中安全技術(shù)課件

1、2021-5-4中安全技術(shù)1 電子商務(wù)概論 基礎(chǔ)知識基礎(chǔ)知識 重要支撐技術(shù)重要支撐技術(shù) 未來發(fā)展方向未來發(fā)展方向 中安全技術(shù) 電子商務(wù)安全技術(shù) 覃征 教授 中安全技術(shù) 主要內(nèi)容主要內(nèi)容 安全問題提出安全問題提出 安全問題分析安全問題分析 安全問題解決安全問題解決 中安全技術(shù) 問題提出 Web Web ServerServer The InternetThe Internet Encryption ！線路傳輸！線路傳輸！ ！客戶終端！客戶終端！ ！線路連接！線路連接！ The IntranetThe Intranet Web Server WeaknessWeakness : : Enterpr

2、ise Enterprise NetworkNetwork u電子商務(wù)危險(xiǎn) 無處不在！ 中安全技術(shù) 問題分析 互聯(lián)網(wǎng)開放性 成員多樣性 位置分散性 信息信息 保密性保密性 信息信息 完整性完整性 系統(tǒng)抗系統(tǒng)抗 攻擊性攻擊性 消費(fèi)者消費(fèi)者 隱私保護(hù)性隱私保護(hù)性 抗抵賴性抗抵賴性 身份真實(shí)性身份真實(shí)性 電電 子子 商商 務(wù)務(wù) 安安 全全 技技 術(shù)術(shù) 中安全技術(shù) 問題解決問題解決 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)認(rèn)證技術(shù)入侵檢測技術(shù)入侵檢測技術(shù) 電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù) 防火墻技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 安全支付技術(shù)安全支付技術(shù) 中安全技術(shù) 安全技術(shù)安全技術(shù)防火墻技術(shù)防火墻技術(shù)

3、數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)認(rèn)證技術(shù)入侵檢測技術(shù)入侵檢測技術(shù) 電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù) 防火墻技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 安全支付技術(shù)安全支付技術(shù) 中安全技術(shù) 安全技術(shù)防火墻技術(shù) 什么是防火墻 在被保護(hù)網(wǎng)絡(luò)和在被保護(hù)網(wǎng)絡(luò)和InternetInternet之間，或者和其它網(wǎng)絡(luò)之間，或者和其它網(wǎng)絡(luò) 之間限制訪問的軟件和硬件的組合之間限制訪問的軟件和硬件的組合 Internet Server 內(nèi)部網(wǎng) 中安全技術(shù) 防火墻技術(shù)的功能防火墻技術(shù)的功能 管理功能管理功能 安全特性安全特性 記錄報(bào)表功能記錄報(bào)表功能 防御功能防御功能 中安全技術(shù) 防火墻功能（續(xù)）防御 支持病毒掃描支持病

4、毒掃描 提供內(nèi)容過濾提供內(nèi)容過濾 能部分防御能部分防御 DOSDOS攻擊攻擊 阻止阻止 ActiveXActiveX、JavaJava、等侵入、等侵入 中安全技術(shù) 防火墻功能（續(xù)）防火墻功能（續(xù)）安全安全 安安 全全 特特 性性 支持轉(zhuǎn)發(fā)和跟蹤網(wǎng)絡(luò)間報(bào)文控制協(xié)議支持轉(zhuǎn)發(fā)和跟蹤網(wǎng)絡(luò)間報(bào)文控制協(xié)議ICMPICMP 提供入侵實(shí)時(shí)警告提供入侵實(shí)時(shí)警告 提供實(shí)時(shí)入侵防范提供實(shí)時(shí)入侵防范 識別識別 / /記錄記錄/ /防止企圖進(jìn)行防止企圖進(jìn)行IPIP地址欺騙地址欺騙 中安全技術(shù) 防火墻功能（續(xù)）防火墻功能（續(xù)）管理管理 管管 理理 功功 能能 通過集成策略集中管理多個(gè)防火墻通過集成策略集中管理多個(gè)防火墻

5、應(yīng)提供基于時(shí)間的訪問控制應(yīng)提供基于時(shí)間的訪問控制 應(yīng)支持簡單網(wǎng)絡(luò)管理協(xié)議應(yīng)支持簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)(SNMP)監(jiān)視和配置監(jiān)視和配置 本地管理本地管理 遠(yuǎn)程管理遠(yuǎn)程管理 支持帶寬管理支持帶寬管理 負(fù)載均衡特性失敗恢復(fù)特性負(fù)載均衡特性失敗恢復(fù)特性 中安全技術(shù) 防火墻功能（續(xù)）防火墻功能（續(xù)）記錄報(bào)表記錄報(bào)表 防火墻處理完整日志的方法防火墻處理完整日志的方法 提供自動(dòng)日志掃描提供自動(dòng)日志掃描 提供自動(dòng)報(bào)表、日志報(bào)告書寫器提供自動(dòng)報(bào)表、日志報(bào)告書寫器 報(bào)警通知機(jī)制報(bào)警通知機(jī)制 提供簡要報(bào)表提供簡要報(bào)表 提供實(shí)時(shí)統(tǒng)計(jì)提供實(shí)時(shí)統(tǒng)計(jì) 列出獲得的國內(nèi)有關(guān)部門許可證類別及號碼列出獲得的國內(nèi)有關(guān)部門許可證

6、類別及號碼 中安全技術(shù) 防火墻的體系結(jié)構(gòu) 多宿主機(jī)體系結(jié)構(gòu)多宿主機(jī)體系結(jié)構(gòu) 被屏蔽主機(jī)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu) 中安全技術(shù) 防火墻技術(shù)分類防火墻技術(shù)分類 防火墻的種類防火墻的種類 分組過濾：分組過濾： 作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址 和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的 數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。 應(yīng)

7、用代理：應(yīng)用代理： 也叫應(yīng)用網(wǎng)關(guān)，它作用在應(yīng)用層，其特點(diǎn)是完全也叫應(yīng)用網(wǎng)關(guān)，它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔阻隔”了網(wǎng)絡(luò)通了網(wǎng)絡(luò)通 信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通 信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。 中安全技術(shù) 防火墻技術(shù)分類（續(xù)）防火墻技術(shù)分類（續(xù)） 分組過濾：分組過濾：一個(gè)設(shè)備采取的有選擇地控制來往一個(gè)設(shè)備采取的有選擇地控制來往 于網(wǎng)絡(luò)的數(shù)據(jù)流的行動(dòng)。數(shù)據(jù)包過濾可以發(fā)生在于網(wǎng)絡(luò)的數(shù)據(jù)流的行動(dòng)。數(shù)據(jù)包過濾可以發(fā)生在 路由器或

8、網(wǎng)橋上。路由器或網(wǎng)橋上。 Internet 內(nèi)部網(wǎng) Server 中安全技術(shù) 防火墻技術(shù)分類（續(xù)防火墻技術(shù)分類（續(xù)） 應(yīng)用代理：應(yīng)用代理： 代理服務(wù)是運(yùn)行在防火墻主機(jī)上的應(yīng)用程序或服代理服務(wù)是運(yùn)行在防火墻主機(jī)上的應(yīng)用程序或服 務(wù)器程序。它在幕后處理所有務(wù)器程序。它在幕后處理所有InternetInternet用戶和內(nèi)用戶和內(nèi) 部網(wǎng)之間的通訊以代替直接交談。部網(wǎng)之間的通訊以代替直接交談。 Server Internet 代理服務(wù)代理服務(wù) 內(nèi)部網(wǎng) 中安全技術(shù) 防火墻技術(shù)的優(yōu)點(diǎn) 防止易受攻擊的服務(wù)防止易受攻擊的服務(wù)控制訪問網(wǎng)點(diǎn)系統(tǒng)控制訪問網(wǎng)點(diǎn)系統(tǒng) 集中安全性增強(qiáng)保密性、 強(qiáng)化私有權(quán) 防火墻的優(yōu)點(diǎn)防火

9、墻的優(yōu)點(diǎn) 中安全技術(shù) 安全技術(shù)安全技術(shù)數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)認(rèn)證技術(shù)入侵檢測技術(shù)入侵檢測技術(shù) 電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù) 防火墻技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 安全支付技術(shù)安全支付技術(shù) 中安全技術(shù) 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 什么是加密？什么是加密？ 加密是指對數(shù)據(jù)進(jìn)行編碼使其看起來毫無意義，同時(shí)仍加密是指對數(shù)據(jù)進(jìn)行編碼使其看起來毫無意義，同時(shí)仍 保持可恢復(fù)的形式。保持可恢復(fù)的形式。 中安全技術(shù) 數(shù)據(jù)加密技術(shù)分類數(shù)據(jù)加密技術(shù)分類 對稱加密對稱加密 序列算法（序列算法（stream algorithmstream algorithm）：）： 一次只

10、對明文中單個(gè)位（有時(shí)為字節(jié)）加密或解密運(yùn)算一次只對明文中單個(gè)位（有時(shí)為字節(jié)）加密或解密運(yùn)算 分組算法（分組算法（block algorithmblock algorithm）：）： 一次明文的一組固定長度的字節(jié)進(jìn)行加密或解密運(yùn)算一次明文的一組固定長度的字節(jié)進(jìn)行加密或解密運(yùn)算 DESDES、AES AES 公開密鑰加密公開密鑰加密 加密與解密使用不同的密鑰，而且從加密密鑰無法推導(dǎo)加密與解密使用不同的密鑰，而且從加密密鑰無法推導(dǎo) 出解密密鑰出解密密鑰 RSARSA、ECCECC、DSADSA 中安全技術(shù) 數(shù)據(jù)加密分類（續(xù)）數(shù)據(jù)加密分類（續(xù)）對稱加密對稱加密 明文消息明文消息 M M M M 加密消

11、息加密消息 明文消息明文消息 同一把密匙同一把密匙 中安全技術(shù) 數(shù)據(jù)加密分類（續(xù)）數(shù)據(jù)加密分類（續(xù)）公開密匙公開密匙 明文消息明文消息 M M M M 加密消息加密消息 明文消息明文消息 密匙密匙M M N NN N 密匙密匙N N 中安全技術(shù) 數(shù)據(jù)加密分類（續(xù)）數(shù)據(jù)加密分類（續(xù)）過程對比過程對比 加密過程加密過程對對 稱稱非非 對對 稱稱 step1step1 AliceAlice和和BobBob協(xié)商一個(gè)密碼協(xié)商一個(gè)密碼 系統(tǒng)系統(tǒng) AliceAlice和和BobBob選用一個(gè)公開密碼系統(tǒng)選用一個(gè)公開密碼系統(tǒng) step2step2 密鑰是秘密的密鑰是秘密的AliceAlice和和BobBob

12、協(xié)商同一密鑰協(xié)商同一密鑰 BobBob將她的公開密鑰傳送給將她的公開密鑰傳送給Alice Alice step3step3 AliceAlice用協(xié)商的加密算法和用協(xié)商的加密算法和 密鑰加密她的消息，得到密鑰加密她的消息，得到 消息的密文消息的密文 AliceAlice用用BobBob的公開密鑰加密她的消息，然后發(fā)的公開密鑰加密她的消息，然后發(fā) 送給送給Bob Bob step4step4 AliceAlice發(fā)送密文消息給發(fā)送密文消息給Bob Bob BobBob用他的私人密鑰解密用他的私人密鑰解密AliceAlice的消息，然后閱的消息，然后閱 讀消息讀消息 step5step5 BobB

13、ob用同樣的密鑰和算法解用同樣的密鑰和算法解 密密文，得到原始明文，密密文，得到原始明文， 然后閱讀明文然后閱讀明文 中安全技術(shù) 數(shù)據(jù)加密分類（續(xù)）體制對比 特特 性性對對 稱稱非非 對對 稱稱 密鑰的數(shù)目密鑰的數(shù)目單一密鑰單一密鑰密鑰是成對的密鑰是成對的 密鑰種類密鑰種類密鑰是秘密的密鑰是秘密的一個(gè)私有、一個(gè)公開一個(gè)私有、一個(gè)公開 密鑰管理密鑰管理簡單不好管理簡單不好管理需要數(shù)字證書及可靠第三者需要數(shù)字證書及可靠第三者 相對速度相對速度非常快非?？炻?用途用途用來做大量資料的加用來做大量資料的加 密密 用來做加密小文件或?qū)π畔⒑炞值炔惶脕碜黾用苄∥募驅(qū)π畔⒑炞值炔惶?嚴(yán)格保密的應(yīng)用嚴(yán)格

14、保密的應(yīng)用 缺點(diǎn)缺點(diǎn)密鑰必須秘密地分配密鑰必須秘密地分配 密鑰的數(shù)量大、管理密鑰的數(shù)量大、管理 困難困難 公開密鑰算法速度很慢；大約只有對稱公開密鑰算法速度很慢；大約只有對稱 密碼算法的密碼算法的1 110001000到到1 1100 100 公開密鑰算法對選擇明文攻擊很脆弱公開密鑰算法對選擇明文攻擊很脆弱 中安全技術(shù) 安全技術(shù)數(shù)字簽名技術(shù) 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)認(rèn)證技術(shù)入侵檢測技術(shù)入侵檢測技術(shù) 電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù) 防火墻技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 安全支付技術(shù)安全支付技術(shù) 中安全技術(shù) 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù)過程對比過程對比 加密過加密過 程程 RSARS

15、A公開密鑰算法公開密鑰算法 簽名簽名 單向散列函數(shù)和公開密鑰算法簽名單向散列函數(shù)和公開密鑰算法簽名 step1step1AliceAlice產(chǎn)生文件的單向散列值產(chǎn)生文件的單向散列值 step2step2AliceAlice用她的私人密鑰用她的私人密鑰 對文件加密，從而完對文件加密，從而完 成對文件的數(shù)字簽名成對文件的數(shù)字簽名 AliceAlice用她的私人密鑰對散列值加密，憑用她的私人密鑰對散列值加密，憑 此表示對文件加密此表示對文件加密 step3step3AliceAlice將簽名的文件傳將簽名的文件傳 給給BobBob AliceAlice用用BobBob的公開密鑰加密她的消息，然的公開

16、密鑰加密她的消息，然 后發(fā)送給后發(fā)送給Bob AliceBob Alice將文件和散列簽名發(fā)將文件和散列簽名發(fā) 送給送給Bob Bob step4step4BobBob用用AliceAlice公開密鑰公開密鑰 解密文件，完成對簽解密文件，完成對簽 名的驗(yàn)證名的驗(yàn)證 BobBob用用AliceAlice發(fā)送的文件產(chǎn)生文件的散列發(fā)送的文件產(chǎn)生文件的散列 值，然后用值，然后用AliceAlice的公開密鑰解密的公開密鑰解密AliceAlice的的 簽名，如果計(jì)算出的散列值和解密出的散簽名，如果計(jì)算出的散列值和解密出的散 列值相同，簽名有效列值相同，簽名有效 中安全技術(shù) 數(shù)字簽名技術(shù)公開密鑰加密 中安

17、全技術(shù) 安全技術(shù)認(rèn)證技術(shù) 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)認(rèn)證技術(shù)入侵檢測技術(shù)入侵檢測技術(shù) 電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù) 防火墻技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 安全支付技術(shù)安全支付技術(shù) 中安全技術(shù) 認(rèn)證技術(shù)認(rèn)證技術(shù) 什么是認(rèn)證技術(shù)什么是認(rèn)證技術(shù) 認(rèn)證是電子商務(wù)交易最重要的環(huán)節(jié)，通過某種成熟的認(rèn)證是電子商務(wù)交易最重要的環(huán)節(jié)，通過某種成熟的 技術(shù)，保證在電子商務(wù)活動(dòng)中任何一方都不能進(jìn)行欺技術(shù)，保證在電子商務(wù)活動(dòng)中任何一方都不能進(jìn)行欺 騙。保證你在打交道的人就是它聲稱的某個(gè)人，而不騙。保證你在打交道的人就是它聲稱的某個(gè)人，而不 是其他人冒充的。我們常聽說的認(rèn)證中心主要的任務(wù)是其他人冒充的

18、。我們常聽說的認(rèn)證中心主要的任務(wù) 就是進(jìn)行認(rèn)證。就是進(jìn)行認(rèn)證。 認(rèn)證的方法包括數(shù)字認(rèn)證和生物認(rèn)證認(rèn)證的方法包括數(shù)字認(rèn)證和生物認(rèn)證 中安全技術(shù) 生物認(rèn)證技術(shù)示例生物認(rèn)證技術(shù)示例指紋認(rèn)證指紋認(rèn)證 中安全技術(shù) 生物認(rèn)證技術(shù)示例生物認(rèn)證技術(shù)示例指紋認(rèn)證指紋認(rèn)證 指指 紋紋 識識 別別 流流 程程 中安全技術(shù) 生物認(rèn)證技術(shù)示例虹膜認(rèn)證 虹虹 膜膜 認(rèn)認(rèn) 證證 中安全技術(shù) 生物認(rèn)證技術(shù)示例步態(tài)識別認(rèn)證 步步 態(tài)態(tài) 識識 別別 認(rèn)認(rèn) 證證 中安全技術(shù) 生物認(rèn)證技術(shù)示例手工簽名認(rèn)證 手手 工工 簽簽 名名 認(rèn)認(rèn) 證證 中安全技術(shù) 安全技術(shù)入侵檢測技術(shù) 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)認(rèn)證技術(shù)入侵檢測技術(shù)入侵檢

19、測技術(shù) 電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù) 防火墻技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 安全支付技術(shù)安全支付技術(shù) 中安全技術(shù) 入侵檢測技術(shù)入侵檢測技術(shù) 系統(tǒng)遭到入侵有兩種情況系統(tǒng)遭到入侵有兩種情況 (1)(1)非法用戶訪問他不應(yīng)該訪問的系統(tǒng)；非法用戶訪問他不應(yīng)該訪問的系統(tǒng)； (2)(2)合法用戶訪問它不應(yīng)訪問的信息或者進(jìn)行未授合法用戶訪問它不應(yīng)訪問的信息或者進(jìn)行未授 權(quán)的操作。權(quán)的操作。 入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與 配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)使用配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)使用 或其他異常現(xiàn)象的技術(shù)，是一種

20、用于檢測計(jì)算機(jī)網(wǎng)或其他異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng) 絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行 為有：入侵為有：入侵非法用戶的違規(guī)行為；濫用非法用戶的違規(guī)行為；濫用用戶的用戶的 違規(guī)行為。違規(guī)行為。 入入 侵侵 檢檢 測測 技技 術(shù)術(shù) 入入 侵侵 中安全技術(shù) 入侵技術(shù)的發(fā)展與演化 攻擊對象轉(zhuǎn)移化攻擊對象轉(zhuǎn)移化 綜合化復(fù)雜化綜合化復(fù)雜化 主體對象間接化主體對象間接化 規(guī)模擴(kuò)大化規(guī)模擴(kuò)大化 技術(shù)分布化技術(shù)分布化 中安全技術(shù) 安全技術(shù)安全支付技術(shù) 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)認(rèn)證技術(shù)入侵檢測技術(shù)入侵檢測技術(shù) 電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù) 防火墻技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 安全支付技術(shù)安全支付技術(shù) 中安全技術(shù) 安全