第六章：PKIssl教学教案.pptVIP

（2）网络安全技术 网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。 网络安全技术所涉及的方面比较广，如操作系统安全、防火墙技术、虚拟专用网 VPN 技术、各种反黑客技术和漏洞检测技术等各种网络安全防范技术。当前在电子商务领域应用最广泛的是防火墙技术、虚拟专用网技术和入侵检测技术。 防火墙技术 当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙技术完成。 网络防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查，从而决定网络之间的通信是否被允许。 其中，被保护的网络称为内部网络或私有网络，而另一方则被称为外部网络或公用网络。 防火墙能有效地控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。 入侵检测技术 入侵检测系统（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。 它通过对计算机系统进行监视，提供实时的入侵监测，并采取相应的防护手段。它的目的在于监测可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为。 3.PKI和数字认证技术 PKI是公钥基础设施Public Key Infrastructure的英文缩写，PKI技术是普适性的安全基础设施，是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。 PKI的核心元素是数字证书，其核心执行者是认证机构。有关数字证书服务的应用实施是广泛开展电子商务的基本前提，电子商务的深入开展离不开数字证书技术和认证机构的正确督导。 计算机安全 安全体系结构 提纲 ISO/OSI安全体系结构 六层安全体系 安全体系结构 将普遍性的安全体系原理与自身信息系统的实际相结合，形成满足信息系统安全需求的安全体系结构 安全需求的制定 主要是根据所要保护的信息系统的资源，系统面临的威胁，并且考虑到构成系统各部件的缺陷和隐患共同形成的风险，建立安全需求 安全策略的制定 尽可能的制约所预见的系统风险及其变化，维持“ 风险－安全－投资”的平衡关系 把风险降低到可以接受的程度，威胁和/或攻击系统所花的代价大于所获得的现实和潜在的价值 应用安全体系结构 从管理和技术上保证安全策略得以完整准确的实现，安全需求得以满足。 OSI信息安全体系结构 ISO7498－2标准(GB／T9387－2)标准和《因特网安全体系结构》(RFC2401)是两个普遍适用的安全体系结构。 OSI7498-2 于1988年发布，部分内容已经过时 GB/T9387－2于1995年发布，给出了基于OSI参考模型七层协议之上的信息安全体系结构。 提供安全服务与有关机制的一般描述，为了保证异构计算机进程与进程之间远距离交换信息的安全，定义了系统应当提供的五类安全服务，还提供这些服务的八类安全机制及相应的OSI安全管理 确定在参考模型内部可以提供这些服务与机制的位置 安全要素 1.1你是谁? Rick Mary Internet/Intranet 应用系统 1.2怎么确认Rick就是你? 认证 1.1我是Rick. 1.2 口令是1234. 授权 保密性 完整性 防抵赖 2. 我能干什么? 2.你能干这个,不能干那个. 3.如何让别人无法偷听? 3. 我有密钥? 5.我偷了机密文件,我不承认. 5.我有你的罪证. 4.如何保证不能被篡改? 4.别怕,我有数字签名. 安全体系结构的安全服务 认证 我不认识你! -- 你是谁？ 我怎么相信你就是你? -- 要是别人冒充你怎么办? 访问控制\授权 我能干什么? -- 我有什么权利? 你能干这个,不能干那个. 保密性 我与你说话时,别人能不能偷听? 完整性 收到的传真不太清楚? 传送过程过程中别人篡改过没有? 防抵赖 我收到货后,不想付款,想抵赖,怎么样? 我将钱寄给你后,你不给发货,想抵赖,如何? 安全体系结构的安全机制 OSI安全体系结构采用下列安全机制提供安全服务： 1、加密机制 2、数字签名机制 3、访问控制机制 4、完整性机制 5、认证机制 6、信息流填充机制 7、路由控制机制 8、公证机制 服务应用 对于对付典型安全威胁的安全服务： 电子商务安全技术 Internet 基础设施安全 电子商务 电子商务，Electronic Commerce，简称EC。 电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进