ARP欺骗

2023年12月2日发(作者：)

ARP欺骗（由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址在A上被伪造成一个不存在的MAC地址，这样就会导致网络不通，A不能Ping通C！这就是一个简单的ARP欺骗。）什么是ARP欺骗？在局域网中，黑客经过收到ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。

TCP/IP：即传输控制协议／网际互连协议，它把整个计算机通信网划分为应用层、运输层、网际层、网络接口层。按照这种层次划分的通信模式如图所示。TCP/IP在运输层包括两个协议TCP和UDP：用户数据报协议UDP 传输控制协议TCP

网际层协议：IP协议、ICMP协议、ARP协议、RARP协议。

传输层协议：TCP协议、UDP协议。

应用层协议：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。

防火墙的实现方式：包过滤路由器，双穴防范网关，过滤主机网关，过滤子网防火墙

VPN：

1.分类：acessVPN,Intranet VPN，Extranet VPN 2.安全策略：隧道技术，加解密技术，密钥管理技术，使用者和设备身份验证技术

入侵检测：

入侵检测系统（IDS）：入侵检测的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。

入侵检测系统（IDS）：进行入侵检测的软件与硬件的组合。

按照分析方法/检测原理

－ 异常检测:首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。

－ 误用检测：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

网络安全的主要威胁:木马 计算机病毒 网络漏洞 黑客攻击 个人失误

木马反弹端口技术:与一般的木马相反，反弹端口型木马在服务端使用主动端口，客户端使用被动端口。木马定时监测客户端的存在，发现客户端上线立即进行主动连接;为了隐蔽起见，客户端的被动端口一般为80，即使用户使用扫描软件检查自己的端口，也不会发现什么异常的数据包，这样就会以为是在正常浏览网页。

服务器、个人计算机的保护技术:硬件的日常管理与维护、软件的日常管理与维护、数据备份、给自己的计算机安装防病毒软件、认真执行病毒定期清理制度

电子商务安全技术：电子商务安全中的加密技术、电子商务安全中的认证技术、电子商务安全协议

对称加密算法及其优缺点，常见的对称加密算法：

1.又称秘密密钥加密，特点是数据的发送方和接受方使用的是同一把密钥。

2.优：计算速度很快，使用方便，计算量小，加密效率很高

3.缺：密钥管理比较困难，一旦泄露则信息失去保密性;很难适应互联网这样的大环境。

4.对称加密算法：数据加密标准DES；高级加密标准AES；三重DES；Riwest密码RC2 RC4 RC5 RC6

不对称加密：又叫做公开密钥加密，需要采用两个在数学上相关的密钥对—公开密钥，私有密钥来对信息进行加解密。RSA 算法（可逆的公开密钥加密系统）DSA算法 椭圆曲线算法

数字签名的原理，验证过程，以及与mac的区别

1、数字签名：其实是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项。借助数字签名可以确定消息的发送方，同时还可以确定信息自发出后未被修改过。

2、验证过程：在该过程中，发送方用自己的似有密钥进行签署由此产生签名，接收方则用发送方的公开密钥进行验证操作。借此，接收方能确信所收到的信息确实是由发送方发出的而且在发送方发出该信息后相应的内容未被篡改过。

3、与mac的区别：数字签名类似于MAC，但不同于MAC，数字签名可以支持不可否认服务。也就是说信息的接收方可以用数字签名来证明作为发送方第三方的身份。但MAC不具有进行数字签名的功能。克服了MAC的弱点。

数字证书，包含的内容

1、数字证书是一个由使用使用数字证书的用户群所公认和信任的权威机构（即CA）签署了其数字签名的信息集合。按使用对象：个人、单位数字证书，服务器证书，安全邮件证书，代码签名证书。按采用技术：SSL和SET。 2、版本号、证书序列号、签名算法标识符、发放者、有效期、主体、主体公钥信息、发放者唯一标识符、主体唯一标识符

PKI及其功能

1.公钥基础设施，又叫公钥体系，是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户可利用PKI平台提供的服务进行安全通信。其组成成分：公开密钥加密技术，数字证书，认证机构CA，及相关的安全策略

应用系统的功能：

1）公钥数字证书的管理 2）证书撤销表的发布和管3）密钥的备份和恢复 4）自动更新密钥 5)自动管理历史密钥6)支持交叉认证

CA与RA

1.注册机构RA，本身并不发放数字证书，但RA可以确认、批准或拒绝数字证书申请人的申请，随后由CA给经过批准的申请人发放数字证书。负责数字证书的注册审批工作，是CA的证书发放、管理的延伸，是其不可缺少的一部分。

RA功能：

1)注册、注销、批准或拒绝对数字证书属性的变更要求2)确认数字证书申请人的合法性3)批准生成密钥对和数字证书的请求及恢复备份密钥的请求4)批准撤销或暂停数字证书的请求（需相应CA支持）5)向有权拥有身份标记的人当面分发标记或恢复旧标记

2.认证机构CA又叫认证中心，是一个网上各方都信任的机构，专门负责数字证书的发放和管理。是电子商务的关键环节，信赖基础。

CA的功能：

1）接收验证用户数字证书的申请2）确定是否接收用户数字证书的申3）向申请者颁发数字证书4）接收、处理用户的数字证书更新请求5）接收用户数字证书的查询、撤销 6）产生和发布数字证书撤销表（CRL）7）数字证书的归档 8）密钥归档 9）历史数据归档

我国的CA大致分类：行业性CA：如金融业—中国金融认证中心（CFCA）区域性CA：上海CA(SHECA)广东CA(CNCA)

商业性CA:天威诚信CA;颐信CA

为什么说在树型层次结构中，根CA的作用极其重要？

从信任的角度来讲，一个树型结构中的跟认证机构Z的作用是极其关键的，因为所有的认证路径都依赖于Z的信任。如果某个黑客窃取了Z的私钥，那他就可以伪造该结构中所需要的任何一个数字签名，而且还可以让要求进行签名确认的用户相信这个伪造的签名是合法的。另外，不管可信任的根是如何建立的，要想撤销根认证机构是相当困难的。因此，根认证机构的私钥必须得到格外的保护，比如让他始终保持离线状态，放在安全的设备里不让随便使用，仅仅在密切监督和严格检查的情况下才能生效。

时间戳：是用来标明一个事件所发生的日期和时间的一种记号，它一般是同生成该记号的人或机构的身份联系在一起的。这个标记一般被附加在信息的后面，或以某种方式使其与信息形成逻辑上的关联。时间戳是由交易各方、可信任的第三方，以及电信服务提供商们为了某种目的而生成的。

代理签名与双联签名

1.代理签名：源签名者将自己的签名权委托给可靠的代理人，让代理人代表本人去行使某些权力。

代理签名的基本要求：签名容易验证；源签名者与代理签名者的签名容易区分；签名实事不可否认。

几种代理签名方案介绍：（1）一次性代理签名方案，使得代理人最多签名一次。优点：不但代理人可以控制授权人无法传送秘密信息，而且又能保障授权人的权益不被代理人侵犯代理人的代理签名权同时也受到授权人的制约，即达到了双向制约的功能。

（2）代理多重签名。指某人同时受多人委托进行代理签名。

（3）盲代理签名。在盲代理签名方案中，原始签名人在得到代理签名时，不能根据代理签名确定出代理签名人的身份。

2.双联签名：持卡人给商家发送订货信息和自己的付款账户信息，但不愿让商家看到自己的付款账户信息，也不愿让处理商家付款信息的第三方看到订货信息。双联签名可以解决这个问题。

双联签名方法使用如下：

（1）持卡人将发给商家的信息M1和发送给第三方的信息M2分别生成报文摘要MD2

（2）持卡人将MD1 MD2和在一起生成MD，并签名

（3）将M1 MD2 MD发送给商家，将M2 MD1 MD发送给第三方接受者根据收到的报文生成报文摘要，再与收到的报文摘要合在一起，比较结合后的报文摘要和受到的MD，确定持卡人的身份和信息是否被修改过。

什么是SET安全协议，及其实现技术

含义：SET是一种应用于因特网环境下，以信用卡为基础的安全电子交易协议。1.采用了对称密钥和非对称秘钥机制，把对称密钥的快速、低成本和非对称秘钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。2.重点是确保商户和消费者的身份和行为的认证和不可抵赖性，其理论基础是著名的不可否认机制，其采用的核心技术是X.509电子证书标准与数字签名技术、报文摘要、数字信封、双重签名等技术。实现技术：1.使用数字签名技术确保数据完整性和不可否认。2.使用双重签名技术对SET交易过程中消费者的支付信息和订货信息分别签名，使得商户看不到支付信息，只能对用户订货信息解密，而金融机构看不到交易内容，只能对支付和账户信息解密，从而充分地保证了消费者的账户和订货信息的安全性。

SET和SSL协议的比较

安全套接层（SSL）协议提供了两个端点之间的安全链接，能对信用卡和个人信息提供较强的保护；SSL协议被大部分Web浏览器和web服务器所内置，比较容易被应用。

SET协议比SSL协议复杂，在理论上安全性也更高，因为SET协议不仅加密两个端点间的连接，还可以加密和认定三方的多个信息，而这是SSL协议所未能解决的问题。SET标准的安全程度很高，它结合了数据加密标准DES、RSA算法和安全超文本传输协议，为每一项交易都提供了多层加密。

网银的安全技术：短信认证、动态口令卡、U盾、双密码控制、交易限额控制、预留信息验证、数字证书及网银安全软件等。

建议： 1．建立完善的法律体系 2．加强客户准入的审查。 3．加强客户的网上银行安全教育

电子商务支付系统的功能