项目四 网上支付的安全技术.ppt

2.时间戳的工作原理 时间戳服务器的工作原理如图4-16所示。其工作过程可描述如下。 （1）用户先对报文数据进行 Hash 散列运算。 （2）用户将散列结果发送给时间戳服务器提出时间戳请求。 （3）时间戳服务器对散列结果和日期时间进行签名，生成数字时间戳。 （4）时间戳服务器将数字时间戳和报文数据一起发送回给用户。 （3）屏蔽主机防火墙由包过滤路由器和堡垒主机组成。 （4）屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、Modern组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军事区”（De Militarised Zone，DMZ）, 4.防火墙的局限性 （1）防火墙防外不防内。 （2）防火墙难于管理和配置，易造成安全漏洞。 （3）很难为用户在防火墙内外提供一致的安全策略。 （4）防火墙只实现了粗粒度的访问控制。 4.2.3 虚拟专用网技术 1.虚拟专用网概述 虚拟专用网（Virtual Private Network，VPN）其主要作用就是利用公用网络（主要是互联网）将多个私有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通信的成本。 一个完整的VPN系统一般包括以下几个单元。 （1）VPN服务器，一台计算机或设备，用来接收和验证VPN连接的请求，处理数据打包和解包工作。 （2）VPN客户端，一台计算机或设备，用来发起VPN连接的请求，也处理数据的打包和解包工作。 （3）VPN数据通道，一条建立在公用网络上的数据连接。 2.解决方案 （1）远程访问虚拟网 （2）企业内部虚拟网 （3）企业扩展虚拟网 4.3 数字加密技术 4.3.1 加密技术概述 4.3.2 对称密钥密码体制 4.3.3 非对称密钥密码体制 4.3.4 数字信封技术 任务4.3数字加密技术 4.3.1 加密技术概述 1.数字加密基础知识 所谓加密技术，包括信息的加密和解密两个过程。由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。即发送方用某种加密算法将交易信息加密成密文后发送出去；接收方收到密文后，以相应的解密算法将密文解密成明文，然后再进行相应的处理。 经典实例 商人贾某要给他儿子发一份密码电报，电文四个字：“抛售布匹（原文）。”按照电报码手册，这四个汉字对应：2141 0786 1580 0572，然后把每个四位数都加上100（加密密钥），四个四位数就变成了：2241 0886 1680 0672，此刻这四个电报码对应变为：“抡噌庙叵（密文）。”儿子收到电报“抡噌庙叵”后，根据相应的电报码手册得到： 2241 0886 1680 0672，按照事先的约定，分别减去100（解密密钥），就得到“抛售布匹”的信息。 2.基本的加密方法 （1）单表换字法。 （2）异或法。 （3）移位法。 3.加密技术提供的服务 （1）数据保密性 （2）数据完整性 （3）认证 （4）不可否定性 4.加密技术的加密强度 （1）算法的强度。 （2）密钥的保密性。 （3）密钥程度，根据加密和解密的应用程序，密钥的长度是由“位”为单位，在密钥的长度上加上一位则相当于把可能的密钥的总数乘以二倍，简单地说构成一个任意给定长度的密钥的位的可能组合的个数可以被表示为2的n次方，这里的n是一个密钥长度。因此，一个40位密钥长度的配方将是2的40次方或1 099 511 627 776种可能的不同的密钥。 4.3.2 　对称密钥密码体制 1.对称密钥密码体制概述 对称密钥密码体制又称传统密码密钥体制，即加密和解密使用同一密钥的加密体制。它的特点是加密密钥和解密密钥是相同的或可以相互推导。使用对称加密方法使通信双方都采用相同的加密算法并只交换共享的专用密钥，不必彼此研究和交换专用设备的加密算法，这将大大简化加密和处理。如果通信双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。 2.典型的对称密钥算法 DES算法 DES的加密过程包含3个步骤：①将64位明文进行初始排列，以打乱明文的顺序；②将所得到的64位数据一分为二：前32位L0和后32位R0，然后经过16次循环操作，进行一系列的替换、移位和异或操作；③经过最终排列，得到该组的密文。最终排列是初始排列的逆。 3.对称加密算法存在的弊端 （1）要求提供一条安全的秘密渠道使交易双方在首次通信时协商一个共同的密钥，这样秘密渠道的安全性是相对的。 （2）对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。 （3）对称密钥的管理和