人生是一个不断积累的过程!
1. 数字签名
在收发双方不能完全信任的情况下,数字签名是解决该问题的最好方法。其作用相当于手写签名。数字签名满足:必须能验证签名者、签名日期和时间;能认证被签的消息内容;应能由第三方仲裁,以解决争议。
数字签名必须是与消息相关的二进制位串,签名必须使用发送方某些独有的信息,以防止伪造和否认,产生数字签名比较容易,识别和验证签名比较容易,伪造数字签名在计算上是不可行的,保存数字签名的拷贝是可行的。
基于密码技术的数字签名一般采用具有数字签名功能的公开钥密码算法,如RSA、DSA等。其基本原理是使用秘密钥加密实现数字签名,使用公开钥解密实现签名验证。在实际应用中,数字签名包括两个步骤:(1)对待签名信息计算HASH值(2)对HASH值采用秘密钥加密得到数字签名值;验证过程是首先将数字签名值用对应的公开钥解密,并和重新计算的信息的HASH值进行比较,如果相同,证明验证签名正确,否则认为是错误。
2. 数字证书
数字证书是指利用数字签名技术实现的经由第三方可信的、权威的机构CA签发的,将被认证对象(用户)的身份信息和其公开钥进行有效捆绑而编码形成的数字认证信息。通过验证者对数字证书的验证,确保用户身份和用户公开钥的一一对应性,从而确认用户对该公开钥的合法拥有,从而利用该公钥进行安全的信息加密。
X509标准是数字证书的主要标准之一。在一个标准的数字证书中,包含证书版本号、证书序列号、证书签发者身份信息、证书拥有者(用户)身份信息、证书有效期、证书拥有者公钥信息、某些扩展信息、签名方法以及证书签发者用自己的私钥对以上信息所做的签名产生的签名信息。证书的验证主要包括验证数字签名是否正确(确认证书是否被修改)、证书有效期是否有效、证书签发者是否可信、证书中其他信息是否符合政策、证书是否已经被注销等,在证书链中,还应验证证书链中所有的证书是否符合信任链关系等。
3. 证书注销列表(黑名单)
数字证书在有效期内因各种原因(对应秘密钥丢失、身份信息变更等)可能变得不安全,需要申请注销。证书注销列表是由可信的、权威的第三方机构CA审核签发的所有在证书有效期内,但是被注销的证书的列表。该列表经由CA机构签名保证可信。用户通过定期下载,在验证证书有效性时使用。
4. CA中心
CA中心(Certificate Authority)即数字证书认证机构,是一个可信的、权威的第三方机构,其主要功能就是为用户(包括人和设备等)签发数字证书,并实施相应的管理。
CA 的核心功能就是发放和管理数字证书,具体描述如下:
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请—证书的审批。
(3)向申请者颁发、拒绝颁发数字证书—证书的发放。
(4)接收、处理最终用户的数字证书更新请求—证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书注销列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
CA 的数字签名保证了证书的合法性和权威性。主体的公钥可有两种产生方式:(1)用户自己生成密钥对,然后将公钥以安全的方式传给 CA,该过程必须保证用户公钥的可验证性和完整性。(2)CA 替用户生成密钥对,然后将其以安全的方式传送给用户,该过程必须确保密钥的机密性、完整性和可验证性。该方式下由于用户的私钥为 CA 所产生,故对 CA 的可信性有更高的要求。
RA(Registry Authority,注册中心),是数字证书注册审批机构。RA 系统是 CA 的证书发放、管理的延伸。它负责证书申请者的信息录入、审核等工作;同时,对发放的证书完成相应的管理功能。
RA 系统是整个 CA 中心得以正常运营不可缺少的一部分。但有的系统中,将 RA 合并在 CA 中。一般说来,注册机构控制注册、证书传递、其他密钥和证书生命周期管理过程中主体、最终实体和 PKI间的交换。
没有评论:
发表评论