java學習心得筆記

　　對證書的信任基于對根證書的信任. 例如在申請sheca的個人數字證書前，需要先下載根證書，然后再進行各類證書的申請。

　　下載根證書的目的：

　　網絡服務器驗證(s)；安全電子郵件(e)

　　申請個人數字證書可以為internet用戶提供發送電子郵件的安全和訪問需要安全連接（需要客戶證書）的站點。

　　1）個人數字證書

　　a.個人身份證書

　　個人身份證書是用來表明和驗證個人在網絡上的身份的證書，它確保了網上交易和作業的安全性和可靠性。可應用于：網上炒股、網上理財、網上保險、網上繳費、網上購物、網上辦公等等。個人身份證書可以存儲在軟盤或ic卡中。 　

　　b.個人安全電子郵件證書

　　個人安全電子郵件證書可以確保郵件的真實性和保密性。申請后一般是安裝在用戶的瀏覽器里。用戶可以利用它來發送簽名或加密的電子郵件。

　　用戶在申請安裝完安全安全電子郵件數字證書后，就可以對要發送的郵件進行數字簽名。收信人收到該郵件后，就可以看到數字簽名的標記，這樣就可以證明郵件肯定來自發信者本人，而不是別人盜用該帳號偽造信件，同時也保證該郵件在傳送過程中沒被他人篡改過任何數據。

　　安全電子郵件中使用的數字證書可以實現：

　　保密性 通過使用收件人的數字證書對電子郵件加密。如此以來，只有收件人才能閱讀加密的郵件，在internet上傳遞的電子郵件信息不會被人竊取，即使發錯郵件，收件人也無法看到郵件內容。

　　認證身份 在internet上傳遞電子郵件的雙方互相不能見面，所以必須有方法確定對方的身份。利用發件人數字證書在傳送前對電子郵件進行數字簽名即可確定發件人身份，而不是他人冒充的。

　　完整性 利用發件人數字證書在傳送前對電子郵件進行數字簽名不僅可確定發件人身份，而且傳遞的電子郵件信息也不能被人在傳輸過程中修改。

　　不可否認性 由于發件人的數字證書只有發件人唯一擁有，故發件人利用其數字證書在傳送前對電子郵件進行數字簽名，發件人就無法否認發過這個電子郵件。

　　outlook express中的個人安全電子郵件證書

　　簽名郵件帶有簽名郵件圖標。

　　簽名郵件可能出現的任何問題都將在本信息之后可能出現的“安全警告”中得到描述。如果存在問題，您應該認為郵件已被篡改，或并非來自所謂的發件人。

　　當收到一封加密郵件時，您應該可以自信地認為郵件未被任何第三者讀過。outlook express 會自動對電子郵件解密， 如果在您的計算機上裝有正確的數字標識。

　　2）企業數字證書

　　a.企業身份證書

　　企業身份證書是用來表明和驗證企業用戶在網絡上身份的證書，它確保了企業網上交易和作業的安全性和可靠性。可應用于：網上證券、網上辦公、網上交稅、網上采購、網上資金轉帳、網上銀行等。企業身份證書可以存儲在軟盤和ic卡中。　　

　　b.企業安全電子郵件證書

　　企業安全電子郵件證書可以確保郵件的真實性和保密性。申請后一般是安裝在用戶的瀏覽器里。企業可以利用它來發送簽名或加密的電子郵件。

　　可使用 windows 中的證書服務來創建證書頒發機構 (ca)，它負責接收證書申請、驗證申請中的信息和申請者的身份、頒發證書、吊銷證書以及發布證書吊銷列表 (crl)。

　　通常，當用戶發出證書申請時，在其計算機上的加密服務提供程序 (csp) 為用戶生成公鑰和私鑰對。用戶的公鑰隨同必要的識別信息發送至 ca。如果用戶的識別信息符合批準申請的 ca 標準，那么 ca 將生成證書，該證書由客戶應用程序檢索并就地存儲。

　　4.set

　　安全接口層協議——ssl(se cure socketslayer)，并且已經幾乎成為了目前www 世界的事實標準。這一標準使用公共密鑰編碼方案來對傳輸數據進行加密，在雙方之間建立一個internet 上的加密通道，從而使第三方無法獲得其中的信息，其思路與目前流行的vpn方案大致相同，目的都是要保護數據不被未經授權的第三方所竊聽，或即使竊聽到也不知所云。但就象vpn 一樣，ssl 在認證方面沒有任何作為，它們都需要通過另外的手段來確認身份和建立雙方彼此間的信任，然后再通過ssl 進行交易。

　　正是由于ssl 標準在認證方面的缺憾，所以set 才有存在的必要。set(secure electronic transactions) 規范由masterc ard 和visa 公司于1996 年發布，專家們認為set 是保證用戶與商家在電子商務與在線交易中免受欺騙的重要手段。傳統的信用卡交易者總在擔心不誠實的店員會將自己的信用卡號碼透露給他人，而在線交易也是如此，持卡者總在擔心服務器端的管理員會將信用卡號碼泄露出去，或者擔心黑客會在管理員不知情的情況下盜取信用卡號碼。事實上這些擔心都是必要的，而set 標準則可以保證用戶的信用卡號碼只傳送給信用卡公司進行認證，不會被系統管理員看到，也不會留在交易服務器的硬盤上給黑客以可乘之機。

　　5.pki

　　pki是一種易于管理的、集中化的網絡安全方案。它可支持多種形式的數字認證: 數據加密、數字簽字、不可否認、身份鑒別、密鑰管理以及交叉認證等。pki可通過一個基于認證的框架處理所有的數據加密和數字簽字工作。p ki標準與協議的開發迄今已有15年的歷史,目前的pki已完全可以向企業網絡提供有效的安全保障。