【文章內容簡介】 湊函數）概念：其輸入為一個可變長輸入 x，返回一個固定長度串，該串h被稱為輸入 X的散列值（或消息摘要），記作 h=H(X)。 （ 2）基本要求： 輸入 X可以為任意長度 輸出數據串長度固定 6. 信息摘要 (散列函數 ) 易計算，給定任何 X，容易算出 H（ X） 單向函數，即給定一個散列值 h,很難反向計算出輸入 x,使 h=H(X) 唯一性，又稱為沖突性，很難找出任意兩條消息 x,y滿足關系式 H（ X） =H（ Y） 散列值的長度由算法類型決定，與被散列值的消息大小無關，一般為 128字節(jié)或 160字節(jié)。 散列值作為判定某一消息的完整性唯一 標識。 H as h 算法 原文 摘要 摘要 對比？ 原文 摘要 I n t e rn e t H as h 算法 發(fā)送方 接收方 圖 66 信息摘要過程 返回本節(jié) （ 3）應用 主要用于數據的完整性檢查。 6. 數字簽名 H as h 算法 原文 摘要 摘要 對比？ 原文 摘要 I n t e rn e t 發(fā)送方 接收方 H as h 算法 數字 簽名 發(fā)送者 私鑰加密 數字 簽名 發(fā)送者 公鑰解密 圖 67 數字簽名過程 返回本節(jié) 6. 數字時間戳 圖 68獲得數字時間戳的過程 H as h 算法 原文 摘要 1 加時間 數字 時間戳 I n t e rn e t 用 D T S 機構的私鑰加密 發(fā)送方 D T S 機構 H as h 算法 加了時間后的新摘要 摘要 1 摘 要 1 + 時間 數字 時間戳 返回本節(jié) 防止黑客入侵 1. 黑客的基本概念 2. 網絡黑客常用的攻擊手段 3. 防范黑客攻擊的主要技術手段 1. 黑客的基本概念 黑客 （ hacker），源于英語動詞 hack，分為駭客和竊客。 駭客只想引人注目，證明自己的能力，不會去破壞系統(tǒng)。他們追求的是從侵入行為本身獲得巨大的成功的滿足。 竊客的行為帶有強烈的目的性。主要是竊取國家情報、科研情報；也瞄準了銀行的資金和電子商務的整個交易過程。 2. 網絡黑客常用的攻擊手段 黑客首先通過進入系統(tǒng)的常用服務，或對網絡通信進行監(jiān)視，使用掃描工具獲取目標主機的有用信息。 和目標主機建立大量的連接。 向遠程主機發(fā)送大量的數據包。 利用即時消息功能，以極快的速度用無數的消息“轟炸”某個特定用戶。 利用網絡軟件在實現(xiàn)協(xié)議時的漏洞，向目標主機發(fā)送特定格式的數據包，從而導致主機癱瘓。 用戶就會在很短的時間內收到大量的電子郵件 ， 這樣使得用戶系統(tǒng)的正常業(yè)務不能開展 ， 系統(tǒng)功能喪失 ，嚴重時會使系統(tǒng)關機 ， 甚至使整個網絡癱瘓 。 如果 FTP服務器上的用戶權限設置不當或保密程度不好 ， 極易造成泄密事件 。 5. 計算機病毒 計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。黑客常常利用計算機病毒對目標主機進行攻擊。 IP欺騙是適用于 TCP/IP環(huán)境的一種復雜的技術攻擊，它偽造他人的源地址，讓一臺計算機來扮演另一臺計算機，借以達到蒙混過關的目的。 IP欺騙主要包括簡單的地址偽造和序列號預測兩種。 簡單的地址偽造是指黑客將自己的數據包的源地址改為其他主機的地址，然后發(fā)向目標主機，使目標主機無法正確找到數據包的來源。 序列號預測的攻擊方法是，黑客通過偽造 TCP序列號、修改數據包的源地址等方法，使數據包偽裝成來自被信任或正在通信的計算機，而被目標主機接收。 3. 防范黑客攻擊的主要技術手段 防范黑客的技術措施根據所選用的產品的不同，可以分為 7類：入侵檢測設備，訪問設備、瀏覽器 /服務器軟件、證書、商業(yè)軟件、防火墻和安全工具包 /軟件。 入侵檢測通過旁路監(jiān)聽的方式不間斷地收取網絡數據，對網絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警；不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內部的惡意行為 。 1）傳統(tǒng)防火墻 傳統(tǒng)防火墻的類型主要有三種：包過濾、應用層網關、電路層網關。 2） 新型防火墻 新型防火墻的設計目標是既有包過濾的功能，又能在應用層進行代理，能從數據鏈路層到應用層進行全方位安全處理。 新型防火墻的設計綜合了包過濾技術和代理技術，克服了二者在安全方面的缺陷；能夠從 TCP/IP協(xié)議的數據鏈路層一直到應用層施加全方位的控制。 圖 69 新型防火墻的系統(tǒng)構成 ? 新型防火墻的系統(tǒng)構成如圖 610所示。 數字證書與 CA認證 1． 數字證書 （ Digital Certificate 或 Digital ID） 數字證書采用公－私鑰密碼體制，每個用戶擁有一把僅為本人所掌握的私鑰，用它進行信息解密和數字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。數字證書可用于：發(fā)送安全電子郵件、訪問安全站點、網上證券交易、網上采購招標、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。 Globalsgin數字證書服務提供商 /parAL/ 2． 數字證書的內容 數字證書包括以下內容如圖 630~632所示 ： l 證書擁有者的姓名； l 證書擁有者的公鑰； l 公鑰的有限期； l 頒發(fā)數字證書的單位； l 頒發(fā)數字證書單位的數字簽名； l 數字證書的序列號等 。 CA（ Certificate Authority） （ 1） 認證中心的功能： 核發(fā)證書 、 管理證書 、搜索證書 、 驗證證書 （ 2） CA的樹形驗證結構 (如圖 612所示 ） 根 CA 南方電子商務中心（廣東 CA ） S o u t h e rn E l ec t ro n i c B u s i n e s s C en t e r C l as s B C A （湖北） H B E C A 證書 2 證書 3 證書 4 （海南） H N C A 證書 1 圖 612 CA的樹形結構 （ 3） 國內外 CA中心簡介 國外常見的 CA有 VeriSign、 GTE Cyber Trust、Thawte等 。 國內常見的 CA有 中國商務在線 l中國數字認證網 （ ），數字認證，數字簽名， CA認證， CA證書，數字證書，安全電子商務。 l北京數字證書認證中心 （ ） ， 為網上電子政務和電子商務活動提供數字證書服務 。 4． 數字證書的類型 數字證書主要有以下類型： （ 1） 個人數字證書 （ 2） 單位證書 （ 3） 軟件數字證書 （ 1） 下載并安裝根證書 （ 如圖 634~338所示 ） （ 2） 申請證書 （ 如圖 639~341所示 ） （ 3） 將個人身份信息連同證書序列號一并郵寄到中國數字認證網 下載根 CA圖 613 下載根證書（ 1） 圖 614 下載根證書（ 2） 圖 615安裝根證書（ 1） 圖 616 安裝根證書（ 2） 圖 617 查看根證書 我國電子商務認證機構的建設 ? 地區(qū)主管部門認為應以地區(qū)為中心建立認證中心 。 ? 行業(yè)主管部門認為應以行業(yè)為中心建立認證中心 。 ? 也有人提出建立幾個國家級行業(yè)安全認證中心 ， 形成一個認證網絡 ， 然后 ， 實行相互認證 。 ? 認證機構的建立 ， 應發(fā)揮政府與市場兩個方面的積極性 。從政府層面上 ， 全國應有國家級的 CA認證中心 ， 同時 ，在各行業(yè)設立橫向的職能認證機構 ， 在各地區(qū)設立縱向的分支認證機構 ， 從而形成類似于企業(yè)管理中的直線職能制結構 。 權威性原則、真實性原則、機密性原則、快捷性原則、經濟性原則。 電子商務交易主要涉及身份認證 、 資信認證 、 稅收認證 、 外貿認證 。 這四個方面形成了四個行業(yè)認證系統(tǒng) ，可以把它們叫做 “ 職能認證系統(tǒng) ” 。 在職能認證系統(tǒng)上面 ， 還需要有一個根認證系統(tǒng) ，即國家電子商務認證中心 ， 通管職能認證系統(tǒng) 。 國家認證中心可以在各省和直轄市設立相應的分支機構 ， 從而形成類似于管理上直線職能制組織結構的認證系統(tǒng) （ 參見圖 611） 。 圖 618 國家電子商務認證中心組織結構設想圖在職能認證系統(tǒng)