五知识产权客户机通道服务器保护PPT课件

1 第5讲电子商务安全 4学时 哈尔滨工业大学管理学院王泽彬Wangzebin 第14章电子商务中的安全问题 3 14 5知识产权保护14 6客户机保护14 7电子商务通道保护14 8电子商务服务器保护14 9有关计算机端口的安全 14 5保护知识产权 5 14 5保护知识产权 如何能在网上发表作品又能保护这些作品 技术手段 数字水印复制控制法律手段 6 数字水印数字水印是隐蔽地嵌入在数字图像或声音文件中的数字码或数字流 静态图像水印音像水印流复制控制对数字作品的复制数量进行控制的电子机制 7 14 6客户机保护 防病毒软件计算机犯罪专家协助监控活动内容识别身份 服务器身份 下载内容发行者身份 数字证书是在电子邮件附件中或嵌在网页上的程序代码 可用来验证用户或网站的身份 8 14 6客户机保护 防病毒软件计算机犯罪专家协助监控活动内容识别身份 服务器身份 下载内容发行者身份 数字证书是在电子邮件附件中或嵌在网页上的程序代码 可用来验证用户或网站的身份 9 10 11 12 13 数字证书 主要内容 证书拥有者的身份信息公开密钥证书有效期证书编号认证中心名称认证中心数字签名 14 数字证书 CA认证中心 CertificationAuthority 15 数字证书的作用 身份认证 加密传输信息 数字签名 抗否认 16 电子签名 是指数据电文中以电子形式所含 所附用于识别签名人身份并表明签名人认可其中内容的数据 电子签名法 17 数字签名 DigitalSignature 用来证明持有者身份的加密数字信息 2000年夏季美国总统克林顿签署法令 规定数字签名的法律地位与传统的笔墨签名一样 中华人民共和国电子签名法 2005年4月1日执行 18 19 20 14 7电子商务通道保护 加密密码学 1 密码编码学 进行密码体制设计 设计出安全的密码体制 防止被破译 2 密码分析学 在未知密钥的情况下 从密文推出明文或密钥的技术 这两门学科合起来称为密码学 密码学正是在这种破译和反破译的过程中发展起来的 21 密码与密钥 加密 Encryption 将数据和信息进行编码处理使之成为一种隐蔽的形式 加密中采用数学方法对原始信息进行再组织 使得加密后的信息内容对于非法接收者来说成为无意义的文字 而对于合法的接收者 因为其掌握正确的密钥 就可以通过解密过程得到原始的数据 22 密码与密钥 信息明文 Plaintext 密文 Ciphertext 密报 Cryptogram 密钥加密密钥 解密密钥算法加密算法 解密算法 23 加密 一条信息的加密传递的过程如图所示 其中 M代表信息 T代表算法 K代表密钥 24 古典密码加密 凯撒密文 ABCDEFGHIJKLMNOPQRSTUVWXYZBCDEFGHIJKLMNOPQRSTUVWXYZA一轮凯撒密文E Business F Cvtjoftt密钥 1 25 单表密码 密钥HITABCDEFGHIJKLMNOPQRSTUVWXYZHITABCDEFGJKLMNOPQRSUVWXYZ例 正文E Business密文B Iurfmbrr 26 单表密码 密钥HITABCDEFGHIJKLMNOPQRSTUVWXYZHITABCDEFGJKLMNOPQRSUVWXYZ例 密文Sebfabhfrvbqydnna正文Theideaisverygood 27 多表密码 密文字母由明文字母所在行 密钥字母所在列确定 密钥字母循环使用例 密钥Harbin明文E Business行选E Business列选H Arbinhar密文L BLtqaLsj 29 第二次世界大战中多表密码的应用达到顶点和终点 永远无法破译的超级密码 希特勒试验并使用了密码机 迷 型机 ENIGMA 可以产生220亿种密钥组合 每测一个密钥需4 2万年 30 1939 1940 英国在白金汉郡布莱奇利庄园的秘密研究机构研制出密码破译机Bomb 和巨人 Colossus 成功破译了德国的密码情报 对盟军在第二次世界大战中的胜利作出了巨大贡献 31 现代密码学70年代现代密码学的基本原则是 一切密码寓于密钥之中 即算法公开 密钥保密 1975年3月IBM公司公开发表了DES DataEncryptionStandard 数据加密标准 1977年 美国国家标准局 ANSI 宣布DES作为国家标准用于非国家保密机关 目前3DES为3重加密 1976年 Diffie和Hellman提出不仅密码算法本身可以公开而且加密用的密钥也可以公开 只要解密密钥保密就可以 非对称密码体系 公开密码体系 1977年 MIT Rivest Shamir Adleman合作提出了第一个实用的公开密钥密码算法 即著名的RSA算法 现代密码加密 32 加密体制分类私钥加密体制 单钥加密体制 对称加密体制 加密密钥和解密密钥相同 Ke Kd 密钥必须特殊保管 优点 保密强度高 计算开销小 处理速度快 缺点 密钥管理困难公钥加密体制 双钥加密体制 非对称加密体制 加密密钥与解密密钥不同 不可能由加密密钥解出解密密钥 每个用户都有两个密钥 一个在信息团体内公开称公钥 一个由用户秘密保存 称为私钥 优点 在多点间进行保密信息传递所需要的密钥组合数量较少 便于密钥管理 分发 可以实现不可否认的数字签名 缺点 计算开销大 处理速度慢 33 私钥加密体制 DES DES算法是由美国IBM公司研制的一种分组密码算法 于1977年被美国定为联邦信息标准FIPS 46 据规定美国国家安全局 NSA 每隔五年对它进行评估 并重新批准它是否继续作为联邦加密标准 美国目前正在征集和评估新的数据加密标准 该标准被称作AES 准备替代到期的DES 34 攻破RSA密钥的时间 35 传输中的安全协议SSL SecureSocketsLayer S HTTP SecurityHTTP 36 它是一个保证任何安装了SSL的客户和服务器间事务安全的协议 该协议向基于TCP IP的客户 服务器应用程序提供了客户端和服务器端的鉴别 数据完整性及信息机密性等安全措施 SSL处于Internet多层协议的传输层 37 建立SSL会话 1 客户机的招呼 2 服务器的招呼 3 客户机的响应 4 服务器的响应 会话 会话 公开密钥 私有会话密钥 SSL客户机 SSL服务器 加密算法和密钥长度 38 S HTTP安全超文本传输协议 由CommerceNetconsortium提出SSL 处于传输层S HTTP 处于应用层 39 14 8商务服务器保护访问控制防火墙 40 防火墙防火墙是访问控制技术的一种 其目的是通过控制网络资源的存取权限 保障计算机网络 计算机主机和数据的合法访问在内部 外部两个网络之间建立一个安全控制点 通过允许 拒绝或重新定向经过防火墙的数据流 实现对进 出内部网络的服务和访问的审计和控制 防火墙以内的网络 可信网络防火墙以外的网络 不可信网络 41 42 1 防火墙概念防火墙是借用了建筑学上的一个术语 本意是用来防止大火从建筑物的一部分蔓延到另一部分而设立的阻挡设施 防火墙是一种安全防范技术 包括访问控制机制 安全策略和防入侵策略 43 2 防火墙的类型 1 包过滤 2 网关服务器 3 代理服务器 44 包过滤检查在可信网络和互联网之间传输的所有数据 包括数据包的源地址 目标地址及进入可信网络的端口 并根据预先设定的规则拒绝或允许这些包进入 45 网关服务器根据所请求的应用 对访问进行限制的防火墙 是应用级的防火墙 46 代理服务器代理服务器英文全称是ProxyServer 是提供转接功能的服务器 其功能就是代理网络用户去取得网络信息是网络信息的中转站 47 SET协议SecureElectronicTransaction1995年信用卡国际联盟 visaInternational 万事达 MasterCard IBM Microsoft Netscape Verisign等着手研究 1996年2月正式发布 SET涵盖了银行卡在电子商务支付中交易保密及交易认证等内容 48 SET也采用类似SSL的公钥加密机制比SSL更为复杂SSL支持两点间加密SET支持两点间和三点间加密 客户 银行 供应商 49 SET的3个阶段购买请示阶段 用户与商家确定所用支付方式的细节 支付认定阶段 商家与银行核实受款阶段 商家向银行出示交易细节 银行负责存款转移 14 9有关计算机端口的安全 51 计算机端口的概念 端口 是英文port的义译 可以认为是计算机与外界通讯交流的出口 端口号1 65535 端口的分类 公认端口 WellKnownPorts 从0到1023 它们紧密绑定 binding 于一些服务 通常这些端口的通讯明确表明了某种服务的协议 绝大部分端口都是和协议挂钩的端口 例如 80端口是HTTP通讯的默认端口 注册端口 RegisteredPorts 从1024到49151 它们松散地绑定于一些服务 也就是说有许多服务绑定于这些端口 这些端口同样用于许多其它目的 例如 许多系统处理动态端口从1024左右开始 动态和 或私有端口 Dynamicand orPrivatePorts 从49152到65535 理论上 不应为服务分配这些端口 实际上 机器通常从1024起分配动态端口 但也有例外 SUN的RPC端口从32768开始 52 2和3是与系统挂钩的端口例如 一些应用开发使用这些端口远程桌面链接 3389QQ 4000 53 计算机的默认端口举例 端口 21服务 FTP说明 FTP服务器所开放的端口 用于文件上传 下载 端口 23服务 Telnet说明 远程登录服务 早期互联网应用纯文本界面 只能传送ASC码 现只有局域网或远程调试路由器和交换机用端口 80服务 HTTP说明 用于网页浏览 传送超文本页面 如图形 声音 动画 文字等 异地调试程序 包含带有超文本配置界面的路由器 交换机宽带ADSLMODEM 54 计算机的默认端口举例 端口 3389服务 超级终端说明 WINDOWS2000终端开放此端口 端口 4000服务 QQ客户端说明 腾讯QQ客户端开放此端口 端口 8080服务 代理端口说明 WWW代理开放此端口 在局域网里共用一个IP地址时 设定某台计算机为代理服务器 开放此端口 其它用户通过80访问8080上网 55 一 如何配置本地的端口 1 与协议挂钩的端口配置 56 57 58 59 60 TCP UDP IP协议 TCP TransmissionControlProtocol 传输控制协议 是一种面向链接的协议 面向连接 就是在正式通信前必须要与对方建立起连接 比如你给别人打电话 必须等线路接通了 对方拿起话筒才能相互通话 UDP UserDataProtocol 用户数据报协议 是与TCP相对应的协议 是一种面向非连接的协议 它不与对方建立连接 而是直接就把数据包发送过去 面向非连接 就是在正式通信前不必与对方先建立连接 不管对方状态就直接发送 这与现在风行的手机短信非常相似 你在发短信的时候 只需要输入对方手机号就OK了 IP InternetProtocol 网络协议 是TCP IP的心脏 也是网络层中最重要的协议 IP层接收由更低层 网络接口层例如以太网设备驱动程序 发来的数据包 并把该数据包发送到更高层 TCP或UDP层 相反 IP层也把从TCP或UDP层接收来的数据包传送到更低层 IP数据包是不可靠的 因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏 注 协议本身没有和端口的对应关系 端口只对应相应的服务 61 62 访问一网站时在通过80端口可缺省如HTTP WWW在前面80端口改为90则不可缺省如HTTP WWW 90 63 配置其它协议端口举例 打开telnet 仿真终端 端口端口号23 64 双击 服务和应用程序 65 双击 服务 66 67 68 69 1 2 70 71 72 2 与系统挂钩的端口配置 系统默认一些windows服务的状态是打开的 因此服务对应的端口也开放 如果要关闭这类端口 必须终止相对应的服务 实例 3389端口的关闭3389又称TerminalService 服务终端 73 74 利用开放的SQL和远程桌面链接默认端口入侵服务器的实战例子 通过Scanport检测出目标服务器有1433和3389端口开放 利用工具获取sqlserversa的弱口令远程连接数据库 利用扩展存储过程xp cmdshell 调用net命令 在连接的查询分析器中运行EXECxp cmdshell netuserusernamepassword add 添加一个账号 EXECxp cmdshell netlocalgroupadministratorsguest add 将该用户加入到管理员组中生成一个不引人注意的具有管理员属性的客人帐户GUEST 75 利用开放的SQL和远程桌面链接默认端口入侵服务器的实战例子 6 通过mstsc exe连接即可退出SQL回到WINDOWS用远程桌面链接3389端口接管远程系统 76 远程入侵案例利用3389端口和1433端口入侵服务器 基本概念准备扫描工具 对某一IP地址段或某一地址进行扫描的工具 其目的是找出服务器所开放的端口 端口 计算机进行数据交换的通道 其范围是从1 65535 默认端口 与某一服务对应的端口 例如http对应80 ftp对应21 远程访问服务对应3389 sql对应1433等 服务 运行在服务器上对的软件可以被外界或本地调用的功能 存储过程 部署在SQL数据库上的一段源程序可以被SQL或外部程序调用 扩展存储过程 可被调用的面向数据库以外的系统功能的存储过程 77 远程入侵案例利用3389端口和1433端口入侵服务器 基本概念准备扫描工具 对某一IP地址段或某一地址进行扫描的工具 其目的是找出服务器所开放的端口 端口 计算机进行数据交换的通道 其范围是从1 65535 默认端口 与某一服务对应的端口 例如http对应80 ftp对应21 远程访问服务对应3389 sql对应1433等 服务 运行在服务器上对的软件可以被外界或本地调用的功能 存储过程 部署在SQL数据库上的一段源程序可以被SQL或外部程序调用 扩展存储过程 可被调用的面向数据库以外的系统功能的存储过程 78 第一步对目标进行扫描 利用