internet安全

1、第3章 Internet安全,3.1 Internet安全概述3.2 防火墻技術(shù)3.3 黑客攻擊技術(shù)3.4 入侵檢測系統(tǒng)3.5 計算機病毒:課堂討論3.6 電子商務(wù)應(yīng)用安全協(xié)議,2,目錄,引例——萬事達(dá)系統(tǒng)遇襲事件,萬事達(dá)系統(tǒng)遇襲事件不是網(wǎng)絡(luò)時代的個案，網(wǎng)站遇襲時間早已不是新聞，難道Internet毫無安全可言嗎？,3,,3.1 Internet安全概述,3.1.1 網(wǎng)絡(luò)層安全3.1.2 應(yīng)用層安全3.1.3 系統(tǒng)安全,

2、4,,,3.1.1 網(wǎng)絡(luò)層安全 網(wǎng)絡(luò)層安全指的是對從一個網(wǎng)絡(luò)的終端系統(tǒng)傳送到另一個網(wǎng)絡(luò)的終端系統(tǒng)的通信數(shù)據(jù)的保護。典型的網(wǎng)絡(luò)層安全服務(wù)包括：認(rèn)證和完整性保密性訪問控制,5,3.1 Internet概述,3.1.2 應(yīng)用層安全 應(yīng)用層安全指的是建立在某個特定的應(yīng)用程序內(nèi)部，不依賴于任何網(wǎng)絡(luò)層安全措施而獨立運行的安全措施。應(yīng)用層安全措施包括：認(rèn)證訪問控制保密性數(shù)據(jù)完整性不可否認(rèn)性與Web

3、、與信息傳送有關(guān)的安全措施,6,3.1 Internet概述,3.1.3 系統(tǒng)安全 系統(tǒng)安全是指對特定終端系統(tǒng)及其局部環(huán)境的保護，而不考慮對網(wǎng)絡(luò)層安全或應(yīng)用層安全措施所承擔(dān)的通信保護。系統(tǒng)安全措施包括：確保在安裝的軟件中沒有已知的安全缺陷確保系統(tǒng)的配置能使入侵風(fēng)險降至最低確保所下載的軟件其來源是可信任的和可靠的確保系統(tǒng)能得到適當(dāng)管理以使侵入風(fēng)險最小確保采用合適的審計機制，以便能防止對系統(tǒng)的成功入侵和采取新的合適

4、的防御性措施,7,3.1 Internet概述,3.2 防火墻技術(shù),3.2.1 防火墻的基本概念3.2.2 防火墻的基本原理3.2.3 防火墻的實現(xiàn)方式,8,,3.2.1 防火墻的基本概念 防火墻（firewall）是在兩個網(wǎng)絡(luò)之間強制實施訪問控制策略的一個系統(tǒng)或一組系統(tǒng)。 狹義——指安裝了防火墻軟件的主機或路由器系統(tǒng)。,9,防火墻示意圖,防火墻的功能：過濾不安全的服務(wù)和非法用戶控制對特殊站點的訪問作

5、為網(wǎng)絡(luò)安全的集中監(jiān)視點防火墻的不足之處：不能防范不經(jīng)由防火墻的攻擊——e.g.撥號不能防止受到病毒感染的軟件或文件的傳輸不能防止數(shù)據(jù)驅(qū)動式攻擊,11,內(nèi)部提供撥號服務(wù)繞過防火墻,,防火墻的設(shè)計規(guī)則 （姿態(tài)，安全策略）(1)拒絕每件未被特別許可的事情(限制政策)（凡是未被允許的都是禁止的）只支持那些仔細(xì)選擇的服務(wù), 建立一個非常安全的環(huán)境。其缺點是安全性的考慮優(yōu)于使用性的考慮，限制了提供給用戶的服務(wù)范圍。(2)允許未被特別

6、拒絕的每一件事情(寬松政策)（凡是未被禁止的都是允許的）建立一個非常靈活的使用環(huán)境，能為用戶提供更多的服務(wù)。缺點是使用性的考慮優(yōu)于安全性的考慮 .多數(shù)防火墻都在兩種之間采取折衷。,,3.2.2 防火墻的基本原理1.包過濾型防火墻P74,14,3.2 防火墻技術(shù),包過濾防火墻 實現(xiàn)原理,15,,優(yōu)點：P75缺點：,上海財經(jīng)大學(xué) 勞幗齡,16,包過濾型防火墻設(shè)置實例,按地址:拒絕某IP地址的連接,按服務(wù)：拒絕外部地址訪問內(nèi)網(wǎng)的電

7、子郵件服務(wù),往外包的特性(用戶操作信息)IP源是內(nèi)部地址目標(biāo)地址為serverTCP協(xié)議，目標(biāo)端口23源端口>1023,往內(nèi)包的特性(顯示信息)IP源是server目標(biāo)地址為內(nèi)部地址TCP協(xié)議，源端口23目標(biāo)端口>1023,包過濾型防火墻設(shè)置實例,從內(nèi)往外的telnet服務(wù),包過濾防火墻的設(shè)置(2),從外往內(nèi)的telnet服務(wù),client,server,,內(nèi)部,外部,往內(nèi)包的特性(用戶操作信息)IP源是外

8、部地址目標(biāo)地址為本地serverTCP協(xié)議，目標(biāo)端口23源端口>1023,往外包的特性(顯示信息)IP源是本地server目標(biāo)地址為外部地址TCP協(xié)議，源端口23目標(biāo)端口>1023,針對telnet服務(wù)的防火墻規(guī)則,不允許外網(wǎng)電腦訪問內(nèi)部網(wǎng)絡(luò)的TELNET服務(wù)，如果設(shè)置？,2.應(yīng)用網(wǎng)關(guān)型防火墻P76,21,應(yīng)用網(wǎng)關(guān)型防火墻 實現(xiàn)原理,22,3.代理服務(wù)型防火墻,23,3.2.3 防火墻的實現(xiàn)方式,堡壘主機（

9、Bastion Host）：指一個計算機系統(tǒng)，它對外部網(wǎng)絡(luò)暴露，同時又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點。,幾個相關(guān)概念,雙宿主主機（Dual-homed Host）：至少有兩個網(wǎng)絡(luò)接口的通用計算機系統(tǒng)。,DMZ(Demilitarized Zone，非軍事區(qū)或者停火區(qū))：在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)，也稱為參數(shù)網(wǎng)絡(luò)。,包過濾路由器,P77,26,雙宿主主機結(jié)構(gòu)(雙穴防范網(wǎng)關(guān)）,,——擁有兩個或多個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口，通常用一

10、臺裝有兩塊或多塊網(wǎng)卡的堡壘主機做防火墻，分別與受保護網(wǎng)和外部網(wǎng)相連。,雙宿主主機結(jié)構(gòu),,優(yōu)點：結(jié)構(gòu)簡單可以提供很高的網(wǎng)絡(luò)控制,缺點：需要用戶認(rèn)證，使用不方便,主機過濾結(jié)構(gòu)（過濾主機網(wǎng)關(guān)）,,——主機過濾結(jié)構(gòu)由包過濾路由器和堡壘主機組成，堡壘主機僅僅與內(nèi)部網(wǎng)相連。任何外部網(wǎng)的主機都只能與內(nèi)部網(wǎng)的堡壘主機建立連接，任何外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作都必須經(jīng)過堡壘主機。,,主機過濾結(jié)構(gòu),,優(yōu)點：兩層保護：包過濾+應(yīng)用層網(wǎng)關(guān)；比單獨的包過濾

11、或應(yīng)用網(wǎng)關(guān)代理更安全；可以進行靈活配置。,缺點：一旦包過濾路由器被攻破，堡壘主機就可能被越過，使內(nèi)部網(wǎng)絡(luò)完全暴露。,子網(wǎng)過濾結(jié)構(gòu)（過濾子網(wǎng)防火墻）,,——采用了兩個包過濾路由器和一個堡壘主機，在內(nèi)外網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng)，定義為“非軍事區(qū)”（DMZ），使得內(nèi)部網(wǎng)與外部網(wǎng)之間有三層防護。,,子網(wǎng)過濾結(jié)構(gòu),,優(yōu)點：三層防護，安全性高外部路由器只向Internet暴露子網(wǎng)中的主機內(nèi)部路由器只向內(nèi)部網(wǎng)暴露子網(wǎng)中的主機即使堡壘

12、主機被入侵者控制，內(nèi)部網(wǎng)仍受到內(nèi)部包過濾路由器的保護,3.3 網(wǎng)絡(luò)安全的攻防研究體系----黑客技術(shù),,34,,35,,36,,37,,38,,39,,40,,41,,42,,43,,44,,45,,46,,47,,48,,49,,50,,黑客技術(shù),踩點->掃描->攻擊->離開,黑客攻擊的四部曲,踩點——信息收集，攻擊之前的準(zhǔn)備，利用whois nsloolup, ping、tracert等獲取信息；掃描——安全

13、偵測，利用自制或?qū)Ｓ脪呙韫ぞ?；攻擊——實施攻擊，建立帳戶、獲取特權(quán)、安裝木馬、全面攻擊、系統(tǒng)入侵等等。離開——安全撤離，實施完攻擊以后，清除腳印，消除入侵痕跡,3.3.1 信息收集技術(shù)（踩點）,信息收集技術(shù)是一把雙刃劍黑客在攻擊之前需要收集信息，才能實施有效的攻擊管理員用信息收集技術(shù)來發(fā)現(xiàn)系統(tǒng)的弱點,,攻擊工具攻擊命令,攻擊機制,,目標(biāo)網(wǎng)絡(luò),,,目標(biāo)系統(tǒng),黑客,,,漏洞掃描評估,攻擊過程,實時入侵檢測,信息收集過程,,

14、,信息收集是一個綜合過程從一些社會信息入手找到網(wǎng)絡(luò)地址范圍找到關(guān)鍵的機器地址找到開放端口和入口點找到系統(tǒng)的制造商和版本,信息搜集小結(jié),網(wǎng)絡(luò)技術(shù)網(wǎng)絡(luò)實名、新聞報道、網(wǎng)站信息、搜索引擎查詢命令（Ping、tracert）、查詢工具等非網(wǎng)絡(luò)技術(shù)社交工程、垃圾搜集、身份偽裝等,,3.3.2 安全掃描技術(shù),掃描器（Scanner） 掃描器是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件，通過與目標(biāo)主機TCP/IP端口建立連接并請求某些服

15、務(wù)，記錄目標(biāo)主機的應(yīng)答，搜集目標(biāo)主機相關(guān)信息，從而發(fā)現(xiàn)目標(biāo)主機存在的安全漏洞。,掃描技術(shù)——雙刃劍安全評估工具：管理員用來確保系統(tǒng)的安全性黑客攻擊工具：黑客用來探查系統(tǒng)的入侵點,掃描器的基本工作原理 掃描器采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進行逐項檢查。 掃描器測試TCP/IP端口和服務(wù)，并記錄目標(biāo)的回答。通過這種方法，可以搜集到關(guān)于目標(biāo)主機的有用信息。掃描器并不是一個直接攻擊網(wǎng)絡(luò)漏洞的程序,它僅僅能幫助我們

16、發(fā)現(xiàn)目標(biāo)機的某些存在的弱點,掃描器的功能 發(fā)現(xiàn)一個主機和網(wǎng)絡(luò)的能力發(fā)現(xiàn)系統(tǒng)運行的服務(wù)通過測試這些服務(wù)，發(fā)現(xiàn)漏洞的能力 進一步的功能：如操作系統(tǒng)辨識、應(yīng)用系統(tǒng)識別,,3.3.3 黑客攻擊技術(shù),按照攻擊的性質(zhì)及其手段，可將網(wǎng)絡(luò)攻擊分為以下四個類型：(1) 口令攻擊(2) 拒絕服務(wù)攻擊(3) 利用型攻擊(4) 假消息攻擊,(1) 口令攻擊,,口令攻擊是指通過猜測破解或獲取口令文件等方式獲得系統(tǒng)認(rèn)證口令從而進入系統(tǒng)。,攻

17、擊者攻擊目標(biāo)時常常把破譯用戶的口令作為攻擊的開始。只要攻擊者能猜測或者確定用戶的口令，他就能獲得機器或者網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問到的任何資源。,字典攻擊（Dictionary Attack）,口令攻擊的方法,暴力攻擊（Brute Force Attack）,混合攻擊（Hybrid Attack）,指將可能用作口令的英文單詞或者字符組合制作成一個字典，利用逐個試探的方式進行破解。,指利用窮舉搜索法在所有的組合方式中試探口令的攻擊

18、方式。,是指將數(shù)字和符號添加到單詞的前綴或后綴組成口令來試探密碼。又稱半字典半暴力攻擊。,特點：字典是破解的基礎(chǔ) ，成功的概率與字庫的大小成正比。,特點：最全面的攻擊方式；靈活設(shè)定搜索范圍；需要時間長。,特點：大大縮小排列組合空間；破解速度比暴力攻擊快。,口令破解工具舉例------—L0pht Crack(簡稱LC）,常用的不安全的口令有哪些？（討論）如何提高口令的安全性？（討論）,（2）拒絕服務(wù)攻擊(Denial of Se

19、rvice，DoS),信息安全的三個基本屬性保密性、完整性、可用性(availability)DoS是針對可用性發(fā)起的攻擊什么是拒絕服務(wù)攻擊？通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)。DoS的動機受挫折，無法攻入目標(biāo)系統(tǒng)，最后一招----DoS強行對方重啟機器惡意的破壞、或者報復(fù)網(wǎng)絡(luò)恐怖主義……DoS的危害使得網(wǎng)絡(luò)或系統(tǒng)不能提供正常的服務(wù),,消耗帶寬：,拒絕服務(wù)的攻擊方式,侵占資源：,使系統(tǒng)和應(yīng)用崩潰：

20、,指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求無法通過。,指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。,指利用程序本身的漏洞使系統(tǒng)崩潰。,一些典型的拒絕服務(wù)攻擊：,死亡之ping（ping of death） SYN洪水攻擊（SYN flood） Smurf攻擊 分布式拒絕服務(wù)攻擊（DDoS),死亡之 ping (Ping o

21、f Death),原理：直接利用ping包，即ICMP Echo包，有些系統(tǒng)在收到比TCP/IP協(xié)議規(guī)定的最大包（65536字節(jié)）還要長的數(shù)據(jù)包時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，造成掛起或者死機。攻擊做法直接利用ping工具，發(fā)送超大的ping數(shù)據(jù)包預(yù)防措施及時打補丁通過正確設(shè)置防火墻來過濾掉這樣的ping數(shù)據(jù)包,SYN 洪水攻擊（SYN Flood）,原理：利用TCP連接三次握手過程，打開大量的半開TCP連

22、接，使得目標(biāo)機器不能進一步接受TCP連接。每個機器都需要為這種半開連接分配一定的資源，并且，這種半開連接的數(shù)量是有限制的，達(dá)到最大數(shù)量時，機器就不再接受進來的連接請求。攻擊特征目標(biāo)主機的網(wǎng)絡(luò)上出現(xiàn)大量的SYN包，而沒有相應(yīng)的應(yīng)答包SYN包的源地址可能是偽造的，甚至無規(guī)律可循防止措施針對網(wǎng)絡(luò)配置防火墻或者路由器，在給定時間內(nèi)只允許有限數(shù)量的半開連接利用入侵檢測系統(tǒng)進行異常檢測及時打補丁,正常的三次握手,SYN Flood

23、惡意不完成第三次握手,SYN 洪水攻擊示意圖,Smurf攻擊,原理：攻擊者向一個廣播地址發(fā)送ICMP Echo請求，并且用受害者的IP地址作為源地址，于是，廣播地址網(wǎng)絡(luò)上的每臺機器響應(yīng)這些Echo請求，同時向受害者主機發(fā)送ICMP Echo-Reply應(yīng)答。于是，受害者主機會被這些大量的應(yīng)答包淹沒。受影響的系統(tǒng)：大多數(shù)的操作系統(tǒng)和路由器防御：關(guān)閉外來的廣播消息配置操作系統(tǒng)，對廣播地址的ICMP數(shù)據(jù)包不響應(yīng)。屏蔽ICMP數(shù)據(jù)

24、包。,Smurf攻擊示意圖,,分布式拒絕服務(wù)攻擊（DDoS),分布式拒絕服務(wù)攻擊（DDoS, distributed Denial of Service)采用與普通的DoS同樣的方法，但發(fā)起攻擊的源是多個，利用多臺計算機同時向目標(biāo)網(wǎng)站發(fā)送大量信息從而達(dá)到使對方拒絕服務(wù)的目的。,DDoS圖示,攻擊分兩個階段：第一階段：控制大量主機第二階段：發(fā)起攻擊DDoS防范：很難防范網(wǎng)絡(luò)中所有的系統(tǒng)都要安全的配置，不使之成為DDoS的源；路由

25、器/防火墻配置，過濾偽造源地址的IP包。,總結(jié)：如何防止DoS攻擊？,對于網(wǎng)絡(luò)路由器和防火墻配置得當(dāng)，可以減少受DoS攻擊的危險比如，禁止IP欺騙可以避免許多DoS攻擊入侵檢測系統(tǒng)，檢測異常行為對于系統(tǒng)升級系統(tǒng)內(nèi)核，打上必要的補丁，特別是一些簡單的DoS攻擊，例如SYN Flooding關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件如果有配額功能的話，正確地設(shè)置這些配額監(jiān)視系統(tǒng)的運行檢測系統(tǒng)配置信息的變化情況建立備份和恢復(fù)機制,(3)

26、 利用型攻擊,,常見的利用型攻擊：,利用型攻擊,利用型攻擊是一類試圖直接對主機進行控制的攻擊。,特洛伊木馬,緩沖區(qū)溢出,,概述：特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。,特洛伊木馬（Trojan Horse）,特點：隱蔽性，難以察覺客戶端/服務(wù)器模式,,防御：用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機上的TCP服務(wù)，定期檢查

27、注冊表，定期用防病毒軟件查殺等。,警惕：不要輕易打開陌生人的信件附件不要輕易接收網(wǎng)友的小程序或打開網(wǎng)址不要到一些小的網(wǎng)站或者黑客網(wǎng)站下載軟件,緩沖區(qū)溢出（Buffer Overflows）,基本的思想通過修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當(dāng)前進程被非法利用(執(zhí)行這段惡意的代碼)危害性可以上載并執(zhí)行任何的代碼溢出漏洞發(fā)掘起來需要較高的技巧和知識背景，但是，一旦有人編寫

28、出溢出代碼，則用起來非常簡單與其他的攻擊類型相比，緩沖區(qū)溢出攻擊不需要太多的先決條件殺傷力很強技術(shù)性強在Buffer Overflows攻擊面前，防火墻往往顯得很無奈,如何防范緩沖區(qū)溢出？,緩沖區(qū)溢出是代碼中固有的漏洞，除了在開發(fā)階段要注意編寫正確的代碼之外，可采取如下措施：關(guān)閉端口或服務(wù)。管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么，并且哪些服務(wù)正在運行安裝軟件廠商的補丁漏洞一公布，大的廠商就會及時提供補丁在防火墻上過濾特殊

29、的流量無法阻止內(nèi)部人員的溢出攻擊自己檢查關(guān)鍵的服務(wù)程序，看看是否有可怕的漏洞以所需要的最小權(quán)限運行軟件,(4) 假消息攻擊,,假消息攻擊 ——用于攻擊目標(biāo)配置不正確的消息。常見的假消息攻擊：DNS高速緩存污染偽造電子郵件,DNS調(diào)整緩存污染,由于DNS服務(wù)器相互交換信息的時候并不進行身份驗證，就使得黑客可以使用錯誤信息將用戶引向設(shè)定的主機。 防御在防火墻上過濾入站的DNS更新，在DNS服務(wù)器上設(shè)置安全認(rèn)證服務(wù)

30、。,偽造電子郵件,概述：由于SMTP并不對郵件的發(fā)送者的身份進行簽定，因此黑客可以對內(nèi)部客戶發(fā)送電子郵件，聲稱是來自某個客戶認(rèn)識并相信的人，并附帶上可以安裝的木馬程序，或是一個引向惡意網(wǎng)站的鏈接。防御：使用e-mail安全工具并安裝電子郵件證書。,,3.3.4 后門技術(shù)與掩蓋蹤跡,實施完攻擊以后，離開被攻擊的系統(tǒng)前,往往還要為下一次的攻擊和逃避追查做一些工作,創(chuàng)建后門,清除腳印以消除入侵痕跡。,創(chuàng)建后門:,掩蓋蹤跡:,在受分割的系統(tǒng)上

31、創(chuàng)建一些機會以便日后再次進入系統(tǒng),并希望能以管理員的身份再次控制系統(tǒng),后門種類很多,包括網(wǎng)頁后門,TELNET后門,賬號后門,木馬,系統(tǒng)后門等。,清除事件查看器日志,清除終端服務(wù)日志,隱藏文件,或?qū)θ罩咀髌茐男圆僮鳌?,,詳細(xì)闡述黑客攻擊的詳細(xì)過程。,,85,四部曲：踩點->掃描->攻擊->離開?1）踩點——信息收集，攻擊之前的準(zhǔn)備，利用whois nsloolup, ping、tracert等獲取信息；

32、 信息技術(shù)包括：網(wǎng)絡(luò)技術(shù)（網(wǎng)絡(luò)實名、新聞報道、網(wǎng)站信息、搜索引擎；查詢命令（Ping、tracert）、查詢工具等）和非網(wǎng)絡(luò)技術(shù)（社交工程、垃圾搜集、身份偽裝等）?2）掃描——安全偵測，利用自制或?qū)Ｓ脪呙韫ぞ撸?掃描器是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件，通過與目標(biāo)主機TCP/IP端口建立連接和并請求某些服務(wù)，記錄目標(biāo)主機的應(yīng)答，搜集目標(biāo)主機相關(guān)信息，從而發(fā)現(xiàn)目標(biāo)主機存在的安全漏洞。

33、 掃描器采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進行逐項檢查。 掃描器測試TCP/IP端口和服務(wù)，并記錄目標(biāo)的回答。通過這種方法，可以搜集到關(guān)于目標(biāo)主機的有用信息。 ?3）攻擊——實施攻擊，建立帳戶、獲取特權(quán)、安裝木馬、全面攻擊、系統(tǒng)入侵等等。 按照攻擊的性質(zhì)及其手段，可將通常的網(wǎng)絡(luò)攻擊分為以下四個類型：口令攻擊、拒絕服務(wù)攻擊、利用型

34、攻擊、假消息攻擊?4）離開——安全撤離，實施完攻擊以后，清除腳印，消除入侵痕跡。 為下一次進入系統(tǒng)和逃避追查做一些工作：包括創(chuàng)建后門和掩蓋蹤跡。,電子商務(wù)安全第3章　2005級本科適用,3.5 網(wǎng)絡(luò)入侵檢測,入侵檢測是繼防火墻之后的又一道防線。防火墻只能對黑客的攻擊實施被動防御，一旦黑客攻入系統(tǒng)內(nèi)部，則沒有切實的防護策略，而入侵檢測系統(tǒng)則是針對這種情況而提出的又一道防線。,,入侵檢測系統(tǒng)（intrusi

35、on detection system，IDS）是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng)；它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為，并且采取相應(yīng)的防護手段。,,88,3.4.1 網(wǎng)絡(luò)入侵檢測的原理檢測策略基于主機的檢測基于應(yīng)用程序的檢測基于目標(biāo)的檢測基于網(wǎng)絡(luò)的檢測3.4.2 網(wǎng)絡(luò)入侵檢測的主要方法異常檢測誤用檢測,89,,電子商務(wù)安全第3章　2005級本科適用

36、,基于主機入侵檢測系統(tǒng)HIDS工作原理,電子商務(wù)安全第3章　2005級本科適用,,,,,Internet,NIDS,,,,,,,基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理,網(wǎng)絡(luò)服務(wù)器1,,,,數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分,客戶端,網(wǎng)絡(luò)服務(wù)器2,檢測內(nèi)容： 包頭信息+有效數(shù)據(jù)部分,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.1 增強的私密電子郵件(PEM)3.6.2 安全多用途網(wǎng)際郵件擴充協(xié)議(S/MIME)3.6.3 安全超

37、文本傳輸協(xié)議(S-HTTP)3.6.4 安全套接層協(xié)議(SSL)3.6.5 安全電子交易協(xié)議(SET),92,,3.6.1 增強的私密電子郵件(PEM)PEM規(guī)范缺點：與同期的多用途網(wǎng)際郵件擴充協(xié)議MIME不兼容,93,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.2 安全多用途網(wǎng)際郵件擴充協(xié)議S/MIME電子郵件內(nèi)容的安全問題發(fā)送者身份認(rèn)證不可否認(rèn)郵件的完整性郵件的保密性S/MIME標(biāo)準(zhǔn)（Secure/Multipu

38、rpose Internet Mail Extension）設(shè)計目標(biāo)：使自己能較易加入到已有的Email產(chǎn)品之中安全標(biāo)準(zhǔn)：信息格式：繼承了MIME規(guī)格信息加密標(biāo)準(zhǔn)：包括DES、三重DES、RC4數(shù)字簽名標(biāo)準(zhǔn)：PKCS數(shù)字證書格式：X.509MIME和S/MIME,94,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.3 安全超文本傳輸協(xié)議（S-HTTP） S-HTTP 是致力于促進以因特網(wǎng)為基礎(chǔ)的電子商務(wù)技

39、術(shù)發(fā)展的國際財團 CommerceNet協(xié)會提出的安全傳輸協(xié)議，主要利用密鑰對加密的方法來保障 Web 站點上的信息安全。,95,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.4 安全套接層協(xié)議(Secure Sockets Layer，SSL)SSL協(xié)議概述 SSL建立在TCP協(xié)議之上，它的優(yōu)勢在于與應(yīng)用層協(xié)議獨立無關(guān)，應(yīng)用層協(xié)議能透明地建立于SSL協(xié)議之上。 e.g.HTTP over SSL(HTTPS),96,3.

40、6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.4 安全套接層協(xié)議(Secure Sockets Layer，SSL)SSL協(xié)議的功能SSL服務(wù)器認(rèn)證確認(rèn)用戶身份保證數(shù)據(jù)傳輸?shù)臋C密性和完整性SSL的體系結(jié)構(gòu)基于SSL的銀行卡支付過程,97,3.6 電子商務(wù)應(yīng)用安全協(xié)議,電子商務(wù)安全第5章　2005級本科適用,SSL提供的安全服務(wù)與實現(xiàn)步驟,SSL提供的安全服務(wù)用戶和服務(wù)器的合法性認(rèn)證using X.509v3 digital cert

41、ificates傳輸數(shù)據(jù)的機密性using one of DES, Triple DES, IDEA, RC2, RC4, …傳輸數(shù)據(jù)的完整性using MAC with MD5 or SHA-1,SSL協(xié)議實現(xiàn)的六步驟,⑴接通階段：客戶機通過網(wǎng)絡(luò)向服務(wù)器打招呼，服務(wù)器回應(yīng)； ⑵密碼交換階段：客戶機與服務(wù)器之間交換雙方認(rèn)可的密碼，一般選用RSA密碼算法；⑶會談密碼階段：客戶機器與服務(wù)器間產(chǎn)生彼此交談的會談密碼； ⑷檢驗階段

42、：客戶機檢驗服務(wù)器取得的密碼； ⑸客戶認(rèn)證階段：服務(wù)器驗證客戶機的可信度； ⑹結(jié)束階段：客戶機與服務(wù)器之間相互交換結(jié)束的信息。,SSL協(xié)議與電子商務(wù),SSL 提供了用于啟動 TCP/IP 連接的安全性“信號交換”。這種信號交換導(dǎo)致客戶和服務(wù)器同意將使用的安全性級別，并履行連接的任何身份驗證要求。通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗證。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

43、,SSL證書保障在線服務(wù)器的安全,服務(wù)器身份驗證 —— 防假冒網(wǎng)絡(luò)信息發(fā)送內(nèi)容加密 —— 防偷窺網(wǎng)絡(luò)信息發(fā)送完整性檢測 —— 防刪節(jié)網(wǎng)絡(luò)信息發(fā)送內(nèi)容修改提醒 —— 防篡改,,應(yīng)用數(shù)據(jù),,改變密碼套，結(jié)束握手,,送出客戶端證書,,送出服務(wù)器證書，請求客戶端證書,,SSL流程,,,瀏覽器,Web服務(wù)器,SSL安全通道,客戶端證書,服務(wù)器證書,Client hello,,Server helloServer

44、 CertificateCertificate RequestServerKeyExchange,,Client CertificateClientKeyExchangeCertificate VerifyChangeCipherSpecFinished,,ChangeCipherSpecFinished,,,Application Data,Application Data,建立協(xié)議版本、會話ID、交換隨機數(shù),電子商務(wù)安

45、全第5章　2005級本科適用,SSL服務(wù)器證書工作原理介紹,第一步：身份驗證,,發(fā)證機構(gòu) — CA,,,你 是 誰？,,我是卓越服務(wù)器,身份驗證,???服務(wù)器,卓越服務(wù)器,電子商務(wù)安全第5章　2005級本科適用,SSL服務(wù)器證書工作原理介紹,第二步：發(fā)明密語規(guī)則,,密語規(guī)則,發(fā) 明,,,,原 文,密語,電子商務(wù)安全第5章　2005級本科適用,SSL服務(wù)器證書工作原理介紹,第三步：密語規(guī)則共享,,,信息保險箱,,打開保險箱,,,獲得規(guī)則,

46、電子商務(wù)安全第5章　2005級本科適用,SSL服務(wù)器證書工作原理介紹,第四步：進行安全通信,,,,,SSL在電子商務(wù)系統(tǒng)的應(yīng)用中存在很多弊端:,SSL并不是面向電子商務(wù)而設(shè)計的,所以有很多弊端:SSL是一個面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是客戶、網(wǎng)站、銀行三家協(xié)作完成, SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系；購貨時客戶要輸入通信地址，這樣將可能使得客戶收到大量垃

47、圾信件。 SSL協(xié)議運行的基點是商家對客戶信息保密的承諾。但在上述流程中SSL協(xié)議有利于商家而不利于客戶?？蛻舻男畔⑹紫葌鞯缴碳?，商家閱讀后再傳到銀行，這樣，客戶資料的安全性便受到威脅。,隨著電子商務(wù)參與方的迅速增加，認(rèn)證問題越來越突出，SSL協(xié)議的缺點完全暴露出來。SSL協(xié)議逐漸被新的SET協(xié)議所取代。目前我國開發(fā)的電子支付系統(tǒng)，無論是中國銀行的長城卡電子支付系統(tǒng)，還是上海長途電信局的網(wǎng)上支付系統(tǒng)，均沒有采用SSL協(xié)議，主要原

48、因就是無法保證客戶資金的安全性。,電子商務(wù)安全第5章　2005級本科適用,3.6.5 安全電子交易協(xié)議—— Secure Electronic Transaction，SETSET協(xié)議概述 SET是一種應(yīng)用于因特網(wǎng)環(huán)境下，以信用卡為基礎(chǔ)的安全電子支付協(xié)議。 通過SET可以實現(xiàn)電子商務(wù)交易中的加密、認(rèn)證、密鑰管理等機制，保證在開放網(wǎng)絡(luò)上使用信用卡進行在線購物的安全。,110,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6

49、.5 安全電子交易協(xié)議——Secure Electronic Transaction，SETSET交易參與方,111,3.6 電子商務(wù)應(yīng)用安全協(xié)議,安全電子支付系統(tǒng),,持卡人,特約商店,發(fā)卡銀行,收單銀行,認(rèn)證中心,支付網(wǎng)關(guān),3.6.5 安全電子交易協(xié)議——Secure Electronic Transaction，SETSET購物流程,113,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.5 安全電子交易協(xié)議——Secure Ele

50、ctronic Transaction，SETSET支付信息支付發(fā)起請求/支付發(fā)起應(yīng)答(PinitReq/PinitRes)購買請求/購買應(yīng)答(Preq/Pres)授權(quán)請求/授權(quán)應(yīng)答(AuthReq/AuthRes)支付請求/支付應(yīng)答(CapReq/CapRes)SET交易流程與傳統(tǒng)銀行卡交易流程的比較SET與SSL的比較,114,3.6 電子商務(wù)應(yīng)用安全協(xié)議,實驗4：,1、網(wǎng)絡(luò)抓包軟件sniffer2、使用IE瀏覽器阻