dss網路安全

A. 網路信息安全技術的目錄

第1章 網路安全
1.1 網路安全的基礎知識
1.1.1 網路安全的基本概念
1.1.2 網路安全的特徵
1.1.3 網路安全的目標
1.1.4 網路安全需求與安全機制
1.2 威脅網路安全的因素
1.2.1 網路的安全威脅
1.2.2 網路安全的問題及原因
1.3 網路安全防護體系
1.3.1 網路安全策略
1.3.2 網路安全體系
1.4 網路安全的評估標准
1.4.1 可信任計算機標准評估准則簡介
1.4.2 國際安全標准簡介
1.4.3 我國安全標准簡介
習題
第2章 密碼技術基礎
2.1 密碼技術的基本概念
2.2 古典加密技術
2.2.1 置換密碼
2.2.2 代換密碼
2.3 現代加密技術
習題
第3章 密鑰管理技術
3.1 密鑰的管理內容
3.2 密鑰的分配技術
3.2.1 密鑰分配實現的基本方法
3.2.2 密鑰分配實現的基本工具
3.2.3 密鑰分配系統實現的基本模式
3.2.4 密鑰的驗證
3.3 公鑰密碼
3.3.1 公鑰密碼體制的基本概念
3.3.2 公鑰密碼體制的原理
3.4 RSA演算法
3.4.1 RSA演算法描述
3.4.2 RSA演算法中的計算問題
3.4.3 RSA演算法的安全性
3.4.4 RSA的實用性及數字簽名
3.4.5 RSA演算法和DES演算法
3.5 橢圓曲線密碼體制
3.5.1 橢圓曲線
3.5.2 有限域上的橢圓曲線
3.5.3 橢圓曲線上的密碼
習題
第4章 數字簽名和認證技術
4.1 數字簽名的基本概念
4.1.1 數字簽名概念
4.1.2 數字簽名技術應滿足的要求
4.1.3 直接方式的數字簽名技術
4.1.4 具有仲裁方式的數字簽名技術
4.1.5 利用公鑰實現數字簽名技術原理
4.1.6 其它數字簽名技術
4.2 認證及身份驗證技術
4.2.1 相互認證技術
4.2.2 單向認證技術
4.2.3 身份驗證技術
4.2.4 身份認證系統實例——Kerberos系統
4.3 數字簽名標准及數字簽名演算法
4.3.1 數字簽名演算法DSS
4.3.2 數字簽名演算法DSA
4.3.3 數字簽名演算法HASH
4.3.4 數字簽名演算法RSA
4.4 其它數字簽名體制
4.4.1 基於離散對數問題的數字簽名體制
4.4.2 基於大數分解問題的簽名體制
4.5 數字證明技術
習題
第5章 網路入侵檢測原理與技術
5.1 黑客攻擊與防範技術
5.1.1 網路入侵及其原因
5.1.2 黑客攻擊策略
5.1.3 網路入侵的防範技術
5.2 入侵檢測原理
5.2.1 入侵檢測概念
5.2.2 入侵檢測模型
5.2.3 IDS在網路中的位置
5.3 入侵檢測方法
5.3.1 基於概率統計的檢測
5.3.2 基於神經網路的檢測
5.3.3 基於專家系統
5.3.4 基於模型推理的攻擊檢測技術
5.3.5 基於免疫的檢測
5.3.6 入侵檢測的新技術
5.3.7 其它相關問題
5.4 入侵檢測系統
5.4.1 入侵檢測系統的構成
5.4.2 入侵檢測系統的分類
5.4.3 入侵檢測系統的介紹
5.5 入侵檢測系統的測試評估
5.5.1 測試評估概述
5.5.2 測試評估的內容
5.5.3 測試評估標准
5.5.4 IDS測試評估現狀以及存在的問題
5.6 幾種常見的IDS系統
5.7 入侵檢測技術發展方向
習題
第6章 Internet的基礎設施安全
6.1 Internet安全概述
6.2 DNS的安全性
6.2.1 目前DNS存在的安全威脅
6.2.2 Windows下DNS欺騙
6.2.3 拒絕服務攻擊
6.3 安全協議IPSec
6.3.1 IP協議簡介
6.3.2 下一代IP-IPv6
6.3.3 IP安全協議IPSec的用途
6.3.4 IPSec的結構
6.4 電子郵件的安全性
6.4.1 PGP
6.4.2 S/MIME
6.5 Web的安全性
……
第7章 防火牆技術
第8章 電子商務的安全技術及應用
第9章 包過濾技術原理及應用
第10章 代理服務技術原理及應用
第11章 信息隱藏技術
附錄A 《中華人民共和國計算機信息網路國際聯網管理暫行辦法》 251
附錄B 《中華人民共和國計算機信息網路國際聯網安全保護管理辦法》 253
附錄C 《中華人民共和國計算機信息系統安全保護條例》

B. 數字證書是什麼東西

1.什麼是數字證書？

數字證書就是網路通訊中標志通訊各方身份信息的一系列數據，其作用類似於現實生活中的身份證。它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份。

最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的
數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標准。

一個標準的X.509數字證書包含以下一些內容：
證書的版本信息；
證書的序列號，每個證書都有一個唯一的證書序列號；
證書所使用的簽名演算法；
證書的發行機構名稱，命名規則一般採用X.500格式；
證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時范圍為1950-2049；
證書所有人的名稱，命名規則一般採用X.500格式；
證書所有人的公開密鑰；
證書發行者對證書的簽名。
使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。

2.為什麼要使用數字證書？

由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須保證在網際網路上進行的一切金融交易運作都是真實可靠的，並且要使顧客、商家和企業等交易各方都具有絕對的信心，因而網際網路電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網路安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。

信息的保密性
交易中的商務信息均有保密的要求，如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

交易者身份的確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，商家要考慮客戶端是不是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。

不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

不可修改性
由於商情的千變萬化，交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。

我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。

3.數字認證原理
數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。

在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前採用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然後由商戶用自己的私有密鑰進行解密。

如果用戶需要發送加密數據，發送方需要使用接收方的數字證書（公開密鑰）對數據進行加密，而接收方則使用自己的私有密鑰進行解密，從而保證數據的安全保密性。

另外，用戶可以通過數字簽名實現數據的完整性和有效性，只需採用私有密鑰對數據進行加密處理，由於私有密鑰僅為用戶個人擁有，從而能夠簽名文件的唯一性，即保證：數據由簽名者自己簽名發送，簽名者不能否認或難以否認；數據自簽發到接收這段過程中未曾作過任何修改，簽發的文件是真實的。

[page]

4.數字證書是如何頒發的？

數字證書是由認證中心頒發的。根證書是認證中心與用戶建立信任關系的基礎。在用戶使用數字證書之前必須首先下載和安裝。

認證中心是一家能向用戶簽發數字證書以確認用戶身份的管理機構。為了防止數字憑證的偽造，認證中心的公共密鑰必須是可靠的，認證中心必須公布其公共密鑰或由更高級別的認證中心提供一個電子憑證來證明其公共密鑰的有效性，後一種方法導致了多級別認證中心的出現。

數字證書頒發過程如下：用戶產生了自己的密鑰對，並將公共密鑰及部分個人身份信息傳送給一家認證中心。認證中心在核實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然後，認證中心將發給用戶一個數字證書，該證書內附了用戶和他的密鑰等信息，同時還附有對認證中心公共密鑰加以確認的數字證書。當用戶想證明其公開密鑰的合法性時，就可以提供這一數字證書。

5.加密技術
由於數據在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術是電子商務採取的主要保密安全措施，是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。

加密包括兩個元素：演算法和密鑰。一個加密演算法是將普通的文本（或者可以理解的信息）與一竄數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰和演算法對加密同等重要。

密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中，可通過適當的密鑰加密技術和管理機制，來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。

相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數據加密標准（DNS，Data Encryption Standard）演算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）演算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

6.對稱加密技術
對稱加密採用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰。這種方法在密碼學中叫做對稱加密演算法，對稱加密演算法使用起來簡單快捷，密鑰較短，且破譯困難，除了數據加密標准（DNS），另一個對稱密鑰加密系統系統是國際數據加密演算法（IDEA），它比DNS的加密性好，而且對計算機功能要求也沒有那麼高。IDEA加密標准由PGP（Pretty Good Privacy）系統使用。

對稱加密演算法在電子商務交易過程中存在幾個問題：

（1）要求提供一條安全的渠道使通訊雙方在首次通訊時協商一個共同的密鑰。直接的面對面協商可能是不現實而且難於實施的，所以雙方可能需要藉助於郵件和電話等其它相對不夠安全的手段來進行協商；
（2）密鑰的數目難於管理。因為對於每一個合作者都需要使用不同的密鑰，很難適應開放社會中大量的信息交流；
（3）對稱加密演算法一般不能提供信息完整性的鑒別。它無法驗證發送者和接受者的身份；
（4）對稱密鑰的管理和分發工作是一件具有潛在危險的和煩瑣的過程。對稱加密是基於共同保守秘密來實現的，採用對稱加密技術的貿易雙方必須保證採用的是相同的密鑰，保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄密和更改密鑰的程序。
7、.非對稱加密技術

1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是「公開密鑰系統」。相對於「對稱加密演算法」這種方法也叫做「非對稱加密演算法」。

與對稱加密演算法不同，非對稱加密演算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種演算法叫作非對稱加密演算法。

貿易方利用該非對稱加密演算法實現機密信息交換的基本過程是：貿易方甲生成一對密鑰並將其中的一把作為公用密鑰向其他貿易方公開；得到該公用密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲；貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公用密鑰加密後的任何信息。

非對稱加密演算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合於對文件加密而只適用於對少量數據進行加密。

在微軟的Window NT的安全性體系結構中，公開密鑰系統主要用於對私有密鑰的加密過程。每個用戶如果想要對數據進行加密，都需要生成一對自己的密鑰對（keypair）。密鑰對中的公開密鑰和非對稱加密解密演算法是公開的，但私有密鑰則應該由密鑰的主人妥善保管。

使用公開密鑰對文件進行加密傳輸的實際過程包括四步：

（1）發送方生成一個自己的私有密鑰並用接收方的公開密鑰對自己的私有密鑰進行加密，然後通過網路傳輸到接收方；
（2）發送方對需要傳輸的文件用自己的私有密鑰進行加密，然後通過網路把加密後的文件傳輸到接收方；
（3）接收方用自己的公開密鑰進行解密後得到發送方的私有密鑰；
（4）接受方用發送方的私有密鑰對文件進行解密得到文件的明文形式。

因為只有接收方才擁有自己的公開密鑰，所以即使其他人得到了經過加密的發送方的私有密鑰，也因為無法進行解密而保證了私有密鑰的安全性，從而也保證了傳輸文件的安全性。實際上，上述在文件傳輸過程中實現了兩個加密解密過程：文件本身的加密和解密與私有密鑰的加密解密，這分別通過私有密鑰和公開密鑰來實現。
8.數字簽名技術
對文件進行加密只解決了傳送信息的保密問題，而防止他人對傳輸的文件進行破壞，以及如何確定發信人的身份還需要採取其它的手段，這一手段就是數字簽名。在電子商務安全保密系統中，數字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數字簽名技術。在電子商務中，完善的數字簽名應具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真偽的能力。

實現數字簽名有很多方法，目前數字簽名採用較多的是公鑰加密技術，如基於RSA Date Security公司的PKCS（Public Key Cryptography Standards）、Digital Signature Algorithm、x.509、PGP（Pretty Good Privacy）。1994年美國標准與技術協會公布了數字簽名標准而使公鑰加密技術廣泛應用。公鑰加密系統採用的是非對稱加密演算法。

目前的數字簽名是建立在公共密鑰體制基礎上，它是公用密鑰加密技術的另一類應用。它的主要方式是，報文的發送方從報文文本中生成一個128位的散列值（或報文摘要）。發送方用自己的私人密鑰對這個散列值進行加密來形成發送方的數字簽名。然後，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發送方的公用密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同、那麼接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別。

在書面文件上簽名是確認文件的一種手段，其作用有兩點：第一，因為自己的簽名難以否認，從而確認了文件已簽署這一事實；第二，因為簽名不易仿冒，從而確定了文件是真的這一事實。

數字簽名與書面文件簽名有相同之處，採用數字簽名，也能確認以下兩點：第一，信息是由簽名者發送的；第二，信息自簽發後到收到為止未曾作過任何修改。這樣數字簽名就可用來防止電子信息因易被修改而有人作偽，或冒用別人名義發送信息。或發出（收到）信件後又加以否認等情況發生。

應用廣泛的數字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。這三種演算法可單獨使用，也可綜合在一起使用。數字簽名是通過密碼演算法對數據進行加、解密變換實現的，用DES算去、RSA演算法都可實現數字簽名。但三種技術或多或少都有缺陷，或者沒有成熟的標准。

用RSA或其它公開密鑰密碼演算法的最大方便是沒有密鑰分配問題（網路越復雜、網路用戶越多，其優點越明顯）。因為公開密鑰加密使用兩個不同的密鑰，其中有一個是公開的，另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁（商業電話）上或公告牌里，網上的任何用戶都可獲得公開密鑰。而私有密鑰是用戶專用的，由用戶本身持有，它可以對由公開密鑰加密信息進行解密。

RSA演算法中數字簽名技術實際上是通過一個哈希函數來實現的。數字簽名的特點是它代表了文件的特徵，文件如果發生改變，數字簽名的值也將發生變化。不同的文件將得到不同的數字簽名。一個最簡單的哈希函數是把文件的二進制碼相累加，取最後的若干位。哈希函數對發送數據的雙方都是公開的。

DSS數字簽名是由美國國家標准化研究院和國家安全局共同開發的。由於它是由美國政府頒布實施的，主要用於與美國政府做生意的公司，其他公司則較少使用，它只是一個簽名系統，而且美國政府不提倡使用任何削弱政府竊聽能力的加密軟體，認為這才符合美國的國家利益。
[page]

Hash簽名是最主要的數字簽名方法，也稱之為數字摘要法（Digital Digest）或數字指紋法（Digital Finger Print）。它與RSA數字簽名是單獨的簽名不同，該數字簽名方法是將數字簽名與要發送的信息緊密聯系在一起，它更適合於電子商務活動。將一個商務合同的個體內容與簽名結合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。數字摘要（Digital Digest）加密方法亦稱安全Hash編碼法（SHA：Secure Hash Algorithm）或MD5（MD Standard For Message Digest），由RonRivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文，這一串密文亦稱為數字指紋（Finger Print），它有固定的長度，且不同的明文摘要必定一致。這樣這串摘要使可成為驗證明文是否是「真身」的「指紋」了。

只有加入數字簽名及驗證才能真正實現在公開網路上的安全傳輸。加入數字簽名和驗證的文件傳輸過程如下：

（1）發送方首先用哈希函數從原文得到數字簽名，然後採用公開密鑰體系用發達方的私有密鑰對數字簽名進行加密，並把加密後的數字簽名附加在要發送的原文後面；
（2）發送一方選擇一個秘密密鑰對文件進行加密,並把加密後的文件通過網路傳輸到接收方；
（3）發送方用接收方的公開密鑰對密秘密鑰進行加密,並通過網路把加密後的秘密密鑰傳輸到接收方；
（4）接受方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密鑰的明文；
（5）接收方用秘密密鑰對文件進行解密，得到經過加密的數字簽名；
（6）接收方用發送方的公開密鑰對數字簽名進行解密，得到數字簽名的明文；
（7）接收方用得到的明文和哈希函數重新計算數字簽名，並與解密後的數字簽名進行對比。如果兩個數字簽名是相同的，說明文件在傳輸過程中沒有被破壞。

如果第三方冒充發送方發出了一個文件，因為接收方在對數字簽名進行解密時使用的是發送方的公開密鑰，只要第三方不知道發送方的私有密鑰，解密出來的數字簽名和經過計算的數字簽名必然是不相同的。這就提供了一個安全的確認發送方身份的方法。

安全的數字簽名使接收方可以得到保證：文件確實來自聲稱的發送方。鑒於簽名私鑰只有發送方自己保存，他人無法做一樣的數字簽名，因此他不能否認他參與了交易。

數字簽名的加密解密過程和私有密鑰的加密解密過程雖然都使用公開密鑰體系，但實現的過程正好相反，使用的密鑰對也不同。數字簽名使用的是發送方的密鑰對，發送方用自己的私有密鑰進行加密，接收方用發送方的公開密鑰進行解密。這是一個一對多的關系：任何擁有發送方公開密鑰的人都可以驗證數字簽名的正確性，而私有密鑰的加密解密則使用的是接收方的密鑰對，這是多對一的關系：任何知道接收方公開密鑰的人都可以向接收方發送加密信息，只有唯一擁有接收方私有密鑰的人才能對信息解密。在實用過程中，通常一個用戶擁有兩個密鑰對，一個密鑰對用來對數字簽名進行加密解密，一個密鑰對用來對私有密鑰進行加密解密。這種方式提供了更高的安全性。

9.數字時間戳技術
在電子商務的發展過程中，數字簽名技術也有所發展。數字時間戳技術就是數字簽名技術一種變種的應用。

在電子商務交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。數字時間戳服務（DTS：digita1 time stamp service）是網上電子商務安全服務項目之一，能提供電子文件的日期和時間信息的安全保護，由專門的機構提供。

如果在簽名時加上一個時間標記，即是有數字時間戳（digital time stamp）的數字簽名。

時間戳（time-stamp）是一個經加密後形成的憑證文檔，它包括三個部分：

（1）需加時間戳的文件的摘要（digest）；
（2）DTS收到文件的日期和時間；
（3）DTS的數字簽名。

一般來說，時間戳產生的過程為：用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然後將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密（數字簽名），然後送回用戶。

書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據。
10. SSL安全協議

SSL安全協議最初是由Netscape Communication公司設計開發的，又叫「安全套接層（Secure Sockets Layer）協議」，主要用於提高應用程序之間的數據的安全系數。SSL協議的整個概念可以被總結為：一個保證任何安裝了安全套接字的客戶和伺服器間事務安全的協議，它涉及所有TC/IP應用程序。

SSL安全協議主要提供三方面的服務：

用戶和伺服器的合法性認證
認證用戶和伺服器的合法性，使得它們能夠確信數據將被發送到正確的客戶機和伺服器上。客戶機和伺服器都是有各自的識別號，這些識別號由公開密鑰進行編號，為了驗證用戶是否合法，安全套接層協議要求在握手交換數據進行數字認證，以此來確保用戶的合法性。

加密數據以隱藏被傳送的數據
安全套接層協議所採用的加密技術既有對稱密鑰技術，也有公開密鑰技術。在客戶機與伺服器進行數據交換之前，交換SSL初始握手信息，在SSL握手情息中採用了各種加密技術對其加密，以保證其機密性和數據的完整性，並且用數字證書進行鑒別。這樣就可以防止非法用戶進行破譯。

護數據的完整性
安全套接層協議採用Hash函數和機密共享的方法來提供信息的完整性服務，建立客戶機與伺服器之間的安全通道，使所有經過安全套接層協議處理的業務在傳輸過程中能全部完整准確無誤地到達目的地。

要說明的是，安全套接層協議是一個保證計算機通信安全的協議，對通信對話過程進行安全保護。例如，一台客戶機與一台主機連接上了，首先是要初始化握手協議，然後就建立了一個SSL。對話進段。直到對話結束，安全套接層協議都會對整個通信過程加密，並且檢查其完整性。這樣一個對話時段算一次握手。而HTTP協議中的每一次連接就是一次握手，因此，與HTTP相比。安全套接層協議的通信效率會高一些。

（1）接通階段：客戶通過網路向服務商打招呼，服務商回應；
（2）密碼交換階段：客戶與伺服器之間交換雙方認可的密碼，一般選用RSA密碼演算法，也有的選用Diffie-Hellmanf和Fortezza-KEA密碼演算法；
（3）會談密碼階段：客戶與服務商間產生彼此交談的會談密碼；
（4）檢驗階段：檢驗服務商取得的密碼；
（5）客戶認證階段：驗證客戶的可信度；
（6）結束階段，客戶與服務商之間相互交換結束的信息。

當上述動作完成之後，兩者間的資料傳送就會加密，另外一方收到資料後，再將編碼資料還原。即使盜竊者在網路上取得編碼後的資料，如果沒有原先編制的密碼演算法，也不能獲得可讀的有用資料。

發送時信息用對稱密鑰加密，對稱密鑰用非對稱演算法加密，再把兩個包綁在一起傳送過去。

接收的過程與發送正好相反，先打開有對稱密鑰的加密包，再用對稱密鑰解密。

在電子商務交易過程中，由於有銀行參與，按照SSL協議，客戶的購買信息首先發往商家，商家再將信息轉發銀行，銀行驗證客戶信息的合法性後，通知商家付款成功，商家再通知客戶購買成功，並將商品寄送客戶。

SSL安全協議是國際上最早應用於電子商務的一種網路安全協議，至今仍然有很多網上商店使用。在傳統的郵購活動中，客戶首先尋找商品信息，然後匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在電子商務的開始階段，商家也是擔心客戶購買後不付款，或使用過期的信用卡，因而希望銀行給予認證。SSL安全協議正是在這種背景下產生的。

SSL協議運行的基點是商家對客戶信息保密的承諾。但在上述流程中我們也可以注意到，SSL協議有利於商家而不利於客戶。客戶的信息首先傳到商家，商家閱讀後再傳至（銀行，這樣，客戶資料的安全性便受到威脅。商家認證客戶是必要的，但整個過程中，缺少了客戶對商家的認證。在電子商務的開始階段，由於參與電子商務的公司大都是一些大公司，信譽較高，這個問題沒有引起人們的重視。隨著電子商務參與的廠商迅速增加，對廠商的認證問題越來越突出，SSL協議的缺點完全暴露出來。SSL協議將逐漸被新的電子商務協議（例如SET）所取代。
[page]
11. SET安全協議
在開放的網際網路上處理電子商務，保證買賣雙方傳輸數據的安全成為電子商務的重要的問題。為了克服SSL安全協議的缺點，滿足電子交易持續不斷地增加的安全要求，為了達到交易安全及合乎成本效益的市場要求，VISA國際組織及其它公司如Master Card、Micro Soft、IBM等共同制定了安全電子交易（SET：Secure Electronic Transactions）公告。這是一個為在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對於需要支付貨幣的交易來講是至關重要的。由於設計合理，SET協議得到了許多大公司和消費者的支持，己成為全球網路的工業標准，其交易形態將成為未來「電子商務」的規范。

C. 密碼學與網路安全的目錄

第1章 導言
1.1 安全目標
1.1.1 機密性
1.1.2 完整性
1.1.3 可用性
1.2 攻擊
1.2.1 威脅機密性的攻擊
1.2.2 威脅完整性的攻擊
1.2.3 威脅可用性的攻擊
1.2.4 被動攻擊與主動攻擊
1.3 服務和機制
1.3.1 安全服務
1.3.2 安全機制
1.3.3 服務和機制之間的關系
1.4 技術
1.4.1 密碼術
1.4.2 密寫術
1.5 本書的其餘部分
第Ⅰ部分 對稱密鑰加密
第Ⅱ部分 非對稱密鑰加密
第Ⅲ部分 完整性、驗證和密鑰管理
第Ⅳ部分 網路安全
1.6 推薦閱讀
1.7 關鍵術語
1.8 概要
1.9 習題集
第Ⅰ部分 對稱密鑰加密
第2章 密碼數學 第Ⅰ部分：模演算法、同餘和矩陣
2.1 整數演算法
2.1.1 整數集
2.1.2 二進制運算
2.1.3 整數除法
2.1.4 整除性
2.1.5 線性丟番圖方程
2.2 模運算
2.2.1 模算符
2.2.2 余集：Zn
2.2.3 同餘
2.2.4 在集合Zn當中的運算
2.2.5 逆
2.2.6 加法表和乘法表
2.2.7 加法集和乘法集的不同
2.2.8 另外兩個集合
2.3 矩陣
2.3.1 定義
2.3.2 運算和關系
2.3.3 行列式
2.3.4 逆
2.3.5 剩餘陣
2.4 線性同餘
2.4.1 單變數線性方程
2.4.2 線性方程組
2.5 推薦閱讀
2.6 關鍵術語
2.7 概要
2.8 習題集
第3章 傳統對稱密鑰密碼
3.1 導言
3.1.1 Kerckhoff原理
3.1.2 密碼分析
3.1.3 傳統密碼的分類
3.2 代換密碼
3.2.1 單碼代換密碼
3.2.2 多碼代換密碼
3.3 換位密碼
3.3.1 無密鑰換位密碼
3.3.2 有密鑰的換位密碼
3.3.3 把兩種方法組合起來
3.4 流密碼和分組密碼
3.4.1 流密碼
3.4.2 分組密碼
3.4.3 組合
3.5 推薦閱讀
3.6關鍵術語
3.7 概要
3.8 習題集
第4章 密碼數學 第Ⅱ部分：代數結構
4.1 代數結構
4.1.1 群
4.1.2 環
4.1.3 域
4.1.4 小結
4.2 GF（2n）域
4.2.1 多項式
4.2.2 運用一個生成器
4.2.3 小結
4.3 推薦閱讀
4.4 關鍵術語
4.5 概要
4.6 習題集
第5章 現代對稱密鑰密碼
5.1 現代分組密碼
5.1.1 代換與換位
5.1.2 作為置換群的分組密碼
5.1.3 現代分組密碼的成分
5.1.4 換字盒
5.1.5 乘積密碼
5.1.6 兩類乘積密碼
5.1.7 關於分組密碼的攻擊
5.2 現代流密碼
5.2.1 同步流密碼
5.2.2 非同步流密碼
5.3 推薦閱讀
5.4 關鍵術語
5.5 概要
5.6 習題集
第6章 數據加密標准（DES）
6.1 導言
6.1.1 數據加密標准（DES）簡史
6.1.2 概觀
6.2 DES的結構
6.2.1 初始置換和最終置換
6.2.2 輪
6.2.3 密碼和反向密碼
6.2.4 示例
6.3 DES分析
6.3.1 性質
6.3.2 設計標准
6.3.3 DES的缺陷
6.4 多重 DES
6.4.1 雙重DES
6.4.2 三重DES
6.5 DES的安全性
6.5.1 蠻力攻擊
6.5.2 差分密碼分析
6.5.3 線性密碼分析
6.6 推薦閱讀
6.7 關鍵術語
6.8 概要
6.9 習題集
第7章 高級加密標准（AES）
7.1 導言
7.1.1 高級加密標准（AES）簡史
7.1.2 標准
7.1.3 輪
7.1.4 數據單位
7.1.5 每一個輪的結構
7.2 轉換
7.2.1 代換
7.2.2 置換
7.2.3 混合
7.2.4 密鑰加
7.3 密鑰擴展
7.3.1 在AES-128中的密鑰擴展
7.3.2 AES-192和AES-256中的密鑰擴展
7.3.3 密鑰擴展分析
7.4 密碼
7.4.1 源設計
7.4.2 選擇性設計
7.5 示例
7.6 AES的分析
7.6.1 安全性
7.6.2 可執行性
7.6.3 復雜性和費用
7.7 推薦閱讀
7.8 關鍵術語
7.9 概要
7.10 習題集
第8章 應用現代對稱密鑰密碼的加密
8.1 現代分組密碼的應用
8.1.1 電子密碼本模式
8.1.2 密碼分組鏈接（CBC）模式
8.1.3 密碼反饋（CFB）模式
8.1.4 輸出反饋（OFB）模式
8.1.5 計數器（CTR）模式
8.2 流密碼的應用
8.2.1 RC4
8.2.2 A5/1
8.3 其他問題
8.3.1 密鑰管理
8.3.2 密鑰生成
8.4 推薦閱讀
8.5 關鍵術語
8.6 概要
8.7 習題集
第Ⅱ部分 非對稱密鑰加密
第9章 密碼數學 第Ⅲ部分：素數及其相關的同餘方程
9.1 素數
9.1.1 定義
9.1.2 素數的基數
9.1.3 素性檢驗
9.1.4 Euler Phi-（歐拉?（n））函數
9.1.5 Fermat（費爾馬）小定理
9.1.6 Euler定理
9.1.7 生成素數
9.2 素性測試
9.2.1 確定性演算法
9.2.2概率演算法
9.2.3 推薦的素性檢驗
9.3 因數分解
9.3.1 算術基本定理
9.3.2 因數分解方法
9.3.3 Fermat方法 248
9.3.4 Pollard p – 1方法
9.3.5 Pollard rho方法
9.3.6 更有效的方法
9.4 中國剩餘定理
9.5 二次同餘
9.5.1 二次同餘模一個素數
9.5.2 二次同餘模一個復合數
9.6 指數與對數
9.6.1 指數
9.6.2 對數
9.7 推薦閱讀
9.8 關鍵術語
9.9 概要
9.10 習題集
第10章 非對稱密鑰密碼學
10.1 導言
10.1.1 密鑰
10.1.2 一般概念
10.1.3 雙方的需要
10.1.4 單向暗門函數
10.1.5 背包密碼系統
10.2 RSA密碼系統
10.2.1 簡介
10.2.2 過程
10.2.3 一些普通的例子
10.2.4 針對RSA的攻擊
10.2.5 建議
10.2.6 最優非對稱加密填充（OAEP）
10.2.7 應用
10.3 RABIN密碼系統
10.3.1 過程
10.3.2 Rabin系統的安全性
10.4 ELGAMAL密碼系統
10.4.1 ElGamal密碼系統
10.4.2 過程
10.4.3 證明
10.4.4 分析
10.4.5 ElGamal的安全性
10.4.6 應用
10.5 橢圓曲線密碼系統
10.5.1 基於實數的橢圓曲線
10.5.2 基於GF（ p）的橢圓曲線
10.5.3 基於GF（2n）的橢圓曲線
10.5.4 模擬ElGamal的橢圓曲線加密系統
10.6 推薦閱讀
10.7 關鍵術語
10.8 概要
10.9 習題集
第Ⅲ部分 完整性、驗證和密鑰管理
第11章 信息的完整性和信息驗證
11.1 信息完整性
11.1.1 文檔與指紋
11.1.2 信息與信息摘要
11.1.3 區別
11.1.4 檢驗完整性
11.1.5 加密hash函數標准
11.2 隨機預言模型
11.2.1 鴿洞原理
11.2.2 生日問題
11.2.3 針對隨機預言模型的攻擊
11.2.4 針對結構的攻擊
11.3 信息驗證
11.3.1 修改檢測碼
11.3.2 信息驗證代碼（MAC）
11.4 推薦閱讀
11.5 關鍵術語
11.6 概要
11.7 習題集
第12章 加密hash函數
12.1 導言
12.1.1 迭代hash函數
12.1.2 兩組壓縮函數
12.2 SHA-512
12.2.1 簡介
12.2.2 壓縮函數
12.2.3 分析
12.3 WHIRLPOOL
12.3.1 Whirlpool密碼
12.3.2 小結
12.3.3 分析
12.4 推薦閱讀
12.5 關鍵術語
12.6 概要
12.7 習題集
第13章 數字簽名
13.1 對比
13.1.1 包含性
13.1.2 驗證方法
13.1.3 關系
13.1.4 二重性
13.2 過程
13.2.1 密鑰需求
13.2.2 摘要簽名
13.3 服務
13.3.1 信息身份驗證
13.3.2 信息完整性
13.3.3 不可否認性
13.3.4 機密性
13.4 針對數字簽名的攻擊
13.4.1 攻擊類型
13.4.2 偽造類型
13.5 數字簽名方案
13.5.1 RSA數字簽名方案
13.5.2 ElGamal數字簽名方案
13.5.3 Schnorr數字簽名方案
13.5.4 數字簽名標准（DSS）
13.5.5 橢圓曲線數字簽名方案
13.6 變化與應用
13.6.1 變化
13.6.2 應用
13.7 推薦閱讀
13.8 關鍵術語
13.9 概要
13.10 習題集
第14章 實體驗證
14.1 導言
14.1.1 數據源驗證與實體驗證
14.1.2 驗證的類型
14.1.3 實體驗證和密鑰管理
14.2 口令
14.2.1 固定口令
14.2.2 一次性密碼
14.3 挑戰—應答
14.3.1 對稱密鑰密碼的運用
14.3.2 帶密鑰hash函數的應用
14.3.3 非對稱密鑰密碼的應用
14.3.4 數字簽名的應用
14.4 零知識
14.4.1 Fiat-Shamir協議
14.4.2 Feige-Fiat-Shamir協議
14.4.3 Guillou-Quisquater協議
14.5 生物測試
14.5.1 設備
14.5.2 注冊
14.5.3 驗證
14.5.4 技術
14.5.5 准確性
14.5.6 應用
14.6 推薦閱讀
14.7 關鍵術語
14.8 概要
14.9 習題集
第15章 密鑰管理
15.1 對稱密鑰分配
15.2 KERBEROS
15.2.1 伺服器
15.2.2 操作
15.2.3 不同伺服器的運用
15.2.4 Kerberos第五版
15.2.5 領域
15.3 對稱密鑰協定
15.3.1 Diffie-Hellman密鑰協定
15.3.2 站對站密鑰協定
15.4 公鑰分配
15.4.1 公鑰公布
15.4.2 可信中心
15.4.3 可信中心的控制
15.4.4 認證機關
15.4.5 X.509
15.4.6 公鑰基礎設施（PKI）
15.5 推薦閱讀
15.6 關鍵術語
15.7 概要
15.8 習題集
第Ⅳ部分 網 絡 安 全
第16章 應用層的安全性：PGP和S/MIME
16.1 電子郵件
16.1.1 電子郵件的構造
16.1.2 電子郵件的安全性
16.2 PGP
16.2.1 情景
16.2.2 密鑰環
16.2.3 PGP證書
16.2.4 密鑰撤回
16.2.5 從環中提取消息
16.2.6 PGP包
16.2.7 PGP信息
16.2.8 PGP的應用
16.3 S/MIME
16.3.1 MIME
16.3.2 S/MIME
16.3.3 S/MIME的應用
16.4 推薦閱讀
16.5 關鍵術語
16.6 概要
16.7 習題集
第17章 傳輸層的安全性：SSL和TLS
17.1 SSL結構
17.1.1 服務
17.1.2 密鑰交換演算法
17.1.3 加密/解密演算法
17.1.4 散列演算法
17.1.5 密碼套件
17.1.6 壓縮演算法
17.1.7 加密參數的生成
17.1.8 會話和連接
17.2 4個協議
17.2.1 握手協議
17.2.2 改變密碼規格協議
17.2.3 告警協議
17.2.4 記錄協議
17.3 SSL信息構成
17.3.1 改變密碼規格協議
17.3.2 告警協議
17.3.3 握手協議
17.3.4 應用數據
17.4 傳輸層安全
17.4.1 版本
17.4.2 密碼套件
17.4.3 加密秘密的生成
17.4.4 告警協議
17.4.5 握手協議
17.4.6 記錄協議
17.5 推薦閱讀
17.6 關鍵術語
17.7 概要
17.8 習題集
第18章 網路層的安全：IPSec
18.1 兩種模式
18.2 兩個安全協議
18.2.1 驗證文件頭（AH）
18.2.2 封裝安全載荷（ESP）
18.2.3 IPv4和IPv6
18.2.4 AH和ESP
18.2.5 IPSec提供的服務
18.3 安全關聯
18.3.1 安全關聯的概念
18.3.2 安全關聯資料庫（SAD）
18.4 安全策略
18.5 互聯網密鑰交換（IKE）
18.5.1 改進的Diffie-Hellman密鑰交換
18.5.2 IKE階段
18.5.3 階段和模式
18.5.4 階段Ⅰ：主模式
18.5.5 階段Ⅰ：野蠻模式
18.5.6 階段Ⅱ：快速模式
18.5.7 SA演算法
18.6 ISAKMP
18.6.1 一般文件頭
18.6.2 有效載荷
18.7 推薦閱讀
18.8 關鍵術語
18.9 概要
18.10 習題集
附錄A ASCII
附錄B 標准與標准化組織
附錄C TCP/IP套件
附錄D 初等概率
附錄E 生日問題
附錄F 資訊理論
附錄G 不可約多項式與本原多項式列舉
附錄H 小於10 000的素數
附錄I 整數的素因數
附錄J 小於1000素數的一次本原根列表
附錄K 隨機數生成器
附錄L 復雜度
附錄M ZIP
附錄N DES差分密碼分析和DES線性密碼分析
附錄O 簡化DES（S-DES）
附錄P 簡化AES（S-AES）
附錄Q 一些證明
術語表
參考文獻
……
-------------------------------------------------
作者： （印）卡哈特著，金名等譯
出 版 社： 清華大學出版社
出版時間： 2009-3-1
版次： 1
頁數： 427
開本： 16開
I S B N ： 9787302193395
包裝： 平裝
所屬分類： 圖書 >> 計算機/網路 >> 信息安全 本書以清晰的脈絡、簡潔的語言，介紹了各種加密技術、網路安全協議與實現技術等內容，包括各種對稱密鑰演算法與AES，非對稱密鑰演算法、數字簽名與RSA，數字證書與公鑰基礎設施，Internet安全協議，用戶認證與Kerberos，Java、．NET和操作系統的加密實現，網路安全、防火牆與VPN，並給出了具體的加密與安全的案例實現分析，是—本關於密碼學與網路安全的理論結合實踐的優秀教材。
本書特點
本書語言表達流暢、簡潔，使本書的閱讀不再枯燥。
全書多達425幅插圖，極大地方便了讀者的學習和理解。
全書提供了豐富的多項選擇題、練習題、設計與編程題，有利於加深讀者對所學知識的理解和掌握。 第1章計算機攻擊與計算機安全
1.1簡介
1.2安全需求
1.3安全方法
1.4安全性原則
1.5攻擊類型
1.6本章小結
1.7實踐練習
第2章加密的概念與技術
2.1簡介
2.2明文與密文
2.3替換方法
2.4變換加密技術
2.5加密與解密
2.6對稱與非對稱密鑰加密
2.7夾帶加密法
2.8密鑰范圍與密鑰長度
2.9攻擊類型
2.10本章小結
2.11實踐練習
第3章對稱密鑰演算法與AES
3.1簡介
3.2演算法類型與模式
3.3對稱密鑰加密法概述
3.4數據加密標准
……
第4章非對稱密鑰演算法、數字簽名與RSA
第5章數字證書與公鑰基礎設施
第6章Internet安全協議
第7章用戶認證與Kerberos
第8章Java、NET和操作系統的加密實現
第9章網路安全、防火牆與VPN
第10章加密與安全案例分析
附錄A數學背景知識
附錄B數字系統
附錄C信息理論
附錄D實際工具
附錄EWeb資源
附錄FASN、BER、DER簡介
參考文獻
術語表

D. 計算機網路安全開題報告

1. 背景和意義
隨著計算機的發展,人們越來越意識到網路的重要性,通過網路,分散在各處的計算機被網路聯系在一起。做為網路的組成部分,把眾多的計算機聯系在一起,組成一個區域網,在這個區域網中,可以在它們之間共享程序、文檔等各種資源；還可以通過網路使多台計算機共享同一硬體,如列印機、數據機等；同時我們也可以通過網路使用計算機發送和接收傳真,方便快捷而且經濟。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網路社會的時候,我國將建立起一套完整的網路安全體系,特別是從政策上和法律上建立起有中國自己特色的網路安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平台。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網路安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網路安全技術的整體提高。
網路安全產品有以下幾大特點：第一,網路安全來源於安全策略與技術的多樣化,如果採用一種統一的技術和策略也就不安全了；第二,網路的安全機制與技術要不斷地變化；第三,隨著網路在社會個方面的延伸,進入網路的手段也越來越多,因此,網路安全技術是一個十分復雜的系統工程。為此建立有中國特色的網路安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。第二章網路安全現狀
2.網路安全面臨的挑戰
網路安全可能面臨的挑戰
垃圾郵件數量將變本加厲。
根據電子郵件安全服務提供商Message Labs公司最近的一份報告,預計2003年全球垃圾郵件數量的增長率將超過正常電子郵件的增長率,而且就每封垃圾郵件的平均容量來說,也將比正常的電子郵件要大得多。這無疑將會加大成功狙擊垃圾郵件的工作量和難度。目前還沒有安裝任何反垃圾郵件軟體的企業公司恐怕得早做未雨綢繆的工作,否則就得讓自己的員工們在今後每天不停地在鍵盤上按動「刪除鍵」了。另外,反垃圾郵件軟體也得不停升級,因為目前垃圾郵件傳播者已經在實行「打一槍換一個地方」的游擊戰術了。
即時通訊工具照樣難逃垃圾信息之劫。
即時通訊工具以前是不大受垃圾信息所干擾的,但現在情況已經發生了很大的變化。垃圾郵件傳播者會通過種種手段清理搜集到大量的網路地址,然後再給正處於即時通訊狀態的用戶們發去信息,誘導他們去訪問一些非法收費網站。更令人頭疼的是,目前一些推銷合法產品的廠家也在使用這種讓人厭煩的手段來讓網民們上鉤。目前市面上還沒有任何一種反即時通訊干擾信息的軟體,這對軟體公司來說無疑也是一個商機。
內置防護軟體型硬體左右為難。
現在人們對網路安全問題受重視的程度也比以前大為提高。這種意識提高的表現之一就是許多硬體設備在出廠前就內置了防護型的軟體。這種做法雖然前幾年就已經出現,預計在今後的幾年中將會成為一種潮流。但這種具有自護功能的硬體產品卻正遭遇著一種尷尬,即在有人歡迎這種產品的同時,也有人反對這樣的產品。往好處講,這種硬體產品更容易安裝,整體價格也相對低廉一些。但它也有自身的弊端：如果企業用戶需要更為專業化的軟體服務時,這種產品就不會有很大的彈性區間。
企業用戶網路安全維護范圍的重新界定。
目前各大企業公司的員工們在家裡通過寬頻接入而登錄自己公司的網路系統已經是一件很尋常的事情了。這種工作新方式的出現同樣也為網路安全帶來了新問題,即企業用戶網路安全維護范圍需要重新界定。因為他們都是遠程登錄者,並沒有納入傳統的企業網路安全維護的「勢力范圍」之內。另外,由於來自網路的攻擊越來越嚴重,許多企業用戶不得不將自己網路系統內的每一台PC機都裝上防火牆、反侵入系統以及反病毒軟體等一系列的網路安全軟體。這同樣也改變了以往企業用戶網路安全維護范圍的概念。
個人的信用資料。
個人信用資料在公眾的日常生活中占據著重要的地位。以前的網路犯罪者只是通過網路竊取個人用戶的信用卡賬號,但隨著網上竊取個人信用資料的手段的提高,預計2003年這種犯罪現象將會發展到全面竊取美國公眾的個人信用資料的程度。如網路犯罪者可以對你的銀行存款賬號、社會保險賬號以及你最近的行蹤都能做到一覽無余。如果不能有效地遏制這種犯罪趨勢,無疑將會給美國公眾的日常人生活帶來極大的負面影響。
3.病毒現狀
互聯網的日漸普及使得我們的日常生活不斷網路化,但與此同時網路病毒也在繼續肆虐威脅泛濫。在過去的六個月內,互聯網安全飽受威脅,黑客蠕蟲入侵問題越來越嚴重,已成泛濫成災的趨勢。
2003年8月,沖擊波蠕蟲在視窗暴露安全漏洞短短26天之後噴涌而出,8天內導致全球電腦用戶損失高達20億美元之多,無論是企業系統或家庭電腦用戶無一倖免。
據最新出爐的賽門鐵克互聯網安全威脅報告書(Symantec Internet Security Threat Report)顯示,在2003年上半年,有超過994種新的Win32病毒和蠕蟲被發現,這比2002年同時期的445種多出一倍有餘。而目前Win32病毒的總數大約是4千個。在2001年的同期,只有308種新Win32病毒被發現。
這份報告是賽門鐵克在今年1月1日至6月31日之間,針對全球性的網路安全現狀,提出的最為完整全面的威脅趨勢分析。受訪者來自世界各地500名安全保護管理服務用戶,以及2萬個DeepSight威脅管理系統偵察器所探測的數據。
賽門鐵克高級區域董事羅爾威爾申在記者通氣會上表示,微軟雖然擁有龐大的用戶市佔率,但是它的漏洞也非常的多,成為病毒目標是意料中事。
他指出,開放源碼如Linux等之所以沒有受到太多病毒蠕蟲的襲擊,完全是因為使用者太少,以致於病毒製造者根本沒有把它不放在眼裡。他舉例說,劫匪當然知道要把目標鎖定在擁有大量現金的銀行,所以他相信隨著使用Linux平台的用戶數量的增加,慢慢地將會有針對Linux的病毒和蠕蟲出現。
不過,他不同意開放源碼社群的合作精神將能有效地對抗任何威脅的襲擊。他說,只要是將源碼暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不懷好意的人多的是。
即時通訊病毒4倍增長
賽門鐵克互聯網安全威脅報告書指出,在2003年上半年使用諸如ICQ之類即時通訊軟體(Instant Messaging,IM)和對等聯網(P2P)來傳播的病毒和蠕蟲比2002年增加了400%,在50大病毒和蠕蟲排行榜中,使用IM和P2P來傳播的惡意代碼共有19個。據了解,IM和P2P是網路安全保護措施不足導致但這並不是主因,主因在於它們的流行廣度和使用者的無知。
該報告顯示,該公司在今年上半年發現了1千432個安全漏洞,比去年同時期的1千276個安全漏洞,增加了12%。其中80%是可以被人遙控的,因此嚴重型的襲擊可以通過網路來進行,所以賽門鐵克將這類可遙控的漏洞列為中度至高度的嚴重危險。另外,今年上半年的新中度嚴重漏洞增加了21%、高度嚴重漏洞則增加了6%,但是低度嚴重漏洞則減少了11%。
至於整數錯誤的漏洞也有增加的趨勢,今年的19例比起去年同期的3例,增加了16例。微軟的互聯網瀏覽器漏洞在今年上半年也有12個,而微軟的互聯網資訊伺服器的漏洞也是非常的多,賽門鐵克相信它將是更多襲擊的目標；以前襲擊它的有尼姆達(Nimda)和紅色代碼(Code Red)。
該報告顯示了64%的襲擊是針對軟體新的安全漏洞(少過1年的發現期),顯示了病毒製造者對漏洞的反應越來越快了。以Blaster沖擊波為例,就是在Windows安全漏洞被發現短短26天後出現的。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是一個專鎖定銀行的蠕蟲。
黑客病毒特徵
賽門鐵克互聯網安全威脅報告書中也顯現了有趣的數據,比如周末的襲擊有比較少的趨向,這與去年同期的情況一樣。
雖然如此,周末兩天加上來也有大約20%,這可能是襲擊者會認為周末沒人上班,會比較疏於防備而有機可乘。賽門鐵克表示這意味著網路安全保護監視並不能因為周末休息而有所放鬆。
該報告書也比較了蠕蟲類和非蠕蟲類襲擊在周末的不同趨勢,非蠕蟲類襲擊在周末會有下降的趨勢,而蠕蟲類襲擊還是保持平時的水平。蠕蟲雖然不管那是星期幾,但是有很多因素也能影響它傳播的率,比如周末少人開機,確對蠕蟲的傳播帶來一些影響。
該報告書也得出了在互聯網中病毒襲擊發生的高峰時間,是格林威治時間下午1點至晚上10點之間。雖然如此,各國之間的時差關系,各國遭到襲擊的高峰時間也會有少許不同。比如說,華盛頓襲擊高峰時間是早上8時和下午5時,而日本則是早上10時和晚上7時。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是一個專鎖定銀行的蠕蟲。管理漏洞---如兩台伺服器同一用戶/密碼,則入侵了A伺服器,B伺服器也不能倖免；軟體漏洞---如Sun系統上常用的Netscape EnterPrise Server服務,只需輸入一個路徑,就可以看到Web目錄下的所有文件清單；又如很多程序只要接受到一些異常或者超長的數據和參數,就會導致緩沖區溢出；結構漏洞---比如在某個重要網段由於交換機、集線器設置不合理,造成黑客可以監聽網路通信流的數據；又如防火牆等安全產品部署不合理,有關安全機制不能發揮作用,麻痹技術管理人員而釀成黑客入侵事故；信任漏洞---比如本系統過分信任某個外來合作夥伴的機器,一旦這台合作夥伴的機器被黑客入侵,則本系統的安全受嚴重威脅；
綜上所述,一個黑客要成功入侵系統,必須分析各種和這個目標系統相關的技術因素、管理因素和人員因素。
因此得出以下結論：
a、世界上沒有絕對安全的系統；b、網路上的威脅和攻擊都是人為的,系統防守和攻擊的較量無非是人的較量；c、特定的系統具備一定安全條件,在特定環境下,在特定人員的維護下是易守難攻的；d、網路系統內部軟硬體是隨著應用的需要不斷發展變化的；網路系統外部的威脅、新的攻擊模式層出不窮,新的漏洞不斷出現,攻擊手段的花樣翻新,網路系統的外部安全條件也是隨著時間的推移而不斷動態變化的。
一言以蔽之,網路安全是相對的,是相對人而言的,是相對系統和應用而言的,是相對時間而言的。 4,安全防禦體系
3.1.2
現代信息系統都是以網路支撐,相互聯接,要使信息系統免受黑客、病毒的攻擊,關鍵要建立起安全防禦體系,從信息的保密性（保證信息不泄漏給未經授權的人）,拓展到信息的完整性（防止信息被未經授權的篡改,保證真實的信息從真實的信源無失真地到達真實的信宿）、信息的可用性（保證信息及信息系統確實為授權使用者所用,防止由於計算機病毒或其它人為因素造成的系統拒絕服務,或為敵手可用）、信息的可控性（對信息及信息系統實施安全監控管理）、信息的不可否認性（保證信息行為人不能否認自己的行為）等。
安全防禦體系是一個系統工程,它包括技術、管理和立法等諸多方面。為了方便,我們把它簡化為用三維框架表示的結構。其構成要素是安全特性、系統單元及開放互連參考模型結構層次。
安全特性維描述了計算機信息系統的安全服務和安全機制,包括身份鑒別、訪問控制、數據保密、數據完整、防止否認、審計管理、可用性和可靠性。採取不同的安全政策或處於不同安全保護等級的計算機信息系統可有不同的安全特性要求。系統單元維包括計算機信息系統各組成部分,還包括使用和管理信息系統的物理和行政環境。開放系統互連參考模型結構層次維描述了等級計算機信息系統的層次結構。
該框架是一個立體空間,突破了以往單一功能考慮問題的舊模式,是站在頂層從整體上進行規劃的。它把與安全相關的物理、規章及人員等安全要素都容納其中,涉及系統保安和人員的行政管理等方面的各種法令、法規、條例和制度等均在其考慮之列。
另外,從信息戰出發,消極的防禦是不夠的,應是攻防並重,在防護基礎上檢測漏洞、應急反應和迅速恢復生成是十分必要的。
目前,世界各國都在抓緊加強信息安全防禦體系。美國在2000年1月到2003年5月實行《信息系統保護國家計劃V1.0》,從根本上提高防止信息系統入侵和破壞能力。我國急切需要強化信息安全保障體系,確立我軍的信息安全戰略和防禦體系。這既是時代的需要,也是國家安全戰略和軍隊發展的需要,更是現實斗爭的需要,是擺在人們面前刻不容緩的歷史任務。 5加密技術
密碼理論與技術主要包括兩部分,即基於數學的密碼理論與技術（包括公鑰密碼、分組密碼、序列密碼、認證碼、數字簽名、Hash函數、身份識別、密鑰管理、PKI技術等）和非數學的密碼理論與技術（包括信息隱形,量子密碼,基於生物特徵的識別理論與技術）。
自從1976年公鑰密碼的思想提出以來,國際上已經提出了許多種公鑰密碼體制,但比較流行的主要有兩類：一類是基於大整數因子分解問題的,其中最典型的代表是RSA；另一類是基於離散對數問題的,比如ElGamal公鑰密碼和影響比較大的橢圓曲線公鑰密碼。由於分解大整數的能力日益增強,所以對RSA的安全帶來了一定的威脅。目前768比特模長的RSA已不安全。一般建議使用1024比特模長,預計要保證20年的安全就要選擇1280比特的模長,增大模長帶來了實現上的難度。而基於離散對數問題的公鑰密碼在目前技術下512比特模長就能夠保證其安全性。特別是橢圓曲線上的離散對數的計算要比有限域上的離散對數的計算更困難,目前技術下只需要160比特模長即可,適合於智能卡的實現,因而受到國內外學者的廣泛關注。國際上制定了橢圓曲線公鑰密碼標准IEEEP1363,RSA等一些公司聲稱他們已開發出了符合該標準的橢圓曲線公鑰密碼。我國學者也提出了一些公鑰密碼,另外在公鑰密碼的快速實現方面也做了一定的工作,比如在RSA的快速實現和橢圓曲線公鑰密碼的快速實現方面都有所突破。公鑰密碼的快速實現是當前公鑰密碼研究中的一個熱點,包括演算法優化和程序優化。另一個人們所關注的問題是橢圓曲線公鑰密碼的安全性論證問題。
公鑰密碼主要用於數字簽名和密鑰分配。當然,數字簽名和密鑰分配都有自己的研究體系,形成了各自的理論框架。目前數字簽名的研究內容非常豐富,包括普通簽名和特殊簽名。特殊簽名有盲簽名,代理簽名,群簽名,不可否認簽名,公平盲簽名,門限簽名,具有消息恢復功能的簽名等,它與具體應用環境密切相關。顯然,數字簽名的應用涉及到法律問題,美國聯邦政府基於有限域上的離散對數問題制定了自己的數字簽名標准（DSS）,部分州已制定了數字簽名法。法國是第一個制定數字簽名法的國家,其他國家也正在實施之中。在密鑰管理方面,國際上都有一些大的舉動,比如1993年美國提出的密鑰託管理論和技術、國際標准化組織制定的X.509標准（已經發展到第3版本）以及麻省里工學院開發的Kerboros協議(已經發展到第5版本)等,這些工作影響很大。密鑰管理中還有一種很重要的技術就是秘密共享技術,它是一種分割秘密的技術,目的是阻止秘密過於集中,自從1979年Shamir提出這種思想以來,秘密共享理論和技術達到了空前的發展和應用,特別是其應用至今人們仍十分關注。我國學者在這些方面也做了一些跟蹤研究,發表了很多論文,按照X.509標准實現了一些CA。但沒有聽說過哪個部門有制定數字簽名法的意向。目前人們關注的是數字簽名和密鑰分配的具體應用以及潛信道的深入研究。
認證碼是一個理論性比較強的研究課題,自80年代後期以來,在其構造和界的估計等方面已經取得了長足的發展,我國學者在這方面的研究工作也非常出色,影響較大。目前這方面的理論相對比較成熟,很難有所突破。另外,認證碼的應用非常有限,幾乎停留在理論研究上,已不再是密碼學中的研究熱點。
Hash函數主要用於完整性校驗和提高數字簽名的有效性,目前已經提出了很多方案,各有千秋。美國已經制定了Hash標准-SHA-1,與其數字簽名標准匹配使用。由於技術的原因,美國目前正准備更新其Hash標准,另外,歐洲也正在制定Hash標准,這必然導致Hash函數的研究特別是實用技術的研究將成為熱點。
信息交換加密技術分為兩類：即對稱加密和非對稱加密。
1.對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那麼他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。如三重DES是DES（數據加密標准）的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開,而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
3.RSA演算法
RSA演算法是Rivest、Shamir和Adleman於1977年提出的第一個完善的公鑰密碼體制,其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止,無法找到一個有效的演算法來分解兩大素數之積。RSA演算法的描述如下：
公開密鑰：n=pq(p、q分別為兩個互異的大素數,p、q必須保密)

E. 網路信息安全古典加密演算法都有哪些

常用密鑰演算法
密鑰演算法用來對敏感數據、摘要、簽名等信息進行加密，常用的密鑰演算法包括：
DES(Data Encryption Standard)：數據加密標准，速度較快，適用於加密大量數據的場合；
3DES(Triple DES)：是基於DES，對一塊數據用三個不同的密鑰進行三次加密，強度更高；
RC2和RC4：用變長密鑰對大量數據進行加密，比DES快;
RSA：由RSA公司發明，是一個支持變長密鑰的公共密鑰演算法，需要加密的文件快的長度也是可變的;
DSA(Digital Signature Algorithm)：數字簽名演算法，是一種標準的DSS(數字簽名標准);
AES(Advanced Encryption Standard)：高級加密標准，是下一代的加密演算法標准，速度快，安全級別高，目前AES標準的一個實現是 Rijndael演算法；
BLOWFISH：它使用變長的密鑰，長度可達448位，運行速度很快；
其它演算法：如ElGamal、Deffie-Hellman、新型橢圓曲線演算法ECC等。

常見加密演算法
des（data
encryption
standard）：數據加密標准，速度較快，適用於加密大量數據的場合；
3des（triple
des）：是基於des，對一塊數據用三個不同的密鑰進行三次加密，強度更高；
rc2和
rc4：用變長密鑰對大量數據進行加密，比
des
快；
idea（international
data
encryption
algorithm）國際數據加密演算法：使用
128
位密鑰提供非常強的安全性；
rsa：由
rsa
公司發明，是一個支持變長密鑰的公共密鑰演算法，需要加密的文件塊的長度也是可變的；
dsa（digital
signature
algorithm）：數字簽名演算法，是一種標準的
dss（數字簽名標准）；
aes（advanced
encryption
standard）：高級加密標准，是下一代的加密演算法標准，速度快，安全級別高，目前
aes
標準的一個實現是
rijndael
演算法；
blowfish，它使用變長的密鑰，長度可達448位，運行速度很快；
其它演算法，如elgamal、deffie-hellman、新型橢圓曲線演算法ecc等。
比如說，md5，你在一些比較正式而嚴格的網站下的東西一般都會有md5值給出，如安全焦點的軟體工具，每個都有md5。

F. 網路安全專業人士進。

你知道的那一點東西，對黑客來說沒有一點屁用

學安全還是從黑客著手，因為它會激發你的興趣

黑客x檔案和黑客手冊都是不錯的書

如果說你對osi七層結構模型還不了解的話，別說你知道任何東西