Ⅰ 網路基本知識-公鑰、密鑰、數字證書
客戶端 = > 服務端: 加個微信~
服務端 = > 客戶端: 你禮貌嗎?
客戶端 = > 服務端: 加不加?
服務端 = > 客戶端: 我的微信號:mahuatengshishabi(此時服務端用RSA非對稱加密演算法的私鑰進行了加密,私鑰只有服務端保存)
客戶端 = > 服務端: 是的,我找的就是mahuatengshishabi,是你沒錯(此時客戶端用公開的公鑰解密了服務端加密的內容,驗證了服務端的身份)
Problem :
在上面的例子中,黑客無法冒充服務端給客戶端發數據,因為私鑰只有服務端有,所以黑客加密內容發給客戶端,客戶端用公鑰是無法解開的。
但是有個問題喔,就是因為公鑰是公開的,黑客是不是就可以通過公鑰解開服務端發給客戶端的 「微信號」 了,說明這也是不安全的。
第一步:客戶端 = > 服務端: 加個微信~
第二步:服務端 = > 客戶端: 你禮貌嗎?
第三步:客戶端 = > 服務端: 加不加?
第四步:服務端 = > 客戶端: 我的微信號:mahuatengshishabi(此時服務端用RSA非對稱加密演算法的私鑰進行了加密,私鑰只有服務端保存)
第五步:客戶端 = > 服務端: 是的,我找的就是mahuatengshishabi,我已經申請你的好友了(此時客戶端用公開的公鑰解密了服務端加密的內容,之後我們的通訊通過 對稱加密進行 ,然後把 對稱加密演算法和密鑰 用 RSA公鑰 加密發了過去)
第六步:服務端 = > 客戶端: 好的,我已經同意了(此時服務端用對稱加密演算法和密鑰進行加密)
第七步:客戶端 = > 服務端: ok,我們已經是好友了(此時客戶端用對稱加密演算法和密鑰進行加密)
Problem :
在上面例子中,第五步客戶端把堆成加密演算法和密鑰通過RSA的公鑰進行加密,發給了服務端,這點的做法是,除了真正的服務端以外,其他人無法解密,因為私鑰只有服務端才有,服務端收到數據後,用私鑰進行解密,後續用對稱加密進行通訊。
第一步:客戶端 = > 黑客: 加個微信~(此時就被黑客在某個路由節點截取了)
第二步:服務端 = > 客戶端: 先轉500(此時把黑客生成的公鑰發給客戶端,黑客持有私鑰)
第三步:客戶端 = > 服務端: 已經轉了~(此時客戶端用黑客的公鑰進行加密)
第四步:服務端 = > 客戶端: 我的微信號:mayunshishabi(此時黑客用RSA非對稱加密演算法的私鑰進行了加密,私鑰只有服務端保存,公鑰公開)
第五步:客戶端 = > 服務端: 好的我已經加了,同意下(此時客戶端用黑客的公鑰解密了黑客加密的內容,【 這里無法驗證服務端身份 】,之後我們的通訊通過 對稱加密進行 ,然後把 對稱加密演算法和密鑰 用 RSA公鑰 加密發了過去)
第六步:服務端 = > 客戶端: 不同意,再轉500 (此時黑客用對稱加密演算法和密鑰進行加密)
第七步:客戶端 = > 服務端: 小丑竟是我自己(此時客戶端用對稱加密演算法和密鑰進行加密)
..........
我們用chorme瀏覽器進入,打開證書:
可以看到證書的相關信息
Ⅱ 黎明之海知識秘鑰怎麼用
1、《黎明之海》是一款真實大世界環球冒險MMORPG,具備高自由度和社交屬性。游戲中知識秘鑰是一個內有骰子的寶箱的鑰匙。首先需要通過知識之海秘境,獲得鑰匙。
2、其次需要將鑰匙放入背包。
3、最後靠近寶箱,點擊寶箱旁邊的開啟按鈕,即可使用。
Ⅲ 淘寶上賣的office 2010和win7密鑰從哪裡來的,可靠么,希望懂行的高手傳授一下知識,重謝
這些 可能是代理微軟的產品吧 一般來說 沒問題 如果不行可以申請退款的 淘寶會處理的 再者如果n多人買過 更應該放心
如果是代理的 肯定是微軟中國服務公司給代理公司的 就這么簡單
Ⅳ office2010產品密鑰
HV7BJ-R6GCT-VHBXD-YH4FD-GTH2T 現在肯定能用
Ⅳ 中國共產黨從小到大由弱到強成為世界第一大執政黨成功密碼是什麼
這個問題,古人就已經明白了。一個國家是由人來領導,一個政黨也是的。所以個人的權利,是由眾人給的。中國共產黨,堅持為人民服務,人民安居樂業,國家就會繁榮昌盛。
Ⅵ cad 2010 輸入序列號或編組 ID,還有產品密鑰
序列號:356-72378422
密匙:001B1
至於激活的問題沒建議你去狗狗下載一個2010的注冊機,把申請號復制之後先點「Mem Patch」再點擊「Generate」就出來激活碼了,方便,一勞永逸!
Ⅶ outlook2007產品密鑰
PQDV9-GPDV4-CRM4D-PHDTH-4M2MT
Ⅷ 網路安全基礎知識大全
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。下面就讓我帶你去看看網路安全基礎知識,希望能幫助到大家!
↓↓↓點擊獲取「網路安全」相關內容↓↓↓
★ 網路安全宣傳周活動總結 ★
★ 網路安全教育學習心得體會 ★
★ 網路安全知識主題班會教案 ★
★★ 網路安全知識內容大全 ★★
網路安全的基礎知識
1、什麼是防火牆?什麼是堡壘主機?什麼是DMZ?
防火牆是在兩個網路之間強制實施訪問控制策略的一個系統或一組系統。
堡壘主機是一種配置了安全防範 措施 的網路上的計算機,堡壘主機為網路之間的通信提供了一個阻塞點,也可以說,如果沒有堡壘主機,網路間將不能互相訪問。
DMZ成為非軍事區或者停火區,是在內部網路和外部網路之間增加的一個子網。
2、網路安全的本質是什麼?
網路安全從其本質上來講是網路上的信息安全。
信息安全是對信息的保密性、完整性、和可用性的保護,包括物理安全、網路 系統安全 、數據安全、信息內容安全和信息基礎設備安全等。
3、計算機網路安全所面臨的威脅分為哪幾類?從人的角度,威脅網路安全的因素有哪些?
答:計算機網路安全所面臨的威脅主要可分為兩大類:一是對網路中信息的威脅,二是對網路中設備的威脅。從人的因素考慮,影響網路安全的因素包括:
(1)人為的無意失誤。
(2)人為的惡意攻擊。一種是主動攻擊,另一種是被動攻擊。
(3)網路軟體的漏洞和「後門」。
4、網路攻擊和防禦分別包括那些內容?
網路攻擊:網路掃描、監聽、入侵、後門、隱身;
網路防禦: 操作系統 安全配置、加密技術、防火牆技術、入侵檢測技術。
5、分析TCP/IP協議,說明各層可能受到的威脅及防禦 方法 。
網路層:IP欺騙攻擊,保護措施;防火牆過濾、打補丁;
傳輸層:應用層:郵件炸彈、病毒、木馬等,防禦方法:認證、病毒掃描、 安全 教育 等。
6、請分析網路安全的層次體系
從層次體繫上,可以將網路安全分成四個層次上的安全:物理安全、邏輯安全、操作系統安全和聯網安全。
7、請分析信息安全的層次體系
信息安全從總體上可以分成5個層次:安全的密碼演算法,安全協議,網路安全,系統安全以及應用安全。
8、簡述埠掃描技術的原理
埠掃描向目標主機的TCP/IP服務埠發送探測數據包,並記錄目標主機的相應。通過分析相應來判斷服務埠是打開還是關閉,就可以知道埠提供的服務或信息。埠掃描可以通過捕獲本地主機或伺服器的注入/流出IP數據包來監視本地主機運行情況。埠掃描只能對接受到的數據進行分析,幫助我們發現目標主機的某些內在的弱點,而不會提供進入一個系統的詳細步驟。
9、緩沖區溢出攻擊的原理是什麼?
緩沖區溢出攻擊是一種系統的攻擊手段,通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他指令,以達到攻擊的目的。
緩沖區溢出攻擊最常見的方法是通過使某個特殊的程序的緩沖區溢出轉而執行一個shell,通過shell的許可權可以執行高級的命令。如果這個特殊程序具有system許可權,攻擊成功者就能獲得一個具有shell許可權的shell,就可以對程序進行操控。
10、列舉後門的三種程序,並闡述其原理和防禦方法。
(1)遠程開啟TELNET服務。防禦方法:注意對開啟服務的監護;
(2)建立WEB和TELNET服務。防禦方法:注意對開啟服務的監控;
(3)讓禁用的GUEST用戶具有管理許可權。防禦方法:監護系統注冊表。
11、簡述一次成功的攻擊,可分為哪幾個步驟?
隱藏IP-踩點掃描-獲得系統或管理員許可權- 種植 後門-在網路中隱身。
12、簡述SQL注入漏洞的原理
利用惡意SQL語句(WEB缺少對SQL語句的鑒別)實現對後台資料庫的攻擊行為。
13、分析漏洞掃描存在問題及如何解決
(1)系統配置規則庫問題存在局限性
如果規則庫設計的不準確,預報的准確度就無從談起;
它是根據已知的是安全漏洞進行安排和策劃的,而對網路系統的很多危險的威脅確實來自未知的漏洞,這樣,如果規則庫更新不及時,預報准確度也會相應降低;
完善建議:系統配置規則庫應能不斷地被擴充和修正,這樣是對系統漏洞庫的擴充和修正,這在目前開將仍需要專家的指導和參與才能實現。
(2)漏洞庫信息要求
漏洞庫信息是基於網路系統漏洞庫的漏洞掃描的主要判斷依據。如果漏洞庫
完善建議:漏洞庫信息不但應具備完整性和有效性,也應具備簡易性的特點,這樣即使是用戶自己也易於對漏洞庫進行添加配置,從而實現對漏洞庫的及時更新。
14、按照防火牆對內外來往數據的處理方法可分為哪兩大類?分別論述其技術特點。
按照防護牆對內外來往數據的處理方法,大致可以分為兩大類:包過濾防火牆和應用代理防火牆。
包過濾防火牆又稱為過濾路由器,它通過將包頭信息和管理員設定的規則表比較,如果有一條規則不允許發送某個包,路由器將其丟棄。
在包過濾系統中,又包括依據地址進行過濾和依據服務進行過濾。
應用代理,也叫應用網關,它作用在應用層,其特點是完全「阻隔」了網路的通信流,通過對每個應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。
代理伺服器有一些特殊類型,主要表現為應用級和迴路級代理、公共與專用代理伺服器和智能代理伺服器。
15、什麼是應用代理?代理服務有哪些優點?
應用代理,也叫應用網關,它作用在應用層,其特點是完全「阻隔」了網路的通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。
代理伺服器有以下兩個優點:
(1)代理服務允許用戶「直接」訪問互聯網,採用代理服務,用戶會分為他們是直接訪問互聯網。
(2)代理服務適合於進行日誌記錄,因為代理服務遵循優先協議,他們允許日誌服務以一種特殊且有效的方式來進行。
史上最全的計算機 網路 安全知識 匯總
一、計算機網路面臨的安全性威脅計算機網路上的通信面臨以下的四種威脅:
截獲——從網路上竊聽他人的通信內容。
中斷——有意中斷他人在網路上的通信。
篡改——故意篡改網路上傳送的報文。
偽造——偽造信息在網路上傳送。截獲信息的攻擊稱為被動攻擊,而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。
二、被動攻擊和主動攻擊被動攻擊
攻擊者只是觀察和分析某一個協議數據單元 PDU 而不幹擾信息流。
主動攻擊
指攻擊者對某個連接中通過的 PDU 進行各種處理,如:
更改報文流
拒絕報文服務
偽造連接初始化
三、計算機網路通信安全的目標
(1) 防止析出報文內容;
(2) 防止通信量分析;
(3) 檢測更改報文流;
(4) 檢測拒絕報文服務;
(5) 檢測偽造初始化連接。
四、惡意程序(rogue program)
計算機病毒——會「傳染」其他程序的程序,「傳染」是通過修改其他程序來把自身或其變種復制進去完成的。
計算機蠕蟲——通過網路的通信功能將自身從一個結點發送到另一個結點並啟動運行的程序。
特洛伊木馬——一種程序,它執行的功能超出所聲稱的功能。
邏輯炸彈——一種當運行環境滿足某種特定條件時執行其他特殊功能的程序。
五、計算機網路安全的內容
保密性
安全協議的設計
訪問控制
六、公鑰密碼體制
公鑰密碼體制使用不同的加密密鑰與解密密鑰,是一種「由已知加密密鑰推導出解密密鑰在計算上是不可行的」密碼體制。
1、公鑰和私鑰:
在公鑰密碼體制中,加密密鑰(即公鑰) PK(Public Key) 是公開信息,而解密密鑰(即私鑰或秘鑰) SK(Secret Key) 是需要保密的。
加密演算法 E(Encrypt) 和解密演算法 D 也都是公開的。
雖然秘鑰 SK 是由公鑰 PK 決定的,但卻不能根據 PK 計算出 SK。
tips:
在計算機上可容易地產生成對的 PK 和 SK。
從已知的 PK 實際上不可能推導出 SK,即從 PK 到 SK 是「計算上不可能的」。
加密和解密演算法都是公開的。
七、 數字簽名1、數字簽名必須保證以下三點:
(1) 報文鑒別——接收者能夠核實發送者對報文的簽名;
(2) 報文的完整性——發送者事後不能抵賴對報文的簽名;
(3) 不可否認——接收者不能偽造對報文的簽名。
現在已有多種實現各種數字簽名的方法。但採用公鑰演算法更容易實現。
2、數字簽名的實現 :
因為除 A 外沒有別人能具有 A 的私鑰,所以除 A 外沒有別人能產生這個密文。因此 B 相信報文 __ 是 A 簽名發送的。
若 A 要抵賴曾發送報文給 B,B 可將明文和對應的密文出示給第三者。第三者很容易用 A 的公鑰去證實 A 確實發送 __ 給 B。
反之,若 B 將 __ 偽造成 __『,則 B 不能在第三者前出示對應的密文。這樣就證明了 B 偽造了報文。
八、鑒別
在信息的安全領域中,對付被動攻擊的重要措施是加密,而對付主動攻擊中的篡改和偽造則要用鑒別(authentication) 。
報文鑒別使得通信的接收方能夠驗證所收到的報文(發送者和報文內容、發送時間、序列等)的真偽。
使用加密就可達到報文鑒別的目的。但在網路的應用中,許多報文並不需要加密。應當使接收者能用很簡單的方法鑒別報文的真偽。
鑒別的手段
1 報文鑒別(使用報文摘要 MD (Message Digest)演算法與數字簽名相結合)
2 實體鑒別
九、運輸層安全協議1、安全套接層 SSL(Secure Socket Layer)
SSL可對萬維網客戶與伺服器之間傳送的數據進行加密和鑒別。
SSL 在雙方的聯絡階段協商將使用的加密演算法和密鑰,以及客戶與伺服器之間的鑒別。
在聯絡階段完成之後,所有傳送的數據都使用在聯絡階段商定的會話密鑰。
SSL 不僅被所有常用的瀏覽器和萬維網伺服器所支持,而且也是運輸層安全協議 TLS (Transport Layer Security)的基礎。
1.1 SSL 的位置
1.2 SSL的三個功能:
(1) SSL 伺服器鑒別 允許用戶證實伺服器的身份。具有 SS L 功能的瀏覽器維持一個表,上面有一些可信賴的認證中心 CA (Certificate Authority)和它們的公鑰。
(2) 加密的 SSL 會話 客戶和伺服器交互的所有數據都在發送方加密,在接收方解密。
(3) SSL 客戶鑒別 允許伺服器證實客戶的身份。
2、安全電子交易SET(Secure Electronic Transaction)
SET 的主要特點是:
(1) SET 是專為與支付有關的報文進行加密的。
(2) SET 協議涉及到三方,即顧客、商家和商業銀行。所有在這三方之間交互的敏感信息都被加密。
(3) SET 要求這三方都有證書。在 SET 交易中,商家看不見顧客傳送給商業銀行的信用卡號碼。
十、防火牆(firewall)
防火牆是由軟體、硬體構成的系統,是一種特殊編程的路由器,用來在兩個網路之間實施接入控制策略。接入控制策略是由使用防火牆的單位自行制訂的,為的是可以最適合本單位的需要。
防火牆內的網路稱為「可信賴的網路」(trusted network),而將外部的網際網路稱為「不可信賴的網路」(untrusted network)。
防火牆可用來解決內聯網和外聯網的安全問題。
防火牆在互連網路中的位置
1、防火牆的功能
防火牆的功能有兩個:阻止和允許。
「阻止」就是阻止某種類型的通信量通過防火牆(從外部網路到內部網路,或反過來)。
「允許」的功能與「阻止」恰好相反。
防火牆必須能夠識別通信量的各種類型。不過在大多數情況下防火牆的主要功能是「阻止」。
2、防火牆技術的分類
(1) 網路級防火牆——用來防止整個網路出現外來非法的入侵。屬於這類的有分組過濾和授權伺服器。前者檢查所有流入本網路的信息,然後拒絕不符合事先制訂好的一套准則的數據,而後者則是檢查用戶的登錄是否合法。
(2) 應用級防火牆——從應用程序來進行接入控制。通常使用應用網關或代理伺服器來區分各種應用。例如,可以只允許通過訪問萬維網的應用,而阻止 FTP 應用的通過。
網路安全知識有哪些?
什麼是網路安全?
網路安全是指網路系統的硬體、軟體及系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統可以連續可靠正常地運行,網路服務不被中斷。
什麼是計算機病毒?
計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。
什麼是木馬?
木馬是一種帶有惡意性質的遠程式控制制軟體。木馬一般分為客戶端和伺服器端。客戶端就是本地使用的各種命令的控制台,伺服器端則是要給別人運行,只有運行過伺服器端的計算機才能夠完全受控。木馬不會象病毒那樣去感染文件。
什麼是防火牆?它是如何確保網路安全的?
使用功能防火牆是一種確保網路安全的方法。防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的惟一出入口,能根據企業的安全策略控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網路和信息安全的基礎設施。
什麼是後門?為什麼會存在後門?
後門是指一種繞過安全性控制而獲取對程序或系統訪問權的方法。在軟體的開發階段,程序員常會在軟體內創建後門以便可以修改程序中的缺陷。如果後門被其他人知道,或者在發布軟體之前沒有刪除,那麼它就成了安全隱患。
什麼叫入侵檢測?
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,檢查網路中是否有違反安全策略的行為和遭到襲擊的跡象。
什麼叫數據包監測?它有什麼作用?
數據包監測可以被認為是一根竊聽電話線在計算機網路中的等價物。當某人在「監聽」網路時,他們實際上是在閱讀和解釋網路上傳送的數據包。如果你需要在互聯網上通過計算機發送一封電子郵件或請求一個網頁,這些傳輸信息時經過的計算機都能夠看到你發送的數據,而數據包監測工具就允許某人截獲數據並且查看它。
網路安全基礎知識相關 文章 :
★ 網路安全基礎知識大全
★ 【網路安全】:網路安全基礎知識點匯總
★ 計算機網路基礎技能大全
★ 網路安全的基礎知識
★ 【網路安全】:學習網路安全需要哪些基礎知識?
★ 區域網絡安全防範基礎知識大全
★ 計算機網路知識大全
★ 計算機網路安全基本知識
★ 信息網路安全管理
★ 系統安全基礎知識大全
var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm..com/hm.js?"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })();Ⅸ 請提供關於密鑰和公鑰的相關知識
公鑰基礎設施PKI
作者:xxx123123 文章來源:本站原創 點擊數:29 更新時間:2005-8-29
一、 PKI概述
企業生意成功與否在很大程度上取決於該企業是否擁有一個安全可靠的網路系統。目前大多數企業的IT管理人員都為其企業的網路系統採取了某種形式的加密和認證方案。許多企業的網路管理人員正在利用Web向企業提供安全的Internet商務、虛擬專用網路(VPN)以及遠程認證服務,以使其遠地雇員擁有對企業網路的存取能力。然而,當前的大多數安全技術(例如用戶名和口令、一次性口令以及雙向鑒別)並不適合企業的安全需求,而且這些傳統的技術通常需要互不相同的維護與管理措施。
目前,越來越多的企業需要利用網路與其分布在世界各地的分支機構及遠地雇員相連,因此它們需要採取最有效的安全手段以保護企業資源。然而安全防範措施的加強同時也引發了更多額外的管理工作。值得慶幸的是,公共密鑰基礎設施(PKI)可幫助企業解決這一難題,它可幫助企業建立一個安全可靠的網路管理系統。PKI是一種易於管理的、集中化的網路安全方案。它可支持多種形式的數字認證: 數據加密、數字簽字、不可否認、身份鑒別、密鑰管理以及交叉認證等。PKI可通過一個基於認證的框架處理所有的數據加密和數字簽字工作。PKI標准與協議的開發迄今已有15年的歷史,目前的PKI已完全可以向企業網路提供有效的安全保障。
在運行機理上,有近50種有關PKI的標准在過去的15年中得以統一,供應商們的不懈努力較好地解決了其後端資料庫的互操作能力。一個PKI由眾多部件組成,這些部件共同完成兩個主要功能:為數據加密和創建數字認證。伺服器(即後端)產品是這一系統的核心,這些資料庫管理著數字認證、公共密鑰及專用密鑰(分別用於數據的加密和解密)。CA(Certificate Authority,認證權威)資料庫負責發布、廢除和修改X.509數字認證信息,它裝有用戶的公共密鑰、證書有效期以及認證功能(例如對數據的加密或對數字簽字的驗證)。為了防止對數據簽字的篡改,CA在把每一數字簽字發送給發出請求的客戶機之前,需對每一個數字簽字進行認證。一旦數字認證得以創建,它將會被自動存儲於X.500目錄中,X.500目錄為樹形結構。LDAP(Lightweight Directory Access Protocol)協議將響應那些要求提交所存儲的公共密鑰認證的請求。CA為每一用戶或伺服器生成兩對獨立的公共和專用密鑰。其中一對用於信息的加密和解密, 另一對由客戶機應用程序使用,用於文檔或信息傳輸中數字簽字的創建。
大多數PKI均支持證書分布,這是一個把已發布過的或續延生命期的證書加以存儲的過程。這一過程使用了一個公共查詢機制,X.500目錄可自動完成這一存儲過程。影響企業普遍接受PKI的一大障礙是不同CA之間的交叉認證。假設有兩家公司,每一家企業分別使用來自不同供應商的CA,現在它們希望相互託管一段時間。如果其後援資料庫支持交叉認證,則這兩家企業顯然可以互相託管它們的CA,因而它們所託管的所有用戶均可由兩家企業的CA所託管。
二、 PKI體系的基本組成
PKI是一種遵循標準的密鑰管理平台,它能夠為所有網路應用透明地提供採用加密和數字簽名等密碼服務所必需的密鑰和證書管理。PKI必須具有認證機關( CA)、證書庫、密鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等基本成分,構建PKI也將圍繞著這五大系統來構建。
* 認證機關
CA是證書的簽發機構,它是PKI的核心。眾所周知,構建密碼服務系統的核心內容是如何實現密鑰管理,公鑰體制涉及到一對密鑰,即私鑰和公鑰, 私鑰只由持有者秘密掌握,無須在網上傳送,而公鑰是公開的,需要在網上傳送,故公鑰體制的密鑰管理主要是公鑰的管理問題,目前較好的解決方案是引進證書(certificate)機制。
證書是公開密鑰體制的一種密鑰管理媒介。它是一種權威性的電子文檔,形同網路計算環境中的一種身份證,用於證明某一主體(如人、伺服器等)的身份以及其公開密鑰的合法性。在使用公鑰體制的網路環境中, 必須向公鑰的使用者證明公鑰的真實合法性。因此,在公鑰體制環境中,必須有一個可信的機構來對任何一個主體的公鑰進行公證,證明主體的身份以及他與公鑰的匹配關系。CA正是這樣的機構,它的職責歸納起來有:
1、驗證並標識證書申請者的身份;
2、確保CA用於簽名證書的非對稱密鑰的質量;
3、確保整個簽證過程的安全性,確保簽名私鑰的安全性;
4、證書材料信息(包括公鑰證書序列號、CA標識等)的管理;
5、確定並檢查證書的有效期限;
6、確保證書主體標識的唯一性,防止重名;
7、發布並維護作廢證書表;
8、對整個證書簽發過程做日誌記錄;
9、向申請人發通知。
其中最為重要的是CA自己的一對密鑰的管理,它必須確保其高度的機密性,防止他方偽造證書。CA的公鑰在網上公開,整個網路系統必須保證完整性。
* 證書庫
證書庫是證書的集中存放地,它與網上"白頁」類似,是網上的一種公共信息庫,用戶可以從此處獲得其他用戶的證書和公鑰。
構造證書庫的最佳方法是採用支持LDAP協議的目錄系統,用戶或相關的應用通過LDAP來訪問證書庫。系統必須確保證書庫的完整性,防止偽造、篡改證書。
* 密鑰備份及恢復系統
如果用戶丟失了用於解密數據的密鑰,則密文數據將無法被解密,造成數據丟失。為避免這種情況的出現,PKI應該提供備份與恢復解密密鑰的機制。密鑰的備份與恢復應該由可信的機構來完成,例如CA可以充當這一角色。值得強調的是,密鑰備份與恢復只能針對脫密密鑰,簽名私鑰不能夠作備份。
* 證書作廢處理系統
證書作廢處理系統是PKI的一個重要組件。同日常生活中的各種證件一樣,證書在CA為其簽署的有效期以內也可能需要作廢,例如,A公司的職員a辭職離開公司,這就需要終止a證書的生命期。為實現這一,PKI必須提供作廢證書的一系列機制。作廢證書有如下三種策略:
1、作廢一個或多個主體的證書;
2、作廢由某一對密鑰簽發的所有證書;
3、作廢由某CA簽發的所有證書。
作廢證書一般通過將證書列入作廢證書表(CRL)來完成。通常,系統中由CA負責創建並維護一張及時更新的CRL,而由用戶在驗證證書時負責檢查該證書是否在CRL之列。CRL一般存放在目錄系統中。證書的作廢處理必須在安全及可驗證的情況下進行,系統還必須保證CRL的完整性。
* PKI應用介面系統
PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務,因此一個完整的PKI必須提供良好的應用介面系統,使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互,確保所建立起來的網路環境的可信性,同時降低管理維護成本。最後,PKI應用介面系統應該是跨平台的。
三、 PKI的功能 歸納起來,PKI應該為應用提供如下的安全支持 :
* 證書與CA,PKI應實現CA以及證書庫、CRL等基本的證書管理功能。
* 密鑰備份及恢復證書。
* 密鑰對的自動更換證書、密鑰都有一定的生命期限。當用戶的私鑰泄露時,必須更換密鑰對;另外,隨著計算機速度日益提高,密鑰長度也必須相應地長。因此,PKI應該提供完全自動(無須用戶干預)的密鑰更換以及新的分發工作。
* 交叉驗證
每個CA只可能覆蓋一定的作用范圍,即CA的域,例如,不同的企業往往有各自的CA,它們頒發的證書都只在企業范圍內有效。當隸屬於不同CA的用戶需要交換信息時,就需要引入交叉證書和交叉驗證,這也是PKI必須完成的工作。
* 加密密鑰和簽名密鑰的分隔
如前所述,加密和簽名密鑰的密鑰管理需求是相互抵觸的,因此PKI應該支持加密和簽名密鑰的分隔使用。
* 支持對數字簽名的不可抵賴
任何類型的電子商務都離不開數字簽名,因此PKI必須支持數字簽名的不可抵賴性,而數字簽名的不可抵賴性依賴於簽名私鑰的唯一性和機密性,為確保這一點,PKI必須保證簽名密鑰與加密密鑰的分隔使用。
* 密鑰歷史的管理
每次更新加密密鑰後,相應的解密密鑰都應該存檔,以便將來恢復用舊密鑰加密的數據。每次更新簽名密鑰後,舊的簽名私鑰應該妥善銷毀,防止破壞其唯一性;相應的舊驗證公鑰應該進行存檔,以便將來用於驗證舊的簽名。這些工作都應該是PKI自動完成的。
四、 PKI體系的發展前景
如上所述,PKI對企業生意的成功與否至關重要,它可使企業擁有一個公共的安全基礎結構——一個所有安全的應用賴以存在的基礎結構。企業中的許多安全電子郵件、Internet商務應用、VPN以及單簽字功能的安全都將依賴於X.509的認證。PKI對數據加密、數字簽字、反否認、數字完整性以及甄別所需的密鑰和認證實施了統一的集中化管理。
每一企業均可受益於PKI結構化的管理方案。然而令人遺憾的是,迄今為止,僅有少數行業(包括銀行業、金融、健康保險)採用了這一系統。一些敢於嘗試新生事物的企業, 例如Automotive Network Exchange(由美國幾家最大的汽車製造商組成)已開始受益於這一安全技術。
預計,當企業的生意變得更依賴於Web時,為了確保它們對客戶信息的安全處理,更多的企業將會不斷轉向PKI。然而,迄今為止,採用PKI的企業仍寥寥無幾。PKI本身存在的問題是限制用戶廣泛採用它的主要原因。統一標準的缺乏,將許多美國企業拒之於PKI方案的大門之外。事實上,對於開發PKI產品來說,目前已有相當成熟的標准可依。缺乏良好的互操作性,也是PKI廣泛被採用的主要障礙之一。在PKI供應商能夠支持所有標准之前,許多企業需要使用其客戶機上的專利工具包,這也會在很大程度上限制PKI的迅速流行。
然而,限制PKI被廣泛採用的最主要的障礙依然是其設計與實現上的復雜性。但據預計,隨著PKI供應商的逐步統一與合並,實現PKI的過程將會變得越來越簡單。如果復雜的實現令你望而卻步, 則可以把企業的系統外包給某個第三方供應商。
許多權威的認證方案供應商(例如VeriSign、Thawte以及GTE)目前都在提供外包的PKI。外包PKI最大的問題是,用戶必須把企業託管給某一服務提供商, 即讓出對網路安全的控制權。如果不願這樣做,則可建造一個專用的PKI。專用方案通常需把來自Entrust、Baltimore Technologies以及Xcert的多種伺服器產品與來自主流應用程序供應商(如Microsoft、Netscape以及Qualcomm)的產品組合在一起。專用PKI還要求企業在准備其基礎設施的過程中投入大量的財力與物力。
對那些高風險行業(如銀行、金融及保險)來說,今後10年,PKI對它們長期的安全需求將至關重要。隨著PKI技術的廣泛流行,PKI的實現將會更趨簡單, 成本也會逐步降低。由於PKI僅於最近才開始變成一種可行的安全方案,因此這一技術仍有待進一步完善。如果你的企業不能等待這一技術的成熟,那麼現在就採用它,因為其目前的功能已足可以滿足一般企業的大多數安全需求。