第11单元 网络安全相关技术.pptVIP

* * * * * * * * * * * * * * * * v * 持卡用户生成“购买请求”的过程 * 商家对用户“购买请求”的验证 * 商家对用户“购买请求”的验证过程 通过持卡用户的CA签名来验证持卡用户的证书。 使用持卡用户的签名公开密钥来验证双向签名，以验证订购信息的完整性，即在传输过程中没有被篡改。 处理订购信息，并将支付信息转交给支付网关进行支付认可。 向卡用户发送“购买响应”消息报文。 * 支付认可 商家在处理来自持卡用户的购买请求期间，需要请求支付网关来认可和确认该项交易。 商家向支付网关发送一个“认可请求”消息报文。 与支付相关的信息； 与认可有关的信息； 证书。 接收到“认可请求” 后，支付网关完成以下操作： 验证所有的证书。 对认可数据块的数字信封进行解密，获得一次性对称密钥，然后解密认可数据块。 验证认可数据块中商家的签名。 对认可支付数据块的数字信封进行解密，获得一次性对称密钥，然后解密支付数据块。 验证支付数据块中的双向签名。 验证从商家提交的交易ID是否与用户PI中的交易ID匹配。 向发卡机构请求并接收一个认可。从发卡机构获得了认可之后，支付网关就可向商家返回“认可响应”报文。 * 支付货款 商家同支付网关交互。 商家发送收款请求消息。 支付网关收到了收款请求报文时，解密并验证获取请求数据块和收款权标，并检查它们的一致性。 支付网关通过专用支付网络向发卡机构发送清算请求，其执行的结果是将货款划拨到商家的账户。 操作完成后，支付网关向商家发送收款响应报文。 * * * * * * * * 防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的那些可以访问的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往英特网的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 电路级网关防火墙 工作在传输层。 它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。 一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。 也称为通用代理，统一的代理应用程序，各协议可透明地通过通用代理防火墙。 电路级网关实现的典型例子是SOCKS软件包，是David Koblas在1990年开发的。 * 电路级网关防火墙的工作原理 在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。 　　  * * 4、防火墙的功能要求 ① 管理界面良好，配置容易、方便、安全，易于配置管理和监控 ② 病毒自动扫描，堵截非法URL和Java过滤 ③ 进行用户验证，防止网络攻击 ④ 具有多协议适应性 ⑤ 防止基于协议的攻击 ⑥ 测试方便 * * 2）防火墙选择 ① 具有标准的防火墙特性 ② 实际的用户安全需求（如安全级别、用户数、代理权、过滤和容错、价格等） ③ 可信的系统集成商 ④ 与单机操作系统无缝连接，克服弱点 ⑤ 必要的防火墙产品测试 ⑥ 综合安全手段与整体安全性能（如员工素质、专网连接、关键密码等） * * 3）防火墙产品 CheckPoint Firewall-1 4.0 AXENT Raptor CyberGuard Firewall Secure Computing SecureZone Cisco PIX Firewall 520 Netscreen Netscreen-100 NetGuard Guardian 3.0 * * 5、防火墙系统 路由器+防火墙 路由器：具备基于网络层的存取控制方法，可以对IP包的源/目的地址及端口号作出存取控制的决定。 防火墙：基于应用层的代理服务器主机。存在于两个网络中间，不允许直接数据传输，有较大的Cache,可以做详细的日志及审计，对节省流量、计费、安全都提供了一定的功能。 * * 三、漏洞扫描技术 基本原理：采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞和弱点进行逐项扫描和检查 ，根据扫描结果向系统管理员提供周密