前几天,被一个猎头推荐到某世界500强企业,职位是安全测试
由于之前接触过一点点,但是并没有太多经验,奈何,最后的终面,就..... (尴尬)
但是这次,却让我对测试路程,有了一个更清晰的认知
做过 需求,开发,测试(功能,自动化,接口,性能,),唯独安全测试没有涉及过,所以,在这次失败之后,也让我认知到,知识的浅薄,所以为了成为安全界的一位成员,要从基本的学习
今天先学习:认证,加密及数字签名, 以及他们的区别
认证(Authentication),又称鉴别,确认,它是证实某事是否符合其实或是否有效的一个过程
认证和加密的区别在于:
加密是用于确保数据的保密性,阻止对手的被动攻击,如截取,窃听等;
认证用于确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。
敲黑板:认证是许多应用系统中安全保障的第一道防线,所以,重要性不言而喻。
认证系统常用的参数有:口令、标识符、信物、智能卡、指纹、视网纹等。对于那些能在长时间保持不变的参数,进行认证。
认证和数字签名技术都是确保数据真实性的措施,但是两者的也有区别
认证总是基于某种收发双方共享的保密数据来认证被鉴别的对象的真实性,而数字签名中用于验证签名的数据是否是公开的
认证允许收发双方互相验证其真实性,不允许第三方验证,而数字签名 不仅允许收发双方互相验证,也允许第三方验证
数字签名具有发送方不能抵赖接收方不能伪造和具有在公证人面前解决纠纷的能力,而认证不一定具备
如果接受双发都诚实,那么认证既可以, 如果接收双方由一方不诚实,那就需要用到 数字签名,防止某一方抵赖。
如果上面的不太理解, 举个栗子,可能就明白了:
认证: 两个人进行一个秘密活动,防止第三个的进入,那么,使用对口号的方式,来识别
加密: 甲给丙写信,但是必须经过乙才能到达丙,为了不想让乙看到信件的内容,甲把纸条装进信封里,这样,乙就看不到
数字签名:甲乙两家公司签合同,防止某一方抵赖, 甲和乙都需要加公司印章