網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)第1頁，課件共56頁，創(chuàng)作于2023年2月16.1網(wǎng)絡(luò)安全概述計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用對(duì)社會(huì)發(fā)展正面作用的同時(shí)，也必須注意到它的負(fù)面影響。網(wǎng)絡(luò)可以使經(jīng)濟(jì)、文化、社會(huì)、科學(xué)、教育等領(lǐng)域信息的獲取、傳輸、處理與利用更加迅速和有效。那么，也必然會(huì)使個(gè)別壞人可能比較“方便”地利用網(wǎng)絡(luò)非法獲取重要的經(jīng)濟(jì)、政治、軍事、科技情報(bào)，或進(jìn)行信息欺詐、破壞與網(wǎng)絡(luò)攻擊等犯罪活動(dòng)。同時(shí)，也會(huì)出現(xiàn)利用網(wǎng)絡(luò)發(fā)表不負(fù)責(zé)或損害他人利益的消息，涉及個(gè)人隱私法律與道德問題。計(jì)算機(jī)犯罪正在引起社會(huì)的普遍關(guān)注，而計(jì)算機(jī)網(wǎng)絡(luò)是犯罪分子攻擊的重點(diǎn)。計(jì)算機(jī)犯罪是一種高技術(shù)型犯罪，由于其犯罪的隱蔽性，因此會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成了很大的威脅。16.1.1網(wǎng)絡(luò)安全的重要性第2頁，課件共56頁，創(chuàng)作于2023年2月16.1.2網(wǎng)絡(luò)安全的基本問題網(wǎng)絡(luò)防攻擊問題網(wǎng)絡(luò)安全漏洞與對(duì)策問題網(wǎng)絡(luò)中的信息安全保密問題網(wǎng)絡(luò)內(nèi)部安全防范問題網(wǎng)絡(luò)防病毒問題網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題第3頁，課件共56頁，創(chuàng)作于2023年2月第4頁，課件共56頁，創(chuàng)作于2023年2月16.1.3網(wǎng)絡(luò)安全服務(wù)的主要內(nèi)容網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下這些基本的服務(wù)功能：（1）保密性（Confidentiality）（2）認(rèn)證（Authentication）（3）數(shù)據(jù)完整性（DataIntegrity）（4）防抵賴（Nonrepudiation）（5）訪問控制（AccessControl）第5頁，課件共56頁，創(chuàng)作于2023年2月16.2計(jì)算機(jī)病毒1994年2月18日，我國正式頒布實(shí)施了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。在該條例的第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！边@個(gè)定義具有法律性、權(quán)威性。根據(jù)這個(gè)定義，計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能傳染到其他系統(tǒng)。計(jì)算機(jī)病毒通常隱藏在其他正常程序中，能生成自身的副本并將其插入其他的程序中，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行惡意的破壞。第6頁，課件共56頁，創(chuàng)作于2023年2月16.2.1病毒的特點(diǎn)傳統(tǒng)意義上的計(jì)算機(jī)病毒一般具有破壞性、隱蔽性、潛伏性、傳染性等特點(diǎn)。隨著計(jì)算機(jī)軟件和網(wǎng)絡(luò)技術(shù)的發(fā)展，在今天的網(wǎng)絡(luò)時(shí)代，計(jì)算機(jī)病毒又有了很多新的特點(diǎn)：（1）主動(dòng)通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播。（2）傳播速度極快。（3）變種多。（4）具有病毒、蠕蟲和黑客程序的功能。第7頁，課件共56頁，創(chuàng)作于2023年2月16.2.2病毒的分類（1）文件型病毒（2）引導(dǎo)扇區(qū)病毒（3）混合型病毒（4）變形病毒（5）宏病毒第8頁，課件共56頁，創(chuàng)作于2023年2月16.2.3病毒的發(fā)展趨勢(shì)隨著Internet的發(fā)展和計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，計(jì)算機(jī)病毒出現(xiàn)了一系列新的發(fā)展趨勢(shì)。（1）無國界（2）多樣化（3）破壞性更強(qiáng)（4）智能化（5）更加隱蔽化第9頁，課件共56頁，創(chuàng)作于2023年2月16.2.4病毒攻擊的防范病毒危害固然很大，但是只要掌握了一些防病毒的常識(shí)就能很好的進(jìn)行防范。網(wǎng)絡(luò)規(guī)劃師經(jīng)常向用戶灌輸一些防毒常識(shí)，這樣單位整體的安全意識(shí)就會(huì)大大提高。（1）用常識(shí)進(jìn)行判斷。（2）安裝防病毒產(chǎn)品并保證更新最新的病毒庫。（3）不要從任何不可靠的渠道下載任何軟件。（4）使用其他形式的文檔。（5）不要用共享的磁盤安裝軟件，或者是復(fù)制共享的磁盤。（6）使用基于客戶端的防火墻或過濾措施。（7）系統(tǒng)軟件經(jīng)常打好補(bǔ)丁。（8）重要資料，必須備份。第10頁，課件共56頁，創(chuàng)作于2023年2月16.3計(jì)算機(jī)木馬在計(jì)算機(jī)領(lǐng)域中，木馬是一類惡意程序。木馬是有隱藏性的、自發(fā)性的可被用來進(jìn)行惡意行為的程序，多不會(huì)直接對(duì)電腦產(chǎn)生危害，而是以控制為主。第11頁，課件共56頁，創(chuàng)作于2023年2月16.3.1木馬的發(fā)展歷史（1）第一代木馬——偽裝型木馬（2）第二代木馬——AIDS型木馬（3）第三代木馬——網(wǎng)絡(luò)傳播性木馬第一，添加了“后門”功能。第二，添加了鍵盤記錄功能。第12頁，課件共56頁，創(chuàng)作于2023年2月16.3.2木馬的工作過程一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。（1）硬件部分：建立木馬連接所必須的硬件實(shí)體?？刂贫耍簩?duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。服務(wù)端：被控制端遠(yuǎn)程控制的一方。Internet：控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。（2）軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。（3）具體連接部分：通過Internet在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。木馬的組成第13頁，課件共56頁，創(chuàng)作于2023年2月配置木馬一般來說一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)以下兩方面功能：（1）木馬偽裝。木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬，會(huì)采用多種偽裝手段，如修改圖標(biāo)，捆綁文件，定制端口，自我銷毀。（2）信息反饋。木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址、IRC號(hào)、QQ號(hào)等等。第14頁，課件共56頁，創(chuàng)作于2023年2月傳播木馬（1）傳播方式木馬的傳播方式主要有兩種：一種是通過E-mail，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。第15頁，課件共56頁，創(chuàng)作于2023年2月修改圖標(biāo)捆綁文件出錯(cuò)顯示定制端口自我銷毀木馬更名

（2）偽裝方式鑒于木馬的危害性，很多人對(duì)木馬知識(shí)還是有一定了解的，這對(duì)木馬的傳播起了一定的抑制作用，這是木馬設(shè)計(jì)者所不愿見到的，因此他們開發(fā)了多種功能來偽裝木馬，以達(dá)到降低用戶警覺，欺騙用戶的目的。第16頁，課件共56頁，創(chuàng)作于2023年2月運(yùn)行木馬服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中（C:\windows或C:\windows\system目錄下），然后在注冊(cè)表\啟動(dòng)組\非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了，木馬的啟動(dòng)方式包括自動(dòng)激活和觸發(fā)式激活。第17頁，課件共56頁，創(chuàng)作于2023年2月信息泄露一般來說，設(shè)計(jì)成熟的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過E-mail、IRC或QQ的方式告知控制端用戶。從反饋信息中控制端可以知道服務(wù)端的一些軟硬件信息，包括使用的操作系統(tǒng)，系統(tǒng)目錄，硬盤分區(qū)況，系統(tǒng)口令等，在這些信息中，最重要的是服務(wù)端IP，因?yàn)橹挥械玫竭@個(gè)參數(shù)，控制端才能與服務(wù)端建立連接。第18頁，課件共56頁，創(chuàng)作于2023年2月建立連接一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是服務(wù)端已安裝了木馬程序；二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)端建立連接。第19頁，課件共56頁，創(chuàng)作于2023年2月遠(yuǎn)程控制木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道。控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。（1）竊取密碼。（2）文件操作。（3）修改注冊(cè)表。（4）系統(tǒng)操作。第20頁，課件共56頁，創(chuàng)作于2023年2月16.3.3防止木馬防治木馬的危害，應(yīng)該采取以下措施：（1）安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)。（2）把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)。（3）可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。（4）經(jīng)常查看自己電腦上的插件，防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。第21頁，課件共56頁，創(chuàng)作于2023年2月16.4黑客攻擊黑客最早源白英文Hacker，是指熱心于計(jì)算機(jī)技術(shù)，水平高超的計(jì)算機(jī)專家，尤其是程序設(shè)計(jì)人員。但到了今天，黑客一詞又被用于泛指那些專門利用計(jì)算機(jī)搞破壞或惡作劇的家伙。對(duì)這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。第22頁，課件共56頁，創(chuàng)作于2023年2月16.4.1黑客行為黑客的行為主要有以下幾種：（1）學(xué)習(xí)技術(shù)。（2）偽裝自己。（3）發(fā)現(xiàn)漏洞。（4）利用漏洞。第23頁，課件共56頁，創(chuàng)作于2023年2月16.4.2拒絕服務(wù)攻擊DoS是指攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問，是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊。第24頁，課件共56頁，創(chuàng)作于2023年2月拒絕服務(wù)攻擊的方式（1）SYNFlood（2）IP欺騙DOS攻擊（3）UDP洪水攻擊（4）Ping洪流攻擊（5）淚滴（Teardrop）攻擊（6）Land攻擊（7）Smurf攻擊（8）Fraggle攻擊第25頁，課件共56頁，創(chuàng)作于2023年2月分布式拒絕服務(wù)分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。第26頁，課件共56頁，創(chuàng)作于2023年2月16.4.3緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動(dòng)。緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)當(dāng)機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。第27頁，課件共56頁，創(chuàng)作于2023年2月16.4.4漏洞掃描漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。第28頁，課件共56頁，創(chuàng)作于2023年2月16.4.5端口掃描網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)如同一座城堡，在這些城堡中，有的對(duì)外完全開放，有的卻是緊鎖城門。在網(wǎng)絡(luò)技術(shù)中，把這些城堡的城門稱之為計(jì)算機(jī)的“端口”。端口掃描是入侵者搜集信息的幾種常用手法之一，也正是這一過程最容易使入侵者暴露自己的身份和意圖。一般來說，掃描端口有如下目的。（1）判斷目標(biāo)主機(jī)上開放了哪些服務(wù)。（2）判斷目標(biāo)主機(jī)的操作系統(tǒng)。如果入侵者掌握了目標(biāo)主機(jī)開放了哪些服務(wù)，運(yùn)行何種操作系統(tǒng)，他們就能夠使用相應(yīng)的手段實(shí)現(xiàn)入侵。第29頁，課件共56頁，創(chuàng)作于2023年2月端口掃描原理端口是由計(jì)算機(jī)的通信協(xié)議TCP/IP協(xié)議定義的。其中規(guī)定，用口地址和端口作為套接字，它代表TCP連接的一個(gè)連接端，一般稱為Socket。具體來說，就是用“IP+端口”來定位一臺(tái)主機(jī)中的進(jìn)程。可以做這樣的比喻，端口相當(dāng)于兩臺(tái)計(jì)算機(jī)進(jìn)程間的大門，可以隨便定義，其目的只是為了讓兩臺(tái)計(jì)算機(jī)能夠找到對(duì)方的進(jìn)程。計(jì)算機(jī)就像一座大樓，這個(gè)大樓有好多入口（端口），進(jìn)到不同的入口中就可以找到不同的公司（進(jìn)程）。如果要和遠(yuǎn)程主機(jī)A的程序通信，那么只要把數(shù)據(jù)發(fā)向“A：端口”就可以實(shí)現(xiàn)通信了。端口掃描就是嘗試與目標(biāo)主機(jī)的某些端口建立連接，如果目標(biāo)主機(jī)該端口有回復(fù)，則說明該端口開放，即為“活動(dòng)端口”。第30頁，課件共56頁，創(chuàng)作于2023年2月端口掃描分類（1）全TCP連接（2）半打開式掃描（SYN掃描）（3）FIN掃描（4）第三方掃描第31頁，課件共56頁，創(chuàng)作于2023年2月16.4.6預(yù)防黑客攻擊預(yù)防黑客攻擊是一個(gè)復(fù)雜的系統(tǒng)工程，可以從以下三個(gè)方面著手，采用相應(yīng)措施，預(yù)防黑客的攻擊。（1）技術(shù)上（2）管理上（3）規(guī)劃上第32頁，課件共56頁，創(chuàng)作于2023年2月16.5密碼學(xué)基礎(chǔ)對(duì)稱加密也稱為常規(guī)加密、私鑰或單鑰加密，在20世紀(jì)70年代末期公鑰加密開發(fā)之前，是唯一被使用的加密類型。現(xiàn)在它仍然屬于最廣泛使用的兩種加密類型之一。16.5.1對(duì)稱加密第33頁，課件共56頁，創(chuàng)作于2023年2月對(duì)稱加密模型第34頁，課件共56頁，創(chuàng)作于2023年2月密碼體制密碼體制一般從三個(gè)不同的方面進(jìn)行分類：（1）明文轉(zhuǎn)換成密文的操作類型（2）使用的密鑰數(shù)。（3）明文的處理方式第35頁，課件共56頁，創(chuàng)作于2023年2月密碼分析試圖找出明文或者密鑰的工作被稱為密碼分析或破譯。破譯者使用的策略取決于加密方案的固有性質(zhì)以及破譯者掌握的信息。攻擊類型密碼破譯人員已知的信息唯密文加密算法要解密的密文已知明文加密算法要解密的密文一個(gè)或多個(gè)用密鑰產(chǎn)生的明文-密文對(duì)選擇明文加密算法要解密的密文破譯者選定的明文消息以及使用密鑰產(chǎn)生的對(duì)應(yīng)密文選擇密文加密算法要解密的密文破譯者選定的密文以及使用密鑰產(chǎn)生的對(duì)應(yīng)解密明文選擇文本加密算法要解密的密文破譯者選定的明文以及使用密鑰產(chǎn)生的對(duì)應(yīng)密文破譯者選定的密文以及使用密鑰產(chǎn)生的對(duì)應(yīng)解密明文第36頁，課件共56頁，創(chuàng)作于2023年2月16.5.2公鑰加密1976年提出的公開密鑰密碼體制思想不同于傳統(tǒng)的對(duì)稱密鑰密碼體制，它要求密鑰成對(duì)出現(xiàn)，一個(gè)為加密密鑰（e），另一個(gè)為解密密鑰（d），且不可能從其中一個(gè)推導(dǎo)出另一個(gè)。公鑰加密算法也稱非對(duì)稱密鑰算法，用兩對(duì)密鑰：一個(gè)公共密鑰和一個(gè)專用密鑰。用戶要保障專用密鑰的安全；公共密鑰則可以發(fā)布出去。公共密鑰與專用密鑰是有緊密關(guān)系的，用公共密鑰加密的信息只能用專用密鑰解密，反之亦然。由于公鑰算法不需要聯(lián)機(jī)密鑰服務(wù)器，密鑰分配協(xié)議簡(jiǎn)單，所以極大簡(jiǎn)化了密鑰管理。除加密功能外，公鑰系統(tǒng)還可以提供數(shù)字簽名。公鑰加密理論第37頁，課件共56頁，創(chuàng)作于2023年2月公鑰加密步驟公鑰加密的主要步驟如下：（1）網(wǎng)絡(luò)中的每個(gè)終端系統(tǒng)生成一對(duì)密鑰，用來加密和解密消息。（2）每個(gè)終端系統(tǒng)通過將其加密密鑰存于公開的寄存器或文件中，公布其加密密鑰，這個(gè)密鑰稱為公鑰；而其解密密鑰則是秘密的。（3）若A要發(fā)消息給B，則A用B的公鑰對(duì)消息加密。（4）B收到消息后．用其私鑰對(duì)消息解密。由于只有B知道其私鑰．所以其他的接收者均不能解出消息。第38頁，課件共56頁，創(chuàng)作于2023年2月RSA算法公鑰加密算法中使用最廣的是RSA算法。它是1977年由MIT教授RonaldL.Rivest，AdiShamir和LeonardM.Adleman共同開發(fā)的，分別取自三名數(shù)學(xué)家的名字的第一個(gè)字母來構(gòu)成的。RSA使用兩個(gè)密鑰，一個(gè)公共密鑰，一個(gè)專用密鑰。如用其中一個(gè)加密，則可用另一個(gè)解密，密鑰長度從40到2048bit可變，加密時(shí)也把明文分成塊，塊的大小可變，但不能超過密鑰的長度，RSA算法把每一塊明文轉(zhuǎn)化為與密鑰長度相同的密文塊。第39頁，課件共56頁，創(chuàng)作于2023年2月16.6公鑰基礎(chǔ)設(shè)施隨著Internet的普及，人們通過因特網(wǎng)進(jìn)行溝通越來越多，相應(yīng)的通過網(wǎng)絡(luò)進(jìn)行商務(wù)活動(dòng)即電子商務(wù)也得到了廣泛的發(fā)展。電子商務(wù)為我國企業(yè)開拓國際國內(nèi)市場(chǎng)、利用好國內(nèi)外各種資源提供了一個(gè)千載難逢的良機(jī)。電子商務(wù)對(duì)企業(yè)來說真正體現(xiàn)了平等競(jìng)爭(zhēng)、高效率、低成本、高質(zhì)量的優(yōu)勢(shì)，能讓企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中把握商機(jī)、脫穎而出。然而隨著電子商務(wù)的飛速發(fā)展也相應(yīng)的引發(fā)出一些Internet安全問題。第40頁，課件共56頁，創(chuàng)作于2023年2月16.6.1電子交易所面臨的安全問題（1）保密性（2）完整性（3）身份認(rèn)證與授權(quán)（4）抗抵賴為解決這些Internet的安全問題，世界各國對(duì)其進(jìn)行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI技術(shù)（PublicKeyInfrastructure-公鑰基礎(chǔ)設(shè)施），PKI（公鑰基礎(chǔ)設(shè)施）技術(shù)采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)——認(rèn)證中心CA（CertificateAuthority），把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如名稱、e-mail、身份證號(hào)等）捆綁在一起，在Internet網(wǎng)上驗(yàn)證用戶的身份。第41頁，課件共56頁，創(chuàng)作于2023年2月16.6.2PKI系統(tǒng)的組成第42頁，課件共56頁，創(chuàng)作于2023年2月16.6.3PKI的原理PKI的核心原理就是公鑰密碼技術(shù)。在PKI中，為了確保用戶的身份及他所持有密鑰的正確匹配，公開密鑰系統(tǒng)需要一個(gè)值得信賴而且獨(dú)立的第三方機(jī)構(gòu)充當(dāng)認(rèn)證中心（CertificationAuthority，CA），來確認(rèn)公鑰擁有人的真正身份。就象公安局發(fā)放的身份證一樣，認(rèn)證中心發(fā)放一個(gè)叫“數(shù)字證書”的身份證明。第43頁，課件共56頁，創(chuàng)作于2023年2月16.6.4認(rèn)證中心（CA）CA作為PKI的核心部分，CA實(shí)現(xiàn)了PKI中一些很重要的功能，概括地說，CA的功能有：證書發(fā)放、證書更新、證書撤銷和證書驗(yàn)證。CA的核心功能就是發(fā)放和管理數(shù)字證書。CA的核心功能第44頁，課件共56頁，創(chuàng)作于2023年2月CA的要求在具體實(shí)施時(shí)，CA的必須做到以下幾點(diǎn)：（1）驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份。（2）確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量。（3）確保整個(gè)簽證過程的安全性，確保簽名私鑰的安全性。（4）證書資料信息（包括公鑰證書序列號(hào)，CA標(biāo)識(shí)等）的管理。（5）確定并檢查證書的有效期限。（6）確保證書主體標(biāo)識(shí)的唯一性，防止重名。（7）發(fā)布并維護(hù)作廢證書列表。（8）對(duì)整個(gè)證書簽發(fā)過程做日志記錄。（9）向申請(qǐng)人發(fā)出通知。第45頁，課件共56頁，創(chuàng)作于2023年2月公鑰產(chǎn)生的方式用戶的公鑰有兩種產(chǎn)生的方式：（1）用戶自己生成密鑰隊(duì)，然后將公鑰以安全的方式傳送給CA，該過程必須保證用戶公鑰的驗(yàn)證性和完整性。（2）CA替用戶生成密鑰隊(duì)，然后將其以安全的方式傳送給用戶，該過程必須確保密鑰對(duì)的機(jī)密性，完整性和可驗(yàn)證性。該方式下由于用戶的私鑰為CA所產(chǎn)生，所以對(duì)CA的可信性有更高的要求。CA必須在事后銷毀用戶的私鑰。第46頁，課件共56頁，創(chuàng)作于2023年2月16.7安全應(yīng)用協(xié)議安全套接層協(xié)議SSL（securesocketlayer）最初是由Netscape公司研究制定的安全通信協(xié)議，是在因特網(wǎng)基礎(chǔ)上提供的一種保證機(jī)密性的安全協(xié)議。隨后Netscape公司將SSL協(xié)議交給IETF進(jìn)行標(biāo)準(zhǔn)化，在經(jīng)過了少許改進(jìn)后，形成了IETFTLS規(guī)范。SSL之所以能夠被廣泛應(yīng)用，主要有兩個(gè)方面的原因：（1）SSL的應(yīng)用范圍很廣，凡是構(gòu)建在TCP/IP協(xié)議上的客戶機(jī)/服務(wù)器模式需要進(jìn)行安全通信時(shí)，都可以使用SSL協(xié)議。而其他的一些安全協(xié)議，如HTTPS僅適用于安全的超文本傳輸協(xié)議，SET協(xié)議則僅適宜B-to-C電子商務(wù)模式的銀行卡交易。（2）SSL被大部分Web瀏覽器和Web服務(wù)器所內(nèi)置，比較容易應(yīng)用。目前人們使用的是SSL協(xié)議的3.0版，該版本是在1996年發(fā)布的。16.7.1SSL協(xié)議第47頁，課件共56頁，創(chuàng)作于2023年2月SSL協(xié)議的功能SSL協(xié)議工作在TCP/IP體系結(jié)構(gòu)的應(yīng)用層和傳輸層之間。在實(shí)際運(yùn)行時(shí)，支持SSL協(xié)議的服務(wù)器可以向一個(gè)支持SSL協(xié)議的客戶機(jī)認(rèn)證它自己，客戶機(jī)也可以向服務(wù)器認(rèn)證它自己，同時(shí)還允許這兩個(gè)機(jī)器間建立加密連接。這些構(gòu)成了SSL在因特網(wǎng)和其他TCP/IP網(wǎng)絡(luò)上支持安全通信的基本功能：（1）SSL服務(wù)器認(rèn)證允許客戶機(jī)確認(rèn)服務(wù)器身份（2）確認(rèn)用戶身份使用同樣的技術(shù)（3）保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性第48頁，課件共56頁，創(chuàng)作于2023年2月SSL協(xié)議的工作流程服務(wù)器認(rèn)證階段：（1）客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接。（2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息。（3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器。（4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。用戶認(rèn)證階段：在此之前，服務(wù)器已經(jīng)通過了客戶認(rèn)證，這一階段主要完成對(duì)客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。第49頁，課件共56頁，創(chuàng)作于2023年2月16.7.2SET協(xié)議SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計(jì)的，以保證支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份以及可操作性。SET非常詳細(xì)而準(zhǔn)確地反映了交易各方之間存在的各種關(guān)系。它定義了加密信息的格式和付款支付交易過程中各方傳輸信息的規(guī)則。SET提供了持卡人、商家和銀行之間的認(rèn)證，確保了網(wǎng)上交易數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性及交易的不可抵賴性。SET協(xié)議概述第50頁，課件共56頁，創(chuàng)作于2023年2月SET協(xié)議的參與者在SET協(xié)議系統(tǒng)中，包括如下交易的參與者。（1）持卡人（Cardholder）（2）商家（Merchant）（3）發(fā)卡行（Issuer）（4）收單行（Acquirer）（5）支付網(wǎng)關(guān)（PaymentGateway）（6）品牌（Brand）（7）認(rèn)證中心（CertifieateAuthority）第51頁，課件共56頁，創(chuàng)作于2023年2月SET協(xié)議的安全機(jī)制SET協(xié)議同時(shí)是PKI框架下的一個(gè)典型實(shí)現(xiàn)。安全核心技術(shù)主要有公開密鑰加密、數(shù)字簽名、數(shù)字信封、消息摘要和數(shù)字證書等，主要應(yīng)用于B2C模式中保障支付信息的安全性。第52頁，課件共56頁，創(chuàng)作于2023年2月16.7.3HTTPS協(xié)議HTTPS協(xié)議是由Netscape開發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上應(yīng)用了Netscape的安全套