直接上脑图:
1.什么是PKI?
PKI是在公开密钥加密技术基础上形成和发展起来的提供安全服务的通用性基础平台,用户可以利用PKI基础平台所提供的安全服务,在网上实现安全的通信。
也有人将PKI定义为:
它是创建、颁发、管理和撤销公钥证书所涉及的所有软件、硬件系统,以及所涉及的整个过程安全策略规范、法律法规和人员的集合。其中证书是PKI的核心元素,CA是PKI的核心执行者。
2.使用基于PKI基础平台的用户建立安全通信相互信任的基础:
- 公钥的基础之上的,公钥是可以对外公开的
- 与公钥成对的私钥,必须自己严密保管
- 这个信任的基础是通过公钥证书的使用来实现的
公钥证书就是一个用户在网上的身份证明,是用户身份与他所持有公钥的绑定结合,公钥证书由一个可信任的认证机构CA来审查和签发后生效。
3.PKI的组成
(1)认证机构CA(Certificate Authority)。
- CA由以下3部分组成:
- 第一级是根CA,负责总政策。
- 第二级是政策CA,负责制定具体认证策略。
- 第三级为操作CA(OCA),是证书签发和发布机构。
- 功能:
- 验证并标识证书申请者的身份;
- 确保CA用于签名证书的非对称密钥的质量和安全性(私钥大于1024bit);
- 对证书信息资料的管理,确保证书主体标识的唯一性;
- 在证书使用中确定并检查证书的有效期;
- 发布和维护作废证书列表(CRL);
- 对已签发证书的使用全过程进行监视跟踪,作全程日志记录,以备发生交易争端时,提供公正依据,参与仲裁。
- 为实现其功能,主要组成部分
- 注册服务器:通过Web Server建立的站点,可为客户提供网上提出证书申请和填写相应的证书申请表。
- 证书申请受理和审核机构:负责客户证书的申请和审核。
- 认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
(2)证书和证书库
- 证书
- 主要内容按X.509标准规定其逻辑表达式为:
CA《A》= CA﹛V,SN,AI,CA,UCA,A,UA,AP,TA﹜- 目前我国已建成的第三方认证机构
中国电信CA安全认证体系(CTCA)
上海电子商务CA认证中心(SHECA)
中国金融认证中心(CFCA) - 在PKI体系中,获得证书的方式
发送者发送签名信息时,附加发送自己的证书
单独发送证书信息的通道
可从访问发布证书的目录服务器获得
可从证书的相关实体(如RA)处获得 - 用户产生、验证和分发密钥的方式
用户自己产生密钥对。
CA为用户产生密钥对
- 证书库
- 由于证书的不可伪造性,因此,可以在数据库中公布,而无须其他的安全措施来保护这些证书。
- 供广大公众开放式查询的目的
想得到与之通信实体的公钥
验证通信对方的证书是否已进入“黑名单”
(3)证书撤销
认证机构CA通过签发证书来为用户的身份和公钥进行捆绑,但因种种原因,还必须存在一种机制来撤销这种捆绑关系,将现行的证书撤销。
- 撤销延迟
两次证书撤销信息之间的间隔 - 证书撤销的实现方法
- 利用周期性的发布机制
- 在线查询机制
(4)密钥备份和恢复
(5)密钥和证书的更新
一个证书的有效期是有限的
(6)证书历史档案
旧证书和相应的私钥组成了用户密钥和证书的历史档案。
(7)交叉认证
(8)不可否认性
如甲签发了某份文件,若干时间后,他不能否认他对该文件进行了数字签名
(9)时间戳
是一个可信的时间权威用一段可认证的完整数据表示的时间戳(以格林尼治时间为标准的32bit值)
(10)客户端软件
(11)证书运作声明
也称证书运作规范,它是PKI不可缺少的安全策略组成部分
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
