【導(dǎo)讀】阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。防火墻是一種被動(dòng)防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，絡(luò)服務(wù)種類相對集中的單一網(wǎng)絡(luò)。作為Inter網(wǎng)的安全性保護(hù)軟件，F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)。安全，在企業(yè)網(wǎng)和Inter間設(shè)立FireWall軟件。企業(yè)信息系統(tǒng)對于來自Inter的訪問，采取有選擇的接。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶，則可以通過設(shè)置使用FireWall過濾掉從該主機(jī)發(fā)。進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍?？梢园惭b在一臺主機(jī)上，保護(hù)這臺主機(jī)不受侵犯。真正意義下的防火墻有兩類：一類被稱為標(biāo)準(zhǔn)防火墻；一類叫雙家網(wǎng)關(guān)。工作站，該工作站的兩端各按一個(gè)路由器進(jìn)行緩沖。但卻能同時(shí)完成標(biāo)準(zhǔn)防火墻的所有功能。目前技術(shù)最為復(fù)雜而且安全級別最。路級網(wǎng)關(guān)和規(guī)則檢查防火墻。

　　

【正文】 加密支付請求數(shù)據(jù)。加密過程可保證不可逆，必須使用私用密碼才能解密。 （ 2）數(shù)字簽名 金融交易要求發(fā)送報(bào)文數(shù)據(jù)的同時(shí)發(fā)送簽名數(shù)據(jù)作為查證。這種電子數(shù)字簽名是一組加密的數(shù)字。 SET要求用戶在進(jìn)行交易前首先進(jìn)行電子簽名，然后進(jìn)行數(shù)據(jù)發(fā)送。 （ 3）電子認(rèn)證 電子交易過程中必須確認(rèn)用戶、商家及所進(jìn)行的交易本身是否合 法可靠。一般要求建立專門的電子認(rèn)證中心（ CA）以核實(shí)用戶和商家的真實(shí)身份以及交易請求的合法性。認(rèn)證中心將給用戶、商家、銀行等進(jìn)行網(wǎng)絡(luò)商務(wù)活動(dòng)的個(gè)人或集團(tuán)發(fā)電子證書。 （ 4）電子信封 金融交易所使用的密鑰必須經(jīng)常更換， SET 使用電子信封來傳遞更換密鑰。其方法是由發(fā)送數(shù)據(jù)者自動(dòng)生成專用密鑰，用它加密原文，將生成的密文連同密鑰本身一起再用公開密鑰手段傳送出去。收信人再解密后同時(shí)得到專用密鑰和用其加密后的密文。這樣保證每次傳送都可以由發(fā)送方選定不同的密鑰進(jìn)行交易。 根據(jù) SET 標(biāo)準(zhǔn)設(shè)計(jì)的軟件系統(tǒng)必須 經(jīng)過 SET 驗(yàn)證才能授權(quán)使用。首先進(jìn)行登記，再進(jìn)行 SET 標(biāo)準(zhǔn)的兼容性試驗(yàn)，目前已經(jīng)有多家公司的產(chǎn)品通過了 SET 驗(yàn)證。 二、 CA認(rèn)證系統(tǒng) 公共網(wǎng)絡(luò)系統(tǒng)的安全性則依靠用戶、商家的認(rèn)證，數(shù)據(jù)的加密及交易請求的合法性驗(yàn)證等多方面措施來保證。 電子交易過程中必須確認(rèn)用戶、商家及所進(jìn)行的交易本身是否合法可靠。一般要求建立專門的電子認(rèn)證中心（ CA）以核實(shí)用戶和商家的真實(shí)身份以及交易請求的合法性。認(rèn)證中心將給用戶、商家、銀行等進(jìn)行網(wǎng)絡(luò)商務(wù)活動(dòng)的個(gè)人或集團(tuán)發(fā)電子證書。 電子商務(wù)中，網(wǎng)上銀行的建立 ， CA 的建立是關(guān)鍵，只有建立一個(gè)較好的 CA 體系，才能較好地發(fā)展網(wǎng)上銀行，才能實(shí)現(xiàn)網(wǎng)上支付，電子購物才真正實(shí)現(xiàn)。 CA 的機(jī)構(gòu)如多方并進(jìn)，各建各的，以后會出現(xiàn)各 CA之間的矛盾，客戶的多重認(rèn)證等。應(yīng)有一家公認(rèn)的機(jī)構(gòu)如銀行或郵電或安全部來建立權(quán)威性認(rèn)證機(jī)構(gòu)（ CA）。 1． SET 的認(rèn)證（ CA） 在用戶身份認(rèn)證方面， SET 引入了證書（ Certificates）和證書管理機(jī)構(gòu)（ Certificates Authorities）機(jī)制。 （ 1）證書 證書就是一份文檔，它記錄了用戶的公共密鑰和其他 身份信息。在 SET 中，最主要的證書是持卡人證書和商家證書。 持卡人實(shí)際上是支付卡的一種電子化表示。它是由金融機(jī)構(gòu)以數(shù)字簽名形式簽發(fā)的，不能隨意改變。持卡人證書并不包括帳號和終止日期信息，取而代之的是用單向哈希算法根據(jù)帳號、截止日期生成的一個(gè)編碼，如果知道帳號、截止日期、密碼值即可導(dǎo)出這個(gè)碼值，反之不行。 商家證書：表示可接受何種卡來進(jìn)行商業(yè)結(jié)算。它是由金融機(jī)構(gòu)簽發(fā)的，不能被第三方改變。在 SET環(huán)境中，一個(gè)商家至少應(yīng)有一對證書。一個(gè)商家也可以有多對證書，表示它與多個(gè)銀行有合作關(guān)系，可以接受多種 付款方法。 除了持卡人證書和商家證書以外，還有支付網(wǎng)關(guān)證書、銀行證書、發(fā)卡機(jī)構(gòu)證書。 （ 2）證書管理機(jī)構(gòu) CA 是受一個(gè)或多個(gè)用戶信任，提供用戶身份驗(yàn)證的第三方機(jī)構(gòu)。證書一般包含擁有者的標(biāo)識名稱和公鑰，并且由 CA 進(jìn)行過數(shù)字簽名。 CA 的功能主要有：接收注冊請求，處理、批準(zhǔn) /拒絕請求，頒發(fā)證書。用戶向 CA 提交自己的公共密鑰 和代表自己身份的信息（如身份證號碼或 Email 地址）， CA 驗(yàn)證了用戶的有效身份之后，向用戶頒發(fā)一個(gè)經(jīng)過 CA 私有密鑰簽名的證書。 （ 3）證書的樹形驗(yàn)證 結(jié)構(gòu) 在兩方通信時(shí)，通過出示由某個(gè) CA 簽發(fā)的證書來證明自己的身份，如果對簽發(fā)證書的 CA 本身不信任，則可驗(yàn)證 CA 的身份，依次類推，一直到公認(rèn)的權(quán)威 CA 處。就可確信證書的有效性。 SET 證書正是通過信任層次來逐級驗(yàn)證的。通過 SET 的認(rèn)證機(jī)制，用戶不再需要驗(yàn)證并信任每一個(gè)想要交換信息的用戶的公共密鑰，而只需要驗(yàn)證并信任頒發(fā)證書的 CA 的公共密鑰就可以了。 2．招商銀行 CA 方案 我國的電子商務(wù)正在發(fā)展，各種規(guī)范要求還沒有形成。目前招商銀行、中國銀行、中國建設(shè)銀行、中國工商銀行都再準(zhǔn)備開發(fā)網(wǎng)上銀行業(yè)務(wù)。 這里以招商銀行為例介紹其 CA 方案。 招商銀行 CA 系統(tǒng)用于 Web 服務(wù)器的 SSL 公開密鑰證書，也可以為瀏覽器客戶發(fā)證，在 SSL 協(xié)議的秘密密鑰交換過程中加密密鑰參數(shù)。今后會開發(fā)其它的密碼服務(wù)，并在國家有關(guān)部門規(guī)定下開展公開密鑰認(rèn)證服務(wù)。 CA 系統(tǒng)處于非聯(lián)機(jī)狀態(tài)，運(yùn)行 CA 的系統(tǒng)在私有網(wǎng)上，用戶不能通過 Inter 訪問。 CA 會在 Web 服務(wù)器上提供查詢和客戶證書申請接口，用戶可以查詢證書狀態(tài)，提交證書請求。 Web 服務(wù)器運(yùn)行 CA 數(shù)據(jù)庫的一個(gè)獨(dú)立副本，與 CA 沒有網(wǎng)絡(luò)連接。 本方案采用層次認(rèn)證結(jié)構(gòu) ，層次設(shè)置采用 PEM 規(guī)定的認(rèn)證層次，設(shè)置以下目標(biāo)類型： IPRA（ Inter Policy Registration Authority）： IPRA 負(fù)責(zé)管理認(rèn)證策略，認(rèn)證 PCA，檢查 PCA 運(yùn)行與其策略的一致性。 PCA（ Policy Certification Authority）： PCA 負(fù)責(zé)根據(jù)業(yè)務(wù)需求指定認(rèn)證策略，交 IPRA 審批，根據(jù)認(rèn)證策略認(rèn)證下一級 CA，保證 CA 運(yùn)行與策略的一致性。 CA（ Certification Authority）： CA 根據(jù)需要，選擇相應(yīng)的認(rèn)證策略， 提供用戶公開密鑰認(rèn)證 用戶：用戶就是 中的最終實(shí)體。 RA（ Registration Authority）：當(dāng)用戶與 CA 通信有困難時(shí)， CA 就不可能對用戶進(jìn)行身份鑒別，就由RA 代替 CA，根據(jù) CA 的業(yè)務(wù)要求進(jìn)行用戶身份鑒別。 CA 管理提供 CA 密鑰管理，認(rèn)證策略管理和配置，以及服務(wù)級別的管理。 CA 管理的一個(gè)重要職能是CA 密鑰和策略管理。包括：生成新的密鑰對、安裝證書、撤消證書、備份 CA 的私有密鑰、安裝備份的CA 私有密鑰等。這些功能需要兩個(gè)安全管理員同時(shí)注冊才能完成。 目前， CA 支 持以下公開密鑰算法： RSA/DH/DSA，并可提供上述密鑰的證書，計(jì)劃將增加對橢圓曲線加密算法的支持。此外，為了提高 CA 密鑰的安全性，必須對 CA 密鑰加密后保存，今后 CA 所有與密鑰有關(guān)部門的操作將在 IC 卡中完成。