ca中心

加密算法 1、加密的两种方法： 　　对称（私钥）密码体制 　　非对称（公钥）密码体制 2、对称密码体制 　　加密密钥与解密密钥相同 　　保密强度高，但密钥管理难且可抵赖 　　从加密模式来看，分为两类： 　　a、序列密码 　　有限状态机产生伪随机序列——>使用该序列逐比特加密信息流 　　b、分组密码 　　明文按照固定长度分组——>用固定长度密钥单独加密每个分组 　　分组算法：DES、3DES、IDEA、IDEA、Skip-jack、Safer-64、LOK189、Shark 3、非对称加密体制 　　加密密钥（公开密钥）与解密密钥（专用密钥）不同 　　基本过程：A生成一对密钥——>公开其中的公开密钥PK——>C使用PK加密并将密文发送给A——>A用其中的专用密钥ZK解密 　　非对称密码体制中的每个用户都有一对选定的密钥 　　非对称密码体制，密钥管理简单，不可抵赖，但所需密钥长度较长，处理速度较慢 WPKI 　　 1、PKI：公钥基础设施 　　PKI系统：提供公钥加密和数字签名的系统 　　数字证书组成：用户身份，用户公钥，认证中心的数字签名 2、PKI系统的组成：认证中心CA、注册中心RA、证书库、客户端软件 　　a、认证中心 　　验证用户身份——>对含有用户身份与公钥的数据结构数字签名，捆绑用户身份和密钥——>生成公钥证书 　　根证书：直接被用户终端信任的CA 　

20189221 2018-2019-2 《密码与安全新技术专题》第五周作业 课程：《密码与安全新技术专题》 班级： 201892 姓名： 郭开世 学号：20189221 上课教师：谢四江 上课日期：2019年4月23日 必修/选修： 选修 1.本次讲座的学习总结 讲座主题：区块链技术 比特币 比特币（BitCoin）是一种由开源的P2P软件产生的电子币，数字币，是一种网络虚拟资产。比特币也被意为“比特金”。比特币基于一套密码编码、通过复杂算法产生，这一规则不受任何个人或组织干扰，去中心化；任何人都可以下载并运行比特币客户端而参与制造比特币；比特币利用电子签名的方式来实现流通，通过P2P分布式网络来核查重复消费。每一块比特币的产生、消费都会通过P2P分布式网络记录并告知全网，不存在伪造的可能。 比特币的特点： ​ 1.数字货币 ​ 2.不依托于任何国家或组织而利用计算机技术独立发行。 ​ 3.通过P2P分布式技术实现，无中心点。 ​ 4.所有人均可自由的参与。 ​ 5.总量有限，不可再生。 ​ 6.本身机制开源，可以被山寨。 面临的一些疑问： ​ 1.较大的政策风险，国家组织是否会承认？ ​ 目前德国是唯一承认比特币具有合法货币地位的国家。 ​ 中国明令禁止 ​ 2.安全性如何得到保证，被盗了谁来给你找回？ ​ 11年MyBitcion遭遇黑客攻击，7.8万比特币至今下落不明。 ​

PKI（Public Key Infrastucture）介绍 根据Wikipedia PKI词条整理。 PKI（Public Key Infrastucture）是一系列的规则、策略以及过程，可以用来创建、管理、分发、使用、存储、移除数字证书以及管理公钥加密。PKI是用来实现信息的安全传输，在包括电子贸易、网上银行、保密电邮等网络活动中。在一些活动中，简单的密码验证已经不再适用，需要更加严格的验证来确认信息交互参与者的身份并验证正在传输的信息。 在密码学中，PKI是一种将实体的标识（identity）与公钥绑定在一起的组织结构。这种绑定是通过 Certificate Authority(CA)注册和颁发证书的过程建立的。根据绑定的保证级别，这可以通过自动化过程或在人工监督下进行。 PKI中实现有效正确的注册的角色称之为Registration Authority（RA），RA负责接受对数字证书的请求，并对发出请求的实体进行身份验证。 一个实体必须根据该实体的信息在每个CA域中惟一地标识。第三方验证机构(VA)可以代表CA提供此实体信息。 公钥加密技术可以在不可靠的公共网络中实现安全通讯，并通过数字签名技术来验证实体的身份。PKI是这样一个系统，用来创建、存储、分发数字签名，这些数字签名用来验证一个特定的公钥属于某个特定实体。PKI创建数字签名，这些数字签名将公钥map到实体上

1.概念 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。数字证书是一种权威性的电子文档，可以由权威公正的第三方机构，即CA（例如中国各地方的CA公司）中心签发的证书，也可以由企业级CA系统进行签发。 一般证书分有三类，根证书、服务器证书和客户端证书。根证书，是生成服务器证书和客户端证书的基础，是信任的源头，也可以叫自签发证书，即CA证书。服务器证书，由根证书签发，配置在服务器上的证书。客户端证书，由根证书签发，配置在服务器上，并发送给客户，让客户安装在浏览器里的证书。 接下来，认识了证书的基本概念之后，我们来认识下这几个概念，公钥/私钥/签名/验证签名/加密/解密/对称加密/非对称加密。 我们一般的加密是用一个密码加密文件,然后解密也用同样的密码。这很好理解，这个是对称加密。而有些加密时，加密用的一个密码，而解密用另外一组密码，这个叫非对称加密，意思就是加密解密的密码不一样。其实这是数学上的一个素数积求因子的原理应用，其结果就是用这一组密钥中的一个来加密数据，用另一个来解密，或许有人已经想到了，没错这就是所谓的公钥和私钥。公钥和私钥都可以用来加密数据，而他们的区别是，公钥是密钥对中公开的部分，私钥则是非公开的部分。公钥加密数据

什么是证书？ 　　它是用来证明某某东西确实是某某东西的东西。通俗地说，证书就好比公章。通过公章，可以证明相关文件确实是对应的公司发出的。 　　理论上，人人都可以找个证书工具，自己做一个证书。 什么是CA？ 　　CA全称Certificate Authority，也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书？ 　　CA证书，就是CA颁发的证书。 　　前面说了，人人都可以找工具制作证书。但是制作出来的证书是没用的，因为不具备权威性。 证书的签发过程 a.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证 b.CA 通过线上、线下等多种手段验证申请者提供信息的真实性，如组织是否存在、企业是否合法，是否拥有域名的所有权等 c.如信息审核通过，CA 会向申请者签发认证文件-证书。 证书包含以下信息：申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文，同时包含一个签名 签名的产生算法：首先，使用散列函数计算公开的明文信息的信息摘要，然后，采用 CA 的私钥对信息摘要进行加密，密文即签名 d.客户端 C 向服务器 S 发出请求时，S 返回证书文件 e.客户端 C 读取证书中的相关的明文信息，采用相同的散列函数计算得到信息摘要，然后，利用对应 CA 的公钥解密签名数据，对比证书的信息摘要

什么是证书？ 　　它是用来证明某某东西确实是某某东西的东西。通俗地说，证书就好比公章。通过公章，可以证明相关文件确实是对应的公司发出的。 　　理论上，人人都可以找个证书工具，自己做一个证书。 什么是CA？ 　　CA全称Certificate Authority，也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。 什么是CA证书？ 　　CA证书，就是CA颁发的证书。 　　前面说了，人人都可以找工具制作证书。但是制作出来的证书是没用的，因为不具备权威性。 证书的签发过程 a.服务方 S 向第三方机构CA提交公钥、组织信息、个人信息(域名)等信息并申请认证 b.CA 通过线上、线下等多种手段验证申请者提供信息的真实性，如组织是否存在、企业是否合法，是否拥有域名的所有权等 c.如信息审核通过，CA 会向申请者签发认证文件-证书。 证书包含以下信息：申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文，同时包含一个签名 签名的产生算法：首先，使用散列函数计算公开的明文信息的信息摘要，然后，采用 CA 的私钥对信息摘要进行加密，密文即签名 d.客户端 C 向服务器 S 发出请求时，S 返回证书文件 e.客户端 C 读取证书中的相关的明文信息，采用相同的散列函数计算得到信息摘要，然后，利用对应 CA 的公钥解密签名数据，对比证书的信息摘要

先来扫盲 CA证书 https://coding.net/u/aminglinux/p/nginx/git/blob/master/ssl/ca.md 先来一个例子 A公司的小华被派到B公司办事情。B公司如何信任小华是A公司派来的呢？ 普通介绍信 为了让B公司信任小华，A公司特意给小华开了一封介绍信，在信件中详细说明了小华的特征以及小华过来的目的， 并且声明这个小华确实是A公司派来的，除此之外还要有一个A公司的公章。 这样B公司前台姐拿到介绍信后，通过信件内容和A公司公章就能判断出小华确实是A公司派来的员工。 那万一A公司公章是假的呢？毕竟公章伪造太容易了，这样岂不是会存在问题。咱们就暂且认为公章这种东西很难伪造， 否则故事无法继续喽。 引入第三方中介公司 好，回到刚才的话题。如果和B公司有业务往来的公司很多，每个公司的公章都不同，那B公司的前台姐就要懂得分辨各种公章， 非常滴麻烦。所以，有某个中介公司C，发现了这个商机。C公司专门开设了一项“代理公章”的业务。 　　 于是今后，A公司的业务员去B公司，需要带2个介绍信： 介绍信1（含有C公司的公章及A公司的公章。并且特地注明：C公司信任A公司。） 介绍信2（仅含有A公司的公章，然后写上：兹有xxx先生/女士前往贵公司办理业务，请给予接洽......。） 这样不是增加麻烦了吗？有啥好处呢？ 主要的好处在于，对于接待公司的前台

一直以来对公钥和私钥都理解得不是很透彻，感觉到模棱两可。今天在网上找了半天，通过查看对这个密钥对的理解，总算弄清楚了。 公钥和私钥就是俗称的不对称加密方式，是从以前的对称加密（使用用户名与密码）方式的提高。 用电子邮件的方式说明一下原理。 使用公钥与私钥的目的就是实现安全的电子邮件，必须实现如下目的： 1. 我发送给你的内容必须加密，在邮件的传输过程中不能被别人看到。 2. 必须保证是我发送的邮件，不是别人冒充我的。 要达到这样的目标必须发送邮件的 两人都有公钥和私钥 。 公钥，就是给大家用的，你可以通过电子邮件发布，可以通过网站让别人下载，公钥其实是用来加密/验章用的。私钥，就是自己的，必须非常小心保存，最好加上 密码，私钥是用来解密/签章，首先就Key的所有权来说，私钥只有个人拥有。 公钥与私钥的作用是：用公钥加密的内容只能用私钥解密，用私钥加密的内容只能 用公钥解密。 比如说，我要给你发送一个加密的邮件。首先，我必须拥有你的公钥，你也必须拥有我的公钥。 首先，我用你的公钥给这个邮件加密，这样就保证这个邮件不被别人看到，而且保证这个邮件在传送过程中没有被修改。你收到邮件后，用 你的私钥就可以解密 ，就能看到内容。 其次我用我的私钥给这个邮件加密，发送到你手里后，你可以用我的公钥解密。因为私钥只有我手里有，这样就保证了这个邮件是我发送的。 当A->B资料时，A会使用 B的公钥加密

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socketlayer(SSL),SSL安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。 SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“https://www.baidu.com”。 什么是x509证书链 x509证书一般会用到三类文件，key，csr，crt。 Key是私用密钥，openssl格式，通常是rsa算法。 csr是证书请求文件，用于申请证书。在制作csr文件的时候，必须使用自己的私钥来签署申请，还可以设定一个密钥。 crt是CA认证后的证书文件（windows下面的csr，其实是crt），签署人用自己的key给你签署的凭证。 概念 首先要有一个CA根证书，然后用CA根证书来签发用户证书。 用户进行证书申请

http://blog.itpub.net/28624388/viewspace-2152064/ 一：前言 SSL： Secure Sockets Layer,标准化后叫"TLS",http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议。 消息-->[公钥]-->加密后的信息-->[私钥]-->消息 CA ： certificate authority 认证证书的第三方机构。 X.509 ： 证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准. PEM ： Privacy Enhanced Mail，同样的X.509证书,可能有不同的编码格式,pem是其中的一种编码格式。该种格式以“------BEGIN------”开头，以“------END------”结尾，中间内容是BASE64编码。 CSR ： Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请 CRT / CER ：certificate 证书。 PKI ： public key infrastructure公钥基础设施。使用内部托管的认证中心（CA