论坛: 系统集成 标题: PKI技术漫谈 复制本贴地址    
作者: tmxk [tmxk]    论坛用户   登录

    对称加密:即加密解密用同一个密钥,如des des3 md5都是这种。
    非对称加密:即加密解密分别使用不同的密钥,专有名词叫PKI(Public Key  Infrastructure,中文名叫作公钥基础设施),使用RSA或者ECC椭圆算法。要想让这个体系正常运转起来,通常需要建立CA认证中心,国内已经有的认证中心有中国金融认证中心www.cfca.com.cn上海北京以及各省的CA认证中心,一般每个省的CA认证中心都有其它省认证中心的链接,给大家个网址去看好了,http://www.hebca.com。技术方面有一个PKI论坛,www.pki.com.cn. PKI是一个很不错的安全体系,欢迎大家去看看。

    PKI论坛上有几份PKI的技术白皮书,大家可以下载来看一看。或者去不同的CA认证中心也可以找到这个东西。目前PKI的应用主要集中在网上银行、网上报税、网上工商、网站的身份识别等方面。主要是解决传输过程中对信息的
    加密:在公网上传安全信息;签名:保证数据的完整性、防篡改、身份识别。

    更一般的应用有两方面,一是服务器证书,象用msn登录hotmail信箱,IE右下角出现小锁的那种。一个是S-MIME,就是安全的电子邮件,电子邮件作了加密和签名。

    欢迎大家参与讨论。



地主 发表时间: 04-08-19 16:48

回复: Achieve [achieve]   版主   登录
[好]

B1层 发表时间: 04-08-20 01:12

回复: TecZm [teczm]   版主   登录
PKI技术同其他任何身份认证技术一样,只能做到相对的实体对象唯一性。
即:当生成密钥对的管理人员徇私时,私钥就会泄露。
因此,任何的安全技术都必须要有相应的管理制度来制约,否则,再强的安全技术也就是面子了,呵呵。

B2层 发表时间: 04-08-20 08:15

回复: lqfrla [lqfrla]   论坛用户   登录
再安全也得要人去弄

所以嘛,人是最主要的角色

贿赂他就可以了

B3层 发表时间: 04-08-20 11:25

回复: tmxk [tmxk]   论坛用户   登录
Teczm只说对了一半,人员是重要的,体系也同样重要。

PKI叫公钥基础设施,谈到基础设施,那就不只是技术噢。比如CA认证中心的建设,就是把重点放在CP(Certificate Policy)及CPS(Certification Practice Statement)----认证策略及安全策略的制定上。

另外,从技术上是可以解决私钥唯一的问题的,能作到私钥只有自己本人管理。那就是通过专用的客户端生成密钥对,然后把公钥发给CA中心去签发证书。IE就可以作这个工作。但这只是技术上的解决,并不是通常的作法哟。

B4层 发表时间: 04-08-20 15:40

回复: TecZm [teczm]   版主   登录
部分同意楼上的观点。

体系的建立虽然很重要,但是体系的维护更加重要,维护需要的是人,就是说只有管理的制约才能保证正确的体系正确的实施和运行。

我的观点是:无论哪一种安全模型,核心的还是人的管理。

B5层 发表时间: 04-08-23 09:31

回复: lqfrla [lqfrla]   论坛用户   登录

不要那么专业化好不好

用白话就是 管理员的道德如何了,有无责任心的问题了

B6层 发表时间: 04-08-23 10:59

回复: TecZm [teczm]   版主   登录
楼上真是二号

B7层 发表时间: 04-08-23 11:17

回复: lqfrla [lqfrla]   论坛用户   登录
你是一号??????

B8层 发表时间: 04-08-23 12:49

回复: TecZm [teczm]   版主   登录
老A才是

B9层 发表时间: 04-08-24 10:00

回复: ftpftp [ftpftp]   论坛用户   登录
楼上最喜欢灌水

B10层 发表时间: 04-08-26 13:54

回复: pkg_add [pkg_add]   论坛用户   登录
请楼主讲讲U-key的认证流程

B11层 发表时间: 04-08-31 17:42

回复: tmxk [tmxk]   论坛用户   登录
说实话,U-KEY的认证过程我并不清楚。

把我想当然的东西拿出来给大家看,注意,并不严谨,也不一定正确。

我们还是以PKI体系为例:比如,一个网站上安装了服务器证书,并在web server上设定了需要客户证书才能访问。客户端我们用IE,并安装好了usb-key的驱动,使IE能够访问存在KEY里面的证书(这里有时候可能需要安装一个插件)。访问过程是这样的,首先客户端浏览器,这里是IE,用https://网址 的方式向webserver的443端口发出访问请求。待webserver应答后,产生一个随机数提交给webserver, webserver用自己的签名私钥对发来的随机数签名,把结果发给ie, ie收到后用webserver的签名公钥进行验证,通过后,即确定了webserver的身份。这一步当中IE还有一个去根证书区读webserver证书链及根证书的过程。接下来会验证客户端,也就是IE的身份,方式也是一样的,WEBSERVER会产生随机数让IE来签名,IE在收到随机数后,则会进行HASH运算,结束后把HASH值传给U-KEY用私钥进行签名,IE再把签名后的HASH值及随机数的原文发回给WEBSERVER供验证,WEBSERVER验证通过后,会通过授权系统确定用户身份,并进行所授权的访问。

不知道pkg_add朋友想了解的是不是这个东西,如果是IE调用U-KEY的证书过程,我就没有办法更详细地讲了,需要深层次的开发经验,这不是我的强项。

B12层 发表时间: 04-09-07 09:58

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号