日历

« 2008-12-04  
 123456
78910111213
14151617181920
21222324252627
28293031   

统计信息

  • 访问量: 1008
  • 日志数: 3
  • 建立时间: 2008-04-20
  • 更新时间: 2008-10-28

RSS订阅

我的最新日志

  • 总结:CA & HTTPS & 非对称加密 & 数字签名

    2008-10-28

    总结:CA & HTTPS & 非对称加密 & 数字签名

     

    CA

    电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。

    CA证书的种类有:

    ·         Root证书

    这是CA server的证书。如果要申请其他种类的证书,必须先到CA server下载Root证书。该证书是唯一的。

    ·         Web证书

    此证书用于认证一台设备(如:PC)是合法的。一般Web server需要此类型的证书。例如该设备提供https服务,那么当client去访问该server时,server会将证书发送给clientclient可以对server的身份进行验证。

    ·         User证书

    此证书用于认证一个用户帐号是合法的。当一个client试图访问server时,server根据client的证书去验证该用户是否合法。此证书可以用于多台机器,它只与用户名相匹配。

    HTTPS

    HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL。它内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。它的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。

    非对称加密

    非对称加密算法(Asymmetric Cryptography)需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。

    SSL

    SSLSecure Socket Layer)协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

    SSL协议提供的服务主要有:

    ·         认证用户和服务器,确保数据发送到正确的客户机和服务器;

    ·         加密数据以防止数据中途被窃取;

    ·         维护数据的完整性,确保数据在传输过程中不被改变。

    SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:

    客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。

    服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。

    客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服 务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过, 通讯将断开;如果合法性验证通过,将继续进行第四步。

    用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤 中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。

    如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

    如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性 验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码 ”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。

    服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。

    客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。

    服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。

    SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。

    数字签名

    所谓数字签名(Digital signature)就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和 数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥 密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA ElGamalFiat-ShamirGuillou- QuisquarterSchnorrOng-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签 名算法等。

    数字签名主要的功能是:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

    数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送的公 钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程 中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。

    发送内容:原文  +  加密(MD5(原文)

                          A                     B

    接收方:MD5A =?=  解密(B

    Reference

    http://en.wikipedia.org/wiki/Digital_signature

    http://en.wikipedia.org/wiki/Asymmetric_cryptography

    http://baike.baidu.com/view/7626.htm

    http://baike.baidu.com/view/356572.html?tp=5_11

    http://baike.baidu.com/view/554866.html?wtp=tt

    http://baike.baidu.com/view/16147.htm

    http://baike.baidu.com/view/14121.htm

     

    查看(9) 评论(0)

  • 软件测试一年之工作体会

    2008-7-20

    大学毕业的时候,还是一片迷茫。在铺天盖地的招聘启事和漫漫探寻中,逐步发现软件测试竟然是一条适合自己的道路。于是在一家外企开始了软件测试生涯。

    测试3个月:在熟悉了项目和test case之后,开始寻找方法高效率的跑case,比如某些case可以同时跑;某些可以在下班以后跑。

    测试6个月:适应1.5倍的工作强度。有人问,你们用的什么工具、什么机器进行测试?我说,是键盘+鼠标+人肉机,这就是自动化程度不高的情况下的黑盒测试。有了速度,还不能忘了质量。有耐心和细心的人能发现更多问题。

    测试9个月:开始思考如何提高bug的质量。发现bug不要马上报,应该多思考一下,比如检查logprocess、系统配置,也可以利用一些工具来分析,获取更多有用的信息,避免报无效bugBug质量提高了,测试人员在项目中的地位就提高了。当然,也节约了开发者的时间。这是一个良性循环。

    测试12个月:衡量bugseveritypriority。有些问题,看起来影响比较大,但也许用户很少有机会能碰到,这样的bug优先级就不高;有些问题,看起来很白痴,比如界面上的一个button的命名不恰当,可能用户天天都会用到,这样的bug影响就比较大。要衡量bugseveritypriority,必须先对项目有总体上的了解,对软件需求有一定的了解,然后站在客户的立场去思考,再结合软件开发和设计,综合衡量。

    测试一年来,从最开始的提高效率到现在的注重品质,这是改变,也是收获。

     

    查看(712) 评论(1)

  • 从测试员到产品经理的距离有多远?

    2008-4-20

    每个人都在思考软件测试的职业发展。从初级到高级,到系统分析员,到测试经理,再往后呢?有没有可能跳出测试的圈子?

    当然有,Anything is possible,比如说,产品经理。先来看看一份产品经理的职位需求:

    ====================Job Requirement============================

    你有创造卓越的产品的激情吗?本公司正在招聘综合素质优秀的人员:具有技术才能和出色天赋,可与世界级工程团队合作开发优异产品,同时兼备驾驭地区性产品目标及策略的商业头脑。

    主要职责:
    组织新产品开发及产品改进,以满足现有或预期市场需求
    制定产品需求文档 (PRD)
    组织管理开发项目并安排其优先顺序,跟踪产品开发,制定产品发布计划
    与工程团队密切配合,协助确定最佳技术实施方案及执行计划
    与跨职能内部小组(如:销售、客户服务、市场、法律部门等)合作,收集客户反馈并确保产品顺利发布
    制定短期及长期产品目标与策略
    经验/技能要求:
    计算机科学学位或同等学历
    推出产品(从概念设计到发布)的实际经验
    对中国用户需求的深刻理解,并曾经创造性地满足这些需求
    互联网相关行业的市场知识
    出色的组织能力,包括建立有效的工作关系的能力

    ==========================END==================================

    相比起来,产品经理更强调综合素质:对产品\市场的了解、沟通协调能力、创新能力、技术能力、项目经验等。

    从一名测试员出发,先从底层了解产品,加强技术能力,同时留意产品的市场氛围和市场前景,随着经验的积累,这条路会逐渐的变清晰。这是一条漫长的路,也许5年,也许8年,或者更长。

    千里之行,始于足下。

     

    查看(241) 评论(1)

Open Toolbar