电子商务概论-11-网络安全

shih@nankai.edu.cn
本章主要内容
• 11.2 PKI
– 私钥和公钥加密 – 对称密钥（私钥）系统 – 公共密钥（非对称）加密 – 数字签名 – 数字证书和认证中心 – 安全套接层
• 11.3 防火墙 • 11.4 IDS • 11.5 防病毒 • 11.6 安全策略
18:14:08
第十一章 网络安全
主讲人：石 鉴 南开大学商学院 管理科学与工程系
学习目标
• 了解公钥基础设施（PKI）的原理和 功用
• 掌握防火墙和入侵检测系统的原 理、应用与局限
• 了解电子商务安全策略的重要意义 和作用
18:14:08
shih@nankai.edu.cn
开篇案例：思科SAFE构建 广发展三层安全防护体系
shih@nankai.edu.cn
11.2 PKI
网络安全认证领域最先进的技术依赖公钥基 础设施（public key infrastructure，PKI）。PKI 已经成为安全电子支付的基石。它与某些步骤 相关，如技术组件、基础设施和网络应用所必 需的公钥加密、数字签名和数字证书的使用成 为可能等等。PKI是包括SCM、VPN、安全电子 邮件和内联网应用在内的许多网络应用的基 础。
准。
SSL使用户在Web服务器和Web浏览器之
间加密信用卡号和其他传输内容成为可能。
18:14:08
shih@nankai.edu.cn
11.3 防火墙
• 防火墙在需要保护的网络同可能带来安全威 胁的因特网或其他网络之间建立了一层保 护，通常也是第一道保护。
• 防火墙是具有以下特征的计算机： 1.由内到外和由外到内的所有访问都必须
存在很多第三方CA，例如VeriSign是最著名的 CA。VeriSign签发三类证书：第一类证明电子邮件 确实来自于用户的地址。第二类在商业信用数据库中 核对用户的身份。第三类要求证明文件。微软这样的 18:14:08 公司可提供允许公司签发私有内部证书s的hih@系na统nkai。.edu.cn
18:14:08
图11-1对称（私有）密钥加密
shih@nwk.baidu.comnkai.edu.cn
公共密钥（非对称）加密
公钥加密（public key encryption）使用一对匹 配 的 密 钥 —— 可 以 公 开 的 提 供 给 任 何 人 的 公 钥 （public key）和只有拥有者才知道的私钥（private key）。如果报文用公钥加密，那么需要相关的私钥 进行解密。
最常见的公钥加密算法是RSA（rsa.com）。RSA 使用长度在512位到1024位之间的密钥。公钥加密的 最大问题是速度。对称加密算法要比非对称密钥加密 算法快得多。因此，公钥加密不能用来高效的加密和 解密大量数据。
18:14:08
shih@nankai.edu.cn
数字签名
数字签名（digital signature）是基于 公共密钥的。数字签名用来鉴定消息或文件 发送者本身，还被用来确保电子消息或文件 的原始内容没有被改动。数字签名在网络世 界中还有其他的好处。数字签名易于传输， 不易否认或模仿，还可以打上时间戳 。
安全套接层
安全套接层（Secure Socket Layer， SSL）由网景（Netscape）公司发明，应用
标准认证证书和数据加密技术确保私密性或 机密性。SSL已成为事实上的标准。1996 年，SSL更名为传输层安全（Transport Layer Security，TLS），但许多人仍沿用 SSL的名字。它是在线信用卡支付的主要标
18:14:08
shih@nankai.edu.cn
私钥和公钥加密
组成部分
明文 加密算法
密钥 密文
描述
例子
人类可读形式的原始消 息
用来加密或解密的数学 公式或过程
供算法用来改变消息形 式的特别的数字
信用卡号5342 8765 3652 9982
卡号中的每个数字加上一个数字 （密钥），如果数字大于9， 则忽略进位的数字（也就是 求模运算）。例如每个数字 加4，那么1变成5，9变成3 等等。
18:14:08
shih@nankai.edu.cn
18:14:08
shih@nankai.edu.cn
数字证书和认证中心
数字证书（digital certificate）可以证明公钥和私 钥的持有者是他或她所宣称的那个人。被称为认证中 心（certificate authorities，CA）的第三方来签发 数字证书。一份证书包含诸如持有者姓名、有效期、 公钥信息和证书数据签名的hash（也就是利用CA的 私钥签名的经过hash的证书内容）。证书被用来认 证Web站点（站点证书）、个人（个人证书）和软件 公司（软件发布者证书）。
通过它。 2.只有本地安全策略所定义的合法访问才
被允许通过它。 3.防火墙本身无法被穿透。
18:14:08
shih@nankai.edu.cn
9.3.1 服务器的硬件及其性能评价
• 防火墙在协议栈中处于应用层，也可在网络层和传输层上操作。如果公司有多个 的网站，那么每一个与因特网的连接处都要有防火墙，这样才能保证整个公司有 一个安全边界。另外，公司的每个防火墙都得遵守同样的安全策略；否则，如果 一个防火墙允许一种交易进入另一个防火墙不允许进入的公司网络，结果就会造 成非法访问进入到公司的整个网络上，因为这个防火墙给防火墙里的整个企业网 络上留下了一个小漏洞。
• SAFE蓝图是思科提出的整体安全理念。安 全理念主要体现在三点:一，真正能够确保 网络安全的不是一个个单点的产品，而是 一个完整的安全体系。二，安全性是过程 而不是产品。三，安全体系必须覆盖整个 网络，深度防御、集中管理和报告机制三 者缺一不可。
• 1、横向：分网段防御
• 2、纵向：分层防御
18:14:08
加在原始数字上的数字（例如 4）。
明文消息加密后不可读 原始的5342 8765 3652 9982变
的形式
成了9786 2109 70963326。
18:14:08
表11-1 加密的组成部分
shih@nankai.edu.cn
对称密钥（私钥）系统
在对称密钥（私钥）系统（symmetric (private) key system）中，同样 的密钥被用来加密和解密明文（见图11-1），文件的发送者和接受者 必须共用这相同的密钥，而对其他人保密——因此称之为私钥系统。