亚洲国产精彩中文乱码av在线播放,精品乱子伦一区二区三区,中文字幕一区二区三区av

对称加密和非对称加密

阿卜 — Wed, 21 May 2008 08:42:00 GMT

对称加密��法

对称加密��法对称加密��法是应用较早的加密��法�Q�技术成熟。在对称加密��法中，数据发信方将明文�Q�原始数据）和加密密钥一��L(f��ng)��q�特�D�加密算法处理后�Q��其变成复杂的加密密文发送出厅R��收信方收到密文后，若想解读原文�Q�则需要��用加密用�q�的密钥�?qi��ng)相同算法的逆算法对密文�q�行解密�Q�才能��其恢复成可读明文。在对称加密��法中，使用的密钥只有一个，发收信双斚w��使用�q�个密钥�Ҏ(gu��)��据进行加密和解密�Q�这��p��求解密方事先必须知道加密密钥。对�U�加密算法的特点是算法公开、计��量��、加密速度快、加密效率高。不��之处是�Q�交易双斚w��使用同样钥匙�Q�安全性得不到保证。此外，每对用户每次使用对称加密��法�Ӟ��都需要��用其他�h不知道的惟一钥匙�Q�这�?x��)��得发收信双方所拥有的钥匙数量成几何�U�数增长�Q�密钥管理成为用��L(f��ng)��负担。对�U�加密算法在分布式网�l�系�l�上使用较�ؓ(f��)困难�Q�主要是因�ؓ(f��)密钥��理困难�Q��用成本较高。在计算��Z��|�系�l�中�q�泛使用的对�U�加密算法有DES和IDEA�{�。美国国家标准局倡导的AES卛_��作�ؓ(f��)新标准取代DES�?/p>

DES

数据加密��法�Q�Data Encryption Algorithm�Q�DEA�Q�的数据加密标准�Q�Data Encryption Standard�Q�DES�Q�是规范的描�q�ͼ�它出�?IBM 的研�I�工作，�q�在 1997 �q�被��国政府正式采纳。它很可能是使用最�q�泛的秘钥系�l�，特别是在保护金融数据的安全中�Q�最初开发的 DES 是嵌入硬件中的。通常�Q�自动取�ƾ机�Q�Automated Teller Machine�Q�ATM�Q�都使用 DES�?br />DES 使用一�?56 位的密钥以及(qi��ng)附加�?8 位奇偶校验位�Q��生最�?64 位的分组大小。这是一个�P代的分组密码�Q��用称�?Feistel 的技术，其中��加密的文本块分成两半。��用子密钥对其中一半应用��@环功能，然后��输��Z��另一半进行“异或”运��；接着交换�q�两半，�q�一�q�程�?x��)��l�下去，但最后一个��@环不交换。DES 使用 16 个��@环�?br />��d�� DES 的主要�Ş式被�U�Cؓ(f��)蛮力的或��d��密钥搜烦�Q�即重复��试各种密钥直到有一个符合�ؓ(f��)止。如�?DES 使用 56 位的密钥�Q�则可能的密钥数量是 2 �?56 �ơ方个。随着计算机系�l�能力的不断发展�Q�DES 的安全性比它刚出现时会(x��)弱得多，然而从非关键性质的实际出发，仍可以认为它是��够的。不�q?�Q�DES 现在仅用于旧�pȝ��的鉴定，而更多地选择新的加密标准 �?高��加密标准�Q�Advanced Encryption Standard�Q�AES�Q��?
DES 的常见变体是三重 DES�Q��?168 位的密钥对资料进行三�ơ加密的一�U�机�Ӟ��它通常�Q�但非始�l�）提供极其强大的安全性。如果三�?56 位的子元素都相同�Q�则三重 DES 向后兼容 DES�?br />IBM 曑֯� DES 拥有几年的专利权�Q�但是在 1983 �q�已到期�Q��ƈ且处于公有范围中�Q�允许在特定条�g下可以免除专利��用费而��用�?br />�׃��DES是加(�?�?4位明(�?文，即�ؓ(f��)8个字�?8*8=64)�Q�可以据此初步判断这是分�l�加密，加密的过�E�中�?x��)�?6�ơ��@环与密钥�|�换�q�程�Q�据此可以判断有可能是用到DES密码��法�Q�更�_��的判断还得必��L��得一点DES的加密过�E��?

3DES

3DES是DES加密��法的一�U�模式，它��?�?4位的密钥�Ҏ(gu��)��据进行三�ơ加密。数据加密标准（DES�Q�是��国的一�U�由来已久的加密标准�Q�它使用对称密钥加密法，�q�于1981�q�被ANSI�l�织规范为ANSI X.3.92。DES使用56位密钥和密码块的�Ҏ(gu��)��Q�而在密码块的�Ҏ(gu��)��中，文本被分�?4位大��的文本块然后再�q�行加密。比��h��初的DES�Q?DES更�ؓ(f��)安全�?br />3DES�Q�即Triple DES�Q�是DES向AES�q�渡的加密算法（1999�q�_(d��)��NIST��?-DES指定��渡的加密标准�Q�，是DES的一个更安全的变形。它以DES为基本模块，通过�l�合分组�Ҏ(gu��)��设计出分�l�加密算法，其具体实现如下：(x��)设Ek()和Dk()代表DES��法的加密和解密�q�程�Q�K代表DES��法使用的密钥，P代表明文�Q�C代表密表�Q�这��P��
3DES加密�q�程为：(x��)C=Ek3(Dk2(Ek1(P)))
3DES解密�q�程为：(x��)P=Dk1((EK2(Dk3(C)))

AES——对�U�密码新标准

对称密码体制的发展趋势将以分�l�密码�ؓ(f��)重点。分�l�密码算法通常�?a target="_blank">密钥扩展��法和加密（解密�Q�算法两部分�l�成。密钥扩展算法将b字节用户��d��钥扩展成r个子密钥。加密算法由一个密码学上的弱函数f与r个子密钥�q�代r�ơ组成。�؜乱和密钥扩散是分�l�密码算法设计的基本原则。抵御已知明文的差分和线性攻击，可变长密钥和分组是该体制的设计要炏V�� ?br />
AES是美国国家标准技术研�I�所NIST旨在取代DES�?1世纪的加密标准。�?

AES的基本要求是�Q�采用对�U�分�l�密码体�Ӟ��密钥长度的最��支持�ؓ(f��)128�?92�?56�Q�分�l�长�?28位，��法应易于各�U�硬件和软�g实现�?998�q?NIST开始AES�W�一轮分析、测试和征集�Q�共产生�?5个候选算法�?999�q?月完成了�W�二轮AES2的分析、测试。预计在2000�q?月AES的最�l�结果将公布。�?

在应用方面，��管DES在安全上是脆��q��Q�但�׃��快速DES芯片的大量生产，使得DES仍能暂时�l�箋使用�Q��ؓ(f��)提高安全强度�Q�通常使用独立密钥的三�U�DES。但是DES�q�早要被AES代替。流密码体制较之分组密码在理��Z��成熟且安全，但未被列入下一代加密标准。 �?

非对�U�加密算�?/h2>
asymmetric encoding algorithm
非对�U�加密算法需要两个密钥：(x��)公开密钥�Q�publickey�Q�和�U�有密钥�Q�privatekey�Q�。公开密钥与私有密钥是一对，如果用公开密钥�Ҏ(gu��)��据进行加密，只有用对应的�U�有密钥才能解密�Q�如果用�U�有密钥�Ҏ(gu��)��据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这�U�算法叫作非对称加密��法�?非对�U�加密算法实现机密信息交换的基本�q�程是：(x��)甲方生成一对密钥�ƈ��其中的一把作为公用密钥向其它方公开�Q�得到该公用密钥的乙方��用该密钥�Ҏ(gu��)��密信息进行加密后再发送给甲方�Q�甲方再用自�׃��存的另一把专用密钥对加密后的信息�q�行解密。甲方只能用其专用密钥解密由其公用密钥加密后的�Q何信息�?非对�U�加密算法的保密性比较好�Q�它消除了最�l�用户交换密钥的需要�?br />
RSA��法演示

对称和非对称加密��法案例

��Z��多��密钥��理体系中的对称密钥传输保护�Ҏ(gu��)��

甌��?专利��P��(x��) 200610147335

一�U�基于在多��密钥��理体系中的对称密钥传输保护�Ҏ(gu��)��Q�其步骤为：(x��)
�Q�．传入方签发�ƈ通过两条途径传递两张密钥传输卡�Q�每张卡中存有一�D�传入方的根公钥�Q?br />�Q�．传出方从两张卡获得传入方的根公钥�Q��ƈ随机生成传输密钥�Q�再用该根公钥加密后分段写入��C��张卡中，其工作密钥用传输密钥传出�q�写入两张卡中通过两条途径递送给传入方；
�Q�．传入斚w��证卡的合法性；从两张卡中获得传输密钥和工作密钥密文�q�用根私钥解密传输密钥写入加密机传输密钥区；传入方将工作密钥密文通过传输密钥写入工作密钥区，从而完成了两台密钥��理加密��Z��间的密钥传递过�E�。本发明采用证书方式�Q�加��Z��对称密钥传输时的安全性，采用�Q��E卡作��Z��质，保证了传输介质的安全�?/div>

甌��日：(x��)	2006�q?2�?5�?/td>
公开日：(x��)	2007�q?6�?6�?/td>
授权公告日：(x��)
甌��?专利权�h�Q?/td>	上�v格尔软�g股䆾有限公司
甌��人地址�Q?/td>	上�v市闸北区余姚�?88号A�?�?/td>
发明设计人：(x��)	张翔;杨茂�?李澜�?/td>
专利代理机构�Q?/td>
代理人：(x��)	陈学�?/td>
专利�c�d��Q?/td>	发明专利
分类��P��(x��)	H04L9/32;H04L9/14;H04L9/12;H04L9/08;H04L9/30

阿卜 2008-05-21 16:42 发表评论

SIM

阿卜 — Wed, 07 Mar 2007 09:44:00 GMT

�U�d��?sh��)话��Z��SIM卡共同构成移动通信�l�端讑֤�。无论是GSM�pȝ��q�是CDMA�pȝ��Q�数字移动电(sh��)话机用户在“入�|�”时�?x��)得��C��张SIM卡。SIM�?是（Subscriber Identity Model客户识别模块�Q�的�~�写 �Q�也�U�Cؓ(f��)��卡、用戯��n份识别卡, GSM数字�U�d��?sh��)话机必��装上此卡方能��用�?br />
SIM卡就是一个在内部包含有大规模集成�?sh��)�\的卡片，卡片内部存储了数字移动电(sh��)话客��L(f��ng)��信息、加密密钥等内容�Q�它可供GSM�|�络对客戯��n份进行鉴别，�q�对客户通话时的语音信息�q�行加密。SIM卡的使用�Q�完全防止了�q�机和通话被窃听行为，�q�且SIM卡的制作是严格按照GSM国际标准和规范来完成的，它��客户的正帔R��信得到了可靠的保障。现在的数字�?sh��)话都是必须要安装SIM卡之后才可以使用�Q�如果不安装的话�Q�那么后果相信也��׃��不用我多说了。在没有安装SIM卡的情况下，我们仅仅只能拨打�?19�?12�q�种紧急电(sh��)话的��L(f��ng)��?br />

SIM卡在GSM�pȝ��中的应用�Q��得卡和手机分��，一张SIM卡唯一标识一个客戗��一张SIM卡可以插入�Q何一部GSM手机中��用，而��用手机所产生的通信费用则自动记录在该SIM卡所唯一标识的客��L(f��ng)��帐户�?

我们在��用手机时�Q�会(x��)接触�?�U�密�?�Q�SIM卡的PIN、PIN2、PUK、PUK2和手机密码。前四种初始密码都是SIM卡供应商�U�d��、联通提供的�Q�手机密码是手机生��商提供的。它们之间的关系如下�Q?br />
1、PIN�?即PIN1�?��是SIM卡的个�h识别密码 �Q�一般在修改前原始密码是1234�Q�如果不是就不要再试了，�?860/1001咨询。打开开机PIN码，刚每�ơ开机后��p��输入PIN码！如果输入三次错误�Q�需要用PUK�?解锁�Q�PUK�?��q��动、联通提供，如果输入十次错误�?x��)导致SIM卡烧毁，所以有问题不要自己随便猜测密码 �Q�马上找�U�d��、联通�?br />
2、PIN2码是讑֮�手机计费时��用的�Q�如果输入三�ơ错误需要用 PUK 2码解锁。目前移动、联通都不提供此��功能支持，即��PIN2密码锁死也不�?x��)媄响手机正�怋�用�?br />
3、PIN码连�l�输�?0�ơ都是错误的话就�?x��)锁卡要求用PUK�?来解开�Q�而PUK码的输入��Z��(x��)只有3�ơ，3�ơ都输错的话�Q�SIM卡将�?x��)给�怹�锁死�Q�即报废了�?br />
4、PUK码，不管你��用的是全球通还是神州行�Q�网�l�服务商那里都有资料保存�Q�一旦需要输入时�Q�可以致�늛�应的服务热线来查询，先核对用戯��料就行了。这些密码设定及(qi��ng)更改都在菜单�Q�其他设定－安全讑֮�中�?/p>

忘记PIN码可以用PUK码来解密�Q�PUK密码一般不向用��h��供，但某些SIM卡除外，比如��州行的用户��随卡提供PUK。如果你的SIM卡的PUK没有随卡提供�Q�你可以到当地的�|�络�q�营商营业厅要求解锁�Q�一般是免费的�?/p>

SIM外观
在实际��用中有两�U�功能相同而�Ş式不同的SIM卡：(x��)卡片式（俗称大卡�Q�SIM卡，�q�种形式的SIM卡符合有关IC卡的ISO7816标准�Q�类似IC卡；嵌入式（俗称��卡�Q�SIM卡，其大��只�?5mm×15mm�Q�是半永久性地装入到移动台讑֤�中的卡�?

“大卡”上真正起作用的是它上面的那张“小卡”，而“小卡”上起作用的部分则是卡面上的铜制接口�?qi��ng)其内部胶封的卡内逻辑�?sh��)�\。目前国内流行样式是“小卡”，��卡也可以换成“大卡”（需加装一卡托�Q�。“大卡”和“小卡”分别适用于不同类型的GSM�U�d��?sh��)话�Q�早期机型如摩托�|�拉GC87C�?08C�{�手机用的是“大卡”，而目前新出的机型基本上都使用“小卡�?

在SIM卡的背面有以五个一排，被排成四排的一�l�数字，在这�l�数字最前面的六位数字所代表的是中国的代��P��像从国外打�?sh��)话到国内都需要先拨打86一栗��第七位数字则代表的是接入号码，如果�?的话�Q�那么这张SIM卡的�?sh��)话��L(f��ng)��前三位就�?35的，而如果是6的话�Q�则代表其前三位数字�?36�Q�其它的也都以此�c�L��。第八位数字代表的是该SIM卡的功能位，一般情况下昄��的数字�ؓ(f��)0。第�?ji��)和�W�十位数字代表了该SIM卡所处的省䆾。至于第十一和第十二位数字则代表的是该SIM卡的�q�号�Q�而第十三位数字则是SIM卡供应商的代码。从�W�十四位开始至�W�十�?ji��)位数字则代表了该SIM卡的用户识别码。最后一个数字是校验位�?br />

什么是Ki、IMEI、IMSI
国际�U�d��讑֤�识别码（IMEI�Q�International Mobile Equipment Identification Number�Q�是区别�U�d��讑֤�的标志，储存在移动设备中�Q�可用于监控被窃或无效的�U�d��讑֤�。IMEI�l�成如下图所�C�，�U�d��l�端讑֤�通过键入�?#06#”即可查得。其总长�?5位，每位数字仅��?�?的数字。其中TAC代表型号装配码，由欧�z�型��h��准中心分配；FAC代表装配厂家��L(f��ng)��Q�SNR��Z�品序��P��用于区别同一个TAC和FAC中的每台�U�d��讑֤��Q�SP是备用编码�?/p>

国际�U�d��用户识别码（IMSI�Q�International Mobile Subscriber Identification Number�Q�是区别�U�d��用户的标志，储存在SIM卡中�Q�可用于区别�U�d��用户的有效信息。IMSI�l�成如下图所�C�，其总长度不��过15位，同样使用0�?的数字�?其中MCC是移动用��h��属国家代��P��?位数字，中国的MCC规定�?60�Q�MNC是移动网��L(f��ng)��Q�最多由两位数字�l�成�Q�用于识别移动用��h��归属的移动通信�|�；MSIN是移动用戯��别码�Q�用以识别某一�U�d��通信�|�中的移动用戗��?/p>

Ki (Key identifier)是SIM卡与�q�营商之间加密数据传递的密钥。GSM的加密方式是一�U�称为comp-128的数字加密运��，当系�l�进行验证时�?x��)同时��用Ki�?qi��ng)IMSI�Q�经�q�一�q�串�pȝ��安全认证讯息后��生随机变量，�q�以A3��法�q�行加密�q�算与手机内存资料进行比对，当��n份确认无误后始可入网。目前GSM使用的Ki长度�?6 bytes�Q�相当于128bits�Q�若非经�q�特�D�译码程序，使用者无法读取Ki�Q�安全性极高，使用者无��L��心有被盗打电(sh��)话的��虑�?/p>

由此看来�Q�只要知道SIM卡的Ki、IMSI��|��我们��可以通过软�g仿真出SIM卡的功能�Q�甚臛_��以利用多�l�Ki、IMSI��|��用一张微处理器卡片来同时仿真本来需要多张SIM所完成的功能，�q�就是“一卡多号”技术�?br />SIM卡的软�g�Ҏ(gu��)�?
SIM卡采用新式单片机�?qi��ng)存储器��理�l�构�Q�因此处理功能大大增强。其��Ҏ(gu��)��的逻辑�l�构是树(w��i)型结构。全部特性参��C��息都是用数据字段方式表达�Q�SIM卡中存有3�c�L��据信息：(x��)

1. 与持卡者相关的信息以及(qi��ng)SIM卡将来准备提供的所有业务信息，�q�种�c�d��的数据存储在根目录下�Q?br />2. GSM应用中特有的信息�Q�这�U�类型的数据存储在GSM目录下；
3. GSM应用所使用的信息，此信息可与其他电(sh��)信应用或业务�׃�n�Q�位于电(sh��)信目录下�?br />
在SIM卡根目录下有3个应用目录，一个属于行政主��部门应用目录，另外两个属于技术管理的应用目录�Q�分别是GSM应用目录和电(sh��)信应用目录。所有的目录下均为数据字�D�，有二�q�制的和格式化的数据字段。数据字�D�中的信息有的是永存性的即不能更新的�Q�有的是暂存的需要更新的。每个数据字�D�都要表辑և�它的用途、更新程度、数据字�D늚��Ҏ(gu��)��?br />
SIM卡内部的数据
了解完SIM卡的大概之后�Q�我们再来看看SIM卡具体都能存储哪些类型的数据。以目前的情冉|��看，SIM卡能够存储的数据�c�d��主要被分��Z��下四�U�：(x��)
1. 由SIM卡生产厂商存入的�pȝ��原始数据
2. 存储手机的固定信息，手机在出售之前都�?x��)被SIM卡中心记录到SIM卡当中，主要包括鉴权和加密信息、国际移动用戯��别码�Q�IMSI�Q�、IMSI认证��法、加密密匙生成算法、密匙生成前�Q�用户密匙的生成��法�Q�这三种��法均�ؓ(f��)128位）
3. 用户自己存入的数据，如短消息、固定拨受��羃位拨受��性能参数、话费记数等�Q�能够存储有关的�?sh��)话��L(f��ng)��Q�也��是具备�?sh��)话��功能�?br />4. 有关于网�l�方面的数据�Q�用户在用卡�q�程中自动存入和更新的网�l�接�l�和用户信息�c�L��据，包括最�q�一�ơ位�|�登记时手机所在位�|�识别号、设�|�的周期性位�|�更新间隔时间、��(f��)时移动用户号�{�。不�q�这�U�数据的存放是暂时性的�Q�也��是说它�q�不是永久的存放于SIM卡之中�?br />
5.相关的业务代码，�q�一点相信也是大家很熟�?zh��n)�的，那就是非帔R��要的个�h识别�?也就使我们��^常所说的PIN�?�Q�还有就是解开锁定用的解锁�?PUK)�{�等�?br />　　
以上四种�c�d��的数据都是存储在SIM卡当中的�Q�而我们通常也是可以利用�q�些数据来进行手机的讄��Q�每张SIM卡个人密�?PIN)都是可以��q��戯��|�，利用加密的功能可以实现防止手��其它人所盗用甚至被窃听，由此看来SIM卡不仅仅可以为我们提供打�?sh��)话的功能，而且�q��ؓ(f��)我们保护自己的隐�U�而提供了安全的保障�?br />
SIM卡内部的数据都存攑֜�各自的目录项内，�W�一�c�L��据放在根目录�Q�当甉|��开启后首先�q�入根目录，再根据指令进入相关的子目录，每种目录�?qi��ng)其内部的数据域均有各自的识别码保护�Q�只有经�q�核对判别以后才能对数据域中的数据进行查询、读出和更新。上面第一�c�L��据通常属于�怹�性数据，由SIM卡生产厂商注入以后无法更改，�W�二�c�L��据只有网�l�运行部门的专门机构才允许查阅和更新�Q�第三、四�c�L��据中的大部分允许用户利用手机对其�q�行��d��操作�?br />
SIM卡的�c�d��
SIM卡的存储定w��?kB�?kB�?6kB�?2kB�?4kB�{�。STK�?SIM application Tool Kit)是SIM卡的一�U�，它能为手机提供增值服务，如移动梦�|�业务等。SIM卡能够储存多��电(sh��)话号码和短信取决于卡内数据存储器EEPROM的容量（�?KB�?KB�?KB定w��Q�，假设一张EEPROM定w��?KB的SIM卡，可储存以下容量的数据�Q?00�l�电(sh��)话号码及(qi��ng)其对应姓名�?5�l�短信息�?5�l�最�q�拨出的��L(f��ng)��?位SIM卡密码（PIN�Q�。目前中国移�?中国联通实际对普通用��h��供的多数是普�?K的SIM卡�?br />
SIM卡的接口
SIM卡是通过卡面上铜制接口来�q�接卡内逻辑�?sh��)�\与移动终端的�Q�SIM卡芯片有8个触点，通常与移动设备连接需�?个触炏V�?br />
SIM卡是一个装有微处理器（CPU�Q�的芯片卡，它的内部�?个模块，�q�且每个模块都对应一个功能：(x��)微处理器CPU�Q?位）、程序存储器ROM�Q?�?kbit�Q�、工作存储器RAM�Q?�?6kbit�Q�数据存储器EEPROM�Q?6�?56kbit�Q�和串行通信单元。这5个模块被胶封在SIM卡铜制接口后与普通IC卡封装方式相同。这5个模块必��集成在一块集成电(sh��)路中�Q�否则其安全性会(x��)受到威胁�Q�因��片间的连�U�可能成为非法存取和盗用SIM卡的重要�U�烦�?

SIM卡的供电(sh��)分�ؓ(f��)5V�Q?998�q�前发行�Q��?V�?V兼容�?V�?.8V�{�，当然�q�些卡必��M��相应的手机配合��用，��x��Z�生的SIM卡供�는�(sh��)压与该SIM卡所需的电(sh��)压相匚w��。SIM卡插入手机后�Q�电(sh��)源端口提供电(sh��)源给SIM卡内各模块�?/p>

阿卜 2007-03-07 17:44 发表评论

STK

阿卜 — Wed, 07 Mar 2007 09:10:00 GMT

STK是英文SIM Tool Kit的羃�?��U?用户识别应用发展工具",是在GSM手机使用的大定w��SIM卡中开发的应用菜单�?

　　STK可以理解��Z��l�开发增��g��务的命��o(h��)�Q�一�U�小型编�E�语�a��Q�它允许��Z��卡的用户�w�䆾识别模块(SIM�?�q�行自己的应用��Y件�?br />
STK技术主要应用于手机银行、股��交易、外汇买卖、理财秘书等领域。移动新业务“手机银行”、“股��查询与交易”等��是在��用该��Ҏ(gu��)��术�?/p>

　　STK卡同原来的SIM卡一��P��可以在普通GSM手机上��用。不同的是，STK卡是��C��代的��卡，��h��很高的存储量。用户在GSM�|�点换上STK卡后�Q�每月只需交纳20元左右的一�W�固定费用（各省不同�Q��?br />

阿卜 2007-03-07 17:10 发表评论

阿卜 — Wed, 31 Jan 2007 14:29:00 GMT

SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式�?br />
　　安全套接层协议（SSL�Q�Security Socket Layer�Q�是�|�景�Q�Netscape�Q�公司提出的��Z��WEB应用的安全协议，它包括：(x��)服务器认证、客戯��证（可选）、SSL链�\上的数据完整性和SSL 链�\上的数据保密性。对于电(sh��)子商务应用来��_(d��)��使用SSL可保证信息的真实性、完整性和保密性。但�׃��SSL不对应用层的消息�q�行数字�{�֐��Q�因此不能提供交易的不可否认性，�q�是SSL在电(sh��)子商务中使用的最大不��뀂有鉴于此，�|�景公司在从Communicator 4.04版开始的所有浏览器中引入了一�U�被�U�C��"表单�{�֐��Q�F(tu��n)orm Signing�Q?的功能，在电(sh��)子商务中�Q�可利用�q�一功能来对包含购买者的订购信息和付?g��u)ƾ指令的表单�q�行数字�{�֐��Q�从而保证交易信息的不可否认性。综上所�q�ͼ�在电(sh��)子商务中采用单一的SSL协议来保证交易的安全是不够的�Q�但采用"SSL+表单�{�֐�"模式能够为电(sh��)子商务提供较好的安全性保�?br />

SSL工作原理

SSL协议使用不对�U�加密技术实��C��(x��)话双方之间信息的安全传递。可以实��C��息传递的保密性、完整性，�q�且�?x��)话双方能鉴别对方��n份。不同于常用的http协议�Q�我们在与网站徏立SSL安全�q�接时��用https协议�Q�即采用https://ip:port/的方式来讉K��?/p>

当我们与一个网站徏立https�q�接�Ӟ��我们的浏览器与Web Server之间要经�q�一个握手的�q�程来完成��n份鉴定与密钥交换�Q�从而徏立安全连接。具体过�E�如下：(x��)

用户��览器将其SSL版本受��加密设�|�参数、与session有关的数据以�?qi��ng)其它一些必要信息发送到服务器�?/li>
服务器将其SSL版本受��加密设�|�参数、与session有关的数据以�?qi��ng)其它一些必要信息发送给��览器，同时发给��览器的�q�有服务器的证书。如果配�|�服务器的SSL需要验证用戯��n份，�q�要发出��h��要求��览器提供用戯��书�?/li>
客户端检查服务器证书�Q�如果检查失败，提示不能建立SSL�q�接。如果成功，那么�l�箋�?/li>
客户端浏览器为本�ơ会(x��)话生成pre-master secret�Q��ƈ��其用服务器公钥加密后发送给服务器�?/li>
如果服务器要求鉴别客戯��n份，客户端还要再对另外一些数据签名后�q�将其与客户端证书一起发送给服务器�?/li>
如果服务器要求鉴别客戯��n份，则检查签�|�客戯��书的CA是否可信。如果不在信��d��表中�Q�结束本�ơ会(x��)话。如果检查通过�Q�服务器用自��q��U�钥解密收到的pre-master secret�Q��ƈ用它通过某些��法生成本次�?x��)话的master secret�?/li>
客户端与服务器均使用此master secret生成本次�?x��)话的�?x��)话密�?对称密钥)。在双方SSL握手�l�束后传递�Q何消息均使用此会(x��)话密钥。这样做的主要原因是对称加密比非对称加密的运��量低一个数量��以上�Q�能够显著提高双方会(x��)话时的运��速度�?/li>
客户端通知服务器此后发送的消息都��用这个会(x��)话密钥进行加密。�ƈ通知服务器客��L(f��ng)��已经完成本次SSL握手�?/li>
服务器通知客户端此后发送的消息都��用这个会(x��)话密钥进行加密。�ƈ通知客户端服务器已经完成本次SSL握手�?/li>
本次握手�q�程�l�束�Q�会(x��)话已�l�徏立。双方��用同一个会(x��)话密钥分别对发送以�?qi��ng)接受的信息�q�行加、解密�?/li>

阿卜 2007-01-31 22:29 发表评论

什么是CA

阿卜 — Sat, 22 Jul 2006 05:56:00 GMT

CA是认证中心的英文Certification Authority的羃写。　CA中心�Q�又�U�Cؓ(f��)数字证书认证中心。CA中心作电(sh��)子交易中受信�ȝ��W�三方，负责为电(sh��)子商务环境中各个实体颁发数字证书�Q�以证明各实体��n份的真实性，�q�负责在交易中检验和��理证书�Q�数字证书的用户拥有自己的公�?�U�钥寏V��证书中包含有证书主体的�w�䆾信息、其公钥数据、发证机构名�U�等�Q�发证机构验证证书主体�ؓ(f��)合法注册实体后，��对上述信息�q�行数字�{�֐��Q��Ş成证书�?在公钥证书体�p�M��Q�如果某公钥用户需要�Q何其它已向CA注册的用��L(f��ng)��公钥�Q�可直接向该用户索取证书�Q�而后用CA的公钥解密解密即可得到认证的公钥�Q�由于证书中已有CA的签名来实现认证�Q�攻击者不��h��CA的签名密钥，很难伪造出合法的证书，从而实��C��公钥的认证性�?数字证书认证中心是整个网上电(sh��)子交易安全的关键环节,是电(sh��)子交易中信赖的基��。他必须是所有合法注册用��h��信赖的具有权威性、信赖性及(qi��ng)公正性的�W�三�Ҏ(gu��)��构�?br />CA的核心功能就是发攑֒��理数字证书。概括地��_(d��)��CA认证中心的功能主要有�Q�证书发放、证书更新、证书撤销和证书验证。具体描�q�如下：(x��)
�Q?�Q�接攉��证用��h��字证书的甌��?br />�Q?�Q�确定是否接受用��h��字证书的甌��Q�即证书的审扏V�?br />�Q?�Q�向甌��者颁发（或拒�l�颁发）数字证书�?br />�Q?�Q�接收、处理用��L(f��ng)��数字证书更新��h��?br />�Q?�Q�接收用��h��字证书的查询、撤销�?br />�Q?�Q��生和发布证书的有效期�?br />�Q?�Q�数字证书的归��?br />�Q?�Q�密钥归档�?br />�Q?�Q�历史数据归��?br />

阿卜 2006-07-22 13:56 发表评论

什么是数字证书

阿卜 — Sat, 22 Jul 2006 04:08:00 GMT

数字证书介绍

也许�(zh��n)�对"数字证书"�q�一概念�q�很陌生�Q�其实，数字证书��是标志�|�络用户�w�䆾信息的一�p�d��数据�Q�用来在�|�络通讯中识别通讯各方的��n份，卌��在Internet上解�?我是�?的问题，��如同现实中我们每一个�h都要拥有一张证明个��n份的�w�䆾证或��N��执照一��P��以表明我们的�w�䆾或某�U�资根{�?br /> 数字证书是由权威公正的第三方机构即CA中心�{�֏�的，以数字证书�ؓ(f��)核心的加密技术可以对�|�络上传输的信息�q�行加密和解密、数字签名和�{�֐�验证�Q�确保网上传递信息的机密性、完整性，以及(qi��ng)交易实体�w�䆾的真实性，�{�֐�信息的不可否认性，从而保障网�l�应用的安全性�?/p>

数字证书采用公钥密码体制�Q�即利用一对互相匹配的密钥�q�行加密、解密。每个用��h��有一把仅为本人所掌握的私有密钥（�U�钥�Q�，用它�q�行解密和签名；同时拥有一把公共密钥（公钥�Q��ƈ可以对外公开�Q�用于加密和验证�{�֐�。当发送一份保密文件时�Q�发送方使用接收方的公钥�Ҏ(gu��)��据加密，而接收方则��用自��q��U�钥解密�Q�这��P��信息��可以安全无误地到达目的��C��Q�即使被�W�三�Ҏ(gu��)��P��׃��没有相应的私钥，也无法进行解密。通过数字的手�D�保证加密过�E�是一个不可逆过�E�，卛_��有用�U�有密钥才能解密。在公开密钥密码体制中，常用的一�U�是RSA体制�?

用户也可以采用自��q��U�钥对信息加以处理，�׃��密钥仅�ؓ(f��)本�h所有，�q�样��׃�生了别�h无法生成的文�Ӟ��也就形成了数字签名。采用数字签名，能够��认以下两点�Q?br />�Q?�Q�保证信息是��q��名者自��q��名发送的�Q�签名者不能否认或难以否认�Q?
�Q?�Q�保证信息自�{�֏�后到收到为止未曾作过��M��修改�Q�签发的文�g是真实文件�?/p>

数字证书可用于：(x��)发送安全电(sh��)子邮件、访问安全站炏V��网上证券、网上招标采购、网上签�U�、网上办公、网上缴贏V��网上税务等�|�上安全�?sh��)子事务处理和安全�?sh��)子交易活动�?/p>

数字证书的格式一般采用X.509国际标准。目前，数字证书认证中心主要�{�֏�安全�?sh��)子邮�g证书、个人和企业�w�䆾证书、服务器证书以及(qi��ng)代码�{�֐�证书�{�几�U�类型证书�?br />

数字证书的格式遵循ITUTX.509国际标准。一个标准的X.509数字证书包含以下一些内容：(x��)

证书的版本信息；
证书的序列号�Q�每个证书都有一个唯一的证书序列号�Q?br />证书所使用的签名算法，如RSA��法�Q?br />证书的发行机构（CA中心�Q�的名称�Q�命名规则一般采用X.500格式�Q?br />证书的有效期�Q�现在通用的证书一般采用UTC旉��格式�Q�它的计时范围�ؓ(f��)1950�q?2049�q�_(d��)��
证书拥有者的名称�Q�命名规则一般采用X.500格式�Q?br />证书拥有者的公开密钥�Q?br />证书发行机构�Q�CA中心�Q�对证书的数字签名�?

X.509数字证书�l�构 �Q�第三版�Q?/em>

版本�?.................证书的版本标识符�Q�例如，版本3�Q?br />序列�?.................标识证书的唯一整数
�{�֐�....................用于�{�证书的��法标识
颁发�?.................证书颁发者的唯一识别�?br />有效�?.................证书有效旉��D?br />��M��....................证书拥有者的唯一识别�?br />��M��公钥信息 ...........证书拥有者的公钥�Q�和��法标识�W�）
颁发者唯一标识�W?.......颁发者的可选唯一标识�W?br />��M��唯一标识�W?.........��M��的唯一识别�W?br />扩展部分 ...............可选的扩展

字段说明�Q?br /> ①版本号—标识证书的版本�Q�版�?、版�?或是版本3�Q��?br /> ②序列号—由证书颁发者分配的本证书的唯一标识�W��?br /> ③签�?—签名算法标识符�Q�由对象标识�W�加上相关的参数�l�成�Q�用于说明本证书所用的数字�{�֐��法。例如，SHA-1和RSA的对象标识符 ��q��来说明该数字�{�֐�是利用RSA对SHA-1杂凑加密�?br /> ④颁发者—证书颁发者的可识别名�Q�DN�Q�，�q�是必须说明�?br /> ⑤有效期—证书有效期的时间段。本字段由”Not Before”和”Not After”两��组成，它们分别由UTC旉��或一般的旉��表示�Q�在RFC2459中有详细的时间表�C��则）�?br /> ⑥主�?—证书拥有者的可识别名�Q�这个字�D�必��L��非空的，除非你在证书扩展中有别名�?br /> ⑦主体公钥信息—主体的公钥�Q�以�?qi��ng)算法标识符�Q�，�q�一��必��说明�?br /> ⑧颁发者唯一标识�W�—证书颁发者的唯一标识�W�，仅在版本2和版�?中有要求�Q�属于可选项�?br /> ⑨主体唯一标识�W�—证书拥有者的唯一标识�W�，仅在版本2和版�?中有要求�Q�属于可选项�?br /> ⑩扩�?—可选的标准和专用的扩展�Q�仅在版�?和版�?中��用）�Q�它们包括：(x��)
◆Authority密钥标识�W�—证书所含密钥的唯一标识�W�，用来区分同一证书拥有者的多对密钥�?br /> ◆密钥��用—一个比特串�Q�指明（限定�Q�证书的公钥可以完成的功能或服务�Q�如�Q�证书签名、数据加密等�?br /> ◆扩展密钥��用—由一个或多个对象标识�W�（OIDs�Q�组成，可以说明证书密钥的特�D�用途。有Internet�{�略限定�Q�存取描�q�符限定[3]�{�，请参见RFC2459�?br /> ◆CRL分布点—指明CRL的分布地炏V�?br /> ◆私钥的使用期—指明证书中与公钥相联系的私钥的使用期限�Q�它也有Not Before和Not After�l�成。若此项不存在时�Q�公�U�钥的��用期是一��L(f��ng)��?br /> ◆证书策略—由对象标识�W�和限定�W�组成，�q�些对象标识�W�说明证书的颁发和��用策略有兟�?br /> ◆策略映��—表明两个CA域之间的一个或多个�{�略对象标识�W�的�{��h(hu��n)关系�Q�仅在CA证书里存在�?br /> ◆主体别名—指��书拥有者的别名�Q�如�?sh��)子邮�g地址、IP地址�{�，别名是和DN�l�定在一��L(f��ng)��?br /> ◆颁发者别�?-指出证书颁发者的别名�Q�如�?sh��)子邮�g地址、IP地址�{�，但颁发者的DN必须出现在证书的颁发者字�D�c(di��n)�?br /> ◆主体目录属性—指��书拥有者的一�p�d��属性。可以��用这一��Ҏ(gu��)��传递访问控制信息。s

阿卜 2006-07-22 12:08 发表评论