第第 77 章 计算机网络系统安章 计算机网络系统安全全

本章摘要本章摘要 本章讨论计算机病毒的本质、类型及其防治技术；本章讨论计算机病毒的本质、类型及其防治技术；网络操作系统的安全问题；介绍安全电子邮件系统的原网络操作系统的安全问题；介绍安全电子邮件系统的原理及主要的标准；较详细地阐述了各种防火墙技术并比理及主要的标准；较详细地阐述了各种防火墙技术并比较它们的优缺点；最后，介绍了电子商务安全协议较它们的优缺点；最后，介绍了电子商务安全协议 SETSET及其处理流程。及其处理流程。

77.1 .1 计算机病毒及其防治计算机病毒及其防治7.1.1 7.1.1 计算机病毒的本质及其类型计算机病毒的本质及其类型 计算机病毒是一段程序，它附着于计算计算机病毒是一段程序，它附着于计算

机系统中其他可执行程序（宿主程序），机系统中其他可执行程序（宿主程序），并依赖其宿主程序的执行而进行未经许可并依赖其宿主程序的执行而进行未经许可的复制和破坏。一般来说，计算机病毒的的复制和破坏。一般来说，计算机病毒的动作分两阶段：感染和攻击。在感染阶段，动作分两阶段：感染和攻击。在感染阶段，计算机病毒进行自身代码的广泛复制。在计算机病毒进行自身代码的广泛复制。在攻击阶段，计算机病毒则进行该病毒程序攻击阶段，计算机病毒则进行该病毒程序所拟订的破坏。所拟订的破坏。

((1)1) 病毒的行为病毒的行为

在感染阶段，病毒制造者必须要抗衡对病毒的检测，在感染阶段，病毒制造者必须要抗衡对病毒的检测，故病毒感染的扩散常常不是即时进行。故病毒感染的扩散常常不是即时进行。

有些病毒是当宿主程序一执行，便开始动作，感染其有些病毒是当宿主程序一执行，便开始动作，感染其他程序；有些病毒的感染，却要等待某些事件的触发。他程序；有些病毒的感染，却要等待某些事件的触发。

很多病毒程序会以内存中的驻留程序方式存在，驻留很多病毒程序会以内存中的驻留程序方式存在，驻留病毒经常会取代系统软件的若干部分以隐藏自己的存在，病毒经常会取代系统软件的若干部分以隐藏自己的存在，这种技术称为偷袭。多形态技术也会有助于病毒进行感染这种技术称为偷袭。多形态技术也会有助于病毒进行感染而逃过检测。而逃过检测。

所有病毒都需要时间实施感染，不是所有病毒都进行所有病毒都需要时间实施感染，不是所有病毒都进行攻击，但可以肯定的是，所有病毒都会耗费系统资源，通攻击，但可以肯定的是，所有病毒都会耗费系统资源，通常都会给系统造成故障，诸如删除文件、改动数据或降低常都会给系统造成故障，诸如删除文件、改动数据或降低系统执行速度等等，且有些病毒的攻击对系统是致命的。系统执行速度等等，且有些病毒的攻击对系统是致命的。如同病毒感染需要触发一样，病毒的攻击也需等待触发时如同病毒感染需要触发一样，病毒的攻击也需等待触发时机的到来。机的到来。

(2)(2) 病毒的类型病毒的类型

①① 感染的对象感染的对象 病毒会感染系统扇区、宏指令、伴随文件（与病毒会感染系统扇区、宏指令、伴随文件（与 EXEEXE

文件同名的文件同名的 COMCOM 文件）、磁盘簇、批处理文件、源代码、文件）、磁盘簇、批处理文件、源代码、用用 VBVB 写的蠕虫，等写的蠕虫，等

② ② 病毒的种类：病毒的种类：﹒﹒ 多形态病毒：多形态病毒： 病毒的每个副本看上去都是不同的。被某种病毒所感病毒的每个副本看上去都是不同的。被某种病毒所感

染的多个文件上所附着的病毒代码是不相同的。变异后的染的多个文件上所附着的病毒代码是不相同的。变异后的代码并非完全不相同，大多数病毒扫描程序都已能识别。代码并非完全不相同，大多数病毒扫描程序都已能识别。

﹒﹒ 偷袭者病毒偷袭者病毒 偷袭病毒掩盖自己所作的改变的办法是取代那些读文偷袭病毒掩盖自己所作的改变的办法是取代那些读文

件或系统扇区的管理程序，当有程序要求磁盘上这些部位件或系统扇区的管理程序，当有程序要求磁盘上这些部位的信息时，偷袭病毒就将未改变前的正确信息来替代实际的信息时，偷袭病毒就将未改变前的正确信息来替代实际的被病毒改变了的信息。当然，偷袭病毒必须常驻内存且的被病毒改变了的信息。当然，偷袭病毒必须常驻内存且处于活动状态才能作到这一点。因此，系统用干净（无处于活动状态才能作到这一点。因此，系统用干净（无毒）的系统软盘启动后再使用抗病毒程序才是效果最好的。毒）的系统软盘启动后再使用抗病毒程序才是效果最好的。

﹒﹒快速和慢速感染者病毒快速和慢速感染者病毒 快速感染者病毒不但在其它程序运行时实施感染，而且快速感染者病毒不但在其它程序运行时实施感染，而且

当其它程序仅仅是被简单地访问而并非在执行时即实施感染。当其它程序仅仅是被简单地访问而并非在执行时即实施感染。它附在抗病毒软件上，当其它程序被检查时就实施感染。由它附在抗病毒软件上，当其它程序被检查时就实施感染。由于抗病毒程序要打开外存上的每一个程序来扫描病毒，所以于抗病毒程序要打开外存上的每一个程序来扫描病毒，所以驻留在内存中在抗病毒程序启动之前未被发现的快速感染者驻留在内存中在抗病毒程序启动之前未被发现的快速感染者病毒将在抗病毒程序启动后迅速传遍全部外存的盘片。病毒将在抗病毒程序启动后迅速传遍全部外存的盘片。

慢速感染者病毒感染其它程序仅在这些程序被创建和修慢速感染者病毒感染其它程序仅在这些程序被创建和修改时进行。它的意图是试图在程序合法变动之机侵入以抵御改时进行。它的意图是试图在程序合法变动之机侵入以抵御对软件的完整性检查，因为用户会认为此时的程序完整性的对软件的完整性检查，因为用户会认为此时的程序完整性的改变是自己做的，而很少会怀疑到病毒的感染。慢速感染者改变是自己做的，而很少会怀疑到病毒的感染。慢速感染者病毒不会很快传遍整块磁盘。病毒不会很快传遍整块磁盘。

﹒﹒稀疏者病毒 稀疏者病毒 它可能会感染那些刚好执行了它可能会感染那些刚好执行了 2020次的文件；或那些长度次的文件；或那些长度刚好等于某个预定的数值范围的文件；或其名字是以某些预刚好等于某个预定的数值范围的文件；或其名字是以某些预定的字母开头的文件等。定的字母开头的文件等。

﹒﹒装甲病毒装甲病毒 采用抵制反汇编的技术的病毒。采用抵制反汇编的技术的病毒。﹒﹒ 多歧病毒多歧病毒 有时感染系统扇区，有时感染文件。有时感染系统扇区，有时感染文件。

﹒﹒空穴病毒空穴病毒 空穴病毒就是在不破坏原程序本身的前提下来把自己安装到程序（文空穴病毒就是在不破坏原程序本身的前提下来把自己安装到程序（文

件）的空白区域中去。件）的空白区域中去。 一种新的一种新的 WindosWindos 文件格式文件格式 - PE- PE （（ Portable ExecutablePortable Executable ）） ,,使得空使得空穴病毒“钻空子”容易多了。穴病毒“钻空子”容易多了。 P EP E格式文件在运行时在程序执行代码间格式文件在运行时在程序执行代码间潜在地留下若干大段的空隙。空穴病毒能发现这些空隙再将自己安装进去。潜在地留下若干大段的空隙。空穴病毒能发现这些空隙再将自己安装进去。曾肆虐四方的曾肆虐四方的 CIHCIH 病毒便是利用了这种新文件格式的空穴病毒。病毒便是利用了这种新文件格式的空穴病毒。

﹒﹒隧道病毒隧道病毒 隧道病毒便试图回溯中断链以求直接获得隧道病毒便试图回溯中断链以求直接获得 DOSDOS 和和 BIOSBIOS 的中断句柄，的中断句柄，然后将自己安装进去替代原中断处理程序的执行代码来一个“偷梁换柱”。然后将自己安装进去替代原中断处理程序的执行代码来一个“偷梁换柱”。

﹒﹒伪装病毒伪装病毒﹒﹒NTFS ADSNTFS ADS 病毒病毒 NTNT 文件系统（文件系统（ NTFSNTFS ）在其内部含有一个交替数据流（）在其内部含有一个交替数据流（ ADSADS－－ AltAlt

ernate Data Streamernate Data Stream ）子系统。这个）子系统。这个 ADSADS 子系统允许另外的数据连接到子系统允许另外的数据连接到一个文件，且这另外附加的数据文件（一个文件，且这另外附加的数据文件（ ADSADS 文件）对用户并不总是可见文件）对用户并不总是可见的。的。

病毒先为自己创建一个副本作为一个临时病毒先为自己创建一个副本作为一个临时 EXEEXE 文件，然后把原始的文件，然后把原始的正常正常 EXEEXE 文件作为文件作为 ADSADS 文件附加到临时文件附加到临时 EXEEXE 文件上去，再把那临时文件上去，再把那临时 EXEXEE 文件名改成原始的正常文件名改成原始的正常 EXEEXE 文件名。当用户键入那原始的正常文件名。当用户键入那原始的正常 EXEEXE 文文件名，实际运行的将是病毒程序。病毒在自己的操作完了以后，再把原始件名，实际运行的将是病毒程序。病毒在自己的操作完了以后，再把原始的的 EXEEXE 文件送还给操作系统去运行。文件送还给操作系统去运行。

除病毒以外，其他对系统有害的恶意软件有：除病毒以外，其他对系统有害的恶意软件有：

逻辑炸弹：在计算机程序中潜入的逻辑，它可以逻辑炸弹：在计算机程序中潜入的逻辑，它可以检查在该系统中将要出现的某个条件组合。当这检查在该系统中将要出现的某个条件组合。当这些条件满足时，它就执行某些功能以产生一个未些条件满足时，它就执行某些功能以产生一个未授权的动作。授权的动作。

特洛伊木马：一种具有看起来或实际上具有有用特洛伊木马：一种具有看起来或实际上具有有用功能的计算机程序，但这里面还包含有一些附加功能的计算机程序，但这里面还包含有一些附加的（隐藏的）功能，能够偷偷摸摸的使用调用进的（隐藏的）功能，能够偷偷摸摸的使用调用进程的合法特许达到损害安全的目的。程的合法特许达到损害安全的目的。

蠕虫：它能够复制自己，并将各副本通过网络连蠕虫：它能够复制自己，并将各副本通过网络连接从一个计算机发送到其他计算机。在到达时，接从一个计算机发送到其他计算机。在到达时，蠕虫可以被激活以继续复制和传播。蠕虫可以被激活以继续复制和传播。

7.1.2 7.1.2 反病毒的方法与技术反病毒的方法与技术

1.1. 扫描扫描 病毒扫描程序是根据已知病毒的特征码检测已知的病毒。病毒扫描程序是根据已知病毒的特征码检测已知的病毒。

一旦察觉到了一种新病毒，扫描程序作者就需查找其特征一旦察觉到了一种新病毒，扫描程序作者就需查找其特征码来编写一段新的扫描程序，然后用它来搜寻内存，文件码来编写一段新的扫描程序，然后用它来搜寻内存，文件和系统扇区，如果找到匹配的代码串，则发出发现病毒的和系统扇区，如果找到匹配的代码串，则发出发现病毒的警报。警报。

为了提高扫描的准确性，扫描程序常采用如代码分析为了提高扫描的准确性，扫描程序常采用如代码分析和虚拟计算等技术。代码分析就是首先考察程序流程，查和虚拟计算等技术。代码分析就是首先考察程序流程，查看是否有非正常跳转等来寻找病毒特征。虚拟计算就是扫看是否有非正常跳转等来寻找病毒特征。虚拟计算就是扫描程序在扫描过程中在内存设置一个虚拟计算机并在其虚描程序在扫描过程中在内存设置一个虚拟计算机并在其虚拟环境中运行那个要检查的程序，再对其结果进行考察，拟环境中运行那个要检查的程序，再对其结果进行考察，以免其中真的含有病毒而就此发生扩散。这些技术常叫做以免其中真的含有病毒而就此发生扩散。这些技术常叫做“试探式”扫描。扫描程序需要及时更新病毒特征库以检“试探式”扫描。扫描程序需要及时更新病毒特征库以检测最新查获的病毒测最新查获的病毒

22 ．完整性检查．完整性检查 完整性检查程序的原理和作用是记录下硬盘上的全部完整性检查程序的原理和作用是记录下硬盘上的全部信息的完整性数据，这些数据代表了硬盘上系统扇区和文信息的完整性数据，这些数据代表了硬盘上系统扇区和文件的特征值，诸如文件的长度、日期和时间；文件内容的件的特征值，诸如文件的长度、日期和时间；文件内容的CRCCRC值或校验和；临近程序出值或校验和；临近程序出 // 入口处的几条机器指令等入口处的几条机器指令等等。在验证时，如果系统扇区或文件的特征值与原来不同，等。在验证时，如果系统扇区或文件的特征值与原来不同，那么便是发生了故障，很有可能是病毒造成的。那么便是发生了故障，很有可能是病毒造成的。

3. 3. 行为监视行为监视 行为监视程序是内存驻留程序，对于防御逻辑炸弹和行为监视程序是内存驻留程序，对于防御逻辑炸弹和特洛伊木马特别有用。它的工作原理是在后台监视那些有特洛伊木马特别有用。它的工作原理是在后台监视那些有可能对系统造成破坏的系统中断服务例程的使用情况。一可能对系统造成破坏的系统中断服务例程的使用情况。一旦这些服务例程被调用，它就会弹出一个窗口来通知用户，旦这些服务例程被调用，它就会弹出一个窗口来通知用户，并请用户判断是否应该继续执行。并请用户判断是否应该继续执行。

7.2 7.2 操作系统和网络信息安全操作系统和网络信息安全

TCP/IPTCP/IP 的安全性的安全性

IPIP 安全性安全性

安全套接层和传输层的安全安全套接层和传输层的安全

UNIXUNIX 系统的安全性系统的安全性

图 7.1 与 TCP/IP 各层对应的安全协议

7.2.2 IP7.2.2 IP 安全性安全性 IETFIETF 发表了五个与安全有关的建议标准，发表了五个与安全有关的建议标准，

在互连网层定义了一个在互连网层定义了一个 IPIP 安全体系结构—安全体系结构— IPIPsecsec ，， IPsecIPsec 主要文档如下：主要文档如下：

﹒﹒RFC2401RFC2401 ：安全体系结构概述。：安全体系结构概述。 ﹒ ﹒ RFC2402: IPRFC2402: IP 鉴别首部鉴别首部 ﹒ ﹒ RFC2406: IP Encapsulating Security Payload (ESP)RFC2406: IP Encapsulating Security Payload (ESP)

﹒ ﹒ RFC2409: The Internet Key Exchange (IKE)RFC2409: The Internet Key Exchange (IKE)

IPsecIPsec 为为 IPIP包加上了完整性检查、鉴别、加密和重包加上了完整性检查、鉴别、加密和重放保护。它既可用于端－端的传输安全，也可用来在网关放保护。它既可用于端－端的传输安全，也可用来在网关之间创建安全隧道。之间创建安全隧道。

IPsecIPsec 中的鉴别首部（中的鉴别首部（ AHAH ）提供了）提供了 IPIP包的鉴别服务，包的鉴别服务，采用的方法是在包里附加了加密了的检查和。当接收者收采用的方法是在包里附加了加密了的检查和。当接收者收到带有到带有 AHAH 的包且其检查和的操作是成功的，同时收发双的包且其检查和的操作是成功的，同时收发双方是共享一对无第三者知道的秘密密钥的，则可断定此包方是共享一对无第三者知道的秘密密钥的，则可断定此包的发送者是真实的；此包内容在传输过程中没被篡改。封的发送者是真实的；此包内容在传输过程中没被篡改。封装安全有效载荷（装安全有效载荷（ ESPESP ）提供了）提供了 IPIP包的机密性服务，其包的机密性服务，其方法是用方法是用 3DES3DES 或或 RC5RC5 、、 IDEAIDEA 、、 3IDEA3IDEA 、、 CASTCAST 、、 BlBlowfishowfish 等密码算法加密。当接收者收到带有等密码算法加密。当接收者收到带有 ESPESP 的包且的包且其检查和的操作是成功的，同时收发双方是共享一对无第其检查和的操作是成功的，同时收发双方是共享一对无第三者知道的秘密密钥的，则可确定该包在途中没有被搭线三者知道的秘密密钥的，则可确定该包在途中没有被搭线窃听。窃听。 IPIP 有效负荷压缩（有效负荷压缩（ IPcompIPcomp ）的功能是为用）的功能是为用 ESPESP加密前的加密前的 IPIP包提供压缩功能。因特网密钥交换（包提供压缩功能。因特网密钥交换（ IKEIKE ））的功能是为的功能是为 AHAH 和和 ESPESP 中使用秘密密钥的双方提供密钥中使用秘密密钥的双方提供密钥管理。管理。 IPsecIPsec 中的中的 IKEIKE功能是可选的。若未选用功能是可选的。若未选用 IKEIKE ，则，则可人工配置可人工配置 AH/ESPAH/ESP 所需的密钥。所需的密钥。

7.2.3 7.2.3 安全套接层和传输层的安全安全套接层和传输层的安全11 ．安全套接层．安全套接层 SSLSSL 安全协议安全协议 TCP/IPTCP/IP 的运输层的安全主要是由安全套接层的运输层的安全主要是由安全套接层

（（ SSLSSL ）协议和运输层安全协议（）协议和运输层安全协议（ TLSTLS ）来实现）来实现的。 的。

SSL握手协议 SSL修改密文协议

SSL告警协议 HTTP

SSL记录协议

TCP

IP

图 7.9 SSL 的体系结构

SSLSSL 含有如下的安全项：含有如下的安全项： 机密性：在初始握手阶段，双方建立对成密钥后，信息即用该密钥加密。机密性：在初始握手阶段，双方建立对成密钥后，信息即用该密钥加密。 完整性：在信息中嵌入信息鉴别码（完整性：在信息中嵌入信息鉴别码（ MACMAC ）来保证信息的完整性。）来保证信息的完整性。 鉴别：在握手阶段，客户鉴别服务器用不对称密钥或公开密钥。鉴别：在握手阶段，客户鉴别服务器用不对称密钥或公开密钥。

SSLSSL 要求对每个数据进行加密和解密操作，因而在带来高性能的同时，对系要求对每个数据进行加密和解密操作，因而在带来高性能的同时，对系统也要求高资源开销。统也要求高资源开销。

SSLSSL 协议位于传输层上面，且它自己也是一个分层协议。它从应用层取得数协议位于传输层上面，且它自己也是一个分层协议。它从应用层取得数重定格式后将它传给传输层。重定格式后将它传给传输层。 SSLSSL 是这样处理数据的：是这样处理数据的：

﹒﹒ 发送方 执行下列动作： ﹒接收方 执行以下动作：发送方 执行下列动作： ﹒接收方 执行以下动作：- - 从上层取得信息 从上层取得信息 -- 从低层取得数据从低层取得数据- - 分片 分片 - - 解密解密- - 压缩（可选） 压缩（可选） - - 用事先商定的用事先商定的 MACMAC 码校验数据码校验数据- - 加入信息鉴别码（加入信息鉴别码（ MACMAC ） ） - - 如是压缩数据则解压缩如是压缩数据则解压缩- - 加密数据 加密数据 - - 重装配数据重装配数据- - 将结果传输到下层 将结果传输到下层 - - 传输信息到上层传输信息到上层

图图 7.11 SSL7.11 SSL 握手过程 握手过程

传输层安全协议（传输层安全协议（ TLSTLS ）） 传输层安全协议（传输层安全协议（ TLSTLS ）） 1.01.0版是基于版是基于

SSLSSL 的。的。 TLS1.0TLS1.0 相关文挡是相关文挡是 RFC2246RFC2246 。。两个互相不知其代码的应用程序可用两个互相不知其代码的应用程序可用 TLSTLS来安全地通信。 来安全地通信。

7.2.4 UNIX7.2.4 UNIX 系统的安全性系统的安全性11 ．． UNIXUNIX 系统的安全等级系统的安全等级 按照可信计算机评价标准达到按照可信计算机评价标准达到 22级，它级，它具有以下安全性能：具有以下安全性能：

11 ）访问控制）访问控制 22 ）对象的可用性）对象的可用性 33 ）个人身份标识和认证）个人身份标识和认证 44 ）审计记录）审计记录

22 ．． UNIXUNIX 的安全体系结构的安全体系结构 表表 7.3 Unix7.3 Unix 安全体系结构安全体系结构

层次 名称 含义层次 名称 含义 77 Policy Policy 安全策略定义、指导安全策略定义、指导6 Personne6 Personne 使用设备和数据的人员使用设备和数据的人员55 Lan Lan 计算机设备和数据计算机设备和数据44 Internal Demark Internal Demark 连接器连接器 -- 内部连接器内部连接器33 Gateway Gateway OSI OSI 中第中第 77 ，， 66 ，， 55 ，， 44层的功能层的功能

22 Packet- Filter Packet- Filter OSI OSI 中第中第 33 ，， 22 ，， 11层的功层的功能能

11 Externa – DemarkExterna – Demark 公共访问公共访问 --外部连接外部连接

3.UNIX3.UNIX 系统不安全的因素系统不安全的因素

11 ）特权软件的安全漏洞）特权软件的安全漏洞 22 ）程序源代码的漏洞（如缓冲区溢出））程序源代码的漏洞（如缓冲区溢出） 33 ）网络监听及数据截取）网络监听及数据截取 44 ）用户帐号的安全性）用户帐号的安全性 超级用户拥有其它用户所没有的特权，超级用户不管文件存取许超级用户拥有其它用户所没有的特权，超级用户不管文件存取许

可方式如何，都可以读写任何文件，运行任何文件，系统管理员通常可方式如何，都可以读写任何文件，运行任何文件，系统管理员通常使用使用 /bin/su/bin/su 或以或以 rootroot 进入系统从而成为超级用户。进入系统从而成为超级用户。

55 ）） UNIXUNIX 文件系统的安全性文件系统的安全性 .. 文件系统的安全主要通过文件的权限文件系统的安全主要通过文件的权限设置来实现，每一个设置来实现，每一个 UNIXUNIX 文件和文件和 NUIXNUIX目录，都由目录，都由 33 个允许的比特个允许的比特位设置，分定义文件的所有者、分组和其它人的使用权限，如：允许位设置，分定义文件的所有者、分组和其它人的使用权限，如：允许读、允许写、允许执行、允许读、允许写、允许执行、允许 SUIDSUID 、允许、允许 SGIDSGID 等。特别有以下几等。特别有以下几点：点：

﹒ ﹒权限为权限为 SGIDSGID 和和 SUIDSUID 的可执行文件。的可执行文件。 ﹒ ﹒/etc/hosts.equiv/etc/hosts.equiv 文件文件 ﹒ ﹒.rhosts.rhosts 文件文件 ﹒ ﹒/etc/ttytab/etc/ttytab 文件文件 66 ）） UNIXUNIX 网络安全网络安全

4.UNIX4.UNIX 安全管理的具体措施安全管理的具体措施 (1)(1) 防止未授权存取：防止未授权存取： (2)(2) 防止用户拒绝系统的管理防止用户拒绝系统的管理 (3)(3) 防止缓冲区溢出防止缓冲区溢出 (4)(4) 在在 inetd.confinetd.conf 中关闭不用的服务中关闭不用的服务 (5)(5) 给系统打补丁给系统打补丁 (6)(6)重要主机单独设立网段重要主机单独设立网段 (7)(7) 定期检查定期检查 定期检查系统日志文件，及时做备份。定期检查关键定期检查系统日志文件，及时做备份。定期检查关键配置文件（最长不超过一个月）。重要用户的口令应该定配置文件（最长不超过一个月）。重要用户的口令应该定期修改（不长于三个月），不同主机使用不同的口令。期修改（不长于三个月），不同主机使用不同的口令。

7.2.5 7.2.5 电子邮件的安全性电子邮件的安全性邮件可能受到的安全威胁：邮件可能受到的安全威胁：（（ 11 ）信息泄露：邮件交给）信息泄露：邮件交给 MTAMTA 后，用户就后，用户就

不再干预，攻击者可以轻松的在邮件传输不再干预，攻击者可以轻松的在邮件传输过程中获得邮件的拷贝，读取邮件的内容。过程中获得邮件的拷贝，读取邮件的内容。

（（ 22 ）内容篡改：邮件传输过程中有可能被）内容篡改：邮件传输过程中有可能被他人截取，并将修改后的邮件发给接收方。他人截取，并将修改后的邮件发给接收方。

（（ 33 ）身份假冒：攻击者有可能会假冒某一）身份假冒：攻击者有可能会假冒某一个用户的身份给其它用户发送邮件。个用户的身份给其它用户发送邮件。

11 ．增强保密邮件．增强保密邮件 PEMPEM PEMPEM基于基于 SMTPSMTP ，加上成熟的加密机制（，加上成熟的加密机制（ DESDES ，， RSARSA ，数字，数字签名等）来完成下列四方面的安全功能：①数据机密性，不向非授权签名等）来完成下列四方面的安全功能：①数据机密性，不向非授权用户泄露报文的内容。②数据报鉴别，收者可确定报文原发者的身份。用户泄露报文的内容。②数据报鉴别，收者可确定报文原发者的身份。③报文完整性保证，可保证对报文内容的非法修改。④不可否认，可③报文完整性保证，可保证对报文内容的非法修改。④不可否认，可核实原发者的身份，并核实报文报文未曾被更动过。核实原发者的身份，并核实报文报文未曾被更动过。

2. 2. 完美秘密邮件完美秘密邮件 PGPPGP (1)(1) 身份认证的过程：发送者产生消息身份认证的过程：发送者产生消息 MM ，用，用 SHA-1SHA-1 对对 MM生成生成

一个一个 160160 位的散列码位的散列码 HH ，， HH 用发送者的私钥加密，并与用发送者的私钥加密，并与 MM连接，接连接，接收者用发送者的公钥解密并恢复散列码收者用发送者的公钥解密并恢复散列码 HH ，对消息，对消息 MM生成一个新的生成一个新的散列码，与散列码，与 HH 比较。如果一致，则消息比较。如果一致，则消息 MM 被认证。被认证。

(2)(2) 加密采用加密采用 CAST-128(CAST-128( 或或 IDEAIDEA 或或 3DES)3DES) 、、 6464 位位 CFBCFB 方式。方式。一次性密钥，单向分发，公钥算法保护。其过程如下：发送者生成消一次性密钥，单向分发，公钥算法保护。其过程如下：发送者生成消息息 MM 并为该消息生成一个并为该消息生成一个 128128 位的随机数作为会话密钥；位的随机数作为会话密钥； MM 被加密，被加密，使用会话密钥、使用会话密钥、 CAST-128CAST-128 算法（或 算法（或 IDEAIDEA 或或 3DES3DES ）；会话密钥）；会话密钥用用 RSARSA 及接收者的公钥加密并与消息及接收者的公钥加密并与消息 MM结合。（也可用结合。（也可用 Diffie-HellmDiffie-Hellmanan 算法）；接收者用自己的私钥解密恢复会话密钥；用会话密钥解算法）；接收者用自己的私钥解密恢复会话密钥；用会话密钥解密恢复消息密恢复消息 MM 。。

(3)(3) 保密与认证同时运用。两种服务都需要时，发送者先用自己的保密与认证同时运用。两种服务都需要时，发送者先用自己的私钥签名，然后用会话密钥加密，再用接收者的公钥加密会话密钥。私钥签名，然后用会话密钥加密，再用接收者的公钥加密会话密钥。

33 ．． MOSSMOSS 邮件邮件44 ．． S/MIMES/MIME 邮件标准邮件标准 集成了三类标准：集成了三类标准： MIMEMIME 、加密消息语法标准（、加密消息语法标准（ CrypCryp

tographic Message Syntax Stanard,PKCS7tographic Message Syntax Stanard,PKCS7 ）和证书请）和证书请求语法标准（求语法标准（ Certificate Reruest Syntax Standard, PKCCertificate Reruest Syntax Standard, PKCS 10S 10 ）。）。

S/MIMES/MIME 实用了层次信任模型，证书由认证权威颁发，实用了层次信任模型，证书由认证权威颁发，除了支持文本信息外，还支持除了支持文本信息外，还支持 MIMEMIME 。。

7.3 7.3 防火墙防火墙11 ．防火墙概念．防火墙概念 防火墙是一个在安全的内部网和不可信任的外部网防火墙是一个在安全的内部网和不可信任的外部网

（如（如 InterentInterent ）之间强制实施安全策略的系统。防火墙允）之间强制实施安全策略的系统。防火墙允许可信任的数据通过，拒绝恶意访问，保护内部网免于受许可信任的数据通过，拒绝恶意访问，保护内部网免于受外部网的攻击。图外部网的攻击。图 7.137.13 为防火墙示意 ：为防火墙示意 ：

2.2. 防火墙的构成防火墙的构成 (1)(1)．包过滤路由器 ．包过滤路由器 (2)(2)．应用级网关 ．应用级网关 (3)(3)．电路级网．电路级网关关

3.3. 包过滤路由器包过滤路由器 包过滤是用设置了过滤规则的路由器来实现的。当一个包过滤是用设置了过滤规则的路由器来实现的。当一个

数据包到达了一个包过滤路由器，该路由器便从包首部截取数据包到达了一个包过滤路由器，该路由器便从包首部截取特定信息，然后依据过滤规则判定该包是否可通过或丢弃。特定信息，然后依据过滤规则判定该包是否可通过或丢弃。一般从包首部截取的信息有：源一般从包首部截取的信息有：源 IPIP 地址；目的地址；目的 IPIP 地址；地址； TTCP/UDPCP/UDP 源端口号；源端口号； TCP/UDPTCP/UDP目的端口号；目的端口号； ICMPICMP信息类信息类型；封装协议信息（型；封装协议信息（ TCPTCP ，， UDPUDP ，， ICMPICMP 或或 IPIP隧道）。隧道）。

包过滤规则是基于网络安全策略（即凡是未被明确许可包过滤规则是基于网络安全策略（即凡是未被明确许可的就是禁止的或凡是未被明确禁止的就是许可的）的。包过的就是禁止的或凡是未被明确禁止的就是许可的）的。包过滤规则是在考虑了外部攻击以及服务级别限制和收发双方的滤规则是在考虑了外部攻击以及服务级别限制和收发双方的通信级别限制等因素后制定的。采用在过滤器中允许或拒绝通信级别限制等因素后制定的。采用在过滤器中允许或拒绝相关端口信息的办法来过滤。例如，相关端口信息的办法来过滤。例如， FTPFTP服务器监听来自服务器监听来自TCPTCP端口号端口号 2121连接请求，且与处于非被动模式的客户用端连接请求，且与处于非被动模式的客户用端口口 2020 进行出网数据连接。因此，允许进行出网数据连接。因此，允许 FTPFTP连接通过过滤器连接通过过滤器到达内部网，则意味着允许所有在首部带有到达内部网，则意味着允许所有在首部带有 2020 和和 2121号端号端口信息的包通过。口信息的包通过。

4.4. 应用级网关（代理服务器）应用级网关（代理服务器） 对于客户来说，一个代理服务器起到一个服务器的作用，但对于对于客户来说，一个代理服务器起到一个服务器的作用，但对于目的服务器来说，它又是一个客户，它在客户和目的服务器之间建立目的服务器来说，它又是一个客户，它在客户和目的服务器之间建立了一个虚拟连接。尽管从客户方看来，代理服务器似乎是透明的，但了一个虚拟连接。尽管从客户方看来，代理服务器似乎是透明的，但代理服务器能在客户的数据传到服务器之前对任何特定类型的数据进代理服务器能在客户的数据传到服务器之前对任何特定类型的数据进行监测和过滤，诸如命令。例如，一个行监测和过滤，诸如命令。例如，一个 FTPFTP 服务器允许向外部网用服务器允许向外部网用户提供服务，为了保护服务器免受任何可能攻击，防火墙中的户提供服务，为了保护服务器免受任何可能攻击，防火墙中的 FTPFTP代理可配置为拒绝代理可配置为拒绝 PUTPUT 和和 MPUTMPUT 命令。命令。

为了让任何客户都能访问代理服务器，客户端和服务器端软件必为了让任何客户都能访问代理服务器，客户端和服务器端软件必须要做相应修改以支持代理连接。在上图示例中，须要做相应修改以支持代理连接。在上图示例中， FTPFTP 客户端首先客户端首先要通过代理服务器对它的认证，然后，要通过代理服务器对它的认证，然后， FTPFTP 会话才在代理服务器的会话才在代理服务器的约束下开始进行。大多数代理服务器采用更复杂的认证方法，如安全约束下开始进行。大多数代理服务器采用更复杂的认证方法，如安全IDID 卡，这种机制每次产生一个不重复的唯一的密钥。卡，这种机制每次产生一个不重复的唯一的密钥。

与与 IPIP 过滤相比，应用级网关能提供更多应用层数据传输的记录。过滤相比，应用级网关能提供更多应用层数据传输的记录。例如，例如， HTTPHTTP 代理能记录用户所访问的代理能记录用户所访问的 URLURL 。应用级代理的另一个。应用级代理的另一个特点是能实行更强的用户身份认证。例如， 当用户从非安全网络使用特点是能实行更强的用户身份认证。例如， 当用户从非安全网络使用FTPFTP 和和 TLENETTLENET 服务时，代理服务器可对这些用户进行强制性的身服务时，代理服务器可对这些用户进行强制性的身份认证。图份认证。图 7.177.17 是一个是一个 TCPTCP报文片传输的示例。报文片传输的示例。

图 7.16 FTP代理服务器

图 7.17代理服务器 TCP报文流

55 ．电路级网关．电路级网关 电路级网关仅仅提供电路级网关仅仅提供 TCPTCP连接的转发而不提供任何其它的报文处理和过滤。连接的转发而不提供任何其它的报文处理和过滤。

有些电路级网关还能转发有些电路级网关还能转发 UDPUDP报文。电路级网关可以说是一种特殊类型的应用报文。电路级网关可以说是一种特殊类型的应用级网关。级网关。

图 7.19电路级网关

66 ．防火墙的类型．防火墙的类型（（ 11 ）包过滤放火墙）包过滤放火墙 这种防火墙就是一个在外部网和内部网之间的包过滤路由器（如前述包过滤路由这种防火墙就是一个在外部网和内部网之间的包过滤路由器（如前述包过滤路由器），在其中定义了一些禁止和允许数据通过的包过滤规则。通常，配置包过滤路由器器），在其中定义了一些禁止和允许数据通过的包过滤规则。通常，配置包过滤路由器防火墙的默认安全规则是只要是没有特别准许的服务就是禁止的。尽管这样配置能防止防火墙的默认安全规则是只要是没有特别准许的服务就是禁止的。尽管这样配置能防止一些潜在的攻击，但若过滤规则配置得不合适仍会使防火墙遭受攻击。 这种防火墙会一些潜在的攻击，但若过滤规则配置得不合适仍会使防火墙遭受攻击。 这种防火墙会允许内部网络的主机被外部网络直接访问。在这种情况下，这些内部主机必须有其自己允许内部网络的主机被外部网络直接访问。在这种情况下，这些内部主机必须有其自己的身份认证机制且需常常更新以防任何攻击（请看图的身份认证机制且需常常更新以防任何攻击（请看图 7.217.21 ） 。） 。

图 7.21 包过滤防火墙

（（ 22 ）双宿网关防火墙）双宿网关防火墙 双宿主机至少有网络接口，因此至少有两个双宿主机至少有网络接口，因此至少有两个 IPIP 地址。在这种防火墙里，地址。在这种防火墙里， IPIP转发是转发是禁止的，即在两个网络接口中的禁止的，即在两个网络接口中的 IPIP 通信是断开的。因而通信是断开的。因而 IPIP包只有经由相关的代理或包只有经由相关的代理或 SSOCKSOCKS 服务才能通过防火墙。与包过滤防火墙不同，双宿网关防火墙肯定能将任何来服务才能通过防火墙。与包过滤防火墙不同，双宿网关防火墙肯定能将任何来自未知服务的攻击堵住。双宿网关防火墙实施的安全策略是任何没有特别允许的传输都自未知服务的攻击堵住。双宿网关防火墙实施的安全策略是任何没有特别允许的传输都是禁止的（请看图是禁止的（请看图 7.227.22 ） 。） 。

图 7.22 双宿网关防火墙

（（ 33 ）屏蔽主机防火墙）屏蔽主机防火墙 这种类型的防火墙由包过滤路由器和应用级网关组成。这种类型的防火墙由包过滤路由器和应用级网关组成。

这种含有应用级网关的主机叫做堡垒主机。其中的路由器这种含有应用级网关的主机叫做堡垒主机。其中的路由器配置成为可转发所有不可信任的通信到堡垒主机和信息服配置成为可转发所有不可信任的通信到堡垒主机和信息服务器（见图务器（见图 7.237.23 ），由于内部网络与堡垒主机在同一个），由于内部网络与堡垒主机在同一个子网内，安全策略可以允许内部用户直接访问外部网络，子网内，安全策略可以允许内部用户直接访问外部网络，或强制使他们用代理服务访问外部网络，实现这些依赖于或强制使他们用代理服务访问外部网络，实现这些依赖于配置路由器的过滤规则，所以路由器仅仅接受从堡垒主机配置路由器的过滤规则，所以路由器仅仅接受从堡垒主机发起的出网通信连接。在这种配置下，允许信息服务器放发起的出网通信连接。在这种配置下，允许信息服务器放在路由器和堡垒主机之间。同样，由安全策略决定外部和在路由器和堡垒主机之间。同样，由安全策略决定外部和内部用户是直接访问信息服务器还是必须经由堡垒主机才内部用户是直接访问信息服务器还是必须经由堡垒主机才能访问信息服务器。如果要实施强有力的安全保护，则可能访问信息服务器。如果要实施强有力的安全保护，则可让内、外网络访问信息服务器的通信必须经由堡垒主机进让内、外网络访问信息服务器的通信必须经由堡垒主机进行。行。

图 7.23 屏蔽主机防火墙

（（ 44 ）屏蔽子网防火墙）屏蔽子网防火墙 这种类型的防火墙由两个包过滤路由器和一个堡垒主机构成。屏这种类型的防火墙由两个包过滤路由器和一个堡垒主机构成。屏蔽子网防火墙在各种类型的防火墙中提供最高级别的安全保护（见图蔽子网防火墙在各种类型的防火墙中提供最高级别的安全保护（见图7.247.24 ）。其实现方法是：在外部和内部网络之间创建一个非军事区）。其实现方法是：在外部和内部网络之间创建一个非军事区（（ DMZDMZ ），即外部路由器仅仅允许从外部访问堡垒主机（也可到信），即外部路由器仅仅允许从外部访问堡垒主机（也可到信息服务器），内部路由器仅允许从内部访问堡垒主机，这内外两个路息服务器），内部路由器仅允许从内部访问堡垒主机，这内外两个路由器强制使得所有入网和出网通信都要通过堡垒主机。由器强制使得所有入网和出网通信都要通过堡垒主机。

图 7.24 屏蔽子网防火墙

7.4 7.4 安全电子商务（安全电子商务（ SETSET ）） SET(Secure Electronic TransactionSET(Secure Electronic Transaction ，，

安全电子交易协议安全电子交易协议 )) 是由是由 MasterCardMasterCard 和和 ViVisasa 两家国际性信用卡商合作专为电子信用两家国际性信用卡商合作专为电子信用卡而创建的信用卡交易的加密和安全规约。卡而创建的信用卡交易的加密和安全规约。

11 ．． SETSET 协议的参与实体协议的参与实体SETSET 协议定义了支付过程中的若干个参与实体。协议定义了支付过程中的若干个参与实体。﹒﹒ 电子商家（电子商家（ merchantmerchant ））：：提供商品、服务和信息的商家。提供商品、服务和信息的商家。﹒﹒收单银行（收单银行（ acquireracquirer ）：这一般是为买者提供信用卡服务）：这一般是为买者提供信用卡服务

和资金流动的金融机构。和资金流动的金融机构。﹒﹒ 发行人（发行人（ issuerissuer ）：这是为买家发行信用卡的金融机构，）：这是为买家发行信用卡的金融机构，

如银行。如银行。﹒﹒持卡人（持卡人（ cardholdercardholder ）：是经认可的发行人发行的信用）：是经认可的发行人发行的信用卡的拥有者。卡的拥有者。

﹒﹒支付网关（支付网关（ acquirer payment gatewayacquirer payment gateway ）：提供电子商）：提供电子商家与收单银行、发行人使用的银行卡网络之间的接口。家与收单银行、发行人使用的银行卡网络之间的接口。

﹒﹒认证中心（认证中心（ certificate authoritycertificate authority ）：）： SETSET 过程采用公钥过程采用公钥加密，所以系统中的每个参与者都需要一个公钥证书。加密，所以系统中的每个参与者都需要一个公钥证书。

2.SET2.SET 交易流程交易流程 SETSET 协议描述一系列交易事务流，如购买、验证、支付等等。图协议描述一系列交易事务流，如购买、验证、支付等等。图 7.257.25图图示了典型的网上购物的交易流程。示了典型的网上购物的交易流程。

图 7.25 典型的 SET交易事务序列

（（ 11 ）购买初始化（）购买初始化（ PlnitPlnit ）） 这个由持卡人发起的事务对系统进行初始化，包括的细节有持卡人所用信这个由持卡人发起的事务对系统进行初始化，包括的细节有持卡人所用信

用卡的商标和持卡人的证书，用卡的商标和持卡人的证书，（（ 22 ）订购）订购 (Purchase order)(Purchase order) 这是持卡人购物的实际请求。这个请求信息事实上由两部分组成，一是订这是持卡人购物的实际请求。这个请求信息事实上由两部分组成，一是订购信息购信息 (OI)(OI) ，直接送给电子商家；二是支付信息（，直接送给电子商家；二是支付信息（ PIPI ），由电子商家传递给），由电子商家传递给支付网关。支付网关。 PIPI 是用收单银行的公钥加密，所以商家是无法得知其内容的。是用收单银行的公钥加密，所以商家是无法得知其内容的。 PIPI中也包含了中也包含了 OIOI 的散列值，所以这两个信息必须要成对处理。的散列值，所以这两个信息必须要成对处理。

（（ 33 ）认证（）认证（ AuthorizationAuthorization ）） 这个由商家发起的请求通过支付网关请求收单银行认可该项交易。。这个这个由商家发起的请求通过支付网关请求收单银行认可该项交易。。这个请求信息中包括购买和价格信息，还包括持卡人发出的请求信息中包括购买和价格信息，还包括持卡人发出的 PIPI 。这样收单银行知。这样收单银行知道商家和持卡人双方都同意此项交易中的货物名称、价格和数量。道商家和持卡人双方都同意此项交易中的货物名称、价格和数量。

当收单银行收到了这个请求，它就用已有的银行卡网络来认证这个请求且当收单银行收到了这个请求，它就用已有的银行卡网络来认证这个请求且回应相应的信息。回应相应的信息。

（（ 44 ）查询（）查询（ InquiryInquiry ）） 持卡人可能想知道他的 请求是如何进行的。持卡人可能想知道他的 请求是如何进行的。 SETSET 协议为此提供了一个查协议为此提供了一个查询事务。询事务。

（（ 55 ）获取（）获取（ CaptureCapture ）） 直到此时，资金还没有易手。从商家发出的获取请求让收单银行将前述认直到此时，资金还没有易手。从商家发出的获取请求让收单银行将前述认证的购物资金数额划拨到它的帐上。证的购物资金数额划拨到它的帐上。

习题习题 77 病毒有哪几种类型？各有什么特点？为什么需要经常更新病毒有哪几种类型？各有什么特点？为什么需要经常更新

病毒库？病毒库？ 写出并分析一次完整的写出并分析一次完整的 SSLSSL连接的全过程。连接的全过程。 比较包过滤、应用程序网关和电路级网关的异同。比较包过滤、应用程序网关和电路级网关的异同。 当前的当前的 UNIXUNIX 系统的安全漏洞有哪些？系统的安全漏洞有哪些？ 重要主机单独设置网段可以防止哪些安全问题？重要主机单独设置网段可以防止哪些安全问题？ 在在 PGPPGP 中，具有中，具有 NN 个公开密钥的用户至少具有一个重复个公开密钥的用户至少具有一个重复密钥的概率是多少？密钥的概率是多少？

试归纳、比较常见防火墙技术的优缺点。试归纳、比较常见防火墙技术的优缺点。 如何使得内部网内用户访问的某些特定的信息或网址不能如何使得内部网内用户访问的某些特定的信息或网址不能

通过防火墙进入通过防火墙进入 InternetInternet ？？ 试编程实现一个试编程实现一个 SETSET交易的原型系统。交易的原型系统。