❶ 网络安全之PKI技术原理
PKI:利用公钥理论和技术建立的提供网络信息安全服务的基础设施。为用户提供所需的密钥和证书管理,用户可以利用PKI平台提供的安全服务进行安全通信。
PKI内容
1、认证机构
PKI的核心部分,认证中心,是数字证书的签发机构,权威可信任的第三方机构
2、数字证书库
在使用公钥体制的网络环境中,必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及它与公钥的匹配关系。
3、密钥备份
如果用户丢失了密钥,会造成已经加密的文件无法解密,引起数据丢失,为了避免这种情况,PKI提供密钥备份及恢复机制
4、证书作废
身份变更或密钥遗失
5、应用接口系统
PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互,确保所建立起来的网络环境安全可信,并降低管理成本。
目前网络交互、网络交易、电子商务、电子政务,可信赖的数字信息环境,必需建立在这些安全要素之上
PKI基于公钥理论,建立在公钥加密技术之上,了解PKI就先了解公钥加密技术。
Public Key Infrastructure 公钥基础设施
在传统密码体制中,用于加密的密钥和解密的密钥完全相同,通过这两个密钥来共享信息。
这种体制所使用的加密算法比较简单,但高效快速,密钥简短,破译困难。然而密钥的传送和保管是一个问题。例如,通讯双方要用同一个密钥加密与解密,首先,将密钥分发出去是一个难题,在不安全的网络上分发密钥显然是不合适的;另外,任何一方将密钥泄露,那么双方都要重新启用新的密钥。
常见算法:MD5、RSA、DES
问题:共享的密钥不安全、通信者都需要不通密钥、通信双方都可否认信息。
❷ 什么是网络安全证书
安全证书是一种安全设置,一般网银都有这样的设置,如果你已经有新的证书了,可以到IE的工具,Internet设置里的安全》证书一项里进行安装,就可以了。如果没有的话就要弄一个安全证书了。你的是交费的邮箱吗?那续费吧。
❸ 数字证书(SSL)的工作原理
SSL连接始终由客户端启动。在SSL会话开始时,将执行SSL握手。此握手生成会话的加密参数。
解释原因:
客户端提交https请求
服务器响应客户,并把证书公钥发给客户端
客户端验证证书公钥的有效性
有效后,会生成一个会话密钥
用证书公钥加密这个会话密钥后,发送给服务器
服务器收到公钥加密的会话密钥后,用私钥解密,回去会话密钥
客户端与服务器双方利用这个会话密钥加密要传输的数据进行通信
解决办法:Gworg获得SSL证书。
❹ 6-认证技术原理与应用
主要内容包括:
认证类型可以分为单向认证、双向认证以及第三方认证。
认证技术方法主要有口令认证技术、智能卡技术、基于生物特征认证技术、Kerberos技术等多种实现方式。
(1)口令认证是基于用户所知道的秘密而进行的技术,是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证。
(2)口令认证一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识和用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
(3)口令认证的优点是简单、易于实现,当用户想要访问系统时,要求用户输入“用户名和口令”即可。
(4)口令认证的不足是容易受到攻击,主要的攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
① 口令信息要安全加密存储;
② 口令信息要安全传输;
③ 口令协议要抵抗攻击,符合安全协议设计要求;
④ 口令选择要做到避免弱口令。
为了保证口令认证安全,网络服务提供商要求用户遵循口令生成安全策略,即口令设置要符合口令安全组成规则,同时对生成的口令进行安全强度评测,从而促使用户选择安全强度较高的口令。
智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。
通过智能卡来实现挑战/响应认证
在挑战/响应认证中,用户会提供一张智能卡,智能卡会一直显示一个随时间而变化的数字,假如用户视图登录目标系统,则系统首先将对用户进行认证,步骤如下:
(1)用户将自己的ID发到目标系统
(2)系统提示用户输入数字
(3)用户从智能卡上读取数字
(4)用户将数字发送给系统
(5)系统收到数字对ID进行确认,如果ID有效,系统会生成一个数字并将其显示给用户,称为挑战
(6)用户将上面的挑战输入到智能卡
(7)智能卡用这个输入的值根据一定算法计算出一个新的数字并提示这个结果,该数字称为应答
(8)用户将应答输入系统
(9)系统验证应答是否正确,如果正确,用户通过验证并登录进入系统
基于生物特征就是利用人类生物特征进行验证。目前,指纹、人脸、视网膜、语音等生物特征信息可用来进行人的生物认证,人的指纹与生俱来,并且一生不变。
一、定义
kerbors是一个网络认证协议,其目标是使用秘钥加密为客户端/服务器提供加强身份认证,其技术原理是利用对称加密密码技术,使用可信的第三方来为应用服务提供认证服务,并在用户和服务器之间建立安全信道。
二、一个kerbors系统设计基本实体:
(1)kerbors客户机,用户用来访问服务器设备
(2)AS(Authentcation Server,认证服务器),识别用户身份并提供TGS会话秘钥
(3)TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket)
(4)应用服务器,为用户提供服务的设备或系统
其中通常将AS和TGS统称为秘钥发放中心KDC(Key Distribution Center)。票据(ticket)是用于安全传递用户身份所需要的信息的集合,主要包括客户方Principal、客户方IP地址、时间戳(分发该Titcket的时间)、Ticket的生存期、以及会话秘钥等内容。
三、KerborsV5认证协议主要由六步构成
kerbors协议中要求用户经过AS和TGS两重认证的优点主要有以下两点:
(1)可以显着减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户的密钥的密文的积累
(2)kerbors认证过程中具有单点登录(Signle Sign On,SSO)的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必输入密码。
四、缺点:
kerbors存在不足之处,kerbors认证系统要求解决主机时间节点同步问题和抵御拒绝服务攻击。
目前windos系统和Hadoop都支持kerbors认证。
PKI(Public Key Infrastructure )就是有创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。
基于PKI的主要安全服务有身份认证、完整性保护、数字签名 、会话加密管理、秘钥恢复。
PKI涉及多个实体之间的协商和操作,主要实体包括CA、RA、终端实体、客户端、目录服务器。
PKI各实体的功能分别叙述如下:
CA(Certification Authority):证书授权机构,主要进行证书的颁发
RA(Registration Authority):证书登记权威机构
目录服务器:CA通常使用一个目录服务器, 提供证书管理和分发的服务
终端实体:指要认证的对象,例如服务器、打印机、Email地址、用户等
客户端:指需要基于PKI安全服务的使用者,包括用户、服务进程等
单点登录:是指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。单点登录解决了用户访问使用不同系统时,需输入不同系统的口令以及保管口令问题,简化了认证管理工作。
认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护。认证技术常见的应用场景如下:
(1)用户身份验证:验证网络资源访问者的身份,给网络系统访问授权提供支持服务
(2)信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒
(3)信息安全保护:通过认证技术保护网络信息的机密性、完整性、防止泄密、篡改、重放或延迟。
❺ 在网络安全中,认证技术起着什么作用
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
❻ 网络安全认证有什么作用,它的流程是什么
4种安全认证介绍比较
随着我国经济的发展,越来越多的企业开始运用互联网络为公司建立内部商业平台,网络的发展也越来越与国际接轨,因此网络的安全也越来越显得重要。今后的企业发展和竞争力的提高越是依赖企业内部的信息化程度,网络的安全化程度就更显得重要。据国家有关部门对2001年的统计了解,网络安全已成为当今IT行业首选职业,因为每个公司如果信息系统安全出问题,都会对公司的业务造成不可估量的损失.网络安全认证已成为近期最热门的认证之一。IDC数据显示,2004年中国网络安全市场总规模将达到4.367亿美金,年增长率达58.8%.
最近发表的调查亦显示安全培训越来越重要。75%的被调查者希望在未来的6个月内参加一个安全培训课程。61%的被调查者将通过网络安全认证作为他们参加其他课程的最主要的动力。
那么现在国内的网络安全认证到底有那些,他们的侧重和适合人群究竟有什么区别?
下面我们就分别介绍他们!
1.老牌安全认证CIW
CIW证书由以下三个国际性的互联网专家协会认可并签署:国际Web协会(IWA),互联网专家协会(AIP)及位于欧洲的国际互联网证书机构(ICII)。属于第三方认证,涉及多个操作系统的,知识涵盖比较全面。
要想学CIW,可分为三步走:
01)CIW Foundations
Foundations是通向CIW认证的第一步。CIW Foundations 课程提供给学员基本操作技能,和一些Internet专业人员希望去理解和使用的知识。在通过考试后,学员将获得CIW ASSOCIATE证书。
02)CIW Professional
CIW学员想拥有CIW Professional证书,在通过 Foundations后,从三种不同工作角色考试中选取一门,通过这门考试后,将获得CIW Professional证书。
03)CIW
有三种不同的 CIW认证分别是: CIW Administrator, CIW Enterprise Developer, 和 CIW Designer,在通过每一种CIW 认证所要求的所有课程考试后,CIW学员将获得相应的 CIW 证书。
CIW虽然知识涵盖范围大,但是由于涉猎过多,所学技术的深度不够,而且知识更新较慢,在实战领域没有多大的使用价值。建议学员可以学一下Foundations课程,了解一下网络安全的基础知识,再去学习其他的专业公司的认证。
http://www.ciwunion.com/
2.安全认证新标准CCSP
思科认证作为目前的IT认证霸主,当然不会放弃安全这一块重头戏,在过去的6个月来自用户对网络安全的强烈需求,让思科特别新推出一项网络安全认证CCSP 以满足上述需求。CCSP(Cisco Certified Security Professional )为思科安全类的专业认证,考生须持有CCNA证书,这项认证同时要求学员参加5门课程:MCNS, CSPFA, CSVPN, CSIDS及CSI。证书有效期为3年。CCSP和CCNP、CCDP是同层次的认证,另外Cisco已决定在中国开始CCIE Security的认证考试,大概在2003年1月开始准备;CCSP所准备的知识点正是安全类的CCIE所需要考察的。
出于对安全认证的重视,思科最近还升级CCSP(Cisco Certified Security Professional)的几门考试课程。3门新的考试科目已在在6月17日生效,其他科目升级考试估计在10月27日推出。
CCSP:提供最佳的Cisco多层次安全网络设计与实施解决方案,对于现在主要的网络硬件设备都是CISCO的标准,这个认证具有最佳的实用性,而且,对于学员来说,这个认证的增值潜力已经可以媲美CCIE,而CCIE Security已经是众多IE的必考认证了。
当然这个认证的起点还是比较高的,拿着PAPER的CCNA证书要去学CCSP还是很困难得,建议在牢固掌握CCNA知识的基础上再去,有条件的话可以学完CCNP之后。官方站点:http://www.cisco.com/en/US/learning/le3/le2/le37/le54/learning_certification_type_home.html
3.专业安全认证CISSP
CISSP是Certification for Information System Security Professional(认证的信息系统安全专家)的缩写,一种反映信息系统安全从业人员水平的证书。CISSP认证由International Information Systems Security Certification Consortium(国际信息系统安全认证联盟)--(ISC)2组织与管理。CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识水平和经验能力,提升其专业可信度,并为企业和组织提供寻找专业人员的凭证依据,目前已经得到了全世界广泛的认可,在很多跨国公司的职位说明书上已经明确要求应聘者需要具备CISSP等相关资质。其考试覆盖了信息系统安全CBK(CommonBodyofKnowledge,常备知识)规定的10个领域,包括访问控制系统和方法、应用和系统开发、业务连续性规划、密码系统、法律、投资和规范、操作安全、物理安全、安全架构和模型、安全管理实践、电信、网络和系统安全等,全面囊括了安全管理各方面的内容。获得该证书的都是具有相当安全知识水平与经验能力、并且关注安全技术最新动态的安全专家。
CISSP起点很高,参加认证的条件者必须在信息系统安全CBK(Common Body of Knowledge)规定的10个考试领域中的一个或多个中工作3年以上。可以是信息安全相关领域的从业者、审计员、咨询者、客户、投资商或教师,要求你在工作中直接应用信息系统安全知识。而且通过认证后,每3年需要重新认证,需要你在3年内获得120个Continuing Professional Ecation (CPE)信用分。
当然在拿到CISSP证书后你的前途将无可限量!:)
官方站点:https://www.isc2.org/cgi-bin/index.cgi
4.微软的安全认证ISA
作为最广泛使用的的操作系统,windows的安全问题,一直都很突出,微软的漏洞和BUG造成的网络瘫痪相信很多网友都经历过。为了应对NT平台上越来越多的安全问题,微软推出了防火墙服务器软件,微软ISA(Internet Security and Acceleration ) SERVER 2000软件,堪称网络安全与速度的完美结合。ISA培训主要学习的是配置服务器,而且是NT操作系统,所以只要对微软的产品熟悉了解都可以学,只需要2天时间就可以掌握,是一个MCP产品认证,适合运用NT平台的小企业的网管。
官方站点:http://www.microsoft.com/china/isaserver/
❼ 什么是网络设备AAA认证怎么实现的
AAA认证是什么意思?AAA认证申报流程.AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。提供给安全设备来授权用户接入设备或者临近网络的一个架构。授权特性用来在用户被认证之后限制用户的权限。统计用来维持设备活动,以及网络或者网络设备中行为的日志。
AAA可以在单个用户或者单个服务的基础上执行它的功能。也就是说,可以用来认证和授权单个用户或者服务,AAA设置在路由器或者PIX或者任何其他这样的设备上,,这些设备都需要AAA对接入设备本身或者与设备相连的网络的用户进行限制。路由器可以使用本地数据库获取用于AAA的数据,比如用户名或者口令或者每个用户的访问控制列表;它也可以通过诸如RADIUS或者TACACS+这样的协议来请求一个认证服务器.
企业信用等级AAA证书属于一种荣誉资质,是提升企业公信力和影响力保障的一项资质。信用等级是信用 (资信)评估机构根据企业资信评估结果对企业信用度划分的等级类别,它反映了企业信用度的高低。
AAA信用等级是一种等级划分。代指企业的信用经过行业、机构评审达到A级的信用标准,获评企业会得到机构出具的牌匾、证书。
另外,信用等级证书我国采用的是国际通行的“四等十级制”评级等级,具体等级分为:AAA,AA,A,BBB,BB,B,CCC,CC,C,D。其中AAA级是最高等级,D级最低。信用等级越高表明企业信用程度越高,经营状况、盈利水平越好,履约能力、偿债能力越强。
❽ 数字证书的原理是什么
一、数字证书的原理:
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字证书的作用
数字证书可用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。数字证书的格式一般采用X.509国际标准。
二、数字证书的功能
信息保密性
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。而CA中心颁发的数字安全证书保证了电子商务的信息传播中信息的保密。
身份确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑 客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。而CA中心颁发的电子签名可保证网上交易双方的身份,银行和信用卡公司可以通过CA认证确认身份,放心的开展网上业务。
不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金, 订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此CA中心颁发的数字安全证书确保了电子交易通信过程的各个环节的不可否认性,使交易双方的利益不受到损害。
不可篡改性
交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。 因此CA中心颁发的数字安全证书也确保了电子交易文件的不可修改性,以保障交易的严肃和公正。