|
|
|
|
|
安全超文本传输协议(Secure Hyper Text Transfer Protocol, S-HTTP)是一种结合HTTP而设计的消息的安全通信协议。S-HTTP的设计基于与HTTP信息样板共存并易于与HTTP应用程序整合。
|
|
|
|
S-HTTP协议为HTTP客户机和服务器提供了多种安全机制,这些安全服务选项是适用于万维网上各类用户的,还为客户机和服务器提供了对称能力(及时处理请求和回复,及两者的参数选择),同时维持HTTP的通信模型和实施特征。
|
|
|
|
S-HTTP不需要客户方的公用密钥证明(或公用密钥),但它支持对称密钥的操作模式。这一点很重要,因为这意味着在没有要求用户个人建立公用密钥的情况下,会自发地发生私人交易。它支持端对端安全传输,客户机可能首先启动安全传输(使用报头的信息),用来支持加密技术。
|
|
|
|
在语法上,S-HTTP报文与HTTP相同,由请求或状态行组成,后面是信头和主体。请求报文的格式由请求行、通用信息头、请求头、实体头、信息主体组成。响应报文由响应行、通用信息头、响应头、实体头、信息主体组成。
|
|
|
|
|
|
PGP(Pretty Good Privacy)是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是将现有的一些算法如MD5、RSA及IDEA等综合在一起。PGP提供数据加密和数字签名两种服务。下图所示为PGP的加密过程。
|
|
|
|
|
|
|
|
数字加密机制可以应用于本地存储文件,也可以应用于网络上传输的电子邮件。数字签名机制用于数据源身份认证和报文完整性验证。PGP使用RSA公钥证书进行身份认证,使用IDEA(128位密钥)进行数据加密,使用MD5进行数据完整性认证。
|
|
|
|
|
|
S/MIME(Security/Multipurpose Internet Mail Extensions)是RSA数据安全公司开发的软件。S/MIME提供的安全服务有报文完整性验证、数字签名和数据加密。S/MIME可以添加在邮件系统的用户代理中,用于提供安全的电子邮件传输服务,也可以加入其他的传输机制中,安全地传输任何MIME报文,甚至可以添加在自动报文传输代理中,在Internet中安全地传送由软件生成的FAX报文。
|
|
|
|
S/MIME的安全功能基于加密信息语法标准PKCS#7(RFC2315)和X.509v3证书,密钥长度是动态可变的,具有很高的灵活性。
|
|
|
|
|
|
安全的电子交易(Secure Electronic Transaction, SET)用于电子商务的行业规范,是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是保证网络交易的安全。SET主要使用"电子认证"技术作为保密电子交易安全进行的基础,其认证过程使用RSA和DES算法。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SET交易发生的先决条件是,每一个持卡人(客户)必须拥有一个唯一的电子(数字)证书,且由客户确定口令,并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储,这些与符合SET协议的软件一起组成了一个SET"电子钱包"。下图展示了SET交易过程中,持卡人、商家、支付网关、收单银行和发卡机构之间的数据交换过程。
|
|
|
|
|
|
|
|
|
|
Kerberos是MIT为校园网用户访问服务器进行身份认证而设计的安全协议,它可以防止偷听和重放攻击,保护数据的完整性。
|
|
|
|
Kerberos系统为分布式计算环境提供了一种对用户双方进行验证的认证方法。它使网络上进行通信的用户相互证明自己的身份,同时又可选择防止窃听或中继攻击。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法用户,若是合法用户则再审核该用户是否有权利对其所请求的服务器或主机进行访问。从加密算法上来讲,其验证是建立在对称加密(DES)的基础上的,它采用可信任的第三方——密钥分配中心(KDC)保存与所有密钥持有者通信的主密钥(秘密密钥)。
|
|
|
|
Kerberos的目标在于3个领域:认证、授权和记账审计。认证过程如下图所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(4)TGS验证用户身份后发放给用户会话票据KAV。
|
|
|
|
|
|
|
