第章 网络安全技术

16.1网络安全概述16.1.1网络安全的重要性 16.1.2网络安全的基本问题16.1.3网络安全服务的主要内容16.2计算机病毒 16.2.1病毒的特点 16.2.2病毒的分类 16.2.3病毒的发展趋势 16.2.4病毒攻击的防范 16.3计算机木马 16.3.1木马的发展历史 16.3.2木马的工作过程 16.3.3防止木马 16.4黑客攻击 16.4.1黑客行为 16.4.2拒绝服务攻击

第16章网络安全技术16.4.3缓冲区溢出攻击 16.4.4漏洞扫描 黑客攻击 16.5密码学16.4.5端口扫描 16.4.6预防基础 16.5.1对称加密 16.5.2公钥加密 16.6公钥基础设施 16.6.1电子交易所面临的安全问题16.6.2PKI系统的组成 16.6.3PKI的原理 16.6.4认证中心（CA） 16.7安全应用协议 16.7.1SSL协议 16.7.2SET协议 16.7.3HTTPS协议 16.1网络安全概述计算机网络的广泛应用对社会发展正面作用的同时，也必须注意到它的负面影响。网络可以使经济、文化、社会、科学、教育等领域信息的获取、传输、处理与利用更加迅速和有效。那么，也必然会使个别坏人可能比较“方便”地利用网络非法获取重要的经济、政治、军事、科技情报，或进行信息欺诈、破坏与网络攻击等犯罪活动。同时，也会出现利用网络发表不负责或损害他人利益的消息，涉及个人隐私法律与道德问题。计算机犯罪正在引起社会的普遍关注，而计算机网络是犯罪分子攻击的重点。计算机犯罪是一种高技术型犯罪，由于其犯罪的隐蔽性，因此会对网络安全构成了很大的威胁。16.1.1网络安全的重要性16.1.2网络安全的基本问题网络防攻击问题网络安全漏洞与对策问题网络中的信息安全保密问题网络内部安全防范问题网络防病毒问题网络数据备份与恢复、灾难恢复问题网络安全服务的主要内容网络安全服务应该提供以下这些基本的服务功能：（1）保密性（Confidentiality）（2）认证（Authentication）（3）数据完整性（DataIntegrity）（4）防抵赖（Nonrepudiation）（5）访问控制（AccessControl）16.2计算机病毒1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》。在该条例的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”这个定义具有法律性、权威性。根据这个定义，计算机病毒是一种计算机程序，它不仅能破坏计算机系统，而且还能传染到其他系统。计算机病毒通常隐藏在其他正常程序中，能生成自身的副本并将其插入其他的程序中，对计算机系统进行恶意的破坏。16.2.1病毒的特点传统意义上的计算机病毒一般具有破坏性、隐蔽性、潜伏性、传染性等特点。随着计算机软件和网络技术的发展，在今天的网络时代，计算机病毒又有了很多新的特点：（1）主动通过网络和邮件系统传播。（2）传播速度极快。（3）变种多。（4）具有病毒、蠕虫和黑客程序的功能。16.2.2病毒的分类（1）文件型病毒（2）引导扇区病毒（3）混合型病毒（4）变形病毒（5）宏病毒16.2.3病毒的发展趋势随着Internet的发展和计算机网络的日益普及，计算机病毒出现了一系列新的发展趋势。（1）无国界（2）多样化（3）破坏性更强（4）智能化（5）更加隐蔽化16冲.2近.4寻病普毒攻劝击的挤防范病毒议危害披固然榜很大青，但估是只绢要掌送握了负一些分防病产毒的红常识拜就能揪很好平的进岗行防洪范。扁网络熔规划独师经颤常向虎用户久灌输样一些愈防毒苏常识装，这峰样单兔位整陷体的期安全恋意识发就会瞎大大锋提高世。（1）用额常识阴进行串判断驻。（2）安考装防虚病毒哀产品宜并保耳证更取新最瓶新的水病毒纠库。（3）不幸要从深任何帖不可跟靠的泊渠道凳下载称任何净软件氧。（4）使漫用其驱他形凡式的绘文档凯。（5）不见要用东共享烛的磁馅盘安锄装软直件，痰或者传是复毅制共饰享的盆磁盘侦。（6）使快用基伙于客铺户端度的防牙火墙窝或过市滤措万施。（7）系炊统软拌件经议常打跌好补经丁。（8）重源要资刻料，劲必须映备份稳。16虑.3彻计轿算机漏木马在计粪算机悉领域就中，相木马泉是一迷类恶蚂意程蜂序。型木马目是有射隐藏迹性的篇、自决发性依的可挠被用做来进冈行恶依意行努为的柿程序庭，多辣不会哨直接横对电骨脑产婆生危食害，哀而是愿以控那制为详主。16脊.3军.1净木会马的趴发展源历史（1）第汽一代犁木马——伪装罗型木馋马（2）第掩二代症木马——鼓AI候DS型木氧马（3）第麻三代信木马——网络借传播施性木纵马第一来，添晕加了秤“后达门”木功能照。第二品，添裙加了元键盘丢记录葡功能符。16渴.3长.2真木活马的船工作牵过程一个斤完整筑的木芝马系浴统由躲硬件衫部分续，软仿件部汽分和桑具体负连接么部分在组成畜。（1）硬圣件部横分：岁建立凯木马安连接障所必暗须的终硬件裤实体航。控指制端烈：对蒜服务化端进辨行远偏程控拥制的躁一方傅。服怎务端殖：被缘瑞控制恶端远霜程控粘制的壳一方约。In毅te匙rn碎et：控组制端偷对服逃务端委进行谢远程罪控制滨，数懒据传蹄输的标网络足载体收。（2）软企件部假分：胜实现超远程男控制熟所必拉须的纳软件捧程序胳。控敬制端职程序际：控断制端激用以航远程功控制炊服务误端的谣程序油。木遮马程妙序：糊潜入丧服务跌端内偷部，笋获取效其操忙作权碎限的疲程序布。木演马配毯置程蜓序：辰设置勺木马极程序狐的端筐口号伸，触慨发条纺件，荐木马右名称叼等，向使其恼在服零务端尊藏得达更隐筐蔽的穿程序辜。（3）具稳体连绑接部深分：挑通过In乡丰te类rn型et在服疤务端蹲和控季制端疫之间蛾建立络一条惑木马诊通道莲所必阅须的株元素东。16恼.3蜡.2折.1挡木星马的指组成16浙.3何.2缎.2陆配窜置木黎马一般岛来说灭一个俱设计脑成熟芹的木睬马都墓有木回马配士置程习序，盼从具遥体的椅配置鼠内容袖看，制主要毕是为逢了实咳现以贯下两凑方面勾功能寨：（1）木驱马伪兄装。黑木马独配置哈程序灰为了战在服也务端庙尽可赶能的民好的储隐藏铜木马腊，会巧采用街多种却伪装炮手段父，如径修改话图标斜，钟捆绑贿文件乒，定文制端乌口，垄自我恋销毁泄。（2）信寄息反狼馈。械木马叼配置哄程序趣将就饺信息境反馈碧的方患式或盒地址绕进行详设置闪，如蚂设置个信息闯反馈杨的邮订件地讨址、IR到C号、QQ号等少等。16丸.3醒.2挪.3挂传芹播木公马（1）传拦播方悼式木马印的传么播方棋式主客要有背两种乓：一控种是神通过E-称ma惯il，控株制端末将木孩马程构序以抱附件工的形躁式夹姓在邮并件中书发送哗出去聚，收助信人慕只要抵打开昏附件丛系统懂就会箩感染覆木马馆；另季一种货是软命件下锤载，哗一些作非正登规的蜂网站解以提淘供软芹件下登载为昆名义吼，将蓄木马陶捆绑严在软野件安屈装程巷序上烦，下负载后慈，只凭要一系运行例这些游程序乘，木系马就咱会自挠动安活装。修改拍图标捆绑瓜文件出错仗显示定制西端口自我轰销毁木马节更名（2）伪果装方树式鉴于梢木马悟的危昌害性盟，很馒多人洲对木眨马知咐识还食是有粒一定右了解它的，放这对嚷木马凳的传卖播起赵了一呢定的顾抑制如作用锅，这送是木城马设雹计者珠所不诊愿见捷到的稍，因据此他呜们开危发了言多种素功能所来伪徐装木陵马，惊以达辉到降欺低用萌户警严觉，境欺骗疏用户敏的目镰的。16收.3睡.3塑.4卵运强行木神马服务俘端用冈户运屠行木酷马或傅捆绑垃木马行的程拴序后功，木炎马就酒会自失动进哲行安描装。辛首先咳将自绳身拷粥贝到WI谨ND勺OW培S的发系统粥文件城夹中应（C:炮\w由in弹do缴ws或C:皮\w僵in哈do勺ws伏\s质ys话te坊m目录组下）粉，然际后在苹注册愚表\启动护组\非启硬动组弓中设掉置好拣木马充的触球发条判件，颗这样虏木马范的安血装就翻完成奋了。安装佩后就绪可以越启动贞木马慨了，站木马柿的启贡动方微式包婚括自王动激附活和恩触发胖式激减活。16弹.3招.3伙.5拉信深息泄秧露一般汤来说尚，设球计成哭熟的驶木马阴都有慕一个扬信息欧反馈翅机制役。所摊谓信贡息反东馈机婚制是吹指木贵马成驾功安左装后庆会收东集灰一些天服务令端的送软硬备件信炭息，疮并通混过E-逮ma切il、IR前C或QQ的方虚式告牛知控魔制端投用户砍。从反栋馈信侍息中重控制赢端可母以知余道服胶务端芬的一娱些软匪硬件缴信息吓，包雾括使尼用的温操作飘系统野，系爽统目寨录，末硬盘膨分区琴况，剪系统栏口令叫等，袄在这吸些信昌息中润，最继重要鹿的是脆服务愤端IP，因桂为只贪有得掩到这慎个参救数，誓控制曲端才岗能与萝服务谱端建继立连外接。16限.3司.3吨.6具建亏立连愚接一个芒木马底连接摆的建伶立首屯先必重须满晓足两想个条原件：罗一是摩服务敏端已样安装记了木周马程止序；傍二是尖控制毒端，胳服务姑端都循要在锣线。疲在此渔基础读上控甩制端遥可以胶通过禾木马稀端口览与服锅务端滋建立局连接铲。16用.3摇.3广.7柜远型程控放制木马访连接咐建立默后，犬控制纪端端己口和俘木马付端口技之间哲将会侮出现脚一条拉通道忍。控制纱端上李的控念制端棵程序侵可藉棕这条般通道通与服肆务端弃上的陪木马父程序筑取得斗联系序，并拦通过屈木马犁程序金对服锦务端胜进行嗓远程症控制漫。（1）窃胸取密设码。（2）文沙件操犹作。（3）修地改注愁册表蜻。（4）系暖统操漂作。16四.3旱.3盖防淡止木挣马防治木木马翠的危帖害，财应该发采取袍以下辈措施匠：（1）安盼装杀盒毒软穗件和拿个人电防火浩墙，捐并及桶时升球级。（2）把番个人耽防火晶墙设萄置好枪安全厘等级蛛，防息止未务知程以序向摘外传阿送数朴据。（3）可怕以考至虑使辅用安四全性眨比较圈好的登浏览把器和乖电子曾邮件树客户滑端工框具。（4）经始常查闸看自老己电情脑上哑的插缎件，敌防止绍恶意籍网站伍在自畜己电幕脑上务安装拨不明传软件壤和浏榆览器新插件蒸，以久免被伶木马使趁机腰侵入狐。16猫.4灰黑侮客攻粥击黑客喊最早秋源白塞英文Ha透ck层er，是锈指热塔心于泳计算牌机技肃术，隐水平渣高超赞的计活算机鸟专家何，尤封其是周程序冬设计运人员振。但到约了今演天，减黑客件一词屡又被芹用于羽泛指氏那些烛专门扬利用估计算衔机搞回破坏什或恶帮作剧竹的家览伙。胡对这需些人飞的正秋确英欣文叫筐法是Cr桨ac己ke筐r，有雹人翻向译成予“骇仍客”怖。16刊.4鹿.1改黑雹客行线为黑客炒的行普为主敏要有稿以下唉几种箩：（1）学资习技域术。（2）伪基装自钥己。（3）发唯现漏寄洞。（4）利企用漏凶洞。16摩.4觉.2匀拒旨绝服碌务攻盗击Do在S是指千攻击揪者想晴办法灶让目具标机漏器停穿止提泻供服驳务或扯资源便访问叛，是伸黑客亭常用笼的攻酷击手搜段之带一。林这些蛙资源心包括刚磁盘看空间升、内呈存、奥进程爽甚至渴网络往带宽尾，从界而阻甚止正摆常用川户的唤访问堵。其范实对脖网络娘带宽殿进行漫的消弯耗性捷攻击阿只是屿拒绝糊服务盯攻击尼的一宗小部里分，磨只要吨能够禾对目叮标造像成麻搞烦，间使某敢些服爪务被洗暂停吴甚至晚主机互死机凡，都庸属于仓拒绝谅服务吼攻击誓。16境.4宅.2之.1骡拒哥绝服懒务攻示击的学方式（1）SY盈N货Fl载oo猛d（2）IP欺骗DO御S攻击（3）UD惜P洪水色攻击（4）Pi在ng洪流笔攻击（5）泪闹滴（Te教ar等dr聋op）攻恨击（6）La这nd攻击（7）Sm偷ur渗f攻击（8）Fr号ag钩gl逝e攻击16驶.4臣.2油.2凶分捉布式材拒绝饰服务分布乎式拒鞠绝服柱务（Di汉st橡ri号bu炮te惨d恭De俘ni葛al筹o升f绘Se棋rv内ic红e，DD径oS）攻买击指弦借助西于客隔户/服务胡器技菌术，获将多们个计妄算机劈燕联合汤起来简作为损攻击稿平台欢，对隙一个腾或多龙个目煤标发棋动Do皮S攻击跪，从国而成剪倍地壳提高办拒绝缴服务造攻击趣的威境力。16渐.4革.3铃缓院冲区隐溢出违攻击缓冲饶区溢忘出攻芒击是等利用巧缓冲捎区溢怜出漏京洞所伯进行蚂的攻织击行珠动。先缓冲赖区溢侮出是妨一种剥非常怪普遍找、非惩常危浪险的牵漏洞咳，在担各种捕操作半系统神、应限用软理件中素广泛锁存在算。利匹用缓绕冲区极溢出杀攻击咳，可率以导梦致程脊序运眯行失脏败、歇系统蠢当机弟、重梨新启梁动等裕后果诉。更俗为严勤重的仅是，涝可以阅利用笑它执氏行非践授权锈指令呀，甚箭至可支以取穗得系甜统特菠权，剧进而须进行浑各种逐非法皱操作直。16完.4勤.4受漏异洞扫建描漏洞甜扫描泼主要羡通过萍以下牙两种形方法残来检互查目诊标主补机是衔否存墙在漏听洞：茅在端楼口扫弱描后室得知脖目标址主机盗开启雀的端涛口以萌及端猫口上似的网器络服宋务，礼将这只些相领关信愚息与娘网络解漏洞往扫描狐系统崭提供树的漏行洞库贤进行辫匹配瞒，查疤看是猪否有址满足长匹配们条件辛的漏伍洞存尝在；拴通过栗模拟惯黑客溉的攻屈击手傍法，未对目您标主饥机系炮统进户行攻蔑击性呼的安撞全漏赶洞扫建描，月如测刃试弱雹势口蜜令等舌。若走模拟依攻击依成功报，则葵表明并目标磁主机蚁系统萄存在卡安全械漏洞页。16盆.4姨.5霜端符口扫兔描网络自中的见每一茫台计拼算机骑如同佩一座煎城堡喂，在设这些男城堡馆中，蓝有的陕对外背完全知开放扭，有演的却晴是紧锈锁城略门。会在网剪络技映术中蔑，把乓这些晒城堡尖的城预门称齿之为知计算棍机的融“端遥口”客。端助口扫蒸描是计入侵记者搜把集信码息的种几种胳常用护手法流之一腔，也判正是持这一强过程激最容智易使吼入侵亚者暴谈露自虾己的乔身份录和意绝图。济一般快来说血，扫杨描端抖口有荡如下猾目的砖。（1）判旨断目渔标主余机上授开放狗了哪特些服隐务。（2）判胡断目灯标主防机的令操作赵系统束。如果宵入侵嫌者掌型握了岗目标恳主机萍开放针了哪国些服枣务，鹿运行舰何种弦操作掌系统辱，他朗们就扣能够全使用茎相应锯的手土段实以现入摆侵。16烫.4罚.5铸.1饥端左口扫此描原增理端口涂是由仗计算公机的狼通信芽协议TC萌P/辆IP协议遵定义堤的。娱其中防规定国，用天口地针址和批端口集作为雷套接年字，丸它代艺表TC框P连接追的一裙个连坐接端挑，一挂般称铲为So铲ck舰et。具誓体来赶说，时就是锣用“IP终+端口艰”来把定位搅一台柜主机瓣中的蕉进程粪。可舰以做松这样筛的比挤喻，谜端口仔相当城于两跑台计余算机蜘进程棵间的肯大门就，可池以随仙便定劲义，服其目傍的只道是为廉了让访两台躲计算漏机能掠够找劈燕到对酬方的另进程栽。计著算机暑就像群一座毁大楼酱，这封个大葱楼有摩好多造入口器（端幕口）报，进彼到不逢同的累入口执中就扮可以目找到筝不同只的公卧司（榴进程股）。奖如果血要和户远程疼主机A的程辫序通兔信，个那么长只要慢把数笼据发岂向“A：端灯口”刘就可胃以实团现通巾信了港。端口惑扫描颂就是敞尝试口与目担标主鉴机的雷某些盈端口备建立攀连接幕，如冰果目吓标主塌机该绵端口盯有回万复，身则说雄明该亿端口轰开放窃，即版为“希活动才端口提”。16覆.4隶.5甲.2鱼端撤口扫离描分缠类（1）全TC隆P连接（2）半炎打开猎式扫贯描（SY搭N扫描滥）（3）FI低N扫描（4）第内三方虏扫描16叨.4偶.6绑预柳防黑影客攻师击预防衔黑客却攻击皂是一悟个复绕杂的怠系统她工程博，可淘以从窗以下副三个挠方面德着手票，采棵用相炮应措膀施，肿预防活黑客虎的攻遮击。（1）技隔术上（2）管哄理上（3）规础划上16字.5挣密的码学茅基础对称推加密谈也称课为常携规加申密、机私钥罩或单念钥加们密，吐在20世纪70年代竿末期聪公钥暮加密棕开发敞之前近，是肥唯一锐被使贵用的悟加密共类型评。现朋在它梅仍然躁属于随最广亦泛使据用的密两种吃加密赖类型胜之一粒。16蹈.5违.1抹对锅称加炸密16晌.5怖.1牺.1逮对辰称加必密模描型16泉.5橡.1能.2护密漫码体倡制密码遗体制免一般秀从三潜个不味同的衰方面为进行计分类埋：（1）明针文转格换成擦密文觉的操波作类挡型（2）使泻用的巩密钥此数。（3）明哈文的狮处理滚方式16来.5熔.1旧.3蹲密镜码分唤析试图赔找出炉明文龙或者鱼密钥域的工恰作被北称为中密码县分析笼或破戏译。敢破译塘者使轨用的绪策略泪取决答于加派密方干案的韵固有稳性质日以及舰破译帅者掌仰握的屿信息矛。攻击类型密码破译人员已知的信息唯密文加密算法要解密的密文已知明文加密算法要解密的密文一个或多个用密钥产生的明文-密文对选择明文加密算法要解密的密文破译者选定的明文消息以及使用密钥产生的对应密文选择密文加密算法要解密的密文破译者选定的密文以及使用密钥产生的对应解密明文选择文本加密算法要解密的密文破译者选定的明文以及使用密钥产生的对应密文破译者选定的密文以及使用密钥产生的对应解密明文16匹.5摩.2勿公哪钥加屈密19卫76年提窄出的谜公开乞密钥欣密码续体制剖思想判不同革于传紧统的宰对称剪密钥失密码腔体制昼，它圆要求母密钥沃成对塘出现甩，一庙个为查加密图密钥椅（e），薄另一灵个为盖解密臣密钥田（d），勇且不茫可能舟从其存中一绑个推听导出蛛另一忽个。公钥布加密赌算法状也称捡非对雕称密宜钥算芦法，铸用两笔对密粘钥：姿一个百公共铁密钥盐和一港个专免用密侍钥。泊用户曾要保酸障专形用密势钥的绵安全高；公徐共密鸣钥则瓦可以栗发布皂出去咏。公水共密省钥与持专用悉密钥骨是有指紧密叛关系答的，滥用公兰共密谁钥加叹密的打信息与只能雕用专膝用密贴钥解散密，彼反之婚亦然喇。由孕于公岂钥算锄法不戏需要惜联机仇密钥唐服务蔬器，俱密钥念分配效协议穿简单秃，所眯以极乌大简械化了锣密钥另管理昏。除渔加密怒功能食外，猛公钥帐系统老还可但以提隐供数烫字签悔名。16哑.5盏.2抚.1昼公例钥加盼密理童论公钥抢加密构步骤公钥狐加密震的主混要步反骤如刮下：（1）网素络中规的每带个终臭端系炉统生求成一考对密索钥，溪用来自加密德和解营密消雕息。（2）每寇个终委端系境统通世过将肝其加驴密密筋钥存孝于公标开的泊寄存当器或变文件叙中，万公布猎其加温密密所钥，挣这个券密钥权称为躁公钥直；而疲其解逃密密肚钥则齿是秘伟密的漏。（3）若A要发萍消息愚给B，则A用B的公奔钥对街消息闪加密触。（4）B收到妥消息辰后．泰用其女私钥鱼对消缸息解关密。蝴由于畅只有B知道才其私集钥．左所以伸其他降的接缴收者拴均不暮能解辽出消贿息。16瞎.5恒.2伪.2醉R盏SA菠算法公钥袄加密恩算法忧中使厘用最傍广的抬是RS污A算法至。它舰是19棒77年由MI构T教授Ro惜na势ld异L歌.R张iv赠es络t，Ad涂i挥Sh潜am睁ir和Le征on涂ar冈d陪M.拨Ad锁le营ma迁n共同系开发狡的，趣分别惨取自户三名火数学衔家的稠名字验的第待一个摊字母率来构劲成的爷。RS颗A使用苹两个专密钥阿，一中个公侍共密走钥，弟一个廊专用谢密钥强。如抬用其汇中一感个加俭密，汗则可座用另在一个轧解密疤，密段钥长裳度从40到20梢48颜bi图t可变爸，加离密时亲也把呆明文最分成牧块，柴块的业大小弯可变邪，但医不能扔超过象密钥译的长抽度，RS鸟A算法文把每雾一块要明文源转化准为与牙密钥叠长度陶相同酒的密袜文块据。16统.6宏公秋钥基俘础设袍施随着In叔te喂rn箱et的普挡及，更人们英通过型因特划网进张行沟峰通越液来越自多，羡相应突的通朗过网挥络进离行商饲务活铜动即芹电子兄商务斩也得御到了假广泛牌的发桐展。则电子楼商务霸为我铃国企丧业开鼓拓国轧际国唯内市摘场、董利用锹好国沾内外左各种乏资源绑提供跳了一敢个千秘载难甩逢的驳良机甲。电锄子商邪务对将企业援来说误真正严体现厚了平秒等满竞争帽、高炕效率徒、低涛成本充、高埋质量迈的优菊势，谷能让腥企业仙在激吉烈的颂市场稠竞争施中把更握商拥机、袍脱颖祥而出形。然夏而随戒着电翁子商脉务的很飞速奔发展领也相峡应的滑引发雅出一爱些In家te毅rn辟et安全穗问题钩。16竞.6放.1寒电展子交味易所揭面临酸的安兼全问躺题（1）保瞎密性（2）完姨整性（3）身斜份认轨证与愿授权（4）抗误抵赖为解缺决这构些In都te篮rn丧et的安歇全问送题，六世界煎各国纹对其艇进行剑了多栋年的隙研究腔，初触步形效成了埋一套霸完整脏的In兄te汪rn暴et安全堪解决练方案辣，即错目前腾被广胡泛采桌用的PK控I技术通（Pu李bl雀ic遥K番ey北I钓nf第ra氧st尊ru援ct贷ur五e-公钥问基础飞设施额），PK歉I（公漫钥基烘础设坏施）抚技术国采用只证书誓管理笔公钥肝，通听过第异三方奏的可棵信任片机构——认证容中心CA（Ce油rt颈if感ic仪at诸e原Au卷th爽or隔it林y），凤把用妙户的饼公钥子和用炮户的在其他淡标识弱信息亲（如凝名称季、e-石ma兼il、身简份证堆号等抽）捆买绑在糠一起韵，在In吼te距rn餐et网上应验证圆用户话的身居份。16顿.6象.2哪P矮KI融系统拌的组控成16谅.6道.3世P叼KI绞的原捷理PK遮I的核砌心原誓理就仿是公从钥密锯码技变术。在PK遍I中，迟为了茶确保诸用户泰的身魂份及稼他所姥持有脱密钥唯的正券确匹什配，贿公开党密钥反系统遥需要蔬一个悟值得退信赖绢而且与独立然的第川三方侦机构忠充当患认证卧中心模（Ce怨rt今if大ic烛at撒io障n怀Au恳th订or部it盖y，CA），蔬来确器认公葵钥拥苍有人争的真方正身弃份。批就象年公安证局发盐放的们身份壤证一映样，驰认证享中心砌发放辫一个序叫“勾数字沾证书国”的程身份床证明些。16我.6窝.4液认袄证中浊心（承CA天）CA作为PK盖I的核气心部捐分，CA实现侨了PK辣I中一蓬些很绪重要版的功充能，蚊概括险地说妄，CA的功灿能有刚：证肿书发汁放、乱证书钟更新浩、证调书撤甩销和致证书拍验证哭。CA的核粮心功荒能就杀是发目放和娱管理扁数字已证书回。16版.6承.4终.1间C边A的携核心短功能16野.6肠.4颠.2储C扮A的居要求在具江体实旁施时激，CA的必见须做逐到以谜下几烟点：（1）验潜证并庙标识阁证书所申请蒜者的塌身份荡。（2）确疗保CA用于虽签名龟证书搏的非谣对称穗密钥仅的质森量。（3）确翠保整涝个签瘦证过洞程的努安全往性，纠确保励签名笑私钥忙的安醉全性做。（4）证腿书资习料信先息（弓包括歪公钥倾证书搏序列领号，CA标识行等）须的管艺理。（5）确凡定并隐检查闸证书哪的有费效期荷限。（6）确屈保证席书主愚体标禁识的巴唯一是性，延防止瞎重名盛。（7）发巧布并疫维护洋作废壮证书殖列表浪。（8）对壶整个言证书创签发盘过程肚做日浸志记时录。（9）向蓝申请致人发产出通族知。16歌.6来.4糖.3今公既钥产软生的色方式用户设的公桂钥有躁两种晌产生船的方引式：（1）用武户自巡寿己生默成密厦钥队砌，然险后将淡公钥茶以安南全的滴方式馋传送辛给CA，该摄过程著必须普保证幅用户庆公钥随的验泉证性姨和完搁整性弦。（2）CA替用量户生糕成密貌钥队器，然黑后将托其以盲安全湿的方仅式传脉送给萄用户少，该懒过程蹲必须描确保霉密钥扁对的咬机密跃性，督完整丧性和守可验碌证性腊。该祝方式杯下由涂于用委户的僚私钥缎为CA所产宗生，筒所以虎对CA的可冷信性存有更建高的传要求蠢。CA必须呈在事痒后销筛毁用径户的汪私钥邮。16黄.7逼安吹全应振用协涝议安全朴套接絮层协阿议SS农L（se棉cu录re鲜s陡oc蓄ke犹t慨la栗ye壳r）最碎初是释由Ne伯ts裙ca度pe公司瞧研究挖制定假的安净全通伪信协业议，凤是在扭因特蔑网基露础上沫提供闭的一看种保得证机未密性脖的安欠全协贯议。吴随后Ne悟ts携ca案pe公司扑将SS卧L协议丸交给IE糕TF进行薪标准荣化，倚在经黎过了挂少许辱改进冲后，萄形成灰了IE备TF夏T名LS规范乖。SS征L之所催以能示够被愧广泛愚应用依，主芬要有佳两个佛方面迷的原仔因：（1）SS露L的应略用范违围很完广，筐凡是肃构建明在TC数P/扁IP协议斜上的拾客户绍机/服务沈器模蛛式需羽要进肺行安币全通熄信时枯，都劝可以摘使用SS周L协议殖。而饶其他顿的一宏些安帽全协份议，堆如HT垒TP换S仅适重用于担安全材的超胃文本箩传输彼协议堆，SE益T协议靠则仅嘉适宜B-焰to怒-C电子障商务李模式滑的银遭行卡跑交易娃。（2）SS盖L被大个部分We拳b浏览缴器和We亦b服务征器所悦内置铜，比睁较容上易应此用。拔目前条人们摆使用步的是SS麦L协议纳的3.击0版，滩该版乡丰本是滔在19怪96年发稍布的滋。16园.7刃.1信S际SL叹协议16提.7躬.1待.1挑S证SL括协议隔的功妥能SS巾L协议辜工作释在TC宰P/编IP体系排结构授的应筹用层电和传眉输层混之间童。在晃实际柳运行沟时，圆支持SS稠L协议档的服螺务器特可以盛向一条个支洁持SS肥L协议委的客悦户机捆认证熊它自熟己，窜客户植机也真可以遮向服绪务器坟认证现它自济己，霸同时窗还允上许这帽两个篮机器野间建滋立加乳密连箩接。单这些场构成疗了SS挺L在因湾特网软和其暮他TC终P/袭IP网络埋上支眨持安柄全通每信的捕基本劈燕功能便：（1）SS箩L服务生器认火证允劳许客睬户机热确认幕服务黎器身撞份（2）确冤认用仰户身判份使厨用同盒样的访技术（3）保垒证数胆据传煮输的刘机密详性和尺完整章性16最.7货.1纷.2锣SS奥L协女议的症工作恒流程服务青器认淋证阶杠段：（1）客幼户端带向服汪务器贱发送正一个丹开始重信息蠢“He必ll晌o”以便记开始阳一个锋新的侍会话乱连接桨。（2）服猎务器级根据桂客户盲的信帅息确晒定是不否需狸要生恐成新罗的主滴密钥蜂，如急需要辉则服示务器超在响许应客肝户的征“He啊ll妻o”信息租时将舌包含供生成睬主密侧钥所秘需的贩信息辫。（3）客荷户根旺据收眯到的活服务劣器响烦应信萌息，泡产生滩一个瓣主密恼钥，杂并用戴服务欠器的链公开纽奉密钥彼加密克后传骂给服券务器宿。（4）服异务器作恢复腥该主乘密钥歇，并桑返回配给客咳户一侍个用喘主密敢钥认忠证的槽信息侵，以阿此让症客户皆认证咐服务乎器。用户牛认证静阶段魔：在此娃之前知，服浙务器帝已经脊通过诱了客喇户认奶证，声这一徒阶段邮主要梨完成劲对客姓户的种认证涂。经乏认证迅的服拥务器遭发送卵一个鲜提问什给客网户，赛客户稳则返卫回（押数字绍）签陷名后窜的提我问和浸其公剖开密密钥，蕉从而孙向服桐务器葛提供帆认证坚。16梅.7丈.2世S倚ET绩协议SE轻T主要齿是为载了解婆决用系户、约商家传和银宣行之遭间通绵过信树用卡斩支付贺的交遭易而昆设计貌的，毕以保高证支寒付信笔息的搭机密灭、支排付过情程的站完整具、商猛户及缎持卡袖人的颤合法烈身份惑以及喷可操劣作性晚。SE趣T非常逆详细祖而准协确地逃反映芝了交波易各此方之驻间存脚在的汁各种湾关系眯。它班定义谣了加岭密信鄙息的脉格式崇和付包款支重付交享易过覆程中偿各方佛传输仰信息抽的规摄则。SE锅T提供阵了持安卡人漠、商哭家和再银行白之间课的认溉证，央确保治了网胜上交辰易数然据的恼机密庸性、争数据亚的完神整性弄及交葛易的僻不可泪抵赖报性。16雁.7膝.2看.1调S别ET也协议织概述16乳.7奇.2慌.2岔S似ET拍协议绢的参从与者在SE包T协议婆系统妥中，等包括孟如下朽交易保的参阶与者潮。（1）持假卡人令（Ca锡rd拨ho滔ld锤er）（2）商畅家（Me抛rc迟ha采nt）（3）发银卡行狂（Is宋su宿er）（4）收固单行桥（Ac搬qu逝ir纵er）（5）支谁付网厦关（Pa对ym疏en却t币Ga龄te至wa顶y）（6）品疼牌（Br娱an缝d）（7）认减证中是心（Ce慰rt跌if亚ie夺at闲e地Au拥th末or愚it档y）16残.7森.2龄.3削S爬ET皆协议鬼的安挠全机纽奉制SE户T协议擦同时叉是PK成I框架射下的责一个晚典型提实现准。安把全核模心技径术主特要有变公开包密钥挖加密沿、数器字签东名、舟数字若信封杆、消牛息摘炼要和污数字瓜证书认等，祝主要祸应用柏于B2份C模式祝中保殃障支出付信郑息的佣安全被性。16漆.7辣.3虫H合TT灯PS回协议HT薯TP屈S协议尸是由Ne杨ts业ca庭pe开发器并内逗置于赶其浏红览器卵中，萍用于超对数毅据进急行压所缩和厉解压活操作絮，并爽返回筑网络员上传非送回庙的结每果。HT根TP仰S实际袭上应条用了Ne曲ts傍ca才pe的安岁全套询接字带层（SS捐L）作闷为HT子TP应用躬层的太子层潜。（HT先TP晌S使用得端