如果幫到你的話,請點個贊,創作不易,謝謝
一:安全超文本傳輸協議
安全超文本傳輸協議(Secure Hypertext Transfer Protocol,S-HTTP)是一種結合HTTP而設計的消息的安全通信協議。S-HTTP的設計基於與HTTP樣板共存並易於與HTTP應用程序相結合。它是基於TLS\SSL(安全傳輸協議)加密的HTTP協議,它使用SSL(安全套接字層)進行信息的安全交換。
HTTP協議採用明文傳輸,存在信息被竊聽,劫持和篡改的風險,而TLS\SSL具有信息加密,身份驗證,完整性檢驗等功能,可以避免此類現象的發生。
S-HTTP協議爲客戶機和服務器提供了多種安全機制,這些安全服務是適用於萬維網上各類用戶的,並且還爲客戶機和服務器提供了安全對稱機制。‘
S-HTTP不需要客戶方的公用密鑰,但它支持對稱密鑰的操作模式。這意爲着在不要求用戶建立公用密鑰的情況下,會自發的私人交易。它支持端對端安全傳輸,客戶機可能首先啓動安全傳輸機制來進行信息加密。
在語法上,S-HTTP與HTTP相同,由請求或狀態行組成,後面是信頭和主體,請求報文的格式由請求行,通用信息頭,請求頭,實體頭,信息主體組成。相應報文的格式由相應行,通用信息頭,響應頭,實體頭,信息主體組成。
二:郵件加密軟件
郵件加密軟件(Pretty Good Privacy,PGP)是一個基於RSA公鑰加密體系的郵件加密軟件。用戶可以用它防止非授權者的攔截並閱讀,還可以加上自己的數字簽名而使收信人確認該郵件是發送方發來的,與授權者進行安全加密的通信,事先並不需要安全保密通道來傳遞密鑰,PGP也可以用來加密文件,因此PGP成爲留下的公鑰加密軟件包。
PGP採用了嚴格的密鑰管理辦法,是一種RSA和傳統加密的雜合算法(由散列,數據壓縮,公鑰加密,對稱密鑰加密算法組合而成 ),用於數字簽名的郵件文摘算法.加密前壓縮等方法。每個公鑰均綁定唯一的用戶名或者郵箱號。PGP用一個128位的二進制數作爲文件郵摘,發送方用自己的私鑰加密上述的128位特徵值並附在郵件後,最後用接收方的公鑰加密整個郵件。接收方收到該郵件後,用自己的私鑰解密公鑰,得到原文和簽名,並用自己的PGP計算該郵件的128位特徵值和用對方的公鑰解密後的簽名想比,若一致則說明該郵件是對方寄來的,安全性得到了滿足。
三:S/MIME
多用途網際郵件擴充協議-S/MIME(Security/Multipurpose Internet Mail Extensions)是RSA數據安全公司開發的軟件。S/MIME提供的安全服務有報文完整性驗證.數字簽名和數據加密。S/MIME可以添加在郵件系統的用戶代理中,用於提供安全的電子郵件傳輸服務,也可以加入其它的傳輸機制中,傳遞任何MIME報文,甚至可以加入自動傳輸報文代理中,在互聯網上安全地傳送由軟件生成的FAX報文。
S/MIME是一個互聯網標準,它的密鑰長度是動態可變的,有很高的靈活性。
四:安全的電子交易
安全的電子交易(Secure Electronic Transaction,SET)用於電子商務的行業規範,是一種基於信用卡爲基礎的電子付款系統規範,目的就是爲了保證網絡交易的安全。SET主要使用電子認證技術作爲保密電子安全交易的基礎,其認證過程使用RSA和DES算法。
SET提供以下三種服務:
- 在交易涉及的雙方之間提供安全信道
- 使用數字證書來實現安全的電子交易
- 保證信息的機密性
SET交易發生的先決條件是:每一個持卡人必須有一個唯一的電子證書,由自己設置口令 ,並用這個口令對數字證書,私鑰,信用卡號碼以及其它電子信息進行加密存儲。這些與符合SET協議的一起組成了一個SET電子錢包。
五:Kerberos系統
Kerberos是一種基於密鑰分發和可信中繼認證方法的鑑別服務系統,於1980年MIT爲Athena計劃的認證服務而開發的。Kerberos系統是一種基於密鑰分配中心(KDC)的分佈式鑑別服務系統,它可以在不同的網絡環境中爲用戶對遠程服務器的訪問提供自動鑑別,數據安全性和完整性服務,以及密鑰管理。
1.Kerberos鑑別
Kerberos要求用戶使用其用戶名和口令作爲自己的標識,而客戶端與KDC服務器之間的交互則使用由用戶名和口令生成的會話密鑰來進行,會話密鑰由客戶與服務器共享,客戶登錄服務器後,從KDC服務器獲得會話密鑰,利用這個會話密鑰來和其它服務器進行通信交互。
當客戶需要和其它服務器進行通信時,需要從服務器端獲得TGT(Ticket-Granting Ticket),然後再用TGT向KDC服務器申請需要與通信方交互的會話密鑰,接收到這個密鑰後,便可以與對方用戶進行通信了。
A與B建立通信的過程如下:
Ka:A與KDC會話密鑰。
Kb:B與KDC會話密鑰。
Kab:A與B會話密鑰。
Sa,S:時間標記,用於防止報文發送中途被截獲再重發
(1)A與KDC交互
第一步:A登錄系統,向KDC請求TGT。
第二步:KDC收到A的請求,用A的密鑰Ka加密Ka(TGT,Sa)發送給A,Sa是時間標識
第三步:A收到以後,用自己的密鑰Ka解密處Sa,得到TGT,向KDC發送以證明自己是A。
第四步:KDC認證A的身份後,產生A與B的會話密鑰Kab,並用B的會話密鑰Kb加密Kab和對A的信任信息,即Kb(Trust-A,Kab )然後附加上時標,將整個報文連同會話密鑰Kab發送給A。
(2)A接收到以後,與B建立通信
第一步:A向B發送從KDC得到的Kb(trust-A,Kab),以及Kab(s),其中S爲時間標識。
第二步:B接收到報文後,用自己的密鑰Kb將其解密,得到A的信任信息和會話密鑰Kab,然後利用Kab將用Kab加密的時間標識解密得到S,然後向A發送Kab(S+1)。
第三步:A收到後用Kab解密Kab(S+1)得到時間標識,從而證明發送方有Kb,證明對方是B
(3)此後,雙方開始用Kab交互。
2.Kerberos安全機制
在Kerberos系統中使用對稱密鑰體制中的CBC方式的一個變形PCBC(Plaintext Cliper Block Chaining)來實現數據的加密和完整性保護。效果是加密鏈中間被破壞,那麼從此處到最後的報文都將受到損害。
雙方還要提供中間標識,以免中途報文被截獲再重發,可以驗證時標來判斷是否爲攻擊者截獲的陳舊信息。
參考:網絡工程師教程