6.2 网络信息安全技术
♦ 6.2.1 加密技术 ♦ 6.2.2 数字认证技术
6.2.1 加密技术
♦ 加密与解密过程
加密交换 明文 X 密文 Y 解密交换 明文 X
密码分析
♦ 密钥 密钥是由数字、字母或特殊符号组成的字符串组成的，用来控制加解密
的过程。
– 加密和解密过程中使用的密钥分别称为加密密钥（Encryption Key），简称为 ke，和解密密钥（Decryption Key），简称为kd。 – 相同的加密算法，密钥的位数越多，破译的难度就越大，安全性也就越好 。
及其变换的科学，是数学和计算机的交叉学科，主要 包括编码学和密码分析学。 明文(Plain text)是指通信的信息和数据。 密文(Cipher Text)是指把明文转换成局外人难以识别的 形式。 加密是指伪装明文的操作。 加密算法（Encryption Algorithm）是指加密时所使用 的信息变换规则。 解密是指合法接收者将密文恢复出原明文的过程。 破译是指非法接收者将密文恢复出原明文的过程。 解密算法(Decryption Algorithm)是指解密时所使用的信 息变换规则。
证书发放部门 开放的电子 商务活动网络 平台 证书受理部门
业务受理点
证书审核部门
记录、作废证书部门
7．生物统计学身份识别
♦ 生物统计学技术包括指纹、虹膜、视网膜扫描
以及语音识别等，它依据人的物理特性且不依 赖任何能被拷贝的文件或可被破译的口令，不 需要用户记忆任何口令，若能解决成本问题， 随着技术发展日益成熟，将是一项可以广泛应 用的身份识别技术，从而为目前网络金融交易 中的身份验证提供了一个可行的解决方案。
♦ （3）端对端加密方式（面向协议加密方式）
– 端对端加密方式是由发送方加密的数据在没有到达最终目的 地接收节点之前是不被解密的，且加密和解密只在源节点和 目的地节点之间进行。
6.2.2 数字认证技术
♦ 1．数字签名 ♦ 2．数字信封 ♦ 3．数字摘要 ♦ 4．数字时间邮戳 ♦ 5．数字证书 ♦ 6．认证中心 ♦ 7．生物统计学身份识别
4．数字时间邮戳
♦ 数字时间戳服务是网上安全服务项目，
时间戳是一个经加密后形成的凭证文档， 它包括3个部分：需加时间戳的文件的摘 要、DTS收到文件的日期和时间、DTS的 数字签名。 ♦ 数字时间戳的签署与签署人自己写在书 面文件的时间不同，它是由专门的认证 机构如CA来加的，并以认证机构收到文 件的时间为依据。
3．数字摘要
♦ 这一加密方法亦称安全Hash编码法或MD5，它
由Rivest设计。 ♦ 数字摘要技术是采用单向Hash函数对明文文件 中若干重要元素进行某种运算得到固定长度的 摘要码，也就是数字指纹（Finger Print），并 在传输信息时将它加入文件一起发送给接收方， 接收方收到文件后，用相同的方法进行变换计 算，若得出的结果与发送来的摘要码相同，则 可断定文件末被篡改。
网络加密方式分类♦Fra bibliotek（1）链路加密方式
– 链路加密方式是一种把网络上传输的数据报文每一比特都进行加密， 但是只对通信链路中的数据进行加密，而不对网络节点内的数据加 密的网络加密方法。
♦ （2）节点对节点加密方式
– 为了解决采用链路加密方式时，在中间节点上数据报文是以明文出 现的缺点，在中间节点里装有一个用于加密、解密的保护装置，即 由这个装置来完成一个密钥向另一个密钥的变换。
– 防火墙具有两种默认的策略，在策略的指导下实施安全服务:
①默认禁止策略。拒绝所有的流量，特殊指定能够进入和出去的流量的一 些类型； ②默认允许策略。允许所有的流量，特殊指定要拒绝的流量的类型。
防火墙
防火墙的逻辑位置图
外部网络
应用防火墙的目的
♦ 限制他人进入内部网络； ♦ 过滤掉不安全的服务和非法用户； ♦ 防止入侵者接近你的防御设施； ♦ 限定人们访问特殊站点； ♦ 为监视局域网安全提供方便。
6.3.2 入侵监测系统（IDS） 入侵监测系统（ ）
♦ 2．入侵检测系统的功能 ♦ 入侵检测系统被认为是防火墙系统之后的第二道安全闸门
是一种动态的安全检测技术。 ♦ 一个合格的入侵检测系统应该具备以下功能：
（1）监视用户和系统的运行状况，查找非法用户和合法用户的 越权操作。 （2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。 （3）对用户的非正常活动进行统计分析，发现入侵行为的规律。 （4）系统程序和数据的一致性与正确性。 （5）识别攻击的活动模式，并向网管人员报警。 （6）对异常活动的统计分析。 （7）操作系统审计跟踪管理，识别违反政策的用户活动。
♦ 密码是明文和加密密钥相结合，然后经过加密算法运算的结果。
– 实际上，密码是含有一个参数k的数学变换，即C=Ek（m），其中，m是未加 密的信息（明文），C是加密后的信息（密文），E是加密算法，参数k是密 钥。密文C是明文m使用密钥k，经过加密算法计算后得到的结果。
常用概念
♦ 密码学（Cryptography）是研究计算机信息加密、解密 ♦ ♦ ♦ ♦ ♦ ♦ ♦
（1）Internet的威胁 （2）Intranet的威胁 （3）黑客攻击的威胁 （4）网络病毒的威胁
如何保证金融活动的安全性
♦ 交易的安全性是网络金融活动的关键 ♦ 网络金融活动安全控制要求 ：
（1）有效性 （2）机密性 （3）完整性 （4）不可否认性
6.1.2 网络金融安全交易体系
♦ 网络金融活动大致包括3个方面：
♦ 状态检测技术
– 状态检测防火墙，试图跟踪通过防火墙的网络连接和分组， 这样防火墙就可以使用一组附加的标准，以确定是否允许和 拒绝通信
6.3.2 入侵监测系统（IDS） 入侵监测系统（ ）
♦ 1．入侵检测概念 ♦ 入侵检测系统全称为Intrusion Detection System，它从计算机网络
防火墙的功能
♦ ① 强化公司的安全策略 ♦ ② 实现网络安全的集中控制 ♦ ③ 实现网络边界安全 ♦ ④ 记录网络之间的数据包 ♦ ⑤防火墙的扩展功能 ： – 减少可信任网络的暴露程度 – 实现流量控制 – 集成VPN（虚拟专用网 ）功能 – 双重DNS（域名服务）服务
防火墙的分类
♦ 从防火墙实现技术方式来分： – 数据包过滤型防火墙 – 代理服务器型防火墙 – 状态检测型防火墙 ♦ 从物理形态来分： – 软件防火墙 – 硬件防火墙
第6章 网络金融安全
第6章 网络金融安全
♦ 6.1 网络金融的安全问题 ♦ 6.2 网络信息安全技术 ♦ 6.3 网络与应用系统安全技术 ♦ 6.4 网络安全协议 ♦ 6.5 我国金融 我国金融CA建设和体系结构 建设和体系结构
教学目的
♦ 通过本章的学习，使同学们对网络金融
安全问题有正确清晰地认识，掌握网络 金融安全的基本的知识，为进一步增强 金融安全防范意识和学习相关安全技术 打下一个良好的基础。
5．数字证书
♦ 如何解决公钥与合法拥有者身份的绑定问题？ 如何解决公钥与合法拥有者身份的绑定问题？
– 所谓数字证书，就是用电子手段来证实一个用户的 身份及用户对网络资源的访问权限。 – 数字证书的实质是公开密钥体制的一种密钥管理媒 介，它是一种权威性的电子文档，形同网络计算机 环境中的身份证，用于证明交易主体的身份及其公 开密钥的合法性等问题。
防火墙的关键技术
♦ 数据包过滤技术
– 分组过滤技术工作在OSI模型网络层，根据网络层分组报头存储的信 息，来控制网络的通信。 – 当防火墙接收到数据分组后，会自动把分组中存储的数据属性和自 己的访问控制策略来比对，从而决定分组是丢弃还是通过的一种防 范机制
♦ 代理服务器技术
– WEB代理 – 应用层代理 – 电路层代理
1．数字签名
♦ 所谓数字签名，就是只有信息的发送者
才能产生的，而别人无法伪造的一段数 字串，这段数字串同时也是对发送者发 送信息的真实性的一个有效凭证。它一 般选用RSA算法作为数字签名的公开密 钥密码算法。
2．数字信封
♦ 数字信封是用加密技术来保证只有规定
的特定收信人才能阅读信的内容。 ♦ 在数字信封中，发送者自动生成对称密 钥，用对称密钥加密发送的信息，将生 成的密文连同用自己的私钥和接收方公 钥加密后的对称密钥一起传送出去。收 信者用发送方公钥和自己的私钥解密被 加密的密钥来得到对称密钥，并用它来 解密密文。
6.1 网络金融的安全问题
♦ 6.1.1 网络金融安全问题的提出 ♦ 6.1.2 网络金融安全交易体系 ♦ 6.1.3 网络金融安全技术应用
6.1.1 网络金融安全问题的提出
♦ 计算机网络安全，通俗来讲，是指网络
系统的硬件、软件及其系统中的数据受 到保护，不受偶然的或者恶意的原因而 遭到破坏、更改和泄漏。 ♦ 金融网络面临的安全威胁按对象来源划 分如下几种：
6．认证中心
♦ CA是一个可信的第三方实体，其主要职
能是保证用户的真实性。它通过向电子 商务各参与方发放数字证书，来确认各 方的身份，保证在Internet及内部网上传 送数据的安全及网上支付的安全性。 ♦ 本质上，CA的作用同政府机关的护照颁 发机构类似。 ♦ 认证中心的主要任务是受理数字凭证的 申请、签发数字证书并进行管理。
系统中的关键点收集信息，并分析这些信息，利用模式匹配或异 常检测技术来检查网络中是否有违反安全策略的行为和遭到袭击 的迹象。 ♦ 入侵检测系统是信息与网络系统安全的主要设备之一，是防火墙 系统的一个重要的补充，是一个实时的网络违规识别和响应系统。 它位于被保护的内部网络和不安全的外部网络之间或位于内部网 络的敏感部位，通过实时截获网络数据流，寻找网络违规模式和 未授权的网络访问尝试。当发现网络违规或未授权访问时，入侵 检测系统能够根据系统安全策略做出反应，包括实时报警，事件 记录，自动阻断通信连接或执行用户自定的策略程序等。入侵检 测系统能够生成系统安全日志以利于系统安全审计，并以开放数 据库方式支持安全分析决策系统，从而为网络安全提供有效的保 障。