首页 - 技术栈

谢岗做网站wordpress 菜单效果

作者: 五速梦信息网
时间: 2026年04月20日 07:07

当前位置：首页 > news >正文

谢岗做网站,wordpress 菜单效果,wordpress插件酷q,wordpress页面文章页分类概述要素 CIA#xff1a;可用性#xff1b;完整性#xff1b;保密性。可控性#xff1b;不可否认性#xff1b;可审查性。攻击被动#xff1a;窃听 - 保密性#xff1b;监听 - 保密性主动#xff1a;假冒 - 完整性#xff1b;重放 - 完整性#xff1b;改写 -…概述要素 CIA可用性完整性保密性。可控性不可否认性可审查性。攻击被动窃听 - 保密性监听 - 保密性主动假冒 - 完整性重放 - 完整性改写 - 完整性拒绝服务 - 可用性。服务和机制模型 PDR保护检测响应。P2DR整体安全策略 → \to → 严密防护 → \to → 动态检测 → \to → 快速响应 → \to →。WPDRRC技术 ⊃ \supset ⊃ 策略 ⊃ \supset ⊃ 人员 → \to → 预警 → \to → 保护 → \to → 检测 → \to → 响应 → \to → 恢复 → \to → 反击 → \to →。密码学对称加密分组密码不随时间变化加解密方法扩散性好插入敏感加解密速度慢存在错误传播。序列密码随时间变化的加解密方法加解密速度快有限错误传播扩散性差插入及修改不敏感。散列函数目的消息未被篡改消息由合法发送者发送不为重放攻击序列号/时间戳。要求任意长度输入固定长度输出软硬件易于实现不可逆性抗碰撞性输入微小变化时输出变化极大。数字签名信息发送者才能产生的无法伪造的数字串用以证明消息发送者身份真实性。发送方私钥签名 → \to → 接收方公钥加密 → \to → 不安全信道 → \to → 接收方私钥解密 → \to → 发送方公钥验证。密钥分发无中心密钥分发 1A → \to → B R e q u e s t ∣ ∣ N 1 {\rm Request}||N_1 Request∣∣N1 R e q u e s t {\rm Request} Request 密钥更新请求 N 1 {N1} N1 现时值Nouce时间戳/序列号。 2B → \to → A E K M K [ K s ∣ ∣ R e q u e s t ∣ ∣ N 1 ∣ ∣ I D B ∣ ∣ f ( N 1 ) ∣ ∣ N 2 ] E{K_{MK}}[K_s||{\rm Request||N_1||ID_B||f(N_1)||N_2}] EKMK[Ks∣∣Request∣∣N1∣∣IDB∣∣f(N1)∣∣N2] K s Ks Ks 随机密钥发生器生成的新密钥 K M K K{MK} KMK 共享的主密钥 I D B {\rm ID}B IDB 数字签名避免冒充 f f f 共享的函数运算避免重放。 3A → \to → B E K s [ f ( N 2 ) ] E{K_s}[f(N_2)] EKs[f(N2)]避免重放确认新密钥。有中心密钥分发 KDC密钥分发中心。 1A → \to → KDC R e q u e s t ∣ ∣ N 1 {\rm Request}||N1 Request∣∣N1。 2KDC → \to → A E K A [ K s ∣ ∣ ] R e q u e s t ∣ ∣ N 1 ∣ ∣ E K B ( K s , I D A ) ] E{K_A}[K_s||]{\rm Request}||N1||E{K_B}(K_s,ID_A)] EKA[Ks∣∣]Request∣∣N1∣∣EKB(Ks,IDA)] K A K_A KA KDC 和 A 共享的密钥 K B KB KB KDC 和 B 共享的密钥。 3A → \to → B E K B ( K s , I D A ) E{K_B}(K_s,IDA) EKB(Ks,IDA)。 4B → \to → A E K s ( N 2 ) E{K_s}(N2) EKs(N2)。 5A → \to → B E K s [ f ( N 2 ) ] E{K_s}[f(N_2)] EKs[f(N2)]避免冒用确认新密钥。公钥分发 CA公钥管理机构。 1A → \to → CA R e q u e s t ∣ ∣ T i m e 1 {\rm Request}||{\rm Time}1 Request∣∣Time1。 2CA → \to → A E S K U [ P K B ∣ ∣ R e q u e s t ∣ ∣ T i m e 1 ] E{SK_U}[PK_B||{\rm Request}||{\rm Time}_1] ESKU[PKB∣∣Request∣∣Time1] S K U SK_U SKU CA私钥 P K B PK_B PKB B 公钥。 3B → \to → CA R e q u e s t ∣ ∣ T i m e 2 {\rm Request}||{\rm Time}2 Request∣∣Time2。 4CA → \to → B E S K U [ P K A ∣ ∣ R e q u e s t ∣ ∣ T i m e 2 ] E{SK_U}[PK_A||{\rm Request}||{\rm Time}_2] ESKU[PKA∣∣Request∣∣Time2] P K A PKA PKA A 公钥。三次握手 5A → \to → B E P K B ( N 1 ∣ ∣ I D A ) E{PK_B}(N_1||IDA) EPKB(N1∣∣IDA)。 6B → \to → A E P K A ( N 1 ∣ ∣ N 2 ) E{PK_A}(N_1||N2) EPKA(N1∣∣N2)。 7A → \to → B E P K B ( N 2 ) E{PK_B}(N_2) EPKB(N2)。 PPP 协议链路层PAP协议两次握手实现对等端口令认证初始连接建立使用口令明文传输无法防御重放和假冒。CHAP协议三次握手实现对等端基于 Hash 的挑战-应答认证口令明文传输无法防御窃听等被动攻击。 RADIUS 协议基于口令 NAS网络接入服务器。 AS认证服务器。 1C → \to → NAS → \to → ASUDP 封装的 Access-Request。 ASNAS 是否注册登记认证是否通过。 2AS → \to → NAS访问接受/拒绝及数字签名。 NAS验证签名正确性确认访问接受/拒绝。基于挑战-应答 Kerbros 协议第一步分离 V 和 SA V应用服务器。 1C → \to → AS I D C ∣ ∣ P C ∣ ∣ I D V ID_C||P_C||ID_V IDC∣∣PC∣∣IDV P C P_C PC 用户口令。 2AS → \to → C T i c k e t V E K V ( I D C ∣ ∣ A D C ∣ ∣ I D V ) {\rm Ticket}VE{K_V}(ID_C||AD_C||ID_V) TicketVEKV(IDC∣∣ADC∣∣IDV) T i c k e t {\rm Ticket} Ticket 票据 K V K_V KV AS 和 V 共享的密钥 A D C AD_C ADC C 网络地址。 3C → \to → V I D C ∣ ∣ T i c k e t V ID_C||{\rm Ticket}_V IDC∣∣TicketV。口令明文传输需多次输入口令。第二步分离 SA 和 TGS TGS票据授予服务器 1C → \to → AS I D C ∣ ∣ I D T G S IDC||ID{TGS} IDC∣∣IDTGS 。 2AS → \to → C E K C ( T i c k e t T G S ) E_{KC}({\rm Ticket}{TGS}) EKC(TicketTGS) T i c k e t T G S E K T G S ( I D C ∣ ∣ A D C ∣ ∣ I D T G S ∣ ∣ T S 1 ∣ ∣ L i f e t i m e 1 ) {\rm Ticket}{TGS}E{K_{TGS}}(ID_C||ADC||ID{TGS}||TS_1||{\rm Lifetime}_1) TicketTGSEKTGS(IDC∣∣ADC∣∣IDTGS∣∣TS1∣∣Lifetime1) K C KC KC C 和 AS 共享密钥 K T G S K{TGS} KTGS TGS 和 AS 共享密钥 T S 1 TS_1 TS1 时间戳 L i f e t i m e 1 {\rm Lifetime}_1 Lifetime1 生命周期。 3C → \to → TGS I D C ∣ ∣ I D V ∣ ∣ T i c k e t T G S ID_C||IDV||{\rm Ticket}{TGS} IDC∣∣IDV∣∣TicketTGS. 4TGS → \to → C T i c k e t V E K V ( I D C ∣ ∣ A D C ∣ ∣ I D V ∣ ∣ T S 2 ∣ ∣ L i f e t i m e 2 ) {\rm Ticket}VE{K_V}(ID_C||AD_C||ID_V||TS_2||{\rm Lifetime}_2) TicketVEKV(IDC∣∣ADC∣∣IDV∣∣TS2∣∣Lifetime2) K V K_V KV V 和 TGS 共享密钥。 5C → \to → V I D C ∣ ∣ T i c k e t V ID_C||{\rm Ticket}_V IDC∣∣TicketV。有效期过短易用性差过长安全性差未验证 V 的真实性。第三步Kerbros v4 1.1C → \to → AS I D C ∣ ∣ I D T G S ∣ ∣ T S 1 IDC||ID{TGS}||TS1 IDC∣∣IDTGS∣∣TS1 防止重放。 1.2AS → \to → C E K C , A S ( K C , T G S ∣ ∣ I D T G S ∣ ∣ T S 2 ∣ ∣ L i f e t i m e 2 ∣ ∣ T i c k e t T G S ) E{K{C,AS}}(K{C,TGS}||ID_{TGS}||TS_2||{\rm Lifetime}2||{\rm Ticket}{TGS}) EKC,AS(KC,TGS∣∣IDTGS∣∣TS2∣∣Lifetime2∣∣TicketTGS) T i c k e t T G S E K T G S , A S ( K C , T G S ∣ ∣ I D C ∣ ∣ A D C ∣ ∣ I D T G S ∣ ∣ T S 2 ∣ ∣ L i f e t i m e 2 ) {\rm Ticket}{TGS}E{K{TGS,AS}}(K{C,TGS}||ID_C||ADC||ID{TGS}||TS_2||{\rm Lifetime}_2) TicketTGSEKTGS,AS(KC,TGS∣∣IDC∣∣ADC∣∣IDTGS∣∣TS2∣∣Lifetime2)C 和 TGS 间获得安全共享密钥。 2.1C → \to → TGS I D V ∣ ∣ T i c k e t T G S ∣ ∣ A u t h e n t i c a t o r C , T G S IDV||{\rm Ticket}{TGS}||{\rm Authenticator}{C,TGS} IDV∣∣TicketTGS∣∣AuthenticatorC,TGS A u t h e n t i c a t o r C , T G S E K C , T G S ( I D C ∣ ∣ A D C ∣ ∣ T S 3 ) {\rm Authenticator}{C,TGS}E{K{C,TGS}}(ID_C||AD_C||TS3) AuthenticatorC,TGSEKC,TGS(IDC∣∣ADC∣∣TS3)验证 C 真实性防止窃听和重放。 2.2TGS → \to → C E K C , T G S ( K C , V ∣ ∣ I D v ∣ ∣ T S 4 ∣ ∣ L i f e t i m e 4 ∣ ∣ T i c k e t V ) E{K{C,TGS}}(K{C,V}||ID_v||TS_4||{\rm Lifetime}_4||{\rm Ticket}_V) EKC,TGS(KC,V∣∣IDv∣∣TS4∣∣Lifetime4∣∣TicketV) T i c k e t V E K T G S , V ( K C , V ∣ ∣ I D C ∣ ∣ A D C ∣ ∣ I D V ∣ ∣ T S 4 ∣ ∣ L i f e t i m e 4 ) {\rm Ticket}VE{K{TGS,V}}(K{C,V}||ID_C||AD_C||ID_V||TS_4||{\rm Lifetime}_4) TicketVEKTGS,V(KC,V∣∣IDC∣∣ADC∣∣IDV∣∣TS4∣∣Lifetime4)C 和 V 间获得安全共享密钥防止窃听和重放。 3.1C → \to → V T i c k e t V ∣ ∣ A u t h e n t i c a t o r C , V {\rm Ticket}V||{\rm Authenticator}{C,V} TicketV∣∣AuthenticatorC,V A u t h e n t i c a t o r C , V E K C , V ( I D C ∣ ∣ A D C ∣ ∣ T S 5 ) {\rm Authenticator}{C,V}E{K_{C,V}}(ID_C||AD_C||TS5) AuthenticatorC,VEKC,V(IDC∣∣ADC∣∣TS5)。 3.2V → \to → C E K C , V ( T S 5 1 ) E{K_{C,V}}(TS51) EKC,V(TS51)验证 V 真实性。单点登录多个应用系统中用户只需登陆一次就可以访问所有互相信任的应用系统。访问控制方法矩阵链表列表ACL授权关系表安全标签细粒度。原则最小授权最小泄露多级。DAC自主客体属主自行决定权限分配和管理风险较高。MAC强制/非自住系统管理员设置或系统自动设置用户级无法修改灵活性差。下读主体安全级别高于客体时允许读。上读主体安全级别低于客体时允许读。下写主体安全级别高于客体时允许写。上写主体安全级别低于客体时允许写。BLP下读上写政府或军事写给上级不能写给下属。Biba上读下写企业领导写通知员工读通知。 RBAC基于角色通过角色联系主客体权限提升效率便于管理。应用层 PGP 认证SHA-1/DSS RSA LZ77 Base64CRC私钥签名公钥验证。发送方 Z C o d e [ Z i p ( M A C ∣ ∣ M ) ] Z{\rm Code}[{\rm Zip}({\rm MAC}||M)] ZCode[Zip(MAC∣∣M)] M A C E S K A [ H a s h ( M ) ] {\rm MAC}E{SKA}[{\rm Hash}(M)] MACESKA[Hash(M)]。接收方 M A C ′ ∣ ∣ M ′ Z i p − 1 [ C o d e − 1 ( Z ′ ) ] {\rm MAC}||M{\rm Zip}^{-1}[{\rm Code}^{-1}(Z)] MAC′∣∣M′Zip−1[Code−1(Z′)] H a s h ( M ′ ) ? D P K A ( M A C ′ ) {\rm Hash}(M){?\atop }D{PKA}({\rm MAC}) Hash(M′)?DPKA(MAC′)。加密LZ77 ANSI X9.17 CAST-128/IDEA/TDEA RSA Base64CRC公钥加密私钥解密。发送方 Z C o d e ( K ∣ ∣ C ) Z{\rm Code}(K||C) ZCode(K∣∣C) K E P K B ( K S ) KE{PK_B}(KS) KEPKB(KS) C E K S [ Z i p ( M ) ] CE{K_S}[{\rm Zip}(M)] CEKS[Zip(M)] K S K_S KS 随机生成密钥。接收方 K ∣ ∣ C C o d e − 1 ( Z ) K||C{\rm Code}^{-1}(Z) K∣∣CCode−1(Z) K S D S K B ( K ) KSD{SKB}(K) KSDSKB(K) M Z i p − 1 [ D K S ( C ) ] M{\rm Zip}^{-1}[D{KS}©] MZip−1[DKS©]。认证-加密SHA-1/DSS RSA LZ77 ANSI X9.17 CAST-128/IDEA/TDEA RSA Base64CRC。发送方 Z C o d e ( K ∣ ∣ C ) Z{\rm Code}(K||C) ZCode(K∣∣C) K E P K B ( K S ) KE{PK_B}(KS) KEPKB(KS) C E K S [ Z i p ( M A C ∣ ∣ M ) ] CE{KS}[{\rm Zip}({\rm MAC}||M)] CEKS[Zip(MAC∣∣M)] M A C E S K A [ H a s h ( M ) ] {\rm MAC}E{SK_A}[{\rm Hash}(M)] MACESKA[Hash(M)]。接收方 K ∣ ∣ C C o d e − 1 ( Z ) K||C{\rm Code}^{-1}(Z) K∣∣CCode−1(Z) K S D S K B ( K ) KSD{SKB}(K) KSDSKB(K) M A C ′ ∣ ∣ M ′ Z i p − 1 [ D K S ( C ) ] {\rm MAC}||M{\rm Zip}^{-1}[D{KS}©] MAC′∣∣M′Zip−1[DKS©] H a s h ( M ′ ) ? D P K A ( M A C ′ ) {\rm Hash}(M){?\atop }D{PK_A}({\rm MAC}) Hash(M′)?DPKA(MAC′)。私钥签名 → \to → 压缩 → \to → 公钥加密密钥 → \to → 编码 → \to → 不安全信道 → \to → 解码 → \to → 私钥解密获得密钥 → \to → 解压 → \to → 公钥验证。密钥环私钥环时间戳密钥ID公钥加密私钥用户ID。公钥环时间戳密钥ID公钥拥有者信任用户ID密钥合理性签名签名信任。拥有者信任收到新公钥赋值未定义信任未知用户一般不信任一般信任完全信任。签名信任收到公钥已有用户签名根据签名用户是否已在公钥环内进行赋值。密钥合理性加权计算签名信任达到设定要求时认定为有效complete。
S/MIME 安全功能封装/加密签名明文签名签名并封装。加密方式选择优先级 1接收方解密方式列表优先级最高的 2接收方发来的邮件中最近使用的 3可承受接收方无法解密风险使用 3DES 4不可承受接收方无法解密风险使用 RC2/40。
HTTPS HTTPS HTTP明文传输无验证无保密性和完整性。 1Browser使用 HTTPS443端口的 URL 访问发起 SSL/TLS 连接请求。 2Web发送网站公钥证书。 3Browser协商安全等级Web 公钥加密建立的会话密钥并发送。 4Web私钥解出会话密钥并确认。SSL 协议会话Brower 到 Web 的关联避免每个连接都要新的安全参数会话标识符对等实体证书压缩方法密码规格主密钥可恢复性。连接短时有效点对点每个连接与一个会话关联随机数标识连接Web MAC 密钥Browser MAC 密钥Browser 密钥初始化向量 Ⅳ序列号。协议握手修改密码规格警告警告/致命记录机密性和完整性。SSL 握手协议 1建立安全能力Browser 发送 client_hello并收到 Web 回送的 server_hello。版本Browser 支持的 SSL 协议最高版本号随机数32bit 时间戳和安全的 28 字节随机数防止重放。会话 ID可变长的会话标识符。加密套件Browser 支持的加密算法列表优先级降序排列密钥交换算法、身份验证算法、对称加密算法、Hash 算法。压缩算法Browser 支持的压缩算法列表。 2Web 认证和密钥交换Web 发送 X.509 证书和证书链启动Web 发送 server_hello_done 结束。密钥交换选择 D-H/ 签名 RSA 算法时Web 发送 server_key_exchange包含密钥交换算法参数及签名防止重放。证书请求可选项Web 发送 certificate_request。 3Browser 认证和密钥交换发送证书若收到 certificate_requestBrowser 发送 certificate 包含自己的 X.509 证书及证书链若没有证书则发送 no_certificate_alert 警告。密钥交换收到 server_key_exchange 后发送 clietn_key_exchange。认证确认Brower 具备签名功能时可选发送 certificate_verify。 4完成完成握手并开始交换应用层数据。 Browser发送 change_cipher_spec将选择但未启用的密码规则复制到当前密码规格修改密码规格协议用新加密算法和新密钥发送 finish内容为两散列值串接。 Web同样发送 change_cipher_spec 和 finish 以确定。密钥生成client_key_exchange 1Browser 生成 48 字节预备主密钥Browser 和 Web 分别独立计算并生成 48 字节一次性主密钥仅供本次会话。 RSABrowser 生成预备主密钥后公钥加密发送Web 私钥解密获得。 D-HBrower 和 Web 各自生成一个 D-H 公钥交换后分别计算获得预备主密钥pre_master_secret。 2Browser 和 Web 依据主密钥分别按顺序生成密钥参数Browser 写 MAC 密钥Web 写 MAC 密钥Browser 写密钥Web 写密钥Browser 写初始向量 ⅣWeb 写初始向量 Ⅳ。以主密钥为输入生成长度足够长的 Hash 值master_secret。SSL 记录协议 1分段应用层报文分割为不超过 214 字节的分块。 2压缩可选项无损增加长度不能超过 1024 字节。 3加密分组或序列”明文/压缩后 || MAC0/16/20字节|| 填充“分组加密则填充为分组长度倍数且最后一字节说明填充长度。 4添加报头协议类型1字节主版本号1字节次版本号1字节以字节为单位的消息长度8字节明文/压缩后。 TLS 协议SSL 升级版。 Hash 计算额外包含 TLSCompressed.version 域。使用 PRF 随机数生成函数生成密钥certificateverify 和 finish 的消息 Hash 计算方法不同生成主密钥算法不同。扩充警告代码可以报告更多警告信息。取消了 SSL 协议支持的 Fortezza 算法。支持的证书类型有所减少。SSL 填充至分组长度最小整数倍TLS 可填充不超过 255 字节长度到分组长度的任意整数倍。
SET 协议角色持卡人/买方/消费者商家发卡者为持卡人提供信用卡支付者商家选择的结算机构支付网关连接银行专网和 InternetCA。第一步一般电子交易流程 1消费者开立账户收到银行签署证书。 2商家开立账户获得或生成签名密钥证书和密钥交换证书。 3消费者下单商家核对订单向消费者发送证书副本消费者发送订单、支付消息、证书。 4商家向支付网关请求核对核对消费者账户能够支付商家核准订单向消费者发送核准订单信息。 5商家提供货物或服务消费者确认商家向支付网关请求支付支付网关完成支付。第二步双重签名目的商家只能读取订单信息不能读取支付信息但能验证支付信息完整性和真实性、与订单信息的关联性。银行只能读取支付信息不能读取订单信息但能验证订单信息完整性和真实性、与支付信息的关联性。参与电子交易各方能够互相认证彼此身份支付行为与订单匹配。实现 D S E S K C [ H a s h ( H a s h ( P I ) ∣ ∣ H a s h ( O I ) ) ] DSE{SK_C}[{\rm Hash}({\rm Hash}(PI)||{\rm Hash}(OI))] DSESKC[Hash(Hash(PI)∣∣Hash(OI))] D S DS DS 双重签名 S K C SKC SKC 消费者私钥 P I PI PI 支付信息 O I OI OI 订单信息。商家持有 D S DS DS O I OI OI P I M D H a s h ( P I ) {\rm PIMD}{\rm Hash}(PI) PIMDHash(PI)验证 D P K C ( D S ) ? H a s h [ P I M D ∣ ∣ H a s h ( O I ) ] D{PK_C}(DS){? \atop }{\rm Hash}[{\rm PIMD}||{\rm Hash}(OI)] DPKC(DS)?Hash[PIMD∣∣Hash(OI)] P K C PKC PKC 消费者公钥。银行持有 D S DS DS P I PI PI O I M D H a s h ( O I ) {\rm OIMD}{\rm Hash}(OI) OIMDHash(OI)验证 D P K C ( D S ) ? H a s h [ H a s h ( P I ) ∣ ∣ O I M D ] D{PK_C}(DS){? \atop }{\rm Hash}[{\rm Hash}(PI)||{\rm OIMD}] DPKC(DS)?Hash[Hash(PI)∣∣OIMD]。第三步Set 交易流程 1.1消费者提交购买请求 P ∣ ∣ O ∣ ∣ P||O|| P∣∣O∣∣消费者证书 P K C PKC PKC支付消息 P K ∣ ∣ C PK||C PK∣∣C K E P K B ( K S ) KE{PK_B}(KS) KEPKB(KS) C E K S ( P I ∣ ∣ D S ∣ ∣ O I M D ) CE{K_S}(PI||DS||{\rm OIMD}) CEKS(PI∣∣DS∣∣OIMD)购买消息 O O I ∣ ∣ D S ∣ ∣ P I M D OOI||DS||{\rm PIMD} OOI∣∣DS∣∣PIMD K S K_S KS 消费者生成的随机密钥 P K B PKB PKB 支付网关公钥。 1.2商家验证购买信息验证证书验证 D P K C ( D S ) ? H a s h [ P I M D ∣ ∣ H a s h ( O I ) ] D{PK_C}(DS){? \atop }{\rm Hash}[{\rm PIMD}||{\rm Hash}(OI)] DPKC(DS)?Hash[PIMD∣∣Hash(OI)]向消费者发送购买响应。 2.1商家发送支付授权请求 P ∣ ∣ C I D ∣ ∣ K ∣ ∣ P||CID||K|| P∣∣CID∣∣K∣∣ 消费者证书 ∣ ∣ || ∣∣ 商家密钥交换证书 ∣ ∣ || ∣∣ 商家签名密钥证书 C I D CID CID 商家私钥签名随机密钥加密的交易 ID K K K 支付网关公钥加密的随机密钥 S K B SK_B SKB 商家签名私钥 P K M PKM PKM 银行公钥。 2.2支付网关验证并生成支付授权验证证书验证 D P K C ( D S ) ? H a s h [ H a s h ( P I ) ∣ ∣ O I M D ] D{PK_C}(DS){? \atop }{\rm Hash}[{\rm Hash}(PI)||{\rm OIMD}] DPKC(DS)?Hash[Hash(PI)∣∣OIMD]验证商家交易 ID 与消费者交易 ID 相同向发卡者发送授权请求。 2.3支付网关返回授权信息发卡者授权信息支付网关证书捕获令牌商家账户需要时可选支付网关私钥签名随机密钥加密商家公钥加密随机密钥。 3.1商家发送捕获请求最终支付金额交易 ID随机密钥加密支付网关公钥加密随机密钥。 3.2支付网关响应捕获解密验证捕获请求向发卡者发送结算请求发卡者转账到商家账户向商家返回签名证书随机密钥加密商家公钥加密随机密钥。 3.3商家解密并验证捕获响应保存收据交易结束。
网络层 IPsec 协议簇体系SAIKEAH 协议ESP 协议SADSPDDOI解释域。SA单向安全关联通信双方对工作模式、加密算法、密钥、生命周期等的约定通信双方需要一对 SA分为输入流和输出流。安全参数索引SPI发送方产生 32 位随机数唯一标识 SA。目的 IP 地址SA 的终点地址端系统/路由器/网关/防火墙。安全协议标识符表明关联的协议是 AH 还是 ESP。传输模式仅保护有效荷载。隧道模式保护整个 IP 数据包包括 IP 报头及有效荷载。组合 SA单个 SA 不能同时使用 AH 和 ESP。传输邻接传输模式下对 IP 数据包应用多个安全协议仅允许在一个层次组合。重复隧道隧道模式下可以多层嵌套 SA每层 SA 的起始 IP 可互不相同。SAD安全关联数据安全参数索引序列号计数器64 位计数器的低 32位为序列号。反重放窗口64 位计数器和位图防止重放。 AH 信息AH 协议认证算法、密钥。 ESP 信息ESP 协议加密算法、认证算法、密钥、初始向量。 SA 生命周期 Path MTU最大传输单元路径SPD安全策略数据库传输层协议UDP/TCP源 IP目标 IP源端口目标端口动作通过/拒绝/丢弃/ESP 保护/AH 保护。 AH 协议验证报头保证传输 IP 分组完整性和可靠性防止重放。报头下一个头部1 字节报头后的协议类型TCP 为 6UDP 为17。载荷长度1 字节长度单位为 4 字节。保留2字节。 SPI4 字节。序列号4 字节。验证数据默认 12 字节需为 4 字节倍数包含完整性校验值 ICV 及填充。滑动窗口实现反重放 1新接收报文序列号在窗口内验证通过后在相应槽位标记接收 2新接收报文落在窗口右侧验证通过窗口右移 3接收报文落在窗口左侧/验证未通过丢弃。 ESP 协议封装有效荷载为 IP 分组提供可靠性、完整性、保密性支持。报头 SPI4 字节。序列号4 字节。有效负载填充0-255 字节填充长度2 字节下一个报头4 字节倍数填充保证右对齐。验证数据可变长前面所有字段计算得到的 Hash 值。 IKE v1ISAKMP 互联网安全关联和密钥交换协议第一阶段建立 IKE SA第二阶段建立 IPsec SA。第一阶段主模式 1A → \to → B发送 IKE 安全协议建立请求加密算法、完整性验证算法、身份认证方法及认证字、D-H 组、IKE SA 生存周期。 2B → \to → A回送 IKE 安全协议确认。 3A → \to → B发送密钥生成消息D-H 算法交换。 4B → \to → A发送密钥生成消息各自分别生成用于 ISAKMP 消息加密及验证的对称密钥。 5A → \to → B发送身份和数据认证使用预共享密钥或数字证书验证。 6B → \to → A发送身份和数据认证。第一阶段野蛮模式 1A → \to → B发送 IKE 安全协议建立请求。 2B → \to → A发送密钥生成信息。 3A → \to → B发送验证数据。第二阶段快速模式 1A → \to → B发送 IPsec 安全协议建立请求。采用第一阶段协商好的 IKE SA 衍生的密钥加密和验证会话。 2B → \to → A回送 IPsec 安全协议确认并生成新的用于 IPsec SA 的密钥。 3A → \to → B发送确认信息确认与对方可以通信。 QoS服务质量吞吐量时延拥塞控制/抖动丢包率。流量控制超时重传接收端采用滑动窗口告知发送方允许/停止发包。拥塞控制慢启动 → \to → 线性增大 → \to → 乘法减少 → \to → 快恢复。防火墙包过滤防火墙规则源IP地址目标IP地址源端口目标端口协议类型UDP/TCP接口出站/入站/转发动作允许/拒绝/丢弃。默认规则/姿态转发拒绝除非允许允许除非拒绝。缺点不检查高层协议不能阻止针对特定应用漏洞和功能的攻击不支持高级的用户认证对 TCP/IP 协议本身缺陷无应对措施如假冒 IP只根据报头信息控制无法到整合安全策略日志记录有效信息不充分不便于事后安全分析。 IDS CIDF通用入侵检测框架事件产生器收集外部所有需要分析的数据并转换为 GIDO统一入侵检测对象格式。事件分析器通过对 GIDO 分析判断网络中行为是否合法。响应单元发现入侵行为时做出反应如切断连接、改变文件属性、简单报警。事件数据库存放各种中间和最终 GIDO。基于异常通过大量观察统计建立正常行为模式对未知特征入侵行为查出率高但误报率也高。概率统计审计记录主体进程行为读/写/执行/输入/输出客体文件/程序/设备异常条件资源占用时间戳计数器计量器计时器积分器定时器。预测模型马尔可夫模型时间序列模型。基于监督学习KNN K 邻近算法DT 决策树SVM 支持向量机。无监督学习K-means 聚类层次聚类。基于误用描述出入侵行为特征误报率低但对新入侵行为防范能力弱。专家系统模式匹配与协议分析状态建模。HIDS基于主机检测目标是运行于网络中的主机重要主机、服务器、工作站、关键路由器。检测对象网络流量主机日志系统日志、文件系统、进程记录。缺点通用性不强性能受限。 NIDS基于网络被动在网络中监听整个网段数据流捕获数据报。优点易于部署节省成本通用性强。缺点无法发现对主机系统资源的入侵行为只检查报头信息无法事件对有效负载的监控漏报率较高。