《电子商务安全 第2版 教学课件 ppt 作者 王忠诚 第3章电子商务安全技术》由会员分享,可在线阅读,更多相关《电子商务安全 第2版 教学课件 ppt 作者 王忠诚 第3章电子商务安全技术(120页珍藏版)》请在金锄头文库上搜索。
1、第3章 电子商务安全技术,第3章 信息安全技术,3.1数据加密技术概述 3.2加密算法 3.3数字签名 3.4防火墙 3.5虚拟局域网 3.6入侵检测系统 3.7反病毒技术,3.1 数据加密技术概述,利用加密算法和密钥对信息编码进行隐藏,而密码分析学试图破译算法和密钥,两者对立又统一 3.1.1 密码学的基本概念 3.1.2 网络加密方式分类,3.1.1 密码学的基本概念,1.加密算法与解密算法,3.1.1 密码学的基本概念,2.密钥(Key) 密钥是由数字、字母或特殊符号组成的字符串组成的,用来控制加解密的过程。加密密钥(Encryption Key),简称为ke;解密密钥(Decrypti
2、on Key),简称为kd,3.1.1 密码学的基本概念,2.密钥(Key) 对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性也就越好。,3.1.1 密码学的基本概念,3.密码 密码是明文和加密密钥相结合,然后经过加密算法运算的结果,3.1.2 网络加密方式分类,1.链路加密方式,是一种把网络上传输的数据报文每一比特都进行加密,但是只对通信链路中的数据进行加密,而不对网络节点内的数据加密的网络加密方法。 2.节点对节点加密方式:为了解决采用链路加密方式时,在中间节点上数据报文是以明文出现的缺点,在中间节点里装上一个用于加密、解密的保护装置,即由这个装置来完成一个密钥向另一个密钥的变
3、换,3.1.2 网络加密方式分类,3.端对端加密方式(面向协议加密方式) 端对端加密方式是由发送方加密的数据在没有到达最终目的地接受节点之前是不被解密的,且加密和解密只在源节点和目的地节点之间进行。它是对整个网络系统采取保护措施的网络加密方法。 端对端加密方式是网络加密方式的发展趋势。,3.2 加密算法,3.2.1对称加密体制 3.2.2非对称加密体制 3.2.3公钥密钥与对称密钥技术的综合应用 3.2.4密钥管理与自动分配,3.2.1对称加密体制,1.对称加密体制的基本概念,3.2.1对称加密体制,2.典型的对称加密算法 1)数据加密标准(Data Encryption Standard,D
4、ES) 2)国际数据加密算法(International Data Encryption Algorithm,IDEA),3.2.1对称加密体制,3.对称加密算法存在的弊端 1)要求提供一条安全的秘密渠道使交易双方在首次通信时协商一个共同的密钥,这样秘密渠道的安全性是相对的。 2)对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂 3)对称密钥的管理和分发要求安全可靠性很高,而潜在的隐患也很大。 4)对称加密算法不能实现数字签名,3.2.2非对称加密体制,非对称加密体制是在试图解决对称加密面临的两个最突出的问题而诞生的,即密钥分配和数字签名,它的发展是整个密码学历史上最大的革命,3.2
5、.2非对称加密体制,1.非对称加密体制的基本概念,3.2.2非对称加密体制,2.典型非对称加密体制算法 (1)RSA公钥密码算法 RSA体制被认为是当前理论上最为成熟的一种公钥密码体制,是目前应用最为广泛的公钥系统 (2)ECC(Elliptic Curve Cryptography)加密密钥算法 ECC主要是基于离散对数的计算困难性 (3)PGP公钥加密算法 良好隐私加密算法(Pretty Good Privacy,PGP)是Internet上应用最为广泛的一种基于RSA公钥加密体制的混合加密算法,3.2.2非对称加密体制,3.非对称加密体制的特点 1)通信双方可以在不安全的媒体上交换信息,
6、安全地达成一致的密钥,不需要共享通用的密钥,用于解密的私钥不需要发往任何地方,公钥在传递与发布工程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义 2)简化了密钥的管理,网络中有N 个用户之间进行通信加密,仅仅需要使用N对密钥就可以了 3)公钥加密的缺点在于加密算法复杂,加密和解密的速度相对来说比较慢。,3.2.2非对称加密体制,4.应用比较,3.2.3公钥密钥与对称密钥技术的综合应用,3.2.3公钥密钥与对称密钥技术的综合应用,A生成一随机的对称密钥,即会话密钥 A用会话密钥加密明文 AB的公钥加密会话密钥 A将密文以及加密后的会话密钥传送给B B使用自己的私钥解密会话密钥 B使
7、用会话密钥解密密文,得到明文。,3.2.4 密钥管理与自动分配,(1)分发密钥 (2)验证密钥 密钥附着一些检错和纠错位来传输,当密钥在传输中发生错误时,能很容易地被检查出来。如果需要,密钥可被重传。接收端也可以验证接收的密钥是否正确。 (3)更新密钥 (4)存储密钥,3.2.4 密钥管理与自动分配,一个好的密钥管理系统应该做到: 1)密钥难以被窃取 2)在一定条件下窃取了密钥也没有用,密钥有使用范围和时间的限制 3)密钥的分配和更换过程对用户透明,用户不一定要亲自掌管密钥,3.3 数字签名,3.3.1数字签名概述 3.3.2数字签名实现方法 3.3.3数字签名的算法 3.3.4数字签名的过程
8、 3.3.5数字签名的标准,3.3.1数字签名概述,1.数字签名技术的发展 数字签名必须保证以下三点: 接收者能够核实发送者对报文的签名 发送者事后不得否认对报文的签名 接受者不可伪造对报文的签名,3.3.1数字签名概述,2.数字签名介绍 (1)数字签名含义 数字签名是通过一个散列函数对要传送的报文进行处理而得到的用来认证报文来源,并核实报文是否发生变化的一个字符数字串 (2)数字签名主要方式 (3)数字签名种类 数字签名有两种,一是对整体消息的签名,它是消息经过密码变换后被签名的消息整体;还有一种是对压缩消息的签名,它是附加在被签名消息之后的某一特定位置上的一段签名信息,3.3.2数字签名实
9、现方法,1.用非对称加密算法(RSA算法)进行数字签名 发送方首先用公开的散列函数对报文进行一次变换,得到数字签名,然后利用私有密钥对数字签名进行加密后附在报文后同时发送 接收方用发送方的公开密钥对数字签名进行解密,得到一个数字签名的明文。 接收方将得到的明文通过散列函数进行计算,也得到一个数字签名,再将两个数字签名比较。如果相同,则证明签名有效;如果不同,则说明签名无效 2.使用对称加密算法(IDEA算法)进行数字签名,3.3.3数字签名的算法,应用最为广泛的签名算法是RSA算法、DSS算法以及Hash算法,这三种算法可以单独使用,也可以混合使用。 Hash签名是最主要的数字签名方法,又称为
10、数字摘要法(digitaldigest)或数字指纹法(digitalfingerprint)。,3.3.4数字签名的过程 数字信封工作原理,3.3.4数字签名的过程 数字签名工作原理,1)发送方使用单向散列函数对要发送的明文进行运算,生成数字摘要 2)发送方使用私有密钥,利用非对称加密算法对生成的数字摘要进行数字签名 3)发送方通过公开的网络将信息本身和已经进行数字签名的信息摘要发送给接收方 4)接收方使用与发送方相同的单向散列函数,对收到的信息进行运算,重新生成信息摘要 5)接收方使用发送方的公有密钥对接收的信息摘要进行解密 6)将解密的数字摘要与重新生成的数字摘要进行比较,以判断信息在传送
11、过程中是否被篡改,如果两个数字签名一致,这说明文件在传输过程中没有被破坏,3.3.5数字签名的标准,1.数字签名标准的历史 2.数字签名标准的现状 3.数字签名的应用和未来,3.4 防火墙,3.4.1防火墙概述 3.4.2防火墙的关键技术 3.4.3 防火墙技术发展动态和趋势 3.4.4 防火墙系统的设计 3.4.5 选择防火墙的原则 3.4.6 主流防火墙产品介绍 3.4.7 防火墙应用举例,3.4.1 防火墙概述,1.防火墙的定义 防火墙就是介于内部网络和不可信任的外部网络之间的一系列部件的组合,它是不同网络或网络安全域之间信息的唯一出入口,根据企业的总体安全策略控制(如允许、拒绝)出入内
12、部可信任网络的信息流,而且防火墙本身具备很强的抗攻击能力,是提供信息安全服务和实现网络和信息安全的基础设施,防火墙逻辑位置图,2防火墙的功能 (1)强化公司的安全策略 (2)实现网络安全的集中控制 (3)实现网络边界安全 (4)记录网络之间的数据包,3防火墙的扩展功能 (1)减少可信任网络的暴露程度 (2)实现流量控制 (3)集成VPN功能 (4)双重DNS(域名服务)服务 4防火墙的分类 可以分为数据包过滤型防火墙、代理服务型防火墙和状态检测型防火墙,3.4.2防火墙的关键技术,1.分组过滤技术,防火墙控制FTP访问示意图,2.代理服务器技术 代理的概念对于防火墙是非常重要的,因为代理把网络
13、IP地址替换成其它的暂时的地址。这种执行对于互联网来说有效地隐藏了真正的网络IP地址,因此保护了整个网络,代理服务器工作原理,电路层代理,3.状态检测防火墙技术 状态检测防火墙,试图跟踪通过防火墙的网络连接和分组,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的,3.4.3防火墙技术发展动态和趋势,(1)优良的性能 (2)可扩展的结构和功能 (3)简化的安装与管理 (4)主动过滤 (5)防病毒与防黑客,3.4.4 防火墙系统的设计,1屏蔽路由器体系结构,2双重宿主主机体系结构,3.被屏蔽主机体系结构,4.被屏蔽子网体系结
14、构,3.4.5 选择防火墙的原则,(1)防火墙管理的难易度 (2)防火墙自身是否安全 (3)系统是否稳定 (4)是否高效 (5)是否可靠 (6)功能是否灵活 (7)是否可以抵抗拒绝服务攻击 (8)是否可以针对用户身份过滤 (9)是否可扩展、可升级,3.4.6主流防火墙产品介绍,MicroSoft ISA2004 Firewall Check Point Firewall-1 AXENT Raptor CyberGuard Firewall Cisco PIX Firewall NAI Gauntlet 东大阿尔派 天融信网络卫士,3.4.7防火墙应用举例,1)ISA Server 2004的安
15、装程序,2)ISA Server 2004的安装界面,3)选择典型安装,防火墙应用举例,4)指定内部网络地址,防火墙应用举例,4)指定内部网络地址,防火墙应用举例,5)允许运行早期版本,防火墙应用举例,6)单击安装,3.4.7防火墙应用举例,2.配置ISA Server 2004服务器 (1)网络规则,3.4.7防火墙应用举例,(2)访问规则 1)新建访问规则,3.4.7防火墙应用举例,2)允许内部客户访问外部网络,3.4.7防火墙应用举例,3)允许符合规则操作,3.4.7防火墙应用举例,4)选择此规则应用范围,3.4.7防火墙应用举例,5)设定源通讯和目标通讯,3.4.7防火墙应用举例,6)指定此规则应用于哪些用户,3.4.7防火墙应用举例,7)完成访问规则的建立,3.4.7防火墙应用举例,8)更新规则集,3.5 虚拟局域网,3.5.1 VPN概述 3.5.2 VPN技术 3.5.3 VPN服务器配置 3.5.4 IPSec协议,3.5.1 VPN概述,1.VPN的概念 VPN是Virtual Private Network的缩写,中文译为虚拟私有网络,指的是构建在Internet上,使用隧道及加密建立一个虚拟的、安全的、方便的及拥有自主权的私人数据网络。V
