车联网安全 -- 数字证书到底证实白什么?
在车联网安全--TLS握手过程详解里面,我们相识到握手时,Server会向Client发送Server Certificate,用于证实本身的身份合法,为什么会有这一步呢?我们回顾一下数字签名的过程:
https://i-blog.csdnimg.cn/direct/aa33b4e61b1c4012a123f1cdc19f1895.png
Bob将使用本身的公钥对“Hello Alice”的Hash值举行加密,那么相应就只能由Bob的公钥举行解密,并比对签名;
但假如在某种极端环境下(这是前提),Alice收到的Bob PublicKey被黑客窜改了,那么Bob与Alice的通信就会酿成黑客与Alice的通信,而且Alice还难以察觉。
那么Bob为了证实 Bob PublicKey就是本身的,就必要通过数字证书来证实。
还是以身份证为例,身份证可以用于证实我就是我,前提条件就是该证是由国家权威机构举行颁发;那么同样原理,数字证书在网络世界被看成身份证,前提也是有第三方权威机构举行颁发,这个机构就叫做Certificate Authority(CA)机构。
CA机构一般是得到工信部《电子认证服务许可证》的机构,作为独立第三方权威机构提供电子认证服务,包罗数字证书申请、签发、更新、撤销、查询及签名验签等服务。
那么怎样申请数字证书呢?
根据中国电子银行网《六问六答,什么是数字证书?》讲到,可以通过线下或线上两种方式申请数字证书。携带个人有效身份证件(例如身份证、护照等),前去CA机构或者CA机构授权的注册机构现场办理数字证书。根据实际业务环境填写相关资料,并出示身份证件,便可申请数字证书。别的,CA机构为顺应业务办理线上化、数字化、便捷化的需求,也提供数字证书线上申请方式。
这里提到的注册机构就是Registration Authority,数字证书注册审批机构,紧张受理证书申请请求、验证申请人身份,从而影响CA机构对于证书的签发。
为啥又要单独分RA呢?个人理解,还是为了功能解耦,比如说公司里某某条约验收付款末了签字的是老板,但验收过程可能还是下级去实行,不然老板要累蒙。
那Bob向RA提出证书申请必要哪些信息呢?实际身份、申请目标、证书用途。RA会对收到Bob的申请后就开启身份真实性验证,假如验证乐成,就会同时告诉Bob和CA:Bob的身份没有问题,可以给他颁发证书了。
然后Bob就拿着这个答应去向CA申请证书签发,签发的信息包罗:Bob的真实信息(例如他的公钥、用户名)、证书属性(版本号、有效期、序列号等等);与此同时,CA还会为Bob单独生成一个密钥对,然后用CA私钥对上述证书举行签名,得到证书的数字签名,末了连同证书一同发给Bob。
如下图:
https://i-blog.csdnimg.cn/direct/bebf039357df40968bd6ac71d76ec322.png
我们在浏览器任意找个证书看看,基本信息如下图:
https://i-blog.csdnimg.cn/direct/6ac0cd3c720e4e0abbe8b7afb5beb88b.png
这里面包罗了发证机构上图红框、使用者的公钥、证书有效期、签名所使用Hash算法等等。
那么Bob把证书发给Alice后,Alice首先要使用CA为Bob生成的公钥(不是证书里的公钥)对证书举行验签,验签乐成,她才认为证书里的公钥确实是Bob的,那么他们就可以继承这个公钥举行下一步的密钥协商。
那么有朋友会说,假如黑客模仿CA机构在Bob和Alice握手时传递了一个假的证书,这不就出问题了吗?
确实有这个可能,但一般来说,CA的公钥一般是以根证书的形式预装的,例如上图中Root Certificate 2010,在浏览器中就是受信任的根证书颁发机构,如下:
https://i-blog.csdnimg.cn/direct/6555fbe650484b539d90efb400568b42.png
在汽车范畴里, 一般也由产线体系向V2X-CA机构申请证书,末了写入到OTP或者HSM独占NVM中,这个步调要求在绝对可信环境,所以根证书也很难被做手脚。
末了,讲到这里就不能不提PKI(公钥底子办法)技术,它应该是目前主流的车联网信息安全解决方案,旨在掩护V2X的安全通信,这里面涉及到的细节还没有完全搞明白,搞懂了再跟大家聊聊。
有兴趣的可以看看华为车联网C-V2X安全证书服务方案。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]