移动支付中的数字签名和报文摘要技术
为保证数据的完整性,完成对数据原发者的身份鉴别,需要对数据(亦称报文)进行验证。目前所采用的技术主要是数字签名( Digial Signature )和报文摘要( Message Digest )技术。
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所,这种墙因此而得名“防火墙”。在Internet上,出于安全的考虑,可以在内部网络和Internet 之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡,这种中介系统也叫作“防火墙”或“防火墙系统”。
防火墙在网络安全中起着重要的作用,它在内部网络和外部网络之间提供了必要的隔离措施。内部网络可以通过防火墙和路由器来控制与外部网络的连接以实现网络隔离。对网络通信的监控则由防火墙和路由器的策略和访问控制规则来实现。防火墙作为物理设备,可以是路由器、专用黑盒子或基于主机的应用层防火墙软件。除了控制信息流,防火墙还提供了一些附加功能。例如,日志和进行审计的能力;通过公用或专用网络建立VPN连接的能力:通信定向和负载均衡的能力。
鉴于网络安全水平和可信任关系,防火墙可以将网络划分成一些相对独立的子网,两侧间的通信就可以受防火墙的检查控制。它可以根据既定的安全策略允许特定的用户和数据包穿过,同时隔断安全策略不允许的用户和数据包,达到保护高安全等级的子网、阻止墙外黑客的攻击以及限制入侵蔓延等目的。然而,防火墙并非是万能的,它在很多方面存在弱点,比如无法防u止来自防火墙内侧的攻击,面防御各种已识别类型的攻击有赖于正确的配置,防御各种最新的攻击类型取决于防火墙知识库更新的速度和相应配置更新的速度等。
防火墙是目前应用最广泛的网络安全产品,作为第一道安全防线,防火墙主要用来执行两个网络之间的访问控制策略,保护用户网络的安全。此外,网络用户通常还会使用其他多种网络安全产品,力争用组合的方案从整体上监控外来的攻击,为网络提供全面细致的安全防范措施。
防火墙是一个(或一组)网络设备,用来在两个和多个网络间加强访问控制,从而保护-个网络不受其他网络的攻击。它可以用下式表达:
防火墙=数据过滤器+系统定义的安全策略+网关
防火墙主要用来隔离内部网和外部网,对内部网的应用系统加以保护。防火墙技术一直在不断发展,目前市场上有上百种不同种类的防火墙。在网络的不同层上有不同类型的防火墙,可以从不同角度保护内部网。目前的防火墙有两大类:一类是简单的包过滤技术,即在网络层中有选择地让数据包通过。也就是说,是依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,再根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。另-类是应用网关和代理服务器,其显著的优点是较容易提供细颗粒度的存取控制,其可针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包进行分析并形成相关的报告。
1、基于路由器的包过滤型防火墙
该类型防火墙聚焦于信息包,依据内容在IP层控制进出内部网的通信:首先测试每个到达防火墙的信息包所需的网络应用服务(如Ft、Telnet 等)、协议类型(TCP、UDP、 ICMP )以及源地址和目的地址,然后根据管理员配置的主机、路由、服务表来决定接受还是丢弃此包。此类防火墙对用户透明性好,但由于需要对信息包执行读取操作,网络性能大约会降低20%,并且无工作日志,不利于系统管理员跟踪黑客行为。
包过滤型防火墙般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤型防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。
包过滤型防火墙检查的范围涉及网络层、传输层和会话层,过滤匹配的原则可以包括源地址、目的地址、传输协议和目的端口等,也可以根据TCP序列号、TCP 连接的握手序列(如SYN和ACK)的逻辑分析等进行判断,能够有效地抵御类似地址欺骗等类型的攻击。路由器通过配置其中的访问控制列表可以作为包过滤防火墙使用,但是过多的控制列表会严重降低路由器的性能,所以在业务量较大的场合,需要将路由和包过滤两种功能分开,也就是说,有必要单独购买专防火墙产品。
个人POS机专业办理,费率低至0.38%!不做最低费率,只做最合理的费率,良心企业,良心支付!网络信息的认证中心
设立个可靠的第三方机构,进行有效、快速、规范化的管理就显得尤为必要,安全认证体系即是解决这一问题的现实途径,这种可信的第三方称为“认证中心”(CA)。
正是由于这种工作机制,包过滤型防火墙存在一定的缺陷。首先,包过滤型防火墙只能访问部分数据包的头信息,因此系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客攻破;其次,包过滤型防火墙是无状态的,所以它不可能保存来自通信和应用的状态信息;再次,包过滤型防火墙处理信息的能力也很有限。
2、应用网关和代理服务器防火墙
该类防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高了网络的安全性。然而,应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要有两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙的可伸缩性较差。
应用层防火墙能够检查进出的数据包,透视应用层协议,与既定的安全策略进行比较。该类型防火墙能够进行更加细化、复杂的安全访问控制。根据是否允许两侧通信主机直接建立链路,应用层防火墙又分为网关和代理两种。前者允许两侧建立直接连接.而且可以依靠某种算法来识别进出的应用层数据,这些算法是通过已知合法数据包的模式来比较进出的数据包的。后者通过特定的代理程序在两侧主机间复制传递数据,不允许建立直接连接。目前,市场上流行的防火墙大多属于应用层防火墙。
基于上述这种工作机制,应用网关防火墙还存在着其他些缺陷。由于每一个服务都需要自己的代理,所以应用网关防火墙可提供的服务数和可伸缩性受到了限制。此外,应用网关不能为UDP、RPC以及普通协议族的其他服务提供代理,而且应用网关防火墙还会牺牲一些系统性能。
3、两种防火墙的结合使用
在资金允许的情况下,可以将以上两种防火墙结合使用,以扬长避短,互相补充,提供更强的安全性。
4、病毒防火墙
它实际上是“广义"防火墙的一个特殊方面,专用于对病毒的过滤。这种过滤体现在两个环节上: a保护计算机系统不受来自于任何方面病毒的危害; b. 对计算机系统提供的保护着眼于整个系统并且是双向的。也就是说,病毒防火墙应该能对本地系统内的病毒进行过滤,防止它向网络或传统的存储介质扩散。一般病毒防火墙对系统提供的保护是实时的、透明的,相当于每时每刻都在为用户查杀病毒,整个过程基本上不需要用户对其进行过多的干预。
5、支付网关
支付网关( Payment Gateway, PG )是金融专用网络与公共网络之间的接口(- +组服务器),其主要功能是完成两者之间的数据通信、协议转换,以及对数据进行加密和解密。例如将5联网传输过来的数据包解密,并按照银行内部网络系统的通信协议将数据重新整合,或者反过来对银行内部传输出去的数据进行加密,并转换成互联网传输的数据格式。因此,支付网关成为网络银行电子支付的一道重要的安全屏障。在SET协议中,支付网关必须由客户收单行或类似于银行卡组织这样的收单行联合组织以承担其建设项目。显然,支付网关需要集中体现两个发展目标: -是有效地处理8益增加的电子支付信息,避免成为网络银行交易的“ 数据瓶颈”;二是有效地保护银行金融数据网络的安全性,避免来自公共网络的各种“数字攻击”。
无论是认证中心,还是支付网关,都需要以战略合作的形式来共建,否则,不仅建设认证中心的边际成本高昂,而且不可能实现网络的互联互通,导致不同行业、不同地区、不同部之间相互画地为牢、各自为政的局面,这种局面客观上会阻碍电子支付的良好运行。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5395.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos公开密钥基础设施组成和结构功能
公开密钥基础设施是种遵循既定标准的密钥管理平台,它可以为各种网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而保证网上传递信息的安全、真实、完整和不可抵赖。
