|
作者: tmxk [tmxk] 论坛用户 | 登录 |
对称加密:即加密解密用同一个密钥,如des des3 md5都是这种。 非对称加密:即加密解密分别使用不同的密钥,专有名词叫PKI(Public Key Infrastructure,中文名叫作公钥基础设施),使用RSA或者ECC椭圆算法。要想让这个体系正常运转起来,通常需要建立CA认证中心,国内已经有的认证中心有中国金融认证中心www.cfca.com.cn上海北京以及各省的CA认证中心,一般每个省的CA认证中心都有其它省认证中心的链接,给大家个网址去看好了,http://www.hebca.com。技术方面有一个PKI论坛,www.pki.com.cn. PKI是一个很不错的安全体系,欢迎大家去看看。 PKI论坛上有几份PKI的技术白皮书,大家可以下载来看一看。或者去不同的CA认证中心也可以找到这个东西。目前PKI的应用主要集中在网上银行、网上报税、网上工商、网站的身份识别等方面。主要是解决传输过程中对信息的 加密:在公网上传安全信息;签名:保证数据的完整性、防篡改、身份识别。 更一般的应用有两方面,一是服务器证书,象用msn登录hotmail信箱,IE右下角出现小锁的那种。一个是S-MIME,就是安全的电子邮件,电子邮件作了加密和签名。 欢迎大家参与讨论。 |
地主 发表时间: 04-08-19 16:48 |
回复: Achieve [achieve] 版主 | 登录 |
[好] |
B1层 发表时间: 04-08-20 01:12 |
回复: TecZm [teczm] 版主 | 登录 |
PKI技术同其他任何身份认证技术一样,只能做到相对的实体对象唯一性。 即:当生成密钥对的管理人员徇私时,私钥就会泄露。 因此,任何的安全技术都必须要有相应的管理制度来制约,否则,再强的安全技术也就是面子了,呵呵。 |
B2层 发表时间: 04-08-20 08:15 |
回复: lqfrla [lqfrla] 论坛用户 | 登录 |
再安全也得要人去弄 所以嘛,人是最主要的角色 贿赂他就可以了 |
B3层 发表时间: 04-08-20 11:25 |
回复: tmxk [tmxk] 论坛用户 | 登录 |
Teczm只说对了一半,人员是重要的,体系也同样重要。 PKI叫公钥基础设施,谈到基础设施,那就不只是技术噢。比如CA认证中心的建设,就是把重点放在CP(Certificate Policy)及CPS(Certification Practice Statement)----认证策略及安全策略的制定上。 另外,从技术上是可以解决私钥唯一的问题的,能作到私钥只有自己本人管理。那就是通过专用的客户端生成密钥对,然后把公钥发给CA中心去签发证书。IE就可以作这个工作。但这只是技术上的解决,并不是通常的作法哟。 |
B4层 发表时间: 04-08-20 15:40 |
回复: TecZm [teczm] 版主 | 登录 |
部分同意楼上的观点。 体系的建立虽然很重要,但是体系的维护更加重要,维护需要的是人,就是说只有管理的制约才能保证正确的体系正确的实施和运行。 我的观点是:无论哪一种安全模型,核心的还是人的管理。 |
B5层 发表时间: 04-08-23 09:31 |
回复: lqfrla [lqfrla] 论坛用户 | 登录 |
靠 不要那么专业化好不好 用白话就是 管理员的道德如何了,有无责任心的问题了 |
B6层 发表时间: 04-08-23 10:59 |
回复: TecZm [teczm] 版主 | 登录 |
楼上真是二号 |
B7层 发表时间: 04-08-23 11:17 |
回复: lqfrla [lqfrla] 论坛用户 | 登录 |
你是一号?????? |
B8层 发表时间: 04-08-23 12:49 |
回复: TecZm [teczm] 版主 | 登录 |
老A才是 |
B9层 发表时间: 04-08-24 10:00 |
回复: ftpftp [ftpftp] 论坛用户 | 登录 |
楼上最喜欢灌水 |
B10层 发表时间: 04-08-26 13:54 |
回复: pkg_add [pkg_add] 论坛用户 | 登录 |
请楼主讲讲U-key的认证流程 |
B11层 发表时间: 04-08-31 17:42 |
回复: tmxk [tmxk] 论坛用户 | 登录 |
说实话,U-KEY的认证过程我并不清楚。 把我想当然的东西拿出来给大家看,注意,并不严谨,也不一定正确。 我们还是以PKI体系为例:比如,一个网站上安装了服务器证书,并在web server上设定了需要客户证书才能访问。客户端我们用IE,并安装好了usb-key的驱动,使IE能够访问存在KEY里面的证书(这里有时候可能需要安装一个插件)。访问过程是这样的,首先客户端浏览器,这里是IE,用https://网址 的方式向webserver的443端口发出访问请求。待webserver应答后,产生一个随机数提交给webserver, webserver用自己的签名私钥对发来的随机数签名,把结果发给ie, ie收到后用webserver的签名公钥进行验证,通过后,即确定了webserver的身份。这一步当中IE还有一个去根证书区读webserver证书链及根证书的过程。接下来会验证客户端,也就是IE的身份,方式也是一样的,WEBSERVER会产生随机数让IE来签名,IE在收到随机数后,则会进行HASH运算,结束后把HASH值传给U-KEY用私钥进行签名,IE再把签名后的HASH值及随机数的原文发回给WEBSERVER供验证,WEBSERVER验证通过后,会通过授权系统确定用户身份,并进行所授权的访问。 不知道pkg_add朋友想了解的是不是这个东西,如果是IE调用U-KEY的证书过程,我就没有办法更详细地讲了,需要深层次的开发经验,这不是我的强项。 |
B12层 发表时间: 04-09-07 09:58 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号