APP开发安全系统之密钥 PKI的主要组件详解。
APP开发公司在处理项目信息安全时,将组成PKI的两个基本元素分别是公钥密码和公钥证书管理。对于公钥密码而言,要想利用给定的公钥计算出私钥是无法实现的。因此,公钥可以公开发布。APP项目开发公钥密码系统的优势在于发送方能够利用接收方的公钥对消息进行加密,之后发送给接收方。同时,在不同的应用环境中,公私密钥对的功能是不同的,如加密与解密以及签名与签名的验证。
起初,公钥密码系统被认为是较为理想的密码系统,主要原因是不需要利用安全信道传送密钥,从而避免了密钥泄露的风险。但可能存在的一种情景是,黑客可能会冒充发送方A向接收方B发送公钥e',而接收方会误以为这就是发送方的公钥e。之后,黑客会对A发送给B的数据流进行监听,并且使用自己的私钥d'解密获取原始消息,再用B的公钥e进行加密,发送给B。上述情景表明,对公钥的数据源进行认证是非常必要的,可以利用公钥证书管理的方式实现。
数字证书能够唯一地将用户与用户的公钥相绑定,最简单的实现手段是通过外部实体,将用户的基本信息和公钥打包,再使用外部实体的私钥进行签名。这里的外部实体是指可信的第三方,例如证书机构,用户的基本信息包括用户名、所在的公司名、E-mail地址、发布者证书的相关信息、发布日期和过期日期等。在对证书签名验证成功的情况下,证书上的公钥便可正常使用了。
用户在接收到由A签名的消息后,可认为这条消息的发送者就是A,但黑客可能利用此点发起重放攻击。例如,某人发消息给银行,内容是支付10元给A,试想A窃听到这条消息,则A可以向银行多次发送,形成重放攻击。消除该攻击方式的解决方法是,加入发送时间、序号ID或者其他唯一标识于签名消息中。对于TLS/SSL协议而言,通过在消息中加入ID号,即可防止重放攻击。
APP开发关于密钥系统的PKI的主要技术组件和功能
PKI安全体系对外公开,提供了一系列对外接口和安全标准。PKI技术中包含下述实体功能的软/硬件的集合:终端实体(EE)、注册机构(RA)、证书机构(CA)、PKI目录。PKI主要的技术组件和操作流程如图3-6所示。
以下列出了PKI的主要技术组件,不同技术组件之间能够进行互操作。
1.终端实体应用程序
提供给终端用户使用的软件,具体功能介绍如下。
①生成并存储公私钥对,供用户使用;
②能够进行数字签名,并提交数字证书应用程序;
③申请更新数字证书;
④申请撤销数字证书;
⑤查找、检索数字证书,并撤销相关信息;
⑥对数字证书的有效性进行验证,并读取证书的内容;
⑦生成数字签名,并对其合法性、有效性进行验证。
2.APP开发关于密钥注册机构
完全与终端实体和CA相兼容,并且支持相似的基本功能。例如,密钥的生成、存储与访问,对数字签名和数字证书进行处理。一个注册机构一般能够为PKI中的多个CA及终端实体提供服务。注册机构的主要作用是支持用户的特定需求。
①用户注册:利用用户注册,能够找出PKI的潜在参与者。注册机构在一特定的DB中生成用户对象,而用户对象中含有诸多用户属性,这些属性均在注册策略中定义,如用户名字、题目、E-mail地址等内容。
②对用户进行认证:利用此过程,注册机构第一次对证书应用(主体)的身份进行认证,同时,确定特定的公钥(需要验证的公钥)属于此应用。
③同意终端用户的请求:针对终端用户的请求,注册机构可以做出同意与否的决定。例如,终端用户第一次申请数字证书,或者针对已过期的证书申请更新。
④证书撤销:注册机构能够命令CA撤销用户的数字证书。同时,根据PKI的撤销策略,撤销理由可以选择提供或者不提供。
3.APP开发关于证书机构
一般由CA管理员安装、配置、启动后,便能够自动运行。CA犹如一个绝对可信的签名发动机,主要负责签发、管理数字证书,并且能够撤销用户提交的请求。因此,CA在以PKI业务规则为基础的执行中,扮演着非常关键的角色。总的来说,CA主要具备下述功能。
①密钥认证:CA签发用户的公钥,并且发布与公钥相绑定的数字证书。
②证书更新:在用户证书过期时,发布新的数字证书。
③证书撤销:将用户的数字证书添加至撤销列表中。
④证书公布:将用户的数字证书放入PKI目录,用户在该目录中能够查找并检索数字证书。
⑤撤销列表维护:对撤销列表进行实时维护,使得撤销列表与当前的PKI目录保持一致。
⑥撤销列表公布:将撤销列表放入PKI目录中,用户在该目录中能够查找和检索证书。好了,
深圳APP开发公司本文关于“ APP开发安全系统之密钥 PKI的主要组件详解”知识就分享到这里,谢谢关注,博纳网络编辑整理。
