公钥体系结构中的几个概念

最新推荐文章于 2023-07-20 13:47:31 发布
最新推荐文章于 2023-07-20 13:47:31 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: CA & OCSP 文章标签: cryptography standards 加密 扩展 互联网 框架

源自:http://www.debsir.org/main/?q=node/147

公钥体系结构中的几个概念

  基于非对称加密体系,可建立起一套优秀的安全体系结构、称为公钥体系结构。以下介绍公钥体系结构中的一些基本概念与结构组成。

密钥对、证书和CA

  1) 密钥对

  在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务(如电子商务等)能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。

  
公钥本身并没有什么标记,仅从公钥本身不能判别公钥的主人是谁。

  
在很小的范围内,比如A和B这样的两人小集体,他们之间相互信任,交换公钥,在互联网上通讯,没有什么问题。这个集体再稍大一点,也许彼此信任也不成问题,但从法律角度讲这种信任也是有问题的。如再大一点,信任问题就成了一个大问题。

  2) 证书

  互联网络的用户群决不是几个人互相信任的小集体,在这个用户群中,从法律角度讲用户彼此之间都不能轻易信任。所以公钥加密体系采取了另一个办法,将公钥和公钥的主人名字联系在一起,再请一个大家都信得过有信誉的公正、权威机构确认,并加上这个权威机构的签名。这就形成了证书,如下图。

  


公钥
公钥主人的信息
权威机构的签名

 

  由于证书上有权威机构的签字,所以大家都认为证书上的内容是可信任的;又由于证书上有主人的名字等身份信息,别人就很容易地知道公钥的主人是谁。

3) CA(Certificate Authority)

  前面提及的权威机构就是电子签证机关(即CA)。CA也拥有一个证书(内含公钥,与上图所示相同),当然,它也有自己的私钥,所以它有签字的能力。网上的公众用户通过验证CA的签字从而信任CA,任何人都应该可以得到CA的证书(含公钥),用以验证它所签发的证书。

  
如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。

  
如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证(如前所述,CA签字实际上是经过CA私钥加密的信息,签字验证的过程还伴随使用CA公钥解密的过程),一旦验证通过,该证书就被认为是有效的。

  
CA除了签发证书之外,它的另一个重要作用是证书和密钥的管理。

  
由此可见,证书就是用户在网上的电子个人身份证,同日常生活中使用的个人身份证作用一样。CA相当于网上公安局,专门发放、验证身份证。

  
诺方宏证电子签证机关正是一个基于相关国际标准的网上CA系统。

 

  相关国际标准

  PKI (Public-Key Infrastructure) 公钥体系基础框架。
  
PKIX (Public-Key Infrastructure Using X.509)使用X.509的公钥体系基础框架。
  
X.500 由ISO和ITU提出的用于为大型网络提供目录服务的标准体系。
  
X.509 为X.500提供验证(Authenticating)体系的标准。
  
PKCS(Public Key Cryptography Standards)公钥加密标准,为PKI提供一套完善的标准体系。

  对于任何基于公钥体系的安全应用,必须确立其PKI。而电子签证机关(CA)是PKI中的一个关键的组成部分,它主要涉及两方面的内容,即公钥证书的发放和公钥证书的有效性证明。在PKIX中,CA遵循X.509标准规范。
  
X.509最早的版本X.509v1是在1988年提出的,到现在已升级到X.509v3,现将其涉及到的主要内容以及与前版本的比较列于下表。

X.509 PKI国际标准更新版本对照表



X.509 PKI 主要特性

 

X.509 v1 & 2 

 X.509 v3

证书信息

只有X.500 实体名,包括CA、证主(subject)名,证主公钥及其有效期。 

充分扩展,可包含任何信息。 

CA 规范 

CA体系鼓励带交叉的层状树型结构,无信任限制规范。 

CA体系鼓励带交叉的层状树型结构,有信任限制规范。 

CA «证主 « 用户 

CA、证主、用户在概念上严格区分 

CA «证主 « 用户 信任关系

认为每个用户至少信任一个CA。CA无法操纵与其它CA、证主及用户间的信任关系。

认为每个用户至少信任一个CA。CA可以规范与其它CA及证主间的信任关系。 

证书有效性验证方式

离线方式,通过检查证书有效期及是否出现在最近的CRL(证书吊销表)上。

支持离线与在线方式。

证书吊销方法

简单CRL。

复杂的CRL,通过功能扩展支持在线方式。

证书形式特点

身份形式的证书。

主要还是身份形式的证书,但支持信任委托形式的证书。 

匿名性

匿名程度依赖于 X.500 条目的匿名程度。

扩展功能支持彻底的匿名服务。

 
wuwenlong527
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统学习 体系
03-28
配套博客 https://blog.csdn.net/qq_41739364/article/details/86775886 ,效果最佳。
体系1
08-03
1. TDF (Trapdoor functions)2. public-key encryption from TDFTrapdoor functions S
密码体制RSA算法原理
错位竞争,单点突破。
04-03 9655
RSA概述 假如你已经了解了对称密码体制,你肯定知道对称密码存在着密分发和管理的难题。为了解决这一问题,Whitefield与Martin Hellman在1976年提出了一个奇妙的密交换协议,称为Diffie-Hellman密交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm)。这个机制的巧妙在于需要安全通信的双方可以用这个方...
http系列---体系PKI
lipviolet的博客
05-12 1701
IETF InternetEngineeringTaskForce:互联网工程任务组 PKIX Public Key Infrastructure for X.509 Certificates:基础设施为509证书 PKI Public Key Infrastructure:基础设施,又称体系,用于发布和传输开秘(即)的系统 Certificate 证书:即的载体,用于保证...
密码体制
小宝儿的学习之路
12-15 1万+
文章目录1、密码简介2、密码体制出现的背景3、密码体制组成及应用4、密码体制的认证模型5、密码体制需要满足的要求 密码体制的模型 1、密码简介 开密密码体制是现代密码学的最重要的发明和进展 一般理解 密码学(Cryptography)就是保护信息传递的机密性 这仅仅是当今密码学主题的一个方面。对信息发送与接收人的真实身份的验证、对所发出/接收信息在事后的不可抵赖以及保障数据的完整性是现代密码学主题的另一方面。 开密密码体制对这两方面的问题都给出了出色的解答,并正在
体系
eyesmore's tech life
02-21 596
【1、同余关系定义   (模n相等)】 Two integers a and b are said to be congruent modulo n , if their difference a  − b is an integer multiple of n . An equivalent definition is that both numbers have ...
基本结构(PKI)的概念
weixin_33862514的博客
03-22 636
证书,通常简称为证书,用于在 Internet、Extranet 和 Intranet 上进行身份验证并确保数据交换的安全。证书的颁发者和签署者就是众所周知的证书颁发机构(CA),将在下一节介绍。颁发证书的实体是证书的主体。证书是以数字方式签名的声明,它将的值与持有相应私的主体(个人、设备和服务)的身份绑定在一起。通过在证书上签名,CA 可以核实与...
概念
09-03
顾名思义就是开的啦,只要你愿意,谁都会有你的,何来安全? 应该是用网站的加密,传到网站后,网站用自己的私解密吧
云计算-云计算可搜索加密方案研究.pdf
07-07
云计算-云计算可搜索加密方案研究.pdf
在mac本机查看加入服务器
最新发布
08-01
当客户端尝试连接服务器时,服务器会发送一个随机数给客户端,客户端用私加密后发送回去,服务器用解密,如果解密成功,那么这个客户端就是被信任的,可以建立连接。 在Mac本机查看加入服务器,可以帮助...
体系的原理和用途
u012811785的博客
09-08 1210
体系的原理为:用户A有一对密对,分为和私,这对密对是唯一的,是通过对一个巨大的素数进行因数分解所得。当用加密过的信息,只能使用与它配对的私来解密,反之亦然,私加密码的信息也只能用来解密。这样,A从认证体系生成密对后,把它的私保存好,把开出去,当一个用户B要与A通信,又想确保数据安全时,就可以使用A的来加密信息,再把密文传给A,因此这个世界是只有A手的私才能对这个密文进行解密,这样就确保了信息的安全。 事实上,信息加密码只是体系的用途之一,它还有一个用途就是对
基础结构格概述
weixin_34152820的博客
09-04 444
基础结构(Public Key Infrastructure,PKI)技术采用证书管理,通过一个称为认证心(Certificate Authority,CA)的第三方可信任机构,把用户的和用户的其他身份标识信息(如姓名、×××号、e-mail等)捆绑在一起,通过使用加密对参与网络活动如电子交易的每一方身份的有效性进行验证。 PKI技术通过由CA心颁...
X509结构
K0000000r的专栏
11-14 2286
X509结构RSA结构ECC结构 SubjectPublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, publicKey BIT STRING } 由上可知X509标准包含两部分:算法标识、数据。 其算法标识部...
三种密码体系(传统开密体系 / 基于身份的开密体系 / 基于无证书的开密体系
weixin_43851783的博客
01-05 1万+
开密体系 分类 基于证书的开密体系 基于身份的开密体系 基于无证书的开密体系 基于证书的开密体系 第一种方案是采用证书机制实现用户的身份和用户的匙之间的安全对应。证书机制一般都采用基础设施(Public Key Infrastructure: PKI)技术。它综合使用了数字摘要技术、数字签名等密码技术以及一套完整的证书管理机制来提供安全服务。系统建设有信力的认证心(Certification Authority:CA)鉴定用户身份,然后为用户签发数字证书。数字证书安全地将用
IBC算法之SM9简介
热门推荐
SkyChaserYu的博客
03-01 3万+
IBC(基于标识的密码系统,Identity-BasedCryptograph)是在基于传统的PKI基础上发展而来,主要简化在具体安全应用在大量数字证书的交换问题,使安全应用更加易于部署和使用。   IBC密码技术使用的是非对称密码体系,加密与解密使用两套不同的密,每个人的就是他的身份标识,比如email地址,电话号码等。而私则以数据的形式由用户自己掌握,密管理相当简单,可以很方便的对...
管理(密码)
旺旺的碎冰冰~的博客
07-20 649
密码的管理
网络笔记_KPI基础架构
大嘴先生
03-24 1009
目录 PKI基础 机密性技术 加密技术分类 非对称加密 PKI基础 Public Key Infrastructure ,基础架构 通过技术与数字证书确保信息安全的体系; 由加密技术、数字证书、CA、RA等共同组成 PKI体系能够实现的功能有: 机密性 完整性 身份验证 不可否认性 机密性技术 明文:需要被隐蔽的消息 密文:明文经变换形成的隐蔽形式 加密.
和私
qq_27563511的博客
02-05 1105
1.和私原理: 1)鲍勃有两把匙,一把是,另一把是私 2)鲍勃把送给他的朋友们----帕蒂、道格、苏珊----每人一把。 3)苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的加密,就可以达到保密的效果。 4)鲍勃收信后,用私解密,就看到了信件内容。这里要强调的是,只要鲍勃的私不泄露,这封信就是安全的,即使落在别人手里,也无法解密。
证书简介
weixin_42534168的博客
04-14 6628
1 概念 在网络传输当,一般是服务器与客户相互交流通信。但是他们通信的内容如果没有加密措施,就很容易被黑客获取。黑客可能会窃取服务端与客户的通信内容,甚至还可能冒充服务端或者客户端。因此必须要对网络传输的内容进行加密 由此引出以下的几个概念: 1.1 密就相当于匙,不过密读作yue(四声)。密一般就是一个字符串或数字。可以用来加密,也可以用来解密。 在加密或解密时,光有密当然不行,还需要加密算法或者解密算法。加密算法分为两个大类:对称加密和非对称加密 1.2对称加密 在对称加密算法
RSA结构读取,c语言实现
04-21
关于RSA结构读取的c语言实现,以下是一个简单的示例代码: ```c #include #include #include int main() { RSA *rsa_pubkey; FILE *fp; // 打开文件 if ((fp = fopen("public.pem", "r")) == ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值