PKI基础知识
PKI概念
所有提供公钥加密和数字签名服务的系统都可叫做PKI系统
PKI的定义
PKI是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施(基础设施的概念??)
主要功能
保密性
完整性
真实性
抗抵赖
PKI组件
1、公钥证书(由可信实体签名的电子记录,记录将公私钥对所有者的身份捆绑在一起)
2、证书撤销列表(CRL)(通常由同一个发证实体签名。当公钥的所有者丢失私钥,或者改换姓名时,需要将原有的证书作废)
3、作废的证书的序列号
4、CRL详情
5、认证机构(CA)(一个可信实体,发放和作废公钥证书,并对各作废证书列表签名)
6、注册机构(RA)(一个可选PKI实体与CA分开),不对数字证书或证书撤销列表CRL签名,而负责记录和验证部分有关信息特别是主体的身份,这些信息用于CA发发行证书和CRL以及证书管理中。
7、证书管理机构(CMA) 将CA和RA结合起来称CMA
8、证书存档库(Reposity):一个电子站点,存放证书和作废证书列表CRL,CA在用证书和作废证书
9、署名用户(Subscriber):作为主体署名证书并依据策略使用证书和相应密钥的实体
10、依赖方(Relying party):一个接收包括证书和签名信息的人或者机构,利用证书提供的公钥验证其有效性,与持证人建立保密通信,接收处于依赖的地位
11、最终用户(End User):署名用户和依赖方的统称,也称末端实体,可以是人,也可以是机器,如路由器或计算机中运行程序,如防火墙
PKI应用系统
1、认证中心CA(CA 是PKI 的核心,CA 负责管理PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布。)
2、X.500 目录服务器( X.500 目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。)
3、具有高强度密码算法(SSL)的安全WWW服务器(Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。)
4、Web(安全通信平台(Web 有Web Client 端和Web Server 端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。)
5、自开发安全应用系统(自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。)
6、PKI体系核心-CA:CA是具有权威性和公正性的第三方信任机构,负责发放和管理数字证书,其作用就像现实生活中办理证件的部门
7、CA的延伸部分-RA(RA是数字证书注册审批机构)
RA主要功能有:
填写用户注册信息
提交用户注册信息
审核:对用户申请进行审核,以决定批准还是拒绝用户的证书申请
发送生成证书申请:向CA提交生成证书请求
发放证书:将用户证书和私钥发放给用户
登记黑名单:对过期证书和因各种原因而撤销的证书及时登记,并向CA发送
CRL管理
日志审计:维护RA的操作日志
自身安全保证
PKI提供的基本服务
认证(Authentication)-采用数字签名技术,签名作用于相应的数据之上
被认证的数据 —— 数据源认证服务
用户发送的远程请求 —— 身份认证服务
远程设备生成的challenge信息 —— 身份认证
完整性(Integrity)-PKI采用了两种技术
数字签名:既可以是实体认证,也可以是数据完整性
MAC(消息认证码):如DES-CBC-MAC或者HMAC-MD5
保密性(Confidentiality)
用公钥分发随机密钥,然后用随机密钥对数据加密
不可否认(Non-repudiation)
发送方不可否认-数字签名
接受方的不可否认 —— 收条(reception)+ 数字签名(digital signature)
证书
概念
证书( Certificate), 有时候简称为Cert。PKI适用于异构环境中,所以证书的格式在所使用的范围内必须统一
证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权威性
一个证书中,最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途双证书机制:签名证书和加密证书分开最常用的证书格式为X.509 v3
常见证书的格式(X.509 v3)
证书生命周期
(1)证书申请
用户通过支持PKI的应用程序,如Web浏览器向CA申请数字证书的过程,该过程从用户生成密钥对(公钥和私钥)时开始。
(2)证书生成
一旦用户请求了证书,CA就根据其建立的认证策略验证用户信息鼍如果确定信息有效,则CA创建该证书。
(3)证书存储
CA在生成用户证书之后,将通过安全的途径把证书发送给用户,或通知用户自行下载。数字证书将保存在用户计算机的安全空间里。为了防止证书的丢失或损坏,证书持有者应将证书导出并保存在安全的存储介质里,如软盘、智台旨卡。
(4)证书发布
CA在生成用户证书之后,会把用户的公钥发送到指定的任何资源库,如内部目录或公用服务器,以方便人们获得或验证证书持有者的公钥。
(5)证书废止
当发出证书时,将根据分发策略为其配置特定的到期曰。如果需要在该日期之前取消证书,则可以由CA将这一事实发布和分发到证书撤销列表CRL中。CRL是由CA签名的一组电子文档,包括了被撤销证书的唯一标识(证书序列号),CRL为应用程序和其它系统提供了一种检验证书有效性的方式。
PKI常规的层次信任关系型
与PKI相关的标准
Certificates —— X.509 v.3
交叉认证 —— PKIX group in IETF(RFC 2459)
智能卡/硬件插件 PKCS #11
目录服务LDAP
