WEB开发网
开发学院软件开发Java WebSphere Application Server V7 高级安全性加强... 阅读

WebSphere Application Server V7 高级安全性加强,第 1 部分:安全性加强概述和方法(上)

 2010-07-23 00:00:00 来源:WEB开发网   
核心提示: 如果有一种安全的方法可以将公钥分发给可信任的群体,这就足够了,WebSphere Application Server V7 高级安全性加强,第 1 部分:安全性加强概述和方法(上)(10),然而,公钥密码术更进一步,SSL 实际上将改为使用在握手期间生成的机密密钥执行加密,以此保护通信通道,它

如果有一种安全的方法可以将公钥分发给可信任的群体,这就足够了。然而,公钥密码术更进一步,它引入了签名公钥的概念。签名公钥有数字签名(非常类似于人工签名)来表明签署者对公钥的担保。签署者保证与签名公钥相对应的私钥持有者就是由密钥识别的群体。这些签名公钥被称为证书。众所周知的签署者被称为证书授权方 (CA)。也可以使用公钥签署其自身。这些被称为自签名 (self-signed) 证书。自签名证书的安全性不亚于由证书授权方签署的证书。它们只是乍看起来不易于管理。

图 1 显示使用 CA 创建和分发证书的基本过程;对于本例,证书用于通过 SSL 执行服务器身份验证。也就是说,服务器持有一个证书,用于向客户机表明其身份。客户机不持有证书,因此对 SSL 是匿名的。

图 1. 服务器 SSL 身份验证:证书创建和分发
WebSphere Application Server V7 高级安全性加强,第 1 部分:安全性加强概述和方法(上)

在查看此图时,请注意客户机必须持有签署服务器生成的公钥所用的证书。这是信任的关键部分。由于客户机信任它拥有的任何证书(在本例中包括 CA 证书),所以它信任 CA 签署的证书。如果您使用自签名证书,这没有什么价值,因为您需要手工地将这些自签名证书分发到每个客户机,而不是依靠可能已经在客户机中构建的众所周知的 CA 证书。这并非不安全,但如果您有许多客户机,要将所有这些签名证书(每个服务器对应一个)分发到所有客户机将会变得非常难以管理。只分发一个签署了许多证书的 CA 证书容易得多。

对于使用 SSL 的服务器身份验证来说更是如此。在最初的握手阶段之后,SSL 实际上将改为使用在握手期间生成的机密密钥执行加密,以此保护通信通道,但其细节与本讨论无关。

上一页  5 6 7 8 9 10 

Tags:WebSphere Application Server

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接