Internet安全.ppt

第3章Internet安全 上海财经大学劳帼龄 2 3 1Internet安全概述3 2防火墙技术3 3VPN技术3 4网络入侵检测3 5IP协议安全3 6电子商务应用安全协议 目录 上海财经大学劳帼龄 3 引例 万事达系统遇袭事件 万事达系统遇袭事件不是网络时代的个案 网站遇袭时间早已不是新闻 难道Internet毫无安全可言吗 上海财经大学劳帼龄 4 3 1Internet安全概述 3 1 1网络层安全3 1 2应用层安全3 1 3系统安全 上海财经大学劳帼龄 5 3 1 1网络层安全网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护 典型的网络层安全服务包括 认证和完整性保密性访问控制 3 1Internet概述 上海财经大学劳帼龄 6 3 1 2应用层安全应用层安全指的是建立在某个特定的应用程序内部 不依赖于任何网络层安全措施而独立运行的安全措施 应用层安全措施包括 认证访问控制保密性数据完整性不可否认性与Web 与信息传送有关的安全措施 3 1Internet概述 上海财经大学劳帼龄 7 3 1 3系统安全系统安全是指对特定终端系统及其局部环境的保护 而不考虑对网络层安全或应用层安全措施所承担的通信保护 系统安全措施包括 确保在安装的软件中没有已知的安全缺陷确保系统的配置能使入侵风险降至最低确保所下载的软件其来源是可信任的和可靠的确保系统能得到适当管理以使侵入风险最小确保采用合适的审计机制 以便能防止对系统的成功入侵和采取新的合适的防御性措施 3 1Internet概述 上海财经大学劳帼龄 8 3 2防火墙技术 3 2 1防火墙的基本概念3 2 2防火墙的基本原理3 2 3防火墙的实现方式 上海财经大学劳帼龄 9 3 2 1防火墙的基本概念防火墙 firewall 是在两个网络之间强制实施访问控制策略的一个系统或一组系统 狭义 指安装了防火墙软件的主机或路由器系统 3 2防火墙技术 上海财经大学劳帼龄 10 3 2 1防火墙的基本概念防火墙的功能 过滤不安全的服务和非法用户控制对特殊站点的访问作为网络安全的集中监视点防火墙的不足之处 不能防范不经由防火墙的攻击 e g 拨号不能防止受到病毒感染的软件或文件的传输不能防止数据驱动式攻击 3 2防火墙技术 上海财经大学劳帼龄 11 3 2 2防火墙的基本原理1 包过滤型防火墙 3 2防火墙技术 上海财经大学劳帼龄 12 3 2 2防火墙的基本原理2 应用网关型防火墙 3 2防火墙技术 上海财经大学劳帼龄 13 3 2 2防火墙的基本原理3 代理服务型防火墙 3 2防火墙技术 上海财经大学劳帼龄 14 3 2 3防火墙的实现方式包过滤路由器双穴防范网关过滤主机网关过滤子网防火墙 3 2防火墙技术 上海财经大学劳帼龄 15 3 3VPN技术 虚拟专用网络 virtualprivatenetwork VPN 技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式 上海财经大学劳帼龄 16 3 3 1VPN的基本功能一个成功的VPN方案应能满足 用户身份验证地址管理数据加密密钥管理多协议支持3 3 2VPN的安全策略隧道技术加解密技术密钥管理技术使用者与设备身份认证技术 3 3VPN技术 上海财经大学劳帼龄 17 3 4网络入侵检测 3 4 1网络入侵检测的原理检测策略基于主机的检测基于应用程序的检测基于目标的检测基于网络的检测3 4 2网络入侵检测的主要方法异常检测误用检测 上海财经大学劳帼龄 18 3 5IP协议安全 3 5 1IP安全体系结构IPsec文档IPsec的服务IPsec安全结构3 5 2认证头协议 AH 3 5 3分组加密协议 ESP 3 5 4安全关联3 5 5密钥交换3 5 6Ipsec的应用 上海财经大学劳帼龄 19 3 5 1IP安全体系结构IPsec的基本功能包括 在IP层提供安全服务选择需要的安全协议决定使用的算法保存加密使用的密钥IPsec文档 3 5IP协议地址 上海财经大学劳帼龄 20 3 5 1IP安全体系结构IPsec的服务访问控制无连接完整性数据源的鉴别拒绝重放的分组机密性有限的通信量机密性IPsec安全结构安全协议 AH和ESP安全关联 SA 密钥交换 手工和自动 IKE 认证和加密算法 3 5IP协议地址 上海财经大学劳帼龄 21 3 5 2认证头协议AHAH的功能AH的格式AH的两种模式认证算法 3 5IP协议地址 上海财经大学劳帼龄 22 3 5 3分组加密协议ESPESP的功能主要支持IP数据项的机密性也可提供认证服务ESP的格式ESP的两种模式传输模式隧道模式ESP的处理输出包处理输入包处理 3 5IP协议地址 上海财经大学劳帼龄 23 3 5 4安全关联 SA 安全关联的概念一个SA是在发送者和接收者这两个IPsec系统之间的一个简单的单向逻辑连接SA三元组 安全关联的类型传输模式隧道模式SPD和SAD 3 5IP协议地址 上海财经大学劳帼龄 24 3 5 5密钥交换IPsec的密钥交换包括密钥的确定和分配两种类型手工方式自动方式 3 5IP协议地址 上海财经大学劳帼龄 25 3 5 6Ipsec的应用Ipsec的优点Ipsec的应用 3 5IP协议地址 上海财经大学劳帼龄 26 3 6电子商务应用安全协议 3 6 1增强的私密电子邮件 PEM 3 6 2安全多用途网际邮件扩充协议 S MIME 3 6 3安全超文本传输协议 S HTTP 3 6 4安全套接层协议 SSL 3 6 5安全电子交易协议 SET 上海财经大学劳帼龄 27 3 6 1增强的私密电子邮件 PEM PEM规范缺点 与同期的多用途网际邮件扩充协议MIME不兼容 3 6电子商务应用安全协议 上海财经大学劳帼龄 28 3 6 2安全多用途网际邮件扩充协议S MIME电子邮件内容的安全问题发送者身份认证不可否认邮件的完整性邮件的保密性S MIME标准 Secure MultipurposeInternetMailExtension 设计目标 使自己能较易加入到已有的Email产品之中安全标准 信息格式 继承了MIME规格信息加密标准 包括DES 三重DES RC4数字签名标准 PKCS数字证书格式 X 509MIME和S MIME 3 6电子商务应用安全协议 上海财经大学劳帼龄 29 3 6 3安全超文本传输协议 S HTTP S HTTP是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议 主要利用密钥对加密的方法来保障Web站点上的信息安全 3 6电子商务应用安全协议 上海财经大学劳帼龄 30 3 6 4安全套接层协议 SecureSocketsLayer SSL SSL协议概述SSL建立在TCP协议之上 它的优势在于与应用层协议独立无关 应用层协议能透明地建立于SSL协议之上 e g HTTPoverSSL HTTPS 3 6电子商务应用安全协议 上海财经大学劳帼龄 31 3 6 4安全套接层协议 SecureSocketsLayer SSL SSL协议的功能SSL服务器认证确认用户身份保证数据传输的机密性和完整性SSL的体系结构基于SSL的银行卡支付过程 3 6电子商务应用安全协议 上海财经大学劳帼龄 32 3 6 5安全电子交易协议 SecureElectronicTransaction SETSET协议概述SET是一种应用于因特网环境下 以信用卡为基础的安全电子支付协议 通过SET可以实现电子商务交易中的加密 认证 密钥管理等机制 保证在开放网络上使用信用卡进行在线购物的安全 3 6电子商务应用安全协议 上海财经大学劳帼龄 33 3 6 5安全电子交易协议 SecureElectronicTransaction SETSET交易参与方 3 6电子商务应用安全协议 上海财经大学劳帼龄 34 3 6 5安全电子交易协议 SecureElectronicTransaction SETSET购物流程 3 6电子商务应用安全协议 上海财经大学劳帼龄 35 3 6 5安全电子交易协议 SecureElectr