关于证书安全体系的理解

最新推荐文章于 2024-09-18 20:33:32 发布
最新推荐文章于 2024-09-18 20:33:32 发布
阅读量475 收藏
点赞数
分类专栏: 证书 公钥 安全 私钥 认证 文章标签: 加密 算法 网络 服务器 c 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jerryshi68/article/details/7004560
版权
证书 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
公钥
1 篇文章 0 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏

有关计算机网络领域的证书安全体制,常常存在很多理解,如果大家理解不一致,将会造成很多困扰,本文试图从很初浅的概念来阐述该体制的内容。

 

在现实世界中,人与人的相互信任,往往建立在相互不断增进的了解基础上,但是在计算机网络领域,交易双方通过网络连接,无法直接沟通,如何解决相互信任的问题,有关专家提出证书安全体系,利用该体系,保证交易双方身份真实(防假冒),交易内容安全(防窃取,防非法修改)。下面主要阐述身份认证方面,交易内容安全不再提及。

 

该体制的基础是公钥和私钥签名和加密算法,如果有一种算法保证:有一对密钥,其中一把为私钥,一把为公钥,它们对应出现。对特定字串,用私钥加密后,只有对应的公钥才能解开,而且知道加密结果和公钥,无法推断出对应的原文和私钥。这种算法就可以用于身份识别,当需要进行身份认证时,A方可以用自己的私钥(A方掌握,永不示人)将原文加密,得到加密后的字串(即签名),将公钥、签名、和原文发送给B方,B方用公钥将签名解密,和原文比较,如果相同,表示A方为公钥对应的身份。但这种方法是有漏洞的,如果中途C方将原文截获,用自己的私钥签名,连同自己的公钥发送给B方,B无法认证到底是A方还是C方,因此在证书安全体制中引入证书概念来保证A方的真实身份。

 

证书安全体制中,需要交易双方共同信任一个公信机构,如同现实世界中大家信任公安局。大家到公信机构注册,公信机构给每人颁发证书,如同公安局给每人颁发身份证一样。

在证书中,有几项关键内容:

  •  使用者唯一标识
  •  使用者公钥
  •  颁发者唯一标识
  •  颁发者证书签名

 

如同我们的身份证上有:我的身份证号(使用者唯一标识),公安局名称(颁发者唯一标识),公安局的防伪标识(颁发者证书签名),但是没有使用者公钥,这是计算机证书特有的。

 

对于公信机构,它自己也有一个证书,称为根证书,此时使用者和颁发者为同一人。

 

证书安全体制中,上级证书的公钥可以用来验证下级证书的真伪,即用根证书的公钥,验证下级证书的签名,因为该签名是由上级证书的私钥签出来的。

 

计算机证书和身份证还有一个很大不同,计算机证书可以给任何人公示,可以任意拷贝,而身份证每个人都得自己看管好。

 

回到上面的例子,如果A,B双方都在公信机构注册,都获得了根证书,自己的证书。A方将自己的证书发给B方,B方发现该证书和自己的证书为同一颁发者,即A证书和B证书中的颁发者唯一标识相同,B认为A方和自己为同一机构的注册者,B用自己保管的根证书中的公钥,验证A证书的真伪,如果为真,说明A的证书确实是公信机构颁发的,但A的身份仍需进一步认证,此时B方给一个随机数(明文发送),要求A方签名,A用自己的私钥签名后,将签名值(仍然明文发送),B方用A方证书中的公钥验证签名,如果和随机数匹配,说明A方确认是A证书的拥有者。如果C方想假冒,将不可能进行,因为C方无A的私钥,签不出名来,即使它有A的证书。而且C方也无法篡改证书,因为公信机构保证每个证书使用者唯一标识的唯一性,如果C方用伪公信机构制造一张假证书,即使用者唯一标识和颁发者唯一标识都拷贝A证书的,但公钥和签名换成假的了,但B方用自己的根证书一验,就知道证书的真假,C方仍然无法欺骗B方。

 

 

 

下面举几个例子描述更复杂的认证过程。

下图描述一个分层次的信任体系,T为最高级公信机构,它给下级机构E、F颁发证书,E向A、B用户颁发证书,F向C、D用户颁发证书。

  • A保存:T证书,E证书,A证书
  • B保存:T证书,E证书,B证书
  • C保存:T证书,F证书,C证书
  • D保存:T证书,F证书,D证书

 

 

 

例子一:

B向A表明身份。

1.        B向A打招呼:“A哥,我是小B”

2.        A说:“小B已离家十年了,我凭什么信你?”

3.        B忙说:“我有咱爸发的证书呢”,连忙交出B的证书

4.        A打开B的证书一看,确实是E颁发的,正好A自己的证书也是E颁发的,于是拿出自己保存的E证书中的公钥验证B证书的真伪,发现果然是真,说:“你的证书是小B的,但你有没有偷小B的证书还不知道,你签个名先”,将随机数发给B

5.        B用私钥签名后吧签名值发给A,A用B证书的公钥验证签名,通过,A说:“小B呀,我的好兄弟”

 

例子二:

D向A表明身份。

1.      D向A打招呼:“A,我是你堂哥D”

2.      A说:“拿证书看看”

3.      D递上自己的证书,A打开证书一看,说:“里面的D,F我都不认识,我怎么信你?你还得把F的证书给我”

4.      D把F的证书给A,A发现F的证书是爷爷T颁发的,A正好也有T的证书,于是用保存的T证书来验证F的证书,发现F证书是T颁发的,再用F证书验证D的证书,都通过,说:“D,你的证书是我们家的。但你是不是骗子还不一定,你给我签个名”,把随机数发给D

5.      D说:“我签,我签,我签签签”,把签名给A

6.      A用D证书公钥验证签名,通过,说:“D,我信你了”

 

在实际系统中,本地不一定保存上级证书,需要到签发机关的服务器去取,如LDAP服务器,而且会进行有效性验证,例如检查是否被撤销了(查询撤销列表)。本文只是简述,不一定和真实系统一一对应。

 

 

天天笑

Jerryshi68@hotmail.com

jerryshi68
关注
专栏目录
CA体系证书——TLS安全加密的基础
zhbgreat的博客
03-04 3444
为什么要建立证书体系 (PKI) public key infrastructure,PKI 公钥基础设施,PKI的提供者狭义的被看做是CA,也就是颁发签署证书的权威机构。 之前论述的密钥交换过程与提到的身份认证,在实际互联网应用上的不足在于:之前论述的小范围的使用RSA算法,事先A B两分享了公钥和私钥,然后在A B 之间进行保密通信是行得通的,可是要在广泛的互联网中使用,就存在很多问题。...
信息安全体系
codragon的博客
05-17 3039
信息安全体系 ISO27001 信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全
什么是HTTPS安全证书
蔚可云的博客
11-11 2675
在讲HTTPS安全证书时,相信HTTPS与HTTP的关系大家也不是很清楚,我先和大家说明一下。HTTPS证书其实一种一种传输协议。HTTP协议传输的数据都是未加密的,这就意味着用户填写的密码、账号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,从而被黑客加以利用,因此使用HTTP协议传输隐私信息非常不安全。 HTTPS相比较SSL,更加的安全保障网络安全。使用HTTPS加密协议访问,可激活 (SSL协议(什么是SSL协议),这样子就可以实现高强度双向加密传输,防止在传输数据的时候信息遭到泄露。简
cer证书签名验证
weixin_34406796的博客
08-23 528
一个cer还需要一个签名的证书本身,这是为了防止cer证书被篡改。 有两种类型的证书: 1. 根证书 2. 由根证书颁发子证书。 特根证书。它是自签名。而其它子证书的签名公钥都保存在它的上级证书里面。 能够用C#来做一些验证。 首先是根证书的签名验证。 // 验证证书签名 X509Certificate2 x509Root = new...
数字证书、公钥和私钥这三者之间的关系
hongbinchen的专栏
08-11 5418
转载: 数字证书、公钥和私钥这三者之间的关系是什么  (来源:google 作者:不详)        根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意保密。数字
07-PKI证书体系
qianlai22的博客
03-12 3507
1.数字证书 数字证书简称证书,它是一个经证书授权中心(即在PKI中的证书认证机构CA)数字签名的文件,包含拥有者的公钥及相关身份信息。 证书有四种类型 自签名证书:又称为根证书,是自己颁发给自己的证书,即证书中的颁发者和主体名相同。申请者无法向CA申请本地证书时,可以通过设备生成自签名证书,可以实现简单证书颁发功能。设备不支持对其生成的自签名证书进行生命周期管理(如证书更新、证书撤销等)。 CA证书: CA自身的证书。如果PKI系统中没有多层级CA,CA证书就是自签名证书;如果有多层级CA,则会形
干货:网络安全人员必考证书有哪些?
网络技术联盟站
04-27 1384
网络安全行业,拥有适当的认证证书不仅可以增强个人技能,还可以提升职业发展的机会。其中,CISSP(注册信息系统安全专家)被公认为该行业中含金量最高的认证之一。然而,其考试难度也是业界公认的挑战之一。除了CISSP外,CISP(国家注册信息安全专业人员)也是备受关注的认证之一。CISP涵盖了CISE(工程师)、CISO(管理)、CISA(外审)三个不同的向,为网络安全领域提供了多样化的认证路径。CISSP的含金量在网络安全行业中无人能出其右。
数字证书理解
qq_41644069的博客
11-13 3600
1.基础知识 1.1.公钥密码体制(public-key cryptography) 公钥密码体制分为三个部分,公钥、私钥、加密解密算法,它的加密解密过程如下: 加密:通过加密算法和公钥对内容(或说明文)进行加密,得到密文。加密过程需要用到公钥。 解密:通过解密算法和私钥对密文进行解密,得到明文。解密过程需要用到解密算法和私钥。注意,由公钥加密的内容,只能由私钥进行解密,也就是说,由公钥加密的内容,如果不知道私钥,是无法解密的。 公钥密码体制的公钥和算法都是公开的(...
IBC安全体系介绍.zip
08-17
标题中的“IBC安全体系介绍.zip”表明这是一份关于IBC(Inter-Bank Card)安全体系的压缩文件,可能包含详细讲解的PPT演示文稿。IBC安全体系在金融领域尤其重要,因为它涉及到银行间的交易安全。现在,PKI(Public ...
最新煤矿工人的安全证书关于煤矿安全证书(一)doc新版文档.docx
09-12
3. **矿井安全管理制度的建立**:保证书提到建立健全矿井的安全管理体系,强化以总工程师为核心的技术管理,确保所有操作符合技术政策和煤矿三大规程,这有助于预防事故,提升矿井整体安全性。 4. **规程措施的制定...
Java安全体系结构1
08-08
Java安全体系结构是Java平台的核心组成部分,它为Java的三大特性——平台无关性、网络移动性和安全性提供了坚实的基础。本文将深入探讨Java如何通过其语言特性、类加载器和安全管理器来实现安全性。 首先,Java的源...
算法刷题:300. 最长递增子序列、674. 最长连续递增序列、718. 最长重复子数组、1143. 最长公共子序列
qq_61936886的博客
09-12 602
如果text1[i - 1] 与 text2[j - 1]不相同,那就看看text1[0, i - 2]与text2[0, j - 1]的最长公共子序列 和 text1[0, i - 1]与text2[0, j - 2]的最长公共子序列,取最大的。但dp[i][0] 和dp[0][j]要初始值,因为 为了便递归公式dp[i][j] = dp[i - 1][j - 1] + 1;2.递推公式:当A[i - 1] 和B[j - 1]相等的时候,dp[i][j] = dp[i - 1][j - 1] + 1;
算法知识点——常用输入输出数据的
5233的博客
09-12 364
除了换行之外,还会清空缓存区,而清空缓存区这件事情会耗时很久,因此为了提高速度,一般直接:cout << “\n”;2、n组输入输出(n不确定)1、n组输入输出(n确定)3、 复杂的输入输出。
力扣 16.最接近的三数之和
qq_51352130的博客
09-16 310
设 s=nums[i]+nums[j]+nums[k],为了判断 s 是不是与 target 最近的数,我们还需要用一个变量 minDiff 维护 ∣s−target∣ 的最小值。分类讨论:如果 s=target,那么答案就是 s,直接返回 s。如果 s>target,那么如果 s−target<minDiff,说明找到了一个与 target 更近的数,更新 minDiff 为 s−target,更新答案为 s。然后和三数之和一样,把 k 减一。
代码随想录算法训练营Day7
最新发布
lynyzy的博客
09-18 361
双指针
算法练习题24——查找杨辉三角中的组合数
hello77的blogggg 祝你得偿所愿
09-12 666
逐项递推法适合处理较小的数据量,计算较为直观,但当杨辉三角行数较大时,效率较低。 二分查找法利用组合数的单调性,显著提高查找效率,适合处理较大的数据范围。这两种解法在不同场景下都可以使用,二分查找法尤其适合大规模数据下的查找问题。
LeetCode 算法笔记-第 04 章 基础算法
artificiali的博客
09-18 408
什么是质数:大于1的中,除了1和它本身以外不再有其他的。
二分系列(二分查找)9/12
2301_78191305的博客
09-12 1039
排序数组->使用二分。第一个位置:>=;第二个位置:=(target+1)-1;所以直接写一个>=的函数。
理解数字证书安全保障与应用指南
数字证书是互联网安全的基石,它通过权威认证和公钥基础设施,构建了网络空间的信任体系,使得用户能够在开放的网络环境中安心进行各种活动。理解和掌握数字证书的相关知识,对于防范网络欺诈、保护个人信息安全具有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值