电子商务概论-11-网络安全

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

shih@nankai.edu.cn
本章主要内容
• 11.2 PKI
– 私钥和公钥加密 – 对称密钥(私钥)系统 – 公共密钥(非对称)加密 – 数字签名 – 数字证书和认证中心 – 安全套接层
• 11.3 防火墙 • 11.4 IDS • 11.5 防病毒 • 11.6 安全策略
18:14:08
第十一章 网络安全
主讲人:石 鉴 南开大学商学院 管理科学与工程系
学习目标
• 了解公钥基础设施(PKI)的原理和 功用
• 掌握防火墙和入侵检测系统的原 理、应用与局限
• 了解电子商务安全策略的重要意义 和作用
18:14:08
shih@nankai.edu.cn
开篇案例:思科SAFE构建 广发展三层安全防护体系
shih@nankai.edu.cn
11.2 PKI
网络安全认证领域最先进的技术依赖公钥基 础设施(public key infrastructure,PKI)。PKI 已经成为安全电子支付的基石。它与某些步骤 相关,如技术组件、基础设施和网络应用所必 需的公钥加密、数字签名和数字证书的使用成 为可能等等。PKI是包括SCM、VPN、安全电子 邮件和内联网应用在内的许多网络应用的基 础。
准。
SSL使用户在Web服务器和Web浏览器之
间加密信用卡号和其他传输内容成为可能。
18:14:08
shih@nankai.edu.cn
11.3 防火墙
• 防火墙在需要保护的网络同可能带来安全威 胁的因特网或其他网络之间建立了一层保 护,通常也是第一道保护。
• 防火墙是具有以下特征的计算机: 1.由内到外和由外到内的所有访问都必须
存在很多第三方CA,例如VeriSign是最著名的 CA。VeriSign签发三类证书:第一类证明电子邮件 确实来自于用户的地址。第二类在商业信用数据库中 核对用户的身份。第三类要求证明文件。微软这样的 18:14:08 公司可提供允许公司签发私有内部证书s的hih@系na统nkai。.edu.cn
18:14:08
图11-1对称(私有)密钥加密
shih@nwk.baidu.comnkai.edu.cn
公共密钥(非对称)加密
公钥加密(public key encryption)使用一对匹 配 的 密 钥 —— 可 以 公 开 的 提 供 给 任 何 人 的 公 钥 (public key)和只有拥有者才知道的私钥(private key)。如果报文用公钥加密,那么需要相关的私钥 进行解密。
最常见的公钥加密算法是RSA(rsa.com)。RSA 使用长度在512位到1024位之间的密钥。公钥加密的 最大问题是速度。对称加密算法要比非对称密钥加密 算法快得多。因此,公钥加密不能用来高效的加密和 解密大量数据。
18:14:08
shih@nankai.edu.cn
数字签名
数字签名(digital signature)是基于 公共密钥的。数字签名用来鉴定消息或文件 发送者本身,还被用来确保电子消息或文件 的原始内容没有被改动。数字签名在网络世 界中还有其他的好处。数字签名易于传输, 不易否认或模仿,还可以打上时间戳 。
安全套接层
安全套接层(Secure Socket Layer, SSL)由网景(Netscape)公司发明,应用
标准认证证书和数据加密技术确保私密性或 机密性。SSL已成为事实上的标准。1996 年,SSL更名为传输层安全(Transport Layer Security,TLS),但许多人仍沿用 SSL的名字。它是在线信用卡支付的主要标
18:14:08
shih@nankai.edu.cn
私钥和公钥加密
组成部分
明文 加密算法
密钥 密文
描述
例子
人类可读形式的原始消 息
用来加密或解密的数学 公式或过程
供算法用来改变消息形 式的特别的数字
信用卡号5342 8765 3652 9982
卡号中的每个数字加上一个数字 (密钥),如果数字大于9, 则忽略进位的数字(也就是 求模运算)。例如每个数字 加4,那么1变成5,9变成3 等等。
18:14:08
shih@nankai.edu.cn
18:14:08
shih@nankai.edu.cn
数字证书和认证中心
数字证书(digital certificate)可以证明公钥和私 钥的持有者是他或她所宣称的那个人。被称为认证中 心(certificate authorities,CA)的第三方来签发 数字证书。一份证书包含诸如持有者姓名、有效期、 公钥信息和证书数据签名的hash(也就是利用CA的 私钥签名的经过hash的证书内容)。证书被用来认 证Web站点(站点证书)、个人(个人证书)和软件 公司(软件发布者证书)。
通过它。 2.只有本地安全策略所定义的合法访问才
被允许通过它。 3.防火墙本身无法被穿透。
18:14:08
shih@nankai.edu.cn
9.3.1 服务器的硬件及其性能评价
• 防火墙在协议栈中处于应用层,也可在网络层和传输层上操作。如果公司有多个 的网站,那么每一个与因特网的连接处都要有防火墙,这样才能保证整个公司有 一个安全边界。另外,公司的每个防火墙都得遵守同样的安全策略;否则,如果 一个防火墙允许一种交易进入另一个防火墙不允许进入的公司网络,结果就会造 成非法访问进入到公司的整个网络上,因为这个防火墙给防火墙里的整个企业网 络上留下了一个小漏洞。
• SAFE蓝图是思科提出的整体安全理念。安 全理念主要体现在三点:一,真正能够确保 网络安全的不是一个个单点的产品,而是 一个完整的安全体系。二,安全性是过程 而不是产品。三,安全体系必须覆盖整个 网络,深度防御、集中管理和报告机制三 者缺一不可。
• 1、横向:分网段防御
• 2、纵向:分层防御
18:14:08
加在原始数字上的数字(例如 4)。
明文消息加密后不可读 原始的5342 8765 3652 9982变
的形式
成了9786 2109 70963326。
18:14:08
表11-1 加密的组成部分
shih@nankai.edu.cn
对称密钥(私钥)系统
在对称密钥(私钥)系统(symmetric (private) key system)中,同样 的密钥被用来加密和解密明文(见图11-1),文件的发送者和接受者 必须共用这相同的密钥,而对其他人保密——因此称之为私钥系统。
相关文档
最新文档