数据的完整性
数据的完整性是指数据在传输过程中不被非法篡改。
不可否认性
又称抗抵赖性,即由于某种机制的存在,人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在互联网电子环境下,可以通过数字证书机制进行的数字签名和时间戳,保证信息的抗抵赖。
哈希(Hash)函数
哈希函数也被译作散列函数或杂凑函数。这种函数是将任意长度的输入数字串,映射成一个较短的定长的输出数字串。这种输出字符串也被称为数字摘要或数字指纹。哈希函数有如下特点:输入数字串与输出数字串具有唯一的对应关系;输入数字串中任何变化会导致输出数字串也发生变化;从输出数字串不能够反求出输入数字串。哈希函数算法有多种,它受到广泛的应用,在信息安全领域,它是实现数字签名和认证的重要工具。
加密/解密(Encryption/Decryption)
加密是通过数学变换将明文转变成密文的过程,也就是对明文进行各种伪装从而使其真实内容完全隐藏的过程。加密的方法很多,主要是通过数学运算、位移、替换等方法来实现。
解密是加密的逆过程,通过数学的方法将密文还原成明文。在加密解密过程中要使用密钥,只有密钥的持有人才能解密,恢复数据的原貌,从而保证了信息传输过程中的保密
公钥和私钥
根据非对称密码学的原理,每个数字证书持有人都持有一对密钥,即公钥(Public Key)和私钥(Private Key),公钥与私钥作数据的互为加解密使用。公钥通常以数字证书的形式公开发布。私钥由证书持有者在本地生成,只能由证书持有者秘密掌握,证书持有者应当妥善保管并注意保密,不能在网上传输。
公钥和私钥的用途体现在两方面:
1、在数字签名操作中,发送方用私钥对待发送信息进行签名,接收方用发送方公钥来验证签名;
2、在数据加密操作中,发送方用接收方的公钥进行加密,接收方用自己的私钥进行解密。
公钥基础设施 (Public Key Infrastructure,PKI)
利用公钥加密技术为电子商务的开展提供的一套安全基础平台。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,提供互联网环境的身份鉴别、信息加解密、数据完整性和不可否认性服务。
签名/验证签名
在进行数字签名过程中,发信者使用自己的私钥,通过非对称密码算法,对待发数据的数字摘要(哈希值)进行加密,从而得到一段信息称为数字签名(Sign)。这就是签名的过程;
收信者收到附有数字签名的信息后,用发信者的公钥对数字签名信息进行解密,得到一段明文信息,即所接收信息的数字摘要H。与此同时,收信者还要对收到的数据也做一次哈希运算,得到一个哈希值H,然后他将H和H进行比对,如果两者相同,验证签名即获通过;如果两者不相同,则验证不通过。这就是验证签名的过程。
时间戳
又称数字时间戳,是由第三方提供的一种对可信时间标记的服务,通过该服务获得的时间戳数据可以用来证明在某一时刻数据已经存在。数字签名配合时间戳服务,能更好地支持数据的抗抵赖。
数字签名
签名者使用自己的私钥,通过非对称密码算法,对待签名数据的数字摘要(哈希值)进行加密,得到的输出结果一段信息称为数字签名。这段信息附在签名数据后面一起传送给接收方,接收方可以用发信者的公钥对其进行验证,以判别真伪和数据是否完整。数字签名类似现实中的签名和印章,经过数字签名的信息具有不可否认性的支持。
如果签名数据很短,也可以不做哈希运算,直接用私钥对签名数据加密而完成数字签名行为。
数字信封
所谓数字信封就是信息发送端用接收端的公钥,将一个对称通信密钥进行加密,形成的数据称为数字信封。此数字信封传送给接收端,只有指定的接收方才能用自己的私钥打开数字信封,获取该对称密钥,于是,接收方可以用以解读传送来的密码通信信息。这就好比在生活中,将一把钥匙装在信封中,邮寄给对方,对方收到信件后,将钥匙取出,用它打开保险箱的道理一样。
数字证书 (Certificate)
是一个经过权威的、可信赖的、公正的第三方机构,即认证中心(CA)数字签名的包含拥有者信息以及公开密钥的文件。
认证机构 (Certification Authority,CA)
是采用公开密钥基础技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。通常又叫做数字证书认证中心。
生物认证
生物认证是一种根据人的生理和行为特征来识别或验证一个有生命的人的方法。人的生物特征有很多种,直到目前,已经投入应用的生物认证技术包括了指纹、手形、脸形、语音、虹膜、视网膜、签字、击键动力学等。
安全套接字层协议 (Security Sockets Layer, SSL)
安全套接层协议(Security Socket Layer Protocol , 简称SSL)是Internet上进行保密通信的一个安全协议。
安全套接层协议SSL是网景公司(Netscape)提出的基于公钥密码机制的网络安全协议,用于在客户端浏览器软件与Web服务器之间建立一条安全通道,实现Internet上信息传送的保密性。它包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上数据保密性。
现在国内外一些对保密性要求较高的网上银行、电子商务和电子政务等系统大多数是以SSL协议为基础建立的,SSL协议已成为Web安全方面的工业标准。目前广泛采用的是SSL v3版。SSL提供的面向连接的安全性作用,具有以下三个基本功能:(1)连接是秘密的,在初始握手定义会话密钥后,用对称密码(例如用DES)加密数据。(2)连接是可认证的,实体的身份能够用公钥密码(例如RSA、DSS等)进行认证。(3)连接是可靠的,消息传输包括利用安全Hash函数产生的带密钥MAC(Message Authentication Code :报文鉴别码)
VPN
VPN(Virtual Private Ntwork)的中文名字叫做虚拟专用网,它指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络(包括互联网、帧中继网、ATM网等)中建立专用的数据通信网络的技术。
对于VPN的定义有很多说法,但是都基于这样一种思想:VPN利用公共网络基础设施,通过一定的技术手段,达到类似私有专网的数据安全传输。从定义上看,VPN首先是虚拟的,也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但是,VPN同时又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己公司的信息。
总体来说,VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,VPN主要包含隧道技术与安全技术。
几种安全的网络传输协议
FTPS
FTPS准确的中文译名为“在SSL之上的文件传输协议”,即“FTP over SSL”。
因为FTP协议使用明文的用户名和密码口令,被传输的数据也是明文,所以FTP的命令、和被传输的文件有被黑客窃取的风险。为了解决这个问题,许多人开始想法把FTP的标准交易信息放到一个被加密的通道中来传输。而这正是FTPS协议的主要宗旨。
FTPS协议在它的下层使用了SSL/TLS 传输层协议,可以对控制信息和数据通道进行加密。FTPS可以有多种使用方法,最常见的模法称为显式FTPS(Explicit FTPS)。在显式FTPS的模式下,客户与服务器的端口21相连接,并且启动一个普通的非加密的FTP会话,然后,客户请求TLS(Trasport Layer Security)传输层安全机制――进行SSL/TLS协议规定的握手、数字证书认证、建立加密的命令通道和数据通道。通道建立后,任何敏感的数据就可以在命令/数据通道中被加密而传输了
FTPS仅仅是FTP协议的一个扩展,因而它得到大部分服务器的支持,并且由于它和FTP使用同一个端口,在用户的防火墙上就没有必要再开另外的端口了。
HTTPS
HTTPS协议是由Netscape公司开发的,该公司在其浏览器中预置了相应的应用程序。与FTPS一样,HTTPS也采用了SSL协议作为HTTP应用层的下层协议。其工作原理也十分类似。HTTPS使用端口443,而不是象HTTP那样使用端口80来进行通信。SSL使用40 位或128位密钥,采用RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证。在HTTP与TCP之间存在一个加密/身份验证层。
HTTPS简单讲是HTTP的安全版。HTTPS的安全基础是SSL, HTTPS协议更适合于电子商务的站点,被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
除了FTPS、HTTPS之外,还有更多的安全的网络传输协议,如SCP、SFTP等,使用了另外的安全机制,其应用不如上面两种广泛。
参考来源:
http://www.cfca.com.cn/zhishi/jiansuo.htm#a
http://www.cfca.com.cn/zhishi/wz-008.htm几种互联网上常见的安全协议
http://www.cfca.com.cn/zhishi/wz-001.htm安全套接字层协议