数字证书与PKI解析

于 2024-07-01 00:30:00 发布
阅读量954 收藏 20
点赞数 18
分类专栏: 信息安全 文章标签: 信息安全 密码技术 数字证书 PKI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mickey2007/article/details/139524253
版权

目录

1. 什么是数字证书

2. 为什么需要数字证书

3. 数字证书的格式

4. 什么是PKI

5. PKI的组成要素组件

5.1 用户

5.2 认证机构(CA)

5.3 仓库

5.4 PKI的体系结构

5.4.1 层次结构模型

5.4.2 交叉证明模型

5.4.3 混合模型

1. 什么是数字证书

        要开车得先考驾照,驾照上面记有本人的照片、姓名、出生日期等个人信息,以及有效期、准驾车辆的类型等信息,并由公安局在上面盖章。我们只要看到驾照,就可以知道公安局认定此人具有驾驶车辆的资格。

        公钥证书(Public-Key Certificate,PKC)其实和驾照很相似,里面记有姓名、组织、邮箱地址等个人信息,以及属于此人的公钥,并由认证机构(Certification Authority、Certifying Authority,CA)施加数字签名。只要看到公钥证书,我们就可以知道认证机构认定该公钥的确属于此人。公钥证书也简称为证书(certificate)。

2. 为什么需要数字证书

        用数字签名既可以识别出篡改和伪装,还可以防止否认。也就是说,我们同时实现了确认消息的完整性、进行认证以及否认防止。现代社会中的计算机通信从这一技术中获益匪浅。

        然而,要正确使用数字签名,有一个大前提,那就是用于验证签名的公钥必须属于真正的发送者。即便数字签名算法再强大,如果你得到的公钥是伪造的,那么数字签名也会完全失效。

        现在我们发现自己陷入了一个死循环一一数字签名是用来识别消息篡改、伪装以及否认的,但是为此我们又必须从没有被伪装的发送者得到没有被篡改的公钥才行。

        为了能够确认自己得到的公钥是否合法,我们需要使用证书。所谓证书,就是将公钥当作一条消息,由一个可信的第三方对其签名后所得到的公钥。

3. 数字证书的格式

        目前使用的数字证书格式遵循X.509标准;X.509定义了公钥证书结构的基本标准;X.509证书格式当前的版本是X.509v3。

4. 什么是PKI

        仅制定证书的规范还不足以支持公钥的实际运用,我们还需要很多其他的规范,例如证书应该由谁来颁发,如何颁发,私钥泄露时应该如何作废证书,计算机之间的数据交换应采用怎样的格式等。

        PKI(Public Key Infrastructure,公钥基础设施),是为了能够更有效地运用公钥而制定的一系列规范和规格的总称。通过数字证书管理加密密钥,提供认证、数据完整性、保密性和不可否认等安全服务。被广泛地用于电子商务中 ,最主要的任务就是确立可信赖的数字身份。

5. PKI的组成要素组件

        PKI的组成要素主要有以下3个:

  • 用户--使用PKI的实体

  • 认证机构CA--颁发证书的实体

  • 仓库---保存证书的数据库

5.1 用户

        用户就是像Alice、Bob这样使用PKI的人。用户包括两种:一种是希望使用PKI注册自己的公钥的人,另一种是希望使用已注册的公钥的人。我们来具体看一下这两种用户所要进行的操作。

  • 注册公钥的用户所进行的操作

    • 生成密钥对(也可以由认证机构生成)

    • 在认证机构注册公钥

    • 向认证机构申请证书

    • 根据需要申请作废已注册的公钥

    • 解密接收到的密文

    • 对消息进行数字签名

  • 使用已注册公钥的用户所进行的操作

    • 将消息加密后发送给接收者

    • 验证数字签名

5.2 认证机构(CA)

        认证机构(Certification Authority,CA)是PKI的核心,CA是公钥基础设施中受信任的第三方实体,对证书进行管理,是信任的起点。

        认证机构CA具体所进行的操作如下。

  • 生成密钥对(也可以由用户生成)
  • 在注册公钥时对本人身份进行认证
  • 生成并颁发证书
  • 作废证书

  • 我国依法取得数字证书认证资格的机构
    • 北京数字证书认证中心有限公司
    • 天津电子认证服务中心
    • 中国金融认证中心有限公司
    • 山东省数字证书认证管理有限公司
    • 陕西省数字证书认证中心有限责任公司
    • 深圳市电子商务安全证书管理有限公司
    • 江苏省电子商务证书认证中心有限责任公司
    • 浙江省数字安全证书管理有限公司
    • ...... 

5.3 仓库

        仓库(repository)是一个保存证书的数据库,PKI用户在需要的时候可以从中获取证书,它的作用有点像打电话时用的电话本。仓库也叫作证书目录。

5.4 PKI的体系结构

        PKI系统中可以包含多个CA,PKI体系结构使用的技术模型:层次结构模型、交叉证明、混合模型。

5.4.1 层次结构模型

        在一个层次结构中创建多个CA;最顶层是根CA,子CA在根CA下面;根CA具有亲自签署的证书,根CA向子CA发行证书;只要终端实体信任根CA,它也就信任子CA;终端实体可以从某个子CA及其同等逻辑层次上的CA上检索证书。

        优点:简单易用,灵活性大;如果一个主体信任根CA,则该主体也信任子CA。

        缺点:根CA是单一故障点;如果根CA受到损害,那么整个层次结构中的证书全都变得不可靠。

5.4.2 交叉证明模型

        交叉证明指CA之间互相证明以建立一种横向信任关系,这是一种对等信任模型

        交叉证明为不同PKI实现相互集成提供了方便途径

5.4.3 混合模型

        混合(Hybrid)模型是证书层次结构同交叉证明的结合;交叉证明可以在两个层次结构的任何两个CA间进行,信任仅存在于这两个CA及其下面的子CA之间;混合模型很灵活,公司可以根据不同的业务需要建立不同层次的信任。

mickey0380
关注
  • 18
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PKI证书体系(数字证书)介绍
weixin_42334426的博客
03-08 757
数字证书简称证书,他是一个经证书授权中心(即在PKI中的证书认证机构CA)数字签名文件,包含拥有者的公钥及相关身份信息。 证书有四种类型: 自签名证书:没法在三方机构进行证书授权的,自己在本地给自己办法一个证书 CA证书:发给CA的证书 本地证书:CA机构颁发给某一个通信实体的证书 设备本地证书:根据CA证书去给自己颁发的证书
网络安全——身份认证与PKI原理
Yushiba972的博客
10-17 5617
文章总结了网络安全中PKI系统的组成以及特点、运作机制,并介绍了RADIUS协议、Kerberos协议、SSL协议三大身份认证协议。
PKI/CA与数字证书技术大全
12-06
从网络上找到这PKI/CA与数字证书技术大全和PKI原理与技术两部分内容,汇总一下,供大家一起学习PKI相关知识
PKI - 04 证书授权颁发机构(CA) & 数字证书
最新发布
小工匠
02-07 3515
PKI中,通常只有一个或少数几个受信任的证书颁发机构(CA),类似于一个受信任的介绍者。这些CA是负责颁发和管理数字证书的权威机构,它们被广泛信任,并负责确保数字证书的安全和可靠性。
PKI】【CA】【证书签发】
weixin_45734052的博客
03-19 1799
PKI/CA,证书签发
PKI 体系概述
云上笛暮
12-10 4017
CA中心——CA系统——数字证书 CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。 专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Public Key Infrastructure)。 传统密码学 换位加密法; 替换加密法; 现代密码学加密基元 加密基元就是一些基础的密码学算法,通过它们才能够构建更多的密码学算法、协议、应用程序。 说明: 散列函数(散列(hash)、指纹.
PKI - 数字签名与数字证书
小工匠
01-24 3879
SSL是一种安全协议,用于在网络传输中提供数据加密、身份验证和完整性保护。它基于传输层协议(如TCP),并为其提供加密和安全功能。对称加密和非对称加密对称加密:使用相同的密钥进行加密和解密。非对称加密:使用两个密钥:公钥用于加密,私钥用于解密。数字签名:用于验证数据的完整性和身份验证。发送方使用私钥对数据签名,接收方使用公钥验证签名。数字证书:由可信第三方颁发的电子文档,其中包含有关个人或组织的身份信息以及公钥。SSL协议。
PKI体系及CA证书
wangtd的博客
07-20 1428
数字证书是一种电子文档,用于证明网络通信中某个实体(如个人、组织或网站)的身份和公钥。数字证书由权威的证书颁发机构(CA)签发,可以用于加密、解密、签名和验证数据。
PKI数字证书基本原理
sinat_22522367的专栏
05-21 2990
通信网络系统之间建立安全传输网络,将不同地理位置之间的物理设备组成一个安全域,设备之间的身份认证以PKI(Public Key Infrastructure)公钥基础设施为基础,利用公钥密码技术和X.509标准的身份验证框架,通过数字证书认证作为安全业务的一种措施。 PKI系统的基本组成 公钥基础设施利用公钥加密和X.509技术,提供了标识用户身份,创建和分发证书,维护和取消
PKI/CA与数字证书学习笔记
Remy的学习记录
03-26 6252
现代密码学设计时,一般总假定密码系统的结构是公开的,或者至少为敌人所知。这一假设被称为科考夫原则(Kerckhoff's Principle)。密码系统的结构被称作密码算法,进行加密或解密操作所需的关键参数被称为密钥。现代密码学的安全性主要取决于密钥的设计和使用。密钥管理主要包括:密钥产生、密钥传输、密钥验证、密钥更新、密钥存储、密钥备份、密钥销毁、密钥有效期、密钥使用等。对称密钥管理技术和非对称
C语言解析证书.rar
05-14
P7B文件是一种包含一个或多个数字证书的格式,遵循公钥基础设施(PKI)的PKCS#7标准。这种标准允许存储证书以及相关的密钥,常用于电子邮件安全、代码签名和其他需要身份验证的场景。 在Linux下,解析P7B证书通常...
粤港跨境数字证书认证技术研究
11-12
### 粤港跨境数字证书认证技术研究 #### 摘要解读 本文主要探讨了在粤港两地政策法规尚未完全规范的情况下,如何解决两地数字证书认证机构(CA)之间的认证业务声明(CPS)及证书策略(CP)存在的差异问题。通过...
数字证书的代码以及文档说明
06-03
二、Java与数字证书 Java提供了`java.security.cert`包,该包包含了一系列类和接口,用于处理和管理数字证书。例如,`Certificate`接口代表了通用证书,而`X509Certificate`类则专门处理X.509证书。 三、生成Java...
HTTPS学习笔记:(3)一文彻底了解PKI与证书
不积跬步,无以至千里;不积小流,无以成江海!
12-13 3865
1. PKI PKI(public key infrastructure)的目标是实现不同成员在不见面的情况下进行安全通信,采用的模型是基于证书颁发机构( certification authority或certificate authority, CA)签发 的证书。PKI体系结构如下图所示: 订阅人:指那些需要证书来提供安全服务的团体。 登记机构:主要是完成一些证书签发的相关管理工作。可以...
信安小白,一篇博文讲明白数字证书PKI(公钥基础设施)
.G();的博客
10-28 5927
数字证书前言一、数字证书二、CA(Certification Authority)认证2.1 CA认证信息2.2 CA结构2.3 一般的证书产生流程2.4 完整流程三、PKI,Public Key infrastructure ,公钥基础设施3.1 PKI/CA发展历程3.2 PKI权威机构四、PKI应用和访问控制4.1 网银安全流程4.2 HTTPS(HTTP over SSL)4.2.1 SSL概述4.2.2 **身份认证、密码安全传输和存储:**4.3 身份认证方式举例4.3.1 动态口令牌4.3.
PKI/CA体系介绍
lonelymanontheway的博客
08-30 2460
概念、PKI、CA、CRL、CDP、OCSP、其他、数字证书、数字签名、认证过程、证书类型、证书申请、证书撤销、证书导入
windows服务器——部署PKI与证书服务
yj11290301的博客
06-23 2542
本章将会讲解Windows服务器——部署PKI与证书服务证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值