网上支付安全技术课件.ppt

1、11 网上支付安全技术网上支付安全技术学习目标：学习目标：1.在线金融安全问题在线金融安全问题2.安全技术安全技术3.CA安全控制及管理安全控制及管理4.在线商务安全标准在线商务安全标准 5.密码学基础密码学基础6.电子签名技术电子签名技术7.“网证通网证通”个人数字证书签发安全电子个人数字证书签发安全电子邮件邮件案例：银行卡信息泄漏案例：银行卡信息泄漏v2005年年6月月17日，万事达信用卡国际称，由于日，万事达信用卡国际称，由于cardSystems公司的网络被突破，造成第三方支付公司的网络被突破，造成第三方支付处理器的入侵，只是万事达、维萨、运通、处理器的入侵，只是万事达、维萨、运通、D

2、iscover在内的高达在内的高达4000多万信用卡用户的银行资多万信用卡用户的银行资料面临泄漏风险。料面临泄漏风险。vcardSystems公司丢失客户数据的主要原因是对信公司丢失客户数据的主要原因是对信息安全缺乏足够重视，违规保存信用卡用户资料，息安全缺乏足够重视，违规保存信用卡用户资料，同时未对这些数据进行任何加密，只是黑客入侵后同时未对这些数据进行任何加密，只是黑客入侵后很顺利得盗走了相关数据。很顺利得盗走了相关数据。v通过认真检查这次银行卡泄密事件，我们知道不仅通过认真检查这次银行卡泄密事件，我们知道不仅信息技术出了问题，而且管理制度和安全意识也出信息技术出了问题，而且管理制度和安全

3、意识也出了问题。了问题。电子商务的安全威胁电子商务的安全威胁电脑犯罪电脑犯罪:50:50个国家有信息恐怖组织个国家有信息恐怖组织,计算机计算机 犯罪增长率犯罪增长率152%,152%,银行抢劫案件银行抢劫案件 减少，英国网络解密专家小组减少，英国网络解密专家小组,美美 国第三方密钥管理国第三方密钥管理,巨大损失巨大损失:6666万美元万美元/每次计算机犯罪每次计算机犯罪,2,26 6美美 元元/每次抢劫，国防，银行，证券每次抢劫，国防，银行，证券 网络战争网络战争:中美网络之战中美网络之战 v来自国家互联网应急中心来自国家互联网应急中心18日的报告显示，日的报告显示，5月月10日至日至5月月1

4、6日一周内，中国境内有日一周内，中国境内有81个个政府网站被篡改，至政府网站被篡改，至5月月17日日12时，仍有时，仍有29个被篡改的政府网站没有恢复，其中包括个被篡改的政府网站没有恢复，其中包括4个个省部级网站，分别位于安徽、江苏、四川和省部级网站，分别位于安徽、江苏、四川和西藏自治区。西藏自治区。上周中国81个政府网站被黑 4省部级仍未恢复 v11.1在线金融安全问题在线金融安全问题 v众所周知，电子商务是利用国际互联网和系统内、众所周知，电子商务是利用国际互联网和系统内、系统外网络及相关技术完成商业的贸易交易业务。系统外网络及相关技术完成商业的贸易交易业务。因此网络的安全就成为贸易双方非

5、常关注的问题。因此网络的安全就成为贸易双方非常关注的问题。v1.电子商务的安全要素电子商务的安全要素v电子商务安全问题的核心和关键是电子交易的安全电子商务安全问题的核心和关键是电子交易的安全性。网上交易面临着种种安全威胁，也因此提出了性。网上交易面临着种种安全威胁，也因此提出了相应的安全控制要求。相应的安全控制要求。v1）身份的可认证性）身份的可认证性v2）信息的保密性）信息的保密性v3）信息的完整性）信息的完整性v4）不可抵赖性）不可抵赖性v5）不可伪造性）不可伪造性v2.在线支付要求在线支付要求v一切电子商务支付手段的解决方案，都必须解决下面几个关一切电子商务支付手段的解决方案，都必须解决

6、下面几个关键问题。键问题。v1）有效性）有效性v电子商务以电子形式取代了纸张，那么如何保证这种电子形电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。式贸易信息的有效性则是开展电子商务的前提。v因此，要对网络故障、操作错误、应用程序错误、硬件故障、因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。防，以保证贸易数据在确定的时刻、确定的地点是有效的。v2）机密性）机密性v电子商务作为贸易的一种手

7、段，其信息直接代表着个人、企电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。业或国家的商业机密。v电子商务是建立在一个开放的网络环境（如电子商务是建立在一个开放的网络环境（如Internet）中的，）中的，维护商业机密是电子商务全面推广应用的重要保障。维护商业机密是电子商务全面推广应用的重要保障。v3）完整性）完整性v电子商务简化了贸易过程，减少了人为的干预，同电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问时也带来维护贸易各方商业信息的完整、统一的问题。题。v要预防信息的随意生成、修改和删除，同时要防止要预防信息的随意生成、修改

8、和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。送次序的统一。v4）可靠性）可靠性v在传统的纸面贸易中，在传统的纸面贸易中，“白纸黑字白纸黑字”。v在无纸化的交易方式下，通过手写签名和印章进行在无纸化的交易方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠输过程中为参与交易的个人、企业或国家提供可靠的标识。的标识。v11.2 安全技术安全技术v1.信息加密技术信息加密技术v2.信息认证技术信息认证技术v3.通信加

9、密技术通信加密技术v4.其他安全控制技术其他安全控制技术v5.病毒的防治及管理病毒的防治及管理 v1.信息加密技术信息加密技术v通过计算机网络进行安全的商务活动和通讯通过计算机网络进行安全的商务活动和通讯就像我们签署一封信笺并把它密封在一个信就像我们签署一封信笺并把它密封在一个信封里发出去一样。签名保证了发信人身份的封里发出去一样。签名保证了发信人身份的真实性，密封的信封保证了机密性。密码系真实性，密封的信封保证了机密性。密码系统通过使用和某一个算法相关的密钥对信息统通过使用和某一个算法相关的密钥对信息加密来保证机密性。可以产生一些加密来保证机密性。可以产生一些“混乱混乱”的消息发送给接收者，

10、接收者使用原来加密的消息发送给接收者，接收者使用原来加密用的密钥可以获得原来的信息内容。双方使用的密钥可以获得原来的信息内容。双方使用的密钥必须保证机密性。在密码应用系统用的密钥必须保证机密性。在密码应用系统中，管理和保密这些密钥是最中心的问题，中，管理和保密这些密钥是最中心的问题，公钥密码系统解决了这个问题。公钥密码系统解决了这个问题。v公钥密码系统使用一个密钥对代替了原来使公钥密码系统使用一个密钥对代替了原来使用的一个密钥，这个密钥对包括一个公钥和用的一个密钥，这个密钥对包括一个公钥和一个私钥。使用公钥加密的信息只能使用相一个私钥。使用公钥加密的信息只能使用相应的私钥才能解密。使用这套系统

11、，公钥可应的私钥才能解密。使用这套系统，公钥可以在公共的目录中发布，方便各方互相通讯。以在公共的目录中发布，方便各方互相通讯。除了加密，公钥和私钥还可以用来产生一个除了加密，公钥和私钥还可以用来产生一个“数字签名数字签名”，附加在信息的后面对信息和，附加在信息的后面对信息和信息的发送者进行认证。要实现这种保密且信息的发送者进行认证。要实现这种保密且方便的环境，需要一套公钥基础设施方便的环境，需要一套公钥基础设施Public Key Infrastructure（PKI）。）。v从广义上讲，所有提供公钥加密和数字签名从广义上讲，所有提供公钥加密和数字签名服务的系统，都可叫做服务的系统，都可叫做P

12、KI系统，系统，PKI的主要的主要目的是通过自动管理密钥和证书，可以为用目的是通过自动管理密钥和证书，可以为用户建立起一个安全的网络运行环境，从而保户建立起一个安全的网络运行环境，从而保证网上数据的机密性、完整性、有效性，数证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中不能被非据的机密性是指数据在传输过程中不能被非授权者偷看；数据的完整性是指数据在传输授权者偷看；数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是指过程中不能被非法篡改；数据的有效性是指数据不能被否认。一个有效的数据不能被否认。一个有效的PKI系统必须系统必须是安全的和透明的，用户在获得加密和数

13、字是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解签名服务时，不需要详细地了解PKI是怎样是怎样管理证书和密钥的。管理证书和密钥的。v一个典型、完整、有效的一个典型、完整、有效的PKI应用系统至少应用系统至少应具有以下部分：应具有以下部分：v（1）公钥密码证书管理。）公钥密码证书管理。v（2）黑名单的发布和管理。）黑名单的发布和管理。v（3）密钥的备份和恢复。）密钥的备份和恢复。v（4）自动更新密钥。）自动更新密钥。v（5）自动管理历史密钥。）自动管理历史密钥。v（6）支持交叉认证。）支持交叉认证。v2.信息认证技术信息认证技术v1）数字签名）数字签名v数字签名是指用户用自己

14、的私钥对原始数据的哈希数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。哈希（摘要进行加密所得的数据。哈希（Hash）摘要是）摘要是用一种符合特殊要求的散列函数所得的数据，典型用一种符合特殊要求的散列函数所得的数据，典型的散列算法为美国国家安全局开发的单向散列算法的散列算法为美国国家安全局开发的单向散列算法之一（之一（SHA1），该算法产生长度为），该算法产生长度为160比特的散比特的散列值，列值，Hash函数散列算法保证对于不同的数据产函数散列算法保证对于不同的数据产生相同的散列值的概率极小。信息接收者使用信息生相同的散列值的概率极小。信息接收者使用信息发送者的公钥对附在原

15、始信息后的数字签名进行解发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被据产生的哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性篡改。这样就保证了数据传输的不可否认性.v这类函数的特殊要求是：这类函数的特殊要求是：v（1）接受的输入报文数据没有长度限制。）接受的输入报文数据没有长度限制。v（2）对任何输入报文数据生成固定长度的摘）对任何输入报文数据生成固定长度的摘要（要（“数字指纹数字指纹”）输出。）输出。v（3）由报文能方便地算出摘要。）由

16、报文能方便地算出摘要。v（4）难以对指定的摘要生成一个报文，由该）难以对指定的摘要生成一个报文，由该报文可以得出指定的摘要。报文可以得出指定的摘要。v（5）难以使两个不同的报文具有相同的摘要。）难以使两个不同的报文具有相同的摘要。v数字信封的功能类似于普通信封。普通信封数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。有规定的接收人才能阅读信息的内容。v数字信封中采用了私钥密码体制和公钥密码数字信封中采用了私钥密码体制和公

17、钥密码体制。信息发送者首先利用随机产生的对称体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称为数称密码，被公钥加密后的对称密码被称为数字信封。在传递信息时，信息接收方如要解字信封。在传递信息时，信息接收方如要解密信息，必须先用自己的私钥解密数字信封，密信息，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性到的信息。这样就保证了数据传输的真实性和完整性和完整性.v2）数字证书及应用）数字证书及应用v数

18、字证书是各类实体（持卡人个人、商户企业、网关数字证书是各类实体（持卡人个人、商户企业、网关银行等）在网上进行信息交流及商务活动的身份证明，在电银行等）在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。从而解决相互间的信任问题。v（1）数字证书数字证书是一个经证书认证中心数字签名）数字证书数字证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。简单地说，的包含公开密钥拥有者信息以及公开密钥的文件。简单地说，数字证书是一段包含用户身份信息、用户公钥

19、信息以及身份数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书格式及证书内容遵循保证书信息的真实性。证书格式及证书内容遵循X.509标准。标准。v（2）证书用途从证书的用途来看，数字证书可分为签名）证书用途从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信

20、息的真实性和完整性。息进行加密，以保证信息的真实性和完整性。v（3）证书的传送假设现有持证人甲向持证人乙）证书的传送假设现有持证人甲向持证人乙传送数字信息，为了保证信息传送的真实性、完整传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下：密和数字签名，其传送过程如下：v甲准备好要传送的数字信息（明文）。甲准备好要传送的数字信息（明文）。v甲对数字信息进行哈希（甲对数字信息进行哈希（Hash）运算，得到一）运算，得到一个信息摘要。个信息摘要。v甲用自己的私钥（甲用自己的私钥（SK）对信息

21、摘要进行加密得到）对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上。甲的数字签名，并将其附在数字信息上。v甲随机产生一个加密密钥（甲随机产生一个加密密钥（DES密钥），并用此密钥），并用此密钥对要发送的信息进行加密，形成密文。密钥对要发送的信息进行加密，形成密文。v下接下接 v甲用乙的公钥（甲用乙的公钥（PK）对刚才随机产生的加密密钥）对刚才随机产生的加密密钥进行加密，将加密后的进行加密，将加密后的DES密钥连同密文一起传送密钥连同密文一起传送给乙。给乙。v乙收到甲传送过来的密文和加过密的乙收到甲传送过来的密文和加过密的DES密钥，密钥，先用自己的私钥（先用自己的私钥（SK）对加密的）

22、对加密的DES密钥进行解密钥进行解密，得到密，得到DES密钥。密钥。v乙然后用乙然后用DES密钥对收到的密文进行解密，得到密钥对收到的密文进行解密，得到明文的数字信息，然后将明文的数字信息，然后将DES密钥抛弃（即密钥抛弃（即DES密密钥作废）。钥作废）。v乙用甲的公钥（乙用甲的公钥（PK）对甲的数字签名进行解密，）对甲的数字签名进行解密，得到信息摘要。得到信息摘要。v乙用相同的乙用相同的Hash算法对收到的明文再进行一次算法对收到的明文再进行一次Hash运算，得到一个新的信息摘要。运算，得到一个新的信息摘要。v乙将收到的信息摘要和新产生的信息摘要进行比乙将收到的信息摘要和新产生的信息摘要进行

23、比较，如果一致，说明收到的信息没有被修改过。较，如果一致，说明收到的信息没有被修改过。v3.通信加密技术通信加密技术v随着计算机网络技术向整个经济社会各层次随着计算机网络技术向整个经济社会各层次延伸，整个社会表现了对延伸，整个社会表现了对Internet、Intranet、Extranet等的更大的依赖性。随着企业间信等的更大的依赖性。随着企业间信息交互的不断增加，任何一种网络应用和增息交互的不断增加，任何一种网络应用和增值服务的使用程度将取决于所使用网络的信值服务的使用程度将取决于所使用网络的信息安全有无保障，网络安全已成为现代计算息安全有无保障，网络安全已成为现代计算机网络应用的最大障碍，

24、也是急需解决的难机网络应用的最大障碍，也是急需解决的难题之一。题之一。v1）安全套接层协议）安全套接层协议SSLv由于由于Web上有时要传输重要或敏感的数据，因此上有时要传输重要或敏感的数据，因此Netscape公司在推出公司在推出Web浏览器首版的同时，提浏览器首版的同时，提出了安全套接层协议出了安全套接层协议SSL（Secure Socket Layer），该协议是在），该协议是在Internet基础上提供的一种保基础上提供的一种保证私密性的安全协议。证私密性的安全协议。v开放性网络模型有七层协议，而安全套接层协议开放性网络模型有七层协议，而安全套接层协议SSL则是基于开放性网络环境则是基

25、于开放性网络环境OSI中第中第5层（会话层）层（会话层）上的协议，提供三种服务：客户与服务器之间互相上的协议，提供三种服务：客户与服务器之间互相确认；消息传送的可靠性；消息的完整性。确认；消息传送的可靠性；消息的完整性。vSSL协议就像给协议就像给Web加了多把安全锁。加了多把安全锁。SSL采用公采用公开密钥技术。其目标是保证两个应用间通信的保密开密钥技术。其目标是保证两个应用间通信的保密性和可靠性，可在服务器和客户机两端同时实现支性和可靠性，可在服务器和客户机两端同时实现支持。持。v2）SSL的特点的特点vSSL协议是在网络传输层之上提供的一种基于协议是在网络传输层之上提供的一种基于RSA和

26、保密密钥的用于浏览器和和保密密钥的用于浏览器和Web服务器之间的安全服务器之间的安全连接技术。它被视为连接技术。它被视为Internet上上Web浏览器和服务浏览器和服务器的标准安全性措施。这种信号交换导致客户和服器的标准安全性措施。这种信号交换导致客户和服务器同意将使用的安全性级别，并履行连接的任何务器同意将使用的安全性级别，并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现身份验证要求。它通过数字签名和数字证书可实现浏览器和浏览器和Web服务器双方的身份验证，双方就可以服务器双方的身份验证，双方就可以用保密密钥进行安全的会话了。用保密密钥进行安全的会话了。v这种简单加密模式的特点

27、是：这种简单加密模式的特点是：v（1）部分或全部信息加密。）部分或全部信息加密。v（2）采用对称的和非对称的加密技术。）采用对称的和非对称的加密技术。v（3）通过数字证书验证身份。）通过数字证书验证身份。v（4）采用防止伪造的数字签名。）采用防止伪造的数字签名。vSSL协议提供的协议提供的“通道安全性通道安全性”有以下三个有以下三个特性：首先是它的私密性，因为在握手协议特性：首先是它的私密性，因为在握手协议中一个简单的握手确定密钥之后定义了会话中一个简单的握手确定密钥之后定义了会话密钥，所有的消息都被加密。其次是它的确密钥，所有的消息都被加密。其次是它的确认性，因为尽管会话的客户端认证是可选可

28、认性，因为尽管会话的客户端认证是可选可不选的，但是服务器端始终是被认证的。最不选的，但是服务器端始终是被认证的。最后是它的可靠性，因为传送的消息包括消息后是它的可靠性，因为传送的消息包括消息完整性检查，也即使用了完整性检查，也即使用了MAC，保证了传送，保证了传送的可靠性。的可靠性。vSSL协议实现简单，并且独立于应用层协议，协议实现简单，并且独立于应用层协议，因此，在电子交易中被用来安全传送信用卡因此，在电子交易中被用来安全传送信用卡号码。号码。v4.其他安全控制技术其他安全控制技术v1）网络安全控制）网络安全控制v网络安全是一个关系国家安全和主权、社会的稳定、网络安全是一个关系国家安全和主

29、权、社会的稳定、民族文化的继承和发扬的重要问题。这个问题正随民族文化的继承和发扬的重要问题。这个问题正随着全球信息化步伐的加快而变得越来越重要。着全球信息化步伐的加快而变得越来越重要。v网络安全是一门涉及计算机科学、网络技术、通信网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，络系统的硬件、软件及其系统中的数据受到保护，不因偶然的疏忽或者恶意的攻击而遭到破坏、更改、不因偶然的疏

30、忽或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。泄露，系统连续可靠正常地运行，网络服务不中断。v网络安全从其本质上来讲就是网络上的信息网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着域。网络安全的具体含义会随着“角度角度”的的变化而变化。变化而变化。v比如：比如：v用户（个人、企业等）的角度；用户（个人、企业等）的角度；

31、v网络运行和管理者角度；网络运行和管理者角度；v安全保密部门的角度；安全保密部门的角度；v社会教育和意识形态角度。社会教育和意识形态角度。v具体说来，网络安全涉及到以下几个问题。具体说来，网络安全涉及到以下几个问题。v（1）物理安全对于自然灾害（如雷电、地震、火灾等）、）物理安全对于自然灾害（如雷电、地震、火灾等）、物理损坏（如硬盘损坏、设备使用寿命到期等）、设备故障物理损坏（如硬盘损坏、设备使用寿命到期等）、设备故障（如停电、电磁干扰等）及其他意外事故，解决方案是采取（如停电、电磁干扰等）及其他意外事故，解决方案是采取防护措施，制定安全制度，进行数据备份等。防护措施，制定安全制度，进行数据备

32、份等。v对于电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而对于电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入（如进入安全进程后半途离开）、痕迹泄露（如口令密钥入（如进入安全进程后半途离开）、痕迹泄露（如口令密钥等保管不善）等，解决方案是进行辐射防护，设置屏幕口令，等保管不善）等，解决方案是进行辐射防护，设置屏幕口令，隐藏销毁等。隐藏销毁等。v对于操作失误（如删除文件，格式化硬盘，拆除线路等）和对于操作失误（如删除文件，格式化硬盘，拆除线路等）和意外疏漏，解决方案是进行状态检测，报警确认，应急恢复意外疏漏，解决方案是进行状态检测，报警确认，应急恢复等。等。v计算机系统机房环境安全的特点是：

33、可控性强，损失也大。计算机系统机房环境安全的特点是：可控性强，损失也大。v解决方案是加强机房管理，运行管理，安全组织和人事管理。解决方案是加强机房管理，运行管理，安全组织和人事管理。v（2）安全控制微机操作系统的安全控制。）安全控制微机操作系统的安全控制。v如用户开机键入的口令（某些微机主板有如用户开机键入的口令（某些微机主板有“万能口万能口令令”），对文件的读写存取的控制（如），对文件的读写存取的控制（如Unix系统的系统的文件属性控制机制）。文件属性控制机制）。v主要用于保护存贮在硬盘上的信息和数据。主要用于保护存贮在硬盘上的信息和数据。v网络接口模块的安全控制。网络接口模块的安全控制。v

34、在网络环境下对来自其他机器的网络通信进程进行在网络环境下对来自其他机器的网络通信进程进行安全控制。安全控制。v主要包括：身份认证，客户权限设置与判别，审计主要包括：身份认证，客户权限设置与判别，审计日志等。日志等。v网络互联设备的安全控制。网络互联设备的安全控制。v对整个子网内的所有主机的传输信息和运行状态进对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。行安全监测和控制。v主要通过网管软件或路由器配置实现。主要通过网管软件或路由器配置实现。v（3）安全服务）安全服务v对等实体认证服务。对等实体认证服务。v访问控制服务。访问控制服务。v数据保密服务。数据保密服务。v数据完整性服务

35、。数据完整性服务。v数据源点认证服务。数据源点认证服务。v禁止否认服务。禁止否认服务。v（4）安全机制）安全机制v加密机制。加密机制。v数字签名机制。数字签名机制。v访问控制机制。访问控制机制。v数据完整性机制。数据完整性机制。v认证机制。认证机制。v信息流填充机制。信息流填充机制。v路由控制机制。路由控制机制。v公证机制。公证机制。v（5）网络加密方式）网络加密方式v链路加密方式。链路加密方式。v节点对节点加密方式。节点对节点加密方式。v端对端加密方式。端对端加密方式。v（6）TCPIP协议的安全问题协议的安全问题vTCPIP协议数据流采用明文传输。协议数据流采用明文传输。v源地址欺骗（源地

36、址欺骗（Source address spoofing）或）或IP欺骗（欺骗（IP spoofing）。）。v源路由选择欺骗（源路由选择欺骗（Source Routing spoofing）。）。v路由选择信息协议攻击（路由选择信息协议攻击（RIP Attacks）。）。v鉴别攻击（鉴别攻击（Authentication Attacks）。）。vTCP序列号欺骗（序列号欺骗（TCP Sequence number spoofing）。）。vTCP序列号轰炸攻击（序列号轰炸攻击（TCP SYN Flooding Attack），简称），简称SYN攻击。攻击。v易欺骗性（易欺骗性（Ease of

37、spoofing）。）。v2）防火墙的应用）防火墙的应用v防火墙是安全策略的一个部分，防火墙是安全策略的一个部分，Internet防防火墙是这样的系统（或一组系统），它能增火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。强机构内部网络的安全性。v防火墙系统决定了哪些内部服务可以被外界防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。务，以及哪些外部服务可以被内部人员访问。v要使一个防火墙有效，所有来自和去往要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙

38、，接受防的信息都必须经过防火墙，接受防火墙的检查。防火墙只允许授权的数据通过，火墙的检查。防火墙只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。并且防火墙本身也必须能够免于渗透。v防火墙不仅仅是路由器、堡垒主机或任何提防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，而且供网络安全的设备的组合，而且Internet防防火墙负责管理火墙负责管理Internet和机构内部网络之间和机构内部网络之间的访问。的访问。vInternet防火墙允许网络管理员定义一个中防火墙允许网络管理员定义一个中心心“扼制点扼制点”来防止非法用户，比如防止黑来防止非法用户，比如防止黑客、网络破坏者等进

39、入内部网络。客、网络破坏者等进入内部网络。v禁止存在安全脆弱性的服务进出网络，并抗禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。击来自各种路线的攻击。vInternet防火墙能够简化安全管理，网络的防火墙能够简化安全管理，网络的安全性是在防火墙系统上得到加固，而不是安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。分布在内部网络的所有主机上。v在防火墙上可以很方便地监视网络的安全性，并产在防火墙上可以很方便地监视网络的安全性，并产生报警。（注意：对一个与生报警。（注意：对一个与Internet相联的内部网相联的内部网络来说，重要的问题并不是网络是否会受到攻击，络来

40、说，重要的问题并不是网络是否会受到攻击，而是何时受到攻击？谁在攻击？）网络管理员必须而是何时受到攻击？谁在攻击？）网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。知道防火墙是否受到攻击。vInternet防火墙是审计和记录防火墙是审计和记录Internet使用量的一个使用量的一个最佳地方。网络管理员可以在此向管理部门提供最佳地方。网络管理员可以

41、在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的连接的费用情况，查出潜在的带宽瓶颈的位置，并根据机构的核算模式提供部门级计费。位置，并根据机构的核算模式提供部门级计费。v防火墙也可以成为向客户发布信息的地点。防火墙也可以成为向客户发布信息的地点。v5.病毒的防治及管理病毒的防治及管理v1）病毒）病毒v病毒是一个程序，有时是有破坏性的，可自我复制，病毒是一个程序，有时是有破坏性的，可自我复制，能以替换、插入等形式附着在操作系统或可执行文能以替换、插入等形式附着在操作系统或可执行文件上，这些行为用户毫无觉察。它还可通过网络传件上，这些行为用户毫无觉察。它还可通过网络传播，发作

42、时有危害。一旦病毒发作，会发生机器不播，发作时有危害。一旦病毒发作，会发生机器不能正常启动，运行速度降低，磁盘空间被占用，文能正常启动，运行速度降低，磁盘空间被占用，文件内容和长度被改变，经常件内容和长度被改变，经常“死机死机”，外部设备工，外部设备工作异常等情况。作异常等情况。v防范措施：防范措施：v（1）安装防病毒软件，定期对系统进行查毒。）安装防病毒软件，定期对系统进行查毒。v（2）不要随意从网上下载软件，下载后要注意查）不要随意从网上下载软件，下载后要注意查毒。毒。v（3）不要打开不熟悉的邮件和附件。）不要打开不熟悉的邮件和附件。v2）利用特洛伊程序进行的入侵）利用特洛伊程序进行的入侵

43、v特洛伊程序往往是在用户不知道的情况下被引入到特洛伊程序往往是在用户不知道的情况下被引入到系统中的。它可隐藏于用户的执行进程中，不容易系统中的。它可隐藏于用户的执行进程中，不容易被发觉，可为远程入侵者提供本地有用信息，严重被发觉，可为远程入侵者提供本地有用信息，严重的还可被远程控制，其危害性极大。的还可被远程控制，其危害性极大。v防范措施：防范措施：v（1）任何特洛伊和后门程序一旦被入侵者利用都）任何特洛伊和后门程序一旦被入侵者利用都将会带来安全危害，因此不要随意从网上下载软件，将会带来安全危害，因此不要随意从网上下载软件，建议使用正版软件。建议使用正版软件。v（2）经常检查自己的系统是否启动

44、了不明的服务，）经常检查自己的系统是否启动了不明的服务，应尽快删除。应尽快删除。v（3）对于）对于Windows系统，应注意比较注册表的改系统，应注意比较注册表的改变。变。v（4）使用安全工具进行检查。）使用安全工具进行检查。v11.3 CA安全控制及管理安全控制及管理v1.CA认证机构面临的主要威胁认证机构面临的主要威胁v2.CA认证中心的安全防范机制认证中心的安全防范机制 v1.CA认证机构面临的主要威胁认证机构面临的主要威胁vCA所提供的服务是通过所提供的服务是通过Internet实施的，面临来自实施的，面临来自Internet的攻击威胁。同时，由于其业务的特殊性的攻击威胁。同时，由于其

45、业务的特殊性和重要性，还面临来自内部的攻击威胁。攻击者的和重要性，还面临来自内部的攻击威胁。攻击者的目标是多方面的，其中以窃取目标是多方面的，其中以窃取CA核心机密（如密核心机密（如密钥对）为最严重的威胁。钥对）为最严重的威胁。v1）系统穿透）系统穿透v系统穿透系指攻击者通过一定的手段对认证性（真系统穿透系指攻击者通过一定的手段对认证性（真实性实性Authenticity）进行攻击，假冒合法用户接入）进行攻击，假冒合法用户接入系统，从而达到篡改系统文件、窃取系统机密信息、系统，从而达到篡改系统文件、窃取系统机密信息、非法使用系统资源等目的。攻击者一般采取伪装或非法使用系统资源等目的。攻击者一般

46、采取伪装或利用系统的薄弱环节（如绕过检测控制）、收集情利用系统的薄弱环节（如绕过检测控制）、收集情报（如口令）等方式实现。在报（如口令）等方式实现。在CA系统中，口令登系统中，口令登录大都被电子令牌或数字证书登录替代，所以系统录大都被电子令牌或数字证书登录替代，所以系统穿透的风险较小。穿透的风险较小。v2）违反授权原则）违反授权原则v违反授权原则系指攻击者盗用一个合法用户账号，经授权进违反授权原则系指攻击者盗用一个合法用户账号，经授权进入系统后，在系统中进行未经授权的操作。一个攻击者可以入系统后，在系统中进行未经授权的操作。一个攻击者可以通过猜测口令等手段取得一个普通用户账号，以合法的身份通过

47、猜测口令等手段取得一个普通用户账号，以合法的身份接入系统，进而可查找系统的薄弱环节，最后取得系统的最接入系统，进而可查找系统的薄弱环节，最后取得系统的最高控制权，从而严重危及系统的安全。这种攻击主要发生在高控制权，从而严重危及系统的安全。这种攻击主要发生在CA管理人员内部，需要重点防范，严格控制不同管理员的管理人员内部，需要重点防范，严格控制不同管理员的权限。权限。v3）植入病毒）植入病毒v在系统穿透或违反授权攻击成功后，攻击者通常要在系统中在系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入一种能力，为以后攻击提供方便条件，如向系统中注入植入一种能力，为以后攻击提供方便条件，如向系统中注

48、入病毒、蛀虫、特洛伊木马、限门、逻辑炸弹等来破坏系统正病毒、蛀虫、特洛伊木马、限门、逻辑炸弹等来破坏系统正常工作。从常工作。从Internet下载的软件和盗版软件是病毒的主要来下载的软件和盗版软件是病毒的主要来源，所以应防止管理员使用源，所以应防止管理员使用CA系统中的工作站下载软件和系统中的工作站下载软件和使用来历不明的软件。使用来历不明的软件。v4）通信监视）通信监视v通信监视是一种在通信过程中从信道进行搭线窃听通信监视是一种在通信过程中从信道进行搭线窃听的攻击方式。攻击者通过搭线和电磁泄漏等手段截的攻击方式。攻击者通过搭线和电磁泄漏等手段截取通信信息，对信息、业务流量等数据进行分析，取通

49、信信息，对信息、业务流量等数据进行分析，获取有用的情报，获得机密信息。获取有用的情报，获得机密信息。CA认证中心的认证中心的敏感信息在传输中都是经过加密处理的，但在机房敏感信息在传输中都是经过加密处理的，但在机房数据处理中，数据会以明文形式出现，所以数据处理中，数据会以明文形式出现，所以CA机机房是反通信监视的重点部位。房是反通信监视的重点部位。v5）中断）中断v中断系指对可用性进行攻击，破坏系统中的硬件、中断系指对可用性进行攻击，破坏系统中的硬件、硬盘、线路、文件系统等，使系统瘫痪，不能正常硬盘、线路、文件系统等，使系统瘫痪，不能正常工作，破坏信息和网络资源。这类攻击一般采取暴工作，破坏信息

50、和网络资源。这类攻击一般采取暴力手段，破坏通信设施，甚至使用高能量的电磁脉力手段，破坏通信设施，甚至使用高能量的电磁脉冲发射设备摧毁系统的电子元器件。冲发射设备摧毁系统的电子元器件。v6）拒绝服务）拒绝服务v拒绝服务的攻击手段能够阻塞被攻击目标合拒绝服务的攻击手段能够阻塞被攻击目标合法接入信息、业务或其他资源，致使其正常法接入信息、业务或其他资源，致使其正常服务中断，例如，一个业务出口被精心地策服务中断，例如，一个业务出口被精心地策划进行滥用而使其他用户不能正常接入，又划进行滥用而使其他用户不能正常接入，又如如Internet的一个地址被大量的垃圾信息阻的一个地址被大量的垃圾信息阻塞等。塞等。