中安全技术课件

2022-5-8中安全技术1电子商务概论基础知识基础知识重要支撑技术重要支撑技术管理技术管理技术应用应用未来发展方向未来发展方向2022-5-8中安全技术2电子商务安全技术覃征 教授2022-5-8中安全技术3主要内容主要内容 安全问题提出安全问题提出 安全问题分析安全问题分析 安全问题解决安全问题解决2022-5-8中安全技术4问题提出Web Web ServerServerThe InternetThe InternetEncryption！线路传输！线路传输！客户终端！客户终端！线路连接！线路连接！ The IntranetThe IntranetWeb ServerWeaknessWeakness : : Enterprise Enterprise NetworkNetworku电子商务危险 无处不在！2022-5-8中安全技术5问题分析互联网开放性成员多样性位置分散性信息信息保密性保密性信息信息完整性完整性系统抗系统抗攻击性攻击性消费者消费者隐私保护性隐私保护性抗抵赖性抗抵赖性身份真实性身份真实性电电子子商商务务安安全全技技术术2022-5-8中安全技术6问题解决问题解决数据加密技术数据加密技术认证技术认证技术入侵检测技术入侵检测技术电子商务安全技术电子商务安全技术防火墙技术防火墙技术数字签名技术数字签名技术安全支付技术安全支付技术2022-5-8中安全技术7安全技术安全技术防火墙技术防火墙技术数据加密技术数据加密技术认证技术认证技术入侵检测技术入侵检测技术电子商务安全技术电子商务安全技术防火墙技术防火墙技术数字签名技术数字签名技术安全支付技术安全支付技术2022-5-8中安全技术8安全技术防火墙技术 什么是防火墙 在被保护网络和在被保护网络和InternetInternet之间，或者和其它网络之间，或者和其它网络之间限制访问的软件和硬件的组合之间限制访问的软件和硬件的组合InternetServer内部网2022-5-8中安全技术9防火墙技术的功能防火墙技术的功能管理功能管理功能 安全特性安全特性 记录报表功能记录报表功能 防御功能防御功能 2022-5-8中安全技术10防火墙功能（续）防御支持病毒扫描支持病毒扫描提供内容过滤提供内容过滤能部分防御能部分防御 DOSDOS攻击攻击 阻止阻止 ActiveXActiveX、JavaJava、等侵入、等侵入2022-5-8中安全技术11防火墙功能（续）防火墙功能（续）安全安全安安全全特特性性支持转发和跟踪网络间报文控制协议支持转发和跟踪网络间报文控制协议ICMPICMP提供入侵实时警告提供入侵实时警告提供实时入侵防范提供实时入侵防范识别识别 / /记录记录/ /防止企图进行防止企图进行IPIP地址欺骗地址欺骗2022-5-8中安全技术12防火墙功能（续）防火墙功能（续）管理管理管管理理功功能能通过集成策略集中管理多个防火墙通过集成策略集中管理多个防火墙 应提供基于时间的访问控制应提供基于时间的访问控制应支持简单网络管理协议应支持简单网络管理协议(SNMP)(SNMP)监视和配置监视和配置本地管理本地管理远程管理远程管理支持带宽管理支持带宽管理负载均衡特性失败恢复特性负载均衡特性失败恢复特性 2022-5-8中安全技术13防火墙功能（续）防火墙功能（续）记录报表记录报表防火墙处理完整日志的方法防火墙处理完整日志的方法提供自动日志扫描提供自动日志扫描提供自动报表、日志报告书写器提供自动报表、日志报告书写器报警通知机制报警通知机制提供简要报表提供简要报表 提供实时统计提供实时统计列出获得的国内有关部门许可证类别及号码列出获得的国内有关部门许可证类别及号码2022-5-8中安全技术14防火墙的体系结构多宿主机体系结构多宿主机体系结构 被屏蔽主机体系结构 被屏蔽子网体系结构被屏蔽子网体系结构2022-5-8中安全技术15防火墙技术分类防火墙技术分类 防火墙的种类防火墙的种类分组过滤：分组过滤： 作用在网络层和传输层，它根据分组包头源地址，目的地址作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。应用代理：应用代理： 也叫应用网关，它作用在应用层，其特点是完全也叫应用网关，它作用在应用层，其特点是完全“阻隔阻隔”了网络通了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。信流的作用。实际中的应用网关通常由专用工作站实现。 2022-5-8中安全技术16防火墙技术分类（续）防火墙技术分类（续） 分组过滤：分组过滤：一个设备采取的有选择地控制来往一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。路由器或网桥上。Internet内部网Server2022-5-8中安全技术17防火墙技术分类（续防火墙技术分类（续） 应用代理：应用代理：代理服务是运行在防火墙主机上的应用程序或服代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有务器程序。它在幕后处理所有InternetInternet用户和内用户和内部网之间的通讯以代替直接交谈。部网之间的通讯以代替直接交谈。ServerInternet代理服务代理服务内部网2022-5-8中安全技术18防火墙技术的优点 防止易受攻击的服务防止易受攻击的服务控制访问网点系统控制访问网点系统集中安全性增强保密性、强化私有权防火墙的优点防火墙的优点2022-5-8中安全技术19安全技术安全技术数据加密技术数据加密技术数据加密技术数据加密技术认证技术认证技术入侵检测技术入侵检测技术电子商务安全技术电子商务安全技术防火墙技术防火墙技术数字签名技术数字签名技术安全支付技术安全支付技术2022-5-8中安全技术20数据加密技术数据加密技术什么是加密？什么是加密？加密是指对数据进行编码使其看起来毫无意义，同时仍加密是指对数据进行编码使其看起来毫无意义，同时仍保持可恢复的形式。保持可恢复的形式。2022-5-8中安全技术21数据加密技术分类数据加密技术分类 对称加密对称加密 序列算法（序列算法（stream algorithmstream algorithm）：）：一次只对明文中单个位（有时为字节）加密或解密运算一次只对明文中单个位（有时为字节）加密或解密运算 分组算法（分组算法（block algorithmblock algorithm）：）：一次明文的一组固定长度的字节进行加密或解密运算一次明文的一组固定长度的字节进行加密或解密运算 DESDES、AES AES 公开密钥加密公开密钥加密 加密与解密使用不同的密钥，而且从加密密钥无法推导加密与解密使用不同的密钥，而且从加密密钥无法推导出解密密钥出解密密钥 RSARSA、ECCECC、DSADSA2022-5-8中安全技术22数据加密分类（续）数据加密分类（续）对称加密对称加密明文消息明文消息M MM M加密消息加密消息明文消息明文消息同一把密匙同一把密匙2022-5-8中安全技术23数据加密分类（续）数据加密分类（续）公开密匙公开密匙明文消息明文消息M MM M加密消息加密消息明文消息明文消息密匙密匙M MN NN N密匙密匙N N2022-5-8中安全技术24数据加密分类（续）数据加密分类（续）过程对比过程对比加密过程加密过程对对 称称非非 对对 称称step1step1AliceAlice和和BobBob协商一个密码协商一个密码系统系统 AliceAlice和和BobBob选用一个公开密码系统选用一个公开密码系统 step2step2密钥是秘密的密钥是秘密的AliceAlice和和BobBob协商同一密钥协商同一密钥 BobBob将她的公开密钥传送给将她的公开密钥传送给Alice Alice step3step3AliceAlice用协商的加密算法和用协商的加密算法和密钥加密她的消息，得到密钥加密她的消息，得到消息的密文消息的密文 AliceAlice用用BobBob的公开密钥加密她的消息，然后发的公开密钥加密她的消息，然后发送给送给Bob Bob step4step4AliceAlice发送密文消息给发送密文消息给Bob Bob BobBob用他的私人密钥解密用他的私人密钥解密AliceAlice的消息，然后阅的消息，然后阅读消息读消息 step5step5BobBob用同样的密钥和算法解用同样的密钥和算法解密密文，得到原始明文，密密文，得到原始明文，然后阅读明文然后阅读明文 2022-5-8中安全技术25数据加密分类（续）体制对比特特 性性对对 称称非非 对对 称称密钥的数目密钥的数目单一密钥单一密钥密钥是成对的密钥是成对的密钥种类密钥种类密钥是秘密的密钥是秘密的一个私有、一个公开一个私有、一个公开密钥管理密钥管理简单不好管理简单不好管理需要数字证书及可靠第三者需要数字证书及可靠第三者相对速度相对速度非常快非常快慢慢用途用途用来做大量资料的加用来做大量资料的加密密用来做加密小文件或对信息签字等不太用来做加密小文件或对信息签字等不太严格保密的应用严格保密的应用缺点缺点密钥必须秘密地分配密钥必须秘密地分配 密钥的数量大、管理密钥的数量大、管理困难困难 公开密钥算法速度很慢；大约只有对称公开密钥算法速度很慢；大约只有对称密码算法的密码算法的1 110001000到到1 1100 100 公开密钥算法对选择明文攻击很脆弱公开密钥算法对选择明文攻击很脆弱2022-5-8中安全技术26安全技术数字签名技术数据加密技术数据加密技术认证技术认证技术入侵检测技术入侵检测技术电子商务安全技术电子商务安全技术防火墙技术防火墙技术数字签名技术数字签名技术安全支付技术安全支付技术2022-5-8中安全技术27数字签名技术数字签名技术过程对比过程对比加密过加密过程程RSARSA公开密钥算法公开密钥算法签名签名 单向散列函数和公开密钥算法签名单向散列函数和公开密钥算法签名 step1step1AliceAlice产生文件的单向散列值产生文件的单向散列值 step2step2AliceAlice用她的私人密钥用她的私人密钥对文件加密，从而完对文件加密，从而完成对文件的数字签名成对文件的数字签名AliceAlice用她的私人密钥对散列值加密，凭用她的私人密钥对散列值加密，凭此表示对文件加密此表示对文件加密 step3step3AliceAlice将签名的文件传将签名的文件传给给BobBobAliceAlice用用BobBob的公开密钥加密她的消息，然的公开密钥加密她的消息，然后发送给后发送给Bob AliceBob Alice将文件和散列签名发将文件和散列签名发送给送给Bob Bob step4step4BobBob用用AliceAlice公开密钥公开密钥解密文件，完成对签解密文件，完成对签名的验证名的验证 BobBob用用AliceAlice发送的文件产生文件的散列发送的文件产生文件的散列值，然后用值，然后用AliceAlice的公开密钥解密的公开密钥解密AliceAlice的的签名，如果计算出的散列值和解密出的散签名，如果计算出的散列值和解密出的散列值相同，签名有效列值相同，签名有效 2022-5-8中安全技术28数字签名技术公开密钥加密2022-5-8中安全技术29安全技术认证技术数据加密技术数据加密技术认证技术认证技术入侵检测技术入侵检测技术电子商务安全技术电子商务安全技术防火墙技术防火墙技术数字签名技术数字签名技术安全支付技术安全支付技术2022-5-8中安全技术30认证技术认证技术 什么是认证技术什么是认证技术认证是电子商务交易最重要的环节，通过某种成熟的认证是电子商务交易最重要的环节，通过某种成熟的技术，保证在电子商务活动中任何一方都不能进行欺技术，保证在电子商务活动中任何一方都不能进行欺骗。保证你在打交道的人就是它声称的某个人，而不骗。保证你在打交道的人就是它声称的某个人，而不是其他人冒充的。我们常听说的认证中心主要的任务是其他人冒充的。我们常听说的认证中心主要的任务就是进行认证。就是进行认证。 认证的方法包括数字认证和生物认证认证的方法包括数字认证和生物认证2022-5-8中安全技术31生物认证技术示例生物认证技术示例指纹认证指纹认证2022-5-8中安全技术32生物认证技术示例生物认证技术示例指纹认证指纹认证指指纹纹识识别别流流程程2022-5-8中安全技术33生物认证技术示例虹膜认证虹虹膜膜认认证证2022-5-8中安全技术34生物认证技术示例步态识别认证步步态态识识别别认认证证2022-5-8中安全技术35生物认证技术示例手工签名认证手手工工签签名名认认证证2022-5-8中安全技术36安全技术入侵检测技术数据加密技术数据加密技术认证技术认证技术入侵检测技术入侵检测技术电子商务安全技术电子商务安全技术防火墙技术防火墙技术数字签名技术数字签名技术安全支付技术安全支付技术2022-5-8中安全技术37入侵检测技术入侵检测技术 系统遭到入侵有两种情况系统遭到入侵有两种情况(1)(1)非法用户访问他不应该访问的系统；非法用户访问他不应该访问的系统；(2)(2)合法用户访问它不应访问的信息或者进行未授合法用户访问它不应访问的信息或者进行未授权的操作。权的操作。 入侵检测技术是为保证计算机系统的安全而设计与入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权使用配置的一种能够及时发现并报告系统中未授权使用或其他异常现象的技术，是一种用于检测计算机网或其他异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行络中违反安全策略行为的技术。违反安全策略的行为有：入侵为有：入侵非法用户的违规行为；滥用非法用户的违规行为；滥用用户的用户的违规行为。违规行为。入入侵侵检检测测技技术术入入侵侵2022-5-8中安全技术38入侵技术的发展与演化 攻击对象转移化攻击对象转移化综合化复杂化综合化复杂化主体对象间接化主体对象间接化规模扩大化规模扩大化 技术分布化技术分布化2022-5-8中安全技术39安全技术安全支付技术数据加密技术数据加密技术认证技术认证技术入侵检测技术入侵检测技术电子商务安全技术电子商务安全技术防火墙技术防火墙技术数字签名技术数字签名技术安全支付技术安全支付技术2022-5-8中安全技术40安全支付技术安全支付技术 SSLSSL协议协议 又名安全套接层（又名安全套接层（Secure Sockets LayerSecure Sockets Layer）协议）协议 最初是由最初是由Netscape CommunicationNetscape Communication公司设计开发的公司设计开发的 主要用于提高应用程序之间的数据的安全系数主要用于提高应用程序之间的数据的安全系数 保证任何安装了安全套接字的客户和服务器间事务安全保证任何安装了安全套接字的客户和服务器间事务安全 SETSET协议协议 基于互联网的卡基支付，是授权业务信息传输的安全标准，基于互联网的卡基支付，是授权业务信息传输的安全标准， 采用采用RSARSA公开密钥体系对通信双方进行认证，公开密钥体系对通信双方进行认证， 利用利用DESDES、RC4RC4或任何标准对称加密方法进行信息的加密传输，并或任何标准对称加密方法进行信息的加密传输，并用用HASHHASH算法来鉴别消息真伪，有无涂改算法来鉴别消息真伪，有无涂改 关键的认证机构（关键的认证机构（CACA），），CACA根据根据X.509X.509标准发布和管理证书。标准发布和管理证书。 2022-5-8中安全技术41安全支付技术安全支付技术SSLSSL协议协议SSLSSL握手协议握手协议SSLSSL记录协议记录协议 记录数据记录数据高层高层分段分段散列加密散列加密传输层传输层输出记录输出记录2022-5-8中安全技术42安全支付技术SET数据加密2022-5-8中安全技术43安全支付技术SETSET数据交换数据交换 2022-5-8中安全技术44Q&A