中安全技術課件

1、2021-5-4中安全技術1 電子商務概論 基礎知識基礎知識 重要支撐技術重要支撐技術 未來發(fā)展方向未來發(fā)展方向 中安全技術 電子商務安全技術 覃征 教授 中安全技術 主要內容主要內容 安全問題提出安全問題提出 安全問題分析安全問題分析 安全問題解決安全問題解決 中安全技術 問題提出 Web Web ServerServer The InternetThe Internet Encryption ！線路傳輸！線路傳輸！ ！客戶終端！客戶終端！ ！線路連接！線路連接！ The IntranetThe Intranet Web Server WeaknessWeakness : : Enterpr

2、ise Enterprise NetworkNetwork u電子商務危險 無處不在！ 中安全技術 問題分析 互聯(lián)網開放性 成員多樣性 位置分散性 信息信息 保密性保密性 信息信息 完整性完整性 系統(tǒng)抗系統(tǒng)抗 攻擊性攻擊性 消費者消費者 隱私保護性隱私保護性 抗抵賴性抗抵賴性 身份真實性身份真實性 電電 子子 商商 務務 安安 全全 技技 術術 中安全技術 問題解決問題解決 數(shù)據加密技術數(shù)據加密技術認證技術認證技術入侵檢測技術入侵檢測技術 電子商務安全技術電子商務安全技術 防火墻技術防火墻技術數(shù)字簽名技術數(shù)字簽名技術 安全支付技術安全支付技術 中安全技術 安全技術安全技術防火墻技術防火墻技術

3、數(shù)據加密技術數(shù)據加密技術認證技術認證技術入侵檢測技術入侵檢測技術 電子商務安全技術電子商務安全技術 防火墻技術防火墻技術數(shù)字簽名技術數(shù)字簽名技術 安全支付技術安全支付技術 中安全技術 安全技術防火墻技術 什么是防火墻 在被保護網絡和在被保護網絡和InternetInternet之間，或者和其它網絡之間，或者和其它網絡 之間限制訪問的軟件和硬件的組合之間限制訪問的軟件和硬件的組合 Internet Server 內部網 中安全技術 防火墻技術的功能防火墻技術的功能 管理功能管理功能 安全特性安全特性 記錄報表功能記錄報表功能 防御功能防御功能 中安全技術 防火墻功能（續(xù)）防御 支持病毒掃描支持病

4、毒掃描 提供內容過濾提供內容過濾 能部分防御能部分防御 DOSDOS攻擊攻擊 阻止阻止 ActiveXActiveX、JavaJava、等侵入、等侵入 中安全技術 防火墻功能（續(xù)）防火墻功能（續(xù)）安全安全 安安 全全 特特 性性 支持轉發(fā)和跟蹤網絡間報文控制協(xié)議支持轉發(fā)和跟蹤網絡間報文控制協(xié)議ICMPICMP 提供入侵實時警告提供入侵實時警告 提供實時入侵防范提供實時入侵防范 識別識別 / /記錄記錄/ /防止企圖進行防止企圖進行IPIP地址欺騙地址欺騙 中安全技術 防火墻功能（續(xù)）防火墻功能（續(xù)）管理管理 管管 理理 功功 能能 通過集成策略集中管理多個防火墻通過集成策略集中管理多個防火墻

5、應提供基于時間的訪問控制應提供基于時間的訪問控制 應支持簡單網絡管理協(xié)議應支持簡單網絡管理協(xié)議(SNMP)(SNMP)監(jiān)視和配置監(jiān)視和配置 本地管理本地管理 遠程管理遠程管理 支持帶寬管理支持帶寬管理 負載均衡特性失敗恢復特性負載均衡特性失敗恢復特性 中安全技術 防火墻功能（續(xù)）防火墻功能（續(xù)）記錄報表記錄報表 防火墻處理完整日志的方法防火墻處理完整日志的方法 提供自動日志掃描提供自動日志掃描 提供自動報表、日志報告書寫器提供自動報表、日志報告書寫器 報警通知機制報警通知機制 提供簡要報表提供簡要報表 提供實時統(tǒng)計提供實時統(tǒng)計 列出獲得的國內有關部門許可證類別及號碼列出獲得的國內有關部門許可證

6、類別及號碼 中安全技術 防火墻的體系結構 多宿主機體系結構多宿主機體系結構 被屏蔽主機體系結構 被屏蔽子網體系結構被屏蔽子網體系結構 中安全技術 防火墻技術分類防火墻技術分類 防火墻的種類防火墻的種類 分組過濾：分組過濾： 作用在網絡層和傳輸層，它根據分組包頭源地址，目的地址作用在網絡層和傳輸層，它根據分組包頭源地址，目的地址 和端口號、協(xié)議類型等標志確定是否允許數(shù)據包通過。只有滿足過濾邏輯的和端口號、協(xié)議類型等標志確定是否允許數(shù)據包通過。只有滿足過濾邏輯的 數(shù)據包才被轉發(fā)到相應的目的地出口端，其余數(shù)據包則被從數(shù)據流中丟棄。數(shù)據包才被轉發(fā)到相應的目的地出口端，其余數(shù)據包則被從數(shù)據流中丟棄。 應

7、用代理：應用代理： 也叫應用網關，它作用在應用層，其特點是完全也叫應用網關，它作用在應用層，其特點是完全“阻隔阻隔”了網絡通了網絡通 信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通 信流的作用。實際中的應用網關通常由專用工作站實現(xiàn)。信流的作用。實際中的應用網關通常由專用工作站實現(xiàn)。 中安全技術 防火墻技術分類（續(xù)）防火墻技術分類（續(xù)） 分組過濾：分組過濾：一個設備采取的有選擇地控制來往一個設備采取的有選擇地控制來往 于網絡的數(shù)據流的行動。數(shù)據包過濾可以發(fā)生在于網絡的數(shù)據流的行動。數(shù)據包過濾可以發(fā)生在 路由器或

8、網橋上。路由器或網橋上。 Internet 內部網 Server 中安全技術 防火墻技術分類（續(xù)防火墻技術分類（續(xù)） 應用代理：應用代理： 代理服務是運行在防火墻主機上的應用程序或服代理服務是運行在防火墻主機上的應用程序或服 務器程序。它在幕后處理所有務器程序。它在幕后處理所有InternetInternet用戶和內用戶和內 部網之間的通訊以代替直接交談。部網之間的通訊以代替直接交談。 Server Internet 代理服務代理服務 內部網 中安全技術 防火墻技術的優(yōu)點 防止易受攻擊的服務防止易受攻擊的服務控制訪問網點系統(tǒng)控制訪問網點系統(tǒng) 集中安全性增強保密性、 強化私有權 防火墻的優(yōu)點防火

9、墻的優(yōu)點 中安全技術 安全技術安全技術數(shù)據加密技術數(shù)據加密技術 數(shù)據加密技術數(shù)據加密技術認證技術認證技術入侵檢測技術入侵檢測技術 電子商務安全技術電子商務安全技術 防火墻技術防火墻技術數(shù)字簽名技術數(shù)字簽名技術 安全支付技術安全支付技術 中安全技術 數(shù)據加密技術數(shù)據加密技術 什么是加密？什么是加密？ 加密是指對數(shù)據進行編碼使其看起來毫無意義，同時仍加密是指對數(shù)據進行編碼使其看起來毫無意義，同時仍 保持可恢復的形式。保持可恢復的形式。 中安全技術 數(shù)據加密技術分類數(shù)據加密技術分類 對稱加密對稱加密 序列算法（序列算法（stream algorithmstream algorithm）：）： 一次只

10、對明文中單個位（有時為字節(jié)）加密或解密運算一次只對明文中單個位（有時為字節(jié)）加密或解密運算 分組算法（分組算法（block algorithmblock algorithm）：）： 一次明文的一組固定長度的字節(jié)進行加密或解密運算一次明文的一組固定長度的字節(jié)進行加密或解密運算 DESDES、AES AES 公開密鑰加密公開密鑰加密 加密與解密使用不同的密鑰，而且從加密密鑰無法推導加密與解密使用不同的密鑰，而且從加密密鑰無法推導 出解密密鑰出解密密鑰 RSARSA、ECCECC、DSADSA 中安全技術 數(shù)據加密分類（續(xù)）數(shù)據加密分類（續(xù)）對稱加密對稱加密 明文消息明文消息 M M M M 加密消

11、息加密消息 明文消息明文消息 同一把密匙同一把密匙 中安全技術 數(shù)據加密分類（續(xù)）數(shù)據加密分類（續(xù)）公開密匙公開密匙 明文消息明文消息 M M M M 加密消息加密消息 明文消息明文消息 密匙密匙M M N NN N 密匙密匙N N 中安全技術 數(shù)據加密分類（續(xù)）數(shù)據加密分類（續(xù)）過程對比過程對比 加密過程加密過程對對 稱稱非非 對對 稱稱 step1step1 AliceAlice和和BobBob協(xié)商一個密碼協(xié)商一個密碼 系統(tǒng)系統(tǒng) AliceAlice和和BobBob選用一個公開密碼系統(tǒng)選用一個公開密碼系統(tǒng) step2step2 密鑰是秘密的密鑰是秘密的AliceAlice和和BobBob

12、協(xié)商同一密鑰協(xié)商同一密鑰 BobBob將她的公開密鑰傳送給將她的公開密鑰傳送給Alice Alice step3step3 AliceAlice用協(xié)商的加密算法和用協(xié)商的加密算法和 密鑰加密她的消息，得到密鑰加密她的消息，得到 消息的密文消息的密文 AliceAlice用用BobBob的公開密鑰加密她的消息，然后發(fā)的公開密鑰加密她的消息，然后發(fā) 送給送給Bob Bob step4step4 AliceAlice發(fā)送密文消息給發(fā)送密文消息給Bob Bob BobBob用他的私人密鑰解密用他的私人密鑰解密AliceAlice的消息，然后閱的消息，然后閱 讀消息讀消息 step5step5 BobB

13、ob用同樣的密鑰和算法解用同樣的密鑰和算法解 密密文，得到原始明文，密密文，得到原始明文， 然后閱讀明文然后閱讀明文 中安全技術 數(shù)據加密分類（續(xù)）體制對比 特特 性性對對 稱稱非非 對對 稱稱 密鑰的數(shù)目密鑰的數(shù)目單一密鑰單一密鑰密鑰是成對的密鑰是成對的 密鑰種類密鑰種類密鑰是秘密的密鑰是秘密的一個私有、一個公開一個私有、一個公開 密鑰管理密鑰管理簡單不好管理簡單不好管理需要數(shù)字證書及可靠第三者需要數(shù)字證書及可靠第三者 相對速度相對速度非?？旆浅？炻?用途用途用來做大量資料的加用來做大量資料的加 密密 用來做加密小文件或對信息簽字等不太用來做加密小文件或對信息簽字等不太 嚴格保密的應用嚴格

14、保密的應用 缺點缺點密鑰必須秘密地分配密鑰必須秘密地分配 密鑰的數(shù)量大、管理密鑰的數(shù)量大、管理 困難困難 公開密鑰算法速度很慢；大約只有對稱公開密鑰算法速度很慢；大約只有對稱 密碼算法的密碼算法的1 110001000到到1 1100 100 公開密鑰算法對選擇明文攻擊很脆弱公開密鑰算法對選擇明文攻擊很脆弱 中安全技術 安全技術數(shù)字簽名技術 數(shù)據加密技術數(shù)據加密技術認證技術認證技術入侵檢測技術入侵檢測技術 電子商務安全技術電子商務安全技術 防火墻技術防火墻技術數(shù)字簽名技術數(shù)字簽名技術 安全支付技術安全支付技術 中安全技術 數(shù)字簽名技術數(shù)字簽名技術過程對比過程對比 加密過加密過 程程 RSARS

15、A公開密鑰算法公開密鑰算法 簽名簽名 單向散列函數(shù)和公開密鑰算法簽名單向散列函數(shù)和公開密鑰算法簽名 step1step1AliceAlice產生文件的單向散列值產生文件的單向散列值 step2step2AliceAlice用她的私人密鑰用她的私人密鑰 對文件加密，從而完對文件加密，從而完 成對文件的數(shù)字簽名成對文件的數(shù)字簽名 AliceAlice用她的私人密鑰對散列值加密，憑用她的私人密鑰對散列值加密，憑 此表示對文件加密此表示對文件加密 step3step3AliceAlice將簽名的文件傳將簽名的文件傳 給給BobBob AliceAlice用用BobBob的公開密鑰加密她的消息，然的公開

16、密鑰加密她的消息，然 后發(fā)送給后發(fā)送給Bob AliceBob Alice將文件和散列簽名發(fā)將文件和散列簽名發(fā) 送給送給Bob Bob step4step4BobBob用用AliceAlice公開密鑰公開密鑰 解密文件，完成對簽解密文件，完成對簽 名的驗證名的驗證 BobBob用用AliceAlice發(fā)送的文件產生文件的散列發(fā)送的文件產生文件的散列 值，然后用值，然后用AliceAlice的公開密鑰解密的公開密鑰解密AliceAlice的的 簽名，如果計算出的散列值和解密出的散簽名，如果計算出的散列值和解密出的散 列值相同，簽名有效列值相同，簽名有效 中安全技術 數(shù)字簽名技術公開密鑰加密 中安

17、全技術 安全技術認證技術 數(shù)據加密技術數(shù)據加密技術認證技術認證技術入侵檢測技術入侵檢測技術 電子商務安全技術電子商務安全技術 防火墻技術防火墻技術數(shù)字簽名技術數(shù)字簽名技術 安全支付技術安全支付技術 中安全技術 認證技術認證技術 什么是認證技術什么是認證技術 認證是電子商務交易最重要的環(huán)節(jié)，通過某種成熟的認證是電子商務交易最重要的環(huán)節(jié)，通過某種成熟的 技術，保證在電子商務活動中任何一方都不能進行欺技術，保證在電子商務活動中任何一方都不能進行欺 騙。保證你在打交道的人就是它聲稱的某個人，而不騙。保證你在打交道的人就是它聲稱的某個人，而不 是其他人冒充的。我們常聽說的認證中心主要的任務是其他人冒充的

18、。我們常聽說的認證中心主要的任務 就是進行認證。就是進行認證。 認證的方法包括數(shù)字認證和生物認證認證的方法包括數(shù)字認證和生物認證 中安全技術 生物認證技術示例生物認證技術示例指紋認證指紋認證 中安全技術 生物認證技術示例生物認證技術示例指紋認證指紋認證 指指 紋紋 識識 別別 流流 程程 中安全技術 生物認證技術示例虹膜認證 虹虹 膜膜 認認 證證 中安全技術 生物認證技術示例步態(tài)識別認證 步步 態(tài)態(tài) 識識 別別 認認 證證 中安全技術 生物認證技術示例手工簽名認證 手手 工工 簽簽 名名 認認 證證 中安全技術 安全技術入侵檢測技術 數(shù)據加密技術數(shù)據加密技術認證技術認證技術入侵檢測技術入侵檢

19、測技術 電子商務安全技術電子商務安全技術 防火墻技術防火墻技術數(shù)字簽名技術數(shù)字簽名技術 安全支付技術安全支付技術 中安全技術 入侵檢測技術入侵檢測技術 系統(tǒng)遭到入侵有兩種情況系統(tǒng)遭到入侵有兩種情況 (1)(1)非法用戶訪問他不應該訪問的系統(tǒng)；非法用戶訪問他不應該訪問的系統(tǒng)； (2)(2)合法用戶訪問它不應訪問的信息或者進行未授合法用戶訪問它不應訪問的信息或者進行未授 權的操作。權的操作。 入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與 配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權使用配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權使用 或其他異?，F(xiàn)象的技術，是一種

20、用于檢測計算機網或其他異?，F(xiàn)象的技術，是一種用于檢測計算機網 絡中違反安全策略行為的技術。違反安全策略的行絡中違反安全策略行為的技術。違反安全策略的行 為有：入侵為有：入侵非法用戶的違規(guī)行為；濫用非法用戶的違規(guī)行為；濫用用戶的用戶的 違規(guī)行為。違規(guī)行為。 入入 侵侵 檢檢 測測 技技 術術 入入 侵侵 中安全技術 入侵技術的發(fā)展與演化 攻擊對象轉移化攻擊對象轉移化 綜合化復雜化綜合化復雜化 主體對象間接化主體對象間接化 規(guī)模擴大化規(guī)模擴大化 技術分布化技術分布化 中安全技術 安全技術安全支付技術 數(shù)據加密技術數(shù)據加密技術認證技術認證技術入侵檢測技術入侵檢測技術 電子商務安全技術電子商務安全技術 防火墻技術防火墻技術數(shù)字簽名技術數(shù)字簽名技術 安全支付技術安全支付技術 中安全技術 安全