佇這个祕密的通道內底,咱會使另外約定一个較簡單ê加密方法,按呢咱就會使用安全閣方便的方法得著後擺欲加密ê時所使用的鎖匙。
但是,會拄著一个的問題。一開始,欲按怎共家己的 public key 送出去咧? 咱欲按怎予人相信這个 public key 真正是我ê咧?
佇 DOCSIS 1.0 ê 時陣,若是想欲走 BPI,modem 直接共伊 ê public key 傳予 CMTS。CMTS 干焦簡單檢查 modem 送過來ê資料(mac ...),
就開始走 BPI 矣。無法度知影這个 modem 是毋是予人偷改過。因為咱知影欲做一組 RSA key 真簡單,openssl ê 命令拍拍咧就有矣。
用這種簡單ê方式,掠袂著予人偷改過 ê modem。所以,對 DOCSIS1.1 開始,就開始有 certificate,BPI 嘛升級變做 BPI+。
咱一般講 (digital) certificate 就是 public key certificate,看這个名就量約仔臆(ioh)會出來,這就是 public key ê 證書。
參咱一般ê證書仝款,內容會寫這是啥物人ê證書,是啥物用途,證書是啥人發行兮,有發行機關抑是証人ê簽名、頓印仔。
Digital certificate 嘛是仝款ê概念。上基本兮,會紀錄 public key (其實 public key 就是兩个數字),public key 所有人ê資訊,
頒發証書ê機關ê資訊。閣來,上重要ê就是簽名(Digital Signature),頒發証書ê機關會用伊ê private key 共遮ê資訊做一个簽名佮佇
certificate 內底。咱若是收著 certificate,欲檢查就是愛用這个發行機關ê public key,來檢查。
但是,咱欲按怎知影這个發行機關ê public key 是會用得信認ê咧? 仝款,伊嘛是共伊 ê certificate 送出去予人檢查。總--是,逐張
certificate 攏有一个頂面ê機關共簽名做証。按呢,咱到底愛相信啥mi̍h人咧?
愛相信上頂懸ê彼張。
上頂懸ê彼張 certificate 是用家己ê private key 共家己簽名ê,因為已經無其他ê人會使共這張 certificate 簽名,所以咱干焦會使
相信這張 certificate,咱愛揣其他ê方式來學著這張 certificate。
頂面講著ê頒發証書ê機關,號做 Certificate Authority(CA),伊ê certificate 就是 CA Certificate,上頂懸彼个嘛是 CA,
因為伊是規捾(kuann) certificate 的根,親像是這捾 certificate ê 開基祖,所以伊號做 root CA,伊彼張家己頒發予家己 ê
証書就是 root certificate。
咱需要用 root certificate 檢查規捾 ê certificate,所以,愛揣一个方法來學著這个 certificate,佇 cable modem
這个領域,是設備生產ê時陣就已經安裝入去矣。
遮簡單介紹 BPI+ 是按怎使用 certificate。
首先,先介紹佮 BPI+ 有關係ê certificates。
CableLabs 訂ê device certificate有兩種型式
第一種是分散ê,就是 root CA 會頒發證書予逐間製造 modem ê 廠商。逐个廠商才閣用 in ê CA certificate 做證書
予 in 家己 ê modem。
第二種是集中式的ê結構,這馬 CableLabs 已經無欲閣頒發證書予廠商,全部搝(giú)倒轉來家己做。伊先用 root certificate
簽一張 CableLabs Mfg CA Certificate,才閣用這張 certificate 去做各家廠商ê device certificate。
了解這捾 certificate ê 結構了後,閣去看 BPI+ ê 程序,咱就會使了解 CM 佮 CMTS 兩个 ê 交通是按怎使用 certificate。
CM 佮 CMTS 需要用啥mi̍h certificate。
CM 欲走 BPI+ 所用ê是 BASELINE PRIVACY KEY MANAGEMENT (BPKM) 這个協定。這个協定攏總有4步,這篇是欲介紹
certificate。所以,先討論第一步就好。
CM 欲走 BPI+ ê 時陣,會先送出 Auth Info (Authentication Information) 佮 Auth Req (Authorization Request),這是 CM
送出要求,想欲討著加密ê服務。所以,應該真好理解,就是 CMTS 愛檢查 CM ê 身份。若了解這組證書ê用途佮CM 要求服務
這个動作,就會感覺規个行為攏是真自然ê代誌,無需要用背ê。
Auth Info 內底就是 Manufacturer CA 抑是 CableLabs Mfg CA certificate,Auth Req 內底除了基本ê資訊以外,閣有 public key,
佮上重要ê device certificate。 BPI+ 就是比 BPI 加這 2 張 certificate。CMTS 收著 CM ê 要求了後,就愛檢查 CM ê certificate
敢有正確,按怎檢查? 檢查 certificate ê 簽名,用 CA certificate 內底 ê public key 檢查 device certificate, 用 root certificate
內底 ê public key 檢查 CA certificate。Root certificate 佇佗位? 咱一開始就愛共裝入去 CMTS 內底,按呢,伊才有法度檢查。
對頂面所講ê,咱就知影欲走 BPI+,就是佇 CM 內底裝 CA certificate 佮 device certificate,佇 CMTS 內底裝 root certificate。
按呢 in 兩个就有法度交通矣。
但是,CM 內底除了這兩張證書以外,閣有裝 root public key,這有其他ê用途(secure sw download)。只不過安裝ê時陣
攏做一擺共裝入去。所以,若是走 BPI+ 抑是 secure sw download 出問題ê 時陣,定定有人分袂清楚,毋知愛對佗位掠蟲。
有人講伊真容易袂記,我想,應該是對公用鎖匙加密ê概念無夠清楚。若是會使接受這个概念,共這个概念用佇 certificate。
紲落去應該真好理解才著。
沒有留言:
張貼留言