PKI证书认证

USBKEY介绍

usbkey的本质就是一个移动存储设备+硬件加密算法实现。自身有一定的安全性。需要登录后才能访问相应权限的文件。其权限分为 anyone（任何人都可见）、pin（需要输入pin码，才可见）、admin（只有管理员可见。）相应的admin可以看见所有信息。pin看不见admin的信息。anyone只能看见一些普通信息。所以pin码是决定账号能否访问Ukey的标志。
每一个Ukey中都有一个GUID。确保唯一。
注：对于1000系统来说，忘记管理员密码，只能返厂修理。所有管理员密码由我们设定。且不能丢失。

Usbkey做身份验证方法：

主要有2个
证书认证。可以做2个方向。1身份验证，2文件传输。为了防止证书被修改，需要对证书进行摘要比对。证书认证身份验证，只需要存储公钥。若做文件传输，需要存储私钥。换句话说。文件传输有2对密钥对。由于我们不应用加密，所以不加以说明。
冲击响应认证。也可以理解为证书认证的简要版本。只能用于身份验证。不能用于文件传输。

证书认证基础：非对称加密算法

我们平时都有一个密码对一段信息进行加密和解密。当传输通道本身不安全时，容易让你破解。
为了安全性更好，有人提出了，非对称加密。就是有密钥A加密，只能用密钥B解密。密钥A与密钥B是对等的，用一个密钥加密，就只能用另一个密钥解密。这样即使传输通道不安全，也不会被破解。
此算法基于单向散列函数（HASH函数），加密方与解密方使用同一单向散列函数。
证书认证过程：
1. 验证用户证书是否由指定部门签发的
2. 验证用户证书是否被修改。（此处相当于冲击认证的第二次认证就是对比摘要）
3. 验证用户证书是否过期
4. 验证证书是否在吊销证书列表中。
5. 用私钥对随机字符串签名（此处签名可以理解为加密。）
6. 读取证书文件，并取得公钥。
7. 用公钥认证（此处认证可以理解为解密）

证书认证本质：

1.证书认证的本质就是验证证书的合法性
2.验证对方私钥的正确性。
 

X.509证书格式：

　　X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准；因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。在一份证书中，必须证明公钥及其所有者的姓名是一致的。对X.509证书来说，认证者总是 CA或由CA指定的人，一份X.509证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。X.509标准定义了证书中应该包含哪些信息，并描述了这些信息是如何编码的(即数据格式)，所有的X.509证书包含以下数据：
 　　1、X.509版本号：指出该证书使用了哪种版本的X.509标准，版本号会影响证书中的一些特定信息。目前的版本是3。
 　　2、证书持有人的公钥：包括证书持有人的公钥、算法(指明密钥属于哪种密码系统)的标识符和其他相关的密钥参数。
 　　3、证书的序列号：由CA给予每一个证书分配的唯一的数字型编号，当证书被取消时，实际上是将此证书序列号放入由CA签发的CRL（Certificate Revocation List证书作废表，或证书黑名单表）中。这也是序列号唯一的原因。
 　　4、主题信息：证书持有人唯一的标识符(或称DN-distinguished name)这个名字在 Internet上应该是唯一的。DN由许多部分组成，看起来象这样：
 
　　CN=Bob Allen, OU=Total Network Security Division
　　O=Network Associates, Inc.
　　C=US
     这些信息指出该科目的通用名、组织单位、组织和国家或者证书持有人的姓名、服务处所等信息。
 　　5、证书的有效期：证书起始日期和时间以及终止日期和时间；指明证书在这两个时间内有效。
 　　6、认证机构：证书发布者，是签发该证书的实体唯一的CA的X.500名字。使用该证书意味着信任签发证书的实体。(注意：在某些情况下，比如根或顶级CA证书，发布者自己签发证书)
 　　7、发布者的数字签名：这是使用发布者私钥生成的签名，以确保这个证书在发放之后没有被撰改过。
8、签名算法标识符：用来指定CA签署证书时所使用的签名算法。算法标识符用来指定CA签发证书时所使用的公开密钥算法和HASH算法。