Your Ad Here
ҳ | | վ | Ϸ | ˱ | 簲ȫ | ϵͳ | ʱ | Ӳָ | | IT ֤
Ѷ > > Delphi > PKI 5 CAģʽͻԭ
  ⡿PKI 5 CAģʽͻԭ
ؼ֡PKI,CA
  Դhttp://www.cnitblog.com/Yama/archive/2006/03/21/7920.html

PKI 5 CAģʽͻԭ

Your Ad Here IT博客?- 心无尘土 - PKI 5 CA模式产生背景和基本原?
心无尘土
一段平凡的日子,一段流逝的岁月
PKI 5 CA模式产生背景和基本原?/a>
问题产生?/b>
    前面几章我对于公开钥加密的应用作了一定的阐述。但是,公开钥加密有一个不能不正视的问题,那就是你凭什么来判断你获得的public key是真的。如果有人从一开始就伪造身份,让接受到公开钥的人以为这是另外需要发送消息的人的公开钥,并且用这个钥去验证伪造者发出的加密情报。后 果。。。。。我不说也知道了把,一直都是被虚假消息所欺骗,而且还误以为真。还有可能同时把自己真实的情报用假的公开钥加密后发送给伪造者?br />
解决?br />    怎么办?这时候我们需要的显然是一种可以判断公开钥所有者真实性的机制。于是两种主要的认证方式应运而生?br />    1。PGP模式
        Pretty Good Privacy
       比方说:  
            A同学想要取得C同学的公开钥。这时候有一位B同学和A同学,C同学都有着信赖关系?br />             然后B同学就把他所知道的正确的C同学的公开钥上面电子签名后传给A?br />             A同学和B同学由于有信赖关系,所以检查签名就知道数据没有问题,拿到的是真的C的公开?br />      
        缺点:不宜在没有管理主体的大规模应用中推?br />
    2。CA模式
       Certification Authority(认证机构)
       这是一种由可信任的第三方机关(TTP?Trusted Third Party)来保证公开钥所有者的方法?br />      
        发行方法?br />            TTP首先对公开钥的所有者进行确认,然后发行证书(Certificate)?br />            在证书里面,有公开钥和关于公开钥所有者的证明情报?br />            为了防止恶意修改,附加上TTP的署名?br />            也就是说证书Certificate ?公钥拥有者情报+公钥+认证机构的数字签名
            发行证书的TTP,就是我们常说的CA认证机构?br />      
        认证方法?    
             公钥发行者向CA提出申请,CA确认该公钥发行者后然后签发证书?br />             公钥发行者把证书发给需要的人。接受者通过该证书和CA签名来确认真伪?br />             如果为真,得到需要的公开钥?br />
       该技术的前提是CA必须是可信任的。对于CA来说,有公开的CPS: Certificate Practice Statement文  ?    档来确认,一般来说,CA都是由政府来负责推广认定的?br />      
       另外?br />        CA为了证明自己也需要证明书。但是,CA的证书里面是他自己的数字签名?br />        这样的证明书叫做自己签名证书。大型项目里面,也有CA的证明书是由别的CA来签名的情况?br />

关于CA模式下PKI的要?br />1。证书所有?Certificate Holder)
    也就是秘钥的拥有者。又称为Subscriber(签署者)?br />
2。证书信赖?Relying Party)
    也就是一般使用者?br />
3。证书注册机构(RA : Registration Authority?br />    确认证书本人性的机构。对证书认证机构提出发行证书和证书失效的要求?br />
4。档案文?Archive)
    证明书长期保存和密钥的备份?br />
5。证书认证机?CA : Certification Authority)
    证书发行。证书失效队列发行?br />
6。仓?Repository)
    存放证书和失效证书队列。证书信赖者在这里查询并且取得证书和失效队列?br />

PKI模式的主要流?br />    1。证书所有者向证书注册机构提出申请?br />     2。证书注册机构对证书所有者的身份确认?br />     3。证书注册机构向证书认证机构提出发行申请?br />     4。证书认证机构对证明书所有者发行证明书?br />     5。证书认证机构在仓库里面公开发行的证明书和失效队列?br />     6。证书所有者和证书信赖者通信?br />     7。证书信赖者通过仓库来检验证书的有效性。然后利用证书就可以验证电子签名和进行数据加密?br />

真累啊,理解并且变成程序还要好长时间。下面终于就可以开始最重要的部份了。首先是X509,然后还有失效关联问题。明天继续,剩下的一点时间看看小说去了,强推 起点的随波逐流一代军??同好有么?br />不愿意只呆在程序的世界,我的梦想有好多。不过真的工作起来我就忘了一切,也许有时候会想自己为了什么了,对于钱我也没有那么多的欲望。对于一个不是老板的人来说,我的年龄拿到我的钱我也满意了。可能只是想证明自己吧,每当我爬上一个高度,就发现前面还有目标,还有比我高的。不停的追逐也是是我人生的乐趣吧。认识很多人,尤其是这一行的,国人,日本人,美国人,德国人,英国人,真的是每个人有每个人的幸福,每个人也有每个人的人生。也许不必非要去理解吧,和朋友最近。。。也许很多时候是我要求太高了吧。或许人生也就是加密解密一样,有些人眼里神秘,有些人熟悉,有些人专注于,而有些人只是游戏把?/font>



posted on 2006-03-21 21:08 Yama的家 阅读(16) 评论(0)  编辑 收藏 收藏?65Key 所属分? 网络安全,security
¡
  • GRAPPLE(Guidelines for Rapid APPLication Engineering)Ӧùָԭ
  • [J2ME Q&A]Target port denied to untrusted applicationsӦ
  • TomcatJSPServletJavaBean
  • Tomcat5.5.9İװ
  • cloudscape,rollerװ,ԼһЩϲС
  • ֶcallhibernateвѯ
  • PKI 3 ȫϣ
  • PKI 4 ǩ
  • DTOģʽSessionFacadeģʽӦ(һ)
  • PKI 1 Ҫ
    • ¡
  • OOBsocket
  • ϰҽƷѸ ջ˲Ը
  • MySQLѧϰ
  • 񻰡ħʿȫԲƪ
  • Win32 API (һ)
  • ʵִû֤ļWeb Service(2)
  • SuSE Linux 10.1򵥵ĹWindows
  • Oracle 9i ݿƶ
  • ߽뼼չǰߴ
  • SM240¶ʼ
    • ۡ
    û
    ۡ

    ʼ
    *
    *
          
    |   ҳ  |  Ȩ  |  ϵ   |  վͼ  |
    CopyRight © 2004-2007 Ѷ All Rigths Reserved.