pki是一種遵循標準的利用公鑰理論和技術建立的提供安全服務的基礎設施。
證書機構ca、序號產生器構ra、證書發布庫、金鑰備份與恢復、證書撤銷、pki應用介面
證書發布庫:ca頒發證書、證書撤銷列表
金鑰備份與恢復:只能針對加/解密金鑰,而無法對簽名金鑰進行備份
認證服務:先驗證證書的真偽,在驗證身份的真偽
資料完整性服務(確認資料沒有被修改過):先用雜湊演算法,再用自己的私鑰對雜湊值進行加密。
資料保密性服務:採用數字證書機制,傳送方產生乙個對稱金鑰,必用其加密資料。傳送方用接收方的公鑰加密對稱金鑰,就像裝進信封裡,接收方用自己的私鑰解開之後,用對稱金鑰得到敏感資料。
不可否認服務:從技術上保證實體對其行為的認可。
公證服務:證明資料的有效性和正確性。
傳送方先產生乙個對稱金鑰,並用該對稱金鑰加密
傳送方還用接收方的公鑰加密對稱金鑰
把加密的對稱金鑰和被加密的敏感資料一起傳送給接收方
接收方用自己私鑰拆開「數字信封」得到對稱金鑰
接收方用對稱金鑰解密敏感資料
數字證書是乙個使用者的身份與其所持有的公鑰的結合,在結合之前由乙個可信任的權威機構ca來證實使用者的身份,然後由該機構對該使用者身份及對應公鑰相結合的證書進行數字簽名,以證明其證書的有效性。
數字證書是乙個經證書認證中心(ca)數字簽名的包含公開金鑰擁有者資訊以及公開金鑰的檔案。
認證中心(ca)作為權威的、可信賴的、公正的第三方機構,專門負責為各種認證需求提供數字證書服務。
認證中心頒發的數字證書均遵循 x.509 v3 標準。x.509 標準在編排公共金鑰密碼格式方面已被廣為接受。
x.509 證書已應用於許多網路安全,其中包括 ipsec(ip 安全)、ssl、 set、s/mime
數字證書的組成:主體名,序號,有效期,簽發者名,公鑰,版本,簽名演算法識別符號。
數字證書參與方:證書機構ca、序號產生器構ra、終端使用者
a、b均為證書擁有者,即雙方都有自己的私鑰,和公開給他人使用的公鑰。
a將自己的原文採用單向hash函式算出乙個128位的原文數字摘要,然後採用自己的私鑰對該摘要進行簽名;
簽名與原文作為乙個整體,用b的公鑰進行加密,形成密文並傳送給b;
b接到密文後,用b的私鑰來解密,最終得到原文以及a當初簽過名的原文數字摘要;
然後判斷該檔案是否真的是由a傳送的,b再採用a的公鑰對原文進行如步驟2一樣的數字摘要計算,計算出來的值和步驟4解密出來的數字摘要進行對比,只要二者相同,即可認為是a傳送的了。
引申一些公鑰私鑰的知識
公鑰和私鑰是成對的,它們互相解密。
公鑰加密,私鑰解密。
私鑰數字簽名,公鑰驗證。
x.509標準,使用者的私鑰不能出現在數字證書中。
x.509是一種行業標準或者行業解決方案,x.509公共金鑰證書,在x.509方案中,預設的加密體制是公鑰密碼體制。為進行身份認證,x.509標準及公共金鑰加密系統提供了數字簽名的方案。使用者可生成一段資訊及其摘要(指紋)。使用者用專用金鑰對摘要加密以形成簽名,接收者用傳送者的公共金鑰對簽名解密,並將之與收到的資訊「指紋」進行比較,以確定其真實性。
證書生成的四個步驟:金鑰生成、註冊、驗證、證書生成
利用證書層次,自簽名證書,交叉證書使得所有使用者可驗證其他使用者的數字證書。
ca簽名證書
使用雜湊演算法對所有字段計算乙個訊息摘要
ca使用私鑰加密訊息摘要構成ca的數字簽名作為數字證書的最後乙個字段插入
數字簽名有什麼作用?
當通訊雙方發生了下列情況時,數字簽名技術必須能夠解決引發的爭端:
證書撤銷的原因:
數字證書持有者報告證書的指定公鑰對應的私鑰被破解
ca簽發數字證書時出錯
證書持有者離職,而證書時在離職期間簽發
發生第一種情形需由證書持有者進行證書撤銷申請;
發生第二種情形時,ca啟動證書撤銷
發生第三種情形時需由組織提出證書撤銷申請。
crl是證書撤銷列表,是離線證書撤銷狀態檢查的主要方法。他只列出來在有效期內的因故被撤銷的證書,而不是所有。差異crl都需要ca的簽名。
撤銷列表crl需要包含crl發布時間、版本、每個證書的撤銷時間、撤銷原因,以及發放者的數字簽名等。
聯機證書狀態協議ocsp可以檢查特定時刻某個數字證書是否有效,是聯機檢查方式。
ocsp聯機證書狀態協議 缺點
缺少對當前證書相關的證書鏈的有效期的檢查,需要客戶機應用程式的輔助
客戶機應用程式還要檢查證書的有效期,金鑰使用合法性和其他限制
整個系統由下列子系統構成:
pmi是屬性證書、屬性權威、屬性證書庫等部件的集合體,用來實現許可權和證書的產生、管理、儲存、分發和撤銷等功能。
aa:屬性權威:生成並簽發屬性證書的機構,並負責管理屬性證書的整個生命週期
ac:屬性證書
pmi與pki的區別:
授權資訊與公鑰實體的生存週期不同
對授權資訊來說,身份證書的簽發者通常不具有權威性,導致其需要使用額外步驟從權威源獲取資訊
對於同一實體可由不同屬性權威頒發屬性證書,賦予不同的許可權
數字證書將使用者名稱及其公鑰進行繫結
scvp是聯機的證書狀態檢查
crl是離線的,ocsp是聯機的
最高權威的ca稱為:起始授權機構或權威源(soa)
公鑰,私鑰,數字證書
公鑰,私鑰,數字證書 本文簡單介紹公鑰,私鑰及數字證書原理及在實際生產中如何使用.一 公鑰,私鑰原理 公鑰和私鑰就是俗稱的不對稱加密方式,是從以前的對稱加密 使用使用者名稱與密碼 方式的提高。公 鑰成對出現,私鑰加的密用公鑰解,公解加的密用私鑰解密。公鑰一般用於加密,驗證簽名 私鑰一般用於簽名 簽名...
公鑰,私鑰 和數字證書
公鑰,私鑰 和數字證書 公鑰和私鑰就是俗稱的不對稱加密方式,是從以前的對稱加密 使用使用者名稱與密碼 方式的提高。用電子郵件的方式說明一下原理。使用公鑰與私鑰的目的就是實現安全的電子郵件,必須實現如下目的 1.我傳送給你的內容必須加密,在郵件的傳輸過程中不能被別人看到。2.必須保證是我傳送的郵件,不...
公鑰 私鑰和數字證書
數字證書的原理 數字證書採用公鑰體制,即利用一對互相匹配的金鑰進行加密 解密。每個使用者自己設定一把特定的僅為本人所知的私有金鑰 私鑰 用它進行解密和簽名 同時 設定一把公共金鑰 公鑰 並由本人公開,為一組使用者所共享,用於加密和驗證簽名。當傳送乙份保密檔案時,傳送方使用接收方的公鑰對資料加密,而接...