電子商務(wù)課件：第二講(中 安全技術(shù)

1、7/12/20221清華大學(xué)軟件學(xué)院電子商務(wù)安全技術(shù)覃征 教授7/12/20222清華大學(xué)軟件學(xué)院主要內(nèi)容安全問(wèn)題提出安全問(wèn)題分析安全問(wèn)題解決7/12/20223清華大學(xué)軟件學(xué)院?jiǎn)栴}提出Web ServerThe InternetEncryption！線路傳輸！客戶終端！線路連接！ The IntranetWeb ServerWeakness: Enterprise Network電子商務(wù)危險(xiǎn) 無(wú)處不在！7/12/20224清華大學(xué)軟件學(xué)院?jiǎn)栴}分析互聯(lián)網(wǎng)開(kāi)放性成員多樣性位置分散性信息保密性信息完整性系統(tǒng)抗攻擊性消費(fèi)者隱私保護(hù)性抗抵賴性身份真實(shí)性推動(dòng)電子商務(wù)安全技術(shù)7/12/20225清華大學(xué)軟

2、件學(xué)院?jiǎn)栴}解決數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)技術(shù)電子商務(wù)安全技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)安全支付技術(shù)7/12/20226清華大學(xué)軟件學(xué)院安全技術(shù)防火墻技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)技術(shù)電子商務(wù)安全技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)安全支付技術(shù)7/12/20227清華大學(xué)軟件學(xué)院安全技術(shù)防火墻技術(shù)什么是防火墻 在被保護(hù)網(wǎng)絡(luò)和Internet之間，或者和其它網(wǎng)絡(luò)之間限制訪問(wèn)的軟件和硬件的組合7/12/20228清華大學(xué)軟件學(xué)院防火墻技術(shù)的功能管理功能 安全特性 記錄報(bào)表功能 防御功能 7/12/20229清華大學(xué)軟件學(xué)院防火墻功能（續(xù)）防御支持病毒掃描提供內(nèi)容過(guò)濾能部分防御 DOS攻擊 阻止 ActiveX

3、、Java、等侵入防御功能7/12/202210清華大學(xué)軟件學(xué)院防火墻功能（續(xù)）安全安全特性支持轉(zhuǎn)發(fā)和跟蹤網(wǎng)絡(luò)間報(bào)文控制協(xié)議ICMP提供入侵實(shí)時(shí)警告提供實(shí)時(shí)入侵防范識(shí)別 /記錄/防止企圖進(jìn)行IP地址欺騙7/12/202211清華大學(xué)軟件學(xué)院防火墻功能（續(xù)）管理管理功能通過(guò)集成策略集中管理多個(gè)防火墻 應(yīng)提供基于時(shí)間的訪問(wèn)控制應(yīng)支持簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)監(jiān)視和配置本地管理遠(yuǎn)程管理支持帶寬管理負(fù)載均衡特性失敗恢復(fù)特性 7/12/202212清華大學(xué)軟件學(xué)院防火墻功能（續(xù)）記錄報(bào)表記錄報(bào)表防火墻處理完整日志的方法提供自動(dòng)日志掃描提供自動(dòng)報(bào)表、日志報(bào)告書(shū)寫(xiě)器報(bào)警通知機(jī)制提供簡(jiǎn)要報(bào)表 提供實(shí)時(shí)統(tǒng)計(jì)列

4、出獲得的國(guó)內(nèi)有關(guān)部門許可證類別及號(hào)碼7/12/202213清華大學(xué)軟件學(xué)院防火墻的體系結(jié)構(gòu)多宿主機(jī)體系結(jié)構(gòu) 被屏蔽主機(jī)體系結(jié)構(gòu)(屏蔽主機(jī)防火墻體系結(jié)構(gòu)) 被屏蔽子網(wǎng)體系結(jié)構(gòu)(屏蔽子網(wǎng)防火墻體系結(jié)構(gòu))7/12/202214清華大學(xué)軟件學(xué)院防火墻技術(shù)分類防火墻的種類分組過(guò)濾： 作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應(yīng)用代理： 也叫應(yīng)用網(wǎng)關(guān)，它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的

5、作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。 7/12/202215清華大學(xué)軟件學(xué)院防火墻技術(shù)分類（續(xù)）分組過(guò)濾：一個(gè)設(shè)備采取的有選擇地控制來(lái)往于網(wǎng)絡(luò)的數(shù)據(jù)流的行動(dòng)。數(shù)據(jù)包過(guò)濾可以發(fā)生在路由器或網(wǎng)橋上。7/12/202216清華大學(xué)軟件學(xué)院防火墻技術(shù)分類（續(xù)）應(yīng)用代理：代理服務(wù)是運(yùn)行在防火墻主機(jī)上的應(yīng)用程序或服務(wù)器程序。它在幕后處理所有Internet用戶和內(nèi)部網(wǎng)之間的通訊以代替直接交談。代理服務(wù)7/12/202217清華大學(xué)軟件學(xué)院防火墻技術(shù)的優(yōu)點(diǎn) 防止易受攻擊的服務(wù)控制訪問(wèn)網(wǎng)點(diǎn)系統(tǒng)集中安全性增強(qiáng)保密性、強(qiáng)化私有權(quán)防火墻的優(yōu)點(diǎn)7/12/202218清華大學(xué)軟件學(xué)院安全技術(shù)數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密

6、技術(shù)認(rèn)證技術(shù)入侵檢測(cè)技術(shù)電子商務(wù)安全技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)安全支付技術(shù)7/12/202219清華大學(xué)軟件學(xué)院數(shù)據(jù)加密技術(shù)什么是加密？加密是指對(duì)數(shù)據(jù)進(jìn)行編碼使其看起來(lái)毫無(wú)意義，同時(shí)仍保持可恢復(fù)的形式。7/12/202220清華大學(xué)軟件學(xué)院數(shù)據(jù)加密技術(shù)分類對(duì)稱加密 序列算法（stream algorithm）：一次只對(duì)明文中單個(gè)位（有時(shí)為字節(jié)）加密或解密運(yùn)算 分組算法（block algorithm）：一次明文的一組固定長(zhǎng)度的字節(jié)進(jìn)行加密或解密運(yùn)算 DES、AES 公開(kāi)密鑰加密 加密與解密使用不同的密鑰，而且從加密密鑰無(wú)法推導(dǎo)出解密密鑰 RSA、ECC、DSA7/12/202221清華大學(xué)軟件

7、學(xué)院數(shù)據(jù)加密分類（續(xù)）對(duì)稱加密明文消息MM加密消息明文消息同一把密匙7/12/202222清華大學(xué)軟件學(xué)院數(shù)據(jù)加密分類（續(xù)）公開(kāi)密匙明文消息MM加密消息明文消息密匙MNN密匙N7/12/202223清華大學(xué)軟件學(xué)院數(shù)據(jù)加密分類（續(xù)）過(guò)程對(duì)比加密過(guò)程對(duì) 稱非 對(duì) 稱step1Alice和Bob協(xié)商一個(gè)密碼系統(tǒng) Alice和Bob選用一個(gè)公開(kāi)密碼系統(tǒng) step2密鑰是秘密的Alice和Bob協(xié)商同一密鑰 Bob將她的公開(kāi)密鑰傳送給Alice step3Alice用協(xié)商的加密算法和密鑰加密她的消息，得到消息的密文 Alice用Bob的公開(kāi)密鑰加密她的消息，然后發(fā)送給Bob step4Alice發(fā)送密

8、文消息給Bob Bob用他的私人密鑰解密Alice的消息，然后閱讀消息 step5Bob用同樣的密鑰和算法解密密文，得到原始明文，然后閱讀明文 7/12/202224清華大學(xué)軟件學(xué)院數(shù)據(jù)加密分類（續(xù)）體制對(duì)比特 性對(duì) 稱非 對(duì) 稱密鑰的數(shù)目單一密鑰密鑰是成對(duì)的密鑰種類密鑰是秘密的一個(gè)私有、一個(gè)公開(kāi)密鑰管理簡(jiǎn)單不好管理需要數(shù)字證書(shū)及可靠第三者相對(duì)速度非常快慢用途用來(lái)做大量資料的加密用來(lái)做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用缺點(diǎn)密鑰必須秘密地分配 密鑰的數(shù)量大、管理困難 公開(kāi)密鑰算法速度很慢；大約只有對(duì)稱密碼算法的11000到1100 公開(kāi)密鑰算法對(duì)選擇明文攻擊很脆弱7/12/202225清

9、華大學(xué)軟件學(xué)院現(xiàn)代加密技術(shù)介紹現(xiàn)代加密技術(shù)都是基于計(jì)算上安全的，也就是滿足以下準(zhǔn)則的一個(gè)或兩個(gè)：破譯的代價(jià)超出信息本身的價(jià)值；破譯的時(shí)間超出了信息的有效期。現(xiàn)代加密技術(shù)介紹:DESRAS7/12/202226清華大學(xué)軟件學(xué)院安全技術(shù)數(shù)字簽名技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)技術(shù)電子商務(wù)安全技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)安全支付技術(shù)7/12/202227清華大學(xué)軟件學(xué)院數(shù)字簽名技術(shù)過(guò)程對(duì)比加密過(guò)程RSA公開(kāi)密鑰算法簽名 單向散列函數(shù)和公開(kāi)密鑰算法簽名 step1Alice產(chǎn)生文件的單向散列值 step2Alice用她的私人密鑰對(duì)文件加密，從而完成對(duì)文件的數(shù)字簽名Alice用她的私人密鑰對(duì)散列值加密，憑

10、此表示對(duì)文件加密 step3Alice將簽名的文件傳給BobAlice用Bob的公開(kāi)密鑰加密她的消息，然后發(fā)送給Bob Alice將文件和散列簽名發(fā)送給Bob step4Bob用Alice公開(kāi)密鑰解密文件，完成對(duì)簽名的驗(yàn)證 Bob用Alice發(fā)送的文件產(chǎn)生文件的散列值，然后用Alice的公開(kāi)密鑰解密Alice的簽名，如果計(jì)算出的散列值和解密出的散列值相同，簽名有效 7/12/202228清華大學(xué)軟件學(xué)院數(shù)字簽名技術(shù)公開(kāi)密鑰加密7/12/202229清華大學(xué)軟件學(xué)院安全技術(shù)認(rèn)證技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)技術(shù)電子商務(wù)安全技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)安全支付技術(shù)7/12/202230清華大學(xué)軟件

11、學(xué)院認(rèn)證技術(shù)什么是認(rèn)證技術(shù)認(rèn)證是電子商務(wù)交易最重要的環(huán)節(jié)，通過(guò)某種成熟的技術(shù)，保證在電子商務(wù)活動(dòng)中任何一方都不能進(jìn)行欺騙。保證你在打交道的人就是它聲稱的某個(gè)人，而不是其他人冒充的。我們常聽(tīng)說(shuō)的認(rèn)證中心主要的任務(wù)就是進(jìn)行認(rèn)證。認(rèn)證的方法包括數(shù)字認(rèn)證和生物認(rèn)證7/12/202231清華大學(xué)軟件學(xué)院生物認(rèn)證技術(shù)示例指紋認(rèn)證7/12/202232清華大學(xué)軟件學(xué)院生物認(rèn)證技術(shù)示例指紋認(rèn)證指紋識(shí)別流程7/12/202233清華大學(xué)軟件學(xué)院生物認(rèn)證技術(shù)示例虹膜認(rèn)證虹膜認(rèn)證7/12/202234清華大學(xué)軟件學(xué)院生物認(rèn)證技術(shù)示例步態(tài)識(shí)別認(rèn)證步態(tài)識(shí)別認(rèn)證7/12/202235清華大學(xué)軟件學(xué)院生物認(rèn)證技術(shù)示例手工簽

12、名認(rèn)證手工簽名認(rèn)證7/12/202236清華大學(xué)軟件學(xué)院安全技術(shù)入侵檢測(cè)技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)技術(shù)電子商務(wù)安全技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)安全支付技術(shù)7/12/202237清華大學(xué)軟件學(xué)院入侵檢測(cè)技術(shù)系統(tǒng)遭到入侵有兩種情況(1)非法用戶訪問(wèn)他不應(yīng)該訪問(wèn)的系統(tǒng)；(2)合法用戶訪問(wèn)它不應(yīng)訪問(wèn)的信息或者進(jìn)行未授權(quán)的操作。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)使用或其他異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行為有：入侵非法用戶的違規(guī)行為；濫用用戶的違規(guī)行為。入侵檢測(cè)技術(shù)入侵7/12/202238清華大學(xué)軟件

13、學(xué)院入侵檢測(cè)技術(shù)的發(fā)展第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù) 第二階段是以基于模式匹配+簡(jiǎn)單協(xié)議分析+異常統(tǒng)計(jì)為主的技術(shù)第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù) 第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù) 7/12/202239清華大學(xué)軟件學(xué)院入侵技術(shù)的發(fā)展與演化 攻擊對(duì)象轉(zhuǎn)移化綜合化復(fù)雜化主體對(duì)象間接化規(guī)模擴(kuò)大化 技術(shù)分布化7/12/202240清華大學(xué)軟件學(xué)院安全技術(shù)安全支付技術(shù)數(shù)據(jù)加密技術(shù)認(rèn)證技術(shù)入侵檢測(cè)技術(shù)電子商務(wù)安全技術(shù)防火墻技術(shù)數(shù)字簽名技術(shù)安全支付技術(shù)7/12/202241清華大學(xué)軟件學(xué)院安全支付技術(shù)SSL協(xié)議又名安全套接層（Secure Sockets Layer）協(xié)議最初是由Netscape Communication公司設(shè)計(jì)開(kāi)發(fā)的 主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)保證任何安裝了安全套接字的客戶和服務(wù)器間事務(wù)安全 SET協(xié)議基于互聯(lián)網(wǎng)的卡基支付，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn)，采用RSA公開(kāi)密鑰體系對(duì)通信雙方進(jìn)行認(rèn)證，利用DES、RC4或任何標(biāo)準(zhǔn)對(duì)稱加密方法進(jìn)行信息的加密傳輸，并用HASH算