Internet安全课件.pptx

《Internet安全课件.pptx》由会员分享，可在线阅读，更多相关《Internet安全课件.pptx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第3章章 Internet13.1 Internet安全概述安全概述3.2 防火墙技术防火墙技术3.3 VPN技术技术3.4 网络入侵检测网络入侵检测3.5 IP协议安全协议安全3.6 电子商务应用安全协议电子商务应用安全协议目录目录2上海财经大学 劳帼龄引例引例万事达系统遇袭事件万事达系统遇袭事件万事达系统遇袭事件不是网络时代的个案，万事达系统遇袭事件不是网络时代的个案，万事达系统遇袭事件不是网络时代的个案，万事达系统遇袭事件不是网络时代的个案，网站遇袭时间早已不是新闻，难道网站遇袭时间早已不是新闻，难道网站遇袭时间早已不是新闻，难道网站遇袭时间早已不是新闻，难道InternetInter

2、netInternetInternet毫无安全可言吗？毫无安全可言吗？毫无安全可言吗？毫无安全可言吗？3上海财经大学 劳帼龄3.1 Internet安全概述安全概述3.1.1 网络层安全3.1.2 应用层安全3.1.3 系统安全4上海财经大学 劳帼龄3.1.1 网络层安全网络层安全 网络层安全网络层安全网络层安全网络层安全指的是对从一个网络的终端系统传指的是对从一个网络的终端系统传指的是对从一个网络的终端系统传指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。送到另一个网络的终端系统的通信数据的保护。送到另一个网络的终端系统的通信数据的保护。送到另一个网络的终端系统的通信

3、数据的保护。典型的网络层安全服务包括：典型的网络层安全服务包括：典型的网络层安全服务包括：典型的网络层安全服务包括：认证和完整性认证和完整性 保密性保密性 访问控制访问控制3.1 Internet概述概述5上海财经大学 劳帼龄3.1.2 应用层安全层安全 应用层安全应用层安全应用层安全应用层安全指的是建立在某个特定的应用程序指的是建立在某个特定的应用程序指的是建立在某个特定的应用程序指的是建立在某个特定的应用程序内部，不依赖于任何网络层安全措施而独立运行的内部，不依赖于任何网络层安全措施而独立运行的内部，不依赖于任何网络层安全措施而独立运行的内部，不依赖于任何网络层安全措施而独立运行的安全措施

4、。安全措施。安全措施。安全措施。应用层安全措施包括：应用层安全措施包括：应用层安全措施包括：应用层安全措施包括：认证认证 访问控制访问控制 保密性保密性 数据完整性数据完整性 不可否认性不可否认性 与与WebWeb、与信息传送有关的安全措施、与信息传送有关的安全措施3.1 Internet概述概述6上海财经大学 劳帼龄3.1.3 系统安全安全 系统安全系统安全系统安全系统安全是指对特定终端系统及其局部环境的是指对特定终端系统及其局部环境的是指对特定终端系统及其局部环境的是指对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层安全措施所保护，而不考虑对网络层安全或应用层安全措施所保护，

5、而不考虑对网络层安全或应用层安全措施所保护，而不考虑对网络层安全或应用层安全措施所承担的通信保护。承担的通信保护。承担的通信保护。承担的通信保护。系统安全措施包括：系统安全措施包括：系统安全措施包括：系统安全措施包括：确保在安装的软件中没有已知的安全缺陷确保在安装的软件中没有已知的安全缺陷 确保系统的配置能使入侵风险降至最低确保系统的配置能使入侵风险降至最低 确保所下载的软件其来源是可信任的和可靠的确保所下载的软件其来源是可信任的和可靠的 确保系统能得到适当管理以使侵入风险最小确保系统能得到适当管理以使侵入风险最小 确保采用合适的审计机制，以便能防止对系统的成功入确保采用合适的审计机制，以便能

6、防止对系统的成功入侵和采取新的合适的防御性措施侵和采取新的合适的防御性措施3.1 Internet概述概述7上海财经大学 劳帼龄3.2 防火墙技术防火墙技术3.2.1 防火墙的基本概念3.2.2 防火墙的基本原理3.2.3 防火墙的实现方式8上海财经大学 劳帼龄3.2.1 防火墙的基本概念 防火墙（防火墙（防火墙（防火墙（firewallfirewallfirewallfirewall）是在两个网络之间强制实施访是在两个网络之间强制实施访是在两个网络之间强制实施访是在两个网络之间强制实施访问控制策略的一个系统或一组系统。问控制策略的一个系统或一组系统。问控制策略的一个系统或一组系统。问控制策略

7、的一个系统或一组系统。狭义狭义狭义狭义指安装了防火墙软件的主机或路由器系统。指安装了防火墙软件的主机或路由器系统。指安装了防火墙软件的主机或路由器系统。指安装了防火墙软件的主机或路由器系统。3.2 防火墙技术防火墙技术9上海财经大学 劳帼龄3.2.1 防火墙的基本概念防火墙的功能：防火墙的功能：防火墙的功能：防火墙的功能：过滤不安全的服务和非法用户过滤不安全的服务和非法用户 控制对特殊站点的访问控制对特殊站点的访问 作为网络安全的集中监视点作为网络安全的集中监视点防火墙的不足之处：防火墙的不足之处：防火墙的不足之处：防火墙的不足之处：不能防范不经由防火墙的攻击不能防范不经由防火墙的攻击e.g.

8、e.g.拨号拨号 不能防止受到病毒感染的软件或文件的传输不能防止受到病毒感染的软件或文件的传输 不能防止数据驱动式攻击不能防止数据驱动式攻击3.2 防火墙技术防火墙技术10上海财经大学 劳帼龄3.2.2 防火墙的基本原理1.1.1.1.包过滤型防火墙包过滤型防火墙包过滤型防火墙包过滤型防火墙3.2 防火墙技术防火墙技术11上海财经大学 劳帼龄3.2.2 防火墙的基本原理2.2.2.2.应用网关型防火墙应用网关型防火墙应用网关型防火墙应用网关型防火墙3.2 防火墙技术防火墙技术12上海财经大学 劳帼龄3.2.2 防火墙的基本原理3.3.3.3.代理服务型防火墙代理服务型防火墙代理服务型防火墙代理

9、服务型防火墙3.2 防火墙技术防火墙技术13上海财经大学 劳帼龄3.2.3 防火墙的实现方式包过滤路由器包过滤路由器包过滤路由器包过滤路由器双穴防范网关双穴防范网关双穴防范网关双穴防范网关过滤主机网关过滤主机网关过滤主机网关过滤主机网关过滤子网防火墙过滤子网防火墙过滤子网防火墙过滤子网防火墙3.2 防火墙技术防火墙技术14上海财经大学 劳帼龄3.3 VPN技术技术 虚拟专用网络虚拟专用网络(virtual private network,VPN)(virtual private network,VPN)技术技术为我们提供了一种通过公用网络安全地对企业内部专为我们提供了一种通过公用网络安全地对企

10、业内部专用网络进行远程访问的连接方式。用网络进行远程访问的连接方式。15上海财经大学 劳帼龄3.3.1 VPN3.3.1 VPN的基本功能的基本功能一个成功的一个成功的一个成功的一个成功的VPNVPNVPNVPN方案应能满足：方案应能满足：方案应能满足：方案应能满足：用户身份验证用户身份验证 地址管理地址管理 数据加密数据加密 密钥管理密钥管理 多协议支持多协议支持3.3.3.3.2 VPN2 VPN的安全策略的安全策略 隧道技术隧道技术 加解密技术加解密技术 密钥管理技术密钥管理技术 使用者与设备身份认证技术使用者与设备身份认证技术3.3 VPN技术技术16上海财经大学 劳帼龄3.4 网络入

11、侵检测网络入侵检测3.4.1 3.4.1 网络入侵检测的原理网络入侵检测的原理 检测策略检测策略 基于主机的检测基于主机的检测 基于应用程序的检测基于应用程序的检测 基于目标的检测基于目标的检测 基于网络的检测基于网络的检测3.4.2 3.4.2 网络入侵检测的主要方法网络入侵检测的主要方法 异常检测异常检测 误用检测误用检测17上海财经大学 劳帼龄3.5 IP协议安全协议安全3.5.1 IP3.5.1 IP安全体系结构安全体系结构IPsecIPsecIPsecIPsec文档文档文档文档IPsecIPsecIPsecIPsec的服务的服务的服务的服务IPsecIPsecIPsecIPsec安全

12、结构安全结构安全结构安全结构3.5.3.5.2 2 认证头协议认证头协议(AH)(AH)3.5.3.5.3 3 分组加密协议分组加密协议(ESP)(ESP)3.5.3.5.4 4 安全关联安全关联3.5.3.5.5 5 密钥交换密钥交换3.5.3.5.6 Ipsec6 Ipsec的应用的应用18上海财经大学 劳帼龄3.5.1 IP安全体系结构IPsecIPsecIPsecIPsec的基本功能包括：的基本功能包括：的基本功能包括：的基本功能包括：在在IPIP层提供安全服务层提供安全服务 选择需要的安全协议选择需要的安全协议 决定使用的算法决定使用的算法 保存加密使用的密钥保存加密使用的密钥IPs

13、ecIPsecIPsecIPsec文档文档文档文档3.5 IP协议地址协议地址19上海财经大学 劳帼龄3.5.1 IP安全体系结构IPsecIPsecIPsecIPsec的服务的服务的服务的服务 访问控制访问控制 无连接完整性无连接完整性 数据源的鉴别数据源的鉴别 拒绝重放的分组拒绝重放的分组 机密性机密性 有限的通信量机密性有限的通信量机密性IPsecIPsecIPsecIPsec安全结构安全结构安全结构安全结构 安全协议安全协议AHAH和和ESPESP 安全关联（安全关联（SASA）密钥交换密钥交换手工和自动（手工和自动（IKEIKE）认证和加密算法认证和加密算法3.5 IP协议地址协议地

14、址20上海财经大学 劳帼龄3.5.2 认证头协议AHAHAHAHAH的功能的功能的功能的功能AHAHAHAH的格式的格式的格式的格式AHAHAHAH的两种模式的两种模式的两种模式的两种模式认证算法认证算法认证算法认证算法3.5 IP协议地址协议地址21上海财经大学 劳帼龄3.5.3 分组加密协议ESPESPESPESPESP的功能的功能的功能的功能 主要支持主要支持IPIP数据项的机密性数据项的机密性 也可提供认证服务也可提供认证服务ESPESPESPESP的格式的格式的格式的格式ESPESPESPESP的两种模式的两种模式的两种模式的两种模式 传输模式传输模式 隧道模式隧道模式ESPESPE

15、SPESP的处理的处理的处理的处理 输出包处理输出包处理 输入包处理输入包处理3.5 IP协议地址协议地址22上海财经大学 劳帼龄3.5.4 安全关联（SA）安全关联的概念安全关联的概念安全关联的概念安全关联的概念 一个一个SASA是在发送者和接收者这两个是在发送者和接收者这两个IPsecIPsec系统之间的一个简系统之间的一个简单的单向逻辑连接单的单向逻辑连接 SASA三元组三元组：Security Parameter Index,IP Destination Security Parameter Index,IP Destination Security Parameter Index,I

16、P Destination Address,Security ProtocolAddress,Security ProtocolAddress,Security Protocol安全关联的类型安全关联的类型安全关联的类型安全关联的类型 传输模式传输模式 隧道模式隧道模式SPDSPDSPDSPD和和和和SADSADSADSAD3.5 IP协议地址协议地址23上海财经大学 劳帼龄3.5.5 密钥交换IPsecIPsecIPsecIPsec的密钥交换包括密钥的确定和分配的密钥交换包括密钥的确定和分配的密钥交换包括密钥的确定和分配的密钥交换包括密钥的确定和分配两种类型两种类型两种类型两种类型 手工方式

17、手工方式 自动方式自动方式3.5 IP协议地址协议地址24上海财经大学 劳帼龄3.5.6 Ipsec的应用IpsecIpsecIpsecIpsec的优点的优点的优点的优点IpsecIpsecIpsecIpsec的应用的应用的应用的应用3.5 IP协议地址协议地址25上海财经大学 劳帼龄3.6 电子商务应用安全协议电子商务应用安全协议3.6.1 3.6.1 增强的私密电子邮件增强的私密电子邮件(PEM)(PEM)3.6.2 3.6.2 安全多用途网际邮件扩充协议安全多用途网际邮件扩充协议(S/MIME)(S/MIME)3.6.3 3.6.3 安全超文本传输协议安全超文本传输协议(S-HTTP)(

18、S-HTTP)3.6.4 3.6.4 安全套接层协议安全套接层协议(SSL)(SSL)3.6.5 3.6.5 安全电子交易协议安全电子交易协议(SET)(SET)26上海财经大学 劳帼龄3.6.1 增强的私密电子邮件(PEM)PEMPEMPEMPEM规范规范规范规范缺点：缺点：缺点：缺点：与同期的多用途网际邮件扩充协议与同期的多用途网际邮件扩充协议MIMEMIME不兼容不兼容3.6 电子商务应用安全协议电子商务应用安全协议27上海财经大学 劳帼龄3.6.2 安全多用途网际邮件扩充协议S/MIMES/MIME电子邮件内容的安全问题电子邮件内容的安全问题电子邮件内容的安全问题电子邮件内容的安全问题

19、 发送者身份认证发送者身份认证 不可否认不可否认 邮件的完整性邮件的完整性 邮件的保密性邮件的保密性S/MIMES/MIME标准（标准（Secure/Multipurpose Internet Mail ExtensionSecure/Multipurpose Internet Mail Extension）设计目标：设计目标：使自己能较易加入到已有的使自己能较易加入到已有的EmailEmail产品之中产品之中 安全标准：安全标准：信息格式：继承了信息格式：继承了信息格式：继承了信息格式：继承了MIMEMIME规格规格规格规格 信息加密标准：包括信息加密标准：包括信息加密标准：包括信息加密标准

20、：包括DESDES、三重、三重、三重、三重DESDES、RC4RC4 数字签名标准：数字签名标准：数字签名标准：数字签名标准：PKCSPKCS 数字证书格式：数字证书格式：数字证书格式：数字证书格式：X.509X.509MIMEMIME和和和和S/MIMES/MIME3.6 电子商务应用安全协议电子商务应用安全协议28上海财经大学 劳帼龄3.6.3 安全超文本传输协议（S-HTTP）S-HTTP S-HTTP S-HTTP S-HTTP 是致力于促进以因特网为基础的电子商务是致力于促进以因特网为基础的电子商务是致力于促进以因特网为基础的电子商务是致力于促进以因特网为基础的电子商务技术发展的国际

21、财团技术发展的国际财团技术发展的国际财团技术发展的国际财团 CommerceNetCommerceNet协会提出的安全传协会提出的安全传协会提出的安全传协会提出的安全传输协议，主要利用密钥对加密的方法来保障输协议，主要利用密钥对加密的方法来保障输协议，主要利用密钥对加密的方法来保障输协议，主要利用密钥对加密的方法来保障 Web Web 站点站点站点站点上的信息安全。上的信息安全。上的信息安全。上的信息安全。3.6 电子商务应用安全协议电子商务应用安全协议29上海财经大学 劳帼龄3.6.4 安全套接层协议(Secure Sockets Layer(Secure Sockets Layer，SSL

22、)SSL)SSLSSLSSLSSL协议概述协议概述协议概述协议概述 SSLSSL建立在建立在TCPTCP协议之上，它的优势在于与应用层协协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于议独立无关，应用层协议能透明地建立于SSLSSL协议之上。协议之上。e.g.HTTP over SSL(HTTPS)e.g.HTTP over SSL(HTTPS)3.6 电子商务应用安全协议电子商务应用安全协议30上海财经大学 劳帼龄3.6.4 安全套接层协议(Secure Sockets Layer(Secure Sockets Layer，SSL)SSL)SSLSSLSSLSSL协议的功

23、能协议的功能协议的功能协议的功能 SSLSSL服务器认证服务器认证 确认用户身份确认用户身份 保证数据传输的机密性和完整性保证数据传输的机密性和完整性SSLSSLSSLSSL的体系结构的体系结构的体系结构的体系结构基于基于基于基于SSLSSLSSLSSL的银行卡支付过程的银行卡支付过程的银行卡支付过程的银行卡支付过程3.6 电子商务应用安全协议电子商务应用安全协议31上海财经大学 劳帼龄3.6.5 安全电子交易协议 Secure Electronic Transaction，SETSETSETSETSET协议概述协议概述协议概述协议概述 SETSETSETSET是一种应用于因特网环境下，以信用

24、卡为基础是一种应用于因特网环境下，以信用卡为基础是一种应用于因特网环境下，以信用卡为基础是一种应用于因特网环境下，以信用卡为基础的安全电子支付协议。的安全电子支付协议。的安全电子支付协议。的安全电子支付协议。通过通过通过通过SETSETSETSET可以实现电子商务交易中的加密、认证、可以实现电子商务交易中的加密、认证、可以实现电子商务交易中的加密、认证、可以实现电子商务交易中的加密、认证、密钥管理等机制，保证在开放网络上使用信用卡进行在密钥管理等机制，保证在开放网络上使用信用卡进行在密钥管理等机制，保证在开放网络上使用信用卡进行在密钥管理等机制，保证在开放网络上使用信用卡进行在线购物的安全。线

25、购物的安全。线购物的安全。线购物的安全。3.6 电子商务应用安全协议电子商务应用安全协议32上海财经大学 劳帼龄3.6.5 安全电子交易协议Secure Electronic Transaction，SETSETSETSETSET交易参与方交易参与方交易参与方交易参与方3.6 电子商务应用安全协议电子商务应用安全协议33上海财经大学 劳帼龄3.6.5 安全电子交易协议Secure Electronic Transaction，SETSETSETSETSET购物流程购物流程购物流程购物流程3.6 电子商务应用安全协议电子商务应用安全协议34上海财经大学 劳帼龄3.6.5 安全电子交易协议Secu

26、re Electronic Transaction，SETSETSETSETSET支付信息支付信息支付信息支付信息 支付发起请求支付发起请求/支付发起应答支付发起应答(PinitReq/PinitRes)(PinitReq/PinitRes)购买请求购买请求/购买应答购买应答(Preq/Pres)(Preq/Pres)授权请求授权请求/授权应答授权应答(AuthReq/AuthRes)(AuthReq/AuthRes)支付请求支付请求/支付应答支付应答(CapReq/CapRes)(CapReq/CapRes)SETSETSETSET交易流程与传统银行卡交易流程的比较交易流程与传统银行卡交易流

27、程的比较交易流程与传统银行卡交易流程的比较交易流程与传统银行卡交易流程的比较SETSETSETSET与与与与SSLSSLSSLSSL的比较的比较的比较的比较3.6 电子商务应用安全协议电子商务应用安全协议35上海财经大学 劳帼龄Thanks!361、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Monday,March 6,20232、阅读一切好书如同和过去最杰出的人谈话。13:21:3613:21:3613:213/6/2023 1:21:36 PM3、越是没有本领的就越加自命不凡。3月-2313:21:3613:21Mar-2306-Mar-234、越是无能的人，越喜欢挑剔别人

28、的错儿。13:21:3613:21:3613:21Monday,March 6,20235、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2313:21:3613:21:36March 6,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。06三月20231:21:36下午13:21:363月-237、最具挑战性的挑战莫过于提升自我。三月231:21下午3月-2313:21March 6,20238、业余生活要有意义，不要越轨。2023/3/613:21:3613:21:3606 March 20239、一个人即使已登上顶峰，也仍要自强不息。1:21:36下午1:21下午

29、13:21:363月-2310、你要做多大的事情，就该承受多大的压力。3/6/2023 1:21:36 PM13:21:3606-3月-2311、自己要先看得起自己，别人才会看得起你。3/6/2023 1:21 PM3/6/2023 1:21 PM3月-233月-2312、这一秒不放弃，下一秒就会有希望。06-Mar-2306 March 20233月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Monday,March 6,202306-Mar-233月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。3月-2313:21:3606 March 202313:21谢谢大家谢谢大家