Internet安全

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,3,章,Internet,1,3.1 Internet,安全概述,3.2,防火墙技术,3.3 VPN,技术,3.4,网络入侵检测,3.5 IP,协议安全,3.6,电子商务应用安全协议,目录,2,引例,万事达系统遇袭事件,万事达系统遇袭事件不是网络时代的个案，网站遇袭时间早已不是新闻，难道,Internet,毫无安全可言吗？,3,3.1 Internet,安全概述,3.1.1,网络层安全,3.1.2,应用层安全,3.1.3,系统安全,4,3.1.1,网络层安全,网络层安全,指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。,典型的网络层安全服务包括：,认证和完整性,保密性,访问控制,3.1 Internet,概述,5,3.1.2,应用,层安全,应用层安全,指的是建立在某个特定的应用程序内部，不依赖于任何网络层安全措施而独立运行的安全措施。,应用层安全措施包括：,认证,访问控制,保密性,数据完整性,不可否认性,与,Web,、与信息传送有关的安全措施,3.1 Internet,概述,6,3.1.3,系统,安全,系统安全,是指对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层安全措施所承担的通信保护。,系统安全措施包括：,确保在安装的软件中没有已知的安全缺陷,确保系统的配置能使入侵风险降至最低,确保所下载的软件其来源是可信任的和可靠的,确保系统能得到适当管理以使侵入风险最小,确保采用合适的审计机制，以便能防止对系统的成功入侵和采取新的合适的防御性措施,3.1 Internet,概述,7,3.2,防火墙技术,3.2.1,防火墙的基本概念,3.2.2,防火墙的基本原理,3.2.3,防火墙的实现方式,8,3.2.1,防火墙的基本概念,防火墙（,firewall,）,是在两个网络之间强制实施访问控制策略的一个系统或一组系统。,狭义,指安装了防火墙软件的主机或路由器系统。,3.2,防火墙技术,9,3.2.1,防火墙的基本概念,防火墙的功能：,过滤不安全的服务和非法用户,控制对特殊站点的访问,作为网络安全的集中监视点,防火墙的不足之处：,不能防范不经由防火墙的攻击,e.g.,拨号,不能防止受到病毒感染的软件或文件的传输,不能防止数据驱动式攻击,3.2,防火墙技术,10,3.2.2,防火墙的基本原理,1.,包过滤型防火墙,3.2,防火墙技术,11,3.2.2,防火墙的基本原理,2.,应用网关型防火墙,3.2,防火墙技术,12,3.2.2,防火墙的基本原理,3.,代理服务型防火墙,3.2,防火墙技术,13,3.2.3,防火墙的实现方式,包过滤路由器,双穴防范网关,过滤主机网关,过滤子网防火墙,3.2,防火墙技术,14,3.3 VPN,技术,虚拟专用网络,(virtual private network, VPN),技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。,15,3.3.1 VPN,的基本功能,一个成功的,VPN,方案应能满足：,用户身份验证,地址管理,数据加密,密钥管理,多协议支持,3.3.,2 VPN,的安全策略,隧道技术,加解密技术,密钥管理技术,使用者与设备身份认证技术,3.3 VPN,技术,16,3.4,网络入侵检测,3.4.1,网络入侵检测的原理,检测策略,基于主机的检测,基于应用程序的检测,基于目标的检测,基于网络的检测,3.4.2,网络入侵检测的主要方法,异常检测,误用检测,17,3.5 IP,协议安全,3.5.1 IP,安全体系结构,IPsec,文档,IPsec,的服务,IPsec,安全结构,3.5.,2,认证头协议,(AH),3.5.,3,分组加密协议,(ESP),3.5.,4,安全关联,3.5.,5,密钥交换,3.5.,6 Ipsec,的应用,18,3.5.1 IP,安全体系结构,IPsec,的基本功能包括：,在,IP,层提供安全服务,选择需要的安全协议,决定使用的算法,保存加密使用的密钥,IPsec,文档,3.5 IP,协议地址,19,3.5.1 IP,安全体系结构,IPsec,的服务,访问控制,无连接完整性,数据源的鉴别,拒绝重放的分组,机密性,有限的通信量机密性,IPsec,安全结构,安全协议,AH,和,ESP,安全关联（,SA,）,密钥交换,手工和自动（,IKE,）,认证和加密算法,3.5 IP,协议地址,20,3.5.2,认证头协议,AH,AH,的功能,AH,的格式,AH,的两种模式,认证算法,3.5 IP,协议地址,21,3.5.3,分组加密协议,ESP,ESP,的功能,主要支持,IP,数据项的机密性,也可提供认证服务,ESP,的格式,ESP,的两种模式,传输模式,隧道模式,ESP,的处理,输出包处理,输入包处理,3.5 IP,协议地址,22,3.5.4,安全关联（,SA,）,安全关联的概念,一个,SA,是在发送者和接收者这两个,IPsec,系统之间的一个简单的单向逻辑连接,SA,三元组,：,安全关联的类型,传输模式,隧道模式,SPD,和,SAD,3.5 IP,协议地址,23,3.5.5,密钥交换,IPsec,的密钥交换包括密钥的确定和分配,两种类型,手工方式,自动方式,3.5 IP,协议地址,24,3.5.6 Ipsec,的应用,Ipsec,的优点,Ipsec,的应用,3.5 IP,协议地址,25,3.6,电子商务应用安全协议,3.6.1,增强的私密电子邮件,(PEM),3.6.2,安全多用途网际邮件扩充协议,(S/MIME),3.6.3,安全超文本传输协议,(S-HTTP),3.6.4,安全套接层协议,(SSL),3.6.5,安全电子交易协议,(SET),26,3.6.1,增强的私密电子邮件,(PEM),PEM,规范,缺点：,与同期的多用途网际邮件扩充协议,MIME,不兼容,3.6,电子商务应用安全协议,27,3.6.2,安全多用途网际邮件扩充协议,S/MIME,电子邮件内容的安全问题,发送者身份认证,不可否认,邮件的完整性,邮件的保密性,S/MIME,标准（,Secure/Multipurpose Internet Mail Extension,）,设计目标：,使自己能较易加入到已有的,Email,产品之中,安全标准：,信息格式：继承了,MIME,规格,信息加密标准：包括,DES,、三重,DES,、,RC4,数字签名标准：,PKCS,数字证书格式：,X.509,MIME,和,S/MIME,3.6,电子商务应用安全协议,28,3.6.3,安全超文本传输协议（,S-HTTP,）,S-HTTP,是致力于促进以因特网为基础的电子商务技术发展的国际财团,CommerceNet,协会提出的安全传输协议，主要利用密钥对加密的方法来保障,Web,站点上的信息安全。,3.6,电子商务应用安全协议,29,3.6.4,安全套接层协议,(Secure Sockets Layer,，,SSL),SSL,协议概述,SSL,建立在,TCP,协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于,SSL,协议之上。,e.g.HTTP over SSL(HTTPS),3.6,电子商务应用安全协议,30,3.6.4,安全套接层协议,(Secure Sockets Layer,，,SSL),SSL,协议的功能,SSL,服务器认证,确认用户身份,保证数据传输的机密性和完整性,SSL,的体系结构,基于,SSL,的银行卡支付过程,3.6,电子商务应用安全协议,31,3.6.5,安全,电子交易协议,Secure Electronic Transaction,，,SET,SET,协议概述,SET,是一种应用于因特网环境下，以信用卡为基础的安全电子支付协议。,通过,SET,可以实现电子商务交易中的加密、认证、密钥管理等机制，保证在开放网络上使用信用卡进行在线购物的安全。,3.6,电子商务应用安全协议,32,3.6.5,安全,电子交易协议,Secure Electronic Transaction,，,SET,SET,交易参与方,3.6,电子商务应用安全协议,33,3.6.5,安全,电子交易协议,Secure Electronic Transaction,，,SET,SET,购物流程,3.6,电子商务应用安全协议,34,3.6.5,安全,电子交易协议,Secure Electronic Transaction,，,SET,SET,支付信息,支付发起请求,/,支付发起应答,(PinitReq/PinitRes),购买请求,/,购买应答,(Preq/Pres),授权请求,/,授权应答,(AuthReq/AuthRes),支付请求,/,支付应答,(CapReq/CapRes),SET,交易流程与传统银行卡交易流程的比较,SET,与,SSL,的比较,3.6,电子商务应用安全协议,35,Thanks!,36,