本文主要是介绍PKI证书认证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
USBKEY介绍
usbkey的本质就是一个移动存储设备+硬件加密算法实现。自身有一定的安全性。需要登录后才能访问相应权限的文件。其权限分为 anyone(任何人都可见)、pin(需要输入pin码,才可见)、admin(只有管理员可见。)相应的admin可以看见所有信息。pin看不见admin的信息。anyone只能看见一些普通信息。所以pin码是决定账号能否访问Ukey的标志。
每一个Ukey中都有一个GUID。确保唯一。
注:对于1000系统来说,忘记管理员密码,只能返厂修理。所有管理员密码由我们设定。且不能丢失。
Usbkey做身份验证方法:
主要有2个
证书认证。可以做2个方向。1身份验证,2文件传输。为了防止证书被修改,需要对证书进行摘要比对。证书认证身份验证,只需要存储公钥。若做文件传输,需要存储私钥。换句话说。文件传输有2对密钥对。由于我们不应用加密,所以不加以说明。
冲击响应认证。也可以理解为证书认证的简要版本。只能用于身份验证。不能用于文件传输。
证书认证基础:非对称加密算法
我们平时都有一个密码对一段信息进行加密和解密。当传输通道本身不安全时,容易让你破解。
为了安全性更好,有人提出了,非对称加密。就是有密钥A加密,只能用密钥B解密。密钥A与密钥B是对等的,用一个密钥加密,就只能用另一个密钥解密。这样即使传输通道不安全,也不会被破解。
此算法基于单向散列函数(HASH函数),加密方与解密方使用同一单向散列函数。
证书认证过程:
1. 验证用户证书是否由指定部门签发的
2. 验证用户证书是否被修改。(此处相当于冲击认证的第二次认证就是对比摘要)
3. 验证用户证书是否过期
4. 验证证书是否在吊销证书列表中。
5. 用私钥对随机字符串签名(此处签名可以理解为加密。)
6. 读取证书文件,并取得公钥。
7. 用公钥认证(此处认证可以理解为解密)
证书认证本质:
1.证书认证的本质就是验证证书的合法性
2.验证对方私钥的正确性。
X.509证书格式:
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准;因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。在一份证书中,必须证明公钥及其所有者的姓名是一致的。对X.509证书来说,认证者总是 CA或由CA指定的人,一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。X.509标准定义了证书中应该包含哪些信息,并描述了这些信息是如何编码的(即数据格式),所有的X.509证书包含以下数据:
1、X.509版本号:指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息。目前的版本是3。
2、证书持有人的公钥:包括证书持有人的公钥、算法(指明密钥属于哪种密码系统)的标识符和其他相关的密钥参数。
3、证书的序列号:由CA给予每一个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(Certificate Revocation List证书作废表,或证书黑名单表)中。这也是序列号唯一的原因。
4、主题信息:证书持有人唯一的标识符(或称DN-distinguished name)这个名字在 Internet上应该是唯一的。DN由许多部分组成,看起来象这样:
CN=Bob Allen, OU=Total Network Security Division
O=Network Associates, Inc.
C=US
这些信息指出该科目的通用名、组织单位、组织和国家或者证书持有人的姓名、服务处所等信息。
5、证书的有效期:证书起始日期和时间以及终止日期和时间;指明证书在这两个时间内有效。
6、认证机构:证书发布者,是签发该证书的实体唯一的CA的X.500名字。使用该证书意味着信任签发证书的实体。(注意:在某些情况下,比如根或顶级CA证书,发布者自己签发证书)
7、发布者的数字签名:这是使用发布者私钥生成的签名,以确保这个证书在发放之后没有被撰改过。
8、签名算法标识符:用来指定CA签署证书时所使用的签名算法。算法标识符用来指定CA签发证书时所使用的公开密钥算法和HASH算法。
这篇关于PKI证书认证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
