java學(xué)習(xí)心得筆記

　　對證書的信任基于對根證書的信任. 例如在申請sheca的個人數(shù)字證書前，需要先下載根證書，然后再進(jìn)行各類證書的申請。

　　下載根證書的目的：

　　網(wǎng)絡(luò)服務(wù)器驗證(s)；安全電子郵件(e)

　　申請個人數(shù)字證書可以為internet用戶提供發(fā)送電子郵件的安全和訪問需要安全連接（需要客戶證書）的站點。

　　1）個人數(shù)字證書

　　a.個人身份證書

　　個人身份證書是用來表明和驗證個人在網(wǎng)絡(luò)上的身份的證書，它確保了網(wǎng)上交易和作業(yè)的安全性和可靠性。可應(yīng)用于：網(wǎng)上炒股、網(wǎng)上理財、網(wǎng)上保險、網(wǎng)上繳費、網(wǎng)上購物、網(wǎng)上辦公等等。個人身份證書可以存儲在軟盤或ic卡中。 　

　　b.個人安全電子郵件證書

　　個人安全電子郵件證書可以確保郵件的真實性和保密性。申請后一般是安裝在用戶的瀏覽器里。用戶可以利用它來發(fā)送簽名或加密的電子郵件。

　　用戶在申請安裝完安全安全電子郵件數(shù)字證書后，就可以對要發(fā)送的郵件進(jìn)行數(shù)字簽名。收信人收到該郵件后，就可以看到數(shù)字簽名的標(biāo)記，這樣就可以證明郵件肯定來自發(fā)信者本人，而不是別人盜用該帳號偽造信件，同時也保證該郵件在傳送過程中沒被他人篡改過任何數(shù)據(jù)。

　　安全電子郵件中使用的數(shù)字證書可以實現(xiàn)：

　　保密性 通過使用收件人的數(shù)字證書對電子郵件加密。如此以來，只有收件人才能閱讀加密的郵件，在internet上傳遞的電子郵件信息不會被人竊取，即使發(fā)錯郵件，收件人也無法看到郵件內(nèi)容。

　　認(rèn)證身份 在internet上傳遞電子郵件的雙方互相不能見面，所以必須有方法確定對方的身份。利用發(fā)件人數(shù)字證書在傳送前對電子郵件進(jìn)行數(shù)字簽名即可確定發(fā)件人身份，而不是他人冒充的。

　　完整性 利用發(fā)件人數(shù)字證書在傳送前對電子郵件進(jìn)行數(shù)字簽名不僅可確定發(fā)件人身份，而且傳遞的電子郵件信息也不能被人在傳輸過程中修改。

　　不可否認(rèn)性 由于發(fā)件人的數(shù)字證書只有發(fā)件人唯一擁有，故發(fā)件人利用其數(shù)字證書在傳送前對電子郵件進(jìn)行數(shù)字簽名，發(fā)件人就無法否認(rèn)發(fā)過這個電子郵件。

　　outlook express中的個人安全電子郵件證書

　　簽名郵件帶有簽名郵件圖標(biāo)。

　　簽名郵件可能出現(xiàn)的任何問題都將在本信息之后可能出現(xiàn)的“安全警告”中得到描述。如果存在問題，您應(yīng)該認(rèn)為郵件已被篡改，或并非來自所謂的發(fā)件人。

　　當(dāng)收到一封加密郵件時，您應(yīng)該可以自信地認(rèn)為郵件未被任何第三者讀過。outlook express 會自動對電子郵件解密， 如果在您的計算機上裝有正確的數(shù)字標(biāo)識。

　　2）企業(yè)數(shù)字證書

　　a.企業(yè)身份證書

　　企業(yè)身份證書是用來表明和驗證企業(yè)用戶在網(wǎng)絡(luò)上身份的證書，它確保了企業(yè)網(wǎng)上交易和作業(yè)的安全性和可靠性。可應(yīng)用于：網(wǎng)上證券、網(wǎng)上辦公、網(wǎng)上交稅、網(wǎng)上采購、網(wǎng)上資金轉(zhuǎn)帳、網(wǎng)上銀行等。企業(yè)身份證書可以存儲在軟盤和ic卡中。　　

　　b.企業(yè)安全電子郵件證書

　　企業(yè)安全電子郵件證書可以確保郵件的真實性和保密性。申請后一般是安裝在用戶的瀏覽器里。企業(yè)可以利用它來發(fā)送簽名或加密的電子郵件。

　　可使用 windows 中的證書服務(wù)來創(chuàng)建證書頒發(fā)機構(gòu) (ca)，它負(fù)責(zé)接收證書申請、驗證申請中的信息和申請者的身份、頒發(fā)證書、吊銷證書以及發(fā)布證書吊銷列表 (crl)。

　　通常，當(dāng)用戶發(fā)出證書申請時，在其計算機上的加密服務(wù)提供程序 (csp) 為用戶生成公鑰和私鑰對。用戶的公鑰隨同必要的識別信息發(fā)送至 ca。如果用戶的識別信息符合批準(zhǔn)申請的 ca 標(biāo)準(zhǔn)，那么 ca 將生成證書，該證書由客戶應(yīng)用程序檢索并就地存儲。

　　4.set

　　安全接口層協(xié)議——ssl(se cure socketslayer)，并且已經(jīng)幾乎成為了目前www 世界的事實標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)使用公共密鑰編碼方案來對傳輸數(shù)據(jù)進(jìn)行加密，在雙方之間建立一個internet 上的加密通道，從而使第三方無法獲得其中的信息，其思路與目前流行的vpn方案大致相同，目的都是要保護(hù)數(shù)據(jù)不被未經(jīng)授權(quán)的第三方所竊聽，或即使竊聽到也不知所云。但就象vpn 一樣，ssl 在認(rèn)證方面沒有任何作為，它們都需要通過另外的手段來確認(rèn)身份和建立雙方彼此間的信任，然后再通過ssl 進(jìn)行交易。

　　正是由于ssl 標(biāo)準(zhǔn)在認(rèn)證方面的缺憾，所以set 才有存在的必要。set(secure electronic transactions) 規(guī)范由masterc ard 和visa 公司于1996 年發(fā)布，專家們認(rèn)為set 是保證用戶與商家在電子商務(wù)與在線交易中免受欺騙的重要手段。傳統(tǒng)的信用卡交易者總在擔(dān)心不誠實的店員會將自己的信用卡號碼透露給他人，而在線交易也是如此，持卡者總在擔(dān)心服務(wù)器端的管理員會將信用卡號碼泄露出去，或者擔(dān)心黑客會在管理員不知情的情況下盜取信用卡號碼。事實上這些擔(dān)心都是必要的，而set 標(biāo)準(zhǔn)則可以保證用戶的信用卡號碼只傳送給信用卡公司進(jìn)行認(rèn)證，不會被系統(tǒng)管理員看到，也不會留在交易服務(wù)器的硬盤上給黑客以可乘之機。

　　5.pki

　　pki是一種易于管理的、集中化的網(wǎng)絡(luò)安全方案。它可支持多種形式的數(shù)字認(rèn)證: 數(shù)據(jù)加密、數(shù)字簽字、不可否認(rèn)、身份鑒別、密鑰管理以及交叉認(rèn)證等。pki可通過一個基于認(rèn)證的框架處理所有的數(shù)據(jù)加密和數(shù)字簽字工作。p ki標(biāo)準(zhǔn)與協(xié)議的開發(fā)迄今已有15年的歷史,目前的pki已完全可以向企業(yè)網(wǎng)絡(luò)提供有效的安全保障。