心无尘土
一段平凡的日子,一段流逝的岁月
问题产生:
    前面几章我对于公开钥加密的应用作了一定的阐述。但是,公开钥加密有一个不能不正视的问题,那就是你凭什么来判断你获得的public key是真的。如果有人从一开始就伪造身份,让接受到公开钥的人以为这是另外需要发送消息的人的公开钥,并且用这个钥去验证伪造者发出的加密情报。后 果。。。。。我不说也知道了把,一直都是被虚假消息所欺骗,而且还误以为真。还有可能同时把自己真实的情报用假的公开钥加密后发送给伪造者。

解决:
    怎么办?这时候我们需要的显然是一种可以判断公开钥所有者真实性的机制。于是两种主要的认证方式应运而生。
    1。PGP模式
        Pretty Good Privacy
       比方说:  
            A同学想要取得C同学的公开钥。这时候有一位B同学和A同学,C同学都有着信赖关系。
             然后B同学就把他所知道的正确的C同学的公开钥上面电子签名后传给A。
             A同学和B同学由于有信赖关系,所以检查签名就知道数据没有问题,拿到的是真的C的公开钥
      
        缺点:不宜在没有管理主体的大规模应用中推广

    2。CA模式
       Certification Authority(认证机构)
       这是一种由可信任的第三方机关(TTP: Trusted Third Party)来保证公开钥所有者的方法。
      
        发行方法:
            TTP首先对公开钥的所有者进行确认,然后发行证书(Certificate)。
            在证书里面,有公开钥和关于公开钥所有者的证明情报。
            为了防止恶意修改,附加上TTP的署名。
            也就是说证书Certificate = 公钥拥有者情报+公钥+认证机构的数字签名
            发行证书的TTP,就是我们常说的CA认证机构。
      
        认证方法:     
             公钥发行者向CA提出申请,CA确认该公钥发行者后然后签发证书。
             公钥发行者把证书发给需要的人。接受者通过该证书和CA签名来确认真伪。
             如果为真,得到需要的公开钥。

       该技术的前提是CA必须是可信任的。对于CA来说,有公开的CPS: Certificate Practice Statement文        档来确认,一般来说,CA都是由政府来负责推广认定的。
      
       另外:
        CA为了证明自己也需要证明书。但是,CA的证书里面是他自己的数字签名。
        这样的证明书叫做自己签名证书。大型项目里面,也有CA的证明书是由别的CA来签名的情况。


关于CA模式下PKI的要素
1。证书所有者(Certificate Holder)
   
也就是秘钥的拥有者。又称为Subscriber(签署者)。

2。证书信赖者(Relying Party)
    也就是一般使用者。

3。证书注册机构(RA : Registration Authority)
   
确认证书本人性的机构。对证书认证机构提出发行证书和证书失效的要求。

4。档案文件(
Archive
)
   
证明书长期保存和密钥的备份。

5。证书认证机构(CA : Certification Authority)
    证书发行。证书失效队列发行。

6。仓库(Repository)
   
存放证书和失效证书队列。证书信赖者在这里查询并且取得证书和失效队列。


PKI模式的主要流程
    1。证书所有者向证书注册机构提出申请。
    2。证书注册机构对证书所有者的身份确认。
    3。证书注册机构向证书认证机构提出发行申请。
    4。证书认证机构对证明书所有者发行证明书。
    5。证书认证机构在仓库里面公开发行的证明书和失效队列。
    6。证书所有者和证书信赖者通信。
    7。证书信赖者通过仓库来检验证书的有效性。然后利用证书就可以验证电子签名和进行数据加密。


真累啊,理解并且变成程序还要好长时间。下面终于就可以开始最重要的部份了。首先是X509,然后还有失效关联问题。明天继续,剩下的一点时间看看小说去了,强推 起点的随波逐流一代军师-〉 同好有么?
不愿意只呆在程序的世界,我的梦想有好多。不过真的工作起来我就忘了一切,也许有时候会想自己为了什么了,对于钱我也没有那么多的欲望。对于一个不是老板的人来说,我的年龄拿到我的钱我也满意了。可能只是想证明自己吧,每当我爬上一个高度,就发现前面还有目标,还有比我高的。不停的追逐也是是我人生的乐趣吧。认识很多人,尤其是这一行的,国人,日本人,美国人,德国人,英国人,真的是每个人有每个人的幸福,每个人也有每个人的人生。也许不必非要去理解吧,和朋友最近。。。也许很多时候是我要求太高了吧。或许人生也就是加密解密一样,有些人眼里神秘,有些人熟悉,有些人专注于,而有些人只是游戏把。




posted on 2006-03-21 21:08 Yama的家 阅读(981) 评论(1)  编辑 收藏 引用 所属分类: DRM, 网络安全,security

FeedBack:
# re: PKI 5 CA模式产生背景和基本原理
2007-11-08 16:23 | 风吹散发猫
谢谢你的文档,清晰而概要。
我也看小说的,不过,通常不在起点看,www.bookba.net很不错哦
msn:ember_319@hotmail.com  回复  更多评论
  
只有注册用户登录后才能发表评论。

<2007年8月>
2930311234
567891011
12131415161718
19202122232425
2627282930311
2345678

常用链接

留言簿(5)

随笔分类(66)

相册

积分与排名

  • 积分 - 36669
  • 排名 - 139

最新评论

阅读排行榜