几道网络安全方面的题目帮我做下

1 电子商务中安全电子交易SET系统的双重签名的作用是什么？它是怎样实现的？

2 简述X.509的作用是什么？与其他同类系统相比，它的特点是什么？

3 简述RSA和DES加密算法在信息的保密性、完整性和抗拒认方面的概念和特点。

4 分别用实例说明网络安全所提供的5种服务的用途：信息保密，信息的完整性

5 简述访问列表的类型、特点

最好回答的时候标上题号 谢谢合作

关于你的第一个问题可以参考如下：

1．SET协议中交易的参与方

SET支付系统的参与放主要方有:

1. 持卡人，即消费者，他们通过web浏览器或客户端软件购物；
   
2. 商家，提供在线商店或商品光盘给消费者；
   
3. 发卡人，它是一金融机构，为持卡人开帐户，并且发放支付卡；
   
4. 受款银行，它为商家建立帐户，并且处理支付卡的认证和支付事宜
   
5. 支付网关，是由受款银行或指定的第三方操纵的设备，它处理商家的支付信息，同时也包括来自消费者的支付指令

　

SET支付系统还涉及到认证机构（CA），但是它不参与SET的支付流程，它给各参与方颁发证书，各参与方可以通过查看对方的证书，来确定对方是否准确而不是冒充的。要建立安全的电子商务系统，首先必须有一个健全可信的CA。

　

　

2．SET所采用的安全措施

SET采用的安全措施，几乎全部以数据加密技术为基础，可以说没有加密技术，就没有安全电子交易。SET协议把对称密钥体制和公开密钥体制完美的结合了起来，充分利用了DES效率高速度快，RSA安全性高，密钥管理简便的优点。下面以数据加密技术为基础，讨论SET所采用的安全措施。

1数字签名

数字签名采用RSA算法，数据发送方采用自己的私钥加密数据，接受方用发送方的公钥解密，由于私钥和公钥之间的严格对应性，使用其中一个只能用另一个来解，保证了发送方不能抵赖发送过数据，完全模拟了现在生活中的签名。

2数字信封

发送方将消息用DES加密，并将DES对称密钥用接受方的公钥加密，称为消息的“数字信封”，将数字信封与DES加密后的消息一起发给接受方。接受者收到消息后，先用其密钥打开数字信封，得到发送方的DES对称密钥，再用此对称密钥去解开数据。只有用接受方的RSA密钥才能够打开此数字信封，确保了接受者的身份。

3双重签名

数字签名在SET协议中一个重要的应用就是双重签名。在交易中持卡人发往银行的支付指令是通过商家转发的，为了避免在交易的过程中商家窃取持卡人的信用卡信息，以及避免银行跟踪持卡人的行为，侵犯消费者隐私，但同时又不能影响商家和银行对持卡人所发信息的合理的验证，只有当商家同意持卡人的购买请求后，才会让银行给商家负费，SET协议采用双重签名来解决这一问题。

假设持卡人C(customer)从商家M(mechant)购买商品，他不希望商家看到他的信用卡信息，也不希望银行B(bank)看到他有关商品的信息，于是他采用双重签名，流程如图并说明如下：

　

首先C产生发往M的订购信息OI和发往B的支付指令PI，并分别产生OI，PI的摘要H(OI)，H(PI)。其中摘要由一个单向HASH函数作用于消息产生，它是一个唯一对应此消息的值，其它任何消息用HASH函数作用都不能产生此值，因此用消息摘要可以检查消息在中途是否被篡改。连接H(OI)和H(PI)得到OP，再生成OP的摘要H(OP)，用C的RSA私钥签名H(OP)，得sign[H(OP)]，称为双重签名。C将消息{OI，H(PI)，sign[H(OP)]}发给M，将{PI，H(OI)，sign[H(OP)]}发给B。在验证双重签名时，接受者分别创建消息摘要，M生成H(OI)，B生成H(PI)，再分别将H(OI)/H(PI)与另一接受到的摘要H(PI)/H(OI)连接，生成OP及其摘要H(OP)’，接受者M/B用C的RSA公钥解开sign[H(OP)]，得到H(OP)，比较H(OP)’与H(OP)是否相同，如果相同，则表示数据完整且未被篡改，如果不同，则丢弃数据。

　

3．SET交易流程

　

1. 持卡人向商家发初始请求，商家产生初始应答。
   

   持卡人浏览商家的商品，这可以通过使用网上商店或者商家提供的CD-ROM来实现。选好商品后要求在线支付，激发支付软件，向商家发送初始请求。初始请求指定了交易环境，包括持卡人所使用的语言，交易ID，使用的是何种交易卡等。商家接受初始请求，产生初始应答，对初始应答生成消息摘要，对此消息摘要进行数字签名，将商家证书，网关证书，初始应答， 消息摘要的数字签名等，发送给持卡人。由于初始应答未被加密，所以它不应包含机密信息。

   
   
2. 持卡人接受并检查商家的初始应答，如无误，发出购物请求。
   

   持卡人接受初始应答，检查商家证书和网关证书。接着用商家公钥解开消息摘要的数字签名，用HASH算法产生初始应答的摘要，将两者比较，如果相同则表示数据在途中未被篡改，否则丢弃。

   
   

   持卡人发出购物请求，它包含了真正的交易行为。购物请求是协议中最复杂的信息，它包括两个部分：发网商家的定单指令OI和通过商家转发往网关的支付指令PI，通过双重签名将PI和OI结合起来（双重签名见上文说明），生成 sign[H（OP）]。持卡人生成对称密钥，对支付指令PI加密，再用网关的公钥对此对称密钥和持卡人帐号加密，形成数字信封。最后将持卡人证书，OI，PI密文，数字信封，sign[H（OP）]，PI和OI各自的消息摘要等发给商家，其中有消息是通过商家转发给支付网关的。

   
   
3. 商家接受并检查持卡人的购物请求，如无误，发出支付请求。
   

   商家接受持卡人的购物请求，认证持卡人的证书。接着验证双重签名，看数据在传输过程中是否被篡改。如数据完整，则处理定单信息，产生支付请求。

   
   

   将支付请求用HASH算法生成摘要，并签名，网关收到后用商家公钥解密，并确认支付请求是此商家所发在且在途中未被篡改。生成对称密钥对支付请求加密，并用网关公钥加密形成数字信封。最后将商家证书，支付请求密文，商家数字签名，数字信封和持卡人通过商家转发的：sign[H（OP）]，OI摘要，PI密文，持卡人数字信封，持卡人证书等发往支付网关。

   
   
4. 支付网关接受并检查支付请求，如无误，发扣款请求。
   

   支付网关分别检查确认商家发来的数据和持卡人发来的数据。网关首先认证商家证书，然后用私钥打开商家数字信封，获取商家对称密钥， 解开支付请求密文。用HASH算法作用于支付请求，形成摘要，与商家发来的支付请求摘要（解开数字签名所得）相比较，如果相同则表示数据完整，否则丢弃数据。

   
   

   网关检查持卡人证书，然后用私钥打开持卡人数字信封，得到他的帐号和对称密钥。用此对称密钥解开PI密文，得到PI，接着验证双重签名，生成PI的摘要，与OI摘要相连接，再次生成摘要，其结果与H（OP）(解双重签名所得)相比较，如果相同则数据完整，如果不同则丢弃。网关将信息发送往银行。

   
   
5. 银行向网关发送扣款应答，网关向商家发送支付应答。
   

   在支付网关和银行之间是通过金融专用网向连，其间的业务，SET并不作规定。

   
   

   网关在接受银行的扣款应答后，生成支付应答，同样产生摘要，对其进行数字签名，生成对称密钥，对支付应答加密，并且将对称密钥装入数字信封。将网关证书，数字签名，数字信封，支付应答密文一起发往商家。

   
   
6. 商家接受并检查网关的支付应答，如无误，向持卡人发送购物应答。

　

商家认证网关的证书，用私钥打开数字信封，得到网关对称密钥，用此密钥解开支付应答，产生摘要。用网关公钥解开其数字签名，得到支付原始支付应答摘要，并与新产生的摘要比较，如果相同，则数据完整，如果不同则丢弃。

商家产生购物应答，对购物应答生成摘要，并签名，将商家证书，购物应答，数字签名一起发往持卡人。如果交易成功，则发货。

持卡人接受购物应答，验证商家证书。对购去应答产生摘要，用商家公钥解开数字签名，得到原始摘要，将之与新产生的摘要比较，相同则表示数据完整，不同则丢弃。至此，交易流程结束。

关于第二个问题：

X.509是国际电信联盟-电信（ITU-T）部分标准和国际标准化组织（ISO）的证书格式标准。作为ITU-ISO目录服务系列标准的一部分，X.509是定义了公钥证书结构的基本标准。1988年首次发布，1993年和1996年两次修订。当前使用的版本是X.509 V3，它加入了扩展字段支持，这极大地增进了证书的灵活性。X.509 V3证书包括一组按预定义顺序排列的强制字段，还有可选扩展字段，即使在强制字段中，X.509证书也允许很大的灵活性，因为它为大多数字段提供了多种编码方案。X.509 V4版已经推出。

X.509标准在PKI中起到了举足轻重的作用，PKI由小变大，由原来网络封闭环境到分布式开放环境，X.509起了很大作用，可以说X.509标准是PKI的雏形。PKI是在X.509标准基础上发展起来的，研究、学习PKI的人，首先必须学习X.509标准。

第三个问题：

一、DES算法

　　美国国家标准局1973年开始研究除国防部外的其它部门的计算机系统的数据加密标准，于1973年5月15日和1974年8月27日先后两次向公众发出了征求加密算法的公告。加密算法要达到的目的（通常称为 DES 密码算法要求）主要为以下四点： ☆提供高质量的数据保护，防止数据未经授权的泄露和未被察觉的修改；

☆具有相当高的复杂性，使得破译的开销超过可能获得的利益，同时又要便于理解和掌握；

☆DES密码体制的安全性应该不依赖于算法的保密，其安全性仅以加密密钥的保密为基础；

☆实现经济，运行有效，并且适用于多种完全不同的应用。

1977年1月，美国政府颁布：采纳IBM公司设计的方案作为非机密数据的正式数据加密标准（DES棗Data Encryption Standard）。

　　目前在国内，随着三金工程尤其是金卡工程的启动，DES算法在POS、ATM、磁卡及智能卡（IC卡）、加油站、高速公路收费站等领域被广泛应用，以此来实现关键数据的保密，如信用卡持卡人的PIN的加密传输，IC卡与POS间的双向认证、金融交易数据包的MAC校验等，均用到DES算法。
　　DES算法的入口参数有三个：Key、Data、Mode。其中Key为8个字节共64位，是DES算法的工作密钥；Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有两种：加密或解密。
　　DES算法是这样工作的：如Mode为加密，则用Key 去把数据Data进行加密，生成Data的密码形式（64位）作为DES的输出结果；如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明码形式（64 位）作为DES的输出结果。在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如电话网）中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据（如PIN、 MAC等）在公共通信网中传输的安全性和可靠性。
　　通过定期在通信网络的源端和目的端同时改用新的Key，便能更进一步提高数据的保密性，这正是现在金融交易网络的流行做法。
　　DES算法详述
　　DES算法把64位的明文输入块变为64位的密文输出块，它所使用的密钥也是64位，整个算法的主流程图如下：
其功能是把输入的64位数据块按位重新组合，并把输出分为L0、R0两部分，每部分各长32位 ，其置换规则见下表：
58,50,12,34,26,18,10,2,60,52,44,36,28,20,12,4,
　　62,54,46,38,30,22,14,6,64,56,48,40,32,24,16,8,
　　57,49,41,33,25,17, 9,1,59,51,43,35,27,19,11,3,
　　61,53,45,37,29,21,13,5,63,55,47,39,31,23,15,7,
　　即将输入的第58位换到第一位，第50位换到第2位，...，依此类推，最后一位是原来的第7位。L0、R0则是换位输出后的两部分，L0是输出的左 32位，R0 是右32位，例：设置换前的输入值为D1D2D3......D64，则经过初始置换后的结果为：L0=D58D50...D8；R0=D57D49...D7。
　　经过16次迭代运算后。得到L16、R16，将此作为输入，进行逆置换，即得到密文输出。逆置换正好是初始置的逆运算，例如，第1位经过初始置换后，处于第40位，而通过逆置换，又将第40位换回到第1位.其逆置换规则如下表所示：
　　40,8,48,16,56,24,64,32,39,7,47,15,55,23,63,31,
　　38,6,46,14,54,22,62,30,37,5,45,13,53,21,61,29,
　　36,4,44,12,52,20,60,28,35,3,43,11,51,19,59,27,
　　34,2,42,10,50,18,58 26,33,1,41, 9,49,17,57,25,
放大换位表
　　32, 1, 2, 3, 4, 5, 4, 5, 6, 7, 8, 9, 8, 9, 10,11,
　　12,13,12,13,14,15,16,17,16,17,18,19,20,21,20,21,
　　22,23,24,25,24,25,26,27,28,29,28,29,30,31,32, 1,
单纯换位表
　　16,7,20,21,29,12,28,17, 1,15,23,26, 5,18,31,10,
　　2,8,24,14,32,27, 3, 9,19,13,30, 6,22,11, 4,25,
　　从子密钥Ki的生成算法描述图中我们可以看到：初始Key值为64位，但DES算法规定，其中第8、16、......64位是奇偶校验位，不参与 DES运算。故Key 实际可用位数便只有56位。即：经过缩小选择换位表1的变换后，Key 的位数由64 位变成了56位，此56位分为C0、D0两部分，各28位，然后分别进行第1次循环左移，得到C1、D1，将C1（28位）、D1（28位）合并得到56 位，再经过缩小选择换位2，从而便得到了密钥K0（48位）。依此类推，便可得到K1、K2、......、K15，不过需要注意的是，16次循环左移对应的左移位数要依据下述规则进行：
循环左移位数
1,1,2,2,2,2,2,2,1,2,2,2,2,2,2,1
　　以上介绍了DES算法的加密过程。DES算法的解密过程是一样的，区别仅仅在于第一次迭代时用子密钥K15，第二次K14、......，最后一次用K0，算法本身并没有任何变化。
二、DES算法理论图解

DES的算法是对称的，既可用于加密又可用于解密。下图是它的算法粗框图。其具体运算过程有如下七步。

三、DES算法的应用误区　
　　DES算法具有极高安全性，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法。而56位长的密钥的穷举空间为256，这意味着如果一台计算机的速度是每一秒种检测一百万个密钥，则它搜索完全部密钥就需要将近2285年的时间，可见，这是难以实现的，当然，随着科学技术的发展，当出现超高速计算机后，我们可考虑把DES密钥的长度再增长一些，以此来达到更高的保密程度。
　　由上述DES算法介绍我们可以看到：DES 算法中只用到64位密钥中的其中56位，而第8、16、24、......64位8个位并未参与DES运算，这一点，向我们提出了一个应用上的要求，即 DES的安全性是基于除了8，16，24，......64位外的其余56位的组合变化256才得以保证的。因此，在实际应用中，我们应避开使用第 8，16，24，......64位作为有效数据位，而使用其它的56位作为有效数据位，才能保证DES算法安全可靠地发挥作用。如果不了解这一点，把密钥Key的8，16，24，..... .64位作为有效数据使用，将不能保证DES加密数据的安全性，对运用DES来达到保密作用的系统产生数据被破译的危险，这正是DES算法在应用上的误区，留下了被人攻击、被人破译的极大隐患。

第四个问题：

　　允许访问控制
　　通过只允许合法用户访问来达到你的目的
　　最大扩展通信的功能同时最小化黑客访问的可能性
　　当黑客已经访问到你的资源时尽可能地减小破坏性
　　
　　容易使用
　　如果一个安全系统很难使用，员工可能会想办法绕开它
　　合理的花费
　　你不仅要考虑初始的花费还要考虑以后升级所需要的费用，你还要考虑用于管理所要花的费用；需要多少员工，达到什么样的水平来成功的实施和维护系统。
　　灵活性和伸缩性
　　你的系统要能让你的公司按其想法做一些商业上的事情你的系统要随着公司的增长而加强
　　优秀的警报和报告
　　当一个安全破坏发生时，系统要能快速地通知管理员足够详细的内容
　　要配置系统尽可能正确地对你发出警告。可以通过Email，计算机屏幕，pager等等来发出通知。
　　安全机制
　　根据ISO提出的，安全机制是一种技术，一些软件或实施一个或更多安全服务的过程。
　　ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管你可以通过使用加密来保证数据的保密性，数据的完整性和不可否定性，但实施在每种服务时你需要不同的加密技术。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层上。普通的机制包括：
　　· 信任的功能性：指任何加强现有机制的执行过程。例如，当你升级你的TCP/IP堆栈或运行一些软件来加强你的Novell，NT,unix系统认证功能时，你使用的就是普遍的机制。
　　· 事件检测：检查和报告本地或远程发生的事件
　　· 审计跟踪：任何机制都允许你监视和记录你网络上的活动
　　· 安全恢复：对一些事件作出反应，包括对于已知漏洞创建短期和长期的解决方案，还包括对受危害系统的修复。
　　额外的安全标准
　　除了ISO 7498-2还存在一些其它政府和工业标准。主要包括
　　· British Standard 7799：概括了特殊的“控制”，如系统访问控制和安全策略的使用以及物理安全措施。目的为了帮助管理者和IT专家建立程序来保持信息的安全性。
　　· 公共标准
　　· 桔皮书（美国）
　　桔皮书
　　为了标准化安全的级别，美国政府发表了一系列的标准来定义一般安全的级别。这些标准发表在一系列的书上通常叫做“彩虹系列”，因为每本书的封面的颜色都是不同的。由为重要的是桔皮书。它定义了一系列的标准，从D级别开始（最低的级别）一直到A1（最安全）级。

第五个问题

访问控制列表主要可以分为以下两种：

　　A、标准访问控制列表：标准访问控制列表只能够检查可被路由的数据包的源地址，根据源网络、子网、主机IP地址来决定对数据包的拒绝或允许，使用的局限性大，其序列号范围是1-99。

　　B、扩展访问控制列表：扩展访问控制列表能够检查可被路由的数据包的源地址和目的地址，同时还可以检查指定的协议、端口号和其他参数，具有配置灵活、精确控制的特点，其序列号的范围是100-199。

　　以上两种类型都可以基于序列号和命名来配置，我们建议使用命名来配置访问控制列表，这样在以后的修改中也是很方便的。

访问控制列表具有什么样的特点？
　　A、它是判断语句，只有两种结果，要么是拒绝(deny),要么是允许(permit)；

　　B、它按照由上而下的顺序处理列表中的语句；

　　C、处理时，不匹配规则就一直向下查找，一旦找到匹配的语句就不再继续向下执行；

　　D、在思科中默认隐藏有一条拒绝所有的语句，也就默认拒绝所有(any);

　　由上面的特点可以总结出，访问控制列表中语句的顺序也是非常重要的，另外就是所配置的列表中必须有一条允许语句。