第3章 电子商务安全协议（定稿）.ppt

第3章 电子商务安全协议 蔡志文 主编 学习目标 导入案例 电子商务面临的病毒威胁 2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下，隐藏着巨大的传染潜力，短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。2007年2月3日，“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代，他曾将“熊猫烧香”病毒出售给120余人，而被抓获的主要嫌疑人仅有6人，所以不断会有“熊猫烧香”病毒的新变种出现。 讨论：在现代电子商务快速发展的时代，是否存在可有效防范电子商务安全威胁的电子商务安全协议？ 3.1　IP协议安全体系 3.1.1　IP协议概述 IP协议是TCP/IP协议族中网络层的协议，是TCP/IP协议族的核心协议，主要提供无连接的数据包传输机制，其主要功能有：寻址、路由选择、分段和组装。 3.1　IP协议安全体系 3.1.1　IP协议概述 1．IPv4 IPv4的地址位数为32位，也就是最多有台电脑可以同时连接到Internet上。IP地址变得越来越珍稀，迫使许多企业不得不使用NAT将多个内部地址映射成一个公共IP地址。 NAT并不可能从根本上解决IP地址匮乏问题，随着连网设备的急剧增加，IPv4公共地址也即将完全耗尽。IPv4地址的全球性耗尽必将迎来IPv6的申请高峰。 3.1　IP协议安全体系 3.1.1　IP协议概述 2．IPv6 IPv6作为下一代互联网协议，它采用128位的地址长度，几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址，整个地球的每平方米面积上可分配1?000多个IP地址。 在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题之外，还考虑了在IPv4中解决不好的其他问题，如端到端IP连接、服务质量保证、安全性、多播、移动性、即插即用等。 3.1　IP协议安全体系 3.1.1　IP协议概述 2．IPv6 与IPv4相比，IPv6具有以下几个方面的优点。 (1) 更大的地址空间。 (2) 更小的路由表。 (3) 增强的组播支持以及对流的支持。 (4) 加入了对自动配置的支持。 (5) 更高的安全性。 3.1　IP协议安全体系 3.1.2 IP协议安全体系概述 IETF在IPv6中提出了全新的网络安全体系结构，即IPSec标准，它能为IP协议(包括IPv4和IPv6)及其上层协议(如TCP、UDP等)提供一套标准的、高效的并易于扩充的安全机制。 3.1　IP协议安全体系 3.1.2 IP协议安全体系概述 1．IPSec相关概念 1) 安全关联 2) 安全关联数据库 3) 安全策略数据库 3.1　IP协议安全体系 3.1.2 IP协议安全体系概述 2．IPSec的工作模式 如图3-2所示， IPSec主要 有传输模式 和隧道模式 两种工作模式。 3.1　IP协议安全体系 3.1.2 IP协议安全体系概述 2．IPSec的工作模式 3.1　IP协议安全体系 3.1.2 IP协议安全体系概述 3．IPSec的工作原理 IPSec无论工作在哪种工作模式下，当IP数据包进入或离开支持IPSec的网络端口时，IPSec模块将根据安全策略数据库(SPD)的决策对该IP数据包进行何种形式的处理。对IP数据包的处理方式分为3种，即抛弃、旁路和根据安全关联(SA)进行IPSec处理。 3.1　IP协议安全体系 3.1.2IP协议安全体系概述 3．IPSec的工作原理 IPSec安全体系结构 如图3-4所示： 3.1　IP协议安全体系 3.1.2 IP协议安全体系概述 4．IP认证协议AH IP认证协议AH是在所有IP数据包头加入一个密码，它通过一个只有拥有密钥的用户才能采用“数字签名”方式来对用户进行认证，这个签名是IP数据包通过特别的算法得出的独特结果。 AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，IP数据包头的数字签名都能把它检测出来。由于AH不能加密数据包所加载的内容，因而它不保证任何机密性。 3.1　IP协议安全体系 3.1.2 IP协议安全体系概述 5．IP加密安全协议ESP ESP作为IPv6中的一种扩展头，提供了IP数据包的加密、来源认证、基于无连接的数据包完整性、防止重发攻击，以及数据流量的私有性等功能。 3.1　IP协议安全体系 3.1.2 IP协议安全体系概述 6．密钥交换协议(IKE) IKE协议是IPSec目前唯一正式确定的密钥交换协议，为AH和ESP提供密钥交换支持，同时也支持密钥协商机制。 在IPSec协议中进行