第8章网络安全研究.ppt

* * 2. SET 3）SET协议的安全技术 在SET协议中，采用DES、RSA算法进行数据加密。 用SHA-1和RSA算法生成消息摘要，实现数字签名。 采用数字证书、双重签名等技术实现身份认证。 4）SET的交易流程 ①持卡人浏览商品明细清单； ②持卡人选择要购买的商品； ③持卡人填写订单。订单可通过电子化方式从商家传过来，或由持卡人的电子购物软件建立。有些在线商家可以让持卡人与商家协商物品的价格。 * * 2. SET 4）SET的交易流程 ④持卡人选择付款方式。此时SET开始介入。 ⑤持卡人发送给商家一个完整的订单及要求付款的指令。 ⑥商家接到订单后，向持卡人的金融机构请求支付认可。 ⑦商家发送订单确认消息给持卡人。 ⑧商家给持卡人装运货物，或完成订购服务。 ⑨商家向持卡人的金融机构请求支付。 * * 8.2.3 PGP PGP是英文Pretty Good Privacy（更好的保护隐私）的简称，是一个基于RSA及AES等加密算法的加密软件系列。 PGP对信息的加密使用IDEA对称算法，相应的加密密钥的管理和发布则由RSA算法实现。IDEA是一种单密钥加密算法，其加解密速度比RSA快得多。 PGP使用MD5、DH/DSS算法实现密钥交换、信息完整性检查和数字签名，可以保证信息的安全和身份确认。 PGP在数据加密前先进行数据的预压缩处理，PGP内核使用PKZIP算法来压缩加密前的明文。 PGP让用户自己建立自己的信任网。 * * 8.2.3 PGP PGP的实现过程主要由信息的加密、解密过程和签名、验证过程组成 * * 8.2.3 PGP 发送方和接收方信息处理流程： ①发送方准备好要发送的信息； ②发送方PGP程序使用摘要算法计算出原始信息的摘要； ③发送方PGP程序使用自己的私钥对摘要加密，产生数字签名； ④发送方PGP程序产生随机数序列作为只使用一次的会话密钥； ⑤要发送的信息与签名一起，通过会话密钥被加密； ⑥发送方PGP程序使用公钥加密算法和接收方的公钥加密会话密钥，与加密了的信息和签名一起发送； ⑦接收方PGP程序使用公钥加密算法和自己的私钥解密会话密钥； ⑧接收方PGP程序使用对称加密算法和会话密钥解密信息； ⑨接收方PGP程序使用摘要算法重新计算出原始信息的摘要； ⑩接收方PGP程序使用发送方的公钥对数字签名进行验证。 * * 8.3 防火墙 8.3.1 防火墙概述 防火墙用来控制两个不同安全策略的网络之间互访，从而防止不同安全域之间的相互危害。 防火墙一般是指在两个网络间执行访问控制策略的一个或一组系统。防火墙可能在一台计算机上运行，也可在计算集群上运行。 防火墙将网络分隔为不同的物理子网，限制威胁从一个子网扩散到另一子网，正如传统意义的防火墙能防止火势蔓延一样。 配置防火墙有两种基本规则： 一切未被允许的就是禁止的（No规则）。 一切未被禁止的就是允许的（Yes规则）。 防火墙是两个网络间的隔断，只允许符合规则的一些数据通过。 * * 8.3.2 防火墙的体系结构 防火墙从体系结构上可以分为三种模式：双宿/多宿主机模式、屏蔽主机模式、屏蔽子网模式。 双宿/多宿主机模式是一种拥有两个或多个连接到不同网络上的网络接口的防火墙。 * * 8.3.2 防火墙的体系结构 屏蔽主机模式防火墙由包过滤器和堡垒主机组成。 在这种模式的防火墙中，堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不被未授权的外部用户攻击屏蔽主机防火墙实现了网络层和应用层的安全，因而比单独的包过滤器或应用网关代理更安全。 * * 8.3.2 防火墙的体系结构 屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区”网络，有时也称作周边网。 * * 8.3.3 防火墙的基本技术 防火墙采用了两种基本技术：数据包过滤和代理服务。 数据包过滤技术 数据包过滤是在网络的适当位置，根据系统设置的过滤规则，对数据包实施过滤，只允许满足过滤规则的数据包通过并被转发到目的地，而其他不满足规则的数据包被丢弃。 当前大多数的网络路由器都具备一定的数据包过滤能力，很多情况下，路由器出了完成路由选择和转发的功能之外，还可进行数据包过滤。 数据包过滤器通过检查数据包的报头信息，根据数据包的源地址、目的地址和以上的其他信息相组合，按照过滤规则来决定是否允许数据包通过。 * * 8.3.3 防火墙的基本技术 代理服务 代理服务是防火墙主机上运行的专门的应用程序或服务器程序，代理服务位于内部网和外部网之间，处理间的通信以替代相互直接的通信。 代理服务具有两个部件：一个服务器端代理，一个是客户端代理。 服务器端代理是指代表客户处理在服