本篇文章给大家谈谈网络交易平台都会采用pki，以及什么叫pki对应的知识点，文章可能有点长，但是希望大家可以阅读完，增长自己的知识，最重要的是希望对各位有所帮助，可以解决了您的问题，不要忘了收藏本站喔。

本文目录

1. 网络银行安全吗
2. 什么叫pki
3. 网络安全的关键技术有哪些

一、网络银行安全吗

网络信息技术的发展和电子商务的普及，对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”在为金融企业的发展带来前所未有的商机的同时，也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道，客户可以不必亲身去银行办理业务，只要能够上网，无论在家里、办公室，还是在旅途中，都能够每天24小时安全便捷地管理自己的资产，或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物，人们却有一个最大的疑惑：“网上银行”安全吗？人们有这种顾虑不无道理。银行业务网络与互联网的连接，使得网上银行容易成为非法入侵和恶意攻击的对象，加上目前网络秩序较混乱，黑客攻击事件层出不穷，也给人们的心理造成了一定影响。

一般来说，人们担心的网上银行安全问题主要是：

2.信息通过网络传输时被窃取或篡改。

3.交易双方的身份识别；账户被他人盗用。

从银行的角度来看，开展网上银行业务将承担比客户更多的风险。因此，我国已开通“网上银行”业务的招商银行、建设银行、中国银行等，都建立了一套严密的安全体系，包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等，以保证“网上银行”的安全运行。

“网上银行”系统是银行业务服务的延伸，客户可以通过互联网方便地使用商业银行核心业务服务，完成各种非现金交易。但另一方面，互联网是一个开放的网络，银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网敞开了大门。因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，也是银行保证客户资金安全的最根本的考虑。

为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施：

一般采用多重防火墙方案。其作用为：

（1）分隔互联网与交易服务器，防止互联网用户的非法入侵。

（2）用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。

服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。

例如采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时，使用ISS安全产品的网站均幸免于难。

网上交易不是面对面的，客户可以在任何时间、任何地点发出请求，传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是，用户的密码在登录时以明文的方式在网络上传输，很容易被攻击者截获，进而可以假冒用户的身份，身份认证机制就会被攻破。

在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核。2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为今后实现跨行交易提供了身份认证基础。

由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。

SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的“帮助”“关于”中查到。目前，建设银行等已经采用有效密钥长度128位的高强度加密。

银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前，我国银行卡持有人安全意识普遍较弱：不注意密码保密，或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出，用户账号就可能在网上被盗用，例如进行购物消费等，从而造成损失，而银行技术手段对此却无能为力。因此一些银行规定：客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付，以此保障客户的资金安全。

另一种情况是，客户在公用的计算机上使用网上银行，可能会使数字证书等机密资料落入他人之手，从而直接使网上身份识别系统被攻破，网上账户被盗用。

安全性作为网络银行赖以生存和得以发展的核心及基础，从一开始就受到各家银行的极大重视，都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的，越安全就意味着申请手续越烦琐，使用操作越复杂，影响了方便性，使客户使用起来感到困难。因此，必须在安全性和方便性上进行权衡。到目前为止，国内网上银行交易额已达数千亿元，银行方还未出现过安全问题，只有个别客户由于保密意识不强而造成资金损失。

据有关资料显示，现在美国有1500多万户家庭使用“网上银行”服务，“网上银行”业务量占银行总业务量的10%，到2005年，这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%，就此点讲我国网上银行业务的发展前景极为广阔，我们有理由相信，随着国民金融意识的增强，国家规范网上行为的法律法规的出台，将会有更好的网上银行使用环境，能为客户提供“3A服务”（任何时间、任何地点、任何方式）的“网上银行”一定会赢得用户的青睐。

自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。美国在2002年时，约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。2003

年，东亚银行、汇丰银行等均在我国内地开办了网络银行业务。我国第一家网络银行出现于1998年。有报道说，到2004年底，我国网络银行个人客户已达到1758万户，企业用户已达60万户，网络银行交易量达到了49万亿元。

但是，正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时，因安全问题引发的欺诈案件却接踵而来。这使得消费者开始产生质疑，不得不重新审视网络银行的可信度。网络银行的安全究竟该如何认识？问题是出在银行，还是在消费者自身缺乏防范意识？安全问题确实已成为网络银行发展过程中的一个聚焦。

网络银行，又称网上银行或在线银行，是指银行以自己的计算机系统为主体，以单位和个人的计算机为入网操作终端，借助互联网技术，通过网络向客户提供银行服务的虚拟银行柜台。简单地说，网络银行就是互联网上的虚拟银行柜台，它把传统银行的业务“搬到”网上，在网络上实现银行的业务操作。

在西方发达国家，网络银行业务一般分为三类，即信息服务、客户交流服务和银行交易服务。信息服务是银行通过互联网向客户提供产品和服务。客户交流服务包括电子邮件、帐户查询、贷款申请等。银行交易服务包括个人业务和公司业务，前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等；后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。

网络银行的特点是客户只要拥有帐号和密码，便能在世界各地通过互联网，进入网络银行处理交易。与传统银行业务相比，网络银行的优势体现在，不仅能够大大降低银行的经营成本，还有利于扩大客户群，交叉销售产品，吸引和保留优质客户。由于客户采用的是公共浏览器软件和公共网络资源，节省了银行对客户端的软、硬件开发和维护费用。网络银行的无时空限制的特点，打破了传统业务受地域和时间的限制，能在任何时候、任何地方为客户提供金融服务；并且在整合各类交叉销售产品信息的基础上，实现金融创新，为客户提供更具个性化的服务。

网络银行发展的模式有两种，一是完全依赖于互联网的无形的电子银行，也叫“虚拟银行”；另一种是在现有的传统银行的基础上，利用互联网开展传统的银行业务交易服务。因此，事实上，我国还没有出现真正意义上的网络银行，也就是“虚拟银行”，国内现在的网络银行基本都属于第二种模式。

对于银行来讲，历来是“信用第一”。网络银行既然是互联网的产物，互联网所带来的一切安全隐患，自然会波及网络银行，影响其信用。因此，网络银行的安全问题不仅是客户最担心的事情，也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外，利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。

假冒银行网站具有很强的隐蔽性，其域名通常和真实银行的域名相差一个字母或数字，主页则与真实银行的非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接，收到此类邮件的用户一旦点击这个链接，紧接着页面会提示用户继续输入自己的帐户信息；如果用户填写了此类信息，这些信息将最终落入诈骗者手中。而网上交易陷阱则是，一些不知名的购物网站通常会打出超低价商品等信息，待用户点击付款链接时就将用户的银行资料骗取出去。面对发生在网络银行上形形色色的安全问题，各家银行的反映如何？它们都采取了哪些相应的措施？

8月份，国内14家商业银行与中国金融认证中心（CFCA）联合推出“2005放心安全用网银”的活动。银行界与第三方安全认证机构联手行动，为广大消费者提供了一次了解网上银行和信息安全知识的机会。

在这14家银行中，中国工商银行于2000年推出了网上银行。通过采用国际先进的技术安全措施和严格的风险控制手段，工行建立了一整套严密的网上银行技术与制度体系，确保了网上银行安全的运行。

中国工商银行电子银行部副处长尚阳向记者介绍说，利用网上银行进行欺诈行为，骗取客户资金，目前主要有四种类型：一是不法分子通过电子邮件冒充知名公司，特别是冒充银行，以系统升级等名义诱骗不知情的用户点击进入假网站，并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。二是不法分子利用网络聊天，以网友的身份低价兜售网络游戏装备、数字卡等商品，诱骗用户登录犯罪嫌疑人提供的假网站地址，输入银行账号、登录密码和支付密码。三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯，有可能通过这些程序、邮件等将木马病毒置入客户的计算机内，一旦客户利用这种“中毒”的计算机登录网上银行，客户的账号和密码就有可能被不法分子窃取。

例如，人们在网吧等公共电脑上网时，网吧电脑内有可能预先埋伏木马程序，账号、密码等敏感信息。四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理，通过试探等方式可能猜测出密码。所以，为了保证信息和资金的安全，我们不仅需要具备辨识网络诈骗的能力，更需要养成良好的网上银行使用习惯。当然，如果用户申请了客户证书，就可以有效防范目前常见的各种网络犯罪，确保用户资金安全无忧。

工商银行网上银行系统的安全保障是多层的，包括网上银行技术安全和业务安全，二者共同构成了一个完备的网上银行安全体系。从技术安全的层面上，网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保工行网站的安全可靠，交易安全确保客户通过网上银行进行交易的资金安全。其中，网络安全涉及系统安全、网络运行安全等。

系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控)和审计分析；网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。工商银行为保障网上银行的网络安全性，采取了一系列措施，包括：在互联网与网上银行服务器之间设置第一道防火墙,在门户网站服务器和工行内部网络（应用服务器）之间设置第二道防火墙。第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品，设置不同的安全策略，使黑客即使攻破第一道防火墙，也无法轻易攻破第二道防火墙而进入内部网络，等等。

在确保网络安全的同时，工行网上银行还采取了一系列确保网上交易安全的措施，包括采用中国金融认证中心（CFCA）提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。根据客户对方便性和安全级别要求的不同，工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行，首先要验证客户的账号（或自己设立的登录ID）和登录密码，对外支付还必须验证支付密码。

此外，通过增加密码难度（必须是6—30位数字与字母的组合）、设置虚拟“e”卡（专门用于网上购物）和每日支付最高限额等一系列方式，最大限度地保证客户安全使用网上银行。对于申请了证书的客户，工行USBKey客户证书是一个外形类似U盘的智能芯片，是网上银行的“身份证”和“安全钥匙”，也是目前安全级别最高的一种安全措施。客户申请了这个证书后，网上所有涉及资金对外转移的操作，都必须通过这个客户证书才能完成，而此证书，仅客户自己保管和使用。换句话说，账号、登录密码、支付密码、客户证书、证书密码等种种安全防范措施，只要其中一样没有丢失或泄露，或即使丢失，只要密码和证书没有被同一个人获得，就不存在资金安全问题。

除了技术安全外，工行在业务安全层面上，制定了健全的内部柜员操作管理机制。整个网上银行的内部管理系统，都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立4类9级柜员制度，逐级管理,每一级对下一级有管理、监督的权限。同时柜员在进行一些关键性操作时，还需要上一级柜员的实时审核，防止单人作案。

那么，用户应该如何安全使用网上银行？尚阳副处长说，对于有了客户证书的客户来说，只要密码和证书没有被同一个人获得，就能确保客户资金的安全。而没有申请客户证书的客户，只要保管好自己的账号和密码以及支付密码，就是非常安全的。总而言之，有几点需要提醒人们：1.要妥善保管好自己的账号和密码。2.谨防假网站索要账号、密码、支付密码等客户敏感信息。3.维护好自己的电脑。不要轻易下载一些来历不明的软件。最好不要在公共场所（如网吧、公共图书馆等）使用网上银行。4、最有效的方式就是到工行网点申请一个客户证书。一旦拥有了自己的客户证书，就可以有效防范诸如假网站、“木马”病毒等网络诈骗；换句话说，即使假网站、“木马”病毒通过欺骗等手段获得了您的账号、密码等敏感信息，但有了证书，照样可以安心使用网上银行。

华夏银行也是在2000年开始着手网络银行业务的。自2001年5月17日发生第一笔网上银行交易，截至2005年6月，网上银行的企业客户数接近1.2万个，个人注册客户数接近21万个；累计交易金额超过7500亿元，交易笔数超过44万笔。

据华夏银行网络银行部网银业务室副经理高静文介绍说，国家计算机网络应急技术处理协调中心（CNCERT/CC）的报告显示，2004年上半年，我国的主机被用于进行各类网络欺诈的事件有20起左右，同年7月至10月已经超过了110起。随着网上银行应用的普及，这样的欺诈事件会越来越多，犯罪分子利用的技术手段也越来越先进。他们窃取银行客户账号和密码，给用户的资金安全造成了严重的威胁。

为此，华夏银行在技术策略、管理策略和业务策略等方面形成了一套完善的综合安全管理体系，在银行端和客户端采取了多重技术和业务安全保障措施。

他们的技术措施包括：架构设计采用统一出入口的集中模式。网上银行的所有业务操作均通过华夏银行总行的门户网站登录进行，集中化的管理有利于集中优势人力、物力和技术，确保交易的安全性，降低了假网站出现的概率。在公共网络和银行网站之间，网站和交易服务器之间，交易服务器和银行内部网之间采用了三重不同规格型号的防火墙，隔离了相关网络；其作用是通过这三道防火墙可分别防止非法访问网站，防止网站访问者对网银的非法入侵，以及有效保护银行内部网，同时防止内部网对网银交易服务器的入侵。与工行一样，华夏银行采用的也是128位SSL数据加密协议和CFCA颁发的数字证书。数字加密协议在用户和网银服务器之间建立了秘密而可靠的连接，确保信息传输的完整性和安全性。数字证书则保障了交易的完整性、机密性和不可否认性。

华夏银行的业务安全措施是：证书采用IC卡或U盘存放，便于私密保管，且难以伪造；证书认证密码和系统登录密码双重保护；网上转帐须经记帐与授权多重确认；客户密码3个月未更换，系统自动提醒客户修改密码；密码连续错误多次，系统自动锁定，不允许登录防止恶意试探密码；企业可根据自身实际情况设定多种授权组合；客户的每一次点击操作，机房都能实时监控；完整的日志记载可为事后审计提供依据。

在安全管理上，华夏银行的网上银行专门建立了应急预案；成立专门的安全处提供技术保障；系统运行部门配备专门人员，并对系统进行实时监控和处理。

高静文副经理说，网上银行欺骗是国际性难题，即使在国外，也没有完全有效的技术手段，这是一个需要各方面共同努力的问题。从用户来说，要培养安全意识，严格按照银行提示操作，如果接到来历不明的短信或邮件时应有防范意识。从银行来说，除了采取足够的安全措施和内部控制手段外，还要利用各种渠道向用户讲解网银安全的知识，提醒用户注意事项。而司法部门则需对网上银行的欺诈行为做出严格的法律界定。

企业篇：技术不是问题防范最重要

各银行在网上银行的安全防范措施上，可谓使出浑身解数。如果说，银行是以“信用为己任”，那么厂商就是以“保护信用为己任”。对于网上银行的安全问题，方正信息安全技术有限公司总裁施文洪认为，网络银行好比航空公司，具有高风险且安全性也高的特点。对于网上银行的安全，大的安全厂商主要解决的是网络级的安全问题，从银行的交易平台、专线、内网到公网这条线路上来确保网络的安全。在网络层面上，防火墙、防病毒软件、IDS产品等是网上交易平台外围安全的保障。网上银行与用户之间的安全保障则需要数字证书、USBKEY等。网上银行是一个高端的业务，方正将通过与高端的集成商合作，推出不仅具有高技术含量的产品，更具有实用性的产品，让消费者从心理上有安全感和可信感。

方正安全在信息安全领域，覆盖了防火墙、防病毒、内容安全网关、入侵检测和虚拟专用网等五大产品线四十多款产品，最新的熊猫入侵防护TRUPREVENT企业版，是一款集已知和未知威胁防护于一身的入侵防护软件，能最大程度地抵御病毒、木马、蠕虫等网络威胁。这款基于识别行为技术的智能化的产品，是方正迈向未来智能化的网络安全产品走出的第一步。施总说，技术从来不是问题，问题在于技术如何在最恰当的时候以最恰当的方式转化为产品切入市场。未来的网络银行应该基于IP网，基于IP网的安全产品实现移动、无线、便携后，才能真正实现网络的安全性和可靠性。

记者又采访了以“电子支付专家”为发展定位的网银在线（北京）科技有限公司，这是一家为从事电子商务的企业和个人提供电子支付解决方案的企业。作为中立的第三方支付平台，网银在线提供的是在线支付网关和个人虚拟帐户（类似C TO C支付帐户），主要解决电子商务中资金流的问题。它在银行和商户之间搭起了一座桥梁，一方与银行链接，另一方利用数字证书为商户提供支付平台。因此，网银在线无论是为商户提供交易平台，还是为银行提供结算平台，都和安全问题密切相关。

网银在线执行总裁、做技术出身的赵国栋说，网上银行出现的安全问题在很多情况下不是技术本身的原因造成的，更多是人们自身防范意识不够和管理上的问题。作为第三方支付平台，网银在线在安全保障上是严密而慎重的。它们的安全措施包括：与天威诚信合作推出了符合〈〈中华人民共和国电子签名法〉〉的网上支付网关。

由天威诚信提供的数字证书加密后的交易数据，可以有效预防黑客的窜改和窃取，最大限度地保障了商户交易数据的安全，保证了交易数据的完整性、不可抵赖性，防止支付网关自身修改交易数据。其次，采用了国际机构VERISIGN的128位SSL加密传输机制，将交易信息通过高强度的加密后进行传输，进一步防止黑客窃取信息。第三，与VISA合作推出符合3D安全规范的国际信用卡支付平台。VISA验证服务以安全易用为原则，采用全球互通付款的“3D技术”，是VISA国际组织为提高信用卡网上支付的安全性，保障用户网上支付安全，维护用户利益而推出的一项安全验证服务。有了VISA验证服务，网上交易就有了双重保险。

在服务器的安全上，网银在线采用硬件防火墙与软件防火墙结合的方式屏蔽大部分的病毒和攻击。在银行端方面，它们采用的是SSL128位加密算法和SET（安全电子交易）协议，保证了B2C在线支付的安全实施。在支付平台与银行之间的结算方面，网银在线采用了二次结算的模式，成为支付过程中公正的第三方。在交易过程中，交易双方的信息传递到支付平台并留有存证，交易双方都可以方便地查询订单及相关信息，特别是在出现交易纠纷的时候，有关信息可作为仲裁的有力证据。看来，不论从银行角度出发，还是从厂商角度出发，一致认为以PKI技术为基础的数字证书是一种更可靠的安全防护措施。

二、什么叫pki

PKI（Public Key Infrastructure）即"公钥基础设施"，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。这个定义涵盖的内容比较宽，是一个被很多人接受的概念。这个定义说明，任何以公钥技术为基础的安全基础设施都是PKI。当然，没有好的非对称算法和好的密钥管理就不可能提供完善的安全服务，也就不能叫做PKI。也就是说，该定义中已经隐含了必须具有的密钥管理功能。

X.509标准中，为了区别于权限管理基础设施(Privilege Management Infrastructure，简称PMI)，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施]。这个概念与第一个概念相比，不仅仅叙述PKI能提供的安全服务，更强调PKI必须支持公开密钥的管理。也就是说，仅仅使用公钥技术还不能叫做PKI，还应该提供公开密钥的管理。因为PMI仅仅使用公钥技术但并不管理公开密钥，所以，PMI就可以单独进行描述了而不至于跟公钥证书等概念混淆。X.509中从概念上分清PKI和PMI有利于标准的叙述。然而，由于PMI使用了公钥技术，PMI的使用和建立必须先有PKI的密钥管理支持。也就是说，PMI不得不把自己与PKI绑定在一起。当我们把两者合二为一时，PMI+PKI就完全落在X.509标准定义的PKI范畴内。根据X.509的定义，PMI+PKI仍旧可以叫做PKI，而PMI完全可以看成PKI的一个部分。

美国国家审计总署在2001年[iii]和2003年的报告中都把PKI定义为由硬件、软件、策略和人构成的系统，当完善实施后，能够为敏感通信和交易提供一套信息安全保障，包括保密性、完整性、真实性和不可否认。尽管这个定义没有提到公开密钥技术，但到目前为止，满足上述条件的也只有公钥技术构成的基础设施，也就是说，只有第一个定义符合这个PKI的定义。所以这个定义与第一个定义并不矛盾。

综上所述，我们认为：PKI是用公钥概念和技术实施的，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分：

认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；

数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；

密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。

证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。

通常来说，CA是证书的签发机构,它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥（即私钥和公钥），私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书机制。

PKI就是一种基础设施，其目标就是要充分利用公钥密码学的理论基础，建立起一种普遍适用的基础设施，为各种网络应用提供全面的安全服务。公开密钥密码为我们提供了一种非对称性质，使得安全的数字签名和开放的签名验证成为可能。而这种优秀技术的使用却面临着理解困难、实施难度大等问题。正如让电视机的开发者理解和维护发电厂有一定的难度一样，要让每一个应用程序的开发者完全正确地理解和实施基于公开密钥密码的安全有一定的难度。PKI希望通过一种专业的基础设施的开发，让网络应用系统的开发人员从繁琐的密码技术中解脱出来而同时享有完善的安全服务。

将PKI在网络信息空间的地位与电力基础设施在工业生活中的地位进行类比可以更好地理解PKI。电力基础设施，通过伸到用户的标准插座为用户提供能源，而PKI通过延伸到用户本地的接口，为各种应用提供安全的服务。有了PKI，安全应用程序的开发者可以不用再关心那些复杂的数学运算和模型，而直接按照标准使用一种插座（接口）。正如电冰箱的开发者不用关心发电机的原理和构造一样，只要开发出符合电力基础设施接口标准的应用设备，就可以享受基础设施提供的能源。

PKI与应用的分离也是PKI作为基础设施的重要标志。正如电力基础设施与电器的分离一样。网络应用与安全基础实现了分离，有利于网络应用更快地发展，也有利于安全基础设施更好地建设。正是由于PKI与其他应用能够很好地分离，才使得我们能够将之称为基础设施，PKI也才能从千差万别的安全应用中独立出来，才能有效地独立地发展壮大。PKI与网络应用的分离实际上就是网络社会的一次“社会分工”，这种分工可能会成为网络应用发展史上的重要里程碑。

PKI在公开密钥密码的基础上，主要解决密钥属于谁，即密钥认证的问题。在网络上证明公钥是谁的，就如同现实中证明谁是什么名字一样具有重要的意义。通过数字证书，PKI很好地证明了公钥是谁的。PKI的核心技术就围绕着数字证书的申请、颁发、使用与撤销等整个生命周期进行展开。其中，证书撤销是PKI中最容易被忽视，但却是很关键的技术之一，也是基础设施必须提供的一项服务。

PKI技术的研究对象包括了数字证书，颁发数字证书的证书认证中心，持有证书的证书持有者和使用证书服务的证书用户，以及为了更好地成为基础设施而必须具备的证书注册机构、证书存储和查询服务器，证书状态查询服务器，证书验证服务器等。

PKI作为基础设施，两个或多个PKI管理域的互联就非常重要。PKI域间如何互联，如何更好地互联就是建设一个无缝的大范围的网络应用的关键。在PKI互连过程中，PKI关键设备之间，PKI末端用户之间，网络应用与PKI系统之间的互操作与接口技术就是PKI发展的重要保证，也是PKI技术的研究重点。

PKI作为一种安全技术，已经深入到网络的各个层面。这从一个侧面反映了PKI强大的生命力和无与伦比的技术优势。PKI的灵魂来源于公钥密码技术，这种技术使得“知其然不知其所以然”成为一种可以证明的状态，使得网络上的数字签名有了理论上的安全保障。围绕着如何用好这种非对称密码技术，数字证书破壳而出，并成为PKI中最为核心的元素。

1、采用公开密钥密码技术，能够支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。支持可以公开地进行验证，或者说任意的第三方可验证，能更好地保护弱势个体，完善平等的网络系统间的信息和操作的可追究性。

2、由于密码技术的采用，保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密性服务，同时也可以为陌生的用户之间的通信提供保密支持。

3、由于数字证书可以由用户独立验证，不需要在线查询，原理上能够保证服务范围的无限制地扩张，这使得PKI能够成为一种服务巨大用户群的基础设施。PKI采用数字证书方式进行服务，即通过第三方颁发的数字证书证明末端实体的密钥，而不是在线查询或在线分发。这种密钥管理方式突破了过去安全验证服务必须在线的限制。

4、 PKI提供了证书的撤销机制，从而使得其应用领域不受具体应用的限制。撤销机制提供了在意外情况下的补救措施，在各种安全环境下都可以让用户更加放心。另外，因为有撤销技术，不论是永远不变的身份、还是经常变换的角色，都可以得到PKI的服务而不用担心被窃后身份或角色被永远作废或被他人恶意盗用。为用户提供“改正错误”或“后悔”的途径是良好工程设计中必须的一环。

5、 PKI具有极强的互联能力。不论是上下级的领导关系，还是平等的第三方信任关系，PKI都能够按照人类世界的信任方式进行多种形式的互联互通，从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。

在寻找PKI的招牌应用（Killer Application）屡告失败后，PKI突破性的增长并没有出现。大量的投资进入了PKI建设中却没有带来预期的收益。有人说PKI根本就是一种骗术，有些人说PKI已经死了，而有人说它没有死，只是在休息。

本书也不敢预测未来，只能谈谈对PKI面临的问题，市场的需求以及其竞争技术。

2001年，美国审计总署总结PKI发展面临的挑战时指出，互操作问题，系统费用昂贵等是当时的主要困难。2003年美国审计总署总结联邦PKI发展问题时仍旧强调，在PKI建设中，针对技术问题和法律问题，在很多地方缺乏策略和指南或者存在错误的策略和指南；实施费用高，特别是在实施一些非标准的接口时资金压力更大；互操作问题依然突出，PKI系统与其他系统的集成时面临已有系统的调整甚至替换的问题；使用和管理PKI需要更多培训，PKI的管理仍旧有严重障碍。

尽管PKI建设的问题很多，也没有出现如同人们想象的突破性的发展，但我们仍旧不难发现，所有这些挑战，实际上都源于PKI技术的复杂。比如，实施者对标准的理解不一致是造成互操作问题一个重要原因。目前，随着人们研究的深入，标准的出台，更多实施者的参与，更多应用的推进都会极大推进互操作性问题的解决。大量的技术人员参与建设，也会加速PKI产品的降价，降低PKI用户的购买成本。随着用户对PKI的深入了解，使用和维护PKI也将不是一个昂贵的过程。诸多的困难，并没有阻挡，也不可能阻挡PKI的应用的脚步。PKI已经逐步深入到网络应用的各个环节。PKI的诸多优势使得PKI的应用逐步扩大。

举一个例子，电子商务中需要可追究性保护，而PKI提供的任意第三方可验证能够提供一个更加公平的环境支持。比如，甲方乙方签订合同后，不用担心对方跟某位领导（也许可以称为权威方）有什么关系，因为任意的一个第三方都可以验证合法的合同内容。这种公开的验证方式使得商务活动可以变得更加民主与和谐。这样公平的技术环境是对称密码技术和基于身份的密码技术无法提供的。在一个企业内部，PKI也可以为构建一个更加民主的商务环境提供技术支持。比如，聪明的老板或领导一定是言而有信的领导，肯定会将下属或员工看成自己的合作者，也愿意一样接受制度的制约。PKI这种第三方验证的方式鼓励了这种平等的合作，表明了一种“在法律面前人人平等”的民主作风。而使用对称密码技术的员工却不得不无条件地信任密钥分发中心，对称密码的管理系统没有能力提供追究领导责任的技术途径。

PKI提供的安全服务支持了许多以前无法完成的应用。PKI技术可以保证运行代码正确地通过网络下载而不被黑客篡改；可以保证数字证件，比如护照的真实性，而不用担心被证件阅读者假冒；可以用于版权保护而不用担心没有证据；可以用于负责任的新闻或节目分级管理从而净化文化环境，等等。

PKI技术并没有一个招牌应用，也没有人们想象中那么迅速的发展。然而，也许正是没有招牌应用才使得PKI能够成为所有应用的安全基础；没有快速发展也许说明PKI的发展不会是昙花一现，而是经久不衰。作为一项目前还没有替代品的技术，PKI正逐步得到更加广泛的应用。

[[i]] Peter Gutmann. PKI:It’s Not Dead, Just Resting.

[[i]] Carlisle Adams, Steve Lloyd. Understanding PKI. Second Edition. Boston: Addison- Wesley, 2002:28.

[[ii]] International Standard. ISO/IEC9594-8. The Directory:Public-key and attribute certificate frameworks. Geneva:ISO, 2000

[[iii]] United States General Accounting Office. Advances and Remaining Challenges to Adoption of Public Key Infrastructure Technology. Washington, D.C.:GAO,2001:74

[[iv]] United States General Accounting Office. Status of Federal Public Key Infrastructure Activities at Major Federal Departments and Agencies. Washington, D.C.:GAO,2003:7

三、网络安全的关键技术有哪些

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：

执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。

基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。

基于MAC的VLAN不能防止MAC欺骗攻击。

以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。

但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.

虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.

防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.

通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。

例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。

Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。

使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。

记录和统计网络利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。

Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。

服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。

服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。

Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：

通常采用第二种类型的设计策略。

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.

但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.

是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.

在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

以下问题有助于分析安全和服务需求：

√计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。

√增加的需要，如加密或拔号接入支持。

√提供网络安全控制的同时，对系统应用服务牺牲的代价。

Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：

√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。

√机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。

√远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。

√ PPP/SLIP连接必须通过Firewall认证。

√对远程用户进行认证方法培训。

√拨入/拨出能力必须在设计Firewall时进行考虑和集成。

√外部拨入用户必须通过Firewall的认证。

√公共信息服务器的安全必须集成到Firewall中。

√必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。

√为Information server定义折中的安全策略允许提供公共服务。

√对公共信息服务和商业信息(如email)讲行安全策略区分。

√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。

√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。

√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。

√ Firewall必须支持增强的认证机制。

√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。

√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。

√ Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过代理服务器。

√ Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。

√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。

√ Firewall可支持对拨号接入的集中管理和过滤。

√ Firewall应支持对交通、可疑活动的日志记录。

√如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。

√ Firewall的设计应该是可理解和管理的。

√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。

(1)安全性：即是否通过了严格的入侵测试。

(2)抗攻击能力：对典型攻击的防御能力

(3)性能：是否能够提供足够的网络吞吐能力

(4)自我完备能力：自身的安全性，Fail-close

(5)可管理能力：是否支持SNMP网管

病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。

(3)通过Web游览传播，主要是恶意的Java控件网站。

在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

使用防病毒软件检查和清除病毒。

病毒数据库应不断更新，并下发到桌面系统。

(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：

(1)入侵者可寻找防火墙背后可能敞开的后门。

(3)由于性能的限制，防火焰通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。

基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。

基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：

(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。

(3) countermeasure执行规定的动作。

(4) Storage保存分析结果及相关数据。

基于主机的安全监控系统具备如下特点：

(1)精确，可以精确地判断入侵事件。

(2)高级，可以判断应用层的入侵事件。

基于网络的安全监控系统具备如下特点：

(1)能够监视经过本网段的任何活动。

基于主机及网络的入侵监控系统通常均可配置为分布式模式：

(1)在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。

(2)在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。

(4)精确度及完整度，防欺骗能力。

网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。

安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。

安全扫描工具通常也分为基于服务器和基于网络的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：

(1)速度。在网络内进行安全扫描非常耗时。

(2)网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。

(4)是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。

(5)报告，扫描器应该能够给出清楚的安全漏洞报告。

(6)更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。

安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。

认证技术将应用到企业网络中的以下方面：

(1)路由器认证，路由器和交换机之间的认证。

(2)操作系统认证。操作系统对用户的认证。

(3)网管系统对网管设备之间的认证。

(5)拨号访问服务器与客户间的认证。

(6)应用服务器(如Web Server)与客户的认证。

(1)基于PKI认证体系的认证过程。

(2)基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。

认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。

Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。

使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。

好了，文章到这里就结束啦，如果本次分享的网络交易平台都会采用pki和什么叫pki问题对您有所帮助，还望关注下本站哦！