电子商务与电子政务.pptVIP

虚拟专用网技术 VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。 隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。 第九十四页，共一百四十四页。 虚拟专用网技术 VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。 VPN的基本功能至少应包括： 1）加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。 2）信息验证和身份识别。保证信息的完整性、合理性，并能鉴别用户的身份。 3）提供访问控制。不同的用户有不同的访问权限。 4）地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 5）密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。 6）多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议，包括IP、IPX等。 第九十五页，共一百四十四页。 虚拟专用网技术 VPN的类型(按VPN的服务类型分类 ) 根据服务类型，VPN业务按用户需求定义以下三种：InternetVPN、AccessVPN与ExtranetVPN。 1）InternetVPN（内部网VPN）。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上。 第九十六页，共一百四十四页。 虚拟专用网技术 2）AccessVPN（远程访问VPN） 又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程访问VPN是用户通过本地的信息服务提供商(ISP)登录到因特网上，并在现在的办公室和公司内部网之间建立一条加密信道。 第九十七页，共一百四十四页。 虚拟专用网技术 3）ExtranetVPN（外联网VPN） 即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。它能保证包括TCP和UDP服务在内的各种应用服务的安全，如Email、HTTP、、数据库的安全以及一些应用程序如Java、ActiveX的安全。 第九十八页，共一百四十四页。 入侵检测技术 入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。 入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。 第九十九页，共一百四十四页。 入侵检测技术 入侵检测一般步骤 1．入侵数据提取 主要是为系统提供数据，提取的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测数据提取可来自以下四个方面。 （1）系统和网络日志； （2）目录和文件中的的改变； （3）程序执行中的不期望行为； （4）物理形式的入侵信息。 第一百页，共一百四十四页。 入侵检测技术 2．入侵数据分析 主要作用在于对数据进行深入分析，发现攻击并根据分析的结果产生事件，传递给事件响应模块。常用技术手段有：模式匹配、统计分析和完整性分析等。入侵数据分析是整个入侵检测系统的核心模块。 3．入侵事件响应 事件响应模块的作用在于报警与反应，响应方式分为主动响应和被动响应。 第一百零一页，共一百四十四页。 SSL协议 3. SSL的实现过程 ① 接通阶段：客户机呼叫服务器，服务器回应客户。 ② 认证阶段：服务器向客户机发送服务器证书和公钥，如果服务器需要双方认证，还要向对方提出认证请求；客户机用服务器公钥加密向服务器发送自己的公钥，并根据服务器是否需要认证客户身份，向服务器发送客户端证书。 第六十二页，共一百四十四页。 SSL协议 3. SSL的实现过程 ③确立会话密钥阶段：客户和服务器之间协议确立会话密钥。 ④会话阶段：客户机与服务器使用会话密钥加密交换会话信息。 ⑤结束阶段：客户机与服务器交换结束信息，通信结束