【正文】 1）使訪問速度變慢，因為它不允許用戶直接訪問網(wǎng)絡(luò) 2）應(yīng)用級網(wǎng)關(guān)需要針對每一特定的因特網(wǎng)安裝相應(yīng)的代理服務(wù)器軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，用戶需要等待新服務(wù)器軟件的安裝 1）安全策略 (1)沒有被列為允許訪問的服務(wù)都是被禁止的； (2)沒有被列為禁止訪問的服務(wù)都是被允 從安全性角度考慮，第一種安全策略更可取。 2）局限性 （ 1）不能阻止來自內(nèi)的破壞 （ 2）不能保護(hù)繞過它的連接 （ 3）無法完全防止新出現(xiàn)的網(wǎng)絡(luò)威脅 （ 4）不能防止病毒的破壞 加密技術(shù) ?明文：信息的原始形式（ Plaintext，記作 P）。 ?密文（ Ciphertext，記作 C）：是一些晦澀難懂的信息。 圖 65 數(shù)據(jù)加密的一般模型 加密算法 E加密密鑰 K E 竊聽、入侵 解密密鑰 K D解密算法 D密文不安全信道明文明文 ? 解密（ Deciphering ,記作 D） ? 密鑰：加、解密算法中的可變參數(shù)（ Key,記作 K）， 密鑰是加密和加密所需的一串?dāng)?shù)字。 (1)替代密碼 算法思想：用一個密鑰加密明文，然后用同樣的密鑰解密。 1)凱撒密碼： 是典型的單表替代密碼，又稱循環(huán)移位密碼。式中 ɑ表示明文字母； n為字符集中字母個數(shù)，26； K為密鑰。 例如：采用移位加密法，使移動 3位后的英文字母表示原來的英文字母，對應(yīng)關(guān)系如下： 返回本節(jié) 2)維吉尼亞密碼 。方法是循環(huán)地使用有限個字母來實現(xiàn)替代的一種方法?？梢?B1， B2， B3， …,B n就是加密的密鑰。 f（ R） =(18+21)mod 26=19,依次累推，密文C=SEADJSFDOCR，如下所示： P=R E N A I S S A N C E K=B A N D B A N D B A N C=S E A D J S F D O C R (2)換位密碼 1）算法思想：采用移位進(jìn)行加密的。簡單例子是把明文中的字母順序倒過來，然后以固定長度的字母組發(fā)送或記錄。 W H A T Y O U C A N L E A R N F R O M T H I S B O O K X X X 矩陣換位法 算法思想：把明文中的字母按給定的順序安排在一矩陣中，然后用另一種順序選出矩陣的字母來產(chǎn)生密文。 通過反復(fù)應(yīng)用這兩項技術(shù)來提高其強(qiáng)度 ， 經(jīng)過共 16輪的替換和換位變換后 ，使得密碼分析者無法獲得該算法一般特性以外更多的信息 。 （ 2）達(dá)到目標(biāo)： ☆提供高質(zhì)量的數(shù)據(jù)保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺的修改； ☆具有相當(dāng)高的復(fù)雜性，使得破譯的開銷超過可能獲得的利益，同時又要便于理解和掌握； ☆ DES密碼體制的安全性應(yīng)該不依賴于算法的保密，其安全性僅以加密密鑰的保密為基礎(chǔ)； ☆實現(xiàn)經(jīng)濟(jì)，運行有效，并且適用于多種完全不同的應(yīng)用。其中 Key為 8個字節(jié)共 64位，是 DES算法的工作密鑰； Data也為 8個字節(jié) 64位，是要被加密或被解密的數(shù)據(jù)； Mode為 DES的工作方式，有兩種：加密或解密。 在通信網(wǎng)絡(luò)的兩端，雙方約定一致的 Key，在通信的源點用 Key對核心數(shù)據(jù)進(jìn)行 DES加密，然后以密碼形式在公共通信網(wǎng)（如電話網(wǎng)）中傳輸?shù)酵ㄐ啪W(wǎng)絡(luò)的終點，數(shù)據(jù)到達(dá)目的地后，用同樣的 Key對密碼數(shù)據(jù)進(jìn)行解密，便再現(xiàn)了明碼形式的核心數(shù)據(jù)。 （ 5） 幾點聲明 1） 在首次通信前 ， 雙方必須通過除網(wǎng)絡(luò)以外的另外途徑傳遞統(tǒng)一的密鑰 。 3）對稱加密是建立在共同保守秘密的基礎(chǔ)之上的，在管理和分發(fā)密鑰過程中，任何一方的泄密都會造成密鑰的失效，存在著潛在的危險和復(fù)雜的管理難度。 （ 2）算法思想：該算法利用了數(shù)論領(lǐng)域的一個事實，那就是雖然把兩個大質(zhì)數(shù)相乘生成一個合數(shù)是件十分容易的事情，但要把一個合數(shù)分解為兩個質(zhì)數(shù)卻十分困難。 （ 3） 工作原理 非對稱加密技術(shù)采用 RSA算法，加密和解密使用兩把密鑰，一把稱公鑰，另一把稱私鑰，兩把密鑰實際上是兩個很大的質(zhì)數(shù)，用其中的一個質(zhì)數(shù)與明文相乘，可以加密得到密文；用另一個質(zhì)數(shù)與密文相乘可以解密，但不能用一個質(zhì)數(shù)求得另一個質(zhì)數(shù)。 （ 1）散列函數(shù)（消息摘要、哈希函數(shù)或雜湊函數(shù)）概念：其輸入為一個可變長輸入 x，返回一個固定長度串，該串h被稱為輸入 X的散列值（或消息摘要），記作 h=H(X)。 散列值作為判定某一消息的完整性唯一 標(biāo)識。 6. 數(shù)字簽名 H as h 算法 原文 摘要 摘要 對比？ 原文 摘要 I n t e rn e t 發(fā)送方 接收方 H as h 算法 數(shù)字 簽名 發(fā)送者 私鑰加密 數(shù)字 簽名 發(fā)送者 公鑰解密 圖 67 數(shù)字簽名過程 返回本節(jié) 6. 數(shù)字時間戳 圖 68獲得數(shù)字時間戳的過程 H as h 算法 原文 摘要 1 加時間 數(shù)字 時間戳 I n t e rn e t 用 D T S 機(jī)構(gòu)的私鑰加密 發(fā)送方 D T S 機(jī)構(gòu) H as h 算法 加了時間后的新摘要 摘要 1 摘 要 1 + 時間 數(shù)字 時間戳 返回本節(jié) 防止黑客入侵 1. 黑客的基本概念 2. 網(wǎng)絡(luò)黑客常用的攻擊手段 3. 防范黑客攻擊的主要技術(shù)手段 1. 黑客的基本概念 黑客 （ hacker），源于英語動詞 hack，分為駭客和竊客。他們追求的是從侵入行為本身獲得巨大的成功的滿足。主要是竊取國家情報、科研情報；也瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個交易過程。 和目標(biāo)主機(jī)建立大量的連接。 利用即時消息功能，以極快的速度用無數(shù)的消息“轟炸”某個特定用戶。 用戶就會在很短的時間內(nèi)收到大量的電子郵件 ， 這樣使得用戶系統(tǒng)的正常業(yè)務(wù)不能開展 ， 系統(tǒng)功能喪失 ，嚴(yán)重時會使系統(tǒng)關(guān)機(jī) ， 甚至使整個網(wǎng)絡(luò)癱瘓 。 5. 計算機(jī)病毒 計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。 IP欺騙是適用于 TCP/IP環(huán)境的一種復(fù)雜的技術(shù)攻擊，它偽造他人的源地址，讓一臺計算機(jī)來扮演另一臺計算機(jī)，借以達(dá)到蒙混過關(guān)的目的。 簡單的地址偽造是指黑客將自己的數(shù)據(jù)包的源地址改為其他主機(jī)的地址，然后發(fā)向目標(biāo)主機(jī)，使目標(biāo)主機(jī)無法正確找到數(shù)據(jù)包的來源。 3. 防范黑客攻擊的主要技術(shù)手段 防范黑客的技術(shù)措施根據(jù)所選用的產(chǎn)品的不同，可以分為 7類：入侵檢測設(shè)備，訪問設(shè)備、瀏覽器 /服務(wù)器軟件、證書、商業(yè)軟件、防火墻和安全工具包 /軟件。 1）傳統(tǒng)防火墻 傳統(tǒng)防火墻的類型主要有三種：包過濾、應(yīng)用層網(wǎng)關(guān)、電路層網(wǎng)關(guān)。 新型防火墻的設(shè)計綜合了包過濾技術(shù)和代理技術(shù)，克服了二者在安全方面的缺陷；能夠從 TCP/IP協(xié)議的數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制。 數(shù)字證書與 CA認(rèn)證 1． 數(shù)字證書 （ Digital Certificate 或 Digital ID） 數(shù)字證書采用公－私鑰密碼體制，每個用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)行信息解密和數(shù)字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。 Globalsgin數(shù)字證書服務(wù)提供商 /parAL/ 2． 數(shù)字證書的內(nèi)容 數(shù)字證書包括以下內(nèi)容如圖 630~632所示 ： l 證書擁有者的姓名； l 證書擁有者的公鑰； l 公鑰的有限期； l 頒發(fā)數(shù)字證書的單位； l 頒發(fā)數(shù)字證書單位的數(shù)字簽名； l 數(shù)字證書的序列號等 。 國內(nèi)常見的 CA有 中國商務(wù)在線 l中國數(shù)字認(rèn)證網(wǎng) （ ），數(shù)字認(rèn)證，數(shù)字簽名， CA認(rèn)證， CA證書，數(shù)字證書，安全電子商務(wù)。 4． 數(shù)字證書的類型 數(shù)字證書主要有以下類型： （ 1） 個人數(shù)字證書 （ 2） 單位證書 （ 3） 軟件數(shù)字證書 （ 1） 下載并安裝根證書 （ 如圖 634~338所示 ） （ 2） 申請證書 （ 如圖 639~341所示 ） （ 3） 將個人身份信息連同證書序列號一并郵寄到中國數(shù)字認(rèn)證網(wǎng) 下載根 CA圖 613 下載根證書（ 1） 圖 614 下載根證書（ 2） 圖 615安裝根證書（ 1） 圖 616 安裝根證書（ 2） 圖 617 查看根證書 我國電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè) ? 地區(qū)主管部門認(rèn)為應(yīng)以地區(qū)為中心建立認(rèn)證中心 。 ? 也有人提出建立幾個國家級行業(yè)安全認(rèn)證中心 ， 形成一個認(rèn)證網(wǎng)絡(luò) ， 然后 ， 實行相互認(rèn)證 。從政府層面上 ， 全國應(yīng)有國家級的 CA認(rèn)證中心 ， 同時 ，在各行業(yè)設(shè)立橫