第7章 电子务安全技术.ppt

本章要点 一、任务引入 网上银行和网上支付的安全性是用户使用其服务的基础。一旦用户银行账号、身份证号、交易密码等信息泄露，将给用户带来直接的财产损失。造成网上银行和网上支付安全问题的主要原因有四种：一是黑客侵入用户计算机盗取卡号信息和密码；二是交易信息在互联网传输的过程中被黑客截取；三是用户误入“钓鱼”网站，信用卡号和密码被骗取，这种情况是用户被骗的最主要情况；四是用户轻信虚假广告宣传，为获得不法利益签约电子银行并将安全产品及私密信息泄露出去造成资金损失。王微是一个热衷于网络购物的消费者，基于安全的考虑，在采用信用卡进行网上支付的同时，决定申请一个数字证书。 王微要想申请数字证书，就必须了解有关数字证书的相关内容。 (1) 了解数字证书的概念和数字证书用于加解密、数字签名中的作用； (2) 掌握数字证书的申请流程及安装使用方法； (3) 了解什么网站提供供试用、学习性质的免费CA服务。 1．信息的截获和窃取 2．篡改信息 3．假冒身份 4．抵赖行为 5．拒绝服务 1．信息的截获和窃取 1．信息的截获和窃取 网上信息的窃听与数据的窃取 2. 篡改信息 数据篡改 信息的重发 攻击者截获网上的密文信息后并不破译，而是把这些数据包再次向有关服务器发送。 3．假冒身份 对用户身份的仿冒 5．拒绝服务 拒绝服务(Deny of Service,DoS) 分布式拒绝服务攻击(DDoS) “‘一网打尽’说：我再给你5分钟，不给我的话你们就等死吧 ！”去年12月5日，新浪网工作人员赵先生接到这样一条聊天记录。5分钟后该网站北京等地的多个UT服务器突然遭到海量信息攻击，在长达近500分钟内无法为用户提供服务。昨天，制造了这起黑客攻击新浪事件的张波在海淀法院受审。 　　据指控，2007年12月4日到2008年1月8日，张波通过拒绝服务的攻击方式，对新浪UT服务器进行攻击，造成新浪北京、天津、广州等地的UT服务器全面堵塞，损失达到近50万元。检方认为张波构成破坏计算机信息系统罪。 1．保密性 2．完整性 3．个体识别性 4．不可抵赖性 5．授权合法性 6．数据有效性 网络安全的工作目的 防火墙技术 数据加密技术 数字签名 身份认证技术 防病毒技术 网络安防的架构 1．防火墙技术 1．防火墙技术 防火墙示意图 (1)防火墙的优点和缺陷 ①保护网络中脆弱的服务 ②集中安全性 ③增强保密性、强化私有权 ④网络访问监控审计 ①限制有用的网络服务 ②不能有效防止内部网络用户的攻击 ③防火墙无法防范通过防火墙以外的其他途径的攻击 ④防火墙也不能完全防止传送已感染病毒的软件或文件 ⑤防火墙无法防范新的网络安全问题 (2)防火墙类型 ①包过滤防火墙 ②代理服务防火墙，也称作应用级防火墙 2．数据加密技术 (2) 加密的类型 ①对称加密，又称私钥加密，即信息的发送方和接收方用相同的密钥去加密和解密数据 ②非对称加密，又称公钥密钥加密。 ③双重加密 对称加密比较典型的算法有DES(Data Encryption Standard数据加密标准)算法及其变形Triple DES(三重DES)，GDES(广义DES)；欧洲的IDEA；日本的FEALN、RC5等。 DES的优点是仅使用最大为64位的标准算术和逻辑运算，运算速度快，密钥生产容易。 DES的缺点是：密钥太短(56位)，影响了它的保密强度；密钥管理困难。它要求通信双方事先交换密钥，当系统用户多时，需要管理成千上万的密钥与不同的对象通信。 ②非对称加密，又称公钥密钥加密。 它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥(Public Key)；另一个由用户自己秘密保存，称为私有密钥(Private Key)。 信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。 RSA是目前使用最广泛的非对称加密算法 非对称算法研制的最初理念与目标是旨在解决对称加密算法中密钥的分发问题，实际上它不但很好的解决了这个问题，还利用非对称加密算法来完成对电子信息的识别签名，以防止对信息的否认和抵赖，同时还可以利用数字签名，较容易地发现攻击者对信息的非法修改，以保护数据信息的完整性。 ③双重加密。 发送者自动生成对称密钥，用对称密钥加密发送的信息，将生成的密文连同用接收方的公开密钥加密后的对称密钥—起传送出去。收信者用其私有密钥解密被加密的密钥来得到对称密钥，然后用这把对称密钥来解密密文。 3．数字签名技术 数字签名相对于手写签名在安全性方面的好处是：数字签名不仅与签名者的私有密钥有关，而且与报文的内容有关，因此不能将签名者对一份报文的签名复制到另一份报文上，同时