PKI公钥处理思路
2016-03-21 20:40
260 查看
背景:
在使用任何基于RSA服务之前,一个实体要真实可靠的获取其他实体的公钥.
1,一个可以确认公钥身份的方案:[离线确认]
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203933573-220108296.png)
主:B做同样的事情得到A的公钥. 但是这种方法扩展性差,不可行.
2,通过第三方介绍
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203936229-1212439261.png)
操作步骤:
1,AB,BC之间分别离线确认完密彼此公钥
2,B将[C-pub&sign]发给A[B对C-pub的sign]
3,A有B的公钥,由于A已经信任了B. A用B的公钥解密出md5,A对C-pub进行md5.核实对比.
注:有了彼此的公钥就可以信任彼此了.
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203938401-617607847.png)
PKI操作:
1,仅有一个受信任的介绍者
2,CA签署每个人的公钥
3,每个人都有CA的公钥.
1, 每个实体都要获取CA的公钥(认证CA的过程)
2. 每个实体都要提交自己的公钥给CA(注册到PKI)
3. 这个初始步骤,必须手动认证或通过一个可信赖的传输网络来执行
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203940479-1548647082.png)
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203942604-1929710347.png)
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203944776-1306624203.png)
交换证书其实就是交换公钥.
数字证书仅仅解决了"这个公钥持有者到底是谁"的问题.
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203947651-1713901565.png)
获取CA公钥[离线确认]
生成密钥对,发公钥+个人信息给CA
CA用私钥签名产生[公钥+个人信息+sign]发给用户
两个服务器开始通信,如上图.
在使用任何基于RSA服务之前,一个实体要真实可靠的获取其他实体的公钥.
1,一个可以确认公钥身份的方案:[离线确认]
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203933573-220108296.png)
主:B做同样的事情得到A的公钥. 但是这种方法扩展性差,不可行.
2,通过第三方介绍
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203936229-1212439261.png)
操作步骤:
1,AB,BC之间分别离线确认完密彼此公钥
2,B将[C-pub&sign]发给A[B对C-pub的sign]
3,A有B的公钥,由于A已经信任了B. A用B的公钥解密出md5,A对C-pub进行md5.核实对比.
注:有了彼此的公钥就可以信任彼此了.
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203938401-617607847.png)
PKI操作:
1,仅有一个受信任的介绍者
2,CA签署每个人的公钥
3,每个人都有CA的公钥.
1, 每个实体都要获取CA的公钥(认证CA的过程)
2. 每个实体都要提交自己的公钥给CA(注册到PKI)
3. 这个初始步骤,必须手动认证或通过一个可信赖的传输网络来执行
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203940479-1548647082.png)
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203942604-1929710347.png)
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203944776-1306624203.png)
交换证书其实就是交换公钥.
数字证书仅仅解决了"这个公钥持有者到底是谁"的问题.
![](http://images2015.cnblogs.com/blog/806469/201603/806469-20160321203947651-1713901565.png)
获取CA公钥[离线确认]
生成密钥对,发公钥+个人信息给CA
CA用私钥签名产生[公钥+个人信息+sign]发给用户
两个服务器开始通信,如上图.
相关文章推荐
- SDRAM和dcfifo的联合
- 被问概率达99%的面试问题
- 作业2的回答
- IOS-Alcatraz(插件管理工具)
- java语言程序设计第十版(Introduce to java 10th) 课后习题 chapter6-28
- 桌面点击:右键-显示设置,提示"该文件没有与之关联的程序来执行该操作"
- 卸载centos自带的jdk并安装新的
- HDU 1217 Arbitrage
- D—GCD (HDU 2588)
- VS2013安装及测试
- 通过匹配绑定select option的文本值 模糊匹配
- Nyoj 星际之门(一)(Cayley定理)
- IOS-数据缓存
- hrbust 1935 哈理工oj 1935 PROBLEM-FIVE【贪心】
- Java核心知识点-Java编译原理
- 数据挖掘学习
- 《构建之法》——1~3章
- 异步dcfifo的读写
- 作业周转时间以及平均等待时间
- Unity3D 内存优化(一)对象池