【正文】 對應(yīng)的安全技術(shù)有： 信息加密技術(shù)；鑒別技術(shù)；網(wǎng)絡(luò)安全技術(shù)等。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 83 上一頁 下一頁 結(jié) 束 過濾子網(wǎng)防火墻示意圖 Inter 郵件服務(wù)器 E_mail Server 被保護(hù)局域網(wǎng) Protected LAN Information Server 應(yīng)用網(wǎng)關(guān) Application Gateway 路由器 2 Router2 路由器 1 Router1 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 84 上一頁 下一頁 結(jié) 束 這里兩個路由器的作用分別如下： 路由器 1(Router1): 路由從 Inter來的應(yīng)用程序到 Application Gateway處理 路由來自 Application Gateway的應(yīng)用程序到 Inter 路由從 E_mail Server來的郵件到 Inter 路由從 Inter來的郵件到 E_mail Server 路由從 Inter來的 FTP、 HTTP至 Information Server 路由器 2(Router2): 路由從 Application Gateway來的應(yīng)用程序到內(nèi)部網(wǎng) 路由從內(nèi)部網(wǎng)來的應(yīng)用程序到 Application Gateway進(jìn)行處理（ 放行 ） 路由從 E_mail Server來的 E_mail 到內(nèi)部網(wǎng) 路由從內(nèi)部網(wǎng)來 E_mail到 E_mail Server 路由從 Information Server來的 FTP、 HTTP至內(nèi)部網(wǎng) 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 85 上一頁 下一頁 結(jié) 束 本章小結(jié) 網(wǎng)絡(luò)金融的安全技術(shù)是基于網(wǎng)絡(luò)金融活動中的安全需求產(chǎn)生的。但是，這種防火墻一旦被攻擊都擊破，危害性就會變得極大，整個被保護(hù)網(wǎng)絡(luò)都可能是攻擊的目標(biāo)。 過濾主機(jī)網(wǎng)關(guān)防火墻比較安全，因?yàn)閺?Inter網(wǎng)絡(luò)只能訪問到堡壘主機(jī)，不允許訪問被保護(hù)網(wǎng)絡(luò)的其它資源。這種體系結(jié)構(gòu)是綜合前兩種結(jié)構(gòu)（ IP包過濾路由器結(jié)構(gòu)和堡壘主機(jī)結(jié)構(gòu)）而成的。 雙穴防范網(wǎng)關(guān)體系結(jié)構(gòu)是基于應(yīng)用網(wǎng)關(guān)和代理服務(wù)兩種技術(shù)上的。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 77 上一頁 下一頁 結(jié) 束 Inter IP Packet Filtering Router 基于 IP包過濾路由器防火墻體系圖示 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 78 上一頁 下一頁 結(jié) 束 [2] 雙穴防范網(wǎng)關(guān) 雙穴防范網(wǎng)關(guān) (Dual Homed Gateway)也稱堡壘主機(jī)體系結(jié)構(gòu)防火墻，它是在被保護(hù)網(wǎng)絡(luò)（內(nèi)部網(wǎng)）和Inter網(wǎng)絡(luò)之間設(shè)置一個系統(tǒng)網(wǎng)關(guān)（稱堡壘主機(jī)），用來隔斷 TCP/IP的直接傳輸。該軟件對于每個試圖通過的 IP包，都要和安全訪問控制表進(jìn)行比較，以確定該包是否可以通過防火墻。它在路由器里安裝防火墻軟件。代理服務(wù)在應(yīng)用層上進(jìn)行。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上 。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 72 上一頁 下一頁 結(jié) 束 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 數(shù)據(jù)包過濾防火墻實(shí)現(xiàn)原理圖 內(nèi)部受保護(hù)的網(wǎng)絡(luò) 外層網(wǎng)絡(luò) 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 73 上一頁 下一頁 結(jié) 束 ⑵ 應(yīng)用網(wǎng)關(guān)（ Application Gateways） 應(yīng)用網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 71 上一頁 下一頁 結(jié) 束 防火墻的工作原理 ⑴ 數(shù)據(jù)包過濾 （ Packet Filter） 數(shù)據(jù)包過濾是利用路由器里安裝防火墻軟件方式來保護(hù)網(wǎng)絡(luò)內(nèi)部系統(tǒng)。 網(wǎng)絡(luò)路由的安全性包括兩個方面： ⑴ 限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問 ， 從而保護(hù)內(nèi)部網(wǎng) 特定資源免受非法侵犯 ⑵ 限制內(nèi)部網(wǎng)對外部網(wǎng)的訪問 ， 主要是針對一些 不健康信息及敏感信息的訪問 防火墻具有以下優(yōu)點(diǎn) ⑴ 保護(hù)那些易受攻擊的服務(wù) ⑵ 控制對特殊站點(diǎn)的訪問 ⑶ 集中化的安全管理 ⑷ 對網(wǎng)絡(luò)訪問進(jìn)行記錄和統(tǒng)計 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 70 上一頁 下一頁 結(jié) 束 防火墻的安全控制模型 ⑴ 沒有被列為允許訪問的服務(wù)都是被禁止的 這種控制模型需要確定所有可以被提供的服務(wù)以及它們的安全特性 ， 然后 ， 開放這些服務(wù) ， 并將所有其它未被列入的服務(wù)排除在外 ， 禁止訪問 。只有被授權(quán)的通信才能通過此保護(hù)層，從而保護(hù)內(nèi)部網(wǎng)資源免遭非法入侵。 網(wǎng) 絡(luò) 金 融 安 全 67 上一頁 下一頁 結(jié) 束 防火墻的概念 防火墻是指一種邏輯裝置，用來保護(hù)內(nèi)部的網(wǎng)絡(luò)不受來自外界的侵害。所用安全措施主要是 SSL協(xié)議。從對信息傳輸?shù)谋Ｃ苌蟻碚f，兩者的功能是相同的，都能保證信息在傳輸過程中的保密性。 SSL與 SET采用的都是公開密鑰加密法。 SSL是基于傳輸層的協(xié)議，而SET則是基于應(yīng)用層的協(xié)議。所有這些使得使用 SET要比使用 SSL麻煩得多。這些成了 SET被廣泛接受的阻力。 當(dāng)今市場上已有許多 SSL相關(guān)產(chǎn)品及工具，而有關(guān) SET的相關(guān)產(chǎn)品卻相對較少，也不夠成熟， SSL已被大部分 Web瀏覽器和 Web服務(wù)器所內(nèi)置，比較容易被接受。有些系統(tǒng)也向持卡人發(fā)放證書，但這證書是發(fā)給瀏覽器的，而不是像 SET那樣，與信用卡綁在一起。而 SET協(xié)議則在這方面采取了強(qiáng)有力的措施，用網(wǎng)關(guān)的公開密鑰來加密持卡人的敏感信息，并采用雙重簽名等方法，保證商戶無法看到持卡人傳送給網(wǎng)關(guān)的信息。 網(wǎng) 絡(luò) 金 融 安 全 63 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 SET安全支付原理 非對稱 加密技術(shù) ? 對稱 加密技術(shù) ? ? Hash 算法 ? 數(shù)字簽名 ? 數(shù)字信封 數(shù)字證書 網(wǎng) 絡(luò) 金 融 安 全 64 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 發(fā)送端 A H MAC E kSA EKSA[MAC] DES E E m MUX kPB EDES(m) EKPB(DES) EKPB(DES) | EDES(m) | EKSA[MAC] C ① 隨機(jī)產(chǎn)生一個對稱密鑰 DES； ② 用該密鑰對要發(fā)送的信息 m加密： EDES(m) ③ 用哈希算法 Hash對 m處理，取其信息碼： MAC=H(m) ④ 用發(fā)送端私鑰對 MAC加密，即數(shù)字簽名： EKSA[MAC] ⑤ 用接收端的公鑰對 DES加密，即數(shù)字信封： EKPB(DES) ⑥ C=EKPB(DES)| EDES(m)| EKSA[MAC] 網(wǎng) 絡(luò) 金 融 安 全 65 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 接收端 B EKPB(DES) EDES(m) EKSA[MAC] D kSB C D D DES kPA m’ MAC 比較 H MAC’ ① 接收端用自己的私鑰打開信封，取出密鑰 DES； ② 用該密鑰對收到的密文解密： DDES [EDES(m)]→m’ ③ 用發(fā)送端公鑰驗(yàn)證數(shù)字簽名，并獲取 MAC ④ 用哈希算法 Hash對 m’ 處理，取其息碼： MAC’ =H(m’ ) ⑤ 對比 MAC與 MAC’ , 如果相同，表示所收到的 m’ 確實(shí)是 m if MAC’ = MAC than m’ = m 網(wǎng) 絡(luò) 金 融 安 全 66 上一頁 下一頁 結(jié) 束 SSL還有一個很大的缺點(diǎn)，就是無法保證商戶看不到持卡人的信用卡賬戶等信息。同時商家給客戶裝運(yùn)貨物，或完成訂購的服務(wù)。 收單銀行得到發(fā)卡銀行的批準(zhǔn)后，通過支付網(wǎng)關(guān)發(fā)給商家授權(quán)響應(yīng)報文。支付網(wǎng)關(guān)是一個 Inter服務(wù)器，是連接 Inter和銀行內(nèi)部網(wǎng)絡(luò)的接口。只有位于商家開戶行的被稱為支付網(wǎng)關(guān)的另外一個服務(wù)器可以處理支付命令中的信息。 客戶發(fā)一報文，包括訂單和支付命令。最后才開始實(shí)質(zhì)性的商品交易和支付過程。 通過網(wǎng)絡(luò)動態(tài)認(rèn)證的方式來實(shí)現(xiàn)在實(shí)際網(wǎng)上交易過程中確認(rèn)對方的身份，以及動態(tài)地得到對方的公鑰并進(jìn)行上述加密過程。公鑰用于提供對方解密有關(guān)的信息內(nèi)容和加密回饋的信息內(nèi)容。只有進(jìn)行了注冊登記的用戶才能夠安全地在網(wǎng)上從事支付活動。 網(wǎng) 絡(luò) 金 融 安 全 61 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 SET的電子交易過程 過程 動態(tài)認(rèn)證 注冊登記 加密處理 首先由社會權(quán)威部門成立網(wǎng)絡(luò)動態(tài)認(rèn)證中心。 網(wǎng) 絡(luò) 金 融 安 全 58 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 SSL的使用 網(wǎng) 絡(luò) 金 融 安 全 59 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 網(wǎng) 絡(luò) 金 融 安 全 60 上一頁 下一頁 結(jié) 束 安 全 協(xié) 議 SET SET Secure Electronic Transaction，