基于证书认证

最新推荐文章于 2023-05-14 17:27:01 发布
最新推荐文章于 2023-05-14 17:27:01 发布
阅读量2.6k 收藏 11
点赞数 6
分类专栏: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40279192/article/details/108313234
版权
1.简介

基于证书认证(Certificate-based authentication)是基于用户的数字证书。基于证书认证是比基于口令认证更强大的认证机制,因为用户拥有什么(证书)而不是知道什么(口令)。登录时,用户通过网络向服务器发送证书,和登录请求一起发送。服务器中具有证书的副本,可以用于验证证书是否有效。

2.基于证书认证工作原理

第一步:生成、存储与发布数字证书
基于证书认证的第一步是个前提条件。CA对每个用户生成数字证书并将其发给相应用户。此外,服务器数据库中以二进制格式存储证书的副本,以便在用户进行基于证书认证时验证证书。
第二步:登录请求
登录请求期间,用户只向服务器发送用户名。
第三步:服务器生成随机挑战
服务器收到只有用户名的用户登录请求时,首先检查用户是否有效(只检查用户名)。如果无效,则向用户返回相应的错误信息;如果用户名有效,则服务器生成一个随机挑战(随机数,用伪随机数生成方法生成),将其返回用户。随机挑战可以以明文形式传递到用户计算机,如下图所示:
在这里插入图片描述
第四步:用户签名随机挑战才能打开私钥文件
现在用户要用私钥签名随机挑战。这个私钥对应于用户的公钥。为此,用户要访问其私钥,存放在计算机磁盘文件中。但是,私钥不是任何人可以访问的。为了保护私钥,可以使用口令。只有正确的口令才能打开私钥文件。因此,用户要输入秘密密钥才能打开私钥文件,用户输入正确的口令后,应用程序,应用程序打开用户的私钥文件,从文件中取得私钥,用其加密从服务器收到的随机挑战,生成用户数字签名。技术上,这是个两步过程:第一步是生成随机挑战的数字签名的消息摘要;第二步是用用户的私钥加密消息摘要。这个过程如下图所示:
在这里插入图片描述
现在服务器要验证用户的签名,为此,服务器从用户数据库取得用户的公钥(用其验证用户的签名),然后用这个公钥解密(也称为设计)从用户收到的签名随机挑战。最后比较解密的随机挑战与原先的随机挑战,如下图所示:
在这里插入图片描述
第五步:服务器向用户返回相应消息
最后,根据上述操作成功与否,服务器向用户返回相应是消息。

3.使用智能卡

使用智能卡实际上可以和基于证书认证相联系,因为智能卡可以在卡中生成公钥/私钥对,还可以在卡中存储数字证书。私钥总是放在卡中,安全,不会被篡改。公钥和证书可以导出到外部。另外,智能卡还可以在卡中执行加密功能,如加密、解密、生成消息摘要和签名。这样,基于证书认证期间,可以在卡中签名服务器发来的随机挑战,既可以把随机挑战作为智能卡的输入,在卡中用智能卡持卡人的私钥加密,从而在卡中生成数字证书,输出到应用程序中。
但是,使用智能卡有一点需要注意,它们只能谨慎地用于选择性的加密操作。例如,如果要用智能卡签名1MB文档,通过半双工的9600bps智能卡接口将1MB数据移到智能卡中就要花上15分钟。所以,应该先在智能卡外(即计算机中)生成消息摘要,然后将其输入到智能卡中,让其加密,产生数字签名。
由于智能卡是可移植的,因此可以带着私钥和数字证书。传统上,智能卡有它的问题。下表列出了这些问题及其解决方案:

问题解决方案
桌面计算机中还没有智能卡阅读器,而不像软驱和硬驱一样方便新的计算机与移动设备可能带上智能卡阅读器
还没有智能卡阅读器驱动软件大多数智能卡阅读器厂家都带有PC/SC兼容的阅读器驱动软件
还没有支持智能卡加密服务Microsoft Windows免费提供Microsoft Crypto API之类支持智能卡的软件
智能卡和智能卡阅读器的成本提高正在下降

智能卡厂家之间还缺乏标准化和相互操作性。

ZhInen丶
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于数字证书的openstack身份认证协议.pdf
11-24
openstack作为开源云平台的行业标准,其身份认证机制采用的是keystone组件提供的基于用户名/口令的单因素认证方式,不适用于对安全等级需求较高的应用场景。因此,设计出一种基于数字证书的身份认证协议,该协议包括云用户身份标识协议和云用户身份鉴别协议,来满足高安全性应用场景的安全需求。通过对keystone组件进行扩展实现了基于数字证书的身份认证系统,该系统综合运用了密码认证服务器、UKey、加密、完善的密钥管理等技术。经分析,该系统能够有效抵抗多种网络攻击,提高了云用户在登录云平台时的安全性。
CLA无证书认证系统介绍
01-18
目前无证书认证技术炒得比较火,其公钥可计算获得,代替证书绑定用户身份,特别适合物联网环境,
27.2.1 基于数字证书的用户身份认证的方法
PKI
04-28 2738
  IIS建立了双向SSL认证,只有拥有合法客户端证书的用户才能浏览到页面。这样基本上就能确定用户身份的合法性,那么如何更细刻度的对用户身份的控制呢?对于某一个CA,其颁发的所有证书都有一个唯一的、不重复的号码:证书序列号。可以利用证书的序列号来区分不同的用户。那么,只需要修改一下网站后台数据库用户表,添加一个字段存放证书序列号。证书序列号就可以代替原来的用户名。原来的口令字段就不需要了。
配置Exchange 2013手机登录使用证书验证(Certificate-Based Authentication)
weixin_33810302的博客
05-11 399
我们都知道默认情况下Exchange 2013服务器的移动设备连接服务器使用的是SSL基本身份验证。 需求描述: 今天有人提出,需要将Exchange 2013的手机连接认证方式使用证书来验证。如果手机客户端没有用户证书则不运行登陆邮箱。 优势: 配置使用证书验证的优点在于,手机客户端和服务器之间使用用户证书进行验证,当更改或重置...
27.2 基于数字证书的用户身份认证
PKI
04-28 2505
  IIS配置好服务器证书后,用户就可以通过通过HTTPS的方式访问Web站点了。如果配置了双向SSL,即要求客户端证书,WEB后台可以通过客户端证书获取用户身份,从而替代传统的用户名加口令方式的用户身份认证。采用基于数字证书的用户身份认证模式比传统用户名加口令方式更加安全。本章节将介绍如何开发ASP/ASP.NET页面进行用户身份认证
基于UKey数字证书实现身份认证
happylobster
08-25 1万+
随着电子商务在线交易的流行,一些网上银行也推出了系列措施保证在线交易的安全,有使用软证书的,也有使用UKey硬证书的,这都是数字证书的身份认证的应用。下面我就说下从数字证书生成到身份认证实现的过程。 一、PKI搭建 一套完整的PKI(Public Key Infrastructure公钥基础设施)系统包括了KMC(密钥管理中心)、CA(Certificate Authority)、RA
证书认证
Anonymous_999的博客
03-31 1580
证书认证 证书认证是指客户端和服务器端之间的认证。主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性。 证书包括一个公钥和一个私钥。公钥用于加密信息,私钥解译加密的信息。公钥公之于众,谁都可以使用,私钥只有自己知道。 单向认证: 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务器端; 服务器端将本机的公钥证书(server.crt)发送给客户端; 客户端使用<CA公钥>对公钥证书的数字签名进行验证,验证通.
对基于证书认证机制的公平文件交换协议的分析和改进* (2006年)
05-12
分析了一个基于证书认证机制的公平交换协议,指出该协议在设计时,存在密码算法操作上错误,并且协议中存在冗余的验证和消息,从而使该协议不具有简单、快速和优化的效果。本文提出了一个基于RSA的改进方案,改进的...
一种轻量级基于证书认证密钥协商方案
05-06
现有的基于证书认证密钥协商方案大多都采用了昂贵的双线性配对, 不适合计算资源有限的移动设备. 本文设计了一种轻量级的基于证书的AKA协议, 该协议用假名技术实现用户身份匿名. 该协议提供了前向保密, 抵抗中间人...
基于数字证书的openstack身份认证协议
01-14
因此,设计出一种基于数字证书的身份认证协议,该协议包括云用户身份标识协议和云用户身份鉴别协议,来满足高安全性应用场景的安全需求。通过对keystone组件进行扩展实现了基于数字证书的身份认证系统,该系统综合...
基于证书的×××
weixin_34150224的博客
02-18 56
基于证书的××× 出差在外的员工可以很方便的连接到企业内网,使用公司的资源,他这是通过Internet来连接的,它安全吗?答案是否定的,下面我们来让它变的安全: 用windows实现×××有三种协议 PPTP:点到点协议,它是用PPP协议封装的,由于被人破解了,所以不建议使用 L2TP:串行线中网际协议,其安全性是PPTP的2倍 Microsoft RAS:没用过也...
基于客户端(浏览器)证书身份认证的方法
quwei7515的专栏
08-31 1万+
1、介绍 通过证书验证用户身份(浏览器),其核心是利用cookie实现http和https的信息共享(同域名)。如http://test.abc.com/app/index.html 发现未验证后,跳转到https://test.abc.com:443/app/checkCrt.html身份验证,要求出去证书,确认后将身份信息带入http请求头部,跳转到原请求页面(http://test.a
再谈证书身份认证
weixin_34381687的博客
05-18 443
一、简单描述一下证书的原理与作用。 所谓证书,就是使用私钥进行了数字签名的一个文件,文件里包含了用户的一些信息和公钥。认证者可以从证书中取得公钥,从而对用户进行身份认证。 很明显,证书就相当于一张×××,让人可以对其进行身份认证证书身份认证方式是采用的是密码学中非对称密钥方式,私钥加密,公钥解密,所以任何人都可以对其进...
How does certificate-based authentication work?
weixin_33709590的博客
10-16 197
I find a few universal truths when mentioning certificates to people. Most people I speak with consider them to be a very secure concept almost without fail. However upon mentioning that I ...
理解证书验证系列——HTTPS
InternalsOf
06-17 490
1 加密方式 方法1 对称加密 这种方式加密和解密同用一个密钥。加密和解密都会用到密钥。没有密钥就无法对密码解密,反过来说,任何人只要持有密钥就能解密了。 以对称加密方式加密时必须将密钥也发给对方。可究竟怎样才能安全地转交?在互联网上转发密钥时,如果通信被监听那么密钥就可会落人攻击者之手,同时也就失去了加密的意义。另外还得设法安全地保管接收到的密钥。 方法2 非对称加密 公开密钥加密使用一对非对称的密钥。一把叫做私有密钥,另一把叫做公开密钥。顾名思义,私有密钥不能让其他任何人知道,而公开密钥则可以随意发布,
【信息安全】-身份认证技术
vector的博客
03-24 5177
身份认证技术 用户身份认证机制可划分为身份标识和身份认证两个组成部分 身份标识:为用户建立能够确认其身份状况的信息的过程 身份认证:系统确定用户合法身份的过程 1.基于口令的身份认证 2.质询-响应式身份认证 3.基于生物特征的身份认证 4.基于位置的身份认证 ...
TLS及CA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 3045
TLS及CA证书申请流程
数字证书及其认证过程
热门推荐
cyy089074316的专栏
06-10 3万+
众所周知,公钥密码学通过使用公钥和私钥这一密钥对,使数字签名和加密通讯等密钥服务变得容易起来。公钥技术之所以能得到广泛的应用,原因就在于对那些使用密钥对中的公钥来获得安全服务的实体,他们能很方便地取得公钥,即密钥分发与管理比起对称密钥的分发与管理变得简单了。所以有人称,非对称密码算法是计算机安全通讯的一次技术革命。     当然,公钥的分发也需要数据完整性保护措施,即需要数据完整性服务来保障公钥
Windows账户安全设置
最新发布
悦分享
05-14 2565
用户账户控制(UAC)最初名为User Account Protect,是微软为提高系统安全而在Windows Vista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止或提示标准用户进行不当的系统设置改变。在Windows 7中,微软对UAC功能进行了大量改进,在确保安全性的同时,让UAC的提升提示出现的数量更少,而且我们可以根据需要使用不同级别的提示,因此,在确保安全的同时,也进一步提升了易用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZhInen丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值