❶ 網路安全之PKI技術原理
PKI:利用公鑰理論和技術建立的提供網路信息安全服務的基礎設施。為用戶提供所需的密鑰和證書管理,用戶可以利用PKI平台提供的安全服務進行安全通信。
PKI內容
1、認證機構
PKI的核心部分,認證中心,是數字證書的簽發機構,權威可信任的第三方機構
2、數字證書庫
在使用公鑰體制的網路環境中,必須向公鑰的使用者證明公鑰的真實合法性。因此,在公鑰體制環境中,必須有一個可信的機構來對任何一個主體的公鑰進行公證,證明主體的身份以及它與公鑰的匹配關系。
3、密鑰備份
如果用戶丟失了密鑰,會造成已經加密的文件無法解密,引起數據丟失,為了避免這種情況,PKI提供密鑰備份及恢復機制
4、證書作廢
身份變更或密鑰遺失
5、應用介面系統
PKI應用介面系統是為各種各樣的應用提供安全、一致、可信任的方式與PKI交互,確保所建立起來的網路環境安全可信,並降低管理成本。
目前網路交互、網路交易、電子商務、電子政務,可信賴的數字信息環境,必需建立在這些安全要素之上
PKI基於公鑰理論,建立在公鑰加密技術之上,了解PKI就先了解公鑰加密技術。
Public Key Infrastructure 公鑰基礎設施
在傳統密碼體制中,用於加密的密鑰和解密的密鑰完全相同,通過這兩個密鑰來共享信息。
這種體制所使用的加密演算法比較簡單,但高效快速,密鑰簡短,破譯困難。然而密鑰的傳送和保管是一個問題。例如,通訊雙方要用同一個密鑰加密與解密,首先,將密鑰分發出去是一個難題,在不安全的網路上分發密鑰顯然是不合適的;另外,任何一方將密鑰泄露,那麼雙方都要重新啟用新的密鑰。
常見演算法:MD5、RSA、DES
問題:共享的密鑰不安全、通信者都需要不通密鑰、通信雙方都可否認信息。
❷ 什麼是網路安全證書
安全證書是一種安全設置,一般網銀都有這樣的設置,如果你已經有新的證書了,可以到IE的工具,Internet設置里的安全》證書一項里進行安裝,就可以了。如果沒有的話就要弄一個安全證書了。你的是交費的郵箱嗎?那續費吧。
❸ 數字證書(SSL)的工作原理
SSL連接始終由客戶端啟動。在SSL會話開始時,將執行SSL握手。此握手生成會話的加密參數。
解釋原因:
客戶端提交https請求
伺服器響應客戶,並把證書公鑰發給客戶端
客戶端驗證證書公鑰的有效性
有效後,會生成一個會話密鑰
用證書公鑰加密這個會話密鑰後,發送給伺服器
伺服器收到公鑰加密的會話密鑰後,用私鑰解密,回去會話密鑰
客戶端與伺服器雙方利用這個會話密鑰加密要傳輸的數據進行通信
解決辦法:Gworg獲得SSL證書。
❹ 6-認證技術原理與應用
主要內容包括:
認證類型可以分為單向認證、雙向認證以及第三方認證。
認證技術方法主要有口令認證技術、智能卡技術、基於生物特徵認證技術、Kerberos技術等多種實現方式。
(1)口令認證是基於用戶所知道的秘密而進行的技術,是網路常見的身份認證方法。網路設備、操作系統和網路應用服務等都採用了口令認證。
(2)口令認證一般要求參與認證的雙方按照事先約定的規則,用戶發起服務請求,然後用戶被要求向服務實體提供用戶標識和用戶口令,服務實體驗證其正確性,若驗證通過,則允許用戶訪問。
(3)口令認證的優點是簡單、易於實現,當用戶想要訪問系統時,要求用戶輸入「用戶名和口令」即可。
(4)口令認證的不足是容易受到攻擊,主要的攻擊方式有竊聽、重放、中間人攻擊、口令猜測等。因此,要實現口令認證的安全,應至少滿足以下條件:
① 口令信息要安全加密存儲;
② 口令信息要安全傳輸;
③ 口令協議要抵抗攻擊,符合安全協議設計要求;
④ 口令選擇要做到避免弱口令。
為了保證口令認證安全,網路服務提供商要求用戶遵循口令生成安全策略,即口令設置要符合口令安全組成規則,同時對生成的口令進行安全強度評測,從而促使用戶選擇安全強度較高的口令。
智能卡是一種帶有存儲器和微處理器的集成電路卡,能夠安全存儲認證信息,並具有一定的計算能力。
通過智能卡來實現挑戰/響應認證
在挑戰/響應認證中,用戶會提供一張智能卡,智能卡會一直顯示一個隨時間而變化的數字,假如用戶視圖登錄目標系統,則系統首先將對用戶進行認證,步驟如下:
(1)用戶將自己的ID發到目標系統
(2)系統提示用戶輸入數字
(3)用戶從智能卡上讀取數字
(4)用戶將數字發送給系統
(5)系統收到數字對ID進行確認,如果ID有效,系統會生成一個數字並將其顯示給用戶,稱為挑戰
(6)用戶將上面的挑戰輸入到智能卡
(7)智能卡用這個輸入的值根據一定演算法計算出一個新的數字並提示這個結果,該數字稱為應答
(8)用戶將應答輸入系統
(9)系統驗證應答是否正確,如果正確,用戶通過驗證並登錄進入系統
基於生物特徵就是利用人類生物特徵進行驗證。目前,指紋、人臉、視網膜、語音等生物特徵信息可用來進行人的生物認證,人的指紋與生俱來,並且一生不變。
一、定義
kerbors是一個網路認證協議,其目標是使用秘鑰加密為客戶端/伺服器提供加強身份認證,其技術原理是利用對稱加密密碼技術,使用可信的第三方來為應用服務提供認證服務,並在用戶和伺服器之間建立安全信道。
二、一個kerbors系統設計基本實體:
(1)kerbors客戶機,用戶用來訪問伺服器設備
(2)AS(Authentcation Server,認證伺服器),識別用戶身份並提供TGS會話秘鑰
(3)TGS(Ticket Granting Server,票據發放伺服器),為申請服務的用戶授予票據(Ticket)
(4)應用伺服器,為用戶提供服務的設備或系統
其中通常將AS和TGS統稱為秘鑰發放中心KDC(Key Distribution Center)。票據(ticket)是用於安全傳遞用戶身份所需要的信息的集合,主要包括客戶方Principal、客戶方IP地址、時間戳(分發該Titcket的時間)、Ticket的生存期、以及會話秘鑰等內容。
三、KerborsV5認證協議主要由六步構成
kerbors協議中要求用戶經過AS和TGS兩重認證的優點主要有以下兩點:
(1)可以顯著減少用戶密鑰的密文的暴露次數,這樣就可以減少攻擊者對有關用戶的密鑰的密文的積累
(2)kerbors認證過程中具有單點登錄(Signle Sign On,SSO)的優點,只要用戶拿到了TGT並且該TGT沒有過期,那麼用戶就可以使用該TGT通過TGS完成到任一伺服器的認證過程而不必輸入密碼。
四、缺點:
kerbors存在不足之處,kerbors認證系統要求解決主機時間節點同步問題和抵禦拒絕服務攻擊。
目前windos系統和Hadoop都支持kerbors認證。
PKI(Public Key Infrastructure )就是有創建、管理、存儲、分發和撤銷公鑰證書所需要的硬體、軟體、人員、策略和過程的安全服務設施。PKI提供了一種系統化的、可擴展的、統一的、容易控制的公鑰分發方法。
基於PKI的主要安全服務有身份認證、完整性保護、數字簽名 、會話加密管理、秘鑰恢復。
PKI涉及多個實體之間的協商和操作,主要實體包括CA、RA、終端實體、客戶端、目錄伺服器。
PKI各實體的功能分別敘述如下:
CA(Certification Authority):證書授權機構,主要進行證書的頒發
RA(Registration Authority):證書登記權威機構
目錄伺服器:CA通常使用一個目錄伺服器, 提供證書管理和分發的服務
終端實體:指要認證的對象,例如伺服器、列印機、Email地址、用戶等
客戶端:指需要基於PKI安全服務的使用者,包括用戶、服務進程等
單點登錄:是指用戶訪問使用不同的系統時,只需要進行一次身份認證,就可以根據這次登錄的認證身份訪問授權資源。單點登錄解決了用戶訪問使用不同系統時,需輸入不同系統的口令以及保管口令問題,簡化了認證管理工作。
認證技術是網路安全保障的基礎性技術,普遍應用於網路信息系統保護。認證技術常見的應用場景如下:
(1)用戶身份驗證:驗證網路資源訪問者的身份,給網路系統訪問授權提供支持服務
(2)信息來源證實:驗證網路信息的發送者和接收者的真實性,防止假冒
(3)信息安全保護:通過認證技術保護網路信息的機密性、完整性、防止泄密、篡改、重放或延遲。
❺ 在網路安全中,認證技術起著什麼作用
身份認證技術是在計算機網路中確認操作者身份的過程而產生的有效解決方法。 計算機網路世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的,計算機只能識別用戶的數字身份,所有對用戶的授權也是針對用戶數字身份的授權。 如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者,也就是說保證操作者的物理身份與數字身份相對應,身份認證技術就是為了解決這個問題,作為防護網路資產的第一道關口,身份認證有著舉足輕重的作用。
❻ 網路安全認證有什麼作用,它的流程是什麼
4種安全認證介紹比較
隨著我國經濟的發展,越來越多的企業開始運用互聯網路為公司建立內部商業平台,網路的發展也越來越與國際接軌,因此網路的安全也越來越顯得重要。今後的企業發展和競爭力的提高越是依賴企業內部的信息化程度,網路的安全化程度就更顯得重要。據國家有關部門對2001年的統計了解,網路安全已成為當今IT行業首選職業,因為每個公司如果信息系統安全出問題,都會對公司的業務造成不可估量的損失.網路安全認證已成為近期最熱門的認證之一。IDC數據顯示,2004年中國網路安全市場總規模將達到4.367億美金,年增長率達58.8%.
最近發表的調查亦顯示安全培訓越來越重要。75%的被調查者希望在未來的6個月內參加一個安全培訓課程。61%的被調查者將通過網路安全認證作為他們參加其他課程的最主要的動力。
那麼現在國內的網路安全認證到底有那些,他們的側重和適合人群究竟有什麼區別?
下面我們就分別介紹他們!
1.老牌安全認證CIW
CIW證書由以下三個國際性的互聯網專家協會認可並簽署:國際Web協會(IWA),互聯網專家協會(AIP)及位於歐洲的國際互聯網證書機構(ICII)。屬於第三方認證,涉及多個操作系統的,知識涵蓋比較全面。
要想學CIW,可分為三步走:
01)CIW Foundations
Foundations是通向CIW認證的第一步。CIW Foundations 課程提供給學員基本操作技能,和一些Internet專業人員希望去理解和使用的知識。在通過考試後,學員將獲得CIW ASSOCIATE證書。
02)CIW Professional
CIW學員想擁有CIW Professional證書,在通過 Foundations後,從三種不同工作角色考試中選取一門,通過這門考試後,將獲得CIW Professional證書。
03)CIW
有三種不同的 CIW認證分別是: CIW Administrator, CIW Enterprise Developer, 和 CIW Designer,在通過每一種CIW 認證所要求的所有課程考試後,CIW學員將獲得相應的 CIW 證書。
CIW雖然知識涵蓋范圍大,但是由於涉獵過多,所學技術的深度不夠,而且知識更新較慢,在實戰領域沒有多大的使用價值。建議學員可以學一下Foundations課程,了解一下網路安全的基礎知識,再去學習其他的專業公司的認證。
http://www.ciwunion.com/
2.安全認證新標准CCSP
思科認證作為目前的IT認證霸主,當然不會放棄安全這一塊重頭戲,在過去的6個月來自用戶對網路安全的強烈需求,讓思科特別新推出一項網路安全認證CCSP 以滿足上述需求。CCSP(Cisco Certified Security Professional )為思科安全類的專業認證,考生須持有CCNA證書,這項認證同時要求學員參加5門課程:MCNS, CSPFA, CSVPN, CSIDS及CSI。證書有效期為3年。CCSP和CCNP、CCDP是同層次的認證,另外Cisco已決定在中國開始CCIE Security的認證考試,大概在2003年1月開始准備;CCSP所准備的知識點正是安全類的CCIE所需要考察的。
出於對安全認證的重視,思科最近還升級CCSP(Cisco Certified Security Professional)的幾門考試課程。3門新的考試科目已在在6月17日生效,其他科目升級考試估計在10月27日推出。
CCSP:提供最佳的Cisco多層次安全網路設計與實施解決方案,對於現在主要的網路硬體設備都是CISCO的標准,這個認證具有最佳的實用性,而且,對於學員來說,這個認證的增值潛力已經可以媲美CCIE,而CCIE Security已經是眾多IE的必考認證了。
當然這個認證的起點還是比較高的,拿著PAPER的CCNA證書要去學CCSP還是很困難得,建議在牢固掌握CCNA知識的基礎上再去,有條件的話可以學完CCNP之後。官方站點:http://www.cisco.com/en/US/learning/le3/le2/le37/le54/learning_certification_type_home.html
3.專業安全認證CISSP
CISSP是Certification for Information System Security Professional(認證的信息系統安全專家)的縮寫,一種反映信息系統安全從業人員水平的證書。CISSP認證由International Information Systems Security Certification Consortium(國際信息系統安全認證聯盟)--(ISC)2組織與管理。CISSP可以證明證書持有者具備了符合國際標准要求的信息安全知識水平和經驗能力,提升其專業可信度,並為企業和組織提供尋找專業人員的憑證依據,目前已經得到了全世界廣泛的認可,在很多跨國公司的職位說明書上已經明確要求應聘者需要具備CISSP等相關資質。其考試覆蓋了信息系統安全CBK(CommonBodyofKnowledge,常備知識)規定的10個領域,包括訪問控制系統和方法、應用和系統開發、業務連續性規劃、密碼系統、法律、投資和規范、操作安全、物理安全、安全架構和模型、安全管理實踐、電信、網路和系統安全等,全面囊括了安全管理各方面的內容。獲得該證書的都是具有相當安全知識水平與經驗能力、並且關注安全技術最新動態的安全專家。
CISSP起點很高,參加認證的條件者必須在信息系統安全CBK(Common Body of Knowledge)規定的10個考試領域中的一個或多個中工作3年以上。可以是信息安全相關領域的從業者、審計員、咨詢者、客戶、投資商或教師,要求你在工作中直接應用信息系統安全知識。而且通過認證後,每3年需要重新認證,需要你在3年內獲得120個Continuing Professional Ecation (CPE)信用分。
當然在拿到CISSP證書後你的前途將無可限量!:)
官方站點:https://www.isc2.org/cgi-bin/index.cgi
4.微軟的安全認證ISA
作為最廣泛使用的的操作系統,windows的安全問題,一直都很突出,微軟的漏洞和BUG造成的網路癱瘓相信很多網友都經歷過。為了應對NT平台上越來越多的安全問題,微軟推出了防火牆伺服器軟體,微軟ISA(Internet Security and Acceleration ) SERVER 2000軟體,堪稱網路安全與速度的完美結合。ISA培訓主要學習的是配置伺服器,而且是NT操作系統,所以只要對微軟的產品熟悉了解都可以學,只需要2天時間就可以掌握,是一個MCP產品認證,適合運用NT平台的小企業的網管。
官方站點:http://www.microsoft.com/china/isaserver/
❼ 什麼是網路設備AAA認證怎麼實現的
AAA認證是什麼意思?AAA認證申報流程.AAA是認證(Authentication)、授權(Authorization)和計費(Accounting)的簡稱,是網路安全中進行訪問控制的一種安全管理機制,提供認證、授權和計費三種安全服務。提供給安全設備來授權用戶接入設備或者臨近網路的一個架構。授權特性用來在用戶被認證之後限制用戶的許可權。統計用來維持設備活動,以及網路或者網路設備中行為的日誌。
AAA可以在單個用戶或者單個服務的基礎上執行它的功能。也就是說,可以用來認證和授權單個用戶或者服務,AAA設置在路由器或者PIX或者任何其他這樣的設備上,,這些設備都需要AAA對接入設備本身或者與設備相連的網路的用戶進行限制。路由器可以使用本地資料庫獲取用於AAA的數據,比如用戶名或者口令或者每個用戶的訪問控制列表;它也可以通過諸如RADIUS或者TACACS+這樣的協議來請求一個認證伺服器.
企業信用等級AAA證書屬於一種榮譽資質,是提升企業公信力和影響力保障的一項資質。信用等級是信用 (資信)評估機構根據企業資信評估結果對企業信用度劃分的等級類別,它反映了企業信用度的高低。
AAA信用等級是一種等級劃分。代指企業的信用經過行業、機構評審達到A級的信用標准,獲評企業會得到機構出具的牌匾、證書。
另外,信用等級證書我國採用的是國際通行的「四等十級制」評級等級,具體等級分為:AAA,AA,A,BBB,BB,B,CCC,CC,C,D。其中AAA級是最高等級,D級最低。信用等級越高表明企業信用程度越高,經營狀況、盈利水平越好,履約能力、償債能力越強。
❽ 數字證書的原理是什麼
一、數字證書的原理:
數字證書採用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)並可以對外公開,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由於沒有相應的私鑰,也無法進行解密。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。
用戶也可以採用自己的私鑰對信息加以處理,由於密鑰僅為本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。採用數字簽名,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認;
(2)保證信息自簽發後到收到為止未曾作過任何修改,簽發的文件是真實文件。
數字證書的作用
數字證書可用於發送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。數字證書的格式一般採用X.509國際標准。
二、數字證書的功能
信息保密性
交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。而CA中心頒發的數字安全證書保證了電子商務的信息傳播中信息的保密。
身份確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功首先要能確認對方的身份,對商家要考慮 客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店,為了做到安全、保密、可靠地開展服務活動,都要進行身份認證的工作。而CA中心頒發的電子簽名可保證網上交易雙方的身份,銀行和信用卡公司可以通過CA認證確認身份,放心的開展網上業務。
不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金, 訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能否認受到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此CA中心頒發的數字安全證書確保了電子交易通信過程的各個環節的不可否認性,使交易雙方的利益不受到損害。
不可篡改性
交易的文件是不可被修改的,如上例所舉的訂購黃金。供貨單位在收到訂單後,發現金價大幅上漲了,如其能改動文件內容,將訂購數1噸改為1克,則可大幅受益,那麼訂貨單位可能就會因此而蒙受損失。 因此CA中心頒發的數字安全證書也確保了電子交易文件的不可修改性,以保障交易的嚴肅和公正。