`
kiki1120
  • 浏览: 315852 次
  • 性别: Icon_minigender_2
  • 来自: 上海
社区版块
存档分类
最新评论

《Java安全性编程指南》学习笔记—第6章 消息摘要、数字签名和证书

阅读更多

本章主要讲述密码学在认证方面的应用。认证是验证用户身份或者数据完整性的过程。有三种类型的认证技术:消息摘要、数字签名以及证书。

 

消息摘要

    消息摘要对于数据来讲是一种重要的指纹。消息摘要的目的就是防止数据被篡改。

    从数据获取消息摘要的过程通常称作杂凑。利用消息摘要相对于直接与原始数据的拷贝进行比较的优点在于它的长度:不管数据的长度有多大,消息摘要的长度通常只有16或者20个字节长。消息摘要计算起来比较简单:利用消息摘要算法对数据进行处理即可得到消息摘要。

    消息摘要的一个用途就是在FTP中进行文件的确认。大文件传送中有时会出现一些问题。如果服务器提供了该文件的消息摘要,你就可以在下载该文件后进行比较,以确保文件传送的正确性。

 

口令认证

    消息摘要的一个常用的用途就是口令认证。由于消息摘要是单向转换得来的数据,因此由它不可能得到原始数据。我们可以只存储口令的杂凑值,这样就没有人能破译出存储的口令,因为没有任何方法可以直接破译消息摘要。

    为了让攻击者获取了经杂凑处理的口令,也更难猜出口令,需要使用加盐的方法来存储口令,这样就可以使口令攻击者预先产生常用口令的消息摘要清单这一方法不可行。

 

消息认证码(MAC)

    消息认证码是一种非常重要的消息摘要。它通常用于在不安全的网络,如Internet上鉴别传送的数据。通信的双方交换密钥,然后用这个密钥对数据进行验证。因为是通过密码学的方法利用共享密钥来保护消息摘要,所以MAC解决了如何在不安全的网络环境中传送消息摘要的问题。

    基于密码学上的hash函数的MAC通常被称作HMAC(杂凑消息认证码)。还有其他类型的MAC,它们是基于分组密码的,但并不常用。

    在Sun的JCE中有两种HMAC函数:一种是用MD5算法,另一种使用SHA-1算法。你可以用参数HmacMD5和HmacSHA1对它们进行调用。其他的提供者,如Bouncy Castle,甚至支持更多的算法。

 

数字签名

    数字签名有点类似于用数字方式的物理签名,但它们又不完全相同。数字签名与单独的数据,如签字的合同或者电子邮件有关。物理签名也是为了完成相同的工作,但是物理签名却无法引用待签的文档。强迫进行物理签名比强迫进行数字签名容易得多:只需从另一个文档拷贝该签名即可。数字签名通常提供更高的安全度,因为它们与签名的文档相关,而且如果无法读取所使用的密钥,就很难伪造签名。

    数字签名是一种重要的消息摘要,它是用自己的私钥进行处理的。你可以先将要签名的数字送给消息摘要算法,然后消息摘要和私钥送给签名算法。所得到的数据就是所要得到的数字签名,它是用私钥签名的。签名数据与原始数据一起传送,以此证明该数据是由持有私钥的人签署的。

    为了验证签名,必须使用签名者的公钥,然后比较数据的消息摘要,如果相同,就可以知道该数据是用对应的私钥签名的,你也可以通过这个结果知道,数据自签名后没有被修改。

    数字签名有两个主要用途:保持数据的完整性和同一性。

 

数字证书

    数字证书是由第三方提供的一种确保该公钥是由其宣称者所拥有的一种方式。然而,证书不只可以发布给人,还可以发布给一些主体,如公司或者其他组织。

    一般情况下,证书是由你的公钥和一些其他信息组成,这些信息和你的公钥是由第三方的私钥进行签名。通常,第三方称作CA(证书授权机构)。

    两个最著名的CA是Verisign和Thawte(后者实际上是前者的子公司)。还有一些其他的CA公司,但它们只占据很少一部分CA市场。通过对你的公钥进行签名,CA可以保证这个公钥是由你所发布的。

 

证书链

    证书主要是为了确保公钥正确性。还是可以对这一功能进行扩充,可以将多个证书链接起来组成一个证书链。证书链中的每个实体(除了最后一个实体之外)都是一个CA。证书链用于管理证书。通过建立子证书,就易于实现每个证书的功能。

 

证书撤销清单(CRL)

    有时,需要在证书有效期之间取消该证书。证书撤销清单提供了这种功能。CRL中存放了由CA签署的已被撤销的证书的序列号。每个CA都有它自己的CRL可供下载。如果你想知道某个证书是否有效,可以检查一下CRL,看看有无该证书的序列号。如果没有的话,则该证书还没有被撤销。

 

公钥基础设施(PKI)

    公钥基础设施是管理公钥密码的一个基本系统。正如我们所知道的,在配置甚至刚刚开始建立安全系统时,就涉及到很多的算法、协议和安全概念。PKI试图将大量的算法和标准集成进一个统一的系统中以提供安全服务。

    PKI至少必须提供以下服务:

  • 创建证书
  • 证书撤销
  • 证书的验证
  • 向客户端提供证书 
分享到:
评论

相关推荐

    S变换+Sockwell R G , Mansinha L , Lowe R P . Localization of the complex spectrum: the S transformJ

    s变换用的高斯窗函数( 高斯窗是指数窗的一种,它也无负的旁瓣,而且没有旁瓣波动,因而不回引起计算谱中假的极大值或极小值,而且高斯窗频率窗函数的主瓣比指数窗的主瓣窄,分辨率比指数窗有所提高。

    2021科大讯飞车辆贷违预测大赛冠军源码+全部资料.zip

    2021科大讯飞车辆贷违预测大赛冠军源码+全部资料.zip [资源说明] 1、该项目是团队成员近期最新开发,代码完整,资料齐全,含设计文档等 2、上传的项目源码经过严格测试,功能完善且能正常运行,请放心下载使用! 3、本项目适合计算机相关专业(人工智能、通信工程、自动化、电子信息、物联网等)的高校学生、教师、科研工作者、行业从业者下载使用,可借鉴学习,也可直接作为毕业设计、课程设计、作业、项目初期立项演示等,也适合小白学习进阶,遇到问题不懂就问,欢迎交流。 4、如果基础还行,可以在此代码基础上进行修改,以实现其他功能,也可直接用于毕设、课设、作业等。 5、不懂配置和运行,可远程教学 欢迎下载,学习使用!

    AI图像处理工具包-一键抠图、背景切换、旧照片修复、人像漫画化、视频卡通化(Python+OpenCV+Dlib+TensorFlow).zip

    AI图像处理工具包-一键抠图、背景切换、旧照片修复、人像漫画化、视频卡通化(Python+OpenCV+Dlib+TensorFlow).zip [资源说明] 1、该项目是团队成员近期最新开发,代码完整,资料齐全,含设计文档等 2、上传的项目源码经过严格测试,功能完善且能正常运行,请放心下载使用! 3、本项目适合计算机相关专业(人工智能、通信工程、自动化、电子信息、物联网等)的高校学生、教师、科研工作者、行业从业者下载使用,可借鉴学习,也可直接作为毕业设计、课程设计、作业、项目初期立项演示等,也适合小白学习进阶,遇到问题不懂就问,欢迎交流。 4、如果基础还行,可以在此代码基础上进行修改,以实现其他功能,也可直接用于毕设、课设、作业等。 5、不懂配置和运行,可远程教学 欢迎下载,学习使用!

    基于java+springboot+vue+mysql的远程教育网站设计与实现.docx

    基于java+springboot+vue+mysql的远程教育网站设计与实现.docx

    springboot005学生心理咨询评估系统(源码+数据库+论文+PPT+包调试+一对一指导)

    毕业设计资料,计算机毕业设计,源码,毕业论文,毕业答辩,答辩PPT,Java毕业设计,php毕业设计,ASP.NET毕业设计,毕业指导,计算机作业,php作业,java作业,ASP.NET作业,编程作业,管理系统,网站,app,毕业设计学习,Java学习,php学习,ASP.NET学习,java课程,php课程,ASP.NET课程,答辩技巧,SQLSERVER数据库,Mysql数据库,jdbc,SSM框架,SpringBoot框架,Html5,小程序

    蓝牙串口助手,可以连接HC-05等蓝牙模块,实现单片机设备与手机通讯,安卓手机,蓝牙调试助手,具有按键功能!

    蓝牙串口助手,可以连接HC-05等蓝牙模块,实现单片机设备与手机通讯,安卓手机,蓝牙调试助手,具有按键功能!

    TriLib-2-Model-Loading-Package-2.3.7.unitypackage

    TriLib 2 是一个跨平台的运行时 3D 模型导入器

    “人力资源+大数据+薪酬报告+涨薪调薪”

    人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。

Global site tag (gtag.js) - Google Analytics