第十一章电子商务安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
机密性 完整性 认证性 不可抵赖性 有效性
安全服务表现在哪些方面:
1. 认证服务 :实体认证、数据源认证
2. 访问控制:防止对任何资源的非授权访问,
3. 数据机密性服务:保证了数据在传输不被非法
用户窃听
4. 数据完整性服务:使消息的接收者能够发现消
息是否被修改,是否被攻击者用假消息换掉。
公证机制
网络上鱼龙混杂,很难说相信谁不相信 谁。为了避免纠纷,可以找一个大家都 信任的公证机构,各方的交换的信息都 通过公证机构来中转。公证机构从中转 的信息里提取必要的证据,日后一旦发 生纠纷,就可以据此做出仲裁。
电子商务安全中的主要技术
网络安全技术
① 防火墙技术 ② 虚拟专用网技术
密码技术
11.2.2 VPN技术
VPN的英文全称是“Virtual Private Network”, 翻译过来就是“虚拟专用网络”。顾名思义,虚拟 专用网络我们可以把它理解成是虚拟出来的企业内 部专线。
它可以通过特殊的加密的通讯协议连接在Internet 上的位于不同地方的两个或多个企业内部网之间建 立一条专有的通讯线路,就好比是架设了一条专线 一样,但是它并不需要真正的去铺设光缆之类的物 理线路。这就好比去电信局申请专线,但是不用给 铺设线路的费用,也不用购买路由器等硬件设备。 VPN技术原是路由器具有的重要技术之一,目前在 交换机,防火墙设备或WINDOWS2000等软件里也 都支持VPN功能,一句话,VPN的核心就是在利用 公共网络建立虚拟私有网。
防火墙的设计有两个基本准则:
一切未被允许的就是禁止的。 一切未被禁止的就是允许的。
二、 防火墙原理
1.防火墙设计需要满足的基本原则
① 由内到外,或由外到内的业务流均经过防火墙。
② 只允许本地安全政策认可的业务流通过防火墙。对于任 何一个数据组,当不能明确是否允许通过时就拒绝通过; 只让真正合法的数据组通过。
数据序列的完整性是指发出的数据分割为按序列号编 排的许多单元时,在接收时还能按原来的序列把数据 串联起来,而不会发生数据单元的丢失、重复、乱序、 假冒等情况。
交换鉴别机制
交换鉴别机制通过互相交换信息的方式来确定彼 此的身份。用于交换鉴别的技术有:
(1) 口令:由发送方给出自己的口令,以证明自己 的身份,接收方则根据口令来判断对方的身份。
① 信息加密技术 ② 数字签名技术 ③ 安全认证技术
第二节 网络安全技术
11.2.1防火墙技术
一、 防火墙概念 防火墙是建立在通信技术和信息安全技 术之上,它用于在网络之间建立一个安 全屏障,根据指定的策略对网络数据进 行过滤、分析和审计,并对各种攻击提 供有效的防范。 主要用于Internet接入和专用网与公用网 之间的安全连接。
1.防火墙的失效状态急需关注 2.防火墙的动态维护很有必要 3.防火墙的测试验证难以实现 4.防火墙的非法访问
四、 防火墙产品
1.Checkpoint Firewall-1 2.Sonicwall 系列防火墙 3.NetScreen Firewall 4.Alkatel Internet Devices 系列防火墙 5.NAI Gauntlet防火墙
③ 尽可能控制外部用户访问专用网,应当严格限制外部人 进入专用网中。如果有些文件要向Internet用户开放,则最 好将这些文件放在防火墙之外。
④ 具有足够的透明性,保证正常业务流通。
⑤ 具有抗穿透攻击能力,强化记录、审计和报警功能。
2.防火墙的组成
E-mail
E-mail处理
内部网 (Intranet)
网络安全威胁
危害:信息泄露、完整性破坏、拒绝服务、非法使用
特征:机密性、完整性、可用性及可控性
主要的可实现的威胁
主要的渗入威胁有 :假冒、旁路控制 、授权侵 犯、
主要的植入威胁有:特洛伊木马、陷门
电子商务中的安全隐患可分为如下几类:
信息的截获和窃取 信息的篡改 信息假冒 交易抵赖
电子商务安全需求
访问控制机制
访问控制可以防止未经授权的用户非法使用系统资源, 这种服务不仅可以提供给单个用户,也可以提供给用 户组的所有用户。访问控制是通过对访问者的有关信 息进行检查来限制或禁止访问者使用资源的技术,分 为高层访问控制和低层访问控制。
高层访问控制包括身份检查和权限确认,是通过对用 户口令、用户权限、资源属性的检查和对比来实现的。 低层访问控制是通过对通信协议中的某些特征信息的 识别、判断,来禁止或允许用户访问的措施。如在路 由器上设置过滤规则进行数据包过滤,就属于低层访 问控制。
数字签名机制
数字签名机制主要解决以下安全问题: (1) 否认:事后发送者不承认文件是他发送的。 (2) 伪造:有人自己伪造了一份文件,却声称 是某人发送的。 (3) 冒充:冒充别人的身份在网上发送文件。 (4) 篡改:接收者私自篡改文件的内容。 数字签名机制具有可证实性、不可否认性、不 可伪造性和不可重用性。
第一节 电子商务安全概述
当今社会,信息是一种资源和财富,这是大 家所公认的。在商务活动中,信息的获取、 信息的传播对商家自身和商业对手都有着重 大的影响。电子商务是在通讯网上进行各种 交易活动。在网上进行交易的两个或多个交 易伙伴间,经常会有大量的信息数据的接收 和发送,如订购单的内容如:商品名称、规 格、数量、金额、银行帐号、到货日期和地 点等,以及一些公文如通知、协议文书等等。 这些信息通过计算机网络进行传递时,其安 全和保密就是一个非常重要的问题,它关系 到企业的商业机密、商业活动的正常进行。
1、替换加密法
单字母加密方法 单字母加密的方法有很多中,这里介绍其中几种。 例1:Caesar(恺撒)密码:
这是加密法中最古老的一种,即将每个字母替换为字母表中其后面固定数 目位置的字母,该数目称为偏移量,如上表中,其偏移量为3,我们称其 为密钥(Key)。如果明文(记做m)为“important”,Key=3,则密文 (记做C)则为“LPSRUWDQW”,
5. 不可否认服务:防止对数据源以及数据提交的否
认。
安全机制有哪些:
加密机制 数字签名机制 访问控制机制 数据完整性机制 认证交换机制 流量填充机制 路由控制机制 公证机制
加密机制
加密是提供信息保密的核心方法。按照密钥的 类型不同,加密算法可分为对称密钥算法和非 对称密钥算法两种。按照密码体制的不同,又 可以分为序列密码算法和分组密码算法两种。 加密算法除了提供信息的保密性之外,它和其 他技术结合,例如hash函数,还能提供信息的 完整性。加密技术不仅应用于数据通信和存储, 也应用于程序的运行,通过对程序的运行实行 加密保护,可以防止软件被非法复制,防止软 件的安全机制被破坏,这就是软件加密技术。
(2)双宿主机网关 (Dual-homed host),任何拥有多个接 口卡的系统都被称为多宿的,双宿主机网关是用一台装有两 块网卡的主机做防火墙。两块网卡各自与受保护网和外部网 相连。主机上运行着防火墙软件,可以转发应用程序,提供 服务等。
(3)复合型防火墙,由于对更高安全性的要求,常将基于包 过滤的网络层防火墙技术和基于应用代理的应用层防火墙技 术结合起来形成复合型防火墙产品。
流量填充机制
流量填充机制提供针对流量分析的保护。数据交换量 的突然改变可能泄露有用信息。例如当公司开始出售 它在股票市场上的份额时,在消息公开以前的准备阶 段中,公司可能与银行进行大量突发的有别于平时的 通信。因此股票投资者密切关注公司与银行之间的数 据流量可以判断是否有大型交易的存在,从而决定买 进或者抛出。
(2) 密码技术:发送方和接收方各自掌握的密钥是 成对的。接收方在收到已加密的信息时,通过自己掌 握的密钥解密,能够确定信息的发送者是掌握了另一 个密钥的那个人。在许多情况下,密码技术还和时间 标记、同步时钟、双方或多方握手协议、数字签名、 第三方公证等相结合,以提供更加完善的身份鉴别。
(3) 特征实物:例如磁卡、IC卡、指纹、唇纹、声 音频谱等。
虚拟专用网(VPN)被定义为通过一个公用网络(通 常是因特网)建立一个临时的、安全的连接,是一条 穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。虚拟专用网可以 帮助远程用户、公司分支机构、商业伙伴及供应商同 公司的内部网建立可信的安全连接,并保证数据的安 全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网 接入,以实现安全连接;可用于实现企业网站之间安 全通信的虚拟专用线路,用于经济有效地连接到商业 伙伴和用户的安全外联网虚拟专用网。
例2:将字母倒排序
如果明文m为“important”,则密文C则为 “RNKLIGZMZ”。
2. 转换加密法
在替换加密法中,原文的顺序没被改变,而是通过各种字母映射 关系把原文隐藏了起来。转换加密法是将原字母的顺序打乱,将 其重新排列。如: it can allow students to get close up views 将其按顺序分为5个字符的字符串: itcan allow stude ntsto getcl oseup views
电子商务要为客户提供一个安全可靠的交易 环境。这涉及到在网上提供信用和支付,还 涉及到法律和其他责任问题,如有效签名、 不可抵赖等,因此,在电子商务中安全是一 个非常重要的问题。网上交易只有做到安全 可靠,客户才能接受和使用这种交易方式。
网络安全的基本概念
网络安全的基本概念
网络安全是指保护网络系统中的软件、硬件及信息资 源,使之免受偶然或恶意的破坏、篡改和漏露,保证 网络系统的正常运行、网络服务不中断。
域名询问
域名服务
高级协议访问 IP级数据
网关代理 认证 SOCKS
过滤器
安全操作系统
图5-5 防火墙的组成
因特网 (Interet)
3.防火墙不能对付的安全威胁
(1)来自内部的攻击。 (2)直接的Internet数据流。 (3)病毒防护。
4.防火墙的分类
(1)包过滤网关(Packet-filtering Gateways),这是最简 单的防火墙,它是只运行在路由器上的包过滤软件。
再将其按先列后行的顺序排列,就形成了密文: 即密文C为
“IASNGOVTLTTESICLUSTEEAODTCUWNWEOLPS” 如果将每一组的字母倒排,也形成一种密文:
C=NACTIWOLLAEDUTSOTSTNLCTEGPUESOSWEIV
11.3.1 信息加密技术
密码学基础知识
一个密码体制被定义为一对数据变换,其中一个变 换应用于我们称之为明文的数据项,变换后产生的 相应数据项称为密文;而另一个变换应用于密文, 变换后的结果为明文。这两个变换分别称为加密变 换(Encryption)和解密变换(Decryption)。 加密变换将明文和一个称为加密密钥的独立数据值 作为输入,输出密文;解密变换将密文和一个称为 解密密钥的数据值作为输入
数据完整性机制
数据完整性包括数据单元的完整性和数据序列的完整 性两个方面。
数据单元的完整性是指组成一个单元的一段数据不被 破坏和增删篡改,通常是把包括有数字签名的文件用 hash函数产生一个标记,接收者在收到文件后也用相 同的hash函数处理一遍,看看产生的标记是否相同就 可知道数据是否完整。
三、 Leabharlann Baidu火墙的选择和使用
防火墙作为网络安全的一种防护手段得到了广泛的 应用,应该说它对网络起到了一定的防护作用,但 并非万无一失。
① 风险分析(Risks Analysis); ② 需求分析(Needs Analysis); ③ 确立安全政策(Security Policy); ④ 选择准确的防护手段,并使之与安全政策保持一 致。
VPN优点:
降低成本 容易扩展 完全控制主动权
第三节 密码技术
密码技术是保证网络、信息安全的核心技术。 信息在网络中传输时,通常不是以明文而是 以密文的方式进行通讯传输的。众所周知, 商业活动是有其机密性的,以明文传输的信 息数据,会被他人轻而易举地读懂、窃取盗 用及篡改。
密码技术在计算机出现之前就已经被人们所 使用。将自然语言格式转换成密文的基本的 加密方法有:替换加密和转换加密。
流量填充机制能够保持流量基本恒定,因此观测者不 能获取任何信息。流量填充的实现方法是:随机生成 数据并对其加密,再通过网络发送。
路由控制机制
路由控制机制使得可以指定通过网络发 送数据的路径。这样,可以选择那些可 信的网络节点,从而确保数据不会暴露 在安全攻击之下。而且,如果数据进入 某个没有正确安全标志的专用网络时, 网络管理员可以选择拒绝该数据包。
安全服务表现在哪些方面:
1. 认证服务 :实体认证、数据源认证
2. 访问控制:防止对任何资源的非授权访问,
3. 数据机密性服务:保证了数据在传输不被非法
用户窃听
4. 数据完整性服务:使消息的接收者能够发现消
息是否被修改,是否被攻击者用假消息换掉。
公证机制
网络上鱼龙混杂,很难说相信谁不相信 谁。为了避免纠纷,可以找一个大家都 信任的公证机构,各方的交换的信息都 通过公证机构来中转。公证机构从中转 的信息里提取必要的证据,日后一旦发 生纠纷,就可以据此做出仲裁。
电子商务安全中的主要技术
网络安全技术
① 防火墙技术 ② 虚拟专用网技术
密码技术
11.2.2 VPN技术
VPN的英文全称是“Virtual Private Network”, 翻译过来就是“虚拟专用网络”。顾名思义,虚拟 专用网络我们可以把它理解成是虚拟出来的企业内 部专线。
它可以通过特殊的加密的通讯协议连接在Internet 上的位于不同地方的两个或多个企业内部网之间建 立一条专有的通讯线路,就好比是架设了一条专线 一样,但是它并不需要真正的去铺设光缆之类的物 理线路。这就好比去电信局申请专线,但是不用给 铺设线路的费用,也不用购买路由器等硬件设备。 VPN技术原是路由器具有的重要技术之一,目前在 交换机,防火墙设备或WINDOWS2000等软件里也 都支持VPN功能,一句话,VPN的核心就是在利用 公共网络建立虚拟私有网。
防火墙的设计有两个基本准则:
一切未被允许的就是禁止的。 一切未被禁止的就是允许的。
二、 防火墙原理
1.防火墙设计需要满足的基本原则
① 由内到外,或由外到内的业务流均经过防火墙。
② 只允许本地安全政策认可的业务流通过防火墙。对于任 何一个数据组,当不能明确是否允许通过时就拒绝通过; 只让真正合法的数据组通过。
数据序列的完整性是指发出的数据分割为按序列号编 排的许多单元时,在接收时还能按原来的序列把数据 串联起来,而不会发生数据单元的丢失、重复、乱序、 假冒等情况。
交换鉴别机制
交换鉴别机制通过互相交换信息的方式来确定彼 此的身份。用于交换鉴别的技术有:
(1) 口令:由发送方给出自己的口令,以证明自己 的身份,接收方则根据口令来判断对方的身份。
① 信息加密技术 ② 数字签名技术 ③ 安全认证技术
第二节 网络安全技术
11.2.1防火墙技术
一、 防火墙概念 防火墙是建立在通信技术和信息安全技 术之上,它用于在网络之间建立一个安 全屏障,根据指定的策略对网络数据进 行过滤、分析和审计,并对各种攻击提 供有效的防范。 主要用于Internet接入和专用网与公用网 之间的安全连接。
1.防火墙的失效状态急需关注 2.防火墙的动态维护很有必要 3.防火墙的测试验证难以实现 4.防火墙的非法访问
四、 防火墙产品
1.Checkpoint Firewall-1 2.Sonicwall 系列防火墙 3.NetScreen Firewall 4.Alkatel Internet Devices 系列防火墙 5.NAI Gauntlet防火墙
③ 尽可能控制外部用户访问专用网,应当严格限制外部人 进入专用网中。如果有些文件要向Internet用户开放,则最 好将这些文件放在防火墙之外。
④ 具有足够的透明性,保证正常业务流通。
⑤ 具有抗穿透攻击能力,强化记录、审计和报警功能。
2.防火墙的组成
E-mail处理
内部网 (Intranet)
网络安全威胁
危害:信息泄露、完整性破坏、拒绝服务、非法使用
特征:机密性、完整性、可用性及可控性
主要的可实现的威胁
主要的渗入威胁有 :假冒、旁路控制 、授权侵 犯、
主要的植入威胁有:特洛伊木马、陷门
电子商务中的安全隐患可分为如下几类:
信息的截获和窃取 信息的篡改 信息假冒 交易抵赖
电子商务安全需求
访问控制机制
访问控制可以防止未经授权的用户非法使用系统资源, 这种服务不仅可以提供给单个用户,也可以提供给用 户组的所有用户。访问控制是通过对访问者的有关信 息进行检查来限制或禁止访问者使用资源的技术,分 为高层访问控制和低层访问控制。
高层访问控制包括身份检查和权限确认,是通过对用 户口令、用户权限、资源属性的检查和对比来实现的。 低层访问控制是通过对通信协议中的某些特征信息的 识别、判断,来禁止或允许用户访问的措施。如在路 由器上设置过滤规则进行数据包过滤,就属于低层访 问控制。
数字签名机制
数字签名机制主要解决以下安全问题: (1) 否认:事后发送者不承认文件是他发送的。 (2) 伪造:有人自己伪造了一份文件,却声称 是某人发送的。 (3) 冒充:冒充别人的身份在网上发送文件。 (4) 篡改:接收者私自篡改文件的内容。 数字签名机制具有可证实性、不可否认性、不 可伪造性和不可重用性。
第一节 电子商务安全概述
当今社会,信息是一种资源和财富,这是大 家所公认的。在商务活动中,信息的获取、 信息的传播对商家自身和商业对手都有着重 大的影响。电子商务是在通讯网上进行各种 交易活动。在网上进行交易的两个或多个交 易伙伴间,经常会有大量的信息数据的接收 和发送,如订购单的内容如:商品名称、规 格、数量、金额、银行帐号、到货日期和地 点等,以及一些公文如通知、协议文书等等。 这些信息通过计算机网络进行传递时,其安 全和保密就是一个非常重要的问题,它关系 到企业的商业机密、商业活动的正常进行。
1、替换加密法
单字母加密方法 单字母加密的方法有很多中,这里介绍其中几种。 例1:Caesar(恺撒)密码:
这是加密法中最古老的一种,即将每个字母替换为字母表中其后面固定数 目位置的字母,该数目称为偏移量,如上表中,其偏移量为3,我们称其 为密钥(Key)。如果明文(记做m)为“important”,Key=3,则密文 (记做C)则为“LPSRUWDQW”,
5. 不可否认服务:防止对数据源以及数据提交的否
认。
安全机制有哪些:
加密机制 数字签名机制 访问控制机制 数据完整性机制 认证交换机制 流量填充机制 路由控制机制 公证机制
加密机制
加密是提供信息保密的核心方法。按照密钥的 类型不同,加密算法可分为对称密钥算法和非 对称密钥算法两种。按照密码体制的不同,又 可以分为序列密码算法和分组密码算法两种。 加密算法除了提供信息的保密性之外,它和其 他技术结合,例如hash函数,还能提供信息的 完整性。加密技术不仅应用于数据通信和存储, 也应用于程序的运行,通过对程序的运行实行 加密保护,可以防止软件被非法复制,防止软 件的安全机制被破坏,这就是软件加密技术。
(2)双宿主机网关 (Dual-homed host),任何拥有多个接 口卡的系统都被称为多宿的,双宿主机网关是用一台装有两 块网卡的主机做防火墙。两块网卡各自与受保护网和外部网 相连。主机上运行着防火墙软件,可以转发应用程序,提供 服务等。
(3)复合型防火墙,由于对更高安全性的要求,常将基于包 过滤的网络层防火墙技术和基于应用代理的应用层防火墙技 术结合起来形成复合型防火墙产品。
流量填充机制
流量填充机制提供针对流量分析的保护。数据交换量 的突然改变可能泄露有用信息。例如当公司开始出售 它在股票市场上的份额时,在消息公开以前的准备阶 段中,公司可能与银行进行大量突发的有别于平时的 通信。因此股票投资者密切关注公司与银行之间的数 据流量可以判断是否有大型交易的存在,从而决定买 进或者抛出。
(2) 密码技术:发送方和接收方各自掌握的密钥是 成对的。接收方在收到已加密的信息时,通过自己掌 握的密钥解密,能够确定信息的发送者是掌握了另一 个密钥的那个人。在许多情况下,密码技术还和时间 标记、同步时钟、双方或多方握手协议、数字签名、 第三方公证等相结合,以提供更加完善的身份鉴别。
(3) 特征实物:例如磁卡、IC卡、指纹、唇纹、声 音频谱等。
虚拟专用网(VPN)被定义为通过一个公用网络(通 常是因特网)建立一个临时的、安全的连接,是一条 穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。虚拟专用网可以 帮助远程用户、公司分支机构、商业伙伴及供应商同 公司的内部网建立可信的安全连接,并保证数据的安 全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网 接入,以实现安全连接;可用于实现企业网站之间安 全通信的虚拟专用线路,用于经济有效地连接到商业 伙伴和用户的安全外联网虚拟专用网。
例2:将字母倒排序
如果明文m为“important”,则密文C则为 “RNKLIGZMZ”。
2. 转换加密法
在替换加密法中,原文的顺序没被改变,而是通过各种字母映射 关系把原文隐藏了起来。转换加密法是将原字母的顺序打乱,将 其重新排列。如: it can allow students to get close up views 将其按顺序分为5个字符的字符串: itcan allow stude ntsto getcl oseup views
电子商务要为客户提供一个安全可靠的交易 环境。这涉及到在网上提供信用和支付,还 涉及到法律和其他责任问题,如有效签名、 不可抵赖等,因此,在电子商务中安全是一 个非常重要的问题。网上交易只有做到安全 可靠,客户才能接受和使用这种交易方式。
网络安全的基本概念
网络安全的基本概念
网络安全是指保护网络系统中的软件、硬件及信息资 源,使之免受偶然或恶意的破坏、篡改和漏露,保证 网络系统的正常运行、网络服务不中断。
域名询问
域名服务
高级协议访问 IP级数据
网关代理 认证 SOCKS
过滤器
安全操作系统
图5-5 防火墙的组成
因特网 (Interet)
3.防火墙不能对付的安全威胁
(1)来自内部的攻击。 (2)直接的Internet数据流。 (3)病毒防护。
4.防火墙的分类
(1)包过滤网关(Packet-filtering Gateways),这是最简 单的防火墙,它是只运行在路由器上的包过滤软件。
再将其按先列后行的顺序排列,就形成了密文: 即密文C为
“IASNGOVTLTTESICLUSTEEAODTCUWNWEOLPS” 如果将每一组的字母倒排,也形成一种密文:
C=NACTIWOLLAEDUTSOTSTNLCTEGPUESOSWEIV
11.3.1 信息加密技术
密码学基础知识
一个密码体制被定义为一对数据变换,其中一个变 换应用于我们称之为明文的数据项,变换后产生的 相应数据项称为密文;而另一个变换应用于密文, 变换后的结果为明文。这两个变换分别称为加密变 换(Encryption)和解密变换(Decryption)。 加密变换将明文和一个称为加密密钥的独立数据值 作为输入,输出密文;解密变换将密文和一个称为 解密密钥的数据值作为输入
数据完整性机制
数据完整性包括数据单元的完整性和数据序列的完整 性两个方面。
数据单元的完整性是指组成一个单元的一段数据不被 破坏和增删篡改,通常是把包括有数字签名的文件用 hash函数产生一个标记,接收者在收到文件后也用相 同的hash函数处理一遍,看看产生的标记是否相同就 可知道数据是否完整。
三、 Leabharlann Baidu火墙的选择和使用
防火墙作为网络安全的一种防护手段得到了广泛的 应用,应该说它对网络起到了一定的防护作用,但 并非万无一失。
① 风险分析(Risks Analysis); ② 需求分析(Needs Analysis); ③ 确立安全政策(Security Policy); ④ 选择准确的防护手段,并使之与安全政策保持一 致。
VPN优点:
降低成本 容易扩展 完全控制主动权
第三节 密码技术
密码技术是保证网络、信息安全的核心技术。 信息在网络中传输时,通常不是以明文而是 以密文的方式进行通讯传输的。众所周知, 商业活动是有其机密性的,以明文传输的信 息数据,会被他人轻而易举地读懂、窃取盗 用及篡改。
密码技术在计算机出现之前就已经被人们所 使用。将自然语言格式转换成密文的基本的 加密方法有:替换加密和转换加密。
流量填充机制能够保持流量基本恒定,因此观测者不 能获取任何信息。流量填充的实现方法是:随机生成 数据并对其加密,再通过网络发送。
路由控制机制
路由控制机制使得可以指定通过网络发 送数据的路径。这样,可以选择那些可 信的网络节点,从而确保数据不会暴露 在安全攻击之下。而且,如果数据进入 某个没有正确安全标志的专用网络时, 网络管理员可以选择拒绝该数据包。