长腿少妇视频小说,AV大黑逼,亚洲日本精品A在线观看,国产又粗又猛又黄又湿视频

您當(dāng)前的位置 :環(huán)球傳媒網(wǎng)>資訊 > 正文
ca認(rèn)證是什么?認(rèn)證機(jī)構(gòu)CA的類型有哪些? 世界新要聞
2022-12-08 13:25:08 來源:環(huán)球傳媒網(wǎng) 編輯:

隨著社會越來越發(fā)達(dá),大家都選擇在網(wǎng)絡(luò)上汲取相關(guān)知識內(nèi)容,比如ca認(rèn)證是什么(ca數(shù)字證書初始密碼),為了更好的解答大家的問題,小編也是翻閱整理了相應(yīng)內(nèi)容,下面就一起來看一下吧!


(相關(guān)資料圖)

公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure)

一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。

簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施,PKI技術(shù)是信息安全技術(shù)的核心。

一個PKI體系由終端實(shí)體、認(rèn)證機(jī)構(gòu)、注冊機(jī)構(gòu)和證書/CRL存儲庫四部分共同組成:

1、終端實(shí)體,是PKI產(chǎn)品或服務(wù)的最終使用者,可以是個人、組織、設(shè)備(如路由器、交換機(jī))或計(jì)算機(jī)中運(yùn)行的進(jìn)程。

2、認(rèn)證機(jī)構(gòu)CA(Certificate Authority),是PKI的信任基礎(chǔ),是一個用于簽發(fā)并管理數(shù)字證書的可信實(shí)體。其作用包括:發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布CRL確保必要時可以廢除證書。

3、注冊機(jī)構(gòu)RA(Registration Authority),RA是CA的延伸,可作為CA的一部分,也可以獨(dú)立。RA功能包括個人身份審核、CRL管理、密鑰對產(chǎn)生和密鑰對備份等。PKI國際標(biāo)準(zhǔn)推薦由一個獨(dú)立的RA來完成注冊管理的任務(wù),這樣可以增強(qiáng)應(yīng)用系統(tǒng)的安全性。

4、證書/CRL存儲庫,負(fù)責(zé)證書和CRL的存儲、管理、查詢等。

概念和術(shù)語

公鑰加密算法:

公鑰加密算法,又叫非對稱加密算法或雙鑰加密算法,是指加密密鑰和解密密鑰為兩個不同密鑰的密碼算法。

公鑰加密算法使用了一對密鑰:一個用于加密信息,另一個則用于解密信息,其中加密密鑰公之于眾,稱為公鑰;解密密鑰由解密人私密保存,稱為私鑰。用其中任一個密鑰加密的信息只能用另一個密鑰進(jìn)行解密。

RSA密鑰對:

數(shù)字證書機(jī)制依賴于公共密鑰體制,PKI系統(tǒng)中應(yīng)用最廣泛的公共密鑰體制為RSA加密系統(tǒng)。

RSA加密系統(tǒng)使用一個非對稱的RSA密鑰對,包括一個RSA公鑰和一個RSA私鑰。當(dāng)實(shí)體申請數(shù)字證書時,證書請求中必須包含RSA公鑰信息。

RSA密鑰對的模數(shù),即RSA密鑰的長度(單位bit)。模數(shù)越大,密鑰越安全,同時設(shè)備生成密鑰、加密、解密花費(fèi)的時間也越長。

數(shù)字指紋:

數(shù)字指紋是指通過某種算法對數(shù)據(jù)信息進(jìn)行綜合計(jì)算得到的一個固定長度的數(shù)字序列,這個序列有時也稱信息摘要,常采用單向哈希算法對原始數(shù)據(jù)進(jìn)行散列計(jì)算得出數(shù)字指紋。

數(shù)字簽名:

數(shù)字簽名是指信息發(fā)送方用自己的私鑰對原始數(shù)據(jù)的數(shù)字指紋進(jìn)行加密后所得的數(shù)據(jù)。

信息接收者使用信息發(fā)送者的公鑰對附在原始信息后的數(shù)字簽名進(jìn)行解密后,獲得數(shù)字指紋,然后與自己用同樣算法對原始數(shù)據(jù)計(jì)算生成的數(shù)據(jù)指紋進(jìn)行匹配,根據(jù)匹配結(jié)果,便可確定原始信息是否被篡改。

數(shù)字證書:

數(shù)字證書是一個經(jīng)認(rèn)證機(jī)構(gòu)CA(Certificate Authority)簽名的,包含實(shí)體公開密鑰及相關(guān)身份信息的文件,它建立了實(shí)體身份信息與其公鑰的關(guān)聯(lián),是使用PKI系統(tǒng)的用戶建立安全通信的信任基礎(chǔ)。CA對數(shù)字證書的簽名保證了證書的合法性和權(quán)威性。

數(shù)字證書中包含多個字段,包括證書簽發(fā)者的名稱、主體的公鑰信息、CA對證書的數(shù)字簽名、證書的有效期等。

認(rèn)證機(jī)構(gòu)CA(Certificate Authority)

CA是PKI的信任基礎(chǔ),是一個用于簽發(fā)并管理數(shù)字證書的可信實(shí)體。

其作用(功能)包括:發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布CRL確保必要時可以廢除證書。

認(rèn)證機(jī)構(gòu)CA的層次

認(rèn)證機(jī)構(gòu)是PKI體系的核心,通常采用多層次的分級結(jié)構(gòu),根據(jù)證書頒發(fā)機(jī)構(gòu)的層次,可以劃分為根CA和從屬CA。

上級認(rèn)證機(jī)構(gòu)負(fù)責(zé)簽發(fā)和管理下級認(rèn)證機(jī)構(gòu)的證書,最下一級的認(rèn)證機(jī)構(gòu)直接面向用戶。

每一份數(shù)字證書都與上一級的數(shù)字簽名證書相關(guān)聯(lián),最終通過證書鏈追溯到一個根認(rèn)證機(jī)構(gòu),根CA通常持有一個自簽名證書。

在建立CA時,從屬CA要通過上級CA獲得自己的CA證書,而根CA則是創(chuàng)建自簽名的證書。

1、根CA是公鑰體系中第一個證書頒發(fā)機(jī)構(gòu),它是信任的起源。根CA可以為其它CA頒發(fā)證書,也可以為其它計(jì)算機(jī)、用戶、服務(wù)頒發(fā)證書。對大多數(shù)基于證書的應(yīng)用程序來說,使用證書的認(rèn)證都可以通過證書鏈追溯到根。

2、從屬CA必須從根CA或者從一個已由根CA授權(quán)可頒發(fā)從屬CA證書的從屬CA處獲取證書。

認(rèn)證機(jī)構(gòu)CA的類型

認(rèn)證機(jī)構(gòu)CA的類型,包括三種:

1、自簽名CA:在自簽名CA中,證書中的公鑰和用于驗(yàn)證證書簽名的公鑰是相同的。

2、從屬CA:在從屬CA中,證書中的公鑰和用于驗(yàn)證證書簽名的公鑰是不同的。

3、根CA:根CA是一種特殊的CA,它受到客戶無條件地信任,位于證書層次結(jié)構(gòu)的最高層。所有證書鏈均終止于根CA。根CA必須對它自己的證書簽名,因?yàn)樵谧C書層次結(jié)構(gòu)中再也沒有更高的認(rèn)證機(jī)構(gòu)。

認(rèn)證機(jī)構(gòu)CA的功能

CA的核心功能就是發(fā)放和管理數(shù)字證書,包括:證書的頒發(fā)、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、CRL的發(fā)布等。

CA的核心功能,具體描述如下:

1、證書申請?zhí)幚恚航邮?、?yàn)證用戶數(shù)字證書的申請。

2、證書審批處理:確定是否接受用戶數(shù)字證書的申請。

3、證書頒發(fā)處理:向申請者頒發(fā)或拒絕頒發(fā)數(shù)字證書。

4、證書更新處理:接收、處理用戶的數(shù)字證書更新請求。

5、證書查詢和撤銷處理:接收用戶數(shù)字證書的查詢、撤銷。

6、發(fā)布CRL:產(chǎn)生和發(fā)布證書廢除列表(CRL)。

7、證書的歸檔:數(shù)字證書的歸檔。

8、密鑰的備份和恢復(fù)。

9、歷史數(shù)據(jù)歸檔。

注冊機(jī)構(gòu)RA(Registration Authority)

注冊機(jī)構(gòu)RA的功能:

RA是數(shù)字證書注冊審批機(jī)構(gòu),RA是CA面對用戶的窗口,是CA的證書發(fā)放、管理功能的延伸,它負(fù)責(zé)接受用戶的證書注冊和撤銷申請,對用戶的身份信息進(jìn)行審查,并決定是否向CA提交簽發(fā)或撤銷數(shù)字證書的申請。

RA作為CA功能的一部分,實(shí)際應(yīng)用中,通常RA并不一定獨(dú)立存在,而是和CA合并在一起。RA也可以獨(dú)立出來,分擔(dān)CA的一部分功能,減輕CA的壓力,增強(qiáng)CA系統(tǒng)的安全性。

證書吊銷列表CRL

由于實(shí)體名稱的改變、私鑰泄漏或業(yè)務(wù)中止等原因,需要存在一種方法將現(xiàn)行的證書撤消,即撤消公開密鑰及相關(guān)的實(shí)體身份信息的綁定關(guān)系。在PKI中,所使用的這種方法為證書吊銷列表CRL(Certificate Revocation List)。

任何一個證書被廢除以后,CA就要發(fā)布CRL來聲明該證書是無效的,并列出所有被廢除(吊銷)的證書的序列號。CRL提供了一種檢驗(yàn)證書有效性的方式。

當(dāng)一個CRL的撤消信息過多時會導(dǎo)致CRL的發(fā)布規(guī)模變得非常龐大,且隨著CRL大小的增加,網(wǎng)絡(luò)資源的使用性能也會隨之下降。為了避免這種情況,允許一個CA的撤消信息通過多個CRL發(fā)布出來,并且使用CRL發(fā)布點(diǎn)CDP(CRL Distribution Point)來指出這些CRL的位置。

CRL發(fā)布點(diǎn):

CRL發(fā)布點(diǎn)CDP,是數(shù)字證書中的信息,它描述了如何獲取證書的CRL列表。

最常用的CDP是HTTP URL和LDAP URL,也可以是其他類型的URL或LDAP目錄說明。一個CDP包含一個URL或目錄說明。

公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure),工作過程:

針對一個使用PKI的網(wǎng)絡(luò),配置PKI的目的就是為指定的實(shí)體向CA申請一個本地證書,并由設(shè)備對證書的有效性進(jìn)行驗(yàn)證。

1、實(shí)體向注冊機(jī)構(gòu)RA提出證書申請。

2、RA審核實(shí)體身份,將實(shí)體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給CA。

3、CA驗(yàn)證數(shù)字簽名,同意實(shí)體的申請,頒發(fā)證書。

4、RA接收CA返回的證書,通知實(shí)體證書發(fā)行成功。

5、實(shí)體獲取證書,利用該證書可以與其它實(shí)體使用加密、數(shù)字簽名進(jìn)行安全通信。

6、實(shí)體希望撤消自己的證書時,向CA提交申請,CA批準(zhǔn)實(shí)體撤消證書,并更新CRL。

公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure),工作原理:

PKI的目標(biāo)就是要充分利用公鑰密碼學(xué)的理論基礎(chǔ),建立起一種普遍適用的基礎(chǔ)設(shè)施,為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)。

對于公鑰加密算法,由于公鑰是公開的,需要在網(wǎng)上傳送,故公鑰的管理問題就是公鑰加密體制所需要解決的關(guān)鍵問題。

目前,PKI系統(tǒng)中引出的數(shù)字證書機(jī)制就是一個很好的解決方案。

PKI的核心技術(shù)就圍繞著數(shù)字證書的申請、頒發(fā)、使用與撤銷等整個生命周期進(jìn)行展開。

證書的注冊

證書注冊,即證書申請,就是一個實(shí)體向CA自我介紹并獲取數(shù)字證書的過程。實(shí)體向CA提供身份信息,以及相應(yīng)的公鑰,這些信息將成為頒發(fā)給該實(shí)體證書的主要組成部分。

實(shí)體向CA提出證書申請,有離線和在線兩種方式:

1、離線申請方式下,CA允許申請者通過帶外方式(如電話、磁盤、電子郵件等)向CA提供申請信息。

2、在線證書申請有手工發(fā)起和自動發(fā)起兩種方式。

證書的注冊方式(常用的方式):

1、PKCS#10方式(離線注冊方式),當(dāng)無法通過SCEP協(xié)議向CA在線申請證書時,可以使用PKCS#10格式打印出本地的證書申請信息。用戶以PKCS#10格式保存證書申請信息到文件中,并通過帶外方式發(fā)送給CA進(jìn)行證書申請。

2、SCEP方式(在線注冊/下載方式),通過簡單證書注冊協(xié)議SCEP(Simple Certification Enrollment Protocol),利用HTTP協(xié)議與CA或RA通信,發(fā)送證書注冊請求或證書下載請求消息,下載CA/RA證書、本地證書,或者申請本地證書。SCEP方式是最常用的證書自動注冊方式。

3、自簽名證書,PKI設(shè)備為自己頒發(fā)一個自簽名證書,即證書簽發(fā)者和證書主題相同。

證書的更新

設(shè)備在證書即將過期前,先申請一個證書作為“影子證書”,在當(dāng)前證書過期后,影子證書成為當(dāng)前證書,完成證書更新功能。

申請“影子證書”的過程,實(shí)質(zhì)上是一個新的證書注冊的過程。

證書更新功能需要CA服務(wù)器的支持,即CA服務(wù)器必須支持證書更新功能。

證書的下載

證書下載是指終端實(shí)體通過SCEP協(xié)議,向CA服務(wù)器查詢并下載已頒發(fā)的證書,或者通過CDP指定機(jī)制和地址,下載已頒發(fā)的證書。該證書可以是自己的證書,也可以是CA證書,或其他終端實(shí)體的證書。

證書的撤銷

由于用戶身份、用戶信息或者用戶公鑰的改變、用戶業(yè)務(wù)中止等原因,用戶需要將自己的數(shù)字證書撤消,即撤消公鑰與用戶身份信息的綁定關(guān)系。

在PKI中,CA撤銷證書使用的方法為證書吊銷列表CRL,終端實(shí)體撤銷自己的證書是通過帶外方式申請的。

為了撤銷自己的證書,終端實(shí)體必須采用帶外方式通知CA服務(wù)器管理員。

管理員要求終端實(shí)體提供自己的Challenge Password(Challenge Password在證書注冊時已作為PKCS10證書請求的屬性發(fā)給了CA)。

如果終端實(shí)體提供的Challenge Password與CA服務(wù)器保存的一致,CA發(fā)布CRL來撤銷證書。

CRL的下載

CA/RA不會主動把CRL發(fā)布給終端實(shí)體,而是由終端實(shí)體主動發(fā)起CRL查詢。

有兩種下載CRL的方法:CDP方式、SCEP方式。

CA如果支持CDP,在為終端實(shí)體頒發(fā)證書時,把CRL發(fā)布點(diǎn)的URL地址編碼成CDP屬性封裝在證書中,終端實(shí)體根據(jù)CDP來下載CRL。

如果證書中未攜帶CDP信息,并且設(shè)備本地也沒有配置CDP的URL地址,則設(shè)備通過SCEP協(xié)議向CA服務(wù)器請求CRL。終端實(shí)體通過SCEP協(xié)議獲取證書時,以證書簽發(fā)者名字和證書序列號作為查詢關(guān)鍵字。

證書狀態(tài)檢查方式

當(dāng)終端實(shí)體驗(yàn)證對端證書時,經(jīng)常需要檢查對端證書是否有效。對端證書是否過期、是否被加入證書黑名單中,即檢查證書的狀態(tài)。

通常終端實(shí)體檢查證書狀態(tài)的方式有三種:CRL方式、OCSP方式、None方式。

CRL方式:

如果CA支持CDP,那么當(dāng)CA簽發(fā)證書時,在證書中會包含CDP信息,描述了獲取該證書CRL的途徑和方式。終端實(shí)體利用CDP中指定的機(jī)制和地址來定位和下載CRL。

如果PKI域下配置了CDP的URL地址,該地址將覆蓋證書中攜帶的CDP信息,終端實(shí)體使用配置的URL來獲取CRL。

在線證書狀態(tài)協(xié)議OCSP(Online Certificate Status Protocol)方式

如果CA不支持CDP,即證書中沒有指定CDP,并且PKI域下也沒有配置CRL的URL地址,終端實(shí)體可以使用OCSP協(xié)議檢查證書狀態(tài)。

None方式:

如果終端實(shí)體沒有可用的CRL和OCSP服務(wù)器,或者不需要檢查對端證書狀態(tài),可以采用None方式,即不檢查證書是否被撤銷。

證書合法性驗(yàn)證

終端實(shí)體獲取對端證書后,當(dāng)需要對對端進(jìn)行證書認(rèn)證時,例如需要與對端建立安全隧道或安全連接,通常需要驗(yàn)證對端證書和證書簽發(fā)者的合法性。如果證書簽發(fā)者的證書無效或過期,則由該CA簽發(fā)的所有證書都不再有效。但在CA證書過期前,設(shè)備會自動更新CA/RA證書,異常情況下才會出現(xiàn)CA證書過期現(xiàn)象。

為完成證書驗(yàn)證,除了需要對端證書外,本地設(shè)備需要下面的信息:信任的CA證書、CRL、本端數(shù)字證書及其私鑰、證書認(rèn)證相關(guān)配置信息。

證書驗(yàn)證的主要過程如下:

使用CA證書的公鑰驗(yàn)證認(rèn)證機(jī)構(gòu)的簽名是否正確。

根據(jù)證書的有效期,驗(yàn)證證書是否過期。

檢查證書的狀態(tài),即通過CRL、OCSP、None等方式檢查證書是否被撤銷。

證書鏈驗(yàn)證

為驗(yàn)證一個數(shù)字證書的合法性,首先需要獲得簽發(fā)這個證書的CA的公鑰(即獲得CA證書),以便檢查該證書上CA的簽名。一個CA可以讓另一個更高層次的CA來證明其數(shù)字證書的合法性,這樣順著證書鏈,驗(yàn)證數(shù)字證書就變成了一個迭代過程,最終這個鏈必須在某個“信任點(diǎn)”(一般是持有自簽名證書的根CA或者是實(shí)體信任的中間CA)處結(jié)束。

所謂的證書鏈,是指從終端實(shí)體證書到根證書的一系列可信任證書構(gòu)成的證書序列。任何終端實(shí)體,如果它們共享相同的根CA或子CA,并且已獲取CA證書,都可以驗(yàn)證對端證書。一般情況下,當(dāng)驗(yàn)證對端證書鏈時,驗(yàn)證過程在碰到第一個可信任的證書或CA機(jī)構(gòu)時結(jié)束。

證書鏈的驗(yàn)證過程是一個從目標(biāo)證書(待驗(yàn)證的實(shí)體證書)到信任點(diǎn)證書逐層驗(yàn)證的過程。

關(guān)鍵詞: 數(shù)字證書

相關(guān)閱讀
分享到:
版權(quán)和免責(zé)申明

凡注有"環(huán)球傳媒網(wǎng)"或電頭為"環(huán)球傳媒網(wǎng)"的稿件,均為環(huán)球傳媒網(wǎng)獨(dú)家版權(quán)所有,未經(jīng)許可不得轉(zhuǎn)載或鏡像;授權(quán)轉(zhuǎn)載必須注明來源為"環(huán)球傳媒網(wǎng)",并保留"環(huán)球傳媒網(wǎng)"的電頭。

Copyright ? 1999-2017 cqtimes.cn All Rights Reserved 環(huán)球傳媒網(wǎng)-重新發(fā)現(xiàn)生活版權(quán)所有 聯(lián)系郵箱:8553 591@qq.com