網(wǎng)絡(luò)安全培訓(xùn)課程(共98頁).ppt

1、第8章 網(wǎng)絡(luò)平安(2) 本章內(nèi)容28.4 網(wǎng)絡(luò)平安協(xié)議網(wǎng)絡(luò)層平安協(xié)議Ipsec8.4.2 傳輸層平安協(xié)議SSL8.4.3 電子郵件平安協(xié)議PGP8.4.4 無線局域網(wǎng)的平安協(xié)議802.11i8.5 平安標(biāo)準(zhǔn)與法律法規(guī)l網(wǎng)絡(luò)通信的平安性依靠什么保證？l網(wǎng)絡(luò)平安協(xié)議跟網(wǎng)絡(luò)協(xié)議體系的層次有什么關(guān)系？l網(wǎng)絡(luò)平安協(xié)議主要有哪些？8.4 網(wǎng)絡(luò)平安協(xié)議l網(wǎng)絡(luò)層平安協(xié)議IPsecl傳輸層平安協(xié)議SSL Security Socket Layerl電子郵件平安協(xié)議PGP Pretty Good Privacyl無線局域網(wǎng)的平安協(xié)議802.11i網(wǎng)絡(luò)層平安協(xié)議IPsecl應(yīng)用于網(wǎng)絡(luò)層IP報文數(shù)據(jù)平安的一整套體系結(jié)

2、構(gòu)。lIPsec的體系結(jié)構(gòu)：l鑒別首部Authentication Head，AH協(xié)議l封裝平安有效載荷Encapsulation Security Payload，ESP協(xié)議l解釋域Domain of Interpretation，DOI文檔l密鑰管理Internet Key Exchange，IKE協(xié)議l用于網(wǎng)絡(luò)驗證及加密的一些算法等。IPsec體系結(jié)構(gòu)圖平安關(guān)聯(lián)l平安關(guān)聯(lián)Security Association，SA是從源主機到目的主機的立一條網(wǎng)絡(luò)層的邏輯連接。l平安關(guān)聯(lián)是通信對等方之間對某些要素的一種協(xié)定：采用哪種IPSec協(xié)議、協(xié)議的操作模式傳輸模式和隧道模式、密碼算法、密鑰、密鑰的

3、生存期等等。l平安關(guān)聯(lián)是單向的，因此輸入和輸出的數(shù)據(jù)流需要獨立的SA。如果同時使用AH和ESP來保護(hù)對等方之間的數(shù)據(jù)流，那么需要兩個SA：一個用于AH，一個用于ESP。平安關(guān)聯(lián)的三個局部一個平安關(guān)聯(lián)SA由以下參數(shù)惟一確定：平安協(xié)議的標(biāo)識符：說明SA使用的是AH協(xié)議還是ESP協(xié)議。單向連接的目的IP地址：接收實體的IP地址。平安參數(shù)索引Security Parameter Index，SPI：每個IPSec數(shù)據(jù)報首部 AH或ESP都有32bit的SPI字段。同一SA的所有數(shù)據(jù)報SPI值相同。接收方通過SPI、目的IP地址和平安協(xié)議標(biāo)識來搜索平安關(guān)聯(lián)數(shù)據(jù)庫Security Association

4、Database，SAD，確定與該數(shù)據(jù)報相關(guān)聯(lián)的SA。解釋域l解釋域Domain of Interpretation，DOI定義AH協(xié)議和ESP協(xié)議載荷中各字段的取值規(guī)那么，保證通信雙方對通信消息有一致的解釋。l具體定義雙方必須支持的平安策略，規(guī)定所采用的句法，命名相關(guān)平安效勞信息時的方案，包括加密算法，密鑰交換算法，平安策略特性和認(rèn)證中心等。密鑰管理IKE協(xié)議l主要功能：建立和管理SA，協(xié)商平安策略。lSA通過密鑰管理協(xié)議IKE在通信對等方之間進(jìn)行協(xié)商，以使雙方確定：l封裝形式AH或者ESPl加密算法及密鑰l密鑰的生存期l身份驗證算法等鑒別首部AHl主要提供完整性和認(rèn)證鑒別功能。l使用AH時

5、，將AH首部插在原數(shù)據(jù)報數(shù)據(jù)局部的前面，同時將IP首部中的協(xié)議字段設(shè)為51。l在傳輸過程中，中間的路由器不查看AH首部。當(dāng)數(shù)據(jù)報到達(dá)目的站時，目的站主機才處理AH字段，以鑒別源主機和檢查數(shù)據(jù)報的完整性。AH在平安IP報文中的位置鑒別首部AH格式l下一個首部8bit：標(biāo)識緊接著本首部的下一個首部的類型如TCP或UDP。l有效載荷長度8bit：即鑒別數(shù)據(jù)字段的長度。l平安參數(shù)索引SPI32bit：標(biāo)識一個平安關(guān)聯(lián)。l序列號32bit：單調(diào)遞增的計數(shù)值，用來檢測重放攻擊，以32bit字為單位。l保存16bit：預(yù)留將來使用，值設(shè)為0。l鑒別數(shù)據(jù)可變：為32bit字的整數(shù)倍，默認(rèn)長度為96bit。包含

6、經(jīng)數(shù)字簽名的報文摘要?？捎脕龛b別源主機和檢查IP數(shù)據(jù)報的完整性。AH的工作過程l發(fā)送發(fā)送IP數(shù)據(jù)報時，首先確定目的數(shù)據(jù)報時，首先確定目的IP地址和選擇一地址和選擇一個平安參數(shù)索引個平安參數(shù)索引SPI，然后產(chǎn)生一個，然后產(chǎn)生一個SA，使用這，使用這個個SA的算法和密鑰計算整個的算法和密鑰計算整個IP數(shù)據(jù)報的散列如數(shù)據(jù)報的散列如MD5填入填入AH首部的鑒別數(shù)據(jù)局部，然后發(fā)送。首部的鑒別數(shù)據(jù)局部，然后發(fā)送。l接收該數(shù)據(jù)報時，首先提取鑒別首部的信息，然接收該數(shù)據(jù)報時，首先提取鑒別首部的信息，然后根據(jù)后根據(jù)SPI值決定采用什么值決定采用什么SA及其參數(shù)進(jìn)行驗證，及其參數(shù)進(jìn)行驗證，按同樣方式計算按同樣方式

7、計算IP數(shù)據(jù)報的散列，最后比較這個數(shù)據(jù)報的散列，最后比較這個散列是否與鑒別首部中的散列一致。如果一致，散列是否與鑒別首部中的散列一致。如果一致，那么驗證了那么驗證了IP數(shù)據(jù)報的完整性。數(shù)據(jù)報的完整性。封裝平安有效載荷ESPl鑒別首部AH可以提供完整性和認(rèn)證功能，但不能確保數(shù)據(jù)的保密性。l封裝平安有效載荷ESP不僅可以提供完整性和認(rèn)證功能外，還可以確保IP數(shù)據(jù)報的保密性。ESP在平安IP報文中的位置封裝平安有效載荷ESPl在ESP首部中，包括一個平安關(guān)聯(lián)的平安參數(shù)索引SPI32bit和序號32bit。在ESP尾部中有下一個首部8bit，作用和AH首部一樣。lESP尾部和原來數(shù)據(jù)報的數(shù)據(jù)局部一起進(jìn)

8、行加密，因此攻擊者無法得知所使用的傳輸層協(xié)議。lESP的認(rèn)證數(shù)據(jù)和AH中的鑒別數(shù)據(jù)是一樣的。l用ESP封裝的數(shù)據(jù)報既有鑒別源站和檢查數(shù)據(jù)報完整性的功能，又能提供保密。ESP工作過程l發(fā)送端在發(fā)送IP數(shù)據(jù)時，也是首先確定目的IP地址和選擇SPI值，產(chǎn)生一個SA，然后用SA中的加密算法加密上層數(shù)據(jù)。假設(shè)加密整個IP報文，需要在ESP首部前面再加上一個明文IP頭用于路由。l接收端接到該數(shù)據(jù)報時，提取ESP中的SPI值，確定發(fā)送端采用的SA，然后用SA的算法為數(shù)據(jù)解密和進(jìn)行驗證。IPSec的工作模式lIPSec有兩種工作模式：l傳輸模式Transport Model隧道模式Tunnel Model如以

9、下圖所示。IPSec的工作模式l傳輸模式主要對上層數(shù)據(jù)進(jìn)行保護(hù)，隧道模式用來保護(hù)整個IP數(shù)據(jù)報。l在傳輸模式中，IP首部與上層協(xié)議首部之間嵌入IPSec首部。l在隧道模式中，要保護(hù)的整個IP數(shù)據(jù)報都封裝到另一個IP數(shù)據(jù)報里，同時在外部IP首部與內(nèi)部IP首部之間嵌入IPSec首部。IPSec的隧道模式為構(gòu)建一個虛擬專用網(wǎng)Virtual Private Network，VPN創(chuàng)造了根底。IPSec的應(yīng)用VPN l在防火墻上實現(xiàn)IPSec，能更好地實現(xiàn)VPN的功能。l可以把一個分散于不同地點的網(wǎng)絡(luò)虛擬成一個內(nèi)部網(wǎng)絡(luò)。而且，它具有開放性，可以在確保平安的條件下與外部的用戶進(jìn)行交互。IPSec的應(yīng)用網(wǎng)關(guān)

10、 lIPSec可以用于網(wǎng)關(guān)到主機通信以及網(wǎng)關(guān)到網(wǎng)關(guān)通信。l在網(wǎng)關(guān)模式中，網(wǎng)關(guān)參與整個會話的鑒別過程，IPsec處理過程對內(nèi)部主機透明。隧道模式通常用在利用網(wǎng)關(guān)的通信中，如上面所說的IPsec VPN等。lIPSec增加了系統(tǒng)的復(fù)雜性，而且，IPSec 不支持對非IP協(xié)議的封裝，在非隧道模式下也不能保護(hù)通信流量的隱蔽性。8.4.2 傳輸層平安協(xié)議SSLlNetscape公司于1994年提出。l傳輸層平安協(xié)議，可以用于任何面向連接的平安通信。l高層的應(yīng)用層協(xié)議如HTTP、FTP、Telnet等能透明地建立于SSL協(xié)議之上。l廣泛用于平安Web應(yīng)用的HTTP協(xié)議，稱為 s, s 一般不再工作于默認(rèn)的

11、80端口。 SSL協(xié)議體系結(jié)構(gòu)lSSL記錄協(xié)議：封裝所有SSL通信包括握手消息、報警消息和應(yīng)用數(shù)據(jù)，提供保密性和完整性效勞。lSSL握手協(xié)議：創(chuàng)立SSL會話。定義平安參數(shù)，建立C/S之間的平安關(guān)聯(lián)。lSSL修改加密標(biāo)準(zhǔn)協(xié)議：允許通信雙方在通信過程中更換密碼算法或參數(shù)，給出算法的名稱和參數(shù)。lSSL報警協(xié)議：是管理協(xié)議，通知對方可能出現(xiàn)的問題。SSL會話lSSL會話是由握手協(xié)議創(chuàng)立。lSSL會話狀態(tài)：會話狀態(tài)可以分為兩種：l待決狀態(tài)pending statel當(dāng)前操作狀態(tài)current operating statelSSL會話定義一系列的平安參數(shù)，為客戶機和效勞器之間建立關(guān)聯(lián)。l具體有6個SS

12、L會話狀態(tài)參數(shù)：SSL會話的狀態(tài)參數(shù)l會話標(biāo)識符Session Identifier：由效勞器選擇的一個隨機字節(jié)序列，標(biāo)識活動的會話狀態(tài)。l對等實體證書Peer Certificate：對等實體的X.509 V3證書，該參數(shù)可為空。l壓縮方法Compression Method：在加密之前使用的壓縮數(shù)據(jù)的算法。l加密標(biāo)準(zhǔn)Cipher Spec：加密算法DES，3DES，IDEA等、消息摘要算法MD5，SHA-1等以及相關(guān)參數(shù)。 l主密鑰Master Secret：由客戶機和效勞器共享，是一個48字節(jié)長的密碼。l是否可恢復(fù)Is Resumable：用于指示會話是否可以用于初始化新的連接。SSL連

13、接lSSL連接是一個雙向連接，每個連接都和一個SSL會話相關(guān)。lSSL連接成功后，即可進(jìn)行平安保密通信。l與SSL會話一樣，SSL連接也有狀態(tài)，用于記錄與連接相關(guān)的平安參數(shù)。lSSL連接狀態(tài)記錄與連接相關(guān)的平安參數(shù)：SSL的連接參數(shù)l效勞器和客戶機隨機數(shù)Server and Client Random：是效勞器和客戶機為每個連接選擇的一個用于標(biāo)識的字節(jié)序列，包含一個32bit的時間戳以及一個28B的隨機數(shù)，用來防止在密鑰交換過程中遭受重放攻擊。l效勞器寫MAC密鑰Server Write MAC Secret：效勞器對發(fā)送數(shù)據(jù)進(jìn)行MAC生成操作時使用的加密密鑰，長度為128bit。l客戶機寫M

14、AC密鑰Client Write MAC Secret：客戶機對發(fā)送數(shù)據(jù)進(jìn)行MAC生成操作時使用的加密密鑰，長度是128bit。 l效勞器寫密鑰Server Write Key：對稱密鑰，用于從效勞器到客戶機的數(shù)據(jù)的加密，也用于客戶端解密，長度為128bit。l客戶機寫密鑰Client Write Key：對稱密鑰，用于從客戶機到效勞器的數(shù)據(jù)的加密，也用于效勞器端解密，長度為128bit。l初始化向量Initialization Vector：數(shù)據(jù)加解密時的初始化向量。l序列號Sequence Numbers：通信雙方為對方傳送和接收的消息保存的唯一序列號，其最大值為2641。SSL的平安效勞

15、特性l使用對稱密碼算法對SSL連接上傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密l使用公鑰密碼技術(shù)進(jìn)行客戶機和效勞器通信實體身份的鑒別和會話密鑰的協(xié)商。lSSL提供的面向連接的平安效勞具有以下特性：l1機密性：協(xié)議能夠在客戶端和效勞器之間建立起一個平安通道，用對稱密碼如DES對數(shù)據(jù)進(jìn)行加密后再進(jìn)行傳輸，并且由接收方軟件解密，以提供高度的機密性。2可鑒別性：利用證書技術(shù)和可信的第三方認(rèn)證，可以讓客戶端和效勞器相互識別對方的身份。3完整性：利用密碼算法和Hash函數(shù)，通過對傳輸信息特征值的提取來保證信息的完整性，確保要傳輸?shù)男畔⑷康竭_(dá)目的地，防止效勞器和客戶端之間的信息受到破壞。SSL的平安機制SSL中使用的平安機制

16、包括加密機制、數(shù)據(jù)簽名機制、數(shù)據(jù)完整性機制、交換鑒別機制和公證機制。加密機制提供多種不同強度的加密算法：DES，Triple-DES，RC4，IDEA等，對應(yīng)用層及握手?jǐn)?shù)據(jù)加密傳輸。加密所用的密鑰由消息散列函數(shù)MD5產(chǎn)生。數(shù)據(jù)簽名機制在握手過程中交換各自的證書以確定對方身份。證書由認(rèn)證中心CA簽名。 l數(shù)據(jù)完整性機制數(shù)據(jù)完整性機制lSSL協(xié)議使用報文鑒別碼協(xié)議使用報文鑒別碼MAC來保證數(shù)據(jù)完整性。來保證數(shù)據(jù)完整性。在記錄協(xié)議中，密文與在記錄協(xié)議中，密文與MAC一起被發(fā)送到收方，收一起被發(fā)送到收方，收方收到數(shù)據(jù)后校驗。方收到數(shù)據(jù)后校驗。l鑒別交換機制鑒別交換機制lSSL協(xié)議使用基于密碼的鑒別交換

17、機制，用于確認(rèn)協(xié)議使用基于密碼的鑒別交換機制，用于確認(rèn)實體身份，與數(shù)字簽名和公證機制一起使用。實體身份，與數(shù)字簽名和公證機制一起使用。l公證證書機制公證證書機制l真正傳輸數(shù)據(jù)之前，首先交換證書以確認(rèn)身份。真正傳輸數(shù)據(jù)之前，首先交換證書以確認(rèn)身份。雙方的證書都由雙方的證書都由CA產(chǎn)生，并用產(chǎn)生，并用CA證書驗證。證書驗證。SSL握手協(xié)議lSSL握手協(xié)議是SSL中最復(fù)雜的協(xié)議。l應(yīng)用程序傳輸數(shù)據(jù)前必須通過握手協(xié)議相互鑒別對方的身份，商定使用哪一組密碼算法。l握手協(xié)議定義了一系列客戶與效勞器之間交互的報文，握手協(xié)議的消息包括三個字段：消息類型、長度和內(nèi)容。l握手協(xié)議過程可以分成4個階段完成，如以下圖

18、所示。 開始邏輯連接效勞器認(rèn)證和密鑰交換客戶認(rèn)證和密鑰交換結(jié)束握手過程SSL握手協(xié)議工作過程第1階段：開始邏輯連接，商定雙方將使用的密碼算法。這個過程由客戶端發(fā)起。1客戶端首先向效勞器端發(fā)送一個Client_Hello消息，該消息包括如下參數(shù)：版本號vc：它是客戶端主機安裝的SSL最高版本號，比方vc=3。隨機數(shù)rc：客戶端偽隨機數(shù)發(fā)生器秘密產(chǎn)生的二元字符串，共32字節(jié)，包括一個4字節(jié)長的時間戳和一個28字節(jié)長的現(xiàn)時數(shù)，用于防御舊信重放攻擊。l會話標(biāo)識Sc：Sc=0表示客戶希望在新的傳輸會話階段上建立新的SSL連接，其它數(shù)值表示客戶希望在目前的傳輸會話階段上建立新的SSL連接，或只是更新已建立

19、的SSL連接。SSL連接由雙方商定的密碼算法、參數(shù)和壓縮算法決定。l壓縮算法：它是客戶端主機支持的所有壓縮算法按優(yōu)先次序的排列，比方ZIP、PKZIP等壓縮算法。l密碼組：客戶端支持的所有公鑰密碼算法、常規(guī)加密算法和散列函數(shù)算法的三個優(yōu)先序列，按優(yōu)先順序排列，排在第一位的密碼算法是客戶主機最希望使用的算法。l例如， 三種密碼算法的優(yōu)先序列分別為RSA、ECC、Diffie-Hellman；AES-128、3DES/3、RC5；SHA-512、SHA-1、MD5，那么說明，在認(rèn)證、數(shù)據(jù)加密和消息完整性驗證方面，客戶端最希望選用的三種算法分別是：RSA、AES-128和 SHA-512。2效勞器端

20、向客戶端回送響應(yīng)消息Server_Hello，它包括如下參數(shù)：版本號vs：vs=minvc, v，v是效勞器主機安裝的SSL最高版本號。隨機數(shù)rs：它是由效勞器程序的偽隨機數(shù)發(fā)生器秘密產(chǎn)生的二元字符串，共32字節(jié)，包括一個4字節(jié)長的時間戳和一個28字節(jié)長的現(xiàn)時數(shù)。會話標(biāo)識Ss：如果Sc=0，那么Ss等于新階段號，否那么，Ss=Sc。l密碼組：它是效勞器主機從客戶密碼組中選取的一個公鑰密碼算法、一個常規(guī)加密算法和一個散列函數(shù)算法，比方，RSA、AES、SHA-1。l壓縮算法：它是客戶端主機從客戶壓縮算法中選取的壓縮算法。l接收到Server_Hello后，連接建立，第1階段完成。第2階段：效勞器

21、認(rèn)證和密鑰交換。效勞器向客戶端發(fā)送如下消息：1效勞器公鑰證書Server_Certificate。2效勞器端密鑰交換消息Server_Key_Exchange。3請求客戶端公鑰證書Certificate_Request。4完成效勞器問候Server_Hello_Done。 如果客戶需要認(rèn)證效勞器，需要效勞器在這個階段發(fā)送其證書。Server_Hello_Done表示與效勞器Server_Hello相關(guān)的消息已發(fā)送完畢。效勞器將等待客戶的響應(yīng)。第2階段完成。第3階段：客戶認(rèn)證和密鑰交換?？蛻舳耸盏叫谄鞯腟erver_Hello_Done后，驗證效勞器證書，檢查效勞器提供的參數(shù)是否可以接受，假設(shè)

22、滿足，客戶端向效勞器發(fā)送如下消息：1客戶公鑰證書Client_Certificate。2客戶端密鑰交換消息Client_Key_Exchange。3客戶證書驗證消息Certificate_Verify。如果效勞器沒有請求客戶公鑰證書，那么第1步和第3步可以省去。第3階段完成。 第4階段：結(jié)束握手過程。1客戶發(fā)送改變密鑰標(biāo)準(zhǔn)Change_Cipher_Spec消息，把協(xié)商的密碼算法列表復(fù)制到當(dāng)前連接狀態(tài)中。2客戶用新的算法、密鑰參數(shù)發(fā)送Finished消息，其中包括校驗值，檢查密鑰交換和認(rèn)證過程是否成功 。3效勞器接收到1后，也發(fā)送Change_Cipher_Spec。4效勞器接收到2后，同樣發(fā)

23、送Finished消息。SSL握手過程完成，建立起了一個平安的連接，客戶端和效勞器可以平安地交換應(yīng)用層數(shù)據(jù)。SSL記錄協(xié)議lSSL記錄協(xié)議為SSL連接提供保密性和完整性兩種效勞。l所有的SSL通信包括握手消息、報警消息和應(yīng)用數(shù)據(jù)都使用SSL記錄層封裝。lSSL記錄是由記錄頭和長度不為0的記錄數(shù)據(jù)組成。lSSL記錄協(xié)議的工作過程包括：l分段l生成MACl加密l壓縮等步驟。 SSL記錄協(xié)議工作過程SSL記錄協(xié)議工作過程設(shè)M為客戶要發(fā)送的數(shù)據(jù)，記錄協(xié)議操作步驟：1首先將M分成假設(shè)干長度不大于16384214字節(jié)的分段M1，M2，Mk。2然后根據(jù)實際需要，對每段Mi用雙方在SSL握手協(xié)議第1階段中商定

24、的壓縮函數(shù)壓縮成 。壓縮操作是可選步驟。3用密鑰KC, HMAC和雙方在SSL握手協(xié)議第1階段中商定的散列函數(shù)算出壓縮段 的消息驗證碼HMAC( )，并加在 的后面。iMiMiMiM 4壓縮的報文添加MAC后，再對其進(jìn)行加密。即用密鑰KC, E和雙方在SSL握手協(xié)議第1階段中商定的常規(guī)加密算法將 加密得Ci。5使用SSL記錄協(xié)議對Ci進(jìn)行封裝，即在Ci的前面加上一個SSL記錄協(xié)議首部。效勞器收到客戶送來的SSL記錄協(xié)議包后，對其進(jìn)行反向操作，即首先將Ci解密得 ，然后驗證HMAC，最后將 解壓復(fù)原成Mi。從效勞器發(fā)送的數(shù)據(jù)也按上述步驟進(jìn)行處理。)(|iiMHMACM)(|iiMHMACMiM8

25、.4.3 電子郵件平安協(xié)議PGPlSMTP協(xié)議不提供加密效勞，攻擊者可以在郵件傳輸過程中截獲數(shù)據(jù)，造成信息泄露。l主要有兩種平安電子郵件協(xié)議：lPGPPretty Good PrivacylS/MIMESecure Multi-Part Intermail Mail Extension。l平安電子郵件協(xié)議的主要功能是身份的認(rèn)證和傳輸數(shù)據(jù)的加密。電子郵件平安協(xié)議PGPl用于對存儲在計算機上的文件和電子郵件進(jìn)行加密，l還可以對文件或電子郵件作數(shù)字簽名，鑒定人可以用起草人的公開密鑰鑒別真?zhèn)?。l為用戶管理密鑰，可以為用戶配制公開和秘密密鑰對，允許用戶把所知的公開密鑰簽名并分發(fā)給其他人，取消或停用失效或

26、泄密的密鑰。PGP的特點PGP有以下幾個特點：1平安性好?？梢灾С?024位的公開密鑰與128位的傳統(tǒng)密鑰加密。2加密速度快。PGP保持了IDEA算法速度快的優(yōu)勢。3可移植性好，可以在DOS、Windows、OS/2、LINUX和UNIX等操作系統(tǒng)和多種硬件平臺下運行。4軟件和源代碼免費，可以節(jié)省開支、削減系統(tǒng)預(yù)算。PGP加密算法lPGP加密算法由四局部組成：l1單密鑰加密算法IDEA。發(fā)送者使用該算法加密文件，加密密鑰由隨機數(shù)產(chǎn)生器產(chǎn)生。l2公鑰加密算法RSA。用于生成用戶的私人密鑰和公開密鑰，對單密鑰進(jìn)行加密、簽名文件。l3單向散列算法MD5。用于單向變換用戶口令及對信息簽名，以保證信件內(nèi)

27、容無法被修改。l4隨機數(shù)產(chǎn)生器。利用ANSI X9.17發(fā)生器和從用戶擊鍵時間和序列中計算熵值而引入隨機性，產(chǎn)生對稱加密算法中的密鑰。PGP的工作原理PGP的工作過程l假設(shè)用戶A向用戶B發(fā)送一個電子郵件明文P，A和B都有RSA算法的秘密密鑰Dx和公開密鑰Ex，都有對方的公開密鑰。其加密過程如下：l1明文P首先經(jīng)過MD5運算，再用A的RSA的秘密密鑰DA對報文摘要MD5進(jìn)行加密，得出H。l2RSA的輸出H和明文P拼接在一起，生成P1。l3經(jīng)ZIP程序?qū)1進(jìn)行壓縮，得到P1.Z。l4對P1.Z進(jìn)行IDEA加密，使用一次一密的加密密鑰，即128bit的KM。此外，密鑰KM再經(jīng)過RSA加密，其密鑰是

28、B的公開密鑰EB。5將加密后的KM與加密后的P1.Z拼接在一起，用base64進(jìn)行編碼，然后得出ASCII碼的文本只包含52個字母、10個數(shù)字和3個符號+、/、=發(fā)送到因特網(wǎng)上。6用戶B收到加密的郵件后，先進(jìn)行base64解碼，并用其RSA秘密密鑰解出IDEA的密鑰KM 。用KM恢復(fù)出P1.Z。對P1.Z進(jìn)行解壓后，復(fù)原出P1。將明文P和加密的MD5分開，并用A的公開密鑰解出MD5。假設(shè)與B自己解出的MD5一致，那么可以認(rèn)為P是從A發(fā)來的郵件。PGP加密算法lPGP兩個地方使用了RSA：數(shù)字簽名對128bit的MD5加密和對128bit的IDEA密鑰加密。雖然RSA運算效率不高，但這里只對25

29、6bit進(jìn)行運算。l公開密鑰算法支持3種RSA密鑰長度：384bit偶爾使用，512bit商業(yè)用和1024bit軍用。l傳統(tǒng)加密算法支持128位密鑰長度，完全滿足電子郵件的平安性要求。lPGP很難被攻破。根據(jù)計算，僅破譯其中的RSA局部密鑰為1024bit長，使用1000MIPS的計算機就需要3億年。PGP報文的組成lPGP報文由三個局部組成：lIDEA密鑰局部，包括：用于郵件加密的密鑰KM、接收方公鑰EB的標(biāo)識符用戶可能擁有多個公鑰, 需要指明是哪一個公鑰。l簽名局部，包括：簽名首部，時間戳，發(fā)信人公鑰EA的標(biāo)識符，類型標(biāo)識所使用的算法、報文摘要。l報文局部，包括：報文首部、收信人將信件存盤

30、時的默認(rèn)文件名、時間戳、報文。PGP的報文格式PGP的密鑰管理l密鑰管理是PGP系統(tǒng)的一個關(guān)鍵。l發(fā)送和接收雙方用戶都需要維持兩個數(shù)據(jù)結(jié)構(gòu)：l秘密密鑰環(huán)private key ring：存儲自己所擁有的秘密密鑰-公開密鑰對；l公開密鑰環(huán)public key ring。存儲用戶的一些經(jīng)常通信對象的公開密鑰。l為了使用戶可經(jīng)常更換密鑰，每一對密鑰有對應(yīng)的標(biāo)識符。發(fā)信人將此標(biāo)識符通知收信人，使收信人知道用哪一個公開密鑰進(jìn)行解密。8.4.4 無線局域網(wǎng)的平安協(xié)議802.11il802.11i解決802.11標(biāo)準(zhǔn)中的平安性問題。l定義健壯平安網(wǎng)絡(luò)Robust Security Network，RSNl制

31、定了兩種數(shù)據(jù)加密機制：l臨時密鑰完整性協(xié)議lTemporal Key Integrity Protocol，TKIPl計數(shù)器模式和密碼塊鏈消息身份認(rèn)證代碼協(xié)議Counter Mode/CBC MAC Protocol，CCMP數(shù)據(jù)加密協(xié)議TKIPl是一種對傳統(tǒng)設(shè)備上的WEP算法進(jìn)行加強的協(xié)議，它可使用戶在不更新硬件設(shè)備的情況下，提升系統(tǒng)的平安性。lTKIP基于RC4加密算法，將WEP密鑰的長度由40位增加到128位，初始化向量的長度由24位增加到48位，并對WEP進(jìn)行了改進(jìn)，提高了加密強度。數(shù)據(jù)加密協(xié)議CCMPlIEEE 802.11i強制使用的加密方式，為WLAN提供了加密、認(rèn)證、完整性效勞

32、。 l基于AES標(biāo)準(zhǔn)Advanced Encryption Standard，CCMP中的AES使用的是128位密鑰，它的加密塊大小是128位。l需要每個會話都使用一個新的暫時密碼，每個報文含有不同的序列號，所以能夠防止重放攻擊。具有很好的抗密碼分析攻擊的性能。訪問控制lIEEE802.11i中的訪問控制由認(rèn)證、授權(quán)和接入控制三個局部配合完成：l認(rèn)證：使用IEEE802.1x認(rèn)證協(xié)議l授權(quán)：使用EAP協(xié)議l接入控制訪問控制：使用RADIUS協(xié)議。l IEEE 802.1x認(rèn)證協(xié)議：基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn)，其初衷是對有線網(wǎng)絡(luò)提供接入控制。并非專門針對WLAN設(shè)計，但它提供了可靠的用戶認(rèn)證和密

33、鑰分發(fā)框架，因此也可對802.11無線網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證和訪問控制。 IEEE 802.1x的認(rèn)證模型l其認(rèn)證模型包含三個實體：l申請者Supplicantl認(rèn)證者Authenticatorl認(rèn)證效勞器Authentication Server)l申請者：一般為一個用戶終端系統(tǒng)，裝有申請者客戶端軟件，發(fā)起IEEE802.1x協(xié)議的認(rèn)證過程。申請者到認(rèn)證者采用EAPoL協(xié)議(Extensible Authentication Protocol over LAN)，因此申請者系統(tǒng)需要支持EAPoL協(xié)議。 l認(rèn)證者：即無線網(wǎng)絡(luò)中的接入點認(rèn)證者：即無線網(wǎng)絡(luò)中的接入點Access Point，AP，

34、一般有兩個邏輯端口：，一般有兩個邏輯端口：l非受控端口：主要用來傳遞非受控端口：主要用來傳遞EAPoL協(xié)議幀，始終協(xié)議幀，始終處于雙向連通狀態(tài)，保證申請者始終可以發(fā)出或處于雙向連通狀態(tài)，保證申請者始終可以發(fā)出或接受認(rèn)證。接受認(rèn)證。l受控端口：在認(rèn)證通過時才翻開，用于傳遞網(wǎng)絡(luò)受控端口：在認(rèn)證通過時才翻開，用于傳遞網(wǎng)絡(luò)資源和效勞。受控端口可配置為雙向受控和僅輸資源和效勞。受控端口可配置為雙向受控和僅輸入受控兩種方式。如果用戶未通過認(rèn)證，那么受入受控兩種方式。如果用戶未通過認(rèn)證，那么受控端口處于未認(rèn)證狀態(tài)，用戶無法訪問認(rèn)證系統(tǒng)控端口處于未認(rèn)證狀態(tài)，用戶無法訪問認(rèn)證系統(tǒng)提供的效勞。提供的效勞。 l認(rèn)證

35、效勞器：是支持認(rèn)證效勞器：是支持AAAAuthentication、Authorization和和Accounting協(xié)定的協(xié)定的RADIUS效勞器，可存儲有關(guān)用戶的信息，比方用戶名、效勞器，可存儲有關(guān)用戶的信息，比方用戶名、密碼、訪問流量和時間、用戶的訪問控制列表等。密碼、訪問流量和時間、用戶的訪問控制列表等。l在在802.1x協(xié)議中，認(rèn)證者在申請者和認(rèn)證效勞器協(xié)議中，認(rèn)證者在申請者和認(rèn)證效勞器之間起傳遞認(rèn)證信息的作用，這樣就將申請者和之間起傳遞認(rèn)證信息的作用，這樣就將申請者和認(rèn)證效勞器從邏輯上分開，增強了認(rèn)證過程的平認(rèn)證效勞器從邏輯上分開，增強了認(rèn)證過程的平安性。安性。 可擴展認(rèn)證協(xié)議EA

36、P及LAN擴展EAPoL lEAPExtensible Authentication Protocol ：可擴展認(rèn)證協(xié)議只定義了認(rèn)證框架，具有良好的可擴展性，實際的認(rèn)證過程取決于框架內(nèi)填充的認(rèn)證方法。lEAPoLEAP over LAN) ： 局域網(wǎng)上的EAP 。在原有的EAP報文外面增加一層封裝，使得EAP報文適合在局域網(wǎng)傳輸。lEAP的層次關(guān)系如以下圖所示 EAP的層次關(guān)系 RADIUS協(xié)議協(xié)議l遠(yuǎn)程撥號接入用戶認(rèn)證效勞協(xié)議Remote Authentication Dial In User Service， RADIUS 最初為撥號網(wǎng)絡(luò)設(shè)計，是一個應(yīng)用普遍的AAA用戶身份認(rèn)證、授權(quán)、計費

37、協(xié)議。l在 IEEE 802.1x 協(xié)議體系中，當(dāng)認(rèn)證效勞器得到客戶端的認(rèn)證信息后，便采用 RADIUS 協(xié)議對客戶端的身份進(jìn)行識別。動態(tài)密鑰管理l密鑰管理系統(tǒng)的三個邏輯實體：l 申請者無線工作站STAl 認(rèn)證者接入點APl 認(rèn)證效勞器ASl認(rèn)證及密鑰管理流程l1認(rèn)證者和認(rèn)證效勞器通過相互認(rèn)證，創(chuàng)立一個平安通道，該通道可以采用RADIUS、IPSec、TLS等認(rèn)證協(xié)議，一般使用RADIUS。動態(tài)密鑰管理2申請者和認(rèn)證效勞器通過相互認(rèn)證，產(chǎn)生一個EAP主密鑰。認(rèn)證者起中繼的作用，在申請者和認(rèn)證效勞器之間轉(zhuǎn)發(fā)報文。3申請者和認(rèn)證者通過各自的EAP主密鑰產(chǎn)生成對主密鑰Pairwise Master

38、Key，PMK。認(rèn)證者的主密鑰是由認(rèn)證效勞器向申請者發(fā)送EAP主密鑰時知道的。動態(tài)密鑰管理4申請者和認(rèn)證者之間采用四步握 制傳送EAPoL-Key消息，來保證PMK的存在性，并由PMK產(chǎn)生用于報文加密、完整性的臨時密鑰Transient Key，TK，TK將被用于執(zhí)行經(jīng)無線鏈路向任意遠(yuǎn)程主機發(fā)送數(shù)據(jù)的鏈路級的加密。 802.11i的認(rèn)證和密鑰管理流程見以下圖： 8.5 平安標(biāo)準(zhǔn)與法律法規(guī)l網(wǎng)絡(luò)平安評估標(biāo)準(zhǔn)l平安法律與法規(guī)8.5.1 網(wǎng)絡(luò)平安評估標(biāo)準(zhǔn)l美國的美國的TCSEC可信的計算機系統(tǒng)平安評可信的計算機系統(tǒng)平安評估標(biāo)準(zhǔn)，估標(biāo)準(zhǔn)， Trusted Computer Standards Eval

39、uation Criteria。l由美國國防部于由美國國防部于1985年公布的，是計算機年公布的，是計算機系統(tǒng)信息平安評估的第一個正式標(biāo)準(zhǔn)。系統(tǒng)信息平安評估的第一個正式標(biāo)準(zhǔn)。l一直是評估多用戶主機和小型操作系統(tǒng)的一直是評估多用戶主機和小型操作系統(tǒng)的主要方法。主要方法。美國的TCSECl把計算機系統(tǒng)的平安由高到低分為A、B、C、D共4類。l對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、平安檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了標(biāo)準(zhǔn)性要求，這些級別按照平安強度由弱到強依次為D1、C1、C2、B1、B2、B3和A1如下表。lTCSEC的缺點：提出的時間較早，主要考

40、慮對象是單機，對網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫平安根本沒有考慮。 TCSEC的平安級別安全級別安全級別主要特征主要特征1D不具備最低安不具備最低安全限度的等級全限度的等級D1無安全保護(hù)，不要求用戶進(jìn)行用戶登錄和密無安全保護(hù)，不要求用戶進(jìn)行用戶登錄和密碼保護(hù)，整個系統(tǒng)不可信任。碼保護(hù)，整個系統(tǒng)不可信任。2C具備最低安全具備最低安全限度的等級限度的等級C1自主安全保護(hù)，用戶必須通過登錄認(rèn)證后才自主安全保護(hù)，用戶必須通過登錄認(rèn)證后才可以使用系統(tǒng)?？梢允褂孟到y(tǒng)。C2受控訪問保護(hù)，引進(jìn)受控訪問環(huán)境，采用系受控訪問保護(hù)，引進(jìn)受控訪問環(huán)境，采用系統(tǒng)審計跟蹤記錄安全事件及系統(tǒng)管理員工作。統(tǒng)審計跟蹤記錄安全事件及系統(tǒng)管理員工

41、作。3B中等安全保護(hù)能力的等級B1標(biāo)記安全保護(hù)，對網(wǎng)絡(luò)上每個對象都實施保標(biāo)記安全保護(hù)，對網(wǎng)絡(luò)上每個對象都實施保護(hù)和訪問控制，不允許擁有者自己改變所屬資護(hù)和訪問控制，不允許擁有者自己改變所屬資源的權(quán)限。源的權(quán)限。B2結(jié)構(gòu)化保護(hù)，為工作站、終端等設(shè)備分配不結(jié)構(gòu)化保護(hù)，為工作站、終端等設(shè)備分配不同的安全級別，按最小特權(quán)原則取消權(quán)力無限同的安全級別，按最小特權(quán)原則取消權(quán)力無限大的特權(quán)用戶。大的特權(quán)用戶。B3安全區(qū)域保護(hù)，采用硬件保護(hù)系統(tǒng)的數(shù)據(jù)存安全區(qū)域保護(hù)，采用硬件保護(hù)系統(tǒng)的數(shù)據(jù)存儲區(qū)，將系統(tǒng)管理員、操作員和系統(tǒng)安全員職儲區(qū)，將系統(tǒng)管理員、操作員和系統(tǒng)安全員職責(zé)分離。責(zé)分離。4A最高安全等級A1可驗證

42、性保護(hù)，采用形式化安全驗證，隱蔽可驗證性保護(hù)，采用形式化安全驗證，隱蔽信道分析。信道分析。歐洲的ITSECl信息技術(shù)平安評估標(biāo)準(zhǔn)Information Technology Security Evaluation Criteria，ITSEC由法、英、荷、德歐洲四國在1990年聯(lián)合發(fā)布。l ITSEC 定義了7個平安等級和10種功能。l提出了信息平安的機密性、完整性、可用性的平安屬性。lITSEC 把可信計算機的概念提高到可信信息技術(shù)的高度上，對國際信息平安的研究、實施產(chǎn)生了深刻的影響。加拿大的CTCPECl加拿大可信計算機產(chǎn)品評估準(zhǔn)那么CTCPEC3.0于1992年公布，它可以看作TCSEC

43、和ITSEC的進(jìn)一步開展，而且它實現(xiàn)結(jié)構(gòu)化平安功能的方法也影響了后來的國際標(biāo)準(zhǔn)。lCTCPEC將平安需求分為保密性、完整性、可靠性和可說明性4個層次。美國聯(lián)邦準(zhǔn)那么FCl1993年公布的美國聯(lián)邦準(zhǔn)那么FC參照了CTCPEC及TCSEC，其目的是提供TCSEC的升級版本，同時保護(hù)已有投資。lFC是一個過渡標(biāo)準(zhǔn)，后來結(jié)合ITSEC開展為通用標(biāo)準(zhǔn)CC。信息技術(shù)平安評價的通用標(biāo)準(zhǔn)CCl信息技術(shù)平安評價的通用標(biāo)準(zhǔn)Common Criteria of Information Technical Security Evaluation，CCITSE，CC，由美、加、英、法、德、荷六國于1996年聯(lián)合提出。l

44、第一個信息技術(shù)平安評價國際標(biāo)準(zhǔn)。l定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)平安性的根本準(zhǔn)那么，提出了國際認(rèn)可的表述信息技術(shù)平安性的結(jié)構(gòu)，即：l標(biāo)準(zhǔn)產(chǎn)品和系統(tǒng)平安行為的功能要求。l解決如何正確有效地實施這些功能的保證要求。我國信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么lGB 178591999?計算機信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?和GA 1631997?計算機信息系統(tǒng)平安專用產(chǎn)品分類原那么?將計算機平安保護(hù)劃分為5個級別，由低到高依次為：l用戶自我保護(hù)級l系統(tǒng)審計保護(hù)級l平安標(biāo)記保護(hù)級l結(jié)構(gòu)化保護(hù)級l訪問驗證保護(hù)級。 l用戶自我保護(hù)級和系統(tǒng)審計保護(hù)級：適用于一般的信息系統(tǒng)l平安標(biāo)記保護(hù)級和結(jié)構(gòu)化保護(hù)級：適用于涉及國家

45、平安、社會秩序和公共利益的重要信息系統(tǒng)l訪問驗證保護(hù)級：適用于涉及國家平安、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)。l五個級別的平安考核指標(biāo)：主要有身份鑒別、自主訪問控制、數(shù)據(jù)完整性、審計等，這些指標(biāo)涵蓋了不同級別的平安要求。我國計算機平安保護(hù)等級劃分等級等級名稱名稱描述描述第第1級級用戶自我用戶自我保護(hù)級保護(hù)級使用戶具備自主安全保護(hù)的能力，保護(hù)用戶和用戶組信使用戶具備自主安全保護(hù)的能力，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。第第2級級系統(tǒng)審計系統(tǒng)審計保護(hù)級保護(hù)級除具備第除具備第1級所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)級所有的安

46、全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問的審計跟蹤記錄，使所有的用戶對自己行為的合法性訪問的審計跟蹤記錄，使所有的用戶對自己行為的合法性負(fù)責(zé)。負(fù)責(zé)。第第3級級安全標(biāo)記安全標(biāo)記保護(hù)級保護(hù)級除繼承前除繼承前1個級別的安全功能外，還要求以訪問對象標(biāo)個級別的安全功能外，還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強制訪問。強制訪問。第第4級級結(jié)構(gòu)化保結(jié)構(gòu)化保護(hù)級護(hù)級除繼承前面安全級別的安全功能的基礎(chǔ)上，將安全保護(hù)除繼承前面安全級別的安全功能的基礎(chǔ)上，將安全保護(hù)機制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分直接控制機制劃分為關(guān)鍵部分和非關(guān)鍵部

47、分，對關(guān)鍵部分直接控制訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力。訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力。第第5級級訪問驗證訪問驗證保護(hù)級保護(hù)級除具備前面所有的安全保護(hù)功能外，還特別增設(shè)了訪問除具備前面所有的安全保護(hù)功能外，還特別增設(shè)了訪問驗證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問。驗證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問。8.5.2 平安法律與法規(guī)1國外的法律法規(guī)國外的法律法規(guī)網(wǎng)絡(luò)相關(guān)技術(shù)的開展和更新非?？?，在較短網(wǎng)絡(luò)相關(guān)技術(shù)的開展和更新非?？?，在較短的時期內(nèi)不可能建立起十分完善的關(guān)于網(wǎng)的時期內(nèi)不可能建立起十分完善的關(guān)于網(wǎng)絡(luò)平安的法律體系。絡(luò)平安的法律體系。比較而言，美國、歐洲和日本由

48、于計算機網(wǎng)比較而言，美國、歐洲和日本由于計算機網(wǎng)絡(luò)技術(shù)水平相對較高，因而其網(wǎng)絡(luò)平安的絡(luò)技術(shù)水平相對較高，因而其網(wǎng)絡(luò)平安的法律法規(guī)也比較完善。法律法規(guī)也比較完善。國內(nèi)也在逐步完善平安立法。國內(nèi)也在逐步完善平安立法。國外的法律法規(guī)網(wǎng)絡(luò)犯罪方面l打擊網(wǎng)絡(luò)犯罪方面的國際立法打擊網(wǎng)絡(luò)犯罪方面的國際立法l許多國家都以法律手段打擊網(wǎng)絡(luò)犯罪。許多國家都以法律手段打擊網(wǎng)絡(luò)犯罪。l歐盟歐盟2000年公布了年公布了?網(wǎng)絡(luò)刑事公約網(wǎng)絡(luò)刑事公約?草草案。至今，已有美國、日本等案。至今，已有美國、日本等43個國家個國家表示了對這一公約草案的興趣。表示了對這一公約草案的興趣。l2001年達(dá)成的年達(dá)成的?網(wǎng)絡(luò)犯罪公約網(wǎng)絡(luò)犯罪

49、公約?，是第一個，是第一個有關(guān)打擊網(wǎng)絡(luò)犯罪的國際條約。目的是協(xié)有關(guān)打擊網(wǎng)絡(luò)犯罪的國際條約。目的是協(xié)議推進(jìn)在這一領(lǐng)域的國內(nèi)立法，方便對犯議推進(jìn)在這一領(lǐng)域的國內(nèi)立法，方便對犯罪行為的調(diào)查以及促進(jìn)成員國之間、成員罪行為的調(diào)查以及促進(jìn)成員國之間、成員國和第三國之間的高效合作。國和第三國之間的高效合作。印度于2000年公布的?信息技術(shù)法?，是一部標(biāo)準(zhǔn)網(wǎng)絡(luò)世界的根本法，具有一定的代表性。美國2000年修訂了?計算機反欺詐與濫用法?，增加了法人犯罪的責(zé)任等方面的規(guī)定。還有很多國家修訂了原有刑法，以適應(yīng)保障計算機網(wǎng)絡(luò)平安的需要。國外的法律法規(guī)知識產(chǎn)權(quán)方面l數(shù)字化技術(shù)保護(hù)方面的法律數(shù)字化技術(shù)保護(hù)方面的法律l19

50、96年世界知識產(chǎn)權(quán)組織通過了年世界知識產(chǎn)權(quán)組織通過了?世界知世界知識產(chǎn)權(quán)組織著作權(quán)條約識產(chǎn)權(quán)組織著作權(quán)條約?、?世界知識產(chǎn)權(quán)世界知識產(chǎn)權(quán)組織表演人與錄音物條約組織表演人與錄音物條約?兩個版權(quán)條約兩個版權(quán)條約中做出了禁止擅自破解他人數(shù)字化技術(shù)保中做出了禁止擅自破解他人數(shù)字化技術(shù)保護(hù)措施的規(guī)定。護(hù)措施的規(guī)定。l歐盟、日本和美國等大多數(shù)國家都把它作歐盟、日本和美國等大多數(shù)國家都把它作為一種網(wǎng)絡(luò)平安保護(hù)法律。為一種網(wǎng)絡(luò)平安保護(hù)法律。l美國于美國于1998年公布了年公布了?數(shù)字千禧版權(quán)法數(shù)字千禧版權(quán)法?，通過國內(nèi)立法的方式，對網(wǎng)上作品著作權(quán)通過國內(nèi)立法的方式，對網(wǎng)上作品著作權(quán)的保護(hù)提供了法律依據(jù)。的保護(hù)

51、提供了法律依據(jù)。國外的法律法規(guī)網(wǎng)絡(luò)交易方面l網(wǎng)絡(luò)交易方面的立法網(wǎng)絡(luò)交易方面的立法l1996年聯(lián)合國大會通過了聯(lián)合國貿(mào)易法委年聯(lián)合國大會通過了聯(lián)合國貿(mào)易法委員會的員會的?電子商務(wù)示范法電子商務(wù)示范法?，這部示范法對，這部示范法對于網(wǎng)絡(luò)市場中的數(shù)據(jù)電文、網(wǎng)上合同成立于網(wǎng)絡(luò)市場中的數(shù)據(jù)電文、網(wǎng)上合同成立及生效條件、運輸?shù)葘ｍ楊I(lǐng)域的電子商務(wù)及生效條件、運輸?shù)葘ｍ楊I(lǐng)域的電子商務(wù)等，都作了十分具體的標(biāo)準(zhǔn)。等，都作了十分具體的標(biāo)準(zhǔn)。l1999年澳大利亞公布了年澳大利亞公布了?電子交易法電子交易法?，允，允許個人通過電子方式與政府部門和機構(gòu)進(jìn)許個人通過電子方式與政府部門和機構(gòu)進(jìn)行交易，明確了個人可以通過電子方

52、式簽行交易，明確了個人可以通過電子方式簽訂合同的一般原那么，為各種電子交易方訂合同的一般原那么，為各種電子交易方式的使用掃清了法律上的障礙。式的使用掃清了法律上的障礙。國外的法律法規(guī)其它有關(guān)立法l其它有關(guān)立法：一些國家專門制定了綜合性的和其它有關(guān)立法：一些國家專門制定了綜合性的和原那么性的網(wǎng)絡(luò)根本法。原那么性的網(wǎng)絡(luò)根本法。l德國德國1997公布的公布的?多媒體法多媒體法?，是世界上第一部，是世界上第一部標(biāo)準(zhǔn)互聯(lián)網(wǎng)傳播的法律。標(biāo)準(zhǔn)互聯(lián)網(wǎng)傳播的法律。l韓國韓國2000年修訂的年修訂的?信息通信網(wǎng)絡(luò)利用促進(jìn)法信息通信網(wǎng)絡(luò)利用促進(jìn)法?對對“信息網(wǎng)絡(luò)標(biāo)準(zhǔn)化做出了規(guī)定。信息網(wǎng)絡(luò)標(biāo)準(zhǔn)化做出了規(guī)定。l印度依法成立的印度依法成立的“網(wǎng)絡(luò)事件裁