計算機網(wǎng)絡安全

安全現(xiàn)狀及關鍵技術簡介計算機網(wǎng)絡安全培訓人:XXXX時間:202X.X01網(wǎng)絡安全事件02網(wǎng)絡攻擊類型與解決03保障網(wǎng)絡安全的關鍵技術CONTENT目錄

2ppthangye網(wǎng)絡安全事件wangluoanquanshijian01網(wǎng)絡安全事件的有關報道

據(jù)聯(lián)邦調查局統(tǒng)計，美國每年因網(wǎng)絡安全造成的損失高達75億美元。

據(jù)美國金融時報報道，世界上平均每20秒就發(fā)生一次入侵國際互聯(lián)網(wǎng)絡的計算機安全事件，三分之一的防火墻被突破。

美國聯(lián)邦調查局計算機犯罪組負責人吉姆?塞特爾稱：給我精選10名“黑客”，組成個小組，90天內，我將使美國趴下。

超過50%的攻擊來自內部，其次是黑客。案例一：某電子商務網(wǎng)站被攻擊主服務器遭到黑客攻擊后癱瘓在啟用備份服務器后，數(shù)據(jù)大部分被刪除有CheckPoint防火墻，但防火墻行同虛設主機上沒有作過多配置，存在大量的服務安裝了pcAnywhere遠程控制軟件

現(xiàn)象案例一的教訓在遭到黑客攻擊后應采取的措施關鍵數(shù)據(jù)的備份主機日志檢查與備份主機的服務端口的關閉主機可疑進程的檢查主機帳號的修改防火墻的策略修改啟用防火墻日志詳細記錄避免使用的危險進程利用DiskRecovery技術對硬盤數(shù)據(jù)進行恢復案例二：中國電信信息港被攻擊遭到黑客DDOS攻擊服務器被癱瘓，無法提供正常的服務來源地址有3000多個，多數(shù)來自與國內有一部分攻擊主機是電信內部的IP地址

案例加強對骨干網(wǎng)設備的監(jiān)控減少骨干網(wǎng)上主機存在的漏洞在受到攻擊時，迅速確定來源地址，在路由器和防火墻上作一些屏蔽實現(xiàn)IDS和防火墻的聯(lián)動

教訓02網(wǎng)絡攻擊類型與解決wangluogongjileixingyujiejue案例一：某電子商務網(wǎng)站被攻擊1、信息的收集

入侵者攻擊的第一步就是盡一切可能對攻擊目標進行信息收集以獲取充足的資料。采取的方法包括：使用whois工具獲取網(wǎng)絡注冊信息；使用nslookup或dig工具搜索DNS表以確定機器名稱；確定了攻擊目標的基本屬性（站點地址、主機名稱），入侵者將對它們進行深入剖析。使用ping工具探尋“活”著的機器；對目標機器執(zhí)行TCP掃描以發(fā)現(xiàn)是否有可用服務。黑客入侵的步驟2、實施攻擊

列舉兩種攻擊方法：（1）通過發(fā)送大量數(shù)據(jù)以確定是否存在緩沖區(qū)溢出漏洞。所謂緩沖區(qū)溢出：指入侵者在程序的有關輸入項目中了輸入了超過規(guī)定長度的字符串，超過的部分通常就是入侵者想要執(zhí)行的攻擊代碼，而程序編寫者又沒有進行輸入長度的檢查，最終導致多出的攻擊代碼占據(jù)了輸入緩沖區(qū)后的內存而執(zhí)行。（2）嘗試使用簡單口令破解登錄障礙。3、安裝后門,清除日志對于入侵者而言，一旦成功地入侵了網(wǎng)絡中的一臺機器，入侵者現(xiàn)在要做的就是隱藏入侵痕跡并制造日后再攻的后門，這就需要對日志文件或其他系統(tǒng)文件進行改造，或者安裝上木馬程序、或者替換系統(tǒng)文件為后門程序。SQLInjection攻擊的原理漏洞分析─Script描述語言ASP程序語言為一種Script描述語言。Script描述語言的特點：

在程序執(zhí)行以前，所有原先是變數(shù)的地方，都會被替換成當時輸入的值。select*fromAccountswhereId=‘輸入的密碼’

andPassword=‘輸入的密碼’因此若輸入的帳號為「a’or‘’=‘’」，輸入的密碼為「a’or‘’=‘’」，則原先的SQL指令就被改成了select*fromAccountswhereId=‘a(chǎn)’or‘’=‘’andPassword=‘a(chǎn)’or‘’=‘’SQLInjection攻擊的原理SQLInjection攻擊的原理服務器端的程序select*fromAccountswhereId=‘Id’andPassword=‘Password’惡意使用者輸入范例一：Login：'or''=‘Password：'or''=‘原SQL指令變成

select*fromAccountswhereId=''or''=''andPassword=''or''=''Internet的攻擊類型11、拒絕服務攻擊PING風暴（PINGFlooding）PING命令是用來在網(wǎng)絡中確認特定主機是否可達，但它也被用作攻擊主機的手段。2同步包風暴（SYNFlooding）,同步風暴是應用最為廣泛的一種DOS攻擊方式。3電子郵件炸彈（E-mailBomb）。電子郵件炸彈的目的是通過不斷地向目標E-MAIL地址發(fā)送垃圾郵件，占滿收信者的郵箱，使其無法正常使用。

4Land攻擊，Land攻擊的原理是：向目標主機的某個開放端口發(fā)送一個TCP包，并偽造TCPIP地址，使得源IP地址等于目標IP地址，源端口等于目標端口，這樣，就可以造成包括WINDOWS2000在內的很多操作平臺上的主機死機。Internet的攻擊類型2、后門

“后門”一般隱藏在操作系統(tǒng)或軟件中，不為使用者知曉為漏洞，而它可使某些人繞過系統(tǒng)的安全機制獲取訪問權限。黑客可利用一些“掃描機（scanners）”的小程序，專門尋找上網(wǎng)用戶的系統(tǒng)漏洞，例如NetBIOS及Windows“文件及打印共享”功能所打開的系統(tǒng)后門。一旦掃描程序在網(wǎng)上發(fā)現(xiàn)了系統(tǒng)存在著漏洞，那些惡意攻擊者就會設法通過找到的“后門”進入你的計算機，并獲取你的信息。所有的這些非法入侵行為，你可能毫無查覺。Internet的攻擊類型3、遠程緩沖溢出攻擊緩沖區(qū)溢出漏洞是一種利用了C程序中數(shù)組邊界條件、函數(shù)指針等設計不當而造成地址空間錯誤來實現(xiàn)的。大多數(shù)Windows、Linux、Unix、數(shù)據(jù)庫系統(tǒng)的開發(fā)都依賴于C語言，而C的缺點是缺乏類型安全，所以緩沖區(qū)溢出成為操作系統(tǒng)、數(shù)據(jù)庫等大型應用程序最普遍的漏洞。4、網(wǎng)絡攻擊網(wǎng)絡攻擊的主要手段表現(xiàn)為端口掃描，端口掃描的目的是找出目標系統(tǒng)中所提供的服務，它逐個嘗試與TCPUDP端口建立連接，然后根據(jù)端口與服務的對應關系，綜合服務器端的反應來判斷目標系統(tǒng)運行了哪些服務。利用端口掃描，黑客可以判斷目標主機的操作系統(tǒng)類型及端口的開放情況，然后實施攻擊。Internet的攻擊類型5、特洛伊木馬攻擊

“特洛伊木馬程序”是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個在Windows啟動時悄悄運行的程序，采用服務器客戶機的運行方式，從而達到在你上網(wǎng)時控制你的電腦的目的。黑客可以利用它竊取你的口令、瀏覽你的驅動器、修改你的文件、注冊表等。特洛伊木馬不僅可收集信息，它還可能破壞系統(tǒng)，特洛伊木馬不能自身復制，因此，它不屬于計算機病毒。Internet的攻擊類型6.網(wǎng)絡病毒

Internet的開放性，為病毒的滋生、變種和傳播提供了一個無限廣闊的空間。病毒是將自身依附于其他軟件的一段程序，目的是破壞計算機系統(tǒng)的數(shù)據(jù)或硬件，有許多專業(yè)的反病毒軟件公司開發(fā)出了很多優(yōu)秀殺毒軟件，反病毒的關鍵是找出病毒的特征碼，并且定期更新病毒數(shù)據(jù)庫。網(wǎng)絡病毒傳播的主要途徑是電子郵件的附件，此外，下載文件、瀏覽網(wǎng)頁等也都有可能讓病毒有入侵的機會。網(wǎng)絡安全的目標篡

改冒名傳送竊聽否認傳送網(wǎng)際網(wǎng)絡機密性完整性身份認證不可否認性使用者甲使用者乙訪問攻擊訪問攻擊是攻擊者企圖獲得非授權信息，這種攻擊可能發(fā)生在信息駐留在計算機系統(tǒng)中或在網(wǎng)絡上傳輸?shù)那闆r下，這類攻擊是針對信息機密性的攻擊。常見的訪問攻擊窺探（snooping）是查信息文件，發(fā)現(xiàn)某些對攻擊者感興趣的信息。攻擊者試圖打開計算機系統(tǒng)的文件，直到找到所需信息。-01--02--03-

窺探竊聽（eavesdropping）是偷聽他人的對話，為了得到非授權的信息訪問，攻擊者必須將自己放在一個信息通過的地方，一般采用電子的竊聽方式。截獲（interception）不同于竊聽，它是一種主動攻擊方式。攻擊者截獲信息是通過將自己插入信息通過的通路，且在信息到達目的地前能事先捕獲這些信息。攻擊者檢查截獲的信息，并決定是否將信息送往目的站，如圖所示。

竊聽

截獲常見的訪問攻擊對傳輸中的信息可通過竊聽獲得。在局域網(wǎng)中，攻擊者在聯(lián)到網(wǎng)上的計算機系統(tǒng)中安裝一個信息包探測程序（sniffer），來捕獲在網(wǎng)上的所有通信。通常配置成能捕獲ID和口令。竊聽也可能發(fā)生在廣域網(wǎng)（如租用線和電話線）中，然而這類竊聽需要更多的技術和設備。通常在設施的接線架上采用T形分接頭來竊聽信息。它不僅用于電纜線，也可用于光纖傳輸線，但需要專門的設備。03保障網(wǎng)絡安全的關鍵技術baozhangwnagluoanquandeguanjianjishu保障網(wǎng)絡安全的關鍵技術1身份認證技術2訪問控制技術3密碼技術4防火墻技術5身份認證技術6安全審計技術防火墻技術(Firewall)

在網(wǎng)絡中，所謂“防火墻”，是指一種將內部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不能通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的安全。防火墻防火墻（FireWall）是一種位于兩個或多個網(wǎng)絡間，實施網(wǎng)絡之間訪問控制的組件集合。它實際上是一種隔離技術。它能允許你“同意”的數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客訪問你的網(wǎng)絡。

防火墻（1）過濾一些不安全的服務和非法用戶，防止未授權的用戶訪問安全網(wǎng)絡（2）控制對特殊站點或端口的訪問，防火墻可以根據(jù)安全策略允許受保護網(wǎng)絡的一部分主機被外部網(wǎng)絡訪問，而另一部分主機則被很好地保護起來。（3）作為網(wǎng)絡安全的集中監(jiān)測點，防火墻可以記錄所有通過它的訪問，并提供統(tǒng)計數(shù)據(jù)、預警和審計功能。防火墻功能防火墻的局限（1）不能防范惡意的知情者從內部攻擊（2）不能防范不通過防火墻的聯(lián)接（3）防火墻不能防范病毒入侵檢測技術(IDS)入侵檢測的概念（IntrusionDetectionSystem）通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并進行分析，以發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭受襲擊的跡象。入侵檢測是對防火墻的合理補充，被認為是防火墻之后的第二道安全閘門。知識庫待檢測的數(shù)據(jù)包入侵檢測：入侵否？響應繼續(xù)監(jiān)聽，檢測下一個數(shù)據(jù)包數(shù)據(jù)加密與數(shù)字認證數(shù)據(jù)加密和數(shù)字認證是網(wǎng)絡信息安全的核心技術。其中，數(shù)據(jù)加密是保護數(shù)據(jù)免遭攻擊的一種主要方法；數(shù)字認證是解決網(wǎng)絡通信過程中雙方身份的認可，以防止各種敵手對信息進行篡改的一種重要技術。數(shù)據(jù)加密和數(shù)字認證的聯(lián)合使用，是確保信息安全的有效措施。1、密碼學與密碼技術計算機密碼學是研究計算機信息加密、解密及其變換的新興科學,密碼技術是密碼學的具體實現(xiàn),它包括4個方面：保密(機密)、消息驗證、消息完整和不可否認性。

1保密（privacy）：在通信中消息發(fā)送方與接收方都希望保密，只有消息的發(fā)送者和接收者才能理解消息的內容。2驗證（authentication）：安全通信僅僅靠消息的機密性是不夠的，必須加以驗證，即接收者需要確定消息發(fā)送者的身份。3完整（integrity）：保密與認證只是安全通信中的兩個基本要素，還必須保持消息的完整,即消息在傳送過程中不發(fā)生改變。4不可否認（nonrepudiation）：安全通信的一個基本要素就是不可否認性，防止發(fā)送者抵賴（否定）。2、加密和解密密碼技術包括數(shù)據(jù)加密和解密兩部分。加密是把需要加密的報文按照以密碼鑰匙（簡稱密鑰）為參數(shù)的函數(shù)進行轉換，產(chǎn)生密碼文件；解密是按照密鑰參數(shù)進行解密,還原成原文件。數(shù)據(jù)加密和解密過程是在信源發(fā)出與進入通信之間進行加密，經(jīng)過信道傳輸,到信宿接收時進行解密,以實現(xiàn)數(shù)據(jù)通信保密。數(shù)據(jù)加密和解密過程如圖所示。加密密鑰報文解密原報文加密解密模型明文密文傳輸明文信源加密單元解密單元信宿3、密鑰體系加密和解密是通過密鑰來實現(xiàn)的。如果把密鑰作為加密體系標準，則可將密碼系統(tǒng)分為單鑰密碼（又稱對稱密碼或私鑰密碼）體系和雙鑰密碼（又稱非對稱密碼或公鑰密碼）體系。在單鑰密碼體制下，加密密鑰和解密密鑰是一樣的。在這種情況下，由于加密和解密使用同一密鑰（密鑰經(jīng)密鑰信道傳給對方），所以密碼體制的安全完全取決于密鑰的安全。雙鑰密碼體制是1976年W.Diffie和M.E.Heilinan提出的一種新型密碼體制。1977年Rivest,Shamir和Adleman提出RSA密碼體制。在雙鑰密碼體制下,加密密鑰與解密密鑰是不同的,它不需要安全信道來傳送密鑰，可以公開加密密鑰，僅需保密解密密鑰。4、傳統(tǒng)加密方法保持明文的次序，而把明文字符隱藏起來。

轉換密碼法不是隱藏它們，而是靠重新安排字母的次序。2、轉換密碼法⑴單字母加密方法：是用一個字母代替另一個字母,它把A變成E，B變成F，C變?yōu)镚，D變?yōu)镠。⑵多字母加密方法：密鑰是簡短且便于記憶的詞組。

1、代換密碼法就是用一頁上的代碼來加密一些詞，再用另一頁上的代碼加密另一些詞，直到全部的明文都被加密。4、一次性密碼簿加密法把明文中的字母重新排列,字母本身不變，但位置變了。常見的有簡單變位法、列變位法和矩陣變位法。3、變位加密法現(xiàn)代加密方法

1、DES加密算法

DES加密算法是一種通用的現(xiàn)代加密方法,該標準是在56位密鑰控制下,將每64位為一個單元的明文變成64位的密碼。采用多層次復雜數(shù)據(jù)函數(shù)替換算法，使密碼被破譯的可能性幾乎沒有。

2、IDEA加密算法

相對于DES的56位密鑰，它使用128位的密鑰，每次加密一個64位的塊。這個算法被加強以防止一種特殊類型的攻擊,稱為微分密碼密鑰。

IDEA的特點是用了混亂和擴散等操作,主要有三種運算：異或、模加、模乘，并且容易用軟件和硬件來實現(xiàn)。IDEA算法被認為是現(xiàn)今最好的、最安全的分組密碼算法，該算法可用于加密和解密?，F(xiàn)代加密方法郵件內容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機加密密鑰E1=ENIDEA(M)E2=ENRSA(K)KRP將E1+E2寄出發(fā)送郵件收到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K將M分離成C和SH1=MD5(C)取得收信人的分開密鑰KPS1=DERSA(H1)KPS1=S?NoYes接收此郵件拒絕此郵件接收郵件取得收信人的分開密鑰KRP3、RSA公開密鑰算法RSA是屹今為止最著名、最完善、使用最廣泛的一種公匙密碼體制。RSA算法的要點在于它可以產(chǎn)生一對密鑰,一個人可以用密鑰對中的一個加密消息，另一個人則可以用密鑰對中的另一個解密消息。任何人都無法通過公匙確定私匙，只有密鑰對中的另一把可以解密消息。現(xiàn)代加密方法

4、Hash－MD5加密算法

Hash函數(shù)又名信息摘要（MessageDigest）函數(shù)，是基于因子分解或離散對數(shù)問題的函數(shù)，可將任意長度的信息濃縮為較短的固定長度的數(shù)據(jù)。這組數(shù)據(jù)能夠反映源信息的特征，因此又可稱為信息指紋（MessageFingerprint)。Hash函數(shù)具有很好的密碼學性質,且滿足Hash函數(shù)的單向、無碰撞基本要求。

5、量子加密系統(tǒng)

量子加密系統(tǒng)是加密技術的新突破。量子加密法的先進之處在于這種方法依賴的是量子力學定律。傳輸?shù)墓饬孔又辉试S有一個接收者，如果有人竊聽，竊聽動作將會對通信系統(tǒng)造成干擾。通信系統(tǒng)一旦發(fā)現(xiàn)有人竊聽，隨即結束通信，生成新的密鑰。

破密方法

1.密鑰窮盡搜索

就是嘗試所有可能的密鑰組合，雖然這種密鑰嘗試通常是失敗的，但最終總會有一個密鑰讓破譯者得到原文。

2.密碼分析

密碼分析是在不知密鑰的情況下利用數(shù)學方法破譯密文或找到秘密密鑰。常見的密碼分析有如下兩種：

⑴已知明文的破譯方法：是當密碼分析員掌握了一段明文和對應的密文,目的是發(fā)現(xiàn)加密的密鑰。在實際應用中,獲得某些密文所對應的明文是可能的。

⑵選定明文的破譯方法：密碼分析員設法讓對手加密一段分析員選定的明文，并獲得加密后的結果,以獲得確定加密的密鑰。

破密方法

3、防止密碼破譯的措施

為了防止密碼破譯,可以采取一些相應的技術措施。目前通常采用的技術措施以下3種。

⑴好的加密算法：一個好的加密算法往往只有用窮舉法才能得到密鑰，所以只要密鑰足夠長就會比較安全。20世紀70～80年代密鑰長通常為48～64位，90年代,由于發(fā)達國家不準許出口64位加密產(chǎn)品，所以國內大力研制128位產(chǎn)品。

⑵保護關鍵密鑰（KCK：KEYCNCRYPTIONKEY）。

⑶動態(tài)會話密鑰：每次會話的密鑰不同。

動態(tài)或定期變換會話密鑰是有好處的，因為這些密鑰是用來加密會話密鑰的，一旦泄漏，被他人竊取重要信息，將引起災難性的后果。數(shù)字認證技術1、數(shù)字簽名

“數(shù)字簽名”是數(shù)字認證技術中其中最常用的認證技術。在日常工作和生活中，人們對書信或文件的驗收是根據(jù)親筆簽名或蓋章來證實接收者的真實身份。在書面文件上簽名有兩個作用：一是因為自己的簽名難以否認，從而確定了文件已簽署這一事實；二是因為簽名不易偽冒，從而確定了文件是真實的這一事實。但是，在計算機網(wǎng)絡中傳送的報文又如何簽名蓋章呢，這就是數(shù)字簽名所要解決的問題。

數(shù)字認證是一種安全防護技術，它既可用于對用戶身份進行確認和鑒別,也可對信息的真實可靠性進行確認和鑒別,以防止冒充、抵賴、偽造、篡改等問題。數(shù)字認證技術包括數(shù)字簽名、數(shù)字時間戳、數(shù)字證書和認證中心等。數(shù)字認證技術Key數(shù)字簽名初始文件簽名文件加密的簽名文件數(shù)字簽名初始文件數(shù)字摘要數(shù)字摘要正確初始文件HASH編碼一致KeyKeyKey數(shù)字摘要初始文件數(shù)字簽名的驗證及文件的竄送過程在網(wǎng)絡傳輸中如果發(fā)送方和接收方的加密、解密處理兩者的信息一致，則說明發(fā)送的信息原文在傳送過程中沒有被破壞或篡改,從而得到準確的原文。傳送過程如下圖所示。數(shù)字簽名技術隨著信息時代的來臨，人們希望通過數(shù)字通信網(wǎng)絡迅速傳遞貿(mào)易合同，數(shù)字簽名應運而生了。

數(shù)字簽名必須保證以下三點：a、接收者能夠核實發(fā)送者對報文的簽名；b、發(fā)送者事后不能抵賴對報文的簽名；c、接收者不能偽造對報文的簽名。

2、數(shù)字時間戳（DTS）

在電子交易中,同樣需要對交易文件的日期和時間信息采取安全措施，數(shù)字時間戳就是為電子文件發(fā)表的時間提供安全保護和證明的。DTS是網(wǎng)上安全服務項目,由專門的機構提供。數(shù)字時間戳是一個加密后形成的憑證文檔,它包括三個部分：

◆需要加時間戳的文件的摘要

◆DTS機構收到文件的日期和時間

◆DTA機構的數(shù)字簽名

數(shù)字時間戳的產(chǎn)生過程：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將這個摘要發(fā)送到DTS機構，DTS機構在加入了收到文件摘要的日期和時間信息后，再對這個文件加密（數(shù)字簽名），然后發(fā)送給用戶。數(shù)字認證技術

1客戶證書：以證明他（她）在網(wǎng)上的有效身份。該證書一般是由金融機構進行數(shù)字簽名發(fā)放的，不能被其它第三方所更改。2商家證書：是由收單銀行批準、由金融機構頒發(fā)、對商家是否具有信用卡支付交易資格的一個證明。3網(wǎng)關證書：通常由收單銀行或其它負責進行認證和收款的機構持有?？蛻魧ぬ柕刃畔⒓用艿拿艽a由網(wǎng)關證書提供。4CA系統(tǒng)證書：是各級各類發(fā)放數(shù)字證書的機構所持有的數(shù)字證書，即用來證明他們有權發(fā)放數(shù)字證書的證書。

3、數(shù)字證書

數(shù)字認證從某個功能上來說很像是密碼，是用來證實你的身份或對網(wǎng)絡資源訪問的權限等可出示的一個憑證。數(shù)字證書包括：數(shù)字認證技術數(shù)字認證技術持卡人CCA持卡證件商家MCA商家證件支持網(wǎng)關PCA支付網(wǎng)關證件根CA品牌CA地方CACA認證體系的層次結構

4、認證中心（CA）

認證中心是承擔網(wǎng)上安全電子交易認證服務、簽發(fā)數(shù)字證書并能確認用戶身份的服務機構。它的主要任務是受理數(shù)字憑證的申請，簽發(fā)數(shù)字證書及對數(shù)字證書進行管理。CA認證體系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付網(wǎng)關CA等不同層次構成，上一級CA負責下一級CA數(shù)字證書的申請簽發(fā)及管理工作。身份認證技術1、基于生理特征的身份認證指紋、臉型、聲音等進行身份認證要求使用諸如指紋閱讀器，臉型掃描器，語音閱讀器等價格昂貴的硬件設備。由于驗證身份的雙方一般都是通過網(wǎng)絡而非直接交互，所以該類方法并不適合于在諸如Internet或無線應用等分布式的網(wǎng)絡環(huán)境。身份認證技術2、基于約定的口令進行身份認證用戶服務器中口令對照表用戶ID，口令該方案有兩個弱點：容易受到重傳攻擊；傳統(tǒng)方式是將用戶口令放在服務器的文件中，那么一旦該文件暴露，則整個系統(tǒng)將處于不安全的狀態(tài)。身份認證技術

3、動態(tài)口令（一次口令）身份認證1991年貝爾通信研究中心研制出基于一次口令思想的身份認證系統(tǒng)SKEY，該系統(tǒng)使用MD4作為其單向hash函數(shù)目前存在很多動態(tài)口令方案，但未存在非常完善的方案基于智能卡的動態(tài)口令方案計算機網(wǎng)絡安全感

謝

觀

看

！培訓人:XX