`
wlh269
  • 浏览: 457978 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

CA认证简单介绍和工作流程

阅读更多
   CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。
  CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
    如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者
  如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的
  证书
  证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
  证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。
  加密:  
   我们将文字转换成不能直接阅读的形式(即密文)的过程称为加密。
  解密:   
    我们将密文转换成能够直接阅读的文字(即明文)的过程称为解密。

  如何在电子文档上实现签名的目的呢?我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名,方法如下:
  信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验证。
  数字证书:
  答: 数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。
  
  使用数字证书能做什么?  
 数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分,另一部分是私钥。公钥公之于众,谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件,发送者要用收件人的公钥加密信件;收件人便可用自己的私钥解密信件。同样,为证实发件人的身份,发送者要用自己的私钥对信件进行签名;收件人可使用发送者的公钥对签名进行验证,以确认发送者的身份。
  在线交易中您可使用数字证书验证对方身份。用数字证书加密信息,可以确保只有接收者才能解密、阅读原文,信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现,电子邮件、在线交易和信用卡购物的安全才能得到保证。


2、CA的架构
   CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等等。
   公钥加密的信息必须由对应的私钥才能解密,同样,私钥做出的签名,也只有配对的公钥才能解密。公钥有时用来传输对称密钥,这就是数字信封技术。密钥的管理政策是把公钥和实体绑定,由CA中心把实体的信息和实体的公钥制作成数字证书,证书的尾部必须有CA中心的数字签名
   由于CA中心的数字签名是不可伪造的,因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后,才对申请者颁发数字证书,将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心,因此,实体可以信任由CA中心颁发数字证书的其他实体,放心地在网上进行作业和交易。

工作原理:
   现在假设客户A向银行B传送数字信息,为了保证信息传送的真实性、完整性和不可否认性,需要对要传送的信息进行数字加密和数字签名,其传送过程如下:


  (1)客户A准备好要传送的数字信息(明文)。(准备明文)

  (2)客户A对数字信息进行哈希(hash)运算,得到一个信息摘要。(准备摘要)


  3)客户A用自己的私钥(SK)对信息摘要进行加密得到客户A的数字签名,并将其附在数字信息上。 (用私钥对数字信息进行数字签名) 


  4)客户A随机产生一个加密密钥(DES密钥),并用此密钥对要发送的信息进行加密,形成密文。 (生成密文)


  5)客户A用双方共有的公钥(PK)对刚才随机产生的加密密钥进行加密,将加密后的DES密钥连同密文一起传送给乙。(用公钥对DES密钥进行加密)  

  6)银行B收到客户A传送过来的密文和加过密的DES密钥,先用自己的私钥(SK)对加密的DES密钥进行解密,得到DES密钥。(用私钥对DES密钥解密)  

  7)银行B然后用DES密钥对收到的密文进行解密,得到明文的数字信息,然后将DES密钥抛弃(即DES密钥作废)。(解密文)  

  8)银行B用双方共有的公钥(PK)对客户A的数字签名进行解密,得到信息摘要。银行B用相同的hash算法对收到的明文再进行一次hash运算,得到一个新的信息摘要。  
(用公钥解密数字签名)
  9)银行B将收到的信息摘要和新产生的信息摘要进行比较,如果一致,说明收到的信息没有被修改过。(对比信息摘要和信息)

3
0
分享到:
评论

相关推荐

    基于Java和Python实现简单的CA认证系统.zip

    这是软件大型实验周的课设作品,用来实现一个简单的 CA 系统,它包含以下功能: 证书生成:用户提供 Certificate Signing Request (CSR)和 公钥后,系统会自动为用户生成证书并通过邮箱发放,支持 用于 SSL 和代码...

    CA认证在医院互联网技术信息安全与运用中的研究.pdf

    3. 规范医疗信息管理:通过使用CA认证电子签名,医院的工作流程和文档管理将更加规范,有助于提高工作效率和质量。 CA认证在医院互联网技术信息中的安全与运用方案有其特定的实施范围和系统构架。实施范围通常包括...

    CA测试简单代码段

    初学者可以通过阅读和运行这些代码,了解CA/RA的基本工作流程,以及如何在C#中实现TCP/IP通信。同时,也可以借此机会学习数字证书的原理和应用,增强网络安全方面的知识。 总结来说,"CA RA 简单的演示程序"是一个...

    信息安全大作业-CA系统的设计和实现源码(电子认证服务系统-数字证书数字签名python语言)+项目详细说明.7z

    信息安全大作业_CA系统的设计和实现源码(电子认证服务系统_数字证书数字签名python语言)+项目详细说明.7z CA代表Certificate Authority。也就是电子认证服务或机构,为电子签名相关各方提供真实性和可靠性验证,是...

    可直接运行 基于MATLAB的CA模拟仿真案例程序,含表面张力,渗流集群等 适合CA入门学习 含程序源代码.rar

    1. **CA.htm**:这可能是一个HTML文档,用于介绍CA的基本概念、理论背景和这些示例的使用方法,可能是学习的起点。 2. **gas2.m**:这个名字可能代表气体动力学的一个例子,CA可以用来模拟气体粒子的行为,例如扩散...

    天融信证书管理器系统(V5.60.40)pdf介绍

    证书管理系统是一种小型的CA认证系统,可以在国内CA系统尚未完善的情况下替代CA系统完成证书请求、证书以及私钥的生成工作。该系统具有图形化界面,以分级目录形式进行管理,便于用户的使用。此外,用户可以直接在...

    CA数字证书原理、算法、应用领域

    本文将详细介绍数字证书的工作原理、涉及的关键技术和算法,以及其在各个领域的具体应用。 #### 数字证书定义 数字证书,又称为公钥证书,是一种用于证明网络实体身份的有效机制。它不是一个简单的数字身份证明,...

    山东ca数字证书驱动 v3.0 官方版

    山东ca数字证书驱动程序是专为山东省纳税人一款数字证书驱动软件。主要为了保证办税流程的正常进行...应用介绍山东ca数字证书驱动是山东省数字证书认证有限公司提供的一款数字证书驱动程序,主要为纳税人,欢迎下载体验

    数字鉴别与身份认证

    - 编写简单的Client程序和Server程序。 - 实现基于X509证书和SSL协议的身份认证和通信加密。 - 设计用户界面,允许用户输入消息并进行加密传输。 通过以上实验过程的学习,学生不仅能够掌握数字鉴别与身份认证的...

    实验5.CA的安装和使用-实验要求及指导.rar

    实验5的目标是让参与者熟悉CA的工作流程,并掌握实际操作技巧。 首先,我们需要理解CA的基本概念。CA是信任的第三方,它通过数字签名技术对用户的公钥进行认证,使得网络上的其他用户可以信任这个公钥,从而进行...

    zhihuan-.rar_CA认证_C++_

    通过对"zhihuan.txt"的深入分析,我们可以进一步学习这些概念,甚至可以动手实现自己的单表置换加密程序,并结合CA认证机制以提高数据的安全传输。这不仅锻炼了编程技能,还增强了对网络安全的理解。

    zulu8.36.0.1-ca-jdk8.0.202-win_x64.zip

    "ca"在版本号中代表Azul的安全认证,表明这个JDK已经过安全测试,符合安全标准,这对于处理敏感数据的应用程序尤其重要。此外,定期的更新和维护也确保了用户能及时获得最新的安全补丁和性能改进。 总的来说,Zulu ...

    rc4mod.rar_CA认证_C/C++_

    标题 "rc4mod.rar" 涉及到的是一个与CA认证相关的C/C++程序,可能是一个使用RC4算法进行加密解密的实现。RC4是一种流密码算法,由Ron Rivest在1987年设计,由于其简单且快速的特点,被广泛应用于网络通信中的数据...

    sso_统一身份认证及访问控制解决方案(

    ### 统一身份认证及访问控制解决方案:SSO单点登录深入解析 #### 一、项目背景与需求 ...通过合理的规划和实施,SSO能够有效整合资源,优化工作流程,促进信息共享,最终推动组织的数字化转型和业务创新。

    一种冲击响应方式UKey身份认证实现方法.pdf

    如果认证结果标志为2,表示当前用户为UKey持有用户,浏览器JavaScript脚本程序会根据UKey信息进行用户Pin码认证,读取UKey中保存的用户密钥信息和UKey的硬件序列号(sn)信息,调用UKey的MD5H MAC函数生成客户端加密...

    单点认证(sso)

    综上所述,惠普SSO解决方案提供了一种高效、安全且易于部署的单点登录解决方案,能够显著提高企业的安全性、用户体验和工作效率。通过其丰富的功能特性和灵活的部署方式,可以满足不同类型组织的需求,成为现代企业...

    2016年度SSL高级认证培训PPT培训要点.doc

    讲解第三方CA认证流程,包括配置思路。学员应能配置外部认证服务器,并理解组映射和角色映射。 3. **VPN资源进阶**:3星重要度,重点关注Easylink的应用场景和配置,以及资源服务模式,特别是单臂部署的回包路由...

    英国UKCA认证LOGO 矢量文件

    描述简单明了,提到的是这个文件是UKCA认证LOGO的矢量格式版本。矢量文件(如.ai、.eps或.svg)具有无限缩放的能力,不会失真,因此非常适合用于印刷品和大型展示,确保LOGO在任何尺寸下都能保持清晰。 标签“UKCA...

    Java实现SSL双向认证的方法

    在SSL双向认证中,服务器和客户端都需要拥有各自的数字证书,这些证书由可信任的证书颁发机构(CA)签署,以证明它们的身份。当客户端连接到服务器时,不仅需要验证服务器的证书,服务器也需要验证客户端的证书,确保...

    一种基于数字证书的无线局域网认证机制初探

    身份认证技术的发展经历了从简单的SSID技术、MAC地址过滤和WEP加密技术,到更先进的IEEE 802.1x和IEEE 802.11i协议的过程。然而,这些技术各有局限,例如SSID可能被轻易获取,MAC地址过滤在接入终端数量增加时效率...

Global site tag (gtag.js) - Google Analytics