1.1 信息安全
1.1.1 信息安全内容
在解决任何一个实际的货抽象的系统的安全问题之前,都应该首先分析其可能存在的安全缺陷,今儿采取相应的安全措施。
a.机密性
机密性是指保护信息免受主要的非法窃取,阅读等攻击。
机密性主要包括内容
a1.内容的机密性是很容易理解的,就是确保数字信息的内容不被没有授权的人访问。
a2.采用通信量分析进行攻击要求攻击者能够在通信设施上坚挺到通信的源地址和目的地址、通信频度、通信的数据长度、通信的时长等特征。
b.完整性
完整性是指确保信息没有被修改,也可以防止假冒的信息
完整性主要包括内容
b1.面向连接的完整性服务不仅仅可以确保信息没有被非法串改,还可以在一定程度上拒绝服务攻击(DOS)
b2.对于无连接的网络信息传输来说,完整性的内容跟计算机系统中的文件对象完整性含义是一样的,机保护信息没有被串改或替换。
c.鉴别性
鉴别是指确认访问者的身份或消息的来源,防止冒充他人的行为发生。鉴别的功能首先是确保通信双方的两个实体都是可信的,都是他们所宣称的实体;其次,鉴别还要确保在信息传输的过程中防止第三方假冒两个合格方的任何一方来达到为授权接收信息或发送信息的目的
d.抗抵赖
抗抵赖是指保证消息的制造者或发出者不能在事后否认他制作或发出的消息。
抗抵赖的功能要求接收方能够验证消息的发送方,同时要求发送方能够验证消息的接收方,并能够在发生争议后第三方证明消息发送方或接受方。
1.2 密码学
最原始的密码学作用是进行信息保密,及解决前面所属的机密性问题。
a.对机密性问题,密码学提出各种算法,主要分为对称加密算法和公开密钥算法。
b.完整性主要是采用散列函数和数字签名想结合
c.鉴别问题和抗抵赖问题在密码学中的解决不仅仅依赖密码算法本身,还依赖一套严格执行的密码协议或网络协议。
密码学基本分为两大部分:密码算法和密码协议
密码算法根据其完成的功能可以分为对称算法、公开密钥算法、数字签名算法及信息摘要(散列函数)算法。
a.对称加密算法主要完成了明文数据到密钥数据的功能。
b,公钥密钥算法完成的功能跟对称加密算法是相同的,但其加密密钥和解密密钥不相同。
c.数字签名算法的功能是实现鉴别和抗抵赖的功能,其具体的实现有时可采用对称加密算法或公钥密钥算法实现。
d.信息摘要算法主要是实现将大量的信息不可逆映射成一段定长或较短的信息而基本保持其独特性。
1.3 公钥基础设施
1.3.1 公钥基础设施的必要性
PKI(公钥基础设施)正是为了建立这种信任关系而产生,他的主要目的就是建立棵信任的数字身份,将特定密钥对和特定的人或实体联系起来,建立这种联系的主要形式就是颁发可信任的数字证书(或者叫电子证书)。
1.3.2 数字证书
1.3.3 公钥基础设施的组件
a.验证机构(CA)
CA可以说是PKI系统中的核心机构,负责确认身份和创建数字证书,建立一份身份和一堆密钥之间的联系。(一个CA是否能够获得成功,可能更重要的是在于其管理因素而不是技术因素)。
b.注册机构(RA)
RA负责证书申请人的资料登记和出事的身份鉴别,还可能需要接收证书用户提出的证书撤销等其他服务。RA最主要的职责就是接收申请人的申请请求,确认申请人的身份,然后将确认了身份的申请请求递交给CA.
c.证书服务器
证书服务器是负责根据注册过程中提供的信息生成证书的计算机或服务程序。证书服务器将用户的哦给你个要和其他一些形成证书结构并用C的私钥进行签名,从而生成正式的数字证书。
d.证书库
任何证书在使用之前,必须将证书及其相应的公钥公布出去。证书库就是存储可以公开发布的证书的设施。
e.证书验证
当证书用户收到一个证书的时候,需要对这个证书进行验证。
*验证证书签名者一确认是否信任该证书
*检验证书的有效期,确验证树是否有效
*确验证数没有被签发它的CA撤销
*检测证书预期用途跟CA在该证书中制定的策略是否符合。
f.密钥恢复服务
密钥对是确保证书能够顺利签发和正常使用的基本前提,密钥对的产生形成是多种多样的。
g.时间服务器
时间服务器可以为PKI作用域总的各个应用程序和PKI组件提供数字式时间戳,从而确保PKI域能够可信正确地运行。
h.签名服务器
签名服务器还提供验证签名的服务。
1.4 安全协议
a.应用层安全协议PGP
PGP(Pretty Good Privacy)协议是Philip Zimmerann设计的免费保密电子邮件程序。
b.传输层安全协议SSL
SSL(Security Socket Layer)协议目前广发地使用在WWW协议中,主流Web服务器和浏览器都支持SSL协议。
c.网络层安全协议VPN
虚拟专用网(VPN)技术确切地说不是一个协议,目前实现VPN的技术多种多样,这里仅仅指使用IPSec隧道方式建立起来的VPN.VPN做的工作是保护任何两个子网或主机之间传输的数据的安全。
1.4.2 SSL协议
SSL协议中有两个重要的概念,即连接和会话。连接是指两台主机之间提供特定类型服务的传输,是点对点的关系。会话是客户和服务器之间关联,会话是通过握手协议进行创建的。
SSL记录协议为SSL链接提供机密性和报文完整性两种服务。
SSL修改密文协议是一个最简单点的SSL相关协议,他只是一个报文,报文由值为1的单个字节组成。
SSL告警协议是将SSL有关的告警信息传送给通信的对方实体。SSL告警协议跟其他使用SSL的应用协议一样,抱我呢按照当前的状态被压缩和加密。
业务流程:
a.建立安全能力。(安全能力是指将要在通信中使用的加密算法、数字签名算法、密钥交换算法)
b.服务器鉴别是密钥交换。
c.客户鉴别和密钥交换
d.完成握手阶段。这个阶段完成安全连接的建立。首先是客户通过修改密文协议发送改变算法定义报文,将挂起的算法族定义复制到当前的算法族定义。
1.5 Openssl
Openssl事实上包括了三部分:SSL协议库、密码算法库和应用程序。
1.6 本书概要
a.密码学基础。该部分主要介绍了密码学的基本概念、密码技术的基本实现、对称加密算法、公开密钥算法和单向散列函数算法等密码学知识。
b.OpenSSL结构。OpenSSL的结构、编译和安装方法及其使用的基本概念
c.OpenSSL指令。