认证是防止主动攻击的重要技术，它对于开放环境中的各种信息系统的安全有重要作用。
认证是验证一个最终用户或设备的声明身份的过程。
主要目的为：
4 验证信息的发送者是真正的，而不是冒充的，这称为信源识别。
5 验证信息的完整性，保证信息在传送过程中未被窜改，重放或延迟等。
认证过程通常涉及加密和密钥交换。
帐户名和口令认证方式是最常用的一种认证方式。
授权是把访问权授予某一个用户，用户组或指定系统的过程。
访问控制是限制系统中的信息只能流到网络中的授权个人或系统。
有关认证使用的技术主要有：消息认证，身份认证和数字签名。
消息认证的内容包括为：
1 证实消息的信源和信宿。
2 消息内容是或曾受到偶然或有意的篡改。
3 消息的序号和时间性。
消息认证的一般方法为：产生一个附件。
身份认证大致分为3类：
1 个人知道的某种事物。
2 个人持证
3 个人特征。
口令或个人识别码机制是被广泛研究和使用的一种身份验证方法，也是最实用的认证系统所依赖的一种机制。
为了使口令更加安全，可以通过加密口令或修改加密方法来提供更强健的方法，这就是一次性口令方案，常见的有S/KEY和令牌口令认证方案。
持证为个人持有物。
数字签名的两种格式：
2 经过密码变换的被签名信息整体。
3 附加在被签消息之后或某个特定位置上的一段签名图样。
对与一个连接来说，维持认证的唯一办法是同时使用连接完整性服务。
防火墙总体上分为包过滤，应用级网关和代理服务等几大类型。
数据包过滤技术是在网络层对数据包进行选择。
应用级网关是在网络应用层上建立协议过滤和转发功能。
代理服务也称链路级网关或TCP通道，也有人将它归于应用级网关一类。
防火墙是设置在不同网络或网络安全域之间的一系列不见的组合。它可以通过检测，限制，更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部的消息，结构和运行情况，以此来实现网络的安全保护。
防火墙的设计目标是：
1 进出内部网的通信量必须通过防火墙。
2 只有那些在内部网安全策约中定义了的合法的通信量才能进出防火墙。
3 防火墙自身应该防止渗透。
防火墙能有效的防止外来的入侵，它在网络系统中的作用是：
1 控制进出网络的信息流向和信息包。
2 提供使用和流量的日志和审记。
3 隐藏内部IP以及网络结构细节。
4 提供虚拟专用网功能。
通常有两种设计策约：允许所有服务除非被明确禁止；禁止所有服务除非被明确允许。
防火墙实现站点安全策约的技术：
3 服务控制。确定在围墙外面和里面可以访问的INTERNET服务类型。
4 方向控制。启动特定的服务请求并允许它通过防火墙，这些操作具有方向性。
5 用户控制。根据请求访问的用户来确定是或提供该服务。
6 行为控制。控制如何使用某种特定的服务。
影响防火墙系统设计，安装和使用的网络策约可以分为两级：
高级的网络策约定义允许和禁止的服务以及如何使用服务。
低级的网络策约描述了防火墙如何限制和过滤在高级策约中定义的服务。

 

　　　　　　　　第七章 网络应用：电子商务
电子商务是已开放的因特网环境为基础，在计算机系统支持下进行的商务行动。它基于浏览器/服务器应用方式，是实现网上购物，网上交易和在线支付的一种新型商业运营模式。
从广义上讲，电子商务的概念为：以计算机与通信网络为基础平台，利用电子工具实现的在线商业交换和行政作业活动的全过程。
电子商务的好处：
1 以最小的费用制作最大的广告。
2 丰富的网络资源有利于企业了解市场的变化，作出理性的决策。
3 展示产品而不需要占用店面，小企业可以和大企业获得几乎同等的商业机会。
4 提高服务质量，及时获得顾客的反馈消息。
5 在线交易方便，快捷，可靠。
使用户了解自己的企业和产品只是电子商务的第一步。
在线交易是电子商务的高级阶段和最终目的。
它是买卖双方以计算机网络为平台，进行在线的销售与购买。
在线交易需要较为复杂的网络环境和先进的计算机技术来保证交易的安全性和可靠性，同时，需要有完善的法律法规降低在线交易的风险。
电子商务的应用范围：
2 企业与企业之间的应用。电子数据交换EDI是企业与企业之间电子商务最典型，最基本的应用。
3 企业与消费者之间的应用
4 企业与**之间的应用。
电子数据交换EDI是按照协议对具有一定结构特征的标准信息，经数据通信网络，在计算机系统之间进行交换和自动处理，既EDI用户根据国际通用的标准格式编制报文，已机器可读的方式将结构化的消息。按照协议将标准化的文件通过计算机网络传送。
EDI系统三个特点：
1 EDI是两个或多个计算机应用系统之间的通信。所谓的计算机系统是于EDI通信网络系统相连接的电子数据处理系统EDP。
2 计算机之间传输的消息遵循一定的语法规则与国际标准。
3 数据自动的投递和传输处理不需要人工介入，应用程序对它自动响应。
总之，计算机通信网是EDI应用的基础，计算机系统应用是EDI的前提条件，而数据信息标准化是EDI的关键。
EDI的工作流程：
1 发送方计算机应用系统生成原始用户数据。
2 发送报文的数据影射与翻译。影射程序将用户格式的原始数据报文展开为平面文件，以便使翻译程序能够识别。翻译程序将平面文件翻译为标准的EDI格式文件。平面文件是用户格式文件和EDI标准格式文件之间的中间接口文件。
3 发送标准的EDI文件。
4 贸易伙伴获取标准的EDI文件。
5 接受方应用系统处理翻译后的文件。
与电子邮件等应用系统不同，EDI电子数据交换系统在网络中传输的是经过翻译软件翻译的标准格式报文。
电子数据处理系统EDP是实现EDI的基础和必要条件。EDP主要是企业内部自身业务的自动化。
在EDI应用系统中，目前使用最多的是通过专门网络服务商提供的EDI网络平台，建立用户之间的数据交换关系。
EDI平台的数据接入主要有以下几种：
4 具有单一计算机应用系统的用户接入方式：拥有单一计算机应用系统的企业规模一般不大，这类用户可以利用电话交换网，通过调制解调器直接接入EDI中心。
5 具有多个计算机应用系统的用户接入方式：对于规模较大的企业，多个应用系统都需要与EDI中心进行数据交换。为了减小企业的通信费用和方便网络管理，一般是采用连网方式将各个应用系统首先接入负责与EDI中心交换信息的服务器中，再由该服务器接入EDI交换平台。
6 普通用户接入方式： 该类用户通常没有自己的计算机系统，当必须使用EDI与其贸易伙伴进行业务数据传递时，他们通常采用通过因特网或电话网以拨号的方式接入EDI网络交换平台。
EDI是电子商务的先驱。网络安全技术的开放和研究依然是网络发展的主要课题之一。
电子商务的体系结构可以分为：1。网络基础平台。2。安全结构。3。支付体系。4。业务系统4个层次。
电子商务是以计算机网络为基础的，计算机网络是电子商务的运行平台。
电子商务活动分为支付型业务和非支付型业务。
电子商务业务包括支付型业务和非支付型业务。支付型业务通常涉及资金的转移。支付型业务建立在支付体系之上，根据业务的需要使用相应的支付体系。而非支付型业务则直接建立在安全基础结构之上，使用安全基础层提供的各种认证手段和安全技术保证安全的电子商务服务。
通过CA安全认证系统发放的证书确认对方的身份是电子商务中最常用的方法之一。
证书是一个经证书授权中心签名的，它包括证书拥有者的基本信息和公用密钥。
证书的作用归纳为两个方面：
3 证书是由CA安全认证中心发放的，具有权威机构的签名，所以它可以用来向系统中的其他实体证明自己的身份。
4 每分证书都携带着证书持有者的公用密钥，所以它可以向接受者证实某个实体对公用密钥的拥有，同时起着分发公用密钥的作用。
安全是电子商务的命脉。电子商务的安全是通过加密手段来达到的。公用密钥加密技术是电子商务系统中使用的主要加密技术之一。
证书按照用户和应用范围可以分为个人证书，企业证书，服务器证书和业务受理点证书等等。
支付网关处于公共因特网与银行内部网络之间，主要完成通信，协议转换和数据加密解密功能和保护银行内部网络。
每一个业务应用系统对应于一个特定的业务应用。
支付型的业务应用系统必须配备具有支付服务功能的支付服务器，该服务器通过支付服务软件系统接入因特网，并通过支付网关系统与银行进行信息交换。
人们进行电子商务活动最常用的终端是计算机终端。
一个完整的电子商务系统需要CA安全认证中心，支付网关系统，业务应用系统及用户终端系统的配合与协作。
电子商务的安全要求包括4个方面：
1 数据传输的安全性。
2 数据的完整性。
3 身份安全。
4 交易的不可抵赖。交易的不可抵赖技术是通过数字签名技术和数字证书技术来实现。
私有密钥加密技术，公用密钥加密技术以及数字指纹技术是保证电子商务系统安全运行的最基本，最关键的技术。
数字信封技术用来保证数据数据在传输过程中的安全。私有密钥加密算法运算效率高，但密钥不易传递。而公用密钥加密算法密钥传递简单，但运算效率低，而且要求被加密的信息块长度要小于密钥的长度。
数字信封技术首先使用私有密钥加密技术对要发送的数据信息进行加密，然后，利用公用加密加密算法对私有密钥加密技术中使用的私有密钥进行解密。
数字信封技术使用两层加密体制，在内层，利用私有密钥加密技术，每次传送信息都可以重新生成新的私有密钥，保证信息的安全性。在外层，利用公用密钥加密技术加密私有密钥，保证私有密钥传递的安全性。
签名是保证文件或资料真实性的一种方法。利用公用密钥加密算法进行数字签名中最常用的方法。
利用数字签名可以实现以下功能：
3 保证信息传输过程中的完整性：安全单向散列函数的特性保证如果两条信息的信息摘要相同，那么它们信息内容也相同。
4 发送者的身份认证：数字签名技术使用公用密钥加密算法，发送者使用自己的私有对发送的信息进行加密。
5 防止交易中的抵赖发生：当交易中的抵赖行为发生时，接受者可以将接收到的密文呈现给第三方。
数字信封保证安全性。数字签名保证信息的完整信息。安全的数据传输必须将数字信封技术和数字签名技术结合起来。
电子付款就是网上进行买卖双方的金融交换，这种交换通常是由银行等金融机构中介的。
电子现金也叫数字现金。电子现金具有用途广，使用灵活，匿名性，简捷简单，无需直接与银行连接便可使用等特点。
买方使用自己的计算机通过网络访问银行的电子现金生成器，将部分或全部现金取出，以加密文件形式存入计算机硬盘。这样，该计算机硬盘中的现金文件就形成了一个电子钱包。尤其适用与金额较小的业务支付。
所谓电子支票就是传统支票以因特网为基础，进行信息传递，完成资金转移。
电子支票的交换主要通过银行等金融单位的专用网络进行。
安全电子交易SET是由VISA和MASTERCARD所开发的开放式支付规范，是为了保证信用卡在公共因特网上支付的安全而设立的。
安全电子交易SET要达到的最主要目的是：
3 信息在公共因特网上安全传输，保证网上传输的数据不被黑客窃取。
4 订单信息和个人帐号信息隔离。
5 持卡人和商家相互认证，以确保交易各方的真实身份。
6 要求软件遵循相同的协议和信息格式，使不同厂家开发的软件具有兼容性和互操作性，并且可以在不同的硬件的操作系统平台上。
SET协议涉及的当事人包括持卡人，发卡机构，商家，银行以及支付网关。
SET协议是针对用卡支付的网上交易而设计的支付规范，对不用卡支付的交易方式，则与SET协议无关。
私有密钥加密技术和公用密钥加密技术是两种最基本的加密技术。订单可通过电子化方式从商家传过来，或由持卡人的电子购物软件建立。
安全通道使用安全套接层技术。
保证电子邮件安全的手段是使用数字证书。
WEB站点的访问控制的级别。
1 IP地址限制。
2 用户验证。
3 WEB权限。
4 NTFS权限。如果WEB站点的内容位于NTFS分区，可以借助于NTFS的目录和文件权限来限制用户对站点内容的访问。
网站内容是网民了解站点拥有者的关键和窗口。网站的内容关系到站点建设的成败。
网站的管理有两个方面，一方面，需要对网络的链路，服务器等硬件设备进行管理。另一方面，需要对网站的内容，网站的创意，网民的咨询等软对象进行管理。
保持网站内容的长变长新就是网站管理者面对的重要课题。
利用传统方式进行网站的推广与营销是最基础，最有效的方法。
电子邮件具有速度快，效率高的特点，利用电子邮件进行网站营销也是可以考虑的办法之一。
网上购物是电子商务系统的一种重要应用。
消费者利用因特网浏览器进行网上购物步骤：
1 在线浏览与选择商品。
2 填写订购单。
3 选择支付方式。
在我国传统的现金支付方式仍然是最重要的支付方式。
网上直接划付是另一种支付方式。
第八章 网络技术展望
人们每次发送的报文分为较小的数据块，既报文分组，每个报文分组单独传送，达到目的地后再重新组装成报文，这就是分组交换技术。
信元交换技术是一种快速分组交换技术，它结合了电路交换技术延迟小和分组交换技术灵活的优点。信元是固定长度的分组，ATM采用信元交换技术，其信元长度为53字节。
目前主要的运营网络有电信网，有线电视网和计算机网。
N-ISDN把2B+D信道合并为一个144kbps（B=64，D=16）的数字信道，通过这样一个适配器，用户可以用144kps速率的完整数字信道访问Internet。64x2=128+16=144kps
宽带ISDN的核心技术是采用异步传输模式ATM。另一个核心技术关键技术是满足各种各样的服务质量QoS要求。
宽带ISDN的业务分为两类：交互型业务和发布型业务。
交互型业务是指在用户间或用户与主机之间提供双方信息交换的业务。
发布式业务是由网络中某点向其他多个位置传送单向信息流的业务。
宽带ISDN的协议分为3面和3层，3个面分别称为用户面，控制面和管理面。每个面又分为3层：物理层，ATM层和ATM适配层。
所谓社区宽带网是接到用户的快速网络，网络通常需求的速率至少是2Mbps。
RRB提供多种综合集成业务，有多种网络构筑方式，其中基于有线电视HFC网的方式速率最高。
RRB由业务提供者，传送者，接入网和家庭网共同组成。
从目前来看，有3种主要的技术，一种是基于电信网络的数字用户线路XDSL方式，它是建立在原有的电信线路上面传送宽带数据。还有一种在有线电视网CATV上传送宽带数据；另一种就是纯粹计算机网络，也就是我们常说的局域网，它可能以基于IP的方式传输宽带数据。
有线电视网CATV是采用单向传输方式。RRB极有可能的发展趋势是，采用ATM技术把所有的家用电器连接起来。
宽带网络是具备较高通信速率和吞吐量的通信网络。
整个宽带网络可以分为传输网，交换网和接入网3大部分，所以宽带网的相关技术也分为3类：传输技术，交换技术和接入技术。宽带传输网主要是以SDH为基础的大容量光纤网络，宽带交换网是采用ATM技术的综合业务数字网，宽带接入网主要有光纤接入，铜线接入，混合光纤/铜线接入，无线接入等。
光纤通信系统由电发射端机，光发射端机，光纤，中继放大器，光接收端机和电接收端机组成。
波分复用可使用多路不同波长的光信号在同一光纤上传输，这样既增加了光纤的传输容量，又打破了光纤点到点连接的限制，从而可以用光纤构成网络连接。
波分复用和光孤子技术：光纤的传送容量为100Gbps以上。光孤子采用很窄的光脉冲，传播以后能达到很小的失真，从而到达很高的传输容量。
宽带网络中的交换技术要求提供高速大容量交换，能支持各种业务，目前最有前途的交换网络是ATM网。
ATM采用面向连接的信号交换形式，达到大容量，多速率交换；通过虚连接和流量控制机制实现统计复用，以较高的网络资源利用率实现各种业务的交换。
ATM且有电路交换和分组交换的优点。
宽带网络对接入技术的要求包括两个方面：网络的宽带化和业务的综合化。
在传输网中，目前采用的是同步数字体系SDH。
SDH主要有以下特点：
2 具有全世界统一的网络结点接口，简化了消息互通。
3 具有一套标准化的信息结构等级，这些信息结构叫做同步传输模式。
4 在帧结构中具有丰富的用于维护管理的比特，因而具有强大的网络管理功能。
5 所有网络单元都有标准的光接口，包括同步光缆线路系统，同步复用器，分插复用器和同步数字交叉连接设备等等，因此可以在光路上实现互通。
6 具有一套特殊的复用结构，允许现有的准同步数字体系PDH，同步数字体系SDH和宽带综合业务数字网B-ISDN的消息都能进入其帧结构，因而具有广泛的适应性。
7 大量采用软件进行网络配置和控制，使得新功能和新特性的增加比较方便，适合未来的发展。
SDH信号最基本也是最重要的模块信号是STM-1，其速率为155。520Mbps。更高等级的STM-N是将STM-1同步复用而成。
STM-1每秒钟的传输速率为9*270*8*8000=155。52Mbps。
每个帧分为3个主要区域：
1 段开销SOH区域。
2 信息净负荷区域。
3 管理单元指针区域。
这是指示符，用来指示净负荷的第一个字节在STM-N帧内的准确位置。
SDH的网络单元有终端复用器，分插复用器ADM和数字交叉设备DXC等。
终端复用器的主要任务是将低速支路和155Mbps的电信号纳入STM-N帧结构中，并经过电/光转换为STM-N的光路信号，或相反。
分插复用器的主要任务是综合同步复用和数字交叉连接功能，分插任何信号。
数字交叉连接设备是SDH网的重要网络单元。
纯光DXC是唯一能与高速光纤传输速率相匹配的交叉连接技术。
自愈网是无需人为干预，网络就能在很短的时间内从失效故障中自动恢复所承载的业务，使用户不会感到网络已经出了故障。
异步传输模式ATM是一种分组交换和复用技术。
ATM用固定长度的分组发送信息，每个信元在其头部包含一个VCI，VCI提供一种方法，以创建多条逻辑信道，并在需要时候多路复用。因为信元长度固定，信元可能包含无用的比特。
ATM承载业务的重要特征：
3 它提供的服务是面向连接，通过虚电路传送数据。
4 数据被封装在53字节的信元中传输。
5 同一信道或链路中的信元可能来自不同的虚电路，它们采用统一多路复用技术。
6 为了满足不同的服务质量，ATM交换机能够以非平等的方式处理同一信道内不同的VC连接中的信元流。
ATM实际上是一个非常简单的协议：它仅仅把数据从一个端点传送到另一个端点，它本身并不提供差错恢复。
高层协议包括应用层，表示层，传输层和网络层。
适配层分为2个子层：会聚子层（CS）和坼装子层（SAS）。CS本身包括2个子层：特定业务会聚子层（SSCS）和公共部分会聚子层（CPCS）。
ATM信元由53字节组成：前5个字节是信头，其余48字节是信息字段。
ATM网络优点：
2 非常适合标记交换。
3 响应时间短。
ATM协议的一个重点特点是响应时间短，以及具有LAN和WAN的无缝联网能力。
4 高速和高带宽。
5 综合网络。

上一页  [1] [2] [3] [4] [5]  下一页