windows server 系统安全加固(证书服务器的原理)
信息安全三要素
在网络通信过程中涉及的安全问题主要集中在三个方面:
数据的机密性,要求保证数据内容不能泄露。
数据的有效性,数据不能被否认。一方面需要确认收到的数据是由某个确定的用户发出的,另一方面发送方不能对自己发出的数据进行抵赖。
数据的一致性。保证数据在传送过程中没有被篡改,接收方收到的数据与发送方发送的数据完全一致。
解决办法:
数据机密性,通过对数据进行加密实现。
数据有效性,通过数字签名实现。
数据一致性,通过消息摘要算法实现。哈希算法(md5)。
数据加密的基本概念
明文,加密之前的数据。
密文,加密之后的数据。
算法,把数据从明文转换成密文的方法。
密钥,在加密算法中所使用的函数。
以上应用的是最古老的加密算法(凯撒加密)。
对称式加密
加密和解密都是使用相同的密钥。
DES,3DES
AES
IDEA
RC系列
优点:效率高
缺点:密钥管理困难(必须事先之前协商好),只要密钥被别人知道,密码就会被破解
非对称式加密
密钥必须成对出现,一个为公开密钥(简称公钥),一个为私有密钥(简称私钥),这两个密钥不能从其中一个推导出另一个。
用公钥加密的信息只能用相应的私钥解密,反之亦然。
公钥要发布出去,所有人都可以自由获得;而私钥则要由用户严密保管,以保证绝对的安全。
发送方使用接收方的公钥加密数据,接收方使用自己的私钥解密数据。每个人都有一对密钥。
优点:密钥管理简单,相比对称式加密具有更高的安全性。
缺点:加密效率不高,主要用于对小数据块的加密,大量数据不适合使用。
RSA是最常用的非对称加密算法。
两者结合在一起使用:
数据加密主要采用对称式加密方法
非对称式加密专用于传送对称加密的密钥
数字签名
采用非对称式加密算法,目的是实现数据的有效性。
用私钥加密,用公钥解密。
由于私钥(用私钥作为签名)仅为用户个人拥有,所以通过数字签名可以使接收方确认发送方的身份,而发送方也不能对发送出去的数据抵赖。
在发送方用私钥将明文加密的操作称为签名,在接收方用公钥将密文解密的过程称为认证。
公钥用于加密和认证;
私钥用于解密和签名。
以上是保证数据的可靠性。
消息摘要算法(Hash算法)的特点(保证数据的有效性)
md5是一种hash的具体实现。
定长输出:无论原始数据多大,其结果大小一样。
不可逆:无法根据加密后的密文,还原原始数据。既然加密不可逆,为什么我们还能解密出md5,那是因为我们在网站进行md5解密的时候,网站的后面有一个巨大的数据库,里面存放着对多md5对应的明文。这不是一种解密,是一种解密,
输入一样,输出必定一样。
雪崩效应:输入微小改变,将引起结果巨大改变。
Hash算法的应用
Hash算法主要用于验证发送数据的一致性。
发送方使用Hash算法生成数据的Hash值,然后将Hash值与数据本身一起发送。
接收方同时收到数据和Hash值,并将收到的数据也用同样的Hash算法产生另一个Hash值,然后将两个Hash值进行比较,如果两者相同,则说明数据在传送过程中没有被改变。
例子:
我们在下载镜像的时候为了保证镜像的安全,我们可以对镜像进行加密,把得到的结果与微官方的结果进行对比。
在实际应用中,一般都是将数字签名和消息摘要结合起来使用。在进行数字签名时,先将明文用Hash算法生成Hash值,再用私钥对Hash值进行加密。这样做的好处,一是可以提高效率,二是可以保证Hash值的安全。
证书服务器的原理与配置
证书:
对于用户来讲,在实际应用中主要是通过证书来实现前面所提到的安全技术。就像开车首先必须要办理驾照一样,要使用这些安全技术,首先就得去申请证书。
X.509数字证书标准,符合该标准的证书主要包含以下内容:
证书中用到的最核心技术是非对称式加密。
在Windows系统中默认安装了一个名为CSP(cryptographic service provider,密码学服务提供者)的程序,当用户要申请证书时,首先由CSP生成一对密钥,公钥就包含在生成后的证书中,所有人都可以看到,私钥默认被存放在注册表中,除了拥有者之外,别人无法查看。
具体查看网站的证书。
CA(认证中心)
证书必须要由权威的第三方机构颁发,这个机构就被称为CA(Cerfiticate Authority,认证中心)。
当用户在申请证书时,首先需要输入姓名、地址、电子邮件等用户信息,然后由CSP程序生成公钥和私钥,CSP将私钥存储到申请者计算机的注册表中,再将证书申请数据与公钥一起发送到CA。CA检查这些数据无误后,会利用自己的私钥将要发放的证书加以签名,然后发放证书。申请者收到证书后,将证书安装到自己的计算机里。
CA作为一个权威机构,必须要得到用户的信任。如果网站所使用的证书是由一个不被信任的CA颁发的,那么就会弹出警告提示
PKI(公钥基础设施)
PKI所能提供的三大功能:加密、签名、验证。
PKI中最基本的元素是数字证书,所有的安全操作主要通过证书来实现。
PKI 中最重要的设备则是CA,负责颁发并管理证书。
PKI中的核心技术是公钥加密技术(非对称式加密)。
- windows server 2003 系统安全加固
- [Windows Server 2008] 服务器安全加固
- (转)互联网安全之对称加密、非对称加密、数字签名、数字证书与PKI系统原理讲解
- [Windows Server 2003] 服务器安全加固
- [Windows Server 2012] 服务器安全加固
- 加固服务器windows 2003 系统安全
- Windows Server 2008 R2服务器系统安全设置参考指南
- 通过Linux系统伪装方法加固服务器安全
- Windows 服务器系统安全防御加固方法
- Windows 服务器系统安全防御加固方法
- WINDOWS server 2008 r2,win2012 r2 服务器安全加固实战
- 在Windows Server 2003系统中为Web服务器申请证书
- Windows Server 2008服务器系统数据安全
- [转]WINDOWS服务器安全加固实战(WINDOWS SERVER 2008 R2和WINDOWS SERVER 2012)
- 【安全运维】linux系统加固(第二部分),经测试可行
- SQL Server 阻止了对组件 'Ole Automation Procedures' 的 过程'sys.sp_OACreate' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configur
- 向服务器提交POST表单并保存结果的原理,可做刷票系统。
- 六招轻松搞定你的CentOS系统安全加固