密、认证、密钥管理等机制，保证在开放网络上使用信用卡进行在线购物的安全。3.6电子商务应用安全协议333.6.5安全电子交易协议——SecureElectronicTransaction，SETSET交易参与方3.6电子商务应用安全协议343.6.5安全电子交易协议——SecureElectronicTransaction，SETSET购物流程3.6电子商务应用安全协议353.6.5安全电子交易协议——SecureElectronicTr