SSH的英文全称是SecureSHell。通过使用SSH,你可以把所有传输的数据进行加密
也能够防止DNS和IP欺骗。
好处就是传输的数据是经过压缩的,加快传输的速度。
既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。
SSH提供两种级别的安全验证:第一种级别(基于口令的安全验证)
第二种级别(基于密匙的安全验证)一对密匙
如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用你的密匙进行安全验证。服务器收到请求之后, 先在你在该服务器的家目录下寻找你的公用密匙,然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致, 服务器就用公用密匙加密“质询”(challenge)并把它发送给客户端软件。 客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。
SSL 实际上是共同工作的两个协议:“SSL 记录协议”(SSL Record Protocol)和“SSL 握手协议” (SSL Handshake Protocol)。
问题1:
什么是PKI
PKI体系结构采用证书管理公钥,通过第三方的可信机构CA, 把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份, PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统
PKI是一种新的安全技术,它由公开密钥密码技术、数字证书、 证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成
X.509格式的证书和证书废除列表(CRL); CA/RA操作协议; CA管理协议; CA政策制定
问题2:什么是SET协议
SET 安全电子交易规范 要用于保障Internet上信用卡交易的安全性
SET(Secure Electronic Transaction)协议中要求CA采用2048比特长的密钥
对称算法就是指加密和解密过程均采用同一把密钥。如DES,3DES,AES等算法都属于对称算法
非对称算法就是指加密和解密用的不是同一个密钥
RSA,DSA等算法属于非对称算法
|
|
分组长度 |
密钥 |
有效密钥 |
|
|
DES |
64位 |
64位, |
56位 |
数据加密算法,
16次迭代运算
分组密码
DES算法本身不能保证密钥的保密性,所以往往需要借助于RSA密码体制在发送方和接收方之间共享DES的密钥。
|
|
三重DES |
|
112比特 |
56位 |
2个密钥对明文进行三次运算 |
|
Rijndael加密 |
|
128比特 |
|
密钥迭代分组 |
|
RSA算法 |
|
|
|
同时用于加密和数字签名的算法 |
散列算法 段数据通常叫做消息摘要 型的散列函数有:MD5,SHA-1,HMAC,GOST等。单向散列函数主要用在一些只需加密不需解密的场合:如验证数据的完整性、口令表的加密、数字签名、身份认证等。
数字签名:数字签名的原理可以这样理解:用非对称算法的私钥加密的内容只能用对应的公钥来解密。而私钥是不公开的
过程:
要传送的明文通过一种函数运算(Hash)转换成报文摘要(不同的明文对应不同的报文摘要),报文摘要用私钥加密后与明文一起传送给接受方,接受方用发送方的公钥来解密报文摘要,再将接受的明文产生新的报文摘要与发送方的报文摘要比较,比较结果一致表示明文确实来自期望的发送方,并且未被改动。如果不一致表示明文已被篡改或不是来自期望的发送方。
数字证书是一种权威性的电子文档。。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
CA是Certification Authority的缩写。CA中心,又称为数字证书认证中心。CA中心作为电子交易中受信任的第三
如果某公钥用户需要任何其它已向CA注册的用户的公钥,可直接向该用户索取证书,而后用CA的公钥解密解密即可得到认证的公钥;由于证书中已有CA的签名来实现认证,攻击者不具有CA的签名密钥,很难伪造出合法的证书,从而实现了公钥的认证性
数字信封是一种综合运用对称算法、非对称算法、消息摘要算法和数字签名的消息加密机制
具体操作如图所示。利用对称加密算法(比如3DES)对比较长的消息进行加密,再利用接收者的证书对密钥进行加密,加密消息和加密密钥一起发送给消息接收者。后者利用自己的私钥对加密密钥解密得到密钥,接着用密钥对加密消息进行解密得到消息原文。与数字签名一样,消息的发送者不会涉及任何保密内容,只要知道接收者证书的人都可以向他发送数据信封封装消息。
椭圆曲线算法 整数分解(IF)体制 整数分解(IF)体制
离散对数(DL)体制 型例子是DSA体制、ElGamal体制和Schnorr体制。
椭圆曲线(EC)体制 其安全性基于椭圆曲线离散对数问题的难解性,典型例子是ECDSA体制
椭圆曲线体制中最著名的是ECDSA,它是数字签名算法(DSA)移植到椭圆曲线上得到 且它的签名长度至少为320比特。
