安全杂论

非对称加密:
之前写过activex插件,对CA和DES了解点,现在差不多又忘了,首先DES是非对称加密方法,分公钥和私钥,公钥与私钥的作用是:用公钥加密的内容只能用私钥解密,用私钥加密的内容只能 用公钥解密。那这两种方式有什么作用呢:
公钥加密私钥解密:我要发邮件给B,我不想让别人知道这个内容,如是我用B的公钥加密,则只有B才能用他的私钥解密这个邮件。
私钥加密公钥解密:身份认证。我要向B证明这个邮件是我发送的,我用我的私钥加密这封邮件,B用我的公钥来解密,如果成功,则说明这个邮件是我发送的。
Certification Authority(认证中心):
很权威的机构,能发放证书证明某件事的机构。之前说的activeX安装在ie上时,如果没有使用ie里面信任的CA发放的证书来编码activeX组建的话,ie是不允许这个activeX安装运行的。
数字证书:
一个标准的X.509数字证书包含以下一些内容:
证书的版本信息;
证书的序列号,每个证书都有一个唯一的证书序列号;
证书所使用的签名算法;
证书的发行机构名称,命名规则一般采用X.500格式;
证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
证书所有人的名称,命名规则一般采用X.500格式;
证书所有人的公开密钥;
证书发行者对证书的签名。

网银
网银业务,只要数字签名就可以了。
表示业务的数据,比如一个xml,做hash;hash结果用你的私钥加密
私钥(hash(原文))

银行对原文hash,得到hash1。hash(原文)
用你的公钥解密密文,得到hash2。公钥(私钥(hash(原文)))
比对hash1,hash2,如果一致就签名验证通过。
外加验证你的数字证书。

如果这么干,你必须和银行有协议:
凡数字签名验证通过之情况,如同您本人亲自办理之业务。//不可否认性

优点是不用传递口令。可以离线(或者另外机器),做签名;把签名交给银行。

所以私钥自己保护,很重要。银行替你保护是不当的。

网银没必要用数字证书!
现在都是基于口令保护,外加加密通信(SSL),足够了。除非能够不用口令。(美国银行就是如此)
用数字证书,意义不大,只是增加被黑掉的难度。
用户不敢,因为不懂。银行不敢,因为本来就不敢,口令挺好的。

物理安全:
容灾备份,防止单点故障

网络安全:
防火墙
病毒
网段划分
数据加密

同一个网段




Total views.

© 2013 - 2024. All rights reserved.

Powered by Hydejack v6.6.1