【正文】 者的公開密鑰進(jìn)行加密 ， 并將這兩者一起發(fā)送給接收者 。 生成數(shù)字摘要是單向算法 ， 不能被解密 。 若相同 ， 則說明收到的消息是完整的 ， 在傳輸過程中沒有被修改；否則 ， 就是被修改過 ， 不是原消息 ， 方法解決了信息的完整性問題 。 Hash簽名是最主要的數(shù)字簽名方法。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出 128比特的散列值（數(shù)字摘要），接著用發(fā)送方的公鑰來對報(bào)文附加的數(shù)字簽名解密。 數(shù)字時(shí)間戳的作用 （ 1） 數(shù)據(jù)文件加蓋的時(shí)間戳與存儲(chǔ)數(shù)據(jù)的物理媒體無關(guān) （ 2） 對已加蓋時(shí)間戳的文件不可能做絲毫改動(dòng) （ 即使僅 l bit） （ 3） 要想對某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同的時(shí)間戳是不可能的 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 28 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 29 (5)數(shù)字證書 Digital Certificate 數(shù)字證書是在網(wǎng)絡(luò)交易支付過程中 ， 用來標(biāo)志參與各方面身份信息的一系列數(shù)據(jù) ， 它的作用與現(xiàn)實(shí)生活中的身份證類似 。 口令認(rèn)證必須具備一個(gè)前提：請求認(rèn)證者必須有一個(gè) ID， 該 ID必須在認(rèn)證者的用戶數(shù)據(jù)庫 （ 該數(shù)據(jù)庫必須包括 ID和口令 ） 中是唯一的 。 3. 數(shù)據(jù)加密和身份認(rèn)證原理 用戶 B數(shù)字證書 用戶 A數(shù)字證書 加密 數(shù)字 信封 數(shù)字簽名 數(shù)字簽名 解密 密文 明文 明文 加密 Hash 加密 密文 A用戶 用戶 A的私有 簽名密鑰 數(shù)字簽名 對稱密鑰 + + 密文 解密 解密 用戶 A數(shù)字證書 數(shù)字簽名 明文 信息 摘要 信息 摘要 比 較 Hash + + 用戶 A的公開 簽名密鑰 用戶 B的私有 密鑰 B用戶 用戶 B的公開 簽名密鑰 對稱密鑰 對稱密鑰 + 對稱密鑰 信息 摘要 數(shù)字 信封 數(shù)字 信封 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 32 1. VeriSign () 2． BankGate CA() 3． BelSign NV—SA() 4． CertiSign Certificadora Digital Ltda () 5． GTE CyberTrust Solutions， Incorporated () 6． KeyWitness Canada() 7． Thawte Consulting() ① 中國數(shù)字認(rèn)證網(wǎng) （ ） ② 中國金融認(rèn)證中心 （ ） ③ 中國電子郵政安全證書管理中心 （ ） ④ 北京數(shù)字證書認(rèn)證中心 （ ） ⑤ 廣東省電子商務(wù)認(rèn)證中心 （ ） ⑥ 上海市電子商務(wù)安全證書管理中心有限公司 （ ） ⑦ 海南省電子商務(wù)認(rèn)證中心 （ ） ⑧ 天津 CA認(rèn)證中心 （ ) ⑨ 山東省 CA認(rèn)證中心 （ ） 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 33 安全技術(shù)協(xié)議 安全套接層協(xié)議 SSL(Secure Sockets Layer) 安全電子交易協(xié)議 SET(Secure Electronic Transaction) 安全交易技術(shù)協(xié)議 (STT) 安全超文本傳輸協(xié)議 (S—HTTP) 安全多功能因特網(wǎng)電子郵件擴(kuò)充協(xié)議 (S—MIME) 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 34 SSL(Secure Sockets Layer) 安全套接層協(xié)議 ， 是由 Netscape公司設(shè)計(jì)開發(fā)的 ， 該協(xié)議向基于 TCP/IP協(xié)議的客戶 /服務(wù)器應(yīng)用程序提供客戶端和服務(wù)器之間的安全連接技術(shù) 。 SSL支持的客戶機(jī)和服務(wù)器間的所有通訊都加密了 。 ? 客戶端在收到該消息后會(huì)生成一個(gè)秘密消息 ， 并利用 SSL服務(wù)器的公鑰加密后傳回服務(wù)器 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 38 這時(shí)瀏覽器發(fā)出安全警報(bào)，開始建立安全連接，參見下圖 1。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 40 當(dāng)加密方式傳送結(jié)束后，瀏覽器會(huì)離開交換敏感信息的頁面，自動(dòng)斷開安全連接。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 42 SET為電子貿(mào)易提供以下功能 信息的安全傳輸 :信息在 Intemet上得以安全傳輸 ， 保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊取 。在持卡人和商家的會(huì)話中 ， SET可以保證持卡人的個(gè)人賬號信息不被泄漏 。 支付網(wǎng)關(guān) :支付網(wǎng)關(guān)是由銀行操作的將 Inter上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部可識別的數(shù)據(jù)的設(shè)備，或由指派的第三方處理商家支付信息和顧客的支付指令。 （ 3） 對信用卡號碼使用銀行的公鑰進(jìn)行加密 （ 商家永遠(yuǎn)不會(huì)見到信用卡號碼 ） ， 用商家的公鑰加密 ， 生成 “ 數(shù)字信封 ” ， 將其發(fā)送給商家 。 認(rèn)證中心驗(yàn)證數(shù)字簽名是否屬于購物者 ， 并檢查購物者的信用額度 。 （ 8） 商家將訂單確認(rèn)信息通知購物者 ， 發(fā)送商品或完成訂購的服務(wù) 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 48 SET與 SSL相比具有如下優(yōu)點(diǎn) ： ? （ 3）銀行、發(fā)卡機(jī)構(gòu)以及各種信用卡組織來說，因?yàn)?SET可以幫助它們將業(yè)務(wù)擴(kuò)展到 Inter這個(gè)廣闊的空間，讓信用卡網(wǎng)上支付具有更低的欺騙概率，這使得它比其他支付方式具有更大的競爭力。 該協(xié)議向 WWW的應(yīng)用提供完整性 、 鑒別 、 不可抵賴性及機(jī)密性等安全措施 。 (STT) 安全交易技術(shù)協(xié)議是由 Microsoft公司提出來的 。它具有限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。 包過濾規(guī)則以 IP信息包為基礎(chǔ) ，對 IP報(bào)文中的源地址 、 IP目標(biāo)地址 、 封裝協(xié)議端口等進(jìn)行篩選 ， 由些決定是否權(quán)屏蔽此報(bào)文 。 另外 ， 代理服務(wù)器還提供了用戶級別的權(quán)限確認(rèn) ， 日志和審計(jì)服務(wù) 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 53 2. 防火墻技術(shù) (1)包過濾路由器（ Packet Filter） 數(shù)據(jù)包過濾（ Packet Filtering）技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表（ Access Control Table）。 ? 對于用戶和應(yīng)用透明 ， 無須改變使用習(xí)慣 。 包過濾器只是對未能通過檢查的數(shù)據(jù)包做簡單的刪除 ，但并不對該入侵?jǐn)?shù)據(jù)包的情況進(jìn)行記錄 ， 也不向系統(tǒng)匯報(bào) ， 從而不具有安全保障系統(tǒng)所要求的可審核性 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 55 (2)應(yīng)用層網(wǎng)關(guān) (Application Gateway) 應(yīng)用層網(wǎng)關(guān)防火墻能夠?qū)崿F(xiàn)比包過濾器更嚴(yán)格的安全策略 ， 它主要在應(yīng)用層網(wǎng)關(guān)上安裝公司代理軟件 （ Proxy） 來實(shí)現(xiàn) 。此子網(wǎng)有一個(gè)代理主機(jī)、一個(gè)路由器和一個(gè)較復(fù)雜的網(wǎng)關(guān)與內(nèi)部相連，另一個(gè)路由器和網(wǎng)關(guān)與外部相連。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 57 應(yīng)用級的防火墻是建立在應(yīng)用層網(wǎng)關(guān)基礎(chǔ)上的，它的三種常見類型 : ? 雙穴主機(jī)網(wǎng)關(guān) (Dual Homed Gateway) ? 屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway) ? 屏蔽子網(wǎng)網(wǎng)關(guān) (Screened Sub Gateway) 它們有一個(gè)共同點(diǎn)：即都需要有一臺(tái)主機(jī)，通常被稱為堡壘主機(jī) (Bastion Host)的機(jī)器來充當(dāng)應(yīng)用程序轉(zhuǎn)發(fā)者、通信登記和服務(wù)提供者的角色。 這種應(yīng)用層網(wǎng)關(guān)能有效地保護(hù)和屏蔽 Intra， 且所需的硬件設(shè)備較少 ， 容易驗(yàn)證其正確性 ， 因而是目前應(yīng)用得較多的一種防火墻；但堡壘主機(jī)容易受到攻擊 ， 它本身無法保護(hù)自己 ， 一旦受破壞 ， 實(shí)際上就變成一臺(tái)沒有尋址功能的路由器 ， 一個(gè)有經(jīng)驗(yàn)的攻擊者就能使它尋址而使受保護(hù)網(wǎng)完成開放 。 NIC 代理 服務(wù)器 NIC Inter 內(nèi)部網(wǎng)絡(luò) 雙重宿主主機(jī)需要細(xì)細(xì)驗(yàn)看所通過的數(shù)據(jù)包的內(nèi)容 ， 并將其改頭換面重新包裝 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 60 它是綜合了包過濾器和雙穴主機(jī)網(wǎng)關(guān)兩種結(jié)構(gòu)而成的 ， 為了保護(hù)堡壘主機(jī) ， 而將它置入被保護(hù)網(wǎng)的范圍中 ， 也即在堡壘主機(jī)與 Inter之間增設(shè)一個(gè)屏蔽路由器 (Screened Router)。 2）屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway) 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 61 屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。因此堡壘主機(jī)需要擁有高等級的安全 。 具體的做法是在子網(wǎng)與 Inter之間設(shè)置一個(gè)外部路由器來對子網(wǎng)進(jìn)行保護(hù) ， 子網(wǎng)到Intra之間采用屏蔽主機(jī)網(wǎng)關(guān)對 Intra進(jìn)行保護(hù) 。這個(gè)防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，因?yàn)樵诙x了“非軍事