24小时接单的黑客网站

电信共享上网被检测的解决方法是什么？

1、利用宽带路由器的snmp功能(161端口)，直接查看网内电脑的数量

2、检测网内主机的mac地址确定主机数

3、检测ip数据包中的id选项

4、检测tcp数据包中的时间戳选项

5、利用客户端浏览器的cookies功能识别客户机

说说这几种方法可行性(nat环境):

第一种方法需要网络设备支持snmp才能可行，目前的宽带路由器支持的不多，所以可行但通用性不大。

第二种方法完全不可行，网内的数据包从宽带路由器出去的都是三层以上的数据包，无论nat或是路由都不可能包含有网内电脑的mac地址，所以根本无法测到网内电脑的mac地址，也就无法知道有多少电脑在共享上网。

第三种方法是可行的，一般的nat设备通常只更改了数据包的源地址和端口，不会改ip包中的id选项。一般各台电脑发出去的ip包中第一个id是随机，以后是连续的，例如某一时间段一台电脑发出去的ip包中id是54625-54700，另一台网内电脑的ip id是4562-4600，所以只要截ip包分析一下有多少个连续的ip id就能知道有多少电脑在共享上网。

第四种方法也是可行的，windows系统默认是填写tcp包中的时间戳选项的，因为每台电脑的时间不可能完全相同(除非同步过)，所以只要分析某一时刻所有tcp包中的时间戳选项有多少个不同的数值，就能知道有多少台电脑在共享上网。

第五种方法就比较流氓了，需要更改发向客户端的http包内容，从而让客户机的浏览器去访问检测的网页，通过检测的网页在每台客户机上设置不同的cookies值并读取，就可以查到有多少台电脑在共享上网。其原理有点和网页上挂马类似。这种方法也有一定局限性，需要客户机浏览网页才能被检测到。

接下来说说破解办法：

第一种只要关掉设备的snmp功能或者换个不支持snmp的宽带路由器。

第三种方法的破解有点麻烦了，如果路由器够高级或者用的软路由，就把通过路由器出去的ip数据包的id选项改成连续，或者干脆打散，改成全部不连续。还有一个办法就是在内网的每台电脑上把ipid弄成不连续。这两个办法网上都有现成的软件可以用的。

第四种方法的破解可以在网关路由器或者在客户机上把时间戳去掉，windows系统下可以改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters下的Tcp1323Opts键关闭。或者把每台电脑的时间都同步。

第五种方法的破解可以半闭浏览器的cookies功能，或者把检测网站的ip屏蔽掉。

某软件登陆需要手机短信验证才能开始服务，求破解？求思路？

1、破解验证过程，然后让它不走到发送验证码这一步，直接跳到验证成功后的步骤；

2、破解验证过程，看看能否自己写出获取验证码的算法；

3、破解验证函数，同1，让它对于任何验证码都认为是合法的，直接跳到验证通过后的部分。

这些思路希望你能参考

错误应用程序名称: Server.exe,版本: 16.4.943.40,时间戳: 0x2a425e19

应用程序错误问题：

1.木马病毒造成常用病毒捆绑应用程序和系统文件，然后安全杀毒软件把有木马病毒应用程序和系统文件查杀导致。

2.应用程序组件丢失，应用程序完整的运行需要一些系统文件或者某些ll文件支持，如果应用程序组件不完整也会导致的。

3.系统文件损坏或丢失，盗版系统或Ghost版本系统，很容易出现该问题。

4.操作系统自身的问题，操作系统本身也会有bug 。

5.硬件问题，例如内存条坏了或者存在质量问题，或者内存条的金手指的灰尘特别多。

应用程序错误解决方法：

1.检查电脑是否存在病毒，请使用百度卫士进行木马查杀。

2.系统文件损坏或丢失，盗版系统或Ghost版本系统，很容易出现该问题。建议：使用完整版或正版系统。

3.安装的软件与系统或其它软件发生冲突，找到发生冲突的软件，卸载它。如果更新下载补丁不是该软件的错误补丁，也会引起软件异常，解决办法：卸载该软件，重新下载重新安装试试。顺便检查开机启动项，把没必要启动的启动项禁止开机启动。

4.如果检查上面的都没问题，可以试试下面的方法。

打开开始菜单→运行→输入cmd→回车，在命令提示符下输入下面命令 for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1回车。

完成后，在输入下面

for %i in (%windir%\system32\*.ocx) do regsvr32.exe /s %i 回车。

如果怕输入错误，可以复制这两条指令，然后在命令提示符后击鼠标右键，打“粘贴”，回车，耐心等待，直到屏幕滚动停止为止（重启电脑）。

银行数字证书是否绝对的安全,在世界上有没有被破译过

应该说还没有被破译过，因为几率太小了，可以看做是不可能。当然，如果有人盗用了你的数字证书，银行卡号和登陆密码，那就没办法了。下面介绍一下数字证书。

1.什么是数字证书？

数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。

最简单的证书包含一个公开密钥、名称以及证书授权中心的

数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。

一个标准的X.509数字证书包含以下一些内容：

证书的版本信息；

证书的序列号，每个证书都有一个唯一的证书序列号；

证书所使用的签名算法；

证书的发行机构名称，命名规则一般采用X.500格式；

证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；

证书所有人的名称，命名规则一般采用X.500格式；

证书所有人的公开密钥；

证书发行者对证书的签名。

使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。

2.为什么要使用数字证书？

由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须保证在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。

信息的保密性

交易中的商务信息均有保密的要求，如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，商家要考虑客户端是不是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。

不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。

不可修改性

由于商情的千变万化，交易一旦达成应该是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。

数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。

我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。

3.数字认证原理

数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。

在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。

如果用户需要发送加密数据，发送方需要使用接收方的数字证书（公开密钥）对数据进行加密，而接收方则使用自己的私有密钥进行解密，从而保证数据的安全保密性。

另外，用户可以通过数字签名实现数据的完整性和有效性，只需采用私有密钥对数据进行加密处理，由于私有密钥仅为用户个人拥有，从而能够签名文件的唯一性，即保证：数据由签名者自己签名发送，签名者不能否认或难以否认；数据自签发到接收这段过程中未曾作过任何修改，签发的文件是真实的。

[page]

4.数字证书是如何颁发的？

数字证书是由认证中心颁发的。根证书是认证中心与用户建立信任关系的基础。在用户使用数字证书之前必须首先下载和安装。

认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性，后一种方法导致了多级别认证中心的出现。

数字证书颁发过程如下：用户产生了自己的密钥对，并将公共密钥及部分个人身份信息传送给一家认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内附了用户和他的密钥等信息，同时还附有对认证中心公共密钥加以确认的数字证书。当用户想证明其公开密钥的合法性时，就可以提供这一数字证书。

5.加密技术

由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

加密包括两个元素：算法和密钥。一个加密算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。

密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制，来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。

相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DNS，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

6.对称加密技术

对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥。这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DNS），另一个对称密钥加密系统系统是国际数据加密算法（IDEA），它比DNS的加密性好，而且对计算机功能要求也没有那么高。IDEA加密标准由PGP（Pretty Good Privacy）系统使用。

对称加密算法在电子商务交易过程中存在几个问题：

（1）要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，所以双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商；

（2）密钥的数目难于管理。因为对于每一个合作者都需要使用不同的密钥，很难适应开放社会中大量的信息交流；

（3）对称加密算法一般不能提供信息完整性的鉴别。它无法验证发送者和接受者的身份；

（4）对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程。对称加密是基于共同保守秘密来实现的，采用对称加密技术的贸易双方必须保证采用的是相同的密钥，保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。

7.非对称加密技术

1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。

与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

贸易方利用该非对称加密算法实现机密信息交换的基本过程是：贸易方甲生成一对密钥并将其中的一把作为公用密钥向其他贸易方公开；得到该公用密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲；贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公用密钥加密后的任何信息。

非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，它不适合于对文件加密而只适用于对少量数据进行加密。

在微软的Window NT的安全性体系结构中，公开密钥系统主要用于对私有密钥的加密过程。每个用户如果想要对数据进行加密，都需要生成一对自己的密钥对（keypair）。密钥对中的公开密钥和非对称加密解密算法是公开的，但私有密钥则应该由密钥的主人妥善保管。

使用公开密钥对文件进行加密传输的实际过程包括四步：

（1）发送方生成一个自己的私有密钥并用接收方的公开密钥对自己的私有密钥进行加密，然后通过网络传输到接收方；

（2）发送方对需要传输的文件用自己的私有密钥进行加密，然后通过网络把加密后的文件传输到接收方；

（3）接收方用自己的公开密钥进行解密后得到发送方的私有密钥；

（4）接受方用发送方的私有密钥对文件进行解密得到文件的明文形式。

因为只有接收方才拥有自己的公开密钥，所以即使其他人得到了经过加密的发送方的私有密钥，也因为无法进行解密而保证了私有密钥的安全性，从而也保证了传输文件的安全性。实际上，上述在文件传输过程中实现了两个加密解密过程：文件本身的加密和解密与私有密钥的加密解密，这分别通过私有密钥和公开密钥来实现。

8.数字签名技术

对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。在电子商务中，完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。

实现数字签名有很多方法，目前数字签名采用较多的是公钥加密技术，如基于RSA Date Security公司的PKCS（Public Key Cryptography Standards）、Digital Signature Algorithm、x.509、PGP（Pretty Good Privacy）。1994年美国标准与技术协会公布了数字签名标准而使公钥加密技术广泛应用。公钥加密系统采用的是非对称加密算法。

目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。它的主要方式是，报文的发送方从报文文本中生成一个128位的散列值（或报文摘要）。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。

在书面文件上签名是确认文件的一种手段，其作用有两点：第一，因为自己的签名难以否认，从而确认了文件已签署这一事实；第二，因为签名不易仿冒，从而确定了文件是真的这一事实。

数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：第一，信息是由签名者发送的；第二，信息自签发后到收到为止未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪，或冒用别人名义发送信息。或发出（收到）信件后又加以否认等情况发生。

应用广泛的数字签名方法主要有三种，即：RSA签名、DSS签名和Hash签名。这三种算法可单独使用，也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的，用DES算去、RSA算法都可实现数字签名。但三种技术或多或少都有缺陷，或者没有成熟的标准。

用RSA或其它公开密钥密码算法的最大方便是没有密钥分配问题（网络越复杂、网络用户越多，其优点越明显）。因为公开密钥加密使用两个不同的密钥，其中有一个是公开的，另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页（商业电话）上或公告牌里，网上的任何用户都可获得公开密钥。而私有密钥是用户专用的，由用户本身持有，它可以对由公开密钥加密信息进行解密。

RSA算法中数字签名技术实际上是通过一个哈希函数来实现的。数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一个最简单的哈希函数是把文件的二进制码相累加，取最后的若干位。哈希函数对发送数据的双方都是公开的。

DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。由于它是由美国政府颁布实施的，主要用于与美国政府做生意的公司，其他公司则较少使用，它只是一个签名系统，而且美国政府不提倡使用任何削弱政府窃听能力的加密软件，认为这才符合美国的国家利益。

[page]

Hash签名是最主要的数字签名方法，也称之为数字摘要法（Digital Digest）或数字指纹法（Digital Finger Print）。它与RSA数字签名是单独的签名不同，该数字签名方法是将数字签名与要发送的信息紧密联系在一起，它更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起，比合同和签名分开传递，更增加了可信度和安全性。数字摘要（Digital Digest）加密方法亦称安全Hash编码法（SHA：Secure Hash Algorithm）或MD5（MD Standard For Message Digest），由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（Finger Print），它有固定的长度，且不同的明文摘要必定一致。这样这串摘要使可成为验证明文是否是“真身”的“指纹”了。

只有加入数字签名及验证才能真正实现在公开网络上的安全传输。加入数字签名和验证的文件传输过程如下：

（1）发送方首先用哈希函数从原文得到数字签名，然后采用公开密钥体系用发达方的私有密钥对数字签名进行加密，并把加密后的数字签名附加在要发送的原文后面；

（2）发送一方选择一个秘密密钥对文件进行加密,并把加密后的文件通过网络传输到接收方；

（3）发送方用接收方的公开密钥对密秘密钥进行加密,并通过网络把加密后的秘密密钥传输到接收方；

（4）接受方使用自己的私有密钥对密钥信息进行解密，得到秘密密钥的明文；

（5）接收方用秘密密钥对文件进行解密，得到经过加密的数字签名；

（6）接收方用发送方的公开密钥对数字签名进行解密，得到数字签名的明文；

（7）接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名进行对比。如果两个数字签名是相同的，说明文件在传输过程中没有被破坏。

如果第三方冒充发送方发出了一个文件，因为接收方在对数字签名进行解密时使用的是发送方的公开密钥，只要第三方不知道发送方的私有密钥，解密出来的数字签名和经过计算的数字签名必然是不相同的。这就提供了一个安全的确认发送方身份的方法。

安全的数字签名使接收方可以得到保证：文件确实来自声称的发送方。鉴于签名私钥只有发送方自己保存，他人无法做一样的数字签名，因此他不能否认他参与了交易。

数字签名的加密解密过程和私有密钥的加密解密过程虽然都使用公开密钥体系，但实现的过程正好相反，使用的密钥对也不同。数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一个一对多的关系：任何拥有发送方公开密钥的人都可以验证数字签名的正确性，而私有密钥的加密解密则使用的是接收方的密钥对，这是多对一的关系：任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。在实用过程中，通常一个用户拥有两个密钥对，一个密钥对用来对数字签名进行加密解密，一个密钥对用来对私有密钥进行加密解密。这种方式提供了更高的安全性。

9.数字时间戳技术

在电子商务的发展过程中，数字签名技术也有所发展。数字时间戳技术就是数字签名技术一种变种的应用。

在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DTS：digita1 time stamp service）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护，由专门的机构提供。

如果在签名时加上一个时间标记，即是有数字时间戳（digital time stamp）的数字签名。

时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：

（1）需加时间戳的文件的摘要（digest）；

（2）DTS收到文件的日期和时间；

（3）DTS的数字签名。

一般来说，时间戳产生的过程为：用户首先将需要加时间戳的文件用Hash编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。

书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。

10. SSL安全协议

SSL安全协议最初是由Netscape Communication公司设计开发的，又叫“安全套接层（Secure Sockets Layer）协议”，主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，它涉及所有TC/IP应用程序。

SSL安全协议主要提供三方面的服务：

用户和服务器的合法性认证

认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，安全套接层协议要求在握手交换数据进行数字认证，以此来确保用户的合法性。

加密数据以隐藏被传送的数据

安全套接层协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换SSL初始握手信息，在SSL握手情息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。

护数据的完整性

安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。

要说明的是，安全套接层协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护。例如，一台客户机与一台主机连接上了，首先是要初始化握手协议，然后就建立了一个SSL。对话进段。直到对话结束，安全套接层协议都会对整个通信过程加密，并且检查其完整性。这样一个对话时段算一次握手。而HTTP协议中的每一次连接就是一次握手，因此，与HTTP相比。安全套接层协议的通信效率会高一些。

（1）接通阶段：客户通过网络向服务商打招呼，服务商回应；

（2）密码交换阶段：客户与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；

（3）会谈密码阶段：客户与服务商间产生彼此交谈的会谈密码；

（4）检验阶段：检验服务商取得的密码；

（5）客户认证阶段：验证客户的可信度；

（6）结束阶段，客户与服务商之间相互交换结束的信息。

当上述动作完成之后，两者间的资料传送就会加密，另外一方收到资料后，再将编码资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。

发送时信息用对称密钥加密，对称密钥用非对称算法加密，再把两个包绑在一起传送过去。

接收的过程与发送正好相反，先打开有对称密钥的加密包，再用对称密钥解密。

在电子商务交易过程中，由于有银行参与，按照SSL协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。

SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有很多网上商店使用。在传统的邮购活动中，客户首先寻找商品信息，然后汇款给商家，商家将商品寄给客户。这里，商家是可以信赖的，所以客户先付款给商家。在电子商务的开始阶段，商家也是担心客户购买后不付款，或使用过期的信用卡，因而希望银行给予认证。SSL安全协议正是在这种背景下产生的。

SSL协议运行的基点是商家对客户信息保密的承诺。但在上述流程中我们也可以注意到，SSL协议有利于商家而不利于客户。客户的信息首先传到商家，商家阅读后再传至（银行，这样，客户资料的安全性便受到威胁。商家认证客户是必要的，但整个过程中，缺少了客户对商家的认证。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题越来越突出，SSL协议的缺点完全暴露出来。SSL协议将逐渐被新的电子商务协议（例如SET）所取代。

[page]

11. SET安全协议

在开放的因特网上处理电子商务，保证买卖双方传输数据的安全成为电子商务的重要的问题。为了克服SSL安全协议的缺点，满足电子交易持续不断地增加的安全要求，为了达到交易安全及合乎成本效益的市场要求，VISA国际组织及其它公司如Master Card、Micro Soft、IBM等共同制定了安全电子交易（SET：Secure Electronic Transactions）公告。这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。由于设计合理，SET协议得到了许多大公司和消费者的支持，己成为全球网络的工业标准，其交易形态将成为未来“电子商务”的规范。

安全电子交易规范，为在因特网上进行安全的电子商务提供了一个开放的标准。SET主要使用电子认证技术，其认证过程使用RS

电子合同中，对称加密、非对称加密、哈希算法、CA、时间戳、数字签名这些是什么，有什么用，你们知道吗

算法，因为只要你有足够的时间，完全可以用穷举法来进行试探，如果说一个加密算法是牢固的，一般就是指在现有的计算条件下，需要花费相当长的时间才能够穷举成功（比如100年）。一、主动攻击和被动攻击数据在传输过程中或者在日常的工作中，如果没有密码的保护，很容易造成文件的泄密，造成比较严重的后果。一般来说，攻击分为主动攻击和被动攻击。被动攻击指的是从传输信道上或者从磁盘介质上非法获取了信息，造成了信息的泄密。主动攻击则要严重的多，不但获取了信息，而且还有可能对信息进行删除，篡改，危害后果及其严重。 二、对称加密基于密钥的算法通常分为对称加密算法和非对称加密算法（公钥算法）。对成加密算法就是加密用的密钥和解密用的密钥是相等的。比如著名的恺撒密码，其加密原理就是所有的字母向后移动三位，那么3就是这个算法的密钥，向右循环移位就是加密的算法。那么解密的密钥也是3，解密算法就是向左循环移动3位。很显而易见的是，这种算法理解起来比较简单，容易实现，加密速度快，但是对称加密的安全性完全依赖于密钥，如果密钥丢失，那么整个加密就完全不起作用了。比较著名的对称加密算法就是DES，其分组长度位64位，实际的密钥长度为56位，还有8位的校验码。DES算法由于其密钥较短，随着计算机速度的不断提高，使其使用穷举法进行破解成为可能。三、非对称加密非对称加密算法的核心就是加密密钥不等于解密密钥，且无法从任意一个密钥推导出另一个密钥，这样就大大加强了信息保护的力度，而且基于密钥对的原理很容易的实现数字签名和电子信封。比较典型的非对称加密算法是RSA算法，它的数学原理是大素数的分解，密钥是成对出现的，一个为公钥，一个是私钥。公钥是公开的，可以用私钥去解公钥加密过的信息，也可以用公钥去解私钥加密过的信息。比如A向B发送信息，由于B的公钥是公开的，那么A用B的公钥对信息进行加密，发送出去，因为只有B有对应的私钥，所以信息只能为B所读取。牢固的RSA算法需要其密钥长度为1024位，加解密的速度比较慢是它的弱点。另外一种比较典型的非对称加密算法是ECC算法，基于的数学原理是椭圆曲线离散对数系统，这种算法的标准我国尚未确定，但是其只需要192 bit 就可以实现牢固的加密。所以，应该是优于RSA算法的。优越性:ECC RSA DES

网上的软件要身份证照片和视频认证(眨眼动作)这样的安全吗？

平台要求上传身份证照片，目的是实现实名制，一是可以识别用户的合法身份，二是，近期国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》，要求实名制。

想法是善意的，目的是明确的，……手法，也是不错滴！！！

但是这样上传身份证照片，并不是很安全可靠的。

用户在注册的时候，网站会缓存信息，那黑客通过“拖库”、“撞库”等手段，就能获取用户信息，这些信息很可能就会进入身份校验的黑市。

个人觉得，在身份校验这方面，平台方面还是应该想想其他的方式了，比如生物识别，人脸啊，虹膜啊，安全性还是不错的。

在网络环境下的信息世界，身份是区别于其他个体的一种标识。为了与其他个体有所区别，身份必须具有唯一性。当然，唯一性也是有范围的，如电话号码，在一个区域内是唯一的，如果考虑多个区域，可能会有相同的号码，但只要再添加区域号段，又能唯一区分开来。网络环境下的身份不仅仅用于标识一个人，也可以用于标识一个机器、一个物体，甚至一个虚拟的东西（如进程、会话过程等）。因此，网络环境下的身份是只在一定范围内用于标识事、物、人的字符串。

一、身份认证概述

网络环境下的认证不是对某个事物的资质审查，而是对事物真实性的确认。结合起来考虑，身份认证就是要确认通信过程中另一端的个体是谁（人、物、虚拟过程）。

那么，怎么知道通信的另一端是谁呢？通常，通信协议都要求通信者把身份信息传输过来，但这种身份信息仅用于识别，不能保证该信息是真实的，因为这个身份信息在传输过程中是可以被恶意篡改的。那么，怎样才能防止身份信息在传输过程中被恶意篡改呢？事实上要完全杜绝恶意篡改是不可能的，特别是在公共网络（如互联网）上传输的信息，而能做的，就是在身份信息被恶意篡改后，接收端可以很容易检测出来。

要识别真伪，首先要“认识”真实的身份。通过网络传递的身份可能是陌生人的身份，如何判断真伪？这里需要阐述一个观点：要识别真伪，必须先有信任。在网络环境下，信任不是对一个人的可靠性认可，而是表明已经掌握了被验证身份者的重要秘密信息，如密钥信息。假设A与B之间有一个得到确信的共享密钥，不管这个共享密钥是怎么建立的，他们之间就建立了相互信任。如果A确信掌握B的公开密钥，也可以说A对B建立了信任，但还不能说明B对A建立了信任。从上述讨论不难看到，在完全没有信任基础的情况下，新的信任是不能通过网络建立的，否则是不可靠的。

二、身份认证机制

身份认证的目的是鉴别通信中另一端的真实身份，防止伪造和假冒等情况发生。进行身份认证的技术方法主要是密码学方法，包括使用对称加密算法、公开密钥密码算法、数字签名算法等。

对称加密算法是根据Shannon理论建立的一种变换过程，该过程将一个密钥和一个数据充分混淆和置乱，使非法用户在不知密钥的情况下无法获得原始数据信息。当然一个加密算法几乎总伴随着一个对应的解密算法，并在对称密钥的参与下执行。典型的对称加密算法包括DES和AES。

公钥密码算法需要2个密钥和2个算法：一个是公开密钥，用于对消息的加密；一个是私钥（私有密钥），用于对加密消息的解密。根据名称可以理解，公开密钥是一个能公开的密钥，而私钥只能由合法用户掌握。典型的公钥密码算法包括RSA公钥密码算法和数字签名标准DSS。

数字签名实际是公钥密码的一种应用，其工作原理是，用户使用自己的私钥对某个消息进行签名，验证者使用签名者的公开密钥进行验证，这样就实现了只有拥有合法私钥的人才能产生数字签名（不可伪造性）和得到用户公钥的公众才可以进行验证（可验证性）的功能。

根据身份认证的对象不同，认证手段也不同，但针对每种身份的认证都有很多种不同的方法。如果被认证的对象是人，则有三类信息可以用于认证：（1）你所知道的（what you know），这类信息通常理解为口令；（2）你所拥有的（what you have），这类信息包括密码本、密码卡、动态密码生产器、U盾等；（3）你自身带来的（what you are），这类信息包括指纹、虹膜、笔迹、语音特征等。一般情况下，对人的认证只需要一种类型的信息即可，如口令（常用于登录网站）、指纹（常用语登录电脑和门禁设备）、U盾（常用于网络金融业务），而用户的身份信息就是该用户的账户名。在一些特殊应用领域，如涉及资金交易时，认证还可能通过更多方法，如使用口令的同时也使用U盾，这类认证称为多因子认证。

如果被认证的对象是一般的设备，则通常使用“挑战—应答”机制，即认证者发起一个挑战，被认证者进行应答，认证者对应答进行检验，如果符合要求，则通过认证；否则拒绝。移动通信系统中的认证就是一个典型的对设备的认证，这里设备标识是电话卡（SIM卡或USIM卡），认证过程则根据不同的网络有不同的方法，例如，GSM网络和3G网络就有很大区别，LTE网络又与前2种网络有很大不同，但都使用了“挑战—应答”机制。

在物联网应用环境下，一些感知终端节点的资源有限，包括计算资源、存储资源和通信资源，实现“挑战—应答”机制可能需要付出很大代价，这种情况下需要轻量级认证。为了区分对人的认证和对设备的认证，把这种轻量级认证称为对物的认证。其实，对物的认证不是很严格的说法，因为在具体技术上是对数据来源的认证。

三、对“人”的认证

人在网络上进行一些活动时通常需要登录到某个业务平台，这时需要进行身份认证。身份认证主要通过下面3种基本途径之一或其组合来实现：所知（what you know），个人所知道的或掌握的知识，如口令；所有（what you have），个人所拥有的东西，如身份证、护照、信用卡、钥匙或证书等；个人特征（what you are），个人所具有的生物特性，如指纹、掌纹、声纹、脸形、DNA、视网膜等。

（一）基于口令的认证

基于口令的认证方式是较常用的一种技术。在最初阶段，用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中，注意这个口令一般是长期有效的，因此也称为静态口令。当进行登录时，用户系统产生一个类似于时间戳的东西，把这个时间戳使用口令和固定的密码算法进行加密，连同用户名一同发送给业务平台，业务平台根据用户名查找用户口令进行解密，如果平台能恢复或接收到那个被加密的时间戳，则对解密结果进行比对，从而判断认证是否通过；如果业务平台不能获知被加密的时间戳，则解密后根据一定规则（如时间戳是否在有效范围内）判断认证是否通过。静态口令的应用案例随处可见，如本地登录Windows系统、网上博客、即时通信软件等。

基于静态口令的身份认证技术因其简单和低成本而得到了广泛的使用。但这种方式存在严重的安全问题, 安全性仅依赖于口令，口令一旦泄露，用户就可能被假冒。简单的口令很容易遭受到字典攻击、穷举攻击甚至暴力计算破解。特别地，一些业务平台没有正确实现使用口令的认证流程，让用户口令在公开网络上进行传输，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认对象是否为合法访问者。这种实现方式存在许多隐患，一旦记录用户信息的文件泄露，整个系统的用户账户信息连同对应的口令将完全泄露。网上发生的一系列网络用户信息被公开到网上的现象，反映的就是这种实现方式的弊病。另外，这种不科学的实现方式也存在口令在传输过程中被截获的安全隐患。随着网络应用的深入化和网络攻击手段的多样化，口令认证技术也不断发生变化，产生了各种各样的新技术。为了防止一些计算机进程模拟人自动登录，许多业务平台还增加了计算机难以识别的模糊图形。

基于口令的身份认证容易遭受如下安全攻击。

（1）字典攻击。攻击者可以把所有用户可能选取的密码列举出来生成一个文件，这样的文件被称为“字典”。当攻击者得到与密码有关的可验证信息后，就可以结合字典进行一系列的运算，来猜测用户可能的密码，并利用得到的信息来验证猜测的正确性。

（2）暴力破解。也称为“蛮力破解”或“穷举攻击”，是一种特殊的字典攻击。在暴力破解中所使用的字典是字符串的全集，对可能存在的所有组合进行猜测，直到得到正确的信息为止。

（3）键盘监听。按键记录软件以木马方式植入到用户的计算机后，可以偷偷地记录下用户的每次按键动作，从而窃取用户输入的口令，并按预定的计划把收集到的信息通过电子邮件等方式发送出去。

（4）搭线窃听。通过嗅探网络、窃听网络通信数据来获取口令。目前，常见的Telnet、FTP、HTTP 等多种网络通信协议均用明文来传输口令，这意味着在客户端和服务器端之间传输的所有信息（包括明文密码和用户数据）都有可能被窃取。

（5）窥探。攻击者利用与用户接近的机会，安装监视设备或亲自窥探合法用户输入的账户和密码。窥探还包括在用户计算机中植入木马。

（6）社会工程学（Social Engineering）。这是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等设置心理陷阱进行诸如欺骗、伤害等手段，取得秘密信息的手法。

（7）垃圾搜索。攻击者通过搜索被攻击者的废弃物（如硬盘、U 盘、光盘等），得到与口令有关的信息。

为了尽量保证安全，在使用口令时通常需要注意以下几点：

（1）使用足够长的口令，不使用默认口令；

（2）不要使用结构简单的字母或数字，尽量增加密码的组合复杂度；

（3）避免在不同平台使用相同的口令，并且要定期更换口令。

为克服静态口令带来的种种安全隐患，动态口令认证逐渐成为口令认证的主流技术。顾名思义，动态口令是指用户每次登录系统的口令都不一样，每个口令只使用一次，因而也叫一次性口令（OTP , One Time Password），具有“一次一密”的特点，有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步，就可能发生无法使用的问题。OTP的原理是采用一类专门的算法（如单向散列函数变化）对用户口令和不确定性因子（如随机数）进行转换生成一个一次性口令，用户将一次性口令连同认证数据提交给服务器。服务器接收到请求后，利用同样的算法计算出结果与用户提交的数据对比，对比一致则通过认证；否则认证失败。通过这种方式，用户每次提交的口令都不一样，即使攻击者能够窃听网络并窃取登录信息，但由于攻击每次窃取的数据都只有一次有效，并且无法通过一次性口令反推出用户的口令，从而极大地提升了认证过程的安全性。 OTP 从技术上可以分为3种形式：“挑战—应答”、时间同步和事件同步。