【正文】 區(qū)”網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。 屏蔽子網(wǎng)體系 的最簡單的形式是防火墻為兩個屏蔽路由器 ， 每一個都連接到虛擬的內(nèi)部網(wǎng)即周邊網(wǎng) 。 就像電線一樣 ，只是在內(nèi)部連接和外部連接之間來回拷貝數(shù)據(jù) 。 這樣使得防火墻即能方便內(nèi)部用戶 ， 又能保證內(nèi)部網(wǎng)絡(luò)免于外部攻擊 。 它的優(yōu)點是堡壘主機可以被設(shè)置成混合網(wǎng)關(guān) 。 2022/10/23 揚州大學管理學院 ? 連遠強 64 電路層網(wǎng)關(guān)是一個特殊構(gòu)件 ， 它可以由應(yīng)用層網(wǎng)關(guān)來實現(xiàn) 。 屏蔽子網(wǎng)體系 增加額外的安全層到被屏蔽的主機體系中 ， 即通過添加虛擬的內(nèi)部網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔開 。 但如果用戶要訪問 Intra中的信息時 ， 則需通過外部和內(nèi)部路由器后 ， 再去訪問堡壘主機 ， 然后再通過主機訪問 Intra。 它是在內(nèi)部網(wǎng)和外部網(wǎng)之間設(shè)立一個被隔離的小型的獨立子網(wǎng) ， 并可將向 Inter上的用戶提供的部分信息放到該子網(wǎng)中 。這個防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，因為它實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。 與前面的雙穴主機網(wǎng)關(guān)相似 ， 也是在堡壘主機上運行防火墻軟件 。 例如外部網(wǎng)絡(luò)的 A數(shù)據(jù)包通過防火墻后則變成了 A’數(shù)據(jù)包 ， 內(nèi)部網(wǎng)絡(luò)的 B數(shù)據(jù)包通過防火墻后就變成了 B’數(shù)據(jù)包 。兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。 應(yīng)用級防火墻 2022/10/23 揚州大學管理學院 ? 連遠強 58 雙穴主機網(wǎng)關(guān)的結(jié)構(gòu)如下圖所示 。代理主機對其進行認證，控制進出，并進行審計追蹤。 如： Tel Proxy負責 Tel在防火墻的轉(zhuǎn)發(fā)； HTTP Proxy負責 WWW； FTP Proxy負責 FTP等 。 防火墻雖然可以防止來自外部的入侵 ， 但不能防止來自內(nèi)部人員的破壞 。 僅局限于網(wǎng)絡(luò)層和傳輸層實現(xiàn)的包過濾技術(shù) ，只在網(wǎng)絡(luò)層和傳輸層對數(shù)據(jù)進行識別和處理 ， 對高層的協(xié)議和信息沒有識別和處理的能力 ， 這就使得它對通過高層進行的侵襲無防范能力 。包頭信息中包括 IP源地址、內(nèi)裝協(xié)議、TCP/UDP目標端口、 ICMP消息類型等。 復(fù)合型的防火墻系統(tǒng) 是由路由器和代理服務(wù)器相結(jié)合形成的 。 代理服務(wù)器 則是通過執(zhí)行特殊的 TCP/IP協(xié)議來為內(nèi)部網(wǎng)用戶提供Inter服務(wù) 。 (2) 防火墻的功能 防火墻系統(tǒng)可以保護計算機免受以下幾類攻擊：未經(jīng)授權(quán)的內(nèi)部訪問 、 危害證明 、 未經(jīng)授權(quán)的外部訪問 、 電子欺騙 、 特洛伊木馬 、 滲透 、泛洪 。 Microsoft將在 IE瀏覽器中應(yīng)用這一技術(shù) 。 而 S—MIME是在 MIME基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議 。 ? 它可以用在系統(tǒng)的局部 2022/10/23 揚州大學管理學院 ? 連遠強 49 安全超文本傳輸協(xié)議是在 Inter上廣泛使用的超文本傳輸協(xié)議 HTTP中 ，增加了安全特性的一種協(xié)議 。 2022/10/23 揚州大學管理學院 ? 連遠強 45 客戶商家服務(wù)器$銀行支付網(wǎng)關(guān)發(fā)卡機構(gòu)Inter信息瀏覽訂單/支付信息處理訂單/支付信息結(jié)算和支付信息支付和授權(quán)信息確認授權(quán)商品和服務(wù)信息發(fā)布/訂單處理/支付管理/貨款結(jié)算付款卡管理和確認信息瀏覽訂單/支付信息處理協(xié)議轉(zhuǎn)換和數(shù)據(jù)接口安全及鑒別管理應(yīng)用 SET的網(wǎng)上購物流 2022/10/23 揚州大學管理學院 ? 連遠強 46 4$541. 商品和服務(wù)信息2. 定單和注冊了的PIN商家服務(wù)器發(fā)卡機構(gòu)銀行客戶第三方處理機構(gòu)3 ．請求PIN資金驗證付款授權(quán)6 . 請求信用卡資金驗證和付款授權(quán)7. 證實和結(jié)算8. 授權(quán)對帳129. 授權(quán)授權(quán)11. 進行交易請求付款信息確認確認付款信息10電子支付方式 2022/10/23 揚州大學管理學院 ? 連遠強 47 SSL和 SET協(xié)議的比較 SET與 SSL相比具有如下優(yōu)點 ： ? （ 1） SET為商家提供了保護自己的手段，使商家免受欺詐的困擾，使商家的運營成本降低。 （ 7） 商家收到購物者開戶銀行批準交易的通知 。 商家的服務(wù)器將 SET加密的交易信息連同訂單副本一齊轉(zhuǎn)發(fā)給結(jié)算卡處理中心 。 （ 2） 購物者選擇用 SET方式進行付款 。 商家 :商家是商品或服務(wù)的提供者 ， 接受在線支付的商家必須與銀行建立一系列必要的關(guān)系 。 提供交易者的身份認證和擔保 :持卡人 、 商家和銀行等交易者通過第三方權(quán)威機構(gòu)的身份認證服務(wù) ， 確定通信各方的身份 。 在 SET中采用了雙重簽名技術(shù)，支付信息和訂單信息是分別簽署的，這樣保證了商家看不到支付信息，而只能看到訂單信息。用戶單擊 “ 確定 ” 鍵即進入安全連接。 2022/10/23 揚州大學管理學院 ? 連遠強 36 實現(xiàn) SSL協(xié)議的是 HTTP的安全版，名為 HTTPS。 2022/10/23 揚州大學管理學院 ? 連遠強 35 SSL協(xié)議的 工作流程 是： ? SSL客戶端 （ 也是 TCP客戶端 ） 在 TCP連接建立后 ，發(fā)出一個消息 ， 該消息中包含了 SSL可實現(xiàn)的算法列表和其它一些必要的消息 。 在開始交換的信息中 ， 雙方確定將使用的安全級別并交換數(shù)字證書 。 ◆ 基于個人擁有物的身份認證：個人擁有物可以是圖章 、 IC卡 、 身份證 （ 護照 ） 等 。 數(shù)字證書有以下的作用：證明在電子商務(wù)或信息交換中參與者的身份；授權(quán)進入保密的信息資源庫；提供網(wǎng)上發(fā)送信息的不可否認性的依據(jù)；驗證網(wǎng)上交換信息的完整性 。 時間戳是一個經(jīng)加密后形成的憑證文檔 ， 它包括三部分： ? 需加時間戳的文本的摘要 （ Digest） ? DTS收到文件的日期和時間 ? DTS的數(shù)字簽名 數(shù)字時間戳產(chǎn)生的過程是：用戶將需要加上時間戳的文件用 Hash編碼加密形成摘要后 ， 將摘要發(fā)送到 DTS， 由 DTS在加入了收到文件摘要的日期和時間信息后 ，再對該文件加上數(shù)字簽名 ， 然后發(fā)回給用戶 。發(fā)送方用自己的私鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。 接收者只有用發(fā)送者的公鑰才能解密被加密的摘要 。 發(fā)送端將消息和摘要一同發(fā)送 。 明文 對稱 密鑰 加密 密文 加密 經(jīng)加密的 對稱密鑰 公開密鑰 B 密文 經(jīng)加密的 對稱密鑰 私人密鑰 B 解密 對稱 密鑰 解密 明文 發(fā)送方 A 接收方 B 2022/10/23 揚州大學管理學院 ? 連遠強 24 (2)數(shù)字摘要 Digital Digest 數(shù)字摘要技術(shù)是采用安全 Hash編碼法 （ Secure Hash Algorithm， SHA） 對明文中若干重要元素進行某種交換運算得到一串 128bit的密文 ， 這串密文也稱為 數(shù)字指紋 Finger Print， 又稱信息鑒別碼 （ MAC， Message Authenticator Code） 。 ? 采用口令字技術(shù)或公開密鑰技術(shù)進行身份認證 。另一方面由于身份證書都攜帶著證書持有者的公鑰。 加密過程為將明文 M的 3次方模 33得到密文 C， 解密過程為將密文 C 的 7次方模 33得到明文 。 RSA的算法如下： ① 選取兩個足夠大的質(zhì)數(shù) P和 Q ； ② 計算 P和 Q相乘所產(chǎn)生的乘積 n ＝ P Q； ③ 找出一個小于 n的數(shù) e ， 使其符合與 （ P－ 1） （ Q － 1） 互為質(zhì)數(shù)； ④ 另找一個數(shù) d， 使其滿足 （ e d） MOD［（ P－ 1） （ Q－ l）］ ＝ 1其中 MOD（ 模 ）為相除取余； (n， e)即為公鑰； （ n， d） 為私鑰 。 RSA算法依據(jù)著名的歐拉定理： 根據(jù)現(xiàn)在已知的結(jié)果 ， 因子分解 n的復(fù)雜性為： 若 n為 200位 10進制數(shù) ， 則用每秒 107次運算的超高速計算機 ， 也要 108年才能得到計算結(jié)果 ,目前為止還沒有出現(xiàn)新的攻擊 RSA的算法 。 * 可以實現(xiàn)數(shù)字簽名和數(shù)字鑒別 。 網(wǎng)絡(luò)中的每一用戶只需保存自己的解密密鑰 ， n個用戶僅需產(chǎn)生 n對密鑰 。 (Digital Signature Algorithm, DSA)。 另一個由用戶安全擁有 ， 即秘密密鑰 ， 用于解密 。迭代數(shù)為 8輪的迭代型密碼體制。 如果發(fā)信者與收信人是素不相識的 ， 這就無法向?qū)Ψ桨l(fā)送秘密信息了 。SHA1是流行的用于創(chuàng)建數(shù)字簽名的單向散列算法 。MD5設(shè)計經(jīng)過優(yōu)化以用于 Intel處理器 。 散列算法是單向函數(shù) ， 即無法根據(jù)散列值得到原消息 。在不掌握密鑰時，第三者縱然截獲了密文 C，仍無法獲得明文 m。 ? 對稱式密鑰加密技術(shù) ：密碼體制所用的加密密鑰和解密密鑰相同 。 ? 解密 （ Decipher） :其逆過程把密文變換成明文的過程 。 在線服務(wù) ：用企業(yè)提供的內(nèi)部網(wǎng)來提供聯(lián)機服務(wù) 。 8848：店門