`
kiki1120
  • 浏览: 314495 次
  • 性别: Icon_minigender_2
  • 来自: 上海
社区版块
存档分类
最新评论

PKI术语:pki,ca,数字证书,电子签名,数字信封,摘要算法,md5,ldap,ocsp,Usb key

阅读更多

一、    PKI的基本概念:

       PKI(Public Key Infrastructure),PKI是公开密钥基础设施,它是为网络通信和网上交易提供身份认证,以及数据完整性、数据保密性、数据公正性、不可否认性及时间戳服务的安全基础平台。

二、    PKI的理论基础:

密码体制:密码体制分为对称密码体制和非对称密码体制。非对称密码体制中又可以分为公钥密码体制、DSA(基于离散数对)的密码体制、椭圆曲线密码体制。其中以应用范围最广的公钥密码体制中的RSA算法最为著名,因此常常把基于RSA算法的公钥密码体制即称为PKI公钥基础设施或PKI密码体制,以下提到PKI公钥基础即一般之以RSA算法为理论基础的公钥密码体制。PKI公钥基础同样遵循密码体制中非对称密码体制的五个基本要素。(公钥、私钥、原文、算法、密文)。密钥对应用数字证书保存、加密算法一般保存在证书当中。
PKI基础设施采用证书管理公钥,通过第三方的可信任机构:CA认证中心,把用户的公钥和用户的其它标识信息捆绑在一起,在Internet网上验证用户的身份。PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
       从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。

三、CA

       CA(Certificate Authority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。
数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体("证书申请 者"拥有了证书后即成为"证书主体")与证书中所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签 名及证书的有效期等内容。数字证书的作用是使网上交易的双方互相验证身份,保证电子商务的安全进行。
解 释: 受委托发放数字证书的第三方组织或公司。数字证书是用来建立数字签名和公-私(public-private)密钥对的。CA在这个过程中所起的作用就是 保证获得这一独特证书的人就是被授权者本人。在数据安全和电子商务中,CA是一个非常重要的组成部分,因为它们确保信息交换各方的身份。

四、数字证书

        简单的讲数字证书 就是CA中心发放给实体(人、计算机、设备等)用来证明和标识实体身份的一个电子文件。
        数字证书是基于公开密钥体制、存储产生的公钥信息、证书验证信息标识符及用户身份信息,用于在网络通信时进行数据加密、身份确认的一种电子证书。是一种数据段,其证书验证信息确保了证书信息的真实性。
         分类:数字证书分为:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
         数字证书的格式随着标准的规定而发展,目前的标准为X.509标准。X.509 是由国际电信联盟(ITU-T)基于公开密钥体制鉴别业务的密钥管理体制而制定的数字证书标准。为了提供公用网络用户目录信息服务,ITU 于 1988 年制定了 X.500 系列标准。其中 X.500 和 X.509 是安全认证系统的核心, X.500 定义了一种区别命名规则,以命名树来确保用户名称的唯一性; X.509 则为 X.500 用户名称提供了通信实体鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口, X.509 称之为证书。
最初的 X.509 版本公布于 1988 年,版本 3 的建议稿 1994 年公布,在 1995 年获得批准。本质上, X.509 证书由用户公共密钥与用户标识符组成,此外还包括版本号、证书序列号、CA 标识符、签名算法标识、签发者名称、证书有效期等。
用户可通过安全可靠的方式向 CA 提供其公共密钥以获得证书,这样用户就可公开其证书,而任何需要此用户的公共密钥者都能得到此证书,并通过 CA 检验密钥是否正确。这一标准的最新版本 -- X.509 版本 3 是针对包含扩展信息的数字证书,提供一个扩展字段,以提供更多的灵活性及特殊环境下所需的信息传送。
        X/509.V3数字证书格式内容
      (1)版本号
      (2)证书序列号
      (3)CA标识符
      (4)签名算法标识符
      (5)签发者名称
      (6)证书有效性 等。。。

五、摘要算法

        1、数字摘要定义:
        数字摘要(Message Digest)是通过往Hash函数中输入任意大小的消息,输出的则是固   定长度的摘要,这种摘要被称为“精华值”,摘要常被用在信息检验、身份认证和数字证书中。
   2、数字摘要特点
摘要产生具有不可预测性。
任何长度的信息都能得到定长的摘要。
        从已知的摘要不能反推出信息源文。
信息产生任何一位变化都将对摘要产生影响。
       不同的两端信息难以生成两个相同的摘要。
   3、常用的摘要算法
       (1)MD5:由RonRrivest编写,生成128位摘要。
       (2)SHA-1:SecureHash AIgorithm由美国国家标准技术协会开发的安全散列算法,生成160位摘要。

六、数字签名
    
         简单讲就是基于密码技术,通过原始数据产生的附加数据。目前数字签名是基于公钥密码技术来实现的。其数字签名技术的实现过程是:
      (1)发送方首先用公开的单向函数对报文进行一次变换,得到数字签名,然后利用私有密钥对数字签名进行加密后附在报文之后一同发出。
(2)接收方用发送方的公开密钥对数字签名进行解密变换,得到一个数字签名的明文。
(3)接收方将得到的明文通过单向函数进行计算,同样得到一个数字签名,再将两个数字签名进行对比,如果相同,则证明签名有效,否则无效。

七、数字信封


       数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。在传递信息时,信息接收方若要解密信息,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。


八、LDAP

       轻量级目录访问协议 Lightweight Directory Access Protocol,简称LDAP。简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,不过根据组织者的需要,它可以做得更加强大。

九、OCSP

       OCSP(Online Certificate Status Protocol)是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准[34]。该标准提供给PKI用户一条方便快捷的数字证书状态查询通道,使PKI体系能够更有效、更安全地在各个领域中被广泛应用。

十、Usb key

      一种类似与u盘,用于存储数字证书的介质。其中有专用算法,存入其中的数字证书私钥是不可导出的。

分享到:
评论
1 楼 tuoxie007 2010-08-16  
眼镜不错~

相关推荐

    PKI/CA与数字证书技术大全

    2. **认证授权机构(CA)**:CA是PKI中的关键角色,负责验证并签发数字证书,确保证书持有者的身份真实可信。CA的职责包括证书的申请、审核、发放、撤销和更新。 3. **数字证书**:数字证书是一个包含公开密钥及其...

    详解:PKI技术、CA证书技术

    PKI技术与CA证书技术 PKI技术是指公钥基础结构的技术,用于保护数据和身份管理的强大凭据。PKI技术涉及到各种相互依赖的技术和流程,以便可以颁发、验证、续订和撤销证书。PKI技术架构包括证书服务、Active ...

    数字证书技术大全

    所有与数字证书相关的各种概念和技术,统称为PKI( Public Key Infrastructure 公钥基础设施),为解决公钥与用户映射关系问题,PKI引入了数字证书。数字证书里包含了用户身份信息,用户公钥信息(两者用于确定用户...

    物联网之安全算法:公钥基础设施(PKI):数字证书与身份验证.docx

    物联网之安全算法:公钥基础设施(PKI):数字证书与身份验证.docx

    PKI、CA、SSL证书详解

    - **签名算法:** 用于签署证书的算法。 - **签发者:** 发布该证书的实体名称。 - **有效期:** 证书的有效时间范围。 - **主题:** 证书的所有者信息。 - **公钥信息:** 包含公钥的类型、长度等信息。 - **扩展:...

    PKI公钥基础和CA原理

    4. 不可否认性:PKI使用数字签名来提供不可否认性服务,而传统安全手段使用封好的信封和数据加密。 PKI的应用场景包括: 1. 电子商务:PKI可以为电子商务提供安全基础平台,保护交易信息的机密性、完整性和不可...

    PKI实验,数字信封的实现,数字证书模拟

    在IT领域,Public Key Infrastructure(PKI)是用于安全通信的一种关键技术,它涉及到了公钥加密、数字签名以及证书管理等多个方面。本实验重点探讨了PKI的实践应用,特别是数字信封的实现和基于数字证书的双机认证...

    USBKEY.rar_USB KEY_USB 插拔_usbkey _数字证书_证书

    数字证书是一种电子文档,基于公钥基础设施(PKI)系统,由权威的证书颁发机构(CA)签署。它包含了拥有者的公开密钥和一些识别信息,如持有者的名称和组织。数字证书的主要用途是加密通信、验证网站身份、签署电子...

    看图片 读故事:轻松理解数字签名和数字证书 pdf

    2. **证书签发**:CA验证鲍勃的身份后,使用自己的私钥对鲍勃的公钥和其他相关信息进行加密,生成数字证书。 3. **证书使用**:鲍勃在通信中附带数字证书,以证明自己的公钥是经过认证的。 4. **证书验证**:接收方...

    CA数字证书认证

    2. **公钥基础设施(PKI)**:CA数字证书认证的基础是PKI,这是一个系统,它使用公钥加密技术和数字签名来实现安全通信。每个用户或服务器都有一个公钥和私钥对,公钥用于加密数据,私钥用于解密。 3. **证书申请**...

    java 国密算法实现包含SM2 SM3 SM4和数字签名、数字证书的验证

    5. **数字证书**:数字证书是公开密钥基础设施(PKI)的一部分,它包含公钥、证书持有者的身份信息以及颁发机构的签名。Java的`java.security.cert`包提供了解析和验证X.509证书的功能。对于国密算法,你需要确保...

    PKI实现源码,数字签名

    数字签名是一种使用非对称加密技术的电子签名形式,它结合了消息摘要和发送者的私钥。数字签名不仅验证了信息发送者的身份,还能检测数据是否在传输过程中被修改。发送者使用自己的私钥对消息的哈希值进行签名,接收...

    usb.rar_USB KEY_java Ca_usb_证书

    它是一种小型硬件设备,用于存储用户的数字证书和个人识别号码(PIN),以提供额外的安全层,尤其是在进行敏感的网络操作,如网上银行、电子签名或者访问受保护的系统时。USB KEY与Java CA(Java证书权威机构)相...

    电子信封和数字签名资料

    标题“电子信封和数字签名资料”和描述“介绍PKI基础知识,侧重介绍电子签名和数字信封,内容浅显易懂”表明,本文将讨论公钥基础设施(PKI)的基础知识,重点讲解电子签名和数字信封的概念以及它们的工作原理。...

    pki实验 CA环境的搭建

    ### PKI实验:CA环境的搭建与公钥算法在电子邮件中的安全应用 #### 实验概述 本实验旨在深入了解公钥基础设施(PKI)的基本概念及其在实际场景中的应用,特别是通过搭建PKI环境来保障电子邮件系统的安全性。PKI是一...

    PKI与证书服务应用

    5. **CA为用户生成密钥对**:CA使用自己的签名密钥对用户公钥和身份信息进行签名,生成电子证书。 6. **证书分发**:CA将电子证书分发给RA,再由RA分发给用户。 7. **用户验证证书**:用户验证证书的有效性和来源。 ...

    PKI-CA体系介绍.zip

    当一个实体(如个人、服务器或设备)请求证书时,CA会验证其身份,并将此信息打包到一个数字证书中,然后用CA的私钥进行签名。这个签名使得任何人都能验证证书的完整性和发证者的身份。 **三、数字证书** 数字证书...

    数字证书签名很强大的算法

    在IT领域,数字证书签名是一种重要的安全机制,它在网络安全中扮演着不可或缺的角色。这个话题主要涉及了公钥基础设施(Public Key Infrastructure, PKI)和加密算法等方面的知识,接下来我们将详细探讨这些概念。 ...

    USB KEY的认证原理 USB KEY 认证原理

    基于 PKI 的数字证书的认证模式中,USB KEY 内置密钥对,私钥用于签名,公钥用于加密。用户在登录时,使用私钥对服务器的挑战(challenge)进行签名,服务器验证签名结果,以确认用户的身份。 USB KEY 的认证原理是...

Global site tag (gtag.js) - Google Analytics