Chinaunix首页 | 论坛 | 博客
  • 博客访问: 308510
  • 博文数量: 76
  • 博客积分: 1662
  • 博客等级: 上尉
  • 技术积分: 764
  • 用 户 组: 普通用户
  • 注册时间: 2008-06-25 17:04
个人简介

辛勤的鸟儿总能找到虫子....

文章分类

全部博文(76)

文章存档

2017年(1)

2013年(4)

2012年(5)

2011年(4)

2010年(32)

2009年(23)

2008年(7)

分类: 系统运维

2010-04-08 18:57:31

ssl的基本概念

PKI 公开密钥基础设施(public key infrastructure) 是以公开密钥密码学为理论技术基础的一整套网络信息安全技术设施与服务.其内容包括数字证书不对称密钥密码技术认证中心证书和密钥的管理安全代理软件,不可否认性服务时间戳服务操作规范等.

CA 认证中心(certification authority) PKI的核心它是公正,权威可信的第三放网上认证机构负责数字证书的签发,撤消和生命周期的管理,还提供密钥管理和证书的在线查询等服务.

数字签名利用发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理,这个过程和结果就是数字签名..收信者可以用发信者的公钥对收到的信息进行解密从而辨别真伪,通过数字签名后的信息具有真实性和不可否认(抵赖).

数字证书这是由认证中心经过数字签名后发给网上交易主体(企业或者个人)的一段电子文档.在这段文档中包括主体名称证书序号,发证机构名称,证书有效期,密码算法标识,公钥信息和其他信息等.利用数字证书,配合相应的安全代理软件,可以在网上交易过程中检验对方的身份的真伪,实现双方的相互信任,并保证交易信息的真实性,完整性,私密性和不可否认性.

RSA算法是一种非对称密码算法所谓非对称就是指该算法需要一对密钥使用其中一个加密则需要用另一个才能解密.

CRL: (Certificate Revocation List): 证书废弃表主要功能是保存废弃的证书序号和废弃的原因

 PKIPublic Key Infrastructure)含义为公钥基础设施PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施,PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI基础设施采用证书管理公钥,通过第三方的可信任机构--认证中心,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份。PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。

        从广义上讲,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。

PKIPublic Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRLX.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。一个典型、完整、有效的PKI 应用系统至少应具有以下五个部分; 
  1) 认证中心CA CA PKI 的核心,CA 负责管理PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布,后面有CA 的详细描述。 
  2) X.500 目录服务器 X.500 目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。
  3) 具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
  4) Web(安全通信平台) Web Web Client 端和Web Server 端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。 
  5) 自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。 

        一、PKI原理

        PKI公共密钥体系是利用公共密钥算法的特点,建立一套证书发放、管理和使用的体系,来支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。PKI 体系可以有多种不同的体系结构、实现方法和通信协议。

        公共(非对称)密钥算法使用加密算法和一对密钥:一个公共密钥(公钥,public key)和一个私有密钥(私钥,private key)。其基本原理是:由一个密钥进行加密的信息内容,只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者,私钥则需要十分安全地存放起来。使用中,甲方可以用乙方的公钥对数据进行加密并传送给乙方,乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起,由权威机构(CA, Certificate Authority)认证、发放和管理。把证书交给对方时就把自己的公钥传送给了对方。证书也可以存放在一个公开的地方,让别人能够方便地找到和下载。

        公共密钥方法还提供了进行数字签名的办法:签字方对要发送的数据提取摘要并用自己的私钥对其进行加密;接收方验证签字方证书的有效性和身份,用签字方公钥进行解密和验证,确认被签字的信息的完整性和抗抵赖性。公共密钥方法通常结合使用对称密钥(单密钥)方法,由计算效率高的对称密钥方法对文件和数据进行加密。目前在 Internet 上主要使用 RSA 公共密钥方法,密钥长度 512 或 1024 位,是广泛使用的 SSL/TLS S/MIME 等安全通信协议的基础。

阅读(794) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~