密码学应用(二)
身份验证
身份验证又称为“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确定。
身份验证的方法:
- 基于共享密钥的身份验证;
- 基于生物学特征的身份验证;
- 基于公开密钥加密算法的公开验证。
身份验证的目的:
确认当前所声称为某种身份的用户,确实是所声称的用户。
身份认证可分为三类:
- 实体所知:
应用最广泛的认证方式,因为其成本低,实现简单。例如:口令、验证码等。
面临的威胁也比较大。例如:暴力破解、木马等。
- 实体所有:
是一种安全性较高,成本也比较高的认证方式。例如:IC卡、门禁卡等。
实体所有因为存在固体实物,会面临着损坏和被复制的风险。
数字签名也是实体所有的一种认证方式。
- 实体特性:
是安全性最高的一种认证方式,通常采用生物识别方法进行验证。例如:指纹、虹膜、声波等生物特征。
实体特性的鉴别的准确率和效率取决于开发过程中的算法特征。
实体特性的鉴别方法:
- 错误拒绝率(FRR)
- 错误接受率(FAR)
- 交叉错判率(CER)
数字证书(数字标识)
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。
数字证书对网络用户在计算机网络交流中的信息和数据等以加密或者解密的形式保证了信息和数据的完整性和安全性。
数字证书的申请过程:
把个人信息和公钥提交到某权威机构的证书中心,然后这个中心用自己的私钥将提交过来的信息加密而形成数字证书。这个权威的机构包括以下几个组成部分:
- PKI:
是公钥基础设施(Pubie Key Infrastructure)的简称,PKI利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。 - CA:
是PKI的核心,主要职责为签发证书、更新证书、管理证书(撒销、查询、审计、统计)、验证数字证书、黑名单认证(CRL)、在线认(OCSP)。 - RA:
受理用户的数字证书申请(对证书申请者身份进行审核并提交CA制证)、提供证书生命期的维护工作(受理用户证书申请、协助颁发用户证书、审核用户真实身份、受理证书更新请求、受理证书吊销)。 - 证书库:
证书存放管理,信息的存储库,提供了证书的保存,修改,删除和获取的能力;
CRL(Crifiate Revocation Lis):证书撤销列表,也称“证书黑名单”,存放被撒销证书的序列号,证书有效期期间因为某种原因(人员调动、私钥泄漏等)导致证书不再真实可信,因此需要进行证书撤销
申请流程如下图:
- Alice 发送注册信息给RA
- RA审查通过后发送给CA
- CA将Alice个人信息,Alice公钥可能还会包括Alice的数字签名打包成数字证书
- CA将签发数字证书下载凭证,并将下载凭证将给RA
- CA将数字证书交给证书库保存
- RA将下载凭证交回给Alice
- Alice向CA提交下载证书申请和凭证
- Alice从CA下载证书
- Alice 向Susam发送自己的证书
- Susam验证证书
数字证书验证,首先会由浏览器使用已经储在浏览器中的Root CA的公钥来验证中间证书的数字如果证书的签发机构能够在可信任签发机构中找到则为可信任证书。
如果查询不到,则从授权信思访问信息段中获得该签发机构的数字证书。并判断该授权机构的数字证书的签发机构是否能够在可信任签发机构中找到,若果找到则该授权机构是可信的,井从投权机构的数字证书中获得授权机构的公钥,如果不在则重复这一步骤。 如果最终都没有找到可信机构,则为不可信证书。
HTTPS
简介:
我们知道网络层,可以实现两个主机之间的通信。但是这并不具体,因为,真正进行通信的实体是在主机中的进程,是一个主机中的一个进程与另外一个主机中的一个进程在交换数据。IP协议虽然能把数据报文送到目的主机,但是并没有交付给主机的具体应用进程。而端到端的通信才应该是应用进程之间的通信。
UDP,在传送数据前不需要先建立连接,远地的主机在收到UDP报文后也不需要给出任何确认。虽然UDP不提供可靠交付,但是正是因为这样,省去和很多的开销,使得它的速度比较快,比如一些对实时性要求较高的服务,就常常使用的是UDP。对应的应用层的协议主要有 DNS,TFTP,DHCP,SNMP,NFS 等。
TCP,提供面向连接的服务,在传送数据之前必须先建立连接&