2、PorKI:通过代理证书实现便携式PKI凭证

于 2025-10-19 12:03:20 发布
阅读量10 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 公钥基础设施前沿探析 文章标签: PorKI 代理证书 PKI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nice1/article/details/154761665

PorKI:通过代理证书实现便携式PKI凭证

1. 代理证书概述

代理证书能够轻松颁发临时的、高强度的短期凭证,这些凭证与临时的短期密钥对相匹配。这种方式将用户凭证的暴露时间限制在极短的时间窗口内,即便在共享计算设备上使用也较为安全,因为证书过期后就无法在预定时间之外继续使用。不过,这种方法也存在一些弊端,例如撤销这类证书非常不便,所以有些方案会避免发布撤销信息。而且,由于有效期有限,频繁请求新证书的操作要么对用户来说比较繁琐,要么依赖非常轻量级的认证程序。目前,代理证书虽已标准化,但在特定用户群体(如网格计算)之外尚未广泛应用。

2. PorKI系统设计

假设Alice想通过一个她和远程依赖方Bob都不完全信任的客户端工作站W进行身份验证。她若使用配备PKI的USB令牌,需要工作站W有相应驱动,还可能使她的密钥面临被恶意利用的风险。而PorKI能让Alice在不暴露其身份私钥的情况下完成验证,且无需进行复杂操作,也不依赖工作站W的特殊硬件属性。

PorKI的核心思想是从移动设备(如智能手机)生成并传输临时代理凭证(代理证书和相应私钥)到工作站W(如共享实验室计算机或网吧终端)。这些新生成的凭证可通过标准协议(如SSL、TLS或DTLS)让Alice安全地向Bob进行身份验证。使用代理密钥对后,Alice的长期密钥会安全地保存在移动设备上,不会传输到共享设备W。

PorKI主要包含三个组件:
1. 移动设备应用程序
2. 管理PorKI操作的共享设备扩展
3. 支持代理证书的服务和应用程序

下面重点介绍前两个组件。

3. 智能手机应用程序

Po

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
HTTPS学习笔记:(3)一文彻底了解PKI证书
不积跬步,无以至千里;不积小流,无以成江海!
12-13 4355
1. PKI PKI(public key infrastructure)的目标是实现不同成员在不见面的情况下进行安全通信,采用的模型是基于证书颁发机构( certification authority或certificate authority, CA)签发 的证书PKI体系结构如下图所示: 订阅人:指那些需要证书来提供安全服务的团体。 登记机构:主要是完成一些证书签发的相关管理工作。可以...
HCIE-Security Day34:PKI证书
小梁的博客
04-01 1546
PKI基本架构 公共基础设施,public key infrastructure。通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。 PKI的核心围绕数字证书的申请、颁发、使用等整个生命周期展开,使用到:对称密钥加密、公钥加密、数字信封、数字签名等技术。 解决问题 1、公钥合法性 A与B进行通信,C作为攻击者存在于网络中,它有A和B的公钥,C拦击了B发送给A的B的公钥,并将自己的公钥发送给A,A获得的是C的公钥,C再拦截了B发送给A的信息,用自己的私钥对..
PKI - 04 证书授权颁发机构(CA) & 数字证书
小工匠
02-07 8688
PKI中,通常只有一个或少数几个受信任的证书颁发机构(CA),类似于一个受信任的介绍者。这些CA是负责颁发和管理数字证书的权威机构,它们被广泛信任,并负责确保数字证书的安全和可靠性。
PKI - 借助Nginx实现_客户端使用自签证书供服务端验证
小工匠
02-11 8019
自签名证书可以用于验证客户端的身份。通过客户端提供的证书,服务端可以确保连接方是合法的客户端,并且拥有该证书对应的私钥。使用自签名证书的客户端可以与服务端建立加密的通信通道。客户端的证书中包含了公钥,可以用于加密数据传输,保护数据的机密性。通过客户端的证书验证,服务端可以确保与客户端直接通信,防止中间人攻击。如果客户端提供的证书无效或不匹配,服务端会拒绝连接,从而保护通信的安全性。服务端可以根据客户端提供的证书对其进行授权访问。
PKI - 数字签名与数字证书
小工匠
01-24 9232
SSL是一种安全协议,用于在网络传输中提供数据加密、身份验证和完整性保护。它基于传输层协议(如TCP),并为其提供加密和安全功能。对称加密和非对称加密对称加密:使用相同的密钥进行加密和解密。非对称加密:使用两个密钥:公钥用于加密,私钥用于解密。数字签名:用于验证数据的完整性和身份验证。发送方使用私钥对数据签名,接收方使用公钥验证签名。数字证书:由可信第三方颁发的电子文档,其中包含有关个人或组织的身份信息以及公钥。SSL协议。
数字证书基础:PKI以及数字签名
知行合一 止于至善
12-16 2407
PKI是公钥基础设施Public Key Infrastructure的缩写,来了解一下PKI体系中中常见的概念和使用数字签名为何能够防止篡改的原理。
基于SM2算法的无证书及隐式证书公钥机制 笔记
热门推荐
云与山的彼端
05-06 2万+
本文档对GM/T 0130—2023《基于SM2 算法的无证书及隐式证书公钥机制》(征求意见稿)描述的无证书密码系统进行记录和分析。
PKI详解与openssl实现私有CA证书签发
weixin_42098322的博客
06-08 2708
参考文章:加密解密:PKI详解 加密解密技术基础 在看这篇文章之前,首先需要有加密解密的技术基础: 安全目标: 保密性:确保通信信息不被任何无关的人看到 完整性:实现通信双方的报文不丢失、数据完整性、系统完整性 可用性:通信任何一方产生的信息应当对授权实体可用 攻击类型: 威胁保密性的攻击:窃听、通信量分析 威胁完整性的攻击:更改、伪装、重放、否认 重放:攻击者能解惑双方通信的报文、并开始一遍遍发送 否认:通信双方的某一方发送的,下了订单却说没下 威胁可用性的攻击:拒绝服务(Dos) 解决方案 技术:加
PKI证书签发系统(web版)新
被世界遗弃的江的博客
09-03 1776
原来的项目进行翻新功能维护 采用新的加密算法和生成证书方式。 pki-new 新版本 一个pki证书申请,审核和证书下载安装的管理系统软件,通过调用java自带的工具,将信息存入数据库,同时也是一个学习ssh框架的好demo,系统采用Java自带的加密算法实现CA证书的签发和发布,采用mvc模式实现证书下载,安装和统一管理。 .新版本特点: (1):采用跨平台方式进行证书生成; (2):优化证书算法 (3):添加动态权限控制 (4):支持异步处理 功能介绍 系统采用java自带秘钥工具生成CA证书,通过
PKI/CA与数字证书
J.D.的博客
03-13 2万+
关于 PKI 整体框架。
【车载信息安全】基于PKI体系的非对称加密技术应用:数字证书在远程车控安全通信中的实现方案设计
08-30
最后聚焦于汽车领域的远程车控场景,阐述企业如何构建专属PKI体系,实现手机端、云端和车端Tbox的安全接入,并通过证书认证、私钥保护、会话密钥协商与数字签名等技术保障指令传输的安全性与完整性。; 适合人群:...
精选资源
django-x509:实现x509 PKI证书管理的可重用django应用
02-04
**django-x509:实现x509 PKI证书管理的可重用django应用** 在信息技术领域,安全是至关重要的。X509是一种广泛使用的数字证书标准,用于建立公钥基础设施(PKI),它提供了身份验证、数据加密和完整性检查等功能。...
PKI/CA与数字证书技术大全
12-06
2. **认证授权机构(CA)**:CA是PKI中的关键角色,负责验证并签发数字证书,确保证书持有者的身份真实可信。CA的职责包括证书的申请、审核、发放、撤销和更新。 3. **数字证书**:数字证书是一个包含公开密钥及其...
车辆类型识别数据集(4类,400张图像)
12-05
这是一个包含四种不同类型车辆的车辆图像分类数据集:汽车、卡车、公交和摩托车。该数据集旨在帮助学习者开发和评估图像分类模型,以从图像中识别各种车辆类型。
基于C++与Qt的消消乐游戏可视化系统设计与实现(附完整源码)
12-05
本资源提供一款采用C++编程语言并结合Qt图形界面框架实现的消除类益智游戏完整开发方案,包含全部可执行程序与源代码。该方案特别适用于高等院校计算机相关专业的毕业设计、课程实践或软件开发项目等教学与科研场景。项目代码结构清晰、注释详尽,且已通过系统化功能验证与稳定性测试,具备较高的可靠性与可复用性。使用者可基于现有代码框架进行功能扩展、算法优化或界面定制等二次开发,为学习面向对象程序设计、图形界面开发及游戏设计原理提供实践参考。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
基于Python的北上广深空气质量可视化分析与优良天气占比研究
最新发布
12-05
本研究针对2018年度北京、上海、广州、深圳四个主要城市的空气质量状况展开数据可视化分析。核心工作包括绘制空气质量指数(AQI)与细颗粒物(PM2.5)浓度两项关键指标的年度时间序列变化图。通过对全年监测数据的系统梳理与统计计算,进一步评估了各城市空气质量达到优良级别的天数及其在全年中的比例分布,从而对四座城市的整体空气污染状况与治理成效进行量化比较与综合研判。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
在人工智能+时代,破解信息不对称壁垒难题,科技服务合作伙伴的出路在哪里?.docx
12-05
聚焦AI+技术转移、院所成果转化与知识产权管理,以人工智能为底座的数智化科技创新平台,为提升区域科技管理与创新能力提供全面解决方案,驱动地方产业升级。
为响应国家创新驱动战略,技术转移机构如何利用AI+数智应用应对全流程服务水平?.docx
12-05
聚焦AI+技术转移、院所成果转化与知识产权管理,以人工智能为底座的数智化科技创新平台,为提升区域科技管理与创新能力提供全面解决方案,驱动地方产业升级。
离线读取三维点云文件的渲染程序_基于VTK81实现点云数据加载与可视化_用于三维点云数据的离线查看与分析_支持多种点云格式如PLY_PCD_OBJ_LAS_提供交互式渲染操作包括.zip
12-05
离线读取三维点云文件的渲染程序_基于VTK81实现点云数据加载与可视化_用于三维点云数据的离线查看与分析_支持多种点云格式如PLY_PCD_OBJ_LAS_提供交互式渲染操作包括.zip
掌握PKI技术:数字证书认证实现解析
通过源码级别的实现,可以深入理解PKI技术的工作原理,以及数字证书在其中扮演的角色。数字认证是确保网络安全的关键环节,通过了解数字证书的结构、认证过程和相关开源项目,可以更好地掌握PKI技术的应用,同时要...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值