【正文】 個(gè)可以替代手跡簽名的系統(tǒng)必須滿足以下三個(gè)條件： ① 接收方通過文件中的簽名能認(rèn)證發(fā)送方的身份； ② 發(fā)送方以后不能否認(rèn)發(fā)送過簽名文件； ③ 接收方不可能偽造文件內(nèi)容。 驗(yàn)證 ? 當(dāng)過后 A試圖否認(rèn)給 B發(fā)過報(bào)文 P時(shí)， B可以出示 KCA（ A， t， P）來證明 A確實(shí)發(fā)過 P， 因?yàn)?B自己無法偽造出KCA（ A， t， P），它是由 CA發(fā)來的，而 CA是可以信賴的，如果 A沒有給 CA發(fā)過 P， CA就不會(huì)將 P發(fā)給 B，這只要用 KCA對(duì) KCA（ A， t， P）進(jìn)行解密，一切就可真相大白。 ? 這個(gè)假設(shè)是可能的，因?yàn)?RSA算法就具有這樣的特性。 ? 首先只有 DA仍然是秘密的， B才能證明 A確實(shí)發(fā)送過 DA（P） ，如果 A試圖否認(rèn)這一點(diǎn)，他只需公開他的私人密鑰，并聲稱他的私人密鑰被盜了，這樣任何人包括 B都有可能發(fā)送 DA（ P） ； ? 其次是 A改變了他的私人密鑰，出于安全因素的考慮，這種做法顯然是無可非議的，但這時(shí)如果發(fā)生糾紛的話，裁決人用新的 EA去解老的 DA（ P） ，就會(huì)置 B于非常不利的地位。 報(bào)文摘要 CA KCA（ A， t， MD（ P）） 報(bào)文摘要 公開密鑰密碼系統(tǒng) ? 在公開密鑰密碼系統(tǒng)中，使用報(bào)文摘要進(jìn)行數(shù)字簽名的過程如圖所示。 ? 通常，部署防火墻的理由包括： ? 防止入侵者干擾內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行； ? 防止入侵者刪除或修改存儲(chǔ)再內(nèi)部網(wǎng)絡(luò)中的信息； ? 防止入侵者偷竊內(nèi)部的秘密信息。 內(nèi)部網(wǎng)需要防范的三種攻擊 ? 間諜、試圖偷走敏感信息的黑客、入侵者和闖入者。 ? 該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與之相連的網(wǎng)絡(luò)之間的路由器，并能夠在網(wǎng)絡(luò)之間轉(zhuǎn)發(fā) IP數(shù)據(jù)包。 主機(jī)過濾體系結(jié)構(gòu) ? 在主機(jī)過濾體系結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)相連。 參數(shù)網(wǎng)絡(luò) ? 參數(shù)網(wǎng)絡(luò)是在內(nèi)外部網(wǎng)之間另加的一層安全保護(hù)網(wǎng)絡(luò)層。 堡壘主機(jī) ? 在子網(wǎng)過濾結(jié)構(gòu)中，堡壘主機(jī)與參數(shù)網(wǎng)絡(luò)相連，而這臺(tái)主機(jī)是外部網(wǎng)服務(wù)于內(nèi)部網(wǎng)的主節(jié)點(diǎn)。 ? 內(nèi)部路由器完成防火墻的大部分包過濾工作，它允許某些站點(diǎn)的包過濾系統(tǒng)認(rèn)為符合安全規(guī)則的服務(wù)在內(nèi)外部網(wǎng)之間互傳。 ? 外部路由器的包過濾主要是對(duì)參數(shù)網(wǎng)絡(luò)上的主機(jī)提供保護(hù)。 堡壘主機(jī)的安全防護(hù) 堡壘主機(jī)目前一般有以下三種類型： 1. 無路由雙宿主主機(jī) 2. 犧牲主機(jī) 3. 內(nèi)部堡壘主機(jī) 堡壘主機(jī)應(yīng)提供的服務(wù)類型 （ 1）無風(fēng)險(xiǎn)服務(wù)，僅僅通過包過濾便可實(shí)施的服務(wù)。 壁壘主機(jī)應(yīng)提供的具體服務(wù) ① FTP：文件傳輸服務(wù)； ② WAIS ：基于關(guān)鍵字的信息瀏覽服務(wù)； ③ HTTP ：超文本方式的信息瀏覽服務(wù)； ④ NNTP ： Use新聞組服務(wù)； ⑤ Gopher ：菜單驅(qū)動(dòng)的信息瀏覽服務(wù)； 6) SMTP ：電子郵件服務(wù)； 7) DNS ：域名服務(wù)。 （ 4）根據(jù)最終需要重新配置機(jī)器。 （ 2）應(yīng)該認(rèn)真對(duì)待每一條從計(jì)算機(jī)緊急救援協(xié)作中心獲得的針對(duì)用戶目前工作平臺(tái)的安全建議。 防火墻類型 1）從軟、硬件形式上分為：軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。 5）按防火墻性能分為：百兆級(jí)防火墻和千兆級(jí)防火墻兩類。 包過濾的優(yōu)點(diǎn) ? 簡(jiǎn)單、易于實(shí)現(xiàn)、對(duì)用戶透明、路由器免費(fèi)提供此功能。 以上這些缺點(diǎn)使得包過濾技術(shù)通常不單獨(dú)使用，而是作為其他安全技術(shù)的一種補(bǔ)充。在這個(gè)例子中， SMTP使用的網(wǎng)絡(luò)安全策略必須翻譯成包過濾規(guī)則。其中星號(hào)（ *）表明它可以匹配該列的任何值。 ? 采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新條目。 代理服務(wù)器的工作 ? 代理服務(wù)器判斷從客戶端來的請(qǐng)求并決定哪些請(qǐng)求允許傳送而哪些應(yīng)被拒絕。 ? 發(fā)信代理，用于將郵件正確地放入本地主機(jī)郵箱中。 郵局協(xié)議（ POP）的代理特點(diǎn) ? 郵局協(xié)議（ POP）對(duì)于代理系統(tǒng)來說非常簡(jiǎn)單，因?yàn)樗捎脝蝹€(gè)連接。利用 DNS能夠轉(zhuǎn)發(fā)自身的特點(diǎn)，可以使一個(gè) DNS服務(wù)器成為另一個(gè) DNS服務(wù)器的代理。 （ 2）雙重 DNS。 第 10章 網(wǎng)絡(luò)安全 本章內(nèi)容 網(wǎng)絡(luò)安全基本概念 信息安全技術(shù) 防火墻技術(shù) 網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒 ? 什么是計(jì)算機(jī)病毒 ? ? 計(jì)算機(jī)病毒是一種 “計(jì)算機(jī)程序 ”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播、感染到其他系統(tǒng)。 ? “宏病毒 ”，就是利用宏命令編寫成的具有復(fù)制、傳染能力的宏。病毒宏將自身復(fù)制到 Word通用（ Normal）模板中，以后在打開或關(guān)閉文件時(shí)宏病毒就會(huì)把病毒復(fù)制到該文件中。 宏病毒的防治和清除方法 ? （ 1）使用選項(xiàng) “提示保存 Normal模板 ” ? （ 2）不要通過 Shift鍵來禁止運(yùn)行自動(dòng)宏 ? （ 3）查看宏代碼并刪除 ? （ 4）使用 DisableAutoMacros宏 ? （ 5）使用 Word的報(bào)警設(shè)置 ? （ 6）設(shè)置 ? （ 7） 病毒入侵網(wǎng)絡(luò)的途徑 ? 病毒入侵網(wǎng)絡(luò)的途徑主要有兩種 ： 局域網(wǎng) 因特網(wǎng) 局域網(wǎng)方面 ? 病毒入侵局域網(wǎng)的主要途徑是通過工作站傳播到服務(wù)器硬盤，再由服務(wù)器的共享目錄傳播到其他工作站。 ? 較為成熟的方案和產(chǎn)品有諾頓多層次病毒防御方案、 KV系列防病毒軟件、金山系列防病毒軟件和瑞星系列防病毒軟件等。 因特網(wǎng)方面 ? 主要有以下四類 ： 1）木馬病毒（ Trojan horse virus） 2）蠕蟲病毒（ Worm virus） 3）惡意軟件（ Malicious software） 4）電子郵件病毒 防治辦法 ? 通過采取技術(shù)上和管理上的措施，計(jì)算機(jī)病毒是完全可以防范的。 宏病毒特征 ? ④ 宏病毒中總是含有對(duì)文檔讀寫操作的宏命令。 宏病毒特征 ? ① 宏病毒會(huì)感染 .doc文檔和 .dot模板文件。 計(jì)算機(jī)病毒分類 （ 1）文件病毒 （ 2）引導(dǎo)扇區(qū)病毒 （ 3）多裂變病毒 （ 4）秘密病毒 （ 5）變異病毒 （ 6）宏病毒 宏病毒及網(wǎng)絡(luò)病毒 ? 宏病毒 ? 宏是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動(dòng)作而設(shè)計(jì)出來的一種工具。 （ 4）病毒掃描功能。在不支持動(dòng)態(tài)連接的機(jī)器上，使用 DNS的修改客戶程序的代理需要重新編譯網(wǎng)絡(luò)中使用的每個(gè)程序。 文件傳輸 FTP ? 兩個(gè)端口 ? 反向方式 ? 遠(yuǎn)程登錄（ Tel）、存儲(chǔ)轉(zhuǎn)發(fā)協(xié)議（ NNTP）、超文本傳輸協(xié)議（ HTTP）都可以很好的支持代理的方案。 簡(jiǎn)單郵件傳輸協(xié)議（ SMTP）的代理特點(diǎn) ? 由于任何一個(gè) SMTP服務(wù)器都有可能為其它站點(diǎn)進(jìn)行郵件轉(zhuǎn)發(fā)，因而很少將它設(shè)置成一個(gè)單獨(dú)的代理。 代理的工作過程 代理型防火墻版本 ? 第一代：應(yīng)用網(wǎng)關(guān)型代理防火 ? 第二代：自適應(yīng)代理防火墻。其特點(diǎn)是完全 “阻隔 ”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。如果一個(gè)包不與任何規(guī)則匹配，它就會(huì)遭到拒絕。 ? [過濾器規(guī)則 2]：允許與郵件網(wǎng)關(guān) MailGW的連接。 ? 下面給出將有關(guān)服務(wù)翻譯成包過濾規(guī)則時(shí)非常重要的幾個(gè)概念。 包過濾的缺點(diǎn) ? 編制邏輯上嚴(yán)密無漏洞的包過濾規(guī)則比較困難，對(duì)編制好的規(guī)則進(jìn)行測(cè)試維護(hù)也較麻煩。 ? 包過濾防火墻通常是放置在因特網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間的一個(gè)具備包過濾功能的簡(jiǎn)單路由器，這是因?yàn)榘^濾是路由器的固有屬性。 3）從防火墻結(jié)構(gòu)分為：?jiǎn)我恢?