【正文】 為力： （ 1）不能防范繞過防火墻的攻擊。 l 控制對特殊站點的訪問。它可以在 IP層設置屏障，也可以用應用層軟件來阻止外來攻擊。 防火墻是一類防范措施的總稱。它包括用于網絡連接的軟件和硬件以及控制訪問的方案。 其與網絡用戶的關系如圖 943所示。接 收 R ， 用 自 己的 私 鑰 加 密 得X ， 然 后 回 傳 給A 。 A B生 成 隨 機 數R ， 發(fā) 送 給 B接 收 X ， 用 B公 鑰 解 密 得 R 39。接 收 R ， 用 K 加密 得 X ， 然 后回 傳 給 A 。 A B生 成 隨 機 數R ， 發(fā) 送 給 B接 收 X ， 用 K 解密 得 R 39。上述步驟也可修改為先將 R加密為 X，然后發(fā)給 B，再由 B解出 R39。 首先介紹利用秘密鑰匙的認證方式。 下面來具體來介紹兩種認證的方式： 。 2. 加密認證 加密認證 （ Cryptographic） 可彌補密碼認證的不足之處 。 l 這種傳統(tǒng)的密碼也極易被破解。 密碼認證的一般方式是，用戶將自己的秘密告訴對方，后者在核對無誤后，便承認前者的身份。在這種方式下，被認證者不需要出示其秘密信息，而是采用迂回、間接的方式證明自己的身份。 這種認證方式是不可靠的 ， 因為不能確保密碼不外泄 。 前者稱為標識 （ ID） ， 后者稱為密碼（ password） 。本書只介紹與人類用戶身份認證有關的基本知識。 郵 件 內 容 驗 證 值 驗 證 值 密 文郵 件 內 容驗 證 值 密 文+ 乙 （ 收 ） 方收 件 驗 證 值驗 證 值 密 文郵 件 內 容發(fā) 件 驗 證 值比 對H a s h處 理私 鑰加 密傳 送H a s h處 理公 鑰解 密甲 （ 發(fā) ） 方 操 作 流 程乙 （ 收 ） 方 操 作 流 程圖 931 數字簽名的生成和 確認流程示意圖 網上身份認證常識 認證即“驗明正身”，用于確認某人或某物的身份。 如下頁圖 931所示為甲和乙之間進行數字簽名的生成和確認流程。 數字簽名 利用鑰匙加密驗證值可防止信息遭篡改。 傳統(tǒng)的完整性驗證方式雖然可檢測物理信號的衰退或被噪音改變的情況 ， 但無法抵御人為的竄改 。 完整性驗證可見于許多軟、硬件應用中。 驗證數據完整性的一般方法用 Hash函數 對原數據進行處理 ， 產生一組長度固定 （ 例如 32比特 ） 的 摘要值 。 Hash函數另一著名的應用是與公用鑰匙加密法聯(lián)合使用，以產生 數字簽名 。 Hash函數 一般用于為信息產生驗證值 ，此外它也被用于用戶密碼存儲。因此無法由濃縮結果推算出源信息。其 特點 是： ，源信息每一微小變化，都會使?jié)饪s結果發(fā)生變化。 缺點： 利用公用鑰匙加密雖然可避免鑰匙共享而帶來的問題，但其使用時，需要的計算量較大。 假如 X需要傳送數據給 A， X可將數據用 A的公用鑰匙加密后再傳給 A， A收到后再用私有鑰匙解密。 假定這兩個鑰匙分別為 A和 B，則用 A加密明文后形成的密文 ， 必須用 B方可解回明文 ，反之 ， 用 B加密后形成的密文必須用 A解密 。 T h i s i s a b o o k ! $ ~ % ^ ~ ~ * ( ) T h i s i s a b o o k! $ ~ % ^ ~ ~ * ( ) 加 密解 密秘 密 鑰 匙 2. 公用鑰匙加密 公用鑰匙加密法又稱 非對稱式（ asymmetric）加密 ，是近代密碼學新興的一個領域。其特點是加密明文和解讀密文時使用的是同一把鑰匙，如圖 922所示。 目前加密數據涉及到的算法有 秘密鑰匙 （ secret key）和 公用鑰匙 （ public key）加密算法，上述算法再加上 Hash函數，構成了現(xiàn)代加密技術的基礎。由于需要使用鍵值解密，故遍歷所有可能的鍵值便成為最直接的破解方法。 T h i s i s a b o o k ! $ ~ % ^ ~ ~ * ( ) T h i s i s a b o o k! $ ~ % ^ ~ ~ * ( ) 加 密解 密圖 921 加、解密示意圖 算法類型 當代加密技術趨向于使用一套 公開算法 及 秘密鍵值 （ key，又稱鑰匙）完成對明文的加密。其中，“ This is a book”稱為明文（ plaintext或 cleartext）； “ ! $~%^ ~ ~ *()”稱為密文（ ciphertext）。 Inter是一個開放的系統(tǒng) ，穿梭于其中的數據可能被任何人隨意攔截 ， 因此 ， 將數據加密后再傳送是進行秘密通信的最有效的方法 。 加密的目的是只讓特定的人能解讀密文 ， 對一般人而言 ，其即使獲得了密文 ， 也不解其義 。 但是 ， 通過隱秘通道外運數據的速度通常甚低 。 例如 ， 系統(tǒng)內的木馬可以使用如下手段數將據送達外界：約定木馬忙碌代表 1， 不忙碌代表 0， 當木馬忙碌時 ， 因其占用系統(tǒng)資源 ， 計算機的響應速度將便慢 ， 否則 ， 響應速度較高 。免受木馬、病毒和暗門威脅的最有效的方法是不要運行來歷不明的程序。病毒程序除可從事破壞活動外，也可能進行間諜活動，例如，將服務器內的數據傳往某個主機等。 l 病毒 是一種寄生在普通程序中、且能夠將自身復制到其他程序、并通過執(zhí)行某些操作，破壞系統(tǒng)或干擾系統(tǒng)運行的“壞”程序。木馬與計算機病毒的區(qū)別是，前者不進行自我復制，即不感染其他程序。 l 另一種比較常見的方法是先從服務器中獲得被加密的密碼表，再利用公開的算法進行計算，直到求出密碼為止，這種技巧最常用于 Unix系統(tǒng)。而“發(fā)現(xiàn)”的方法一般是“猜測”。 5. 盜用密碼 盜用密碼是最簡單和狠毒的技巧。 另一部分則是由于使用不得法所致