`
xiejibing1986
  • 浏览: 4568 次
  • 性别: Icon_minigender_1
  • 来自: 重庆
文章分类
社区版块
存档分类
最新评论
阅读更多
一、         名词:
1.         公钥基础设施(PKI):Public Key Infrastructure
PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。例如,某企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。在将来,企业还可以通过公钥基础设施(PKI)系统来完成对进入企业大门和建筑物的提货系统的访问控制。
PKI让个人或企业安全地从事其商业行为。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。企业可以建立其内部Web站点,只对其信任的客户发送信息。
PKI采用各参与方都信任一个同一CA(认证中心),由该CA来核对和验证各参与方身份的身份这种信任机制。例如,许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构--政府,因而他们也就信任这些证件。然而,一个学生的学生证只能被核发此证的学校来进行验证。数字证书也一样。
通过公钥基础设施(PKI),交易双方(可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心(CA)。典型的是采用数字证书的应用软件和CA信任有相同的机制。例如,客户端浏览器中根证书列表中包含了它所信任CA的根证书,当浏览器需要验证一个数字证书的合法性(假如说要进行在线安全交易)的时候,此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书,如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后,浏览器承认此站点的具有合法身份并显示此站点的网页。如果该认证中心根证书不存在信任CA根证书列表中,浏览器会显示警告信息并询问是否要信任这个新的认证中心。通常地,浏览器会弹出提供永久的信任、临时的信任或或不相信该认证中心的选项对话框给客户选择,因为作为客户来说,他们有权选择信任哪些认证中心,而信任的处理工作通过应用软件来完成(在这个例子中是通过浏览器完成的)。
2.         如何实现加密:
加密技术是使数据不可读的处理过程。有许多不同的(和复杂的)打乱和恢复信息的方法。
在互联网上,加密技术主要有两种用途。一种是访问使用了服务器证书的安全Web站点(例如在线购物),故称之为服务器端加密技术。另一种用于接收和发送加密电子邮件。这两种用途中的加密处理方法都包含了交换公钥过程。
在加密过程中,使用公钥或私钥来加密信息,反之使用与之匹配的私钥或公钥来解密信息。这看起来像是用一把钥匙上锁而用另一把钥匙开锁。例如,当访问一个安全Web站点时,客户端计算机接收到这个Web站点的公钥(公钥存储在证书里),客户端计算机对WEB站点发送的信息使用WEB站点的公钥加密,解密这些信息的唯一方法是Web站点使用他们的私钥。
同样的处理方法也适用于安全电子邮件。在向其他人发送加密信息之前,你需要得到包含其公钥的数字证书,电子邮件应用软件使用其公钥对信息进行加密处理,发送后,接收者使用他们的私钥对信息进行加密,不掌握接收者私钥的其他方都无法完成该信息的解密工作。由此,你可以向希望给你发送邮件的人发送你的数字证书。值得注意的是,你务必请保护好自己的私钥,因为它用于解密发送给你的信息。
3.         数字签名:
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
当使用一个程序对信息进行数字签名时,至少要将数字证书的公共部分和其它信息加在一起,才能确认邮件信息的完整性。
在邮件信息和数字证书发送之前,信息要经过散列算法的加密,就是将所要发送的信息经过算术处理产生一个特征序列,这个序列是唯一的,只能由原文产生。产生的序列叫做信息摘要。
必须知道散列算法只能单向快速的运行,但很难逆向运算恢复原文。这就是说,电子邮件程序可以将邮件信息经过散列算法快速产生唯一的信息摘要。然而,如果只有信息摘要,要数年的时间才能解密得到原文。
程序产生信息摘要之后,就用发送者的私钥对信息摘要加密,这是特别重要的。如果只发送邮件和信息摘要,别人可以很容易的修改信息原文,重新产生一个信息摘要,并以你的身份发送出去。
如果只对邮件进行数字签名而不进行加密,电子邮件应用会将数字证书和签名后的信息摘要作为附件随邮件明文一起发送,因此,别人仍然能阅读信息的内容(有效的解决方法是在签名后加上加密选项)。
当接受方收到邮件时,用发送方的数字证书(公钥)解密信息摘要进行验证。然后程序用相同的散列算法计算邮件的信息摘要,并比较结果。如果产生了的信息摘要和邮件所含的信息摘要是相同的,那么说明邮件在传输过程中没有被篡改,由此保证了信息确实是由验证该信息对应的公钥持有着(证书持有着)发送的。
4.         数字证书:
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。一些软件程序用数字证书来向其他人或企业证明证书持有者的身份。这里是两个普通的例子:
使用在线银行系统时,银行必须确认客户的真实身份,通过身份核实后的客户才能进入在线银行的相关页面进行相应的帐户管理操作,如:转帐、查询帐务。这就象驾驶执照或是护照一样,数字证书向在线银行证实了你的真实身份。
当要给别人发送重要的电子邮件时,电子邮件程序会用你的数字证书对邮件信息进行签名。数字签名有两个作用:很容易证明邮件是由你发送的,还能证明电子邮件在传送的时候没有受到篡改。
  一个数字证书一般包括下列内容:
1)         你的公钥
2)         你的名字和电子邮件地址
3)         公钥的有效期限
4)         发证机构的名称
5)         数字证书的序列号
6)         发证机构的数字签名
5.         数字证书密钥对: 
当与其他个人或企业通过网络环境进行通信时,需要建立一个安全的交换信息信道来保证不会有第三方非法用户截获和读取信息,现在最先进的加密数据的方法是通过使用密钥对方式。密钥对包含一个公钥和一个私钥。我们可把开锁的钥匙比作密钥,不同的是密钥是一对钥匙,一把用于锁门来保证安全,即加密;而另一把用语开门,即解密。
应用软件使用密钥对中的一个密钥来加密文档。必须用用与之匹配的另一个密钥来解密信息。但怎样才能保证信息被安全地发到信息接受方而途中不被他人截获?
通过使用密钥对就可解决上述问题。当申请一个数字证书时,浏览器生成一个私钥和一个公钥。私钥只被证书申请者使用,而公钥会成为数字证书的一部分。浏览器会要求你提供一个在你访问私钥时的口令,该口令只有自己知道,这点是非常重要的(口令不要是自己的生日或别人容易猜到的数字或字母)。
收到并安装数字证书后,把数字证书发给任何需要发送信息给你的人。在数字证书中包含了用于加密信息的公钥。别人给你发送信息时会使用你的公钥对信息进行加密。因为只有你有与之匹配的私钥,所以只有你才能够解密用你的公钥加密的信息。
同样的,当你想要向别人发送加密的信息,你必须首先获得他们的公钥。你可以在目录中服务器中(一般,CA系统在签发证书的同时会将该证书发布到公开的目录服务器中供其他客户查询、下载用)查找他们的数字证书。如果你只有经过签名处理的电子邮件,你的电子邮件应用软件一般会自动的保存发送方的数字证书。
6.         SLL:
SSL是安全套接层(Secure Sockets Layer)的缩写。在网络上信息在源-宿的传递过程中会经过其它的计算机。一般情况下,中间的计算机不会监听路过的信息。但在使用网上银行或者进行信用卡交易的时候有可能被监视,从而导致个人隐私的泄露。由于Internet和Intranet体系结构的原因,总有某些人能够读取并替换用户发出的信息。随着网上支付的不断发展,人们对信息安全的要求越来越高。因此Netscape公司提出了SSL协议,旨在达到在开放网络(Internet)上安全保密地传输信息的目的,这种协议在WEB上获得了广泛的应用。之后IETF(www.ietf.org)对SSL作了标准化,即RFC2246,并将其称为TLS(Transport Layer Security),从技术上讲,TLS1.0与SSL3.0的差别非常微小。
7.         服务器证书:
服务器证书是安装在你的WEB服务器上,你可将服务器证书视为一种可以让访问者利用网页浏览器来验证网站真实身份的数字证明,且可以通过服务器证书进行具有SSL加密的通讯过程。
服务器证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。通过提交数字证书来证明您的身份或表明您有权访问在线服务。服务器证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是真实可靠的。
    服务器证书可分为两种:40位和128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书
分享到:
评论

相关推荐

    DB2数据库学习笔记

    ### DB2数据库学习笔记知识点详解 #### 一、DB2系统架构及管理命令 ##### 1. DB2的层级概念 - **域**: 指的是DB2的管理范围,通常对应于一个物理服务器或者一组逻辑相关的服务器。 - **实例**: 实例是在一个操作...

    PKI学习笔记整理

    ### PKI学习笔记整理 #### 一、PKI基础知识概览 **公共密钥基础设施(Public Key Infrastructure, PKI)**是一种安全技术体系,用于管理数字证书以及加密和解密数据所需的密钥。PKI的核心组成部分包括认证中心(CA)、...

    H3C WLAN学习笔记手册.ppt

    CSMA/CA(载波侦听多点接入/避让机制) 802.11MAC层工作原理-用户接入管理过程 802.11MAC层工作原理-Scanning 802.11MAC层工作原理-Authentication 802.11MAC层工作原理-Association 什么是漫游 漫游的分类 802.11...

    wifi协议重点学习笔记

    学习笔记可能还会涉及WiFi的认证过程,如802.11i引入的WPA和WPA2,以及最新的WPA3,它们为无线网络提供了强大的加密和身份验证机制,保障了数据的安全传输。 总的来说,深入理解802.11协议对于软件开发者至关重要,...

    学习笔记:PKI系统基本结构

    - **CA分级结构**:为了应对全球化的挑战,可以建立多层次的CA体系,包括根CA和子CA(SubCA)。根CA负责签发子CA的证书,而子CA则负责各自区域内的证书签发和服务。这种结构可以提高系统的灵活性和扩展性。 - **资料...

    H3CWLAN学习笔记手册

    上述内容是《H3CWLAN学习笔记手册》中提及的WLAN技术相关知识的详细解读,涵盖了WLAN技术的基础知识、协议标准、技术特性以及应用实例等多个方面。对于学习和了解WLAN技术,这本手册无疑是一个很好的学习资源。

    Wakin XieSir 华为路由交换Routing-Switch 学习笔记

    【华为路由交换Routing-Switch 学习笔记】 在学习华为路由交换技术时,首先要了解计算机网络的基础知识。计算机网络是连接多台计算机进行信息共享、数据通信、负荷均衡和安全性的系统。网络的发展历程可划分为五代...

    下一代无线局域网802.11n吞吐率、强健性和可靠性+wifi协议学习笔记

    在802.11n中,MAC层采用了CSMA/CA(载波侦听多址/冲突避免)协议,以减少无线环境中的碰撞。此外,MAC层还包含了服务接入点(SAP)和MAC服务数据单元(MSDU)等功能,用于组织和控制数据传输。 【接入点(AP)与站...

    j2ee笔记.doc

    在J2EE笔记中,主要讨论了两个关键的安全概念:加密和认证。 1. 加密 加密是确保数据安全的重要手段,分为对称加密和非对称加密。 - 对称加密:在这种加密方式中,加密和解密使用相同的密钥。常见的对称加密算法...

    Scrapy学习笔记-基本库的使用urllib

    context.load_verify_locations(cafile='path/to/cert.pem') response = urllib.request.urlopen('https://example.com', context=context) ``` 总的来说,`urllib`库的`request`模块为Python开发者提供了一套强大...

    wlan无线局域网内部认证教材wlan

    本教材聚焦于“wlan无线局域网内部认证”,旨在深入解析无线局域网(WLAN)的核心概念和技术,为读者提供全面而深入的学习资源。在无线通信领域,WLAN是一种广泛应用于家庭、企业、公共场所的网络连接方式,它通过...

    ACCP+S2+复习资料(超全)

    复习资料通常包含讲义、笔记、练习题、模拟试题、案例研究等多种形式,旨在帮助学习者全面理解和掌握这些概念。通过深入学习和练习,考生可以提升解决实际问题的能力,从而在考试中取得好成绩。 总的来说,这份...

    cisp全套.rar

    CISP-1-信息安全保障体系和测评认证 CISP-1-信息安全测评认证概述 CISP-1-信息安全理论 CISP-2-PKI_CA技术 CISP-2-UNIX安全管理 ``` CISP-3-应急响应

    计算机三级网络技术基础笔记:电子商务和电子政务.doc

    业务系统涵盖支付型和非支付型业务,如CA安全认证系统,它提供的证书用于验证交易双方的身份,确保交易安全。 总的来说,电子商务和电子政务是信息技术在商业和公共服务领域的应用,它们依赖于先进的网络技术和安全...

    eap-sim-lab:使用 FreeRADIUS 设置 EAP-SIM 的实验和说明

    通常,你需要一个CA(证书颁发机构)来签发服务器和客户端证书,以及一个私钥。Python的`openssl`库可以帮助你生成这些证书。 在FreeRADIUS的配置中,你还需要设置SIM卡的鉴权数据。这些数据通常由移动运营商提供,...

    无线网络原理试题.docx编程资料

    20. **用户访问认证机制**:开放式验证和共享密钥验证,前者不需密钥,后者则需要预先设置的密钥。 #### 二、单项选择题解析 1. **无线电波**:WLAN技术使用无线电波作为传输介质,实现数据的无线传输。 2. **...

    wireless lans

    本书全面涵盖了无线局域网的基础概念、配置方式以及IEEE 802.11标准的相关知识,是学习无线局域网技术的宝贵资源。 #### 三、无线局域网的配置与架构 - **无线局域网的配置**主要包括以下几种常见的配置方式: - ...

Global site tag (gtag.js) - Google Analytics