【正文】 濾數(shù)據(jù)包上更有效。一般說(shuō)來(lái)，防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱(chēng)其具有這個(gè)功能。此外，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購(gòu)置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。但是，如果防火墻系統(tǒng)被攻破，則被保護(hù)的網(wǎng)絡(luò)處于無(wú)保護(hù)狀態(tài)。加密與數(shù)字簽名一、加密　　　數(shù)據(jù)加密技術(shù)從技術(shù)上的實(shí)現(xiàn)分為在軟件和硬件兩方面?！　　≡诰W(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱(chēng)密鑰和公開(kāi)密鑰，采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來(lái)作出判斷。　　　對(duì)于對(duì)稱(chēng)密鑰加密。作為傳統(tǒng)企業(yè)網(wǎng)絡(luò)廣泛應(yīng)用的加密技術(shù)，秘密密鑰效率高，它采用KDC來(lái)集中管理和分發(fā)密鑰并以此為基礎(chǔ)驗(yàn)證身份，但是并不適合Internet環(huán)境。即公開(kāi)密鑰加密，它的加密密鑰和解密密鑰是不同的。常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)據(jù)簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名，然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。數(shù)字簽名每次還與被傳送的數(shù)據(jù)和時(shí)間等因素有關(guān)?！　　∠旅娼榻B幾種最常見(jiàn)的加密體制的技術(shù)實(shí)現(xiàn)：　　　1．常規(guī)密鑰密碼體制　　　所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的。若明文為student則對(duì)應(yīng)的密文為VWXGHQW（此時(shí)密鑰為3）。　　　2．?dāng)?shù)據(jù)加密標(biāo)準(zhǔn)DES　　　DES算法原是IBM公司為保護(hù)產(chǎn)品的機(jī)密于1971年至1972年研制成功的，后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和國(guó)家安全局選為數(shù)據(jù)加密標(biāo)準(zhǔn)，并于1977年頒布使用?！　　ES對(duì)64位二進(jìn)制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)。解密時(shí)的過(guò)程和加密時(shí)相似，但密鑰的順序正好相反。DES內(nèi)部的復(fù)雜結(jié)構(gòu)是至今沒(méi)有找到捷徑破譯方法的根本原因。美國(guó)AT＆T首先用LSI芯片實(shí)現(xiàn)了DES的全部工作模式，該產(chǎn)品稱(chēng)為數(shù)據(jù)加密處理機(jī)DEP。它最主要的特點(diǎn)就是加密和解密使用不同的密鑰，每個(gè)用戶(hù)保存著一對(duì)密鑰 ? 公開(kāi)密鑰PK和秘密密鑰SK，因此，這種體制又稱(chēng)為雙鑰或非對(duì)稱(chēng)密鑰密碼體制。加密算法E和解密算法D也都是公開(kāi)的。公開(kāi)密鑰算法的特點(diǎn)如下：　　　用加密密鑰PK對(duì)明文X加密后，再用解密密鑰SK解密，即可恢復(fù)出明文，或?qū)憺椋篋SK（EPK（X））=X 　　　加密密鑰不能用來(lái)解密，即DPK（EPK（X））≠X 　　　在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的PK和SK。 　　　加密和解密的運(yùn)算可以對(duì)調(diào)，即：EPK（DSK（X））=X 　　　在公開(kāi)密鑰密碼體制中，最有名的一種是RSA體制?！　　《?shù)字簽名　　　數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全的核心技術(shù)之一，它的實(shí)現(xiàn)基礎(chǔ)就是加密技術(shù)?！　　∫酝臅?shū)信或文件是根據(jù)親筆簽名或印章來(lái)證明其真實(shí)性的。數(shù)字簽名必須保證以下幾點(diǎn)：　　　接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；發(fā)送者事后不能抵賴(lài)對(duì)報(bào)文的簽名；接收者不能偽造對(duì)報(bào)文的簽名。下面就來(lái)介紹這種數(shù)字簽名。B用已知的A的公開(kāi)加密密鑰得出EPKA（DSKA（X））=X。這樣，報(bào)文X就被簽名了。B可將X及DSKA（X）出示給第三者。反之，如果是B將X偽造成X39。）。可以看出，實(shí)現(xiàn)數(shù)字簽名也同時(shí)實(shí)現(xiàn)了對(duì)報(bào)文來(lái)源的鑒別。對(duì)傳送的報(bào)文X本身卻未保密。則可同時(shí)實(shí)現(xiàn)秘密通信和數(shù)字簽名。三、密鑰的管理　　　對(duì)稱(chēng)密鑰加密方法致命的一個(gè)弱點(diǎn)就是它的密鑰管理十分困難，因此它很難在電子商務(wù)的實(shí)踐中得到廣泛的應(yīng)用。不過(guò)，無(wú)論實(shí)施哪種方案，密鑰的管理都是要考慮的問(wèn)題。一家專(zhuān)門(mén)從事安全性咨詢(xún)的公司Cypress Consulting的總裁CyArdoin說(shuō)：“在所有加密方案中，都必須有人來(lái)管理密鑰。每個(gè)用戶(hù)只保存自己的秘密密鑰和KDC的公開(kāi)密鑰PKAS。　　　首先，A向KDC申請(qǐng)公開(kāi)密鑰，將信息（A，B）發(fā)給KDC。CA和CB稱(chēng)為證書(shū)（Certificate），分別含有A和B的公開(kāi)密鑰。時(shí)間戳T1和T2的作用是防止重放攻擊。B獲得了A的公開(kāi)密鑰PKA，同時(shí)也可檢驗(yàn)他自己的公開(kāi)密鑰PKB。它確保參與加密對(duì)話的人確實(shí)是其本人。前一個(gè)安全保護(hù)能確保只有經(jīng)過(guò)授權(quán)的用戶(hù)才能通過(guò)個(gè)人計(jì)算機(jī)進(jìn)行Internet網(wǎng)上的交互式交易；后者則提供一種方法，用它生成某種形式的口令或數(shù)字簽名，交易的另一方據(jù)此來(lái)認(rèn)證他的交易伙伴?！　　∫弧⒄J(rèn)證和識(shí)別的基本原理　　　認(rèn)證就是指用戶(hù)必須提供他是誰(shuí)的證明，他是某個(gè)雇員，某個(gè)組織的代理、某個(gè)軟件過(guò)程（如股票交易系統(tǒng)或Web訂貨系統(tǒng)的軟件過(guò)程）。比如說(shuō)，系統(tǒng)中存儲(chǔ)了他的指紋，他接入網(wǎng)絡(luò)時(shí)，就必須在連接到網(wǎng)絡(luò)的電子指紋機(jī)上提供他的指紋（這就防止他以假的指紋或其它電子信息欺騙系統(tǒng)），只有指紋相符才允許他訪問(wèn)系統(tǒng)。網(wǎng)絡(luò)通過(guò)用戶(hù)擁有什么東西來(lái)識(shí)別的方法，一般是用智能卡或其它特殊形式的標(biāo)志，這類(lèi)標(biāo)志可以從連接到計(jì)算機(jī)上的讀出器讀出來(lái)。例如，要使服務(wù)器操作系統(tǒng)識(shí)別要入網(wǎng)的用戶(hù)，那么用戶(hù)必須把他的用戶(hù)名和口令送服務(wù)器。這個(gè)口令就由服務(wù)器和用戶(hù)共享。例如用ATM卡和PIN卡?！　　≈悄芸夹g(shù)將成為用戶(hù)接入和用戶(hù)身份認(rèn)證等安全要求的首選技術(shù)。這樣智能卡的讀取器必將成為用戶(hù)接入和認(rèn)證安全解決方案的一個(gè)關(guān)鍵部分。盡管這一領(lǐng)域的情形還不明朗，但我們沒(méi)有理由排除這樣一種可能：在數(shù)字ID和相關(guān)執(zhí)照的可信發(fā)行者方面，某些經(jīng)濟(jì)組織或由某些銀行擁有的信用卡公司將可能成為這一領(lǐng)域的領(lǐng)導(dǎo)者?！　　?．雙重認(rèn)證。也就是說(shuō)他們不是采用一種方法，而是采用有兩種形式的證明方法，這些證明方法包括令牌、智能卡和仿生裝置，如視網(wǎng)膜或指紋掃描器。這是一種檢驗(yàn)用戶(hù)身份的電子文件，也是企業(yè)現(xiàn)在可以使用的一種工具。隨著電信行業(yè)堅(jiān)持放松管制，GTE已經(jīng)使用數(shù)字證書(shū)與其競(jìng)爭(zhēng)對(duì)手（包括Sprint公司和AT＆T公司）共享用戶(hù)信息。這種解決辦法可以持續(xù)較長(zhǎng)的時(shí)間，并且更加靈活，存儲(chǔ)信息更多，并具有可供選擇的管理方式。這是迄今為止最為完整最為權(quán)威的電子商務(wù)安全保障協(xié)議，我們將在第六節(jié)做較詳細(xì)的討論。但隨著Internet開(kāi)拓性的發(fā)展，病毒可能為網(wǎng)絡(luò)帶來(lái)災(zāi)難性后果。一種威脅是來(lái)自文件下載。而共享軟件（public shareware）和各種可執(zhí)行的文件，如格式化的介紹性文件（formatted presentation）已經(jīng)成為病毒傳播的重要途徑。另一種主要威脅來(lái)自于電子郵件。只要簡(jiǎn)單地敲敲鍵盤(pán)，