公鑰分發

解決什麼問題？

　　公鑰分發是爲了解決公鑰僞造的問題。雖然每一個用戶的公鑰是公開的，可是任何人均可以僞造其餘用戶的公鑰並廣播或者傳給特定用戶。

解決方案

　　公開可訪問的目錄

　　　　由可信實體維護和分配公開目錄，目錄項記錄着每一個通訊方的身份和公鑰。每一個通訊方必須經過安全的認證通訊註冊或更換本身的公鑰以及訪問其餘用戶的公鑰。

　　

　　　　缺陷：因爲公鑰目錄徹底公開，攻擊者能夠入侵目錄管理者修改目錄或者扮演目錄管理者。

　　

　　公鑰受權

　　　　公鑰受權是在公開目錄基礎上作了改進，管理員生成一對公私鑰對，用私鑰加密目錄，再引進一系列驗證來完成用戶公鑰的可靠傳遞，攻擊者若沒有私鑰沒法修改目錄。

　　

　　T是時間戳，N是臨時交互號。

 

　　公鑰證書

　　　　上面兩種方法的都依賴於目錄管理員，每次會話都須要訪問目錄管理員，所以目錄管理員就會成爲系統的瓶頸。

　　　　公鑰證書進一步作了改進，經過引進第三方的數字簽名生成公鑰證書交由通訊方自行管理，一次簽證重複使用，解決了第三方通訊瓶頸的問題。

　　

　　

 

　　目前普遍用於規範公鑰證書的標準是X.509標準。

　　X.509認證服務

　　

　　　　該標準採用以下標註定義證書：

　　　　　　CA《A》 = CA{V , SN , AI , CA , UCA , A , UA , Ap , T^A}

　　　　　　　　Y《X》b表示用戶X的證書是簽證機構Y發放的

　　　　　　　　Y{I}表示Y簽名I，包含I和I被加密後的Hash值

　　　　　　　　SN表示證書的序列號

　　　　　　　　AI表示用於給證書籤名的算法的標誌

　　　　　　　　CA表示簽署證書機構的名稱

　　　　　　　　UCA表示CA的可選擇的惟一標誌

　　　　　　　　A表示用戶A的名稱

　　　　　　　　UA表示A的可選擇的惟一標誌

　　　　　　　　Ap表示用戶A的公鑰

　　　　　　　　T^A表示證書的有效週期

　　　　　　CA用本身的私鑰簽署證書，若是用戶知道相應的公鑰就能驗證證書是CA簽署的。

 

　　　　若是A、B的公鑰證書由不一樣的CA簽證，則可經過不一樣CA之間的相互簽證來獲取彼此的公鑰，推薦採用層次結構放置CA證書，以利於創建強大的導航功能。

　　　　　　每一個CA目錄入口中包含兩種證書：前向證書和後向證書

　　　　　　

　　　　這個圖有點問題，每一個節點應該是存本身簽證的證書和本身被其餘CA簽證的證書

 

　　公共基礎設施PKI    　　　　Public Key Infrastruction

　　PKI 系統是由硬件、軟件、人、策略和程序構成的一整套體系，用以建立、管理、存儲、分發和撤銷創建在非對稱密碼算法之上的數字證書。

　　　　PXIX模型是在X.509標準基礎上創建的認證體系的基本模型