第二讲(中).安全技术

, , , , , ,*,*,9/12/2024,1,电子商务安全技术,覃征 教授,9/12/2024,2,主要内容,安全问题提出,安全问题分析,安全问题解决,9/12/2024,3,问题提出,Web,Server,The Internet,Encryption,！线路传输！,！客户终端！,！线路连接！,The Intranet,Web Server,Weakness,:,Enterprise,Network,电子商务危险,无处不在！,9/12/2024,4,问题分析,互联网开放性,成员多样性,位置分散性,信息,保密性,信息,完整性,系统抗,攻击性,消费者,隐私保护性,抗抵赖性,身份真实性,推动,电,子,商,务,安,全,技,术,9/12/2024,5,问题解决,数据加密技术,认证技术,入侵检测技术,电子商务安全技术,防火墙技术,数字签名技术,安全支付技术,9/12/2024,6,安全技术防火墙技术,数据加密技术,认证技术,入侵检测技术,电子商务安全技术,防火墙技术,数字签名技术,安全支付技术,9/12/2024,7,安全技术防火墙技术,什么是防火墙,在被保护网络和,Internet,之间，或者和其它网络之间限制访问的软件和硬件的组合,9/12/2024,8,防火墙技术的功能,管理功能,安全特性,记录报表功能,防御功能,9/12/2024,9,防火墙功能（续）,防御,支持病毒扫描,提供内容过滤,能部分防御,DOS,攻击,阻止,ActiveX,、,Java,、等侵入,防,御,功,能,9/12/2024,10,防火墙功能（续）,安全,安,全,特,性,支持转发和跟踪网络间报文控制协议,ICMP,提供入侵实时警告,提供实时入侵防范,识别,/,记录,/,防止企图进行,IP,地址欺骗,9/12/2024,11,防火墙功能（续）,管理,管,理,功,能,通过集成策略集中管理多个防火墙,应提供基于时间的访问控制,应支持简单网络管理协议,(SNMP),监视和配置,本地管理,远程管理,支持带宽管理,负载均衡特性失败恢复特性,9/12/2024,12,防火墙功能（续）,记录报表,记,录,报,表,防火墙处理完整日志的方法,提供自动日志扫描,提供自动报表、日志报告书写器,报警通知机制,提供简要报表,提供实时统计,列出获得的国内有关部门许可证类别及号码,9/12/2024,13,防火墙的体系结构,多宿主机体系结构,被屏蔽主机体系结构,被屏蔽子网体系结构,9/12/2024,14,防火墙技术分类,防火墙的种类,分组过滤：,作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。,应用代理：,也叫应用网关，它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。,9/12/2024,15,防火墙技术分类（续）,分组过滤：,一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。,9/12/2024,16,防火墙技术分类（续,）,应用代理：,代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有,Internet,用户和内部网之间的通讯以代替直接交谈。,代理服务,9/12/2024,17,防火墙技术的优点,防止易受攻击的服务,控制访问网点系统,集中安全性,增强保密性、强化私有权,防火墙的优点,9/12/2024,18,安全技术数据加密技术,数据加密技术,认证技术,入侵检测技术,电子商务安全技术,防火墙技术,数字签名技术,安全支付技术,9/12/2024,19,数据加密技术,什么是加密？,加密是指对数据进行编码使其看起来毫无意义，同时仍保持可恢复的形式。,9/12/2024,20,数据加密技术分类,对称加密,序列算法（,stream algorithm,）：,一次只对明文中单个位（有时为字节）加密或解密运算,分组算法（,block algorithm,）：,一次明文的一组固定长度的字节进行加密或解密运算,DES,、,AES,公开密钥加密,加密与解密使用不同的密钥，而且从加密密钥无法推导出解密密钥,RSA,、,ECC,、,DSA,9/12/2024,21,数据加密分类（续）,对称加密,明文消息,M,M,加密消息,明文消息,同一把密匙,9/12/2024,22,数据加密分类（续）,公开密匙,明文消息,M,M,加密消息,明文消息,密匙,M,N,N,密匙,N,9/12/2024,23,数据加密分类（续）,过程对比,9/12/2024,24,数据加密分类（续）,体制对比,特 性,对 称,非 对 称,密钥的数目,单一密钥,密钥是成对的,密钥种类,密钥是秘密的,一个私有、一个公开,密钥管理,简单不好管理,需要数字证书及可靠第三者,相对速度,非常快,慢,用途,用来做大量资料的加密,用来做加密小文件或对信息签字等不太严格保密的应用,缺点,密钥必须秘密地分配,密钥的数量大、管理困难,公开密钥算法速度很慢；大约只有对称密码算法的,1,1000,到,1,100,公开密钥算法对选择明文攻击很脆弱,9/12/2024,25,安全技术,数字签名技术,数据加密技术,认证技术,入侵检测技术,电子商务安全技术,防火墙技术,数字签名技术,安全支付技术,9/12/2024,26,数字签名技术,过程对比,9/12/2024,27,数字签名技术,公开密钥加密,9/12/2024,28,安全技术,认证技术,数据加密技术,认证技术,入侵检测技术,电子商务安全技术,防火墙技术,数字签名技术,安全支付技术,9/12/2024,29,认证技术,什么是认证技术,认证是电子商务交易最重要的环节，通过某种成熟的技术，保证在电子商务活动中任何一方都不能进行欺骗。保证你在打交道的人就是它声称的某个人，而不是其他人冒充的。我们常听说的认证中心主要的任务就是进行认证。,认证的方法包括数字认证和生物认证,9/12/2024,30,生物认证技术示例,指纹认证,9/12/2024,31,生物认证技术示例,指纹认证,指,纹,识,别,流,程,9/12/2024,32,生物认证技术示例,虹膜认证,虹,膜,认,证,9/12/2024,33,生物认证技术示例,步态识别认证,步,态,识,别,认,证,9/12/2024,34,生物认证技术示例,手工签名认证,手,工,签,名,认,证,9/12/2024,35,安全技术,入侵检测技术,数据加密技术,认证技术,入侵检测技术,电子商务安全技术,防火墙技术,数字签名技术,安全支付技术,9/12/2024,36,入侵检测技术,系统遭到入侵有两种情况,(1),非法用户访问他不应该访问的系统；,(2),合法用户访问它不应访问的信息或者进行未授权的操作。,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权使用或其他异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有：入侵非法用户的违规行为；滥用用户的违规行为。,入,侵,检,测,技,术,入,侵,9/12/2024,37,入侵技术的发展与演化,攻击对象转移化,综合化复杂化,主体对象间接化,规模扩大化,技术分布化,9/12/2024,38,安全技术,安全支付技术,数据加密技术,认证技术,入侵检测技术,电子商务安全技术,防火墙技术,数字签名技术,安全支付技术,9/12/2024,39,安全支付技术,SSL,协议,又名安全套接层（,Secure Sockets Layer,）协议,最初是由,Netscape Communication,公司设计开发的,主要用于提高应用程序之间的数据的安全系数,保证任何安装了安全套接字的客户和服务器间事务安全,SET,协议,基于互联网的卡基支付，是授权业务信息传输的安全标准，,采用,RSA,公开密钥体系对通信双方进行认证，,利用,DES,、,RC4,或任何标准对称加密方法进行信息的加密传输，并用,HASH,算法来鉴别消息真伪，有无涂改,关键的认证机构（,CA,），,CA,根据,X.509,标准发布和管理证书。,9/12/2024,40,安全支付技术,SSL,协议,SSL,握手协议,SSL,记录协议,记录数据,高层,分段,散列加密,传输层,输出记录,9/12/2024,41,安全支付技术,SET,数据加密,9/12/2024,42,安全支付技术,SET,数据交换,9/12/2024,43,Q&A,9/12/2024,44,