認證機制
⑴ ssl用哪些加密演算法,認證機制
SSL是一個安全協議,它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。網際網路的 超文本傳輸協議(HTTP)使用 SSL 來實現安全的通信。
在客戶端與伺服器間傳輸的數據是通過使用對稱演算法(如 DES 或 RC4)進行加密的。公用密鑰演算法(通常為 RSA)是用來獲得加密密鑰交換和數字簽名的,此演算法使用伺服器的SSL數字證書中的公用密鑰。
有了伺服器的SSL數字證書,客戶端也可以驗證伺服器的身份。SSL 協議的版本 1 和 2 只提供伺服器認證。版本 3 添加了客戶端認證,此認證同時需要客戶端和伺服器的數字證書。
詳細介紹:網頁鏈接
⑵ 如何使用HttpClient認證機制
由於HttpClient內置支持HTTPBasic認證方式,因而使用HttpClient通過HTTPBasic認證的步驟顯得較為簡單。
1.為HttpClient的狀態對象添加用戶名/密碼對。可以注意到在setCredentials方法中的另一個參數為AuthScope對象。事實上我們添加的每個用戶名/密碼對都與一個AuthScope對象相關聯。AuthScope對象確定了此用戶名/密碼對的適用站點,在示例中所給出的用戶名/密碼對將只適用於www.sample.com位於80埠上的資源。HttpClient在與其他站點交互時將不會使用此用戶名/密碼對,這樣有效地防止了機密數據被傳送至不必要的站點。
2.開啟HttpClient提供的佔先式(Preemptive)認證功能。開啟了這個功能後,HttpClient對於那些處在之前請求過的URI空間范圍內的資源,會主動地隨請求一起向伺服器發送Basic認證數據,而不是等待伺服器返回是否需要認證的響應後再提交認證。在多數情況下,能夠減少請求-響應傳遞的次數,從而間接提高了伺服器的響應能力。值得注意的是在這種情況下必須在AuthScope對象中明確指定適用站點,以避免向不相關的站點泄漏敏感數據。3.創建GetMethod對象,此對象將使用GET方式對保護資源發出HTTP請求。
4.setDoAuthentication(true)語句將告知HttpClient在伺服器端發回需要認證的請求後,自動將我們在步驟1中設置的用戶名/密碼對發送至伺服器,以完成認證過程。
5.執行GET請求,獲取和處理受保護資源的內容。
⑶ 目前最安全的身份認證機制是
是三次口令機制。
1、根據你所知道的信息來證明你的身份(what you know ,你知道什麼 ) 。
2、根據你所擁有的東西來證明你的身份(what you have ,你有什麼 ) ;
採取通信加密、安全通信協議等安全措施進行安全防護。利用硬體加密設備對網路傳輸數據進行加密,使得通信數據以密文的方式在網路上進行傳輸,同時採取硬體密碼設備、密鑰管理安全協議、密鑰存儲訪問控制、密鑰管理安全審計等多種措施對密鑰安全進行安全防護,系統用戶使用數字證書進行身份認證,確保系統自身安全。
(3)認證機制擴展閱讀:
身份認證產生原因:
1,計算機網路世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的,計算機只能識別用戶的數字身份,所有對用戶的授權也是針對用戶數字身份的授權。
2,如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者,也就是說保證操作者的物理身份與數字身份相對應。
⑷ 如何使用HttpClient認證機制
是單向認證還是雙向認證呢?
其實2者實現過程是類似的,我對httpclient4.3+的版本比較熟悉,生成httpclient實例的一般過程是:首先生成SSLContext,然後用sslcontext作為參數傳入工廠方法生成SSLsocketfactory實例,之後通過HttpClientBuilder()將工廠傳進去生成httpclient實例,當然生成工廠實例這一步可以不做,看需求,因為工廠可以設置一些連接參數,如果你用不到可以直接把SSLContext傳入HttpClientBuilder()出來httpclient實例。
過程了解了,那麼如果要做證書驗證,對於單向認證,我們只需要信任伺服器證書即可,如果你手裡有伺服器證書(一般都可以下載),可以直接把它轉成keystore格式,然後sslcontext有一個.loadTrustMaterial(xxx.keystore)方法設置證書信任域,你把伺服器證書設置進去就可以了,還有一個.loadTrustMaterial(null, new TrustSelfSignedStrategy()),這是默認信任所有,當然不太安全,另外還可以通過重寫默認方法信任所有證書,這個不再贅述,你選擇一種方法就行。
對於雙向認證,你只需要把客戶端證書傳過去即可,你手上肯定有客戶端證書對吧,把它整成keystore格式,然後通過sslcontext的.loadKeyMaterial(xx.keystore,"password")把證書傳進去,很簡單吧,下面我給你個例子,是我以前寫的,也參考了網上的例子。
這個是先得到keystore實例
publicclassTrustKey{
@SuppressWarnings("finally")
(){
KeyStoretrustStore=null;
FileInputStreamfis=null;
try{
trustStore=KeyStore.getInstance(KeyStore.getDefaultType());
//fis=newFileInputStream(newFile("D:\java\tomcat8\wx_dev\webapps\data.keystore"));
fis=newFileInputStream(newFile("E:\certi\data.keystore"));
trustStore.load(fis,"password".toCharArray());//載入KeyStore
}catch(NoSuchAlgorithmExceptione){
e.printStackTrace();
}catch(CertificateExceptione){
e.printStackTrace();
}catch(IOExceptione){
e.printStackTrace();
}catch(KeyStoreExceptione){
//TODOAuto-generatedcatchblock
e.printStackTrace();
}finally{
try{
fis.close();
}catch(IOExceptione){
e.printStackTrace();
}
returntrustStore;
}
}
下面是生成httpclient實例,用到了連接池,如果你不需要可以去掉。(){
CloseableHttpClienthttpclient=null;
try{
KeyStoretrustStore=TrustKey.getTrustKey();//獲得keystore
//設置ssl上下文
SSLContextsslContext=SSLContexts.custom()
.loadTrustMaterial(null,newTrustSelfSignedStrategy())
.loadKeyMaterial(trustStore,"sinowel".toCharArray())
.setSecureRandom(newSecureRandom())
.useSSL()
.build();
=PlainConnectionSocketFactory.INSTANCE;
//將參數注入sslconnection工廠,,忽略域名一致驗證
=newSSLConnectionSocketFactory(
sslContext,newString[]{"TLSv1"},null,
SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
//注冊協議
Registry<ConnectionSocketFactory>r=RegistryBuilder.<ConnectionSocketFactory>create()
.register("http",plainSocketFactory)
.register("https",sslSocketFactoy)
.build();
HttpHosttarget=newHttpHost(IP,PORT,"https");
//根據已生成協議工廠對象生成連接管理器
connectionManager=(r);
connectionManager.setMaxTotal(MAXCONNECTION);
//設置每個Route的連接最大數
connectionManager.setDefaultMaxPerRoute(DEFAULTMAXCONNECTION);
//設置指定域的連接最大數
connectionManager.setMaxPerRoute(newHttpRoute(target),20);
//返回HTTPCLIENT對象
httpclient=HttpClients.custom()
.setConnectionManager(connectionManager)
.setProxy(newHttpHost("10.182.22.88",8002))
.build();
//將ssl上下文及連接管理器注入工廠產生httpclient對象
//=newSSLConnectionSocketFactory(sslContext);
//httpclient=HttpClients.custom().setSSLSocketFactory(sslsf).build();
//httpclient=HttpClientBuilder.create().setSSLSocketFactory(sslsf).build();
}catch(Exceptione){
e.printStackTrace();
}finally{
returnhttpclient;
}
}
⑸ 詳細解釋windows身份認證機制
原因可能是在SQL Server Management Studio,安全性-登錄里,把本機用戶名給刪了。
剛才我就是,因為機器換過IP,換用主機名。。。看了有個老用戶名不爽。刪掉了。然後SQL Server Management Studio就提示連接失敗了。然後重啟電腦用Windows身份認證登錄都進不去資料庫了。
⑹ 如何 整合 第三方 用戶認證機制
第三方認證是指:除了環球商訊網之外的第三方認證機構。第三方認證是為了驗證商訊通申請者的真實合法身份,最大程度上的杜絕虛假信息,保證商訊通的利益。認證過程即第三方認證機構通過企業用戶所在當地工商局對「被身份認證公司是否合法存在」以及「身份認證申請人是否屬於被身份認證公司」的查證。 用戶必須通過第三方認證機構才能成為環球商訊網商訊通會員,目前,第三方身份認證的通過率超過98%!該認證是在您完成商訊通會員的申請和付款到帳以後進行的,通過認證後。環球商訊網會Email通知您通過認證,開通商訊通服務。並將認證過的信息顯示在您的信用檔案中。 身份認證的信息包括如下幾項:公司注冊名稱、公司注冊地址、注冊資本、法定代表人、公司成立時間、申請人姓名、申請人所在部門、申請人職位等。 通過第三方權威機構的來核實企業,能夠提高企業信用度,更能贏得客戶信賴。 第三方認證不止是金融.對於其他也有 第三方的角色應該由誰來擔當呢?顯然,非國家或政府莫屬。由國家或政府的機關直接擔任這個角色,或者由國家或政府認可的組織去擔任這個角色,這樣的機關或組織就叫做「認證機構」。 第三方的認證活動必須公開、公正、公平,才能有效。這就要求第三方必須有絕對的權力和威信,必須獨立於第一方和第二方之外,必須與第一方和第二方沒有經濟上的利害關系,或者有同等的利害關系,或者有維護雙方權益的義務和責任,才能獲得雙方的充分信任。 在國際經濟案例中,如兩國之間未建交,而涉及到承認一方企業或企業產品的合法性時,可由與前兩者都建交的第三方國家或政府出具相關證明文件,當然也可以由其指定的組織認證。 現代的第三方產品品質認證制度早在1903年發源於英國,是由英國工程標准委員會(BSI的前身)首創的。 ISO9000系列質量標准認證是一個國際多邊承認、區域多邊承認的第三方認證體系。 目前相關的第三方認證機構主要包括的認證比較多一點,例如CA認證,Malware檢測網關設備也需要權威的第三方認證。
⑺ 思考ssl用哪些加密演算法,認證機制等
SSL是Netscape公司所提出的安全保密協議,在瀏覽器(如Internet Explorer、Netscape Navigator)和Web伺服器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之間構造安全通道來進行數據傳輸,SSL運行在TCP/IP層之上、應用層之下,為應用程序提供加密數據通道,它採用了RC4、MD5以及RSA等加密演算法,使用40 位的密鑰,適用於商業信息的加密。同時,Netscape公司相應開發了HTTPS協議並內置於其瀏覽器中,HTTPS實際上就是HTTP over SSL,它使用默認埠443,而不是像HTTP那樣使用埠80來和TCP/IP進行通信。哈希簽名演算法:SHA256、SHA384、SHA512,加密位數:204、4096、8192,SSL都是統一的認證機制並且統一在webtrust執行下認證。
⑻ 如何使用HttpClient認證機制
1.伺服器認證(Server Authentication)
HttpClient處理伺服器認證幾乎是透明的,僅需要開發人員提供登錄信息(login
credentials)。登錄信息保存在HttpState類的實例中,可以通過 setCredentials(String realm,
Credentials cred)和getCredentials(String realm)來獲取或設置。
HttpClient內建的自動認證,可以通過HttpMethod類的setDoAuthentication(boolean doAuthentication)方法關閉,而且這次關閉隻影響HttpMethod當前的實例。
1.1搶先認證(Preemptive Authentication)
在這種模式時,HttpClient會主動將basic認證應答信息傳給伺服器,即使在某種情況下伺服器可能返回認證失敗的應答,這樣做主要是為了減少連接的建立。使用該機制如下所示:
client.getParams().setAuthenticationPreemptive(true);
搶先認證模式也提供對於特定目標或代理的預設認證。如果沒有提供預設的認證信息,則該模式會失效。
Credentials defaultcreds = new UsernamePasswordCredentials("username", "password");
client.getState().setCredentials(new AuthScope("myhost", 80, AuthScope.ANY_REALM), defaultcreds);
Httpclient實現的搶先認證遵循rfc2617.
A
client SHOULD assume that all paths at or deeper than the depth of the
last symbolic element in the path field of the Request-URI also are
within the protection space specified by the Basic realm value of the
current challenge. A client MAY preemptively send the corresponding
Authorization header with requests for resources in that space without
receipt of another challenge from the server. Similarly, when a client
sends a request to a proxy, it may reuse a userid and password in the
Proxy-Authorization header field without receiving another challenge
from the proxy server.
1.2伺服器認證的安全方面考慮
當需要與不被信任的站點或web應用通信時,應該謹慎使用預設的認證機制。當啟動(activate)搶先認證模式,或者認證中沒有明確給出認證域,主機的HttpClient將使用預設的認證機制去試圖獲得目標站點的授權。
如果你提供的認證信息是敏感的,你應該指定認證域。不推薦將認證域指定為AuthScope.ANY。(只有在debugging情況下,才使用)
// To be avoided unless in debug mode
Credentials defaultcreds = new UsernamePasswordCredentials("username", "password");
client.getState().setCredentials(AuthScope.ANY, defaultcreds);
2.代理認證(proxy authentication)
除了登錄信息需單獨存放以外,代理認證與伺服器認證幾乎一致。用 setProxyCredentials(String realm, Credentials cred)和 getProxyCredentials(String realm)設、取登錄信息。
3.認證方案(authentication schemes)
3.1Basic
是HTTP中規定最早的也是最兼容的方案,遺憾的是也是最不安全的一個方案,因為它以明碼傳送用戶名和密碼。它要求一個UsernamePasswordCredentials實例,可以指定伺服器端的訪問空間或採用默認的登錄信息。
3.2 Digest
是在HTTP1.1 中增加的一個方案,雖然不如Basic得到的軟體支持多,但還是有廣泛的使用。Digest方案比Basic方案安全得多,因它根本就不通過網路傳送實際的密碼,傳送的是利用這個密碼對從伺服器傳來的一個隨機數(nonce)的加密串。
它要求一個UsernamePasswordCredentials實例,可以指定伺服器端的訪問空間或採用默認的登錄信息。
3.3 NTLM
這是HttpClient支持的最復雜的認證協議。它Microsoft設計的一個私有協議,沒有公開的規范說明。一開始由於設計的缺陷,NTLM的安全性比 Digest差,後來經過一個ServicePack補丁後,安全性則比較Digest高。
NTLM需要一個NTCredentials實例。
注意,由於NTLM不使用訪問空間(realms)的概念,HttpClient利用伺服器的域名作訪問空間的名字。還需要注意,提供給
NTCredentials的用戶名,不要用域名的前綴 - 如: "adrian" 是正確的,而 "DOMAIN\adrian" 則是錯的。
NTLM認證的工作機制與basic和digest有很大的差別。這些差別一般由HttpClient處理,但理解這些差別有助避免在使用NTLM認證時出現錯誤。
[1] 從HttpClientAPI的角度來看,NTLM與其它認證方式一樣的工作,差別是需要提供'NTCredentials'實例而不是'UsernamePasswordCredentials'(其實,前者只是擴展了後者)
[2] 對NTLM認證,訪問空間是連接到的機器的域名,這對多域名主機會有一些麻煩。只有HttpClient連接中指定的域名才是認證用的域名。建議將realm設為null以使用默認的設置。
[3]
NTLM只是認證了一個連接而不是一請求,所以每當一個新的連接建立就要進行一次認證,且在認證的過程中保持連接是非常重要的。
因此,NTLM不能同時用於代理認證和伺服器認證,也不能用於HTTP1.0連接或伺服器不支持持久連接(keep-alives)的情況。
⑼ 為什麼要對動態路由協議採用認證機制
認證 就是設置密碼 避免非授權的設備接入觸發更新就是當網路拓撲發生變化時,向鄰居發送路由更新,相對於周期更新
⑽ 無線感測器網路的認證機制有哪些
與傳統網路不同,無線感測器網路通常部署在野外或者敵方區域,其網路節點成本低廉、結構較為鬆散、不具備抗篡改能力、且容易被攻擊者俘獲,無線感測網路的安全問題已經成為制約其發展的主要瓶頸之一,認證技術是安全體系中的重要組成部分,因此研究無線感測器網路的認證技術具有重要意義。本文結合無線感測器網路節點協同工作的特點,採用混淆多項式技術,著重研究適合該網路的數據認證機制,主要工作包括以下幾個方面:
(1)針對無線感測器網路中已有的廣播認證機制難以支持廣播優化、存在延遲等不足,本文基於虛擬骨幹網的思想,構建一個動態階梯型網路,採用多項式技術,提出了一種能夠識別轉發節點身份的廣播認證機制及其改進方案,與已有廣播認證機制相比,該機制計算簡單、認證延遲低、能夠容忍大量的俘獲節點,而且能夠支持層次廣播優化策略,更適用於大規模網路。
(2)針對無線感測器網路中已有的網內數據認證機制通常受到t門限值的限制,且難以支持動態路由的缺陷,本文基於虛擬證人簇的思想,採用混淆多項式技術,由雲團內部多個節點協作生成認證多項式,加大了攻擊難度;在此基礎上提出的網內數據認證機制,能即時驗證數據的有效性,並且支持動態路由。理論分析和模擬測試表明,新演算法不受t門限值的限制,隨著傳輸跳數的增加其節能效果更為明顯,與已有的網內數據認證機制相比,抗俘獲能力增強,更適用於可信度較低的網路,以及遠距離傳輸場景的應用。
(3)根據上述提出的多項式數據認證機制,在OMNet++平台上,實現了基於多項式認證的模擬系統,包括定義該模擬系統的總體結構,各功能層次所實現的具體功能,以及演算法的具體實現等。本文採用源節點隨機發送正確的數據包和偽造的數據包的方式來測試分析所提演算法的認證能力,模擬結果表明,該系統能夠有效地對數據包的新鮮性、完整性和可靠性進行認證,並能識別和剔除虛假數據。http://ic.big-bit.com/