gotohbu的专栏

身份欺骗的威胁日益增高。你的公司，对于这个问题，是否已经有了相关的解决方案？大量的个人识别信息（PII，Personally identifiable information）正以令人担忧的速度，冲过安全防护的闸门，流入别有用心者的手中。 　　要想保护公司的职员和客户，你需要对公司保护PII信息的手段有效性进行评估。这里是需要避免的七大常见错误。　　让用户一无所知　　用户永远是整个企业网络

    级别： 初级Chris Dunne, 技术主管, Big Picture Software2007 年 9 月 19 日在现有的应用程序中实现单点登录解决方案（single sign-on，SSO，即登录一次，就可以向所有网络资源验证用户的身份）是非常困难的，但是在构建复杂的门户时，每个开发人员都要

单点登录sso的定义    单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。    企业应用集成（EAI）。企业应用集成可以在不同层面上进行：例如在数据存储层面上的“数据大集中”，在传输层面上的“通用数据交换平台”，在应用层面上的“业务流程整合”，和用户界面

1. 概述统一身份认证平台是基于PKI（Public Key Infrastructure）理论体系， 利用CA、数字签名和数字证书认证机制，综合应用USB接口智能卡、安全通道、VPN等技术，为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。1.1 认证系统实现目标本方案是按本地用户需求规划构建的统一身份认证平台，为本地用户各业务系统提供统一的身份认证和综合安全服务，以

单点登陆的概念单点登陆的概念： 当一个大系统中存在多个子系统,时,用户只需要正确登陆其中任何一个子系统，就可以在各个子系统中来回自由切换和使用. 这个登陆系统是一个共有的。单点登陆也就是用一个统一的用户管理系统（包括部分权限控制模块） 登出的逻辑：用户确定登出系统，或者用户登入的所有的子系统的session都超时。 单点登陆的模式 一种是DNN模式。也就是把各个子系统的界面都集成到一起

LDAP是什么?首先LDAP是一个轻量级的产品(LightWeight)，是一个Directory(D)，存取的协议(Access Protocol)。 我要着重指出，LDAP是一个数据库，但是又不是一个数据库。说他是数据库，因为他是一个数据存储的东西。但是说他不是数据库，是因为他的作用没有数据库这么强大，而是一个目录。为了理解，给一个例子就是电话簿（黄页）。我们用电话簿的目的是为了查找某个公司的

pubcookiehttp://www.pubcookie.org/jossohttp://www.josso.orgcashttp://www.ja-sig.org/products/cas/samlhttp://www.oasis-open.org/committees/tc_home.php?wg_abbrev=securityjaashttp://jav

 对于成功的电子商务应用，要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳，从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。 　　WoSign 作为一个权威的、可信赖的、公正的第三方数字证书颁发机构，其时间戳服务就是将经过时间戳服务器签名的一个可信赖的日期

　　SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。 　　SAML是OASIS组

“时间戳”与电子签名  “可信时间戳”是由权威专业的时间戳服务机构利用权威可信的时间源和现代密码技术产生的一个用来证明电子文件存在的时间和内容完整性的一种方法。 可以为信息网络中产生的、以电子形式存在的“作品”提供完成时间的证明。可以这样来想象“时间戳”的应用：一位作者在计算机中“完成”了一部作品，他可以向权威可信的第三方专业

所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该

签名密钥和加密密钥由于公钥所具有的两种不同用途,在实际应用中,需要分别配置用于数字签名/验证的密钥对和用于数据加密/解密的密钥对,这里分别称为签名密钥对和加密密钥对｡这两对密钥由于用途不同,因此,对于密钥的管理也就有着不同的要求｡(1)签名密钥对的管理签名密钥对由签名私钥和验证公钥组成｡签名私钥是发送方身份的证明,具有日常生活中公章､私章的效力｡为保证其惟一性,签名私钥绝对不能够做备份和存档,丢失

一需要包含的包import java.security.*;import java.io.*;import java.util.*;import java.security.*;import java.security.cert.*;import sun.security.x509.*import java.security.cert.Certificate;import java.secur

SSH网络协议应用层DHCP · DNS · FTP · Gopher · HTTP · IMAP4 · IRC · NNTP · XMPP · POP3 · SIP · SMTP · SNMP · SSH · TELNET · RPC · RTCP · RTP ·RTSP · TLS · SDP · SOAP · GTP · STU

开放网络上的电子商务要求为信息安全提供有效的、可靠的保护机制。这些机制必须提供机密性、身份验证特性(使交易的每一方都可以确认其它各方的身份)、不可否认性(交易的各方不可否认它们的参与)。这就需要依靠一个可靠的第三方机构验证，而认证中心（CA：Certification Authority）专门提供这种服务。 　　证书机制是目前被广泛采用的一种安全机制，使用证书机制的前提是建立CA（Cert

package test;import java.util.Hashtable;import javax.naming.Context;import javax.naming.NamingEnumeration;import javax.naming.NamingException;import javax.naming.directory.Attribute;import javax.nam

    目前常见的身份认证方式主要有三种，最常见的是使用用户名加口令的方式，但这也是最原始、最不安全的身份确认方式，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造；第二种是生物特征识别技术（包括指纹、声音、手迹、虹膜等），该技术以人体唯一的生物特征为依据，具有很好的安全性和有效性，但实现的技术复杂，技术不成熟，实施成本昂贵，在应用推广中不具有现实意义；第三

应用背景     计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高，在企业信息化过程中，诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生，提 高了企业的管理水平和运行效率。与此同时，各个应用系统都有自己的认证体系，随着应用系统的不断增加，一方面企业员工在业务系统的访问过程中，不得不记忆 大量的帐户口令，而口令又极易遗忘或泄露，为企业带来损失；另一方面，企业信息的获取途径不断增

四、运行我们的 applet 　　我们来写一个 html文件来运行这个签名后的applet，内容如下： <!--Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->＜!-- ShowFileApplet.html --＞＜html＞

 消息摘要算法简介 一、什么是消息摘要算法    消息摘要算法的主要特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。消息摘要算法不存在密钥的管理与分发问题，适合于分布式网络相同上使用。由于其加密计算的工作量相当可观，所以以前的这种算法通常只用于数据量有限的情况下的加密，例如计算机的口令就是用不可逆加密算法加密的

二、 Java中的数字证书的生成及维护方法 　　Java中的keytool.exe可以用来创建数字证书，所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中，证书库中的一条证书包含该条证书的私钥，公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件，数字证书文件只包括主体信息和对应的公钥。 　　每一个证书库是一个文件组成，它有访问密码，在首次创建时，它会自动生成证书库，并要

数字签名 依法进行数字签名后的电子邮件具有法律效力　　简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目

三、数字证书的签发（签名） 　　我们在上面创建好了数字证书，但这些数字证书还没有经过权威 CA的证实（即签名）。一般情况下，我们需要将这些证书发送给权威的CA，并申请其签名以确认数字证书让客户信任。 　　下面我们将模仿自己是一个权威的数字证书认证机构 CA，这个机构将采用自己的私钥来签发其它的证书。这个签发过程是这样的：我们自己是CA，我们自己有一个自签的数字证书存入数字证书库中。在数字证书库中的

Java安全通信、数字证书及应用实践【IT168 技术文档】一、基础知识 　　计算机安全通信过程中，常使用消息摘要和消息验证码来保证传输的数据未曾被第三方修改。 　　消息摘要是对原始数据按照一定算法进行计算得到的结果，它主要检测原始数据是否被修改过。消息摘要与加密不同，加密是对原始数据进行变换，可以从变换后的数据中获得原始数据，而消息摘要是从原始数据中获得一部分信息，它比原始数据少得多，因此消息摘

PKI/PMI与电子商务安全摘要：  随着网络的飞速发展，网络与信息系统的安全与保密问题越来越重要，电子商务安全问题引起了人们的密切关注。本文对电子商务安全的需求及PKI/PMI技术进行了探讨。 关键字：  PKI/PMI  电子商务  安全 一、电子商务及其安全需求 近年来，随着网络技术和电子商务的迅猛发展，人们以各种方式使用着Internet从事电子商务活动。电子商务已经成为人们进行商务活

KMI/PKI及SPK密钥管理 密钥管理技术是信息安全的核心技术之一。在美国“信息保险技术框架”中定义了深层防御战略的两个支持构架：密钥管理构架/公钥构架（KMI/PKI）和入侵检测/响应技术。当前，密钥管理体制主要有三种：一是适用于封闭网的技术，以传统的密钥管理中心为代表的KMI机制；二是适用于开放网的PKI机制；另一种是适用于规模化专用网的SPK。一、KMI技术    KMI(密钥管理中心

方案概述 　　现代企业的信息化建设越来越完善，各种电子邮件系统、网络办公、电子财务、人事管理、针对特定行业的业务系统的信息网络化等进入了千百个企业。而企业业务正常运营时，企业用户需要同时访问多个业务系统，并经常浏览企业内部网中的相关信息资源。由于用户在访问不同业务系统时需要独立访问该业务系统;同时，用户需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务信息并加以分析利用，此外，用户在进行

单点登录系统SSO原理本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理

以前用过几次这个东东，但每次都重新查询一次。本文原始出处是这里 。－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥（key）和证书（certificates）存在一个称为keystore的文件中在keystore里，包含两种数据： 密钥实体（Ke