《電子商務(wù)安全》教案工商管理學(xué)院(電子商務(wù)專業(yè))任課教師：授課班級(jí)：課程學(xué)分：2總學(xué)時(shí)數(shù)：32周學(xué)時(shí)數(shù)：2計(jì)劃課時(shí)教學(xué)手段教學(xué)環(huán)境第一章共2節(jié)4課堂教學(xué)第二章共2節(jié)4課堂教學(xué)第三章共4節(jié)8課堂教學(xué)第四章共3節(jié)6課堂教學(xué)第五章共1節(jié)2課堂教學(xué)第六章共4節(jié)8課堂教學(xué)名師精編優(yōu)秀教案第一章電子商務(wù)安全導(dǎo)論……第二章電子商務(wù)安全管理……第三章信息安全技術(shù)…………第四章數(shù)字證書………………第五章公鑰基礎(chǔ)設(shè)施PKI…………………第六章Internet安全………名師精編優(yōu)秀教案名師精編優(yōu)秀教案第一章2學(xué)時(shí)教學(xué)目的1.理解電子商務(wù)面臨的安全問題2.掌握電子商務(wù)系統(tǒng)的安全需求電子商務(wù)系統(tǒng)的安全需求電子商務(wù)系統(tǒng)的安全需求教學(xué)提示：名師精編優(yōu)秀教案IP欺騙：①請(qǐng)示信息IP欺騙：用戶用戶⑤黑客以響應(yīng)③黑客以響應(yīng)示(1)來自買方的信用安全問題(2)來自賣方的信用安全問題(3)雙方都存在抵賴的情況當(dāng)交易一方發(fā)現(xiàn)交易行為對(duì)自己不利時(shí)，否認(rèn)電子交易行例：某人以12元/股購買1000股后，行情發(fā)交易過程中的管理、人員管理主要涉及的法律有：CA中心的法律、保護(hù)個(gè)人隱私、個(gè)人秘密的法律、電子合同法、名師精編優(yōu)秀教案1.有效性、真實(shí)性4.可靠性、不可否認(rèn)性和可控性小結(jié)鞏固二、電子商務(wù)存在的安全問題課堂練習(xí)思考：舉例說明什么是信息安全?教材1、2章等相關(guān)章節(jié)；“互聯(lián)網(wǎng)”及期刊雜志的相關(guān)內(nèi)容。名師精編優(yōu)秀教案第一章2學(xué)時(shí)教學(xué)目的1.掌握電子商務(wù)系統(tǒng)安全的構(gòu)成；2.掌握電子商務(wù)系統(tǒng)安全的實(shí)體安全和信息安全，了解運(yùn)行安全。掌握電子商務(wù)系統(tǒng)安全的構(gòu)成、信息安全。二、教學(xué)引導(dǎo)(5')1.實(shí)體安全(即物理安全)教學(xué)提示：媒體安全審計(jì)跟蹤運(yùn)行安全備份與恢復(fù)操作系統(tǒng)安全數(shù)據(jù)庫安全網(wǎng)絡(luò)安全病毒防護(hù)訪問控制鑒別電學(xué)商務(wù)系統(tǒng)安全信息安全圖1.2EC系統(tǒng)安全結(jié)構(gòu)圖特點(diǎn)：突發(fā)性、自然性、非針對(duì)性(2)電磁輻射(監(jiān)聽微機(jī)操作過程)、乘機(jī)而入(如合法用戶進(jìn)入安全進(jìn)程之后半途離開)、痕跡泄露(如口令密鑰等保管不善，被非法用戶獲得)等。破壞性：破壞EC信息的保密性(3)操作失誤(如偶然刪除文件、格式化硬盤、線路拆毀等)、意外破壞性：破壞EC信息的完整性和可用性名師精編優(yōu)秀教案(1)對(duì)機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理(2)對(duì)本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑(3)對(duì)終端設(shè)備輻射的防范。(4)一般采取的措施是：①訂購設(shè)備上晝選取低輻射產(chǎn)品；②采取主動(dòng)式的干擾設(shè)備，用干擾機(jī)來破壞對(duì)應(yīng)信息的竊取。(3)備份與恢復(fù)對(duì)系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份和恢復(fù)。在緊急事件或安全事故發(fā)生時(shí)，提供保障E急恢復(fù)所需要的策略。主要由七部分組成：OS安全、DB安全、網(wǎng)絡(luò)安全、病毒防護(hù)安全、訪問控制安全、加密、鑒別名師精編優(yōu)秀教案提供相應(yīng)的安全保護(hù)。別用戶是否合法，并決定用戶對(duì)程序和作息擁有什么樣的訪問權(quán)。如：讓文件擁有者有讀、寫和執(zhí)行的權(quán)力，給同組用戶讀和執(zhí)行的權(quán)力，而給其它用戶以讀的權(quán)力。如：用戶在什么時(shí)候開機(jī)，哪個(gè)用戶在什么時(shí)候從哪里登錄等等，這樣通過查看日志，就可以發(fā)現(xiàn)入侵的痕跡，如多次登錄失敗，也可執(zhí)行的活動(dòng)，審計(jì)加上身份驗(yàn)證，就可以知道誰在執(zhí)行這些命令。B級(jí)：強(qiáng)制式保護(hù)，安全級(jí)別較高。如Unix、Security-enhance其它的安全評(píng)價(jià)標(biāo)準(zhǔn)：rd1990年1990年產(chǎn)品評(píng)價(jià)準(zhǔn)則1985年1990年1995年1999年美國(guó)國(guó)防部可信軟洲信息技術(shù)醫(yī)際通用準(zhǔn)CC成為計(jì)算機(jī)評(píng)價(jià)準(zhǔn)財(cái)安全性評(píng)價(jià)準(zhǔn)則(1991年 評(píng)價(jià)準(zhǔn)則圖14國(guó)安全評(píng)測(cè)淋標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系名師精編優(yōu)秀教案(2)數(shù)據(jù)庫安全DB安全的涵義(包括兩層)(3)網(wǎng)絡(luò)安全常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷資源的訪問；(4)計(jì)算機(jī)病毒防護(hù)①定義：(國(guó)外):是一段附著在其它程序上的可以實(shí)現(xiàn)自我繁殖的程序(5)訪問控制主體：計(jì)算機(jī)中凡是實(shí)施操作的作主體，如用戶/進(jìn)程等。客體：被操作的對(duì)象，如文件、設(shè)備、內(nèi)存等。訪問控制主要是阻止非授權(quán)用戶進(jìn)入。具體控制方法包括：物理通道的控制，如控制進(jìn)入機(jī)房的人；門的控制：如雙重門、陷阱門等；庫，禁止用戶使用弱口令字，強(qiáng)制用戶更換口令字等；防止入侵者對(duì)口令字的探測(cè)；名師精編優(yōu)秀教案監(jiān)測(cè)用戶對(duì)某一分區(qū)或域的存?。恍〗Y(jié)鞏固電子商務(wù)系統(tǒng)安全的構(gòu)成；電子商務(wù)安全的保障課堂練習(xí)教材1章相關(guān)章節(jié)；“互聯(lián)網(wǎng)”及期刊雜志的相關(guān)內(nèi)容。名師精編優(yōu)秀教案名師精編優(yōu)秀教案第二章2學(xué)時(shí)進(jìn)程教學(xué)目的1.了解標(biāo)準(zhǔn)化組織；2.掌握安全標(biāo)準(zhǔn)。OSI參考模型提供的5種安全服務(wù)、8種安全機(jī)制、OSI安全模型OSI參考模型提供的5種安全服務(wù)、8種安全機(jī)制復(fù)習(xí)提問1.電子商務(wù)的安全保障；2.OSI參考二、教學(xué)引導(dǎo)(5')三、進(jìn)入本次課講授內(nèi)容(85)二、安全服務(wù)(30)制定的組織名師精編優(yōu)秀教案例：網(wǎng)上成績(jī)的查詢認(rèn)證某個(gè)指定的數(shù)據(jù)項(xiàng)是否來源于某個(gè)特定的實(shí)例：數(shù)字簽名A.證明它知道某事，例如口令；B.證明他擁有某物，例如物理密鑰或卡；C.展示他具有某些必備的不變特性，如指紋；(4)作用：是所有安全服務(wù)的基礎(chǔ)；可對(duì)抗假冒攻擊(1)定義：保護(hù)資源以免他人對(duì)其進(jìn)行非法使用和操作(2)認(rèn)證技術(shù)①授權(quán)：指賦予主體(用戶、終端、程序等)對(duì)客體(數(shù)據(jù)、程序等)的支配權(quán)力。②路由控制：指選擇路由的規(guī)則，以選擇或繞過指中繼。(3)作用：①直接控制信息的機(jī)密性、完整性，可用性以及目標(biāo)。(1)定義：保護(hù)作息不被泄漏/暴露給末授權(quán)的實(shí)體(如人，組織)。(2)分類：①連接保密服務(wù)：對(duì)某個(gè)連接上的所有用戶數(shù)據(jù)提供集密(即加密)。②無連接保密服務(wù)：對(duì)構(gòu)成一個(gè)無連接數(shù)據(jù)單元的所有數(shù)據(jù)加密。③選擇字段保密服務(wù)：僅對(duì)某個(gè)數(shù)據(jù)單元中所指定的字段加密。(3)作用：防止數(shù)據(jù)被截獲而造成的泄密以保護(hù)網(wǎng)絡(luò)中各系統(tǒng)之間交換的數(shù)據(jù)。務(wù)名師精編優(yōu)秀教案(1)定義：保護(hù)數(shù)據(jù)以防止末授權(quán)的改變，刪除或替代(2)分類：②無恢復(fù)的連接完整性，除不具備恢復(fù)功能外，同(3)作用：保證接收方收到的信息與發(fā)送方發(fā)送的作息完全一致。(1)定義：防止參與某次通信交換的一方事后否認(rèn)本次交換曾經(jīng)發(fā)生過(2)分類：(3)作用：為實(shí)現(xiàn)上述5種OSI安全服務(wù)，ISO提供了8種安全機(jī)制。加密是提供Data完整性和保密性的方法，是提供Data保密的核名師精編優(yōu)秀教案最常用的方法，可以在除會(huì)話層以外的各層提供加密保否認(rèn)：發(fā)送者事后否認(rèn)自己發(fā)送過某份文件冒充：網(wǎng)上的某個(gè)用戶冒充另一個(gè)用戶接收/發(fā)送信息(1)數(shù)據(jù)單元的完整性(2)數(shù)據(jù)單元序列的完整性以交換作息的方式來確認(rèn)實(shí)體身份的機(jī)制。(1)口令：由發(fā)送方提供接收方檢測(cè)(2)密碼技術(shù)：將交換的信息加密，只有合法用戶才能解密(3)特征事物：如指紋、聲音頻普名師精編優(yōu)秀教案有用的信息，數(shù)據(jù)交換量的突然改變也可能泄漏有用信息。能密切關(guān)注公司與銀行之間的Data流量，以了解是否可以購買，公司則就不能獲得有用信息。四、OSI安全模型(10)訪問控制-數(shù)據(jù)一致性數(shù)據(jù)安全不可否認(rèn)性確認(rèn)確認(rèn)路由控制傳輸流填充數(shù)據(jù)交換數(shù)據(jù)一致性訪問控制數(shù)字簽名加密應(yīng)用層表示層會(huì)話層鏈路層物理層OSI安全模型名師精編優(yōu)秀教案有了這張圖，任何的安全措施都必然在坐標(biāo)中有自己的位置。這對(duì)于層或傳輸層；然后判斷出需要那種安全服務(wù)，如防止黑客入侵或者是保障數(shù)據(jù)的安全完整等；最后根據(jù)要實(shí)現(xiàn)的安全目的選擇適合的安全機(jī)制來實(shí)掌握每種安全機(jī)制可實(shí)現(xiàn)哪些安名師精編優(yōu)秀教案掌握OSI安全模名師精編優(yōu)秀教案小結(jié)鞏固三、OSI提供的8種安全機(jī)制四、OSI安全模型課堂練習(xí)1.上網(wǎng)瀏覽相關(guān)電子商務(wù)安全的網(wǎng)站3.OSI參考模型提供的安全機(jī)制有哪些?4.簡(jiǎn)述OSI安全模型教材1章相關(guān)章節(jié)；電子商務(wù)安全相關(guān)網(wǎng)站及期刊雜志的相關(guān)內(nèi)容。名師精編優(yōu)秀教案第二章第三節(jié)電子商務(wù)安全管理制度2學(xué)時(shí)教學(xué)目的1.了解安全協(xié)調(diào)機(jī)構(gòu)與政策；2.掌握電子商務(wù)安全管理制度。安全管理制度電子商務(wù)系統(tǒng)安全的整體架構(gòu)復(fù)習(xí)提問1.OSI參考模型提供的安全服務(wù)和安全機(jī)二、教學(xué)引導(dǎo)(5')三、進(jìn)入本次課講授內(nèi)容(85)自學(xué)名師精編優(yōu)秀教案恢復(fù)是最終措施。整體架構(gòu)監(jiān)控審監(jiān)控審響應(yīng)機(jī)制護(hù)攻破，障內(nèi)部網(wǎng)攻破，障防火 恢復(fù)機(jī)制圖2.1黑客攻擊內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)安全就可以保證。名師精編優(yōu)秀教案(3)Hacker通過種種努力，終于進(jìn)入了內(nèi)部網(wǎng)，如果策略周到詳細(xì)，也許hacker就沒有進(jìn)入內(nèi)部網(wǎng)的可能，所以安全管理是中心，四個(gè)基本點(diǎn)是安全管理的具體實(shí)施。(1)硬件的日常管理維護(hù)網(wǎng)絡(luò)設(shè)備：防盜、防毀、防電磁干攏；服務(wù)器及客戶機(jī)：記錄其內(nèi)存，硬盤容量、型號(hào)人工定期/不定期地進(jìn)行檢測(cè)。(2)軟件的日常管理、維護(hù)(3)數(shù)據(jù)備份①對(duì)OS、DBMS中系統(tǒng)運(yùn)行記錄(Log)和DB運(yùn)行記錄(DB.Log)的轉(zhuǎn)儲(chǔ)保存的備查。②對(duì)重要在型DB必須運(yùn)行于專門服務(wù)器/工作站上；并異地備份。名師精編優(yōu)秀教案①名人負(fù)責(zé)：即每項(xiàng)與安全有關(guān)的活動(dòng)，都必須有2人/多人在(2)安全人事管理的實(shí)現(xiàn)(3)制定嚴(yán)格的操作規(guī)程證和確認(rèn)，對(duì)于EC安全系統(tǒng)，要有專職兼職系統(tǒng)保密員，負(fù)責(zé)日常的口(1)系統(tǒng)保密員工作名師精編優(yōu)秀教案期向主管部門匯報(bào)口令使用情況。(2)定期更換口令(3)對(duì)口令DB的訪問和存取必須加以控制，以防止口令被非法修改(4)用戶口令不應(yīng)記在不保密的媒介物上，不要將口令貼在終端上，輸入的口令不應(yīng)顯示在顯示終端上。名師精編優(yōu)秀教案小結(jié)鞏固二、安全管理制度課堂練習(xí)結(jié)合我院實(shí)驗(yàn)中心情況，具體分析一下其安全管理制度教材2章相關(guān)章節(jié)；名師精編優(yōu)秀教案電子商務(wù)安全相關(guān)網(wǎng)站及期刊雜志的相關(guān)內(nèi)名師精編優(yōu)秀教案第三章學(xué)時(shí)教學(xué)目的1.了解2.掌握發(fā)式復(fù)習(xí)提問二、教學(xué)引導(dǎo)(5')三、進(jìn)入本次課講授內(nèi)容(85')名師精編優(yōu)秀教案發(fā)送方明文密文明文圖3.1加密系統(tǒng)圖密碼分析(破譯)(1)對(duì)稱密鑰加密體制(2)非對(duì)稱密鑰加密體制用私用密鑰去解密。根據(jù)：公開密鑰是用作加密密鑰，還是用作解密密鑰(1)加密模式：公開密鑰用作加密密鑰(2)驗(yàn)證模式：公開密鑰用作解密密鑰①加密模式(圖3.2):(例：保密通信)發(fā)送方用接收方的公開密鑰對(duì)要發(fā)送的信息進(jìn)行加密；發(fā)送方將加密后的信息通過網(wǎng)絡(luò)發(fā)送給接收方； 公開密鑰接接收方私有密明文密文Internet密文明文發(fā)送圖3.2加密模式加解密過②驗(yàn)證模式(圖3.3):(例：數(shù)字簽名)發(fā)送方用自己的私有密鑰對(duì)要發(fā)送的信息進(jìn)行加密；名師精編優(yōu)秀教案發(fā)送方將加密后的信息通過網(wǎng)絡(luò)發(fā)送給接收方；接收方用發(fā)送方的公開密鑰對(duì)接收到的加密信息進(jìn)行解密，得到密密仿鑰接收方文文私有密鑰發(fā)送發(fā)送方公開密方圖3.3驗(yàn)證模式加解密過程示意3、對(duì)加密系統(tǒng)的要求為保護(hù)信息的保密性，抗擊密碼分析，加密系統(tǒng)應(yīng)滿足下述要求：系統(tǒng)的保密性不依賴于對(duì)加密體制或算法的保密，而依賴于密鑰三、加密算法1、對(duì)稱加密算法DES:DataEncryptionStandar數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法是將輸入的明文分為64們的數(shù)據(jù)分組，使用64位的密鑰(含8位校驗(yàn)碼，實(shí)際上只有56位)進(jìn)行變換，每個(gè)64位明文分組數(shù)據(jù)經(jīng)過初始置換，16次迭代和逆置換3個(gè)主要階段，最后輸出得到64位密文。初始置換表： 6 8 名師精編優(yōu)秀教案(2)DES算法安全性：根據(jù)所基于的數(shù)學(xué)難題來分類：(1)RSA加密算法計(jì)算機(jī)量卻相當(dāng)大，大到甚至在計(jì)算機(jī)上也不能實(shí)現(xiàn)。若a與n是2個(gè)互素的正整數(shù)，則aφ(n)三1(modn)其中：Φ(n)為歐拉函數(shù)，是與n互素且不大于n的正整數(shù)的個(gè)數(shù)。設(shè)計(jì)(產(chǎn)生)密鑰，設(shè)計(jì)密文，恢復(fù)明文A.設(shè)計(jì)密鑰：RSA算法的一對(duì)密鑰有三個(gè)基本成分：公鑰為<e,n>,私鑰為<d,n>密鑰設(shè)計(jì)就是要確定出n,e,d的值，其方法如下：①選取兩個(gè)隨機(jī)大素?cái)?shù)p和q(保密)③計(jì)算中(n)=(p-1)*(q-1)(保密)④選取與中(n)互素的正整數(shù)e。即滿足gcd(Φ(n⑤計(jì)算d,使?jié)M足ed=1(mod中(n))名師精編優(yōu)秀教案則公鑰為<e,n>,私鑰為<d,n>(保密)B.設(shè)計(jì)密文：把要發(fā)送的明文信息M數(shù)字化，分塊后加密，其加密過程為C=Me(modn)C.恢復(fù)文明：對(duì)接收列的密文C進(jìn)行解密，其解密過程為M三Cd(modn)A.設(shè)計(jì)密鑰：取p=5,q=11(保密)則n=p*q=5*11=55中(n)=(p-1)(q-1)=(5-1)11-1)=40(保密)計(jì)算d:1(mod中(n)),有3d=1(mod,40)得d=27故公鑰為<e,n>=<3,55>設(shè)編碼方式為：空格=00;A=01;B=02;H=08;I=09;Z=26則數(shù)字化的明文信息M=08,09用公鑰〈3,55〉將明文加密成密文，由C=Me(modn)故得到相應(yīng)的密文信息C為17,14用戶B收到密文C后，用M=Cd(modn)解密故得到數(shù)字化的原文信息為08,09轉(zhuǎn)換為原文即得“HI”合應(yīng)用2048bit的n。768位n在2004年運(yùn)算時(shí)間104天74年Ay名師精編優(yōu)秀教案Ay3.8*109年(8)RSA算法應(yīng)用交換；RSA加密系統(tǒng)主要應(yīng)用于智能IC卡、網(wǎng)絡(luò)安全序品因DES的密鑰長(zhǎng)度只有56位，可利用軟、硬件實(shí)現(xiàn)高速處理；而RS涉及高次冪運(yùn)算和求模處理，用軟件實(shí)現(xiàn)處理速度明顯低于DES,常(2)在密鑰管理方面，RSA優(yōu)于DES(3)在安全性方面，RSA安全性都較好(4)在簽名和認(rèn)證方面，RSA能容易地進(jìn)行數(shù)字簽名和身份認(rèn)證數(shù)據(jù)通信之前，用DES方法對(duì)信息明文加密，同時(shí)用RSA方法對(duì)DES設(shè)發(fā)送方A(加密密鑰Kea,解密Kda)接收方B(加密密鑰Ked,解密Kdb)(1)發(fā)送方生成用于DES加密的密鑰k(2)發(fā)送方從密鑰服務(wù)中獲取接受方的RSA的公開加密密鑰ked名師精編優(yōu)秀教案(3)發(fā)送方生成需要簽名的信息，并用自己的RSA的解密密鑰(4)發(fā)送方用K加密明文和簽名的信息(即信息摘要),然后連(5)接收方接到C后，先用自己的Kdb解密出C中的DES密鑰K,再利用K解密出明文和簽名信息。(6)接收方用發(fā)送的公開密鑰Kea和自己的解密密鑰Kdb對(duì)簽名簽名信息發(fā)往發(fā)送方。(7)發(fā)送、接收雙方均刪除DES密鑰K(一個(gè)K只用一次，以提高Data的安全性)(1)加解密速度快。(因RSA只加密key,DES加密數(shù)據(jù)量大的明文)(3)具有簽名，認(rèn)證功能。(采用RSA通信雙方可將自己的數(shù)字簽名發(fā)給對(duì)方以供認(rèn)證)(4)密鑰管理方便，只需保密管理自己的RSA解密key,DES密名師精編優(yōu)秀教案小結(jié)鞏固課堂練習(xí)教材相關(guān)章節(jié)；相關(guān)網(wǎng)站及期刊雜志的相關(guān)內(nèi)容。名師精編優(yōu)秀教案第三章學(xué)時(shí)教學(xué)目的1.了解2.掌握復(fù)習(xí)提問二、教學(xué)引導(dǎo)(5')三、進(jìn)入本次課講授內(nèi)容(85′)教學(xué)提示：名師精編優(yōu)秀教案地方傳送到另一個(gè)地方時(shí))密鑰必須用其他的2)將一個(gè)密鑰分成兩部分，委托給2個(gè)不同的人3)通過保密性，完整性服務(wù)來保護(hù)。(如用RSA加密key)對(duì)稱加密密鑰)可采用RSA密鑰傳輸法和Diffie-Hellma密n鑰協(xié)議。者就可以成功地冒充A了替換為公鑰C 圖3.7公鑰被冒充示意圖A的數(shù)字證書中含有A的公鑰和識(shí)別符(如身份證號(hào)，ID號(hào)等A的數(shù)字證書存儲(chǔ)在CA,且B獲得CA的公鑰，B要獲得A的公鑰，則(1)B向CA請(qǐng)求A的數(shù)字證書。名師精編優(yōu)秀教案(3)B收到A的證書，并驗(yàn)證CA的簽名(4)A的證書中包含A的公鑰，則B得到一個(gè)經(jīng)過”公證”的A的公鑰這種方案依賴于CA的公鑰必須以一種安全的方式發(fā)布給用戶 請(qǐng)求A的證書返回A的證書附有CA簽名B的證書圖3.8通過CA獲得數(shù)字證書示意圖確認(rèn)文件已簽署了，因?yàn)樽约旱暮灻y以否認(rèn)；因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。2)數(shù)字簽名也能確認(rèn)以下兩點(diǎn)：信息是由簽名者發(fā)送的1)接收放能夠確認(rèn)或證實(shí)發(fā)送方的簽字，但不能偽造(R1-條件)2)發(fā)送方發(fā)出簽字的消息給接受方后，就不能再否認(rèn)它所簽發(fā)的消息(S-條件)3)接收方對(duì)收到的簽字消息不能否認(rèn)，即收?qǐng)?bào)認(rèn)證。(R2條件)程。(T條件)但數(shù)字簽名與書面文件簽名是有區(qū)別的：名師精編優(yōu)秀教案用以認(rèn)證報(bào)文來源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)2)發(fā)送者的身份認(rèn)證生該算法利用一組長(zhǎng)度是報(bào)文的比較數(shù)(n)兩倍的密鑰A來產(chǎn)生對(duì)簽名的驗(yàn)證信息，即隨機(jī)選擇2n個(gè)數(shù)C。(1)形成簽名名師精編優(yōu)秀教案后的簽名。(2)驗(yàn)證簽名若為1則為密鑰A的第i+1位，知道報(bào)文全部驗(yàn)密鑰。由于接收方具有發(fā)送方的驗(yàn)證信息C,然后可以利用得到的n個(gè)密鑰檢驗(yàn)驗(yàn)證信息，從而確認(rèn)報(bào)文是否是由發(fā)送方所發(fā)送的。其具體過程如下：明明文A明文數(shù)字簽名單向hash函明文數(shù)字簽名信息數(shù)字簽名摘要4私鑰A明文單向明文單向函數(shù)比較信息摘要明文數(shù)字簽名數(shù)字信息數(shù)字簽名摘要公鑰A圖3.9用hash函數(shù)進(jìn)行數(shù)字簽名名師精編優(yōu)秀教案2、盲簽名3、群簽名4、雙重?cái)?shù)字簽名小結(jié)鞏固課堂練習(xí)教材相關(guān)章節(jié)；講授、自學(xué)、啟講授、自學(xué)、啟復(fù)習(xí)提問實(shí)施步驟：一、組織教學(xué)、課前提問(5)二、教學(xué)引導(dǎo)(5)三、進(jìn)入本次課講授內(nèi)容(85')四、小結(jié)鞏固(重申教學(xué)目的、重點(diǎn)、難點(diǎn))(5)講授內(nèi)容：第四章數(shù)字證書教學(xué)提示：一、數(shù)字證書概述是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識(shí)別通信2、數(shù)字證書的作用(1)保密性(2)完整性(3)身份認(rèn)證(4)不可否認(rèn)性二、數(shù)字證書的格式——X.509證書(1)證書的版本信息(2)證書的序列號(hào)；唯一標(biāo)識(shí)名算法。(4)證書的發(fā)行機(jī)構(gòu)(6)證書所有人的名稱(7)證書所有人的公開密鑰名師精編優(yōu)秀教案t小結(jié)鞏固課堂練習(xí)教材相關(guān)章節(jié)；名師精編優(yōu)秀教案第五章學(xué)時(shí)教學(xué)目的1.了解2.掌握復(fù)習(xí)提問二、教學(xué)引導(dǎo)(5')三、進(jìn)入本次課講授內(nèi)容(85)密技術(shù)的廣泛應(yīng)用。)教學(xué)提示：3、PKI的主要功能備份密鑰1、CA組成結(jié)構(gòu)完整的CA系統(tǒng)不只有一個(gè)認(rèn)證中心，是由多個(gè)認(rèn)證中心共同組成的，用戶用戶用戶3、我國(guó)主要CA認(rèn)證中心名師精編優(yōu)秀教案小結(jié)鞏固課堂練習(xí)教材相關(guān)章節(jié)；相關(guān)網(wǎng)站及期刊雜志的相關(guān)內(nèi)容。名師精編優(yōu)秀教案學(xué)時(shí)教學(xué)目的1.了解2.掌握發(fā)式復(fù)習(xí)提問二、教學(xué)引導(dǎo)(5')三、進(jìn)入本次課講授內(nèi)容(85)pC名師精編優(yōu)秀教案從定義中可以看出，F(xiàn)irewall效地監(jiān)控內(nèi)部網(wǎng)和外部往之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。1)Firewal是網(wǎng)絡(luò)安全的屏障2)Firewal可I以強(qiáng)化網(wǎng)絡(luò)安全策略3)對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)1)定義：Firewall設(shè)計(jì)策略是對(duì)特定的Firewal,I定義完成服務(wù)訪問控制策略的規(guī)則。2)Firewall的設(shè)計(jì)策略(1)允許任何服務(wù)。除非被明確禁止。(2)禁止任何服務(wù)，除非被明確允許。根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署Firewal。I①在LAN內(nèi)的VLAN之間控制信息流向時(shí)加入Firewal。I②Interne與tInterne之間連接時(shí)加入Firewal。I③在WAN中，總部的LAN和各分支機(jī)構(gòu)連接時(shí)，一般通過公用網(wǎng)(如chinaDDN)等連接，需采用Firewall隔離VPN。則總部的LAN和分支機(jī)構(gòu)的LAN是通過Interne連t接的。需要各自安裝Firewal。I④在遠(yuǎn)程用戶撥號(hào)訪問時(shí)，加入虛擬專網(wǎng)。⑤利用一些Firewall軟件提供的負(fù)載平衡功能。ISP可在公用訪問FTP站點(diǎn)或發(fā)送SMTP電子郵件。但只允名師精編優(yōu)秀教案內(nèi)部網(wǎng)絡(luò)”。入析：這個(gè)訪問控制策略中規(guī)定了數(shù)據(jù)流向，允許說明內(nèi)容規(guī)定流向按信息的流向規(guī)定允許的傳輸行為例：由Internet傳入內(nèi)部網(wǎng)的信息或從內(nèi)部網(wǎng)發(fā)送到例：web訪問(HTTP)。文件傳輸協(xié)議(FTP)。簡(jiǎn)單文件傳輸協(xié)議(SMTP)有時(shí)除別定傳輸方向外還需要更詳細(xì)的說明。例：某公司可能允許入站的HTTP訪問，但只允許訪問某臺(tái)指定的計(jì)算機(jī)。相反，該公司可能只有一個(gè)部門需許多公司的某些業(yè)務(wù)只需要特定的人員完成特定的工作，而不想讓每個(gè)人都具有些訪問能力。例：公司的CFO可能需要通過Interne訪t問內(nèi)部網(wǎng)(因出差),這樣完成訪問控別策略的設(shè)備必須對(duì)每個(gè)人試圖訪問的人進(jìn)行授權(quán)檢查，保證只有CFO可以進(jìn)入。時(shí)間有時(shí)，公司需要對(duì)訪問進(jìn)行限制，只允許在一天中的某例：訪問策略中可以規(guī)定“內(nèi)部用戶只能在5:00PM和7:00AM之間訪問Internetwebserver公用/私用有時(shí)使用公共網(wǎng)絡(luò)(如Interne)t發(fā)中的傳輸是必須加密的。且希望保證對(duì)它的訪問總能得到回應(yīng)。則該公司可能會(huì)果有潛在客戶正在訪問web服務(wù)器時(shí)，內(nèi)部用戶的訪問被限制在某種帶寬范圍內(nèi)。當(dāng)該客戶訪問完畢時(shí)，內(nèi)部典型的訪問控制策略:允許通過增強(qiáng)認(rèn)證的用戶在必要的情況下從和服務(wù)。4I4名師精編優(yōu)秀教案基于包過濾的防火墻：包過濾Router,應(yīng)用層網(wǎng)關(guān)。(1)包過濾(PacketFilter,in也g稱分組過濾)技術(shù)PacketFilter技ing術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇。(2)包過濾Firewall過濾一般是基于一個(gè)IP分組的下列各字段進(jìn)行的：源IP,目的IP,TCP/UDP源端口(或服務(wù)類型),TCP/UDP目的端口(或服務(wù)類型)。高層高層過濾規(guī)則 網(wǎng)絡(luò)層 鏈路層 物理層內(nèi)部網(wǎng)外部網(wǎng)圖4.2包過濾Firewall圖(3)包過濾Firewal特點(diǎn)2)應(yīng)用層網(wǎng)關(guān)析，登記，統(tǒng)計(jì)形成報(bào)告。被認(rèn)為絕對(duì)可信的服務(wù)才能通過Firewal。I3)代理Firewall解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)。名師精編優(yōu)秀教案 器請(qǐng)求客戶客戶機(jī)服務(wù)器應(yīng)用層的過濾規(guī)則相對(duì)于包過濾Router來說更容易配置和測(cè)試。提供代理服務(wù)的Firewal可I配置成唯一的可被外部看見的主機(jī)。安全審計(jì)功能。有限的連接性。使用不便。在安全性方面，代理Firewal要I優(yōu)于PacketFilteringFir。ew擔(dān)又I由于其代理速度慢，通用性和方便性較差。所以，在較完善的Firewall系統(tǒng)中，一般結(jié)合使用PacketFilterin技g術(shù)和代理技術(shù)。代理技術(shù)可以大大降低包過濾規(guī)則的復(fù)雜度，是包過濾技術(shù)的重要補(bǔ)充。包過濾r圖4.4應(yīng)用型防火墻配置示意圖(2)特點(diǎn)缺點(diǎn)：(3)當(dāng)前，幾乎所有的包過濾裝置都按如下方式操作：b.當(dāng)一個(gè)分組到達(dá)過濾端口時(shí)，將對(duì)分組的頭部進(jìn)行分析，大C.分組過濾規(guī)則按一定的身份存貯，當(dāng)一個(gè)分組到達(dá)時(shí)，將按f.如果一個(gè)分組不滿足任何規(guī)則，則該分組被阻塞。一個(gè)分組過濾規(guī)則排序有錯(cuò)，就有可能拒絕進(jìn)行某些合法的訪問，而允許2)應(yīng)用型Firewall的配置與實(shí)現(xiàn)。又稱雙穴主機(jī)網(wǎng)關(guān)(雙宿主網(wǎng)關(guān))。使用雙宿主主機(jī)實(shí)現(xiàn)。雙宿主網(wǎng)關(guān)(1)原理雙宿主主機(jī)：是一臺(tái)有2塊網(wǎng)卡的計(jì)算機(jī)。每一塊網(wǎng)卡有一個(gè)IP地址。這2塊網(wǎng)卡分別與內(nèi)，外部網(wǎng)絡(luò)相連。如果Interne上t的一臺(tái)計(jì)算機(jī)通信，它必須與雙宿主主機(jī)上能“看到”的IP地址(即網(wǎng)卡2)聯(lián)系，Proxyserve注：在建立雙宿主機(jī)時(shí)，應(yīng)關(guān)閉所配的Router能力。否則從一塊網(wǎng)卡網(wǎng)網(wǎng)卡1卡2網(wǎng)網(wǎng)卡1卡2雙宿主機(jī)圖4.4應(yīng)用型防火墻配置示意圖(2)特點(diǎn)：缺點(diǎn)：這種Firewall只采用雙宿主網(wǎng)關(guān)一個(gè)部件。一旦入侵者侵入該雙了2道屏障。既實(shí)現(xiàn)了應(yīng)用層安全(代理服務(wù))。(1)原理被允許的通信傳送到受保護(hù)的網(wǎng)絡(luò)上。在這種情況下，應(yīng)用層網(wǎng)關(guān)只有一保壘主機(jī)應(yīng)用型應(yīng)用型圖4.5屏蔽主機(jī)防火墻配置示意圖(2)特點(diǎn)缺點(diǎn)：名師精編優(yōu)秀教案Proxyserve直r接與Router建立聯(lián)系。的子網(wǎng)。這個(gè)子網(wǎng)分別用2個(gè)包過濾Rout(1)原理優(yōu)點(diǎn)：安全性高。具有很強(qiáng)的抗攻擊能力。缺點(diǎn)：它要求的設(shè)備和軟件模塊最多，其配置貴且相當(dāng)復(fù)雜。t屏蔽子網(wǎng)屏蔽子網(wǎng)內(nèi)部包應(yīng)用型圖4.6屏蔽子網(wǎng)防火墻配置示意圖內(nèi)部網(wǎng)絡(luò)安全，將Webserver置于Firewa名師精編優(yōu)秀教案③虛擬企業(yè)網(wǎng)絡(luò)(VPN)小結(jié)鞏固課堂練習(xí)教材相關(guān)章節(jié)；名師精編優(yōu)秀教案第六章Internet安全協(xié)議——SET協(xié)議學(xué)時(shí)教學(xué)目的1.了解2.掌握復(fù)習(xí)提問二、教學(xué)引導(dǎo)(5')三、進(jìn)入本次課講授內(nèi)容(85)教學(xué)提示：名師精編優(yōu)秀教案⑤支付由收單銀是交易各人行(即為每一個(gè)建立賬戶的顧客頒發(fā)付款卡)責(zé)處理信用卡的發(fā)放，賬目管理，付款清算的金融機(jī)絡(luò)購物的電子商店，或提供電子交易服務(wù)的企業(yè)組織。行網(wǎng)關(guān)機(jī)構(gòu)協(xié)議的模型(SET協(xié)議的支付模型)發(fā)卡行商家銀行即收單行①開戶認(rèn)證認(rèn)證認(rèn)證機(jī)構(gòu)認(rèn)證用戶 業(yè)務(wù)服務(wù)器即商家數(shù)字簽名加密①首先，用戶在銀行開立信用卡帳戶，獲得信用要有用戶的數(shù)字簽名并加密，使商家無法看到用戶的帳戶信息)③商家收到訂但后，向發(fā)卡行請(qǐng)求支付認(rèn)可，發(fā)交易，并向商家返回確認(rèn)信息.④商家發(fā)送訂單確認(rèn)信息給用戶，并發(fā)貨給用戶⑤商家請(qǐng)示銀行支付貨款，銀行將貸款由用戶的帳戶轉(zhuǎn)移到商家的帳戶。名師精編優(yōu)秀教案2、SET交易流程①持卡人在商家的Web主頁上查看在線商品目錄瀏覽商②持卡人選擇要購買的商品⑥商家接受訂單后，向持卡人的金融機(jī)構(gòu)請(qǐng)求支到銀行。再得到發(fā)卡行確認(rèn)，批準(zhǔn)交易，然后返回確認(rèn)信息給商⑦商家發(fā)送訂單確認(rèn)信息給顧客，顧客端軟件可記錄交易日志，以到此，一個(gè)購買過程完成。⑨商家從持卡人的金融機(jī)構(gòu)請(qǐng)求支付。在認(rèn)證操作和支付操作中間一般會(huì)有一個(gè)時(shí)間間隔，例如：在每天下班前請(qǐng)求銀行結(jié)一天的賬.第1步至第3步與SET無關(guān)，第4步開始SET起作用。一直到第9都有明確的規(guī)定。在操作中的每一步，持卡人，商家，網(wǎng)關(guān)都通過CA來驗(yàn)證通信主體的身份。確保通信的對(duì)方不是假冒頂替。持卡人1.確認(rèn)商家的合法性商家收單銀行6.訂單確認(rèn)、完成交易名師精編優(yōu)秀教案3、SET的相關(guān)技術(shù)DES、RSA、數(shù)字簽名(用發(fā)送者私鑰加密后附在原文后(用接收者的公鑰加密后附在原數(shù)據(jù)后一起發(fā)送),信息摘要。信息摘要：確保信息完整性。雙重簽名：是SET推出的數(shù)字簽名的新應(yīng)功能：完整性、真實(shí)性、不可否認(rèn)性M單向信息摘hash要1函數(shù)比較數(shù)字簽信息摘名要2信息摘要數(shù)字簽名名師精編優(yōu)秀教案息密文 KK K功能：商家只能看到訂單信息，銀行只能看到付款信息，即將支付信息和訂單信息分開的同時(shí)，保證這些信息的完整性、不可否認(rèn)性、身份認(rèn)訂單信息(訂單信息(OI)付款指示(PI)訂單摘要H(OI)付款指示 摘要H(PI) OP摘要H(OP) 雙重簽名Sign(H(OP))名師精編優(yōu)秀教案消費(fèi)者發(fā)送給銀行的信息為付款信息PI、訂單信息摘要H(PI)和雙重簽名Sign(H(OP