一、 PKI的基本概念:
PKI(Public Key Infrastructure),PKI是公开密钥基础设施,它是为网络通信和网上交易提供身份认证,以及数据完整性、数据保密性、数据公正性、不可否认性及时间戳服务的安全基础平台。
二、 PKI的理论基础:
密码体制:密码体制分为对称密码体制和非对称密码体制。非对称密码体制中又可以分为公钥密码体制、DSA(基于离散数对)的密码体制、椭圆曲线密码体制。其中以应用范围最广的公钥密码体制中的RSA算法最为著名,因此常常把基于RSA算法的公钥密码体制即称为PKI公钥基础设施或PKI密码体制,以下提到PKI公钥基础即一般之以RSA算法为理论基础的公钥密码体制。PKI公钥基础同样遵循密码体制中非对称密码体制的五个基本要素。(公钥、私钥、原文、算法、密文)。密钥对应用数字证书保存、加密算法一般保存在证书当中。
PKI基础设施采用证书管理公钥,通过第三方的可信任机构:CA认证中心,把用户的公钥和用户的其它标识信息捆绑在一起,在Internet网上验证用户的身份。PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
三、CA
CA(Certificate Authority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。
数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体("证书申请 者"拥有了证书后即成为"证书主体")与证书中所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签 名及证书的有效期等内容。数字证书的作用是使网上交易的双方互相验证身份,保证电子商务的安全进行。
解 释: 受委托发放数字证书的第三方组织或公司。数字证书是用来建立数字签名和公-私(public-private)密钥对的。CA在这个过程中所起的作用就是 保证获得这一独特证书的人就是被授权者本人。在数据安全和电子商务中,CA是一个非常重要的组成部分,因为它们确保信息交换各方的身份。
四、数字证书
简单的讲数字证书 就是CA中心发放给实体(人、计算机、设备等)用来证明和标识实体身份的一个电子文件。
数字证书是基于公开密钥体制、存储产生的公钥信息、证书验证信息标识符及用户身份信息,用于在网络通信时进行数据加密、身份确认的一种电子证书。是一种数据段,其证书验证信息确保了证书信息的真实性。
分类:数字证书分为:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
数字证书的格式随着标准的规定而发展,目前的标准为X.509标准。X.509 是由国际电信联盟(ITU-T)基于公开密钥体制鉴别业务的密钥管理体制而制定的数字证书标准。为了提供公用网络用户目录信息服务,ITU 于 1988 年制定了 X.500 系列标准。其中 X.500 和 X.509 是安全认证系统的核心, X.500 定义了一种区别命名规则,以命名树来确保用户名称的唯一性; X.509 则为 X.500 用户名称提供了通信实体鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口, X.509 称之为证书。
最初的 X.509 版本公布于 1988 年,版本 3 的建议稿 1994 年公布,在 1995 年获得批准。本质上, X.509 证书由用户公共密钥与用户标识符组成,此外还包括版本号、证书序列号、CA 标识符、签名算法标识、签发者名称、证书有效期等。
用户可通过安全可靠的方式向 CA 提供其公共密钥以获得证书,这样用户就可公开其证书,而任何需要此用户的公共密钥者都能得到此证书,并通过 CA 检验密钥是否正确。这一标准的最新版本 -- X.509 版本 3 是针对包含扩展信息的数字证书,提供一个扩展字段,以提供更多的灵活性及特殊环境下所需的信息传送。
X/509.V3数字证书格式内容
(1)版本号
(2)证书序列号
(3)CA标识符
(4)签名算法标识符
(5)签发者名称
(6)证书有效性 等。。。
五、摘要算法
1、数字摘要定义:
数字摘要(Message Digest)是通过往Hash函数中输入任意大小的消息,输出的则是固 定长度的摘要,这种摘要被称为“精华值”,摘要常被用在信息检验、身份认证和数字证书中。
2、数字摘要特点
摘要产生具有不可预测性。
任何长度的信息都能得到定长的摘要。
从已知的摘要不能反推出信息源文。
信息产生任何一位变化都将对摘要产生影响。
不同的两端信息难以生成两个相同的摘要。
3、常用的摘要算法
(1)MD5:由RonRrivest编写,生成128位摘要。
(2)SHA-1:SecureHash AIgorithm由美国国家标准技术协会开发的安全散列算法,生成160位摘要。
六、数字签名
简单讲就是基于密码技术,通过原始数据产生的附加数据。目前数字签名是基于公钥密码技术来实现的。其数字签名技术的实现过程是:
(1)发送方首先用公开的单向函数对报文进行一次变换,得到数字签名,然后利用私有密钥对数字签名进行加密后附在报文之后一同发出。
(2)接收方用发送方的公开密钥对数字签名进行解密变换,得到一个数字签名的明文。
(3)接收方将得到的明文通过单向函数进行计算,同样得到一个数字签名,再将两个数字签名进行对比,如果相同,则证明签名有效,否则无效。
七、数字信封
数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。在传递信息时,信息接收方若要解密信息,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。
八、LDAP
轻量级目录访问协议 Lightweight Directory Access Protocol,简称LDAP。简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,不过根据组织者的需要,它可以做得更加强大。
九、OCSP
OCSP(Online Certificate Status Protocol)是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准[34]。该标准提供给PKI用户一条方便快捷的数字证书状态查询通道,使PKI体系能够更有效、更安全地在各个领域中被广泛应用。
十、Usb key
一种类似与u盘,用于存储数字证书的介质。其中有专用算法,存入其中的数字证书私钥是不可导出的。
分享到:
相关推荐
从网络上找到这PKI/CA与数字证书技术大全和PKI原理与技术两部分内容,汇总一下,供大家一起学习PKI相关知识
所有与数字证书相关的各种概念和技术,统称为PKI( Public Key Infrastructure 公钥基础设施),为解决公钥与用户映射关系问题,PKI引入了数字证书。数字证书里包含了用户身份信息,用户公钥信息(两者用于确定用户...
PKI的体系结构涉及实现各种相互依赖的技术和流程,以便可以颁发,验证,续订和撤销证书。 什么是CA证书? CA证书的工作原理 CA证书工具和设置
PKI实验,实现数字证书的颁发和基于数字证书的双机认证,和数字信封的实现
数据的数字签名不容易伪造,且由CA颁发的数字证书可以确定用户身份的合法性,因此,可以利用PKI技术,并结合数字签名的原理来进行通信双方身份的识别,并采用权威机构CA发放的证书作为通信双方的身份标识。
1、全网独一无二; 2、个人独创; 3、全程截图; 4、通俗易懂; 5、永不后悔! 独家奉献。
PKI、CA、SSL证书详解,讲述具体的原理和构成,后面会讲解openssl的具体命令
本书将引导你了解PKI涉及的基本构件和主要问题、需要解决的问题以及可用的解决方案。作者务实、平易的介绍方式使得本书对PKI的介绍既意味深长又通俗易懂——这一切都得益于多年来从事计算机网络技术规划和设计所取得...
1、全网独一无二; 2、个人独创; 3、全程截图; 4、通俗易懂; 5、永不后悔! 独家奉献。
数字证书的生成 数字证书包含证书中所标识的实体的公钥(就是说你的证书里有你的公钥),由于证书将公钥与特定的个人匹配,并且该证书的真实性由颁发机构保证(就是说可以让大家相信你的证书是真的),因此,数字...
基于PKI的数字签名技术在电子合同系统中的应用研究,余坚,宋俊德,随着电子商务的发展,网络商业交易的增多,电子合同得到了广泛的应用。将基于PKI的数字签名技术应用于电子合同系统中,可有效地保
公钥加密,数字签名,公钥认证,认证授权,基于 PKI 授权.zip
PKI技术介绍,什么是PKI,数字签名原理,CA架构,CA应用
Windows平台下使用数字证书和PKI的绝好资料
PKI(Public Key Infrastructure ) 即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术...
PKI技术的源码。实现在线认证,数字证书的颁发,通过HTTPS访问,SSL安全通道。
基于PKI技术的数字签名在办公网上的实现,基于PKI技术的数字签名在办公网上的实现.pdf基于PKI技术的数字签名在办公网上的实现.pdf
pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建实验,pki环境搭建...
介绍PKI基础知识,侧重介绍电子签名和数字信封,内容浅显易懂
PKI.js 是一个纯 JavaScript 库,实现了 PKI 应用程序中使用的格式(签名、加密、证书请求、OCSP 和 TSP 请求/响应)。它建立在 WebCrypto (Web Cryptography API) 之上,不需要插件。 目标 打字稿和面向对象的实现...