以PKI为基础的CA工作原理及 加密、解密过程

             以PKI为基础的CA工作原理及  加密、解密过程

 

PKI(Public Key Infrastructure ) 即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。

一个典型、完整、有效的PKI 应用系统至少应具有以下五个部分:
  1) 认证中心CA CA 是PKI 的核心,CA 负责管理PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布,后面有CA 的详细描述。
  2) X.500 目录服务器 X.500 目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。
  3) 具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
  4) Web(安全通信平台) Web 有Web Client 端和WebServer 端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。
  5) 自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA 的核心功能就是发放和管理数字证书,具体描述如下:
  (1)接收验证最终用户数字证书的申请。
  (2)确定是否接受最终用户数字证书的申请-证书的审批。
  (3)向申请者颁发、拒绝颁发数字证书-证书的发放。
  (4)接收、处理最终用户的数字证书更新请求-证书的更新。
  (5)接收最终用户数字证书的查询、撤销。
  (6)产生和发布证书废止列表(CRL)。
  (7)数字证书的归档。
  (8)密钥归档。
  (9)历史数据归档。

实际应用中CA 的必须做到以下几点:
  1) 验证并标识证书申请者的身份。
  2) 确保CA 用于签名证书的非对称密钥的质量。
  3) 确保整个签证过程的安全性,确保签名私钥的安全性。
  4) 证书资料信息(包括公钥证书序列号,CA 标识等)的管理。
  5) 确定并检查证书的有效期限。
  6) 确保证书主体标识的唯一性,防止重名。
  7) 发布并维护作废证书列表。
  8) 对整个证书签发过程做日志记录。
  9) 向申请人发出通知。

PKI的优势主要表现在:

1、 采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。支持可以公开地进行验证,或者说任意的第三方可验证,能更好地保护弱势个体,完善平等的网络系统间的信息和操作的可追究性。

2、 由于密码技术的采用,保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密性服务,同时也可以为陌生的用户之间的通信提供保密支持。

3、 由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。PKI采用数字证书方式进行服务,即通过第三方颁发的数字证书证明末端实体的密钥,而不是在线查询或在线分发。这种密钥管理方式突破了过去安全验证服务必须在线的限制。

4、 PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。撤销机制提供了在意外情况下的补救措施,在各种安全环境下都可以让用户更加放心。另外,因为有撤销技术,不论是永远不变的身份、还是经常变换的角色,都可以得到PKI的服务而不用担心被窃后身份或角色被永远作废或被他人恶意盗用。为用户提供“改正错误”或“后悔”的途径是良好工程设计中必须的一环。

5、 PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。

加密、解密过程

Bob加密过程

1)、从数据中提取特征码,使用单向加密技术加密数据,生成一个特征码。保证了数据的完整性。

2)、用Bob的私钥对生成的特征码进行加密。

3)、Bob用一次性对称加密将所有数据加密。

4)、然后再用Alice的公钥对一次性对称加密的数据加密。

Alice解密过程:

1)、使用Alice的私钥先解密对称加密,得到对称加密密码。

2)、使用对称加密密码去解密一次性对称加密。

3)、使用单向加密算法加密上一步解密出来的数据。

4)、使用Bob的公钥去解密特征码,得到在Bob发送数据的特征码。

5)、比较3,4步中的特征码是否一致。完成数据校验。

以PKI为基础的CA工作原理及 加密、解密过程,布布扣,bubuko.com

时间: 2024-12-20 23:24:16

以PKI为基础的CA工作原理及 加密、解密过程的相关文章

HTTPS详解二:SSL / TLS 工作原理和详细握手过程

HTTPS 详解一:附带最精美详尽的 HTTPS 原理图 HTTPS详解二:SSL / TLS 工作原理和详细握手过程 在上篇文章HTTPS详解一中,我已经为大家介绍了 HTTPS 的详细原理和通信流程,但总感觉少了点什么,应该是少了对安全层的针对性介绍,那么这篇文章就算是对HTTPS 详解一的补充吧.还记得这张图吧. HTTPS 和 HTTP的区别 显然,HTTPS 相比 HTTP最大的不同就是多了一层 SSL (Secure Sockets Layer 安全套接层)或 TLS (Transp

加密 解密过程详解及openssl自建CA  

            加密 解密过程详解及openssl自建CA 为了数据信息能够安全的传输要求数据要有一定的安全性那么数据的安全性包含哪些方面的特性呢?    NIST(美国信息安全署)做了如下的定义:    保密性:       1,数据的保密性 指的是数据或隐私不向非授权者泄漏                   2,隐私性  信息不被随意的收集    完整性:       1,数据的的完整性:信息或程序只能被指定或授权的方式改变不能被随意的             修改        

SSL工作原理,SSL加密原理,SSL证书怎么加密

SSL是一个安全协议,它提供使用 TCP/IP 的通信应用程序间的隐私与完整性.因特网的 超文本传输协议(HTTP)使用 SSL 来实现安全的通信. 在客户端与服务器间传输的数据是通过使用对称算法(如 DES 或 RC4)进行加密的.公用密钥算法(通常为 RSA)是用来获得加密密钥交换和数字签名的,此算法使用服务器的SSL数字证书中的公用密钥.有了服务器的SSL数字证书,客户端也可以验证服务器的身份.SSL 协议的版本 1 和 2 只提供服务器认证.版本 3 添加了客户端认证,此认证同时需要客户

PKI 加密 解密过程

第一种是签名,使用私钥加密,公钥解密 第二种是加密,用公钥加密,私钥解密 如果A想给B发一个安全的保密的数据,那么应该AB各自有一个私钥,A先用B的公钥加密这段数据,再用自己的私钥加密这段加密后的数据.最后再发给B,这样确保了内容即不会被读取,也不会被篡改. 1. A用B的公钥加密数据  --加密2. A用自己的私钥加密这段加密后的数据  --签名3. B用A的公钥解密  --验证签名4. B用自己的私钥解密数据  --解密

Linux运维之加密/解密原理、自建CA及搭建基于https的Apache

上几次博文我们具体讨论了Apache(httpd)的基础知识: HTTP协议基础(参见博文:http://sweetpotato.blog.51cto.com/533893/1656137) Apache2.2的基本配置(参见博文:http://sweetpotato.blog.51cto.com/533893/1657668) Apache2.2的虚拟主机(参见博文:http://sweetpotato.blog.51cto.com/533893/1660229) 本次博文我们具体讨论下加密/

加密解密原理和基于Openssl构建自有CA

一.加密解密过程描述: 互联网数据传输需要实现:数据隐秘性,数据完整性,身份认证和密钥交换: 例如:Alice向Bob传输数据: 数据加密过程: 1.Alice生成原数据,用单向加密算法计算出原数据的特征码: 2.用自己的私钥加密原数据特征码并附加在原数据的后面: 3.用对称加密算法为整个数据加密生成对称加密密匙: 4.用Bob提供的公钥加密对称加密密匙,并附加在加密的数据后面一并发送给Bob. 数据解密过程: 1.Bob接收到数据,用自己的私钥解密对称加密密匙:确定数据接收方Bob的身份: 2

系统栈的工作原理(转)

1.开篇 本篇文章着重写的是系统中栈的工作原理,以及函数调用过程中栈帧的产生与释放的过程,有可能名字过大,如果不合适我可以换一个名字,希望大家能够指正,小丁虚心求教!如果有哪里写的不清楚的或者错误的地方请及时更正,小丁再次谢过了.文章里面有错别字,也可能会有好友说寄存器的32.16位的区别其实我感觉这里主要讲的还是些原理性的东西,后续会将文章图片错别字进行调整.(图片里面的posh改为push) 2.内存的不同用途 根据不同的操作系统,一个进程可能被分配到不同的内存区域去执行.但是不管什么样的操

加密解密原理,自建CA

目前数据的加密方式有3种:单向加密,对称加密,公钥加密(非对称加密),我们常见的加密算法有DES,MD5,SHA1...SHA512,RSA,都有各自不同的用处.简单介绍下这3中加密方式. 单向加密 通过某种Hash 函数对原始数据进行提取,提取得到一端固定长度的密文(不管文件有多大,密文长度不变),这段数据也常被称为数据指纹或特征码. 特点:1)单向加密,只能由原始数据得到特征码,而不能由特征码逆向推出原始数据. 2)雪崩效应,原始数据微小的改变会导致特征码巨大的变化 应用:常被应用于数字签名

Oracle NET工作原理、配置及连接问题排查

一.Oracle NET配置文件 Oracle NET是一个软件层,支持不同网络协议之间的转换.不同的物理机器可以借助这个软件层实现相互间的通信,具体而言就是实现对oracle的远程访问. oracle net配置文件包括listener.ora,tnsnames.ora,sqlnet.ora和ldap.ora:配置文件都是放在$ORACLE_HOME\network\admin目录下. sqlnet.ora文件在客户端上,确定解析方式,通过这个文件来决定怎么样找一个连接中出现的连接字符串 tn