计算机系统(四):计算机网络中的安全(特别篇)——认证

已于 2022-06-13 23:34:14 修改
阅读量310 收藏
点赞数
分类专栏: 计算机网络 文章标签: 数字证书 Handshake 协议 SSL / TLS 网络安全 SSL 证书类型
于 2022-06-13 23:34:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Abner98414/article/details/125269087
版权

目录

引言

5.4 数字证书

5.4 1 证书的目的

5.4 2 证书等级

5.4.3 SSL 证书类型

5.4.4 SSL / TLS

5.4.5 Handshake 协议

引言

上一篇博文我们在最后简单引入了公钥认证,这篇博文将正式学习有关认证的知识。

5.4 数字证书

数字证书由权威机构发型,人们可以在互联网上用来识别对方的身份。

证书遵循国际标准 ITUTX.509,主要包括下面的内容:

  • 版本信息
  • 序列号,每个证书都有唯一的序列号
  • 使用的签名算法
  • 签发机构(命名规则一般采用 X.500格式)
  • 有效期
  • 证书所有人的名称
  • 证书所有人的公钥 public key
  • 证书发行者的签名

5.4 1 证书的目的

  • 证明某个 public key 确实是某个人所有的
  • 证书本身是有第三方签署的(Cetificate Signature)

5.4 2 证书等级

5.4.3 SSL 证书类型

域名验证(Domain validation)

最常使用的验证方式。

验证请求者是否对网站的域名有一定的控制权。

例如如果登录一个网站,网站需要你提供一些私人的信息,那么这个时候我们就需要通过查看当前让我们提供身份信息的服务器是否拥有这个网站的控制权,以免是其他身份不明者冒充的。

  • 在这个例子中,客户端是右边,提供服务的网站在左边。
  • 首先右边先要求左边的网站执行第一个操作 Put… 这个行为是为了证明当前的网络服务器对这个域名是有操作和控制权的。
  • 第二步是让网站对一个随机数进行签名,以证明网站具有私钥,证明网站拥有私钥以此证明自己的验证网站身份。

问题:
域名验证并没有将 domain 和一个现实世界的实体建立联系,因此还是有可能被欺骗。

假设现在左边的机构是有问题的,然后右边要让左边完成上述的两个动作,然后左边的问题机构将第一个验证控制权的问题发给真正的经过授权的机构,然后将正确机构返回的结果直接返回给右边,那么右边不能发觉左边问题机构是有问题的。

对于私钥签名的问题,左边只需要确实用自己假的私钥进行签名,然后把公钥发送给右边,右边的用户也完全察觉不到问题。

机构验证(Organization validation)

验证这个网站是不是一个合法的网站。

扩展验证(Extended validation)

核实法人实体、管辖权和授权官员的存在(例如,实际地址、电话#)。

证书撤销(certificate revocation)

  • 当发现错误的签发问题,那么要撤回签发的证书。
  • 当一个机构的私钥泄露,那么也要撤回签发的证书。

证书吊销列表

权威机构会将所有需要吊销证书的域名维护在一个 list 中,每次用户访问某个网站的时候都去查这个完整的 list,看看当前的网站是否出现在这个 list 中,如果出现,那就不访问了。

  • 这种方式速度较慢,但是可以保证 privacy

OCSP:Online Certificate Status Protocol(在线证书状态协议)

  • 用户 / browser 直接询问 CA 某个证书是否已经被吊销,
  • 这种方式快,但是容易存在隐私问题。
  • 证书透明性。
     

证书的透明度(CT)

监测和审计证书的开放框架。

旨在提供一种监测已颁发的证书的方法。

检测:

  • 误发的证书
  • 恶意获取的证书
  • 流氓CA

使用加密的仅有附录的日志来记录证书的发放情况。

  • 默克尔树:一致性和成员验证。

服务器应发送SCT(签名的证书时间戳)。

  • SCT是由CT日志发出的,以证明其包含性。

浏览器可以选择拒绝不在CT日志上的证书。

SCT是X.509的一个扩展。

5.4.4 SSL / TLS

  • Internet 传输层 安全通信协议
  • 支持所有流行的web浏览器、web服务器、internet商务网站
  • 在 HTTP 的基础上实现了 TLS 协议 -> HTTPS

5.4.5 Handshake 协议

在客户端和服务器之间运行。

  • 例如,客户端=网络浏览器,服务器=网站。

协商协议的版本和要使用的加密算法集。

  • 不同实现方式之间的互操作性。

验证服务器和客户端(可选)。

  • 使用数字证书来了解对方的公钥。

并验证对方的身份。

  • 通常只有服务器被认证。

使用公钥建立一个共享秘密。

使用 公钥加密 在客户端和服务器之间 建立多个共享密钥

客户机和服务器之间的初始协商,确定其在TLS中后续交互的参数

具体流程如下:

  • 客户端向服务器发送自己使用的协议版本、加密算法等

  • 服务器根据客户端的各种版本决定最终使用哪种协议版本以及加密算法进行通信

  • 服务器发送包含其公钥或其Diffie-Hellman公钥gy的公钥证书(取决于所选的加密套件)
  •  这个步骤是验证证书的阶段

  • client 通过 server 提供的公钥对自己的私钥进行加密,并把加密的私钥发送给 server

  • 客户端向服务器发送ClientHello,要求进行安全连接,并列出其支持的密码套件。
  • 服务器响应ServerHello,并选择它所支持的密码套件之一,还包括它的证书,并可以要求客户端发送它的证书(相互认证)。
  • 客户端确认证书的有效性
  • 客户端生成会话密钥

        - 或者直接选择一个随机的密钥,用服务器的公钥进行加密,或者
        - 通过运行Diffie-Hellman密钥交换协议,提供更好的安全性

  • 握手结束,双方共享一个密钥,然后用于加密/解密信息。

小羊和小何
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络篇 2:图片优化——质量与性能的博弈(2).md
04-01
我希望正在阅读这本小册的各位可以在心里琢磨一下这个问题——无须你调动太多计算机的专业知识,只需要你用最快的速度在脑海架构起这个抽象的过程——我们接下来所有的工作,就是围绕这个过程来做文章。...
计算机系统学习之(8):认证 (Certificate)
qq_42902997的博客
06-13 802
最常使用的验证方式验证请求者是否对网站的域名有一定的控制权例如如果登录一个网站,网站需要你提供一些私人的信息,那么这个时候我们就需要通过查看当前让我们提供身份信息的服务器是否拥有这个网站的控制权,以免是其他身份不明者冒充的 在这个例子,客户端是右边,提供服务的网站在左边首先右边先要求左边的网站执行第一个操作 Put… 这个行为是为了证明当前的网络服务器对这个域名是有操作和控制权的第二步是让网站对一个随机数进行签名,以证明网站具有私钥,证明网站拥有私钥以此证明自己的验证网站身份......
系统理解certificate证书,及配置全攻略.
weixin_30480075的博客
03-11 3589
知识回顾: IIS:Internet Information Server的缩写为(IIS)是一个World Wide Web server。Gopher server和FTP server全部包容在里面。 IIS意味着你能发布网页,并且有ASP(Active Server Pages)、JAVA、VBscript产生页面,有着一些扩展功能。IIS支持一些有趣的东西,象有编辑环境的界面(FRON...
关于证书(certificate)和公钥基础设施(PKI)的一切
weixin_42073629的博客
04-30 4310
这篇长文并不是枯燥、零碎地介绍 PKI、X.509、OID 等概念,而是从前因后果、历史沿革 的角度把这些东西串联起来,逻辑非常清晰,让读者知其然,更知其所以然。 证书和 PKI 的目标其实很简单:将名字关联到公钥(bind names to public keys)。 加密方式的演进: MAC最早的验证消息是否被篡改的方式,发送消息时附带一段验证码 |双方共享同一密码,做哈希;最常用的哈希算法:HMAC | \/ Signature 解决 ...
CA认证(Certificate Authority)
芦金宇的专栏
10-17 4596
CA认证,即电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。证书颁发机构(CA, CertificateAuthority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易受信任的第三方,承担公钥体系公钥的合法性检验的责任。
Certificate 超详细解析cer证书(序列号,颁发者,公钥等)
热门推荐
生命不息,bug不止,一起探讨下写bug的技术吧
03-02 2万+
我们一般说的证书就是数字证书数字证书是指在互联网通讯标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份 一般有两种:PFX证书、CER证书 PFX证书: 由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以pfx作为证书文件后缀名。 一般RSA证书比较多,现在国内的RSA根证到期,有些企业已经不用了。 SM2证书: 1.二进制编码的证书 证书没有私钥,DER 编码二进制格式的证书文件,以ce
计算机信息技术与网络安全研究3篇-计算机安全论文-计算机论文.docx
06-06
——文章均为WORD文档,下载后可直接编辑使用亦可打印—— 第一篇:计算机信息技术与网络安全探析 1研究背景 1.1文献综述 随着互联网的普及,网络信息技术得到了广泛的应用。网络信息技术已逐渐成为推动社会进步的...
应用篇 1:优化首屏体验——Lazy-Load 初探(2).md
04-01
我希望正在阅读这本小册的各位可以在心里琢磨一下这个问题——无须你调动太多计算机的专业知识,只需要你用最快的速度在脑海架构起这个抽象的过程——我们接下来所有的工作,就是围绕这个过程来做文章。...
渲染篇 2:知己知彼——解锁浏览器背后的运行机制(2).md
最新发布
04-01
我希望正在阅读这本小册的各位可以在心里琢磨一下这个问题——无须你调动太多计算机的专业知识,只需要你用最快的速度在脑海架构起这个抽象的过程——我们接下来所有的工作,就是围绕这个过程来做文章。...
渲染篇 4:千方百计——Event Loop 与异步更新策略(1).md
04-01
我希望正在阅读这本小册的各位可以在心里琢磨一下这个问题——无须你调动太多计算机的专业知识,只需要你用最快的速度在脑海架构起这个抽象的过程——我们接下来所有的工作,就是围绕这个过程来做文章。...
GMP 计算机化系统验证
09-11
近几年国外还是国家药监局的不断展开飞检,涵盖QC实验室,生产药机设备,同时开出的缺陷项必有一项涉及到数据完整性方面,内容不外乎数据造假、恶意篡改或删除数据、预进样、数据未有效备份或电子签名等等,导致制药企业已经将计算机化系统确认与验证作为一个日常工作。 在制药企业信息化过程,应该把计算机系统验证作为一个重要工作,纳入项目交付的规划和执行。 本文介绍了计算机化系统验证的基本主要流程,了解GMP的框架,以及如何开展相关的验证。
WiFi认证—分析从连接WiFi到上网的全过程(一)
maimang1001的专栏
07-28 4348
802.11的帧控制结构有很多,它被基本的区分为控制帧和管理帧,本文仅对连接AP的过程进行分析,所以仅涉及管理帧的分析。可以注意到,ProbeRequest用于主动扫描试图寻找网络,而不是听候网络宣告其本身的存在,此时的请求仍然使用广播的形式来探测指定SSID的AP是否存在,试图从该AP获取所发现的所有BSS及其相关参数。在普通家用路由器可以正常连接外网的时候,无线局域网内部的主机可以通过此路由器完成对外网访问,就浏览网页而言,这个过程做运行的协议,经过的设备将在后面部分分析。...
05_《计算机安全原理与实践》用户认证
qq_42171569的博客
04-30 1618
05_《计算机安全原理与实践》用户认证 前言 NIST SP 800-63-3 将用户认证定义为:信息系统对用户电子式提交的身份建立信任的过程。系统根据用户提交的认证信息判断用户是否被授权使用系统的某些资源。举个例子,在使用window系统时需要输入pin来登录设备,获得pc的使用权。本章将简要罗列用户验证的相关原理,对书留下的主要问题进行简要讨论。 1.认证方法和风险评估 1.1 认证方法 计算机系统主要基于种方法对用户进行认证: 1.个人所知道的信息:可以是个人标识码或口令,或是关于预设问题的应
一文读懂CCSC—数据安全认证
aqpxrz的博客
01-29 8540
CCSC—数据安全概述 网络安全能力认证(英文名称Certification for Cyber Security Competence)—数据安全方向, 简称CCSC—数据安全,课程基于数据安全咨询服务实践,通过知识(Knowledge)、技能(Skill)、能力(Ability)的传授,帮助学员构建数据安全知识框架,掌握数据安全治理工作的核心能力,并在模拟实践习得实际工作环境所需的技能,使学员具备在企业建立数据安全管理体系和防护体系、开展数据安全规划等工作的能力。对准予注册的申请人,CNCERT
openssl命令生成根证书和使用根证书签名工作证书
chali1314的博客
09-08 4016
建立根证书流程如下: //生成私钥,产生CARoot.key文件,需要输入私钥保护口令 openssl genrsa -des3 -out CARoot.key 2048 //生成证书请求,需要输入CARoot.key私钥保护口令。根据提示输入:国家、省份、组织名、邮箱、等信息。最后生成CARoot.csr证书请求文件。 openssl req -new -key CARoot.key -out CARoot.csr -config openssl_root_ca.cnf //签发证书,最后生成自签..
【一】生成CA根证书、公钥、私钥指令(数字证书
Rookie_Manito的博客
01-18 8941
一、生成CA根证书 #生成 CA 私钥 openssl genrsa -out ca.key 1024 因为是自签名,省略生成 证书签名请求csr 的过程,直接执行以下命令生成CA证书) openssl req -new -x509 -days 365 -key ca.key -out ca.crt 注:-days 365 指定有效期 二、每个证书持有人(Client、Server)都有一对公钥、私钥 #生成服务器端私钥 openssl genrsa -out server.key 1024 #利用服务器
数字证书(Certificate)
weixin_30646505的博客
06-11 409
Security的基础就是加解密算法,算法是公开的,任何人都可以得到,而使用算法的核心就是key,主要有private key和public key,而数字证书作为key的载体,在Security体系自然起到关键的作用。本文将从证书的发放,回收,保存,使用方面对数字证书进行详细的介绍。 1.证书的发放与回收 能否发放Certificate的机构称为CA,CA可以后多级,每一份cer...
大最值得推荐的信息安全从业者认证
weixin_33913332的博客
07-08 1515
01.信息安全国际第一认证——CISSP 这个俗称“双SS”的CISSP认证,已经具有二十多年的历史,绝对称得上是全球安全行业最权威认证,拥有十几万持证人员,在全球范围内得到业内的认可。甚至在移民澳大利亚、加拿大和欧洲一些国家时,拥有此证还可加分。无论是做安全产品、售前工程师,还是企业内部的安全管理人员,CISSP几乎可以说是必持之证。 CISSP的涉及...
计算机系统安全认证S/KEY协议认证过程
weixin_44133008的博客
06-07 3132
用于保存学过知识,怕忘记。。 计算机系统安全 2020.6.7 客户端给服务器发送连接请求,服务器返回给客户端seed和sed 客户端将password和seed拼在一起16字节,分开成前后8字节,进行异或得到S S进行md4运算1次得到第n个密码,2次得到第n-1个密码,,,,, 服务器保存第1个密码,就是运算了n次的那个,客户端连接从第2个密码,就是运算了n-1次的那个开始使用,, 客户端发送密码去服务器,服务器将密码进行一次md4运算,如果结果与自己保存的密码相同,就让客户端登录,并保存这次客户
计算机网络课程设计——小型
09-05
计算机网络课程设计小型企业网络设计的主要内容包括概要设计和需求分析两个方面。 在概要设计,首先需要画出网络拓扑结构图,明确网络各个设备的连接关系和布局。根据企业的需求,需要进行VLAN划分,将网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值