討論了各種因素,應選擇壹個電子商務網站,以確定網絡服務器硬件的適當規模。
第三個真的看不懂。
第三個網站的主旨
加密公鑰基礎設施(PKI)是壹種通過證書頒發機構(CA)將公鑰與其各自的用戶身份相結合的安排。用戶的身份必須用於每個唯壹的CA。綁定是通過建立登記和分發流程,其中綁定可以根據保證程度進行,也可以根據人的監督進行。PKI確保這種綁定的角色稱為註冊機構(RA)。對於每個用戶,用戶身份、公鑰、其約束力、有效性條件等屬性都是不能用公鑰頒發的證書CA。
長期可信第三方(TTP)也可以用於證書頒發機構(CA)。長期公鑰基礎設施有時被錯誤地用來表示公鑰算法,它不需要使用CA。
信任網站
主要文章:網絡中的信任
公開驗證公共密鑰信息網絡的信任計劃的問題的另壹種方法使用自簽名證書和由第三方認證的證書。說到網站信任,並不是說有單壹的網絡信任,或者同方向的* * *信任,而是任何數量的潛在分離“網絡信任”。例如PGP(良好隱私)和GnuPG(實現OpenPGP的PGP,壹種標準化規範)。由於PGP的實現和允許使用數字簽名電子郵件的自發布公鑰信息,更容易執行自己的網站信托基金。KC的壹個好處是網絡的信任,比如PGP,可以和PKI互操作。加州各方在域內(如加州內部公司)均可信任,並表示願意擔保證書為可信賴的向導。只有在“網絡信任”中才是完全可信的,因為網絡信任的本質是信任壹個證書,對頁面上的所有證書都給予信任。公鑰基礎設施與標準和實踐壹樣有價值。控制證書的發放,將PGP或個人納入其中來建立網站的信任度,會大大降低企業或域的可信任度。[ 1 ]
[編輯]簡單公鑰基礎設施
另壹種方法,但不涉及公共認證的公鑰信息,是簡單公鑰基礎設施(SPKI)增加了三個獨立的努力來克服復雜的X.509和PGP網頁的信任。SPKI不是約束人的關鍵,因為關鍵是信任,而不是人。SPKI不使用任何信任的概念,驗證也是分配。這就是SPKI術語中所謂的“授權環”,整體授權其設計。
此外,PKI支持信息加密和數字簽名,進壹步提高了交易的安全性。雖然證書驗證和撤銷、密鑰備份和恢復以及同時更新等基本服務是最大限度地減少PKI基礎設施管理工作量的關鍵,但審核密鑰歷史和時間戳等功能可以加強安全控制和管理。最後,PKI支持交叉認證,交叉認證的關鍵是建立真正的聯合身份,讓各行各業之間的信任無縫融合。
與Kerberos相比,PKI提供了增強的安全性、更大的可伸縮性以及易於管理、控制和控制的基礎設施。因此,公鑰基礎設施使更大的社區中的用戶、消費者和合作夥伴更加動態、安全、可靠和具有成本效益。
[編輯]歷史記錄
在公開披露的安全密鑰交換和非對稱密鑰算法中,在1976中,Duffy、Herman、West、Chamil、Adlerman改變了完全安全通信。隨著高速數字電子通信(互聯網及其前身)的進壹步發展,需要顯而易見的方法,用戶可以安全地相互通信,並且作為進壹步的後果,如何確保用戶可以實際地與他們進行交互。
分類加密協議的發明和分析使得新的加密協議能夠被有效地利用。隨著萬維網的發明及其快速傳播,對認證和安全通信的需求變得更加迫切。僅用於商業目的(如電子商務、在線獲取專利數據庫的網絡瀏覽器等。),就夠了。由Tahar的ElGamal和其他Netscape公司開發的SSL協議(‘HTTPS’網絡的網站);包括密鑰建立、服務器驗證(v3之前,僅單向)等等。公鑰基礎設施結構,因此用戶/網站需要安全(或更安全)的通信。
供應商和企業家看到了大市場的可能性,開辦公司(或現有公司中的新項目),並開始鼓勵法律承認和保護責任。美國律師協會的壹個技術項目在法律上公布了壹些可預見的公鑰基礎設施行動(參見ABA的數字簽名指南),此後不久,美國的幾個州(猶他州在1995成為第壹個)和其他司法管轄區開始在世界各地頒布法律和通過法規。消費者團體和其他人質疑隱私、訪問和責任因素,在壹些管轄區比其他管轄區考慮得更多。
在法律法規的制定上,公開密鑰基礎設施計劃轉化為成功的商業運營存在技術和業務問題,取得的成績遠不及先驅者的想象。
從前幾年的21世紀開始,已經明確了基礎加密項目不容易正確部署,也就是操作程序(手動或自動)不容易正確設計(即使設計並完美執行,也是項目所需要的),這個標準在某些方面存在不足,正在實施中。
公鑰基礎設施提供商已經發現了這個市場,但在90年代中期還沒有完全設想出來。在某些方面,它的增長速度比預期的要慢。公鑰基礎設施沒有解決他們預期的壹些問題,幾個主要的制造商已經倒閉或已經收購了其他制造商。公鑰基礎設施(PKI)是政府實施的最成功的最大的PKI。實施日期是國防信息系統局(DISA)的PKI基礎設施,公共交通卡計劃。
部署公鑰基礎設施時,最重要的部分是合適的加州軟件。市場上有幾種解決方案:
Intesi Group:提供壹個名為PKSuite的產品,這是壹個將公鑰基礎設施、智能卡和身份驗證應用到您的客戶端和服務器的工具包。
Cryptomathic:提供壹個叫* * *的產品,有國家評測。
EJBCA:實現企業Java的開源、獨立於平臺的解決方案。
委托:優惠產品稱為委托機構。公鑰基礎設施委托的軟件和管理服務的選擇主要在。政府空間。
GlobalSign:提供TrustedRoot,這是加利福尼亞州的壹個公鑰基礎設施根存儲鏈接器(根登錄),它允許您在Microsoft CA或內部CA根證書之前立即鏈接您的可信SSL S/MIME和代碼簽名證書的可信GlobalSign根證書。
IBM公司:公鑰基礎設施服務提供z/OS。
Linux操作系統:Linux操作系統支持的openssl和OpenCA,開源CA的兩種解決方案。
微軟:在Windows 2000 Server中,所有Server 2003和2008都包含CA軟件,該軟件集成到Active Directory中,不需要額外的許可費用。
Novell公司:提供Novell的證書服務器,集成在eDirectory中。此外,新增的eDirectory可用於產品種類的行為PKIntegrated(第三方提供給制造商的額外成本)。
紅帽證書系統:最初的網景認證服務器。它現在是完全開源的。參見協議版本6 (IPv6),這是壹種分組交換互聯網絡協議。目前,IP v4[更新]是互聯網協議的主導版本,是第壹個被廣泛使用的版本。IPv6已經被互聯網工程任務組(IETF)指定為第4版的後續版本,通常在互聯網上使用。
IPv6比IPv4具有更大的地址空間,這為分配地址和路由流量提供了靈活性。擴展地址長度(128位)的目的是消除網絡地址轉換的需要,以避免地址耗盡,並且當互聯網連接提供商不斷變化時,還簡化了傳輸和重新編號的處理。
在壹個非常大的IPv6地址空間中支持2128(約3.4 × 1038)或5 × 1028(約295)地址的人,今天還活著。[1]換個角度,就是已知宇宙中每顆恒星觀測到的252個地址[2]——比我Pv4(2 ^ 32)支持的地址多7 9000000000億倍。
盡管這些數字令人印象深刻,但在設計IPv6地址空間時,並不是有意要確保該區域充滿可用地址。相反,大量的地址可以更好地、系統地、分層次地以有效的方式進行分配和聚合。有了IPv4,復雜的域間路由(pinning)技術的發展最大限度地利用了小地址空間。重組現有網絡並提供具有不同路由前綴的新連接是RFC 2071和RFC 2072中與IPv4討論的主要內容。然而,與IPv6不同,少數路由器中不斷變化的前綴可以針對整個網絡重新編號,因為主機標識符(世界上最重要的64位地址)是分離的子網標識符和網絡運營商的路由前綴。大小每個子網中的IPv6地址是264 (64位);這個正方形相當於整個IPv4互聯網的大小。所以在IPv6中實際地址空間的利用率可能很小,但是網絡管理和路由會更高效。
IPv6的動機
第壹個公開使用的互聯網協議版本4 (IPv4)提供了壹個處理能力約為40億(232)的地址。這在設計階段就已經考慮夠了,互聯網和全球分銷網絡的爆炸式增長是沒有預料到的。
在第壹個十年的運作中,互聯網基於TCP/IP,在80年代後期,顯然,發達國家是保護地址空間的方式。在1990年代早期,即使在實施類網絡設計時,很明顯這也不足以防止IPv4地址耗盡,需要進壹步改變互聯網基礎設施。[3]到1992開始,分發了幾個建議系統,到1992結束,IETF公布了壹個呼籲白皮書文件(RFC 1550),成立了“IP下壹代”(IPng)領域的工作組。[ 3 ] [ 4 ]
互聯網工程任務組於7月25日通過IPNG建立了多個IPng工作組,1994。[3]到1996,發布了壹系列RFC來定義互聯網協議版本6 (IPv6),它符合RFC 2460。
順便說壹句,IPng的架構師不能用版本號5作為IPv4的繼任者,因為它已經被分配到壹個實驗性的面向進程的流媒體協議(Internet Streaming Protocol),該協議類似於IPv4,旨在支持視頻和音頻。
人們普遍預計,在可預見的將來,IPv4將壹起支持IPv6。不能由IPv4的唯壹節點直接通信的IPv6節點將需要輔助的媒介;參見轉換機制,如下所示。
[編輯]與IPv4的功能和差異
在很大程度上,IPv6是IPv4的保守擴展。大多數傳輸層和應用層協議需要很少或不需要IPv6工作;例外情況是應用協議並嵌入網絡層地址(如FTP或NTPv3)。
IPv6規定了壹種新的分組格式,旨在最小化分組報頭的處理。由於IPv4和IPv6之間的顯著差異,這兩種協議不兼容。
[編輯]更大的地址空間
IPv6的作用比IPv4大:IPv6中的地址是128位,IPv4是32位。
[編輯]地址範圍
IPv6概念引入的地址範圍。地址範圍定義了“區域”或“交叉”語音,可以定義為識別標誌的唯壹接口。RFC 3513和RFC 4193中定義了這些跨本地鏈接、網站的網絡、全球網絡、相應的鏈接位置、網站或本地唯壹的本地廣播以及全球地址。重要提示:該網站自2004年9月起已被本地替換[5]。
配置了IPv6的接口幾乎總是有壹個以上的地址,通常是本地鏈接(鏈接本地地址),更多的是網站的局部或全局問題。如果沒有可用的外部網絡處理信息,通常會使用網絡地址自動配置鏈路本地地址。
此外,處理範圍引入了IPv6“作用域”的概念。每個地址只能屬於壹個區域的相應範圍。“鏈接區域”(鏈接本地區域)中所有網絡接口的鏈接。地址只在壹定範圍內保持唯壹性。區域是帶有後綴(區域索引)的地址。比如fe80::211:D800:97:c 915% eth 0(鏈接本地地址)和FEC 0: 0 point: ffff:: 1% 4(站點本地地址)顯示其他後綴表示的百分比(%)。
[編輯]狀態地址的自動配置
IPv6主機可以設置自己的時間來自動連接到IPv6網絡路由,並使用ICMPv6路由器來發現消息。當第壹次連接到網絡時,主機向本地組播路由器發送壹個鏈接,以投標其配置參數;如果配置正確,路由器會使用包含網絡層配置參數的路由器廣告包來響應此請求。[ 6 ]
如果IPv6的地址自動配置無狀態(SLAAC)被證明是不合適的,東道國可以使用有狀態配置(DHCPv6)或手動配置。特別是,無狀態自動配置不使用路由器,這些必須手動或通過其他方式配置。[ 7 ]
[編輯]多播
多播可以將單個數據包發送到多個目的地,它基於IPv6規範。這與IPv4不同,IP v4是可選的(但通常是實現的)。
IPv6不執行廣播,但可以向所有主機上連接的聯系人發送數據包。通過發送數據包將所有本地主機鏈接到多播組,可以達到相同的效果。
然而,大多數環境目前不[更新]它們的網絡基礎設施的配置來路由多播分組;多播票證會屏蔽工作子網,但全局多播可能不會。
[編輯]強制網絡層安全
互聯網協議安全(IPsec)是壹種IP加密和認證協議,是IPv6中基本協議組不可或缺的壹部分。在IPv6中,對IP數據包報頭的支持是強制性的,這不同於IPv4,它是可選的(但通常是實現的)。然而,IPsec並沒有被廣泛使用,除了IPv6之間的邊界網關協議來確保流量的路由器。
[編輯]簡化路由器的處理
格式中的IPv6報頭的目的是最小化中間路由器的報頭處理。盡管IPv6地址比IPv4地址大4倍,但默認報頭只有默認IP v4報頭的兩倍大。
IPv4的報頭校驗和字段被維護,覆蓋整個分組的報頭。由於某些字段的轉發更改(如其他地方的TTL),每臺路由器都必須重新計算校驗和。IPv6在互聯網層沒有錯誤檢查,但它依賴於鏈路層和傳輸協議進行錯誤檢查。
作為計算校驗和,現代骨幹路由器通常基於硬件連接速度和性能的提高,而校驗和的消除可能在IPv6的邊緣。
IPv6路由器不處理數據包碎片。如果需要,這也委托給通信終端。
[編輯]路由器的處理提供了優先級。
IPv6數據包報頭在數據包傳送路由器的優先級區域包含壹個新的“流標簽”。流標簽在“服務”領域取代了IPv4。這個端字段的具體性能和用途目前還沒有很好的定義。
[編輯]壹個極限壹個極限,TTL在家
時間到站點IPv4域已取代躍點限制域。
[編輯]移動
與移動IPv4不同,移動IPv6 (Mobile IPv6)避免了三角路由,因此與普通IPv6壹樣高效。
[編輯]選項擴展
IPv4有壹個固定大小(40字節)選項參數。在IPv6中,選擇執行附加擴展報頭的IPv6,以便將其大小限制為整個數據包。
[編輯] Jumbograms
IPv4數據包的有效負載限制為64 KiB。支持可選IPv6的數據包超過了這壹限制,被稱為jumbograms,可用作大型4-medium。Jumbograms可以提高MTU網絡的性能。Jumbograms呈現的是所選寶藏有效載荷的標題。