電子商務安全技術-加密技術

目錄|

CONTENTS01加密技術TEAM密碼體制PROFESSION02對稱加密技術COURSE03非對稱加密CHARAACTERISTIC04

信息安全技術的概念

信息安全技術主要保護數據免受未授權的泄漏、篡改和損壞，主要包含數據秘密性（secrecy）usergroupother數據真實性（authenticity）數據的完整性（integrity）信息安全的技術措施可分為:訪問控制技術和密碼技術兩大類。電子商務安全技術體系結構

電子商務安全常用技術主要包括：加密、數字簽名、電子證書、數字信封和雙重簽名等。DigitalSignature加密私鑰與數字簽名應用授權數字證書

JohnHancock保密性身份鑒證訪問控制授權完整性抗抵賴01加密技術

加密技術:包括信息的加密和解密兩個過程。

密碼技術的基本思想是偽裝信息，隱藏信息的真實內容，以使未授權者不能理解信息的真正含義，達到保密的作用。具體的就是對信息進行一組可逆的數學變換。偽裝前的信息稱為明文（Plaintext），偽裝后的信息稱為密文（Ciphertext）。將信息偽裝的過程稱為加密（Encryption）。加密在加密密鑰（key）的控制下進行。

密碼技術的基本思想（移位）加密就是將明文字母向后移動位形成密文。當＝3時有明密文對照關系如下：例如，明文：ILOVEYOULORYHBRX今晚9點發動總攻明文:JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ加密算法是將明文字母后移3位，解密就是將密文字母前移3位，3就是加解密的密鑰，由它控制加解密的進行。ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC一個加解密的過程分析交易信息的初始形式稱為明文，記為P。若P為字符系列時，則記為：

P=[P1，P2，┅┅Pn]明文經過加密后成密文。密文C也是字符系列，記為：

C=[C1，C2，┅┅Cn]明文與密文間的轉換可記為：顯然要求：C=E（P）及P=D（C）P=D（E（P））加密算法使用密鑰K，使得密文不僅依賴于初始明文，還要與密鑰的值有關。此時，加密過程可記為：C=E（P，K）（1）對稱密碼系統E是一組加密算法，而密鑰則用于選擇其中的一種特定算法。如果加密和解密采用相同的密鑰，則要求：P=D（E（P，K），K）用同一密鑰的加密和解密過程加密解密明文

密文

原來的明文

密鑰

（2）非對稱密碼系統采用成對的不同的加密密鑰和解密密鑰。即：P=D（E（P，KE），KD）用兩個密鑰的加密和解密過程加密解密明文

密文

原來的明文

KE

Kd

02密碼體制

密碼體制（crytosystem）也稱密碼系統，是指一個加密系統所采用的基本工作方式。密碼體制由五個部分組成：

1)

明文空間，它是全體明文的集合；

2)

密文空間，它是全體密文的集合；

3)

密鑰空間，它是全體密鑰的集合。其中每一個密鑰均由加密密鑰和解密密鑰組成

4)

加密算法；

5)

解密算法。2.密碼體制

圖

密碼體制明文信道解密算法加密算法明文加密密鑰解密密鑰密鑰竊取者

根據密鑰可以將密碼體制分為單密鑰密碼體制（One-keySystem，也稱對稱密碼體制或傳統密碼體制）雙密鑰密碼體制（Two-keySystem，也稱非對稱密碼體制或公開鑰密碼體制）。單密鑰與雙密鑰密碼體制圖

單密鑰密碼體制圖

雙密鑰密碼體制

一個密鑰（公鑰）作為公共信息發布出去，必須保證無法從公鑰推出私鑰，否則保密算法再強也將失去效果。這種體制的關鍵便是密鑰的生成，要能夠加解密又要不能互推。03對稱加密技術

對稱密匙（保密密匙）加密流程明文消息密匙A加密加密消息明文消息密匙A解密舉例：異或法加密

明文信息碼與密鑰碼異或，得到密文信息碼；該密文信息碼再與同一密鑰碼異或，又可以還原為原來的明文信息碼。就是說，加密過程和解密過程一致。例如：若明文為10011，密鑰碼為11010，則：加密

10011

明文

⊕

11010

密鑰碼

01001

密文解密

01001

明文

⊕

11010

密鑰碼

10011原來的明文

對稱加密技術(1）在首次通信前，雙方必須通過除網絡以外的另外途徑傳遞統一的密鑰。(2）當通信對象增多時，需要相應數量的密鑰。

(3）對稱加密是建立在共同保守秘密的基礎之上的，在管理和分發密鑰過程中，任何一方的泄密都會造成密鑰的失效，存在著潛在的危險和復雜的管理難度。

典型的對稱加密算法

DES、3DES、IDES、RC5、AES03-1DES算法

3-1、數據加密標準DESDES是美國國家標準局（NBS）于1977年頒布的數據加密標準算法（DataEncryptionStandard）,是一種分組密碼技術，是對稱密碼體制的優秀算法。

DES算法原理

DES算法是一種分組密碼算法。DES算法每次取明文中連續的64位數據，利用64位密鑰（其中有8位屬于奇偶效驗位），經過一連串（16次循環）的組加密算法（替換和移位）將其轉換成64位的數據（密文）。反復執行上述過程，就可將全部明文加密成密文。圖

分組密碼

DES算法的特點優點：加密和解密速度快，加密強度高，且算法公開。缺點：1、實現密鑰的秘密分發困難，對于具有n個用戶的網絡，需要n(n－1)/2個密鑰。在大量用戶的情況下密鑰管理復雜，而且無法完成身份認證等功能，不便于應用在網絡開放的環境中。2、要求提供一條安全的渠道使通信雙方在首次通信時協商一個共同的密鑰。3、對稱密鑰的管理和分發工作是一件具有潛在危險的和煩瑣的過程。04公開密鑰加密技術

4、公開密鑰密碼體制

加密和解密過程分別使用兩個不同的密鑰體系——非對稱式加密體系。它使用一對密鑰來分別完成加密和解密操作，一個公開發布，稱為公開密鑰（Public-Key）PKI；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key）。

公開密鑰體制的應用老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發出該信息用RSA保密,只有小李能解開該信息

典型的加密算法

RSA、背包算法、Rabin算法、概率加密算法、McEliece算法04-1RSA算法

4-1、RSA算法RSA的名字來歷：

1977年，R.Rivest、A.Shamir和L.Adleman教授提出了RSA算法。N------>PXQ(素數）?模P乘法逆元(費爾馬小定理)

對于整數a、p，如果存在整數b，滿足a*bmodp=1，則說，b是a的模p乘法逆元。b=ap-1modp.其中b=ap-1modp是a的模p乘法逆元。例：整數a=7，b=?，p=120，則b=7119mod120=103是a的逆元。RSA密鑰生成體制生成兩個大素數p和q，計算n=p*q；計算z=(p-1)*(q-1)，并找出一個與z互質的數e；利用歐拉函數計算出e的逆，使其滿足

e*dmod(p-1)(q-1)=1，mod為模運算；

d=ez-1modz公開密鑰為：PK=(n，e)，用于加密，可以公開出去。秘密密鑰為：SK=(n，d)，用于解密，必須保密。RSA加解密過程加密：設m為要傳送的明文，利用公開密鑰（n，e）加密，c為加密后的密文。則加密公式為：c=m^emodn，（0≤c<n）；解密：利用私密鑰（n，d）解密。則解密公式為：m=c^dmodn，（0≤m<n）。RSA加解密舉例選取p=11，q=13。則n=p*q=143。z=(p-1)*(q-1)=10*12=120；選取e=17（大于p和q的質數），計算其逆，d=17^119mod120=113。那么公鑰PK為（143，17），私鑰SK為（143，113）。

舉例如下：

（1）選兩個質數：p=47，q=71（為了計算方便，只選取十位數，實際加密時應該選取100位以上十進數的質數）

（2）計算：n＝pq＝47×71=3337，z＝（47-1）×（71-1）=3220

（3）e必須與z互質，選e=79

（4）計算：e*dmodz=1,d=79^(3220-1)mod(3220)，得出d=1019，這是因為1019×79=3220×25+1。

然后將e=79、n=3337公布，d=1019保密，p、q消毀即可。

如有一明文m=6882326879666683

加密過程如下：

先將m分割成多塊：m1=688，m2=232，m3=687，m4=966，m5=668，m6=3

將第1塊m1加密后得密文C1=m1^e（mod3337）=688^79（mod3337）=1570

依次對各區塊加密后得密文C=15702756271422762423158

解密過程如下：

對C1解密得m1

M1=C1^d（mod3337）=1570^1019（mod3337）=688

依次解密得原文M。密鑰生成難受到素數產生技術的限制。沒有從理論上證明破譯RSA的難度與大數分解難度等價。速度太慢RSA，為保證安全性，n至少也要600位以上。

RSA算法的特點公鑰算法應用－加密模式明文明文A發送機密信息給B,知道只有B可以解密A用B的公鑰加密(公開)B使用自己的私鑰解密(保密)HiBobAliceB的私鑰B的公鑰CiphertextAliceBob加密解密HiBobAliceHiBobAliceHiBobAlice對稱與非對稱加密體制對比特性對稱非對稱密鑰的數目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單不好管理需要數字證書及可靠第三者相對速度非常快慢用途用來做大量資料的加密用來做加密小文件或對信息簽字等不太嚴格保密的應用作業：電子版教材學習：P120-P128/openr/45374_output/web/45374-undW2zAAbtbRDCXK3WyYN8pKjAL9CFy5-3.htmlENDTHANKSDES在電子商務交易過程中存在的問題要求提供一條安全的渠道使通信雙方在首次通信時協商一個共同的密鑰。密鑰的數目難于管理。因為對于每一個合作者都需要使用不同的密鑰，很難適應開放社會中大量的信息交流。對稱加密算法一般不能提供信息完整性的鑒別。它無法驗證發送者和接受者的身份。對稱密鑰的管理和分發工作是一件具有潛在危險的和煩瑣的過程。電子商務安全技術：數字信封、數字簽名、數字證書

目錄|

CONTENTSDESRSA01數字信封TEAM數字簽名PROFESSION02數字證書COURSE03CHARAACTERISTIC0401數字信封

在實際的應用，對于加密量大的應用,通常由對稱密鑰對數據加密，公開密鑰用于對對稱加密的密鑰的加密，這種方式叫（數字信封）。1、數字信封公鑰算法應用－加密模式明文明文A發送機密信息給B,知道只有B可以解密A用B的公鑰加密(公開)B使用自己的私鑰解密(保密)HiBobAliceB的私鑰B的公鑰CiphertextAliceBob加密解密HiBobAliceHiBobAliceHiBobAlice

組合對稱密鑰和公開密鑰產生一個對稱密鑰——會話密鑰用會話密鑰加密信息最后用接收者的公鑰加密會話密鑰——因為它很短明文明文HiBobAliceHiBobAliceHiBobAlice會話密鑰加密1.信息X2c67afGkz78會話密鑰xaF4m78dKmAliceBob密文解密4.信息B的公鑰加密2.會話密鑰02數字簽名

2、

數字簽名

數字簽名也稱電子簽名，是指使用密碼算法，對待發的數據進行加密處理，生成一段數據摘要信息附在原文上一起發送，這段信息類似于現實中的簽名或印章，接收方收到簽名后，進行驗證，判定原文的真偽（是否由真實發送方發送）。數字簽名應該具有以下的功能：

(1)簽名者事后不可否認自己的簽名；

(2)任何其他人不能偽造簽名；

(3)若當事雙方出現爭執，可以由公正的第三方通過驗證確認簽名真偽。如果A要發送一篇需要數字簽名的文件給B，只需以下的幾個步驟：（1）A用其私鑰對要進行簽名的數據加密，這就是簽名；（2）將信息傳送給B；（3）B從公鑰庫中得到A的公鑰，用公鑰將A發來的信息解密，若可讀且符合一定要求B便可根據此確認該信息由A發出，并有效。

用公鑰算法實現數字簽名圖6－9整體信息的數字簽名原文原文數字簽名加密算法解密算法數字簽名發方私鑰發方公鑰原文比較發方收方對摘要信息（也稱壓縮信息）進行簽名的方法：先對原文信息進行加密壓縮形成數據摘要，然后再對數據摘要用發方私鑰加密形成簽名，發送給接收方，接收方收到信息后，對簽名信息解密，同時使用發方壓縮摘要的算法對收到的原文進行重新壓縮，將壓縮結果與簽名解密的結果對比，若一致則可證明該發送方的身份和數據可靠性。壓縮算法常用hash單向函數，生成128位的散列值(也稱報文摘要)。對摘要信息的簽名信息摘要生產與傳送

圖

信息摘要過程圖對摘要信息簽名發方收方比較解密算法發方公鑰數字簽名數據摘要數字簽名加密算法發方私鑰數據摘要壓縮算法原文原文壓縮算法數據摘要原文原文將數字摘要和數字簽名結合明文AliceBobA的私鑰HiBobAliceA的公鑰

摘要哈希函數gJ39vzamp4xOurjj9rRr%9$數字簽名HiBobAlice明文Ourjj9rRr%9$數字簽名HiBobAlice明文gJ39vzamp4x

新摘要哈希函數gJ39vzamp4x=？相同1、沒有篡改2、是Alice發送的1234567信息摘要數字簽名

圖

數字簽名過程03數字證書與CA認證

3、數字證書

數字證書（DigitalCertificate或DigitalID）數字證書又稱數字憑證，是用電子手段來證實一個實體的身份及其公鑰的合法性，并將實體身份與公鑰綁定。它是一個數字標識，可以實現身份的鑒別認證、完整性、保密性和不可抵賴等安全要求，也是公鑰的管理媒介，公鑰的分發、傳送等都是靠數字證書來完成的。目前，數字證書的格式一般采用X.509國際標準。數字證書（DigitalCertificate或DigitalID）數字證書采用公鑰密碼體制，每個用戶擁有一把僅為本人所掌握的私鑰，用它進行信息解密和數字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。數字證書可用于：發送安全電子郵件、訪問安全站點、網上證券交易、網上采購招標、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。

數字證書包括以下內容如圖所示：l

證書擁有者的姓名；l

證書擁有者的公鑰；l

公鑰的有限期；l

頒發數字證書的單位；l

頒發數字證書單位的數字簽名；l

數字證書的序列號等。數字證書的內容圖3-30查看證書內容（1）圖3-31查看證書內容（2）圖3-32查看證書內容（3）數字證書主要有以下類型：（1）個人數字證書（2）單位（工商企業）證書（3）軟件（代碼）數字證書

(4)設備數字證書數字證書的類型CA也稱認證中心是數字證書的簽發機構，是電子商務體系中的核心環節，是電子交易中信賴的基礎。認證中心作為一個電子商務交易中受信任和具有權威性的第三方，需要承擔網絡上安全電子交易的認證服務，負責產生、分發和管理用戶的數字證書。為每個使用公開密鑰的客戶發放數字證書，檢驗公鑰體系中公鑰的合法性。它參與每次通信過程，但是不涉及具體的通信內容。數字證書的簽發機構：認證中心CA（CertificateAuthority）（1）認證中心主要要完成證書的登記、審批、產生、發放、撤銷、查詢、管理等功能.（2）CA樹形的層次結構結構(如圖所示）

CA認證中心功能圖SETCA體系結構第一層根CA第二層品牌CA第三層終端CARootCABrandCAEnduserCA支付網關證書持卡人證書商家證書PCAMCACCA國內常見的CA有

中國商務在線l中國數字認證網（），數字認證，數字簽名，CA認證，CA證書，數字證書，安全電子商務。l北京數字證書認證中心

（），為網上電子政務和電子商務活動提供數字證書服務。l浙江數字證書認證中心

國內CA中心簡介（1）下載并安裝根證書（如圖3-34~3-38所示）（2）申請證書（如圖3-39~3-41所示）（3）將個人身份信息連同證書序列號一并郵寄到中國數字認證網數字證書的申請圖3-34下載根證書（1）圖3-35下載根證書（2）圖3-36安裝根證書（1）圖3-37安裝根證書（2）圖3-38查看根證書圖3-39申請個人免費證書圖3-40下載個人證書圖3-41查看個人證書帶有數字簽字和數字證書的加密系統

公開密鑰體制的應用老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發出該信息用RSA保密,只有小李能解開該信息（四）移動數字簽名移動簽名技術可以實現移動支付業務所要求的身份認證、數據完整性、不可否認性，是移動支付業務最重要安全保證。移動簽名涉及到手機端私鑰及數字證書的生成過程、身份認證過程、簽名過程和加密解密過程。1.手機端私鑰、公鑰以及證書的生成過程手機端數字證書和公鑰私鑰對的生成過程（1）用戶向CA服務器發送攜帶個人信息（如手機號碼）的認證請求；（2）CA服務器通過運營商的BOSS系統對用戶身份進行認證；（BOSS（Business&OperationSupportSystem）指的是業務運營支撐系統；通常BOSS分為四個部分：計費及結算系統、營業與賬務系統、客戶服務系統和決策支持系統）（3）認證通過用戶向用戶手機返回確認。（4）手機端的密鑰生成模塊生成一對公鑰、私鑰對（SK,PK)。（5）手機端將生成的公鑰PK及用戶信息用CA的公鑰加密發送給CA服務器。請求生成數字證書。（6）CA服務器收到請求以后，生成用戶的數字證書，并將生成的證書發送給手機端，證書中包含CA的數字簽名。（7）手機端收到證書以后，用CA服務器的公鑰驗證CA的簽名，如果驗證通過，說明生成的數字證書成功有效，并將其保存。2.身份認證過程用戶在每次登陸移動支付的業務系統之前，需要對用戶進行身份認證（1）手機端發送用戶接入請求，請求中包含用戶信息。（2）支付系統生成隨機數R,并用該用戶的公鑰加密ER=Enc(R,PK),將ER發送給手機端。（3）用戶手機端收到ER以后，使用用戶自己的私鑰SK對ER進行解密獲得R，R=Dec(ER,SK)。并將解密以后的隨機數R用支付系統的公鑰加密DER=Enc(R,PK),返回給支付系統。（4）支付系統收到DER以后，用自己的私鑰SK解密獲得隨機數R1，R1=Dec(DER,SK)驗證獲得隨機數R1與是否等于R，如果正確則通過用戶的身份認證。3.移動簽名過程用戶身份認證通過以后就可以進行數字簽名的移動支付。（1）用戶用私鑰對SK對購買的指令TXT進行簽名SignedTXT=Sign(TXT,SK)，將其發送給支付系統，同時發生的還包含用戶的基本信息，如用戶ID和手機號等。（2）支付系統根據用戶的信息找到用戶的證書，驗證證書的有效期等信息。同時，用證書的公鑰PK對SignedTXT進行解密，TXT1=Dec(SignedTXT,PK),驗證用戶的簽名是否正確(比較TXT1與TXT)。（3）驗證通過，可以進行后續的支付操作。4.加密與解密(數字信封的應用）(1)支付系統服務器產生的隨機數R作為手機端與服務器之間進行加解密的會話密鑰，同時用用戶的公鑰PK對R進行加密,ER=Enc(R,PK)。(2)支付系統服務器同時用R加密需要的加密的會話內容TXT:CyberTXT=Enc(TXT,R)。（對稱加密）(3)支付系統服務器將ER與CyberTXT發送給手機。(4)手機端收到以后用私鑰SK解密ER獲得會話密鑰R:R=Dec(ER,SK)。(5)手機端再用R解密CyberTXT獲得TXT1，TXT1=Dec(CyberTXT,R)。5.手機數字簽名系統手機數字簽名系統

三、業務無關的移動簽名將用戶私鑰保存在用戶的手機（SIM卡）中，將待簽名數據通過一個平臺發送到用戶手機中，用戶只需比對手機中看到的信息與業務終端看到的信息一致，就可在手機上進行確認，從而實現對數據的簽名。簽名結果返回到業務服務器，業務服務器驗證通過后，則認為當前交易得到了用戶的合法授權。ENDTHANKS電子商務安全技術-防火墻技術

一.防火墻概述二.防火墻的類型三.防火墻的體系結構四.防火墻的選擇

一、防火墻概述防火墻是指一個由軟件和硬件設備組合而成，在Intranet和Internet之間構筑的一道屏障（如圖3-26所示），用于加強內部網絡和公共網絡之間安全防范的系統。圖3-26防火墻1.防火墻概念

防火墻是（Firewall）是在內部網和外部網之間構造的一道屏障，用以保護內部網的數據、資源等不受侵害。從本質上來說防火墻是一種保護裝置，它一方面最大限度的讓內部用戶方便的訪問外部網（一般為Internet），另一方面又盡可能的防止外部網對內部網的非法入侵，達到保護系統安全的目的。防火墻通常是運行于一臺單獨計算機之上的特別服務軟件，從組成上來說，防火墻由硬件和軟件兩部分組成。（1）凡是沒有被列為允許訪問的服務都是被禁止的。（2）凡是沒有被列為禁止訪問的服務都是被允許的。返回本節2.防火墻的安全策略有兩種(1)防火墻是保護內部網安全的屏障

(2)可對可疑操作進行審計跟蹤(3)防止內部網信息泄漏3.防火墻的主要功能

4.防火墻的局限性

(1)防火墻無法防范內部用戶的攻擊（2）防火墻無法防范不通過它的連接（3）限制了有用的網絡訪問（4）防火墻很難防范病毒（5）防火墻不能防備新的網絡安全問題（6）防火墻不能防止數據驅動式攻擊二、防火墻的類型根據使用的技術、原理不同，防火墻分為很多種類型，大體上可分為兩類：一類為基于包過濾（Packet

Filter），如包過濾路由器和應用層網關；另一類基于代理服務（ProxyService）,如應用層代理服務器。兩者的區別在于：基于包過濾的防火墻通常直接轉發報文，對用戶完全透明，速度較快；基于代理的防火墻則是通過代理服務來建立連接，可以有更強的身份認證（Authentication）和日志（Log）功能。

數據包過濾（也稱分組過濾）技術是在網絡層對數據包中的IP地址過濾。它是按照系統管理員所給定的過濾規則進行過濾，如果防火墻設定某一IP地址不適宜訪問的話，從這個地址來的所有信息都會被防火墻屏蔽掉。包過濾技術提供了有效控制網絡流量的方法，在一定程度上保證了網絡的安全。包過濾技術的操作在網絡（TCP/IP）層進行，它的優點便是對用戶透明，不要求客戶機和服務器作任何修改，處理速度快而且易于維護。包過濾技術的原理簡單、性能好，可對數據包的地址進行查看，因此可以用路由器來實現。1.

包過濾路由器應用層網關（ApplicationLevelGateways）是在網絡應用層上建立協議過濾和轉發功能。針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告。應用層網關一般安裝在專用工作站系統上。應用層網關只提供本地有代理程序的服務通過。

2．應用層網關

數據包過濾和應用層網關技術的共同點就是他們僅僅依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯，則防火墻內外的計算機系統建立直接連接，外部的用戶便有可能直接了解防火墻內部的網絡結構和允許狀態，這可能導致非法訪問和攻擊。基于包過濾路由器的弱點，防火墻可以通過軟件程序來傳輸和過濾像WWW、telnet和FTP之類的服務，這樣的應用程序被稱為代理服務程序，而允許代理服務程序的主機被稱為代理服務器。數據包過濾和應用層網關缺點代理服務是針對數據包過濾和應用層網關技術存在的不足而引入的防火墻技術。代理服務是在內部與外部的系統之間加一層服務器，用該服務器來做中間代理功能，即可保證內部用戶可以安全的訪問外部網，又可以很好的防止外部的攻擊，由于代理訪問的中間作用，攻擊的也只是代理服務器，而不會是網絡內部的系統資源。代理服務器通常是運行于兩個網絡之間（內部網與外部網），對于內部用戶來說它像一臺真的服務器，而對于外部的提供訪問的服務器（外部網Internet上的服務器）來說它又是一臺進行訪問的客戶機。

3.

代理服務當代理服務器接收到用戶對某個站點的訪問請求后會檢查該請求是否符合規定，如果規則允許用戶訪問該站點，代理服務器會像一個客戶一樣去那個站點取回用戶需要的信息再轉發給用戶。代理服務器通常都有一個高速緩存，這個緩存存儲用戶經常訪問的站點內容，在下一個用戶要訪問時就不需重復的獲取相同的內容，直接將緩存中的內容發給用戶即可，即節省了時間又節省網絡資源。代理服務器像一座墻一樣位于內部用戶和外部網之間，外部入侵者只能看到代理服務器而無法獲知內部用戶的信息和資源。如圖6－1。代理服務工作流程客戶客戶代理訪問控制服務器代理防火墻代理服務應答轉發請求轉發應答訪問請求圖6－1代理服務型防火墻工作示意圖三、防火墻的體系結構

雙宿主主機體系結構

屏蔽主機體系結構

屏蔽子網體系結構

1、雙宿主主機體系結構所謂雙宿主主機是指至少有兩個網絡接口的計算機系統。這兩個網絡接口一個為內部網接口，一個為外部網（Internet）接口。這樣的主機可以充當這兩個接口之間的路由器，能夠從一個網絡向另一網絡發送IP數據包。但一般防火墻的結構禁止這種直接的發送功能，從外部網傳來的IP數據包不可直接進入內部網。雙宿主主機內外的網絡均可與雙宿主主機通信，但內外網絡之間不可直接通信，也就是雙宿主主機位于內外網絡之間，內外網絡通過它進行數據通信。結構示意見圖6－2。圖6－2雙宿主主機體系結構

Internet…內部網防火墻雙宿主主機2.屏蔽主機體系結構

屏蔽主機體系結構是由一個位于內部網絡的堡壘主機（BastionHost）和一個位于堡壘主機與外部網之間的路由器（過濾路由器）組成，如圖6－2。堡壘主機是一個計算機系統，它對外部網絡（Internet）暴露，同時又是內部網絡用戶的主要連接點，是系統內可以訪問外部網的計算機。這種體系結構中主要的安全機制由數據包過濾系統來提供（例如防止內部用戶繞過堡壘主機直接連接到外部網絡）。圖6－3屏蔽主機體系結構Internet防火墻路由器…內部網堡壘主機3.屏蔽子網體系結構屏蔽子網體系結構是在屏蔽主機體系結構的基礎上添加了額外的安全層，通過添加周邊網絡把內部網更進一步的與外部網分開，形成二層隔斷，如圖所示。周邊網絡在防火墻產品中也常稱非軍事區（De-MilitarizedZone，簡稱DMZ），它是一個安全層，是在外部網與內部網之間添加的一個附加網絡。周邊網允許Internet使用者透過防火墻存取開放的服務器，與內部網絡為完全獨立的兩個區域，可避免將開放的服務器置于內部網絡所需冒的風險。如果入侵者成功的進入了防火墻的外層領域，周邊網絡會在入侵者與內部網之間提供一個附加的保護層，相當一個雙保險。圖6－4屏蔽子網體系結構Internet周邊網絡外部路由器內部路由器堡壘主機防火墻6.2.3防火墻技術防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災發生的時候蔓延到別的房屋。1.防火墻概述

防火墻是設置在被保護網絡和外部網絡之間的一道屏障，實現網絡的安全保護，以防止發生不可預測的、潛在破壞性的侵入。服務器內部網可信網絡Internet不可信網絡基本概念主機：與網絡系統相連的計算機系統。堡壘主機：指一個計算機系統，它對外部網絡暴露，同時又是內部網絡用戶的主要連接點。雙宿主主機