公鑰體系結構

公鑰體系結構公鑰體系結構
基於非對稱加密體系,可建立起一套優秀的安全體系結構,稱為公鑰體系結構(PublicKeyInfrastructure,簡稱PKI)。以下介紹公鑰體系結構中的一些基本概念與結構組成:密鑰對、證書和CA。

密鑰對

公鑰體系結構公鑰體系結構
在基於公鑰體系的安全系統中,密鑰是成對生成的,每對密鑰由一個公鑰和一個私鑰組成。在實際套用中,私鑰由擁有者自己保存,而公鑰則需要公布於眾。為了使基於公鑰體系的業務(如電子商務等)能夠廣泛套用,一個基礎性關鍵的問題就是公鑰的分發與管理。

公鑰本身並沒有什麼標記,僅從公鑰本身不能判別公鑰的主人是誰。在很小的範圍內,比如A和B這樣的兩人小集體,他們之間相互信任,交換公鑰,在網際網路上通訊,沒有什麼問題。這個集體再稍大一點,也許彼此信任也不成問題,但從法律角度講這種信任也是有問題的。如再大一點,信任問題就成了一個大問題。

證書

網際網路的用戶群決不是幾個人互相信任的小集體,在這個用戶群中,從法律角度講用戶彼此之間都不能輕易信任。所以公鑰加密體系採取了另一個辦法,將公鑰和公鑰的主人名字聯繫在一起,再請一個大家都信得過有信譽的公正、權威機構確認,並加上這個權威機構的簽名。這就形成了證書,如下圖。

公鑰

公鑰主人的信息

權威機構的簽名

由於證書上有權威機構的簽字,所以大家都認為證書上的內容是可信任的;又由於證書上有主人的名字等身份信息,別人就很容易地知道公鑰的主人是誰。

3CA(CertificateAuthority)

公鑰體系結構公鑰體系結構
前面提及的權威機構就是電子簽證機關(即CA)。CA也擁有一個證書(內含公鑰,與上圖所示相同),當然,它也有自己的私鑰,所以它有簽字的能力。網上的公眾用戶通過驗證CA的簽字從而信任CA,任何人都應該可以得到CA的證書(含公鑰),用以驗證它所簽發的證書。

如果用戶想得到一份屬於自己的證書,他應先向CA提出申請。在CA判明申請者的身份後,便為他分配一個公鑰,並且CA將該公鑰與申請者的身份信息綁在一起,並為之簽字後,便形成證書發給那個用戶(申請者)。

如果一個用戶想鑑別另一個證書的真偽,他就用CA的公鑰對那個證書上的簽字進行驗證(如前所述,--CA簽字實際上是經過CA私鑰加密的信息,簽字驗證的過程還伴隨使用CA公鑰解密的過程),一旦驗證通過,該證書就被認為是有效的。

CA除了簽發證書之外,它的另一個重要作用是證書和密鑰的管理。由此可見,證書就是用戶在網上的電子個人身份證,同日常生活中使用的個人身份證作用一樣。CA相當於網上公安局,專門發放、驗證身份證。

諾方宏證電子簽證機關就是一個基於相關國際標準的網上CA系統。

相關國際標準

公鑰體系結構公鑰體系結構
1.PKI(Public-KeyInfrastructure)公鑰體系基礎框架。

對於任何基於公鑰體系的安全套用,必須確立其PKI。而電子簽證機關(CA)是PKI中的一個關鍵的組成部分,它主要涉及兩方面的內容,即公鑰證書的發放和公鑰證書的有效性證明。

2.PKIX(Public-KeyInfrastructureUsingX.509)使用X.509的公鑰體系基礎框架

3.X.500由ISO和ITU提出的用於為大型網路提供目錄服務的標準體系。

4.X.509為X.500提供驗證(Authenticating)體系的標準。

5.PKCS(PublicKeyCryptographyStandards)公鑰加密標準,為PKI提供一套完善的標準體系。

X.509最早的版本X.509v1是在1988年提出的,到現在已升級到X.509v3,現將其涉及到的主要內容以及與前版本的比較列於下表。

相關詞條

故障報修應答系統 多相移鍵控 公共信道信令網 工廠驗收測試 風力發電場併網運行 動態頻寬分配

相關詞條

相關搜尋

熱門詞條

聯絡我們