目录
PKI
PKI(Public Key Infrastructure)公钥基础设施,是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用 PKI 框架管理密钥和证书可以建立一个安全的网络环境。
- 利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。
- 是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和数字证书的产生、管理、存储、分发和撤销等功能。
- 如同电力基础设施为家用电器提供电力一样,PKI为各种应用提供安全保障,提供网络信任基础
PKI的基础技术包括:公钥加密、数字签名、数据完整性机制、数字信封(混合加密)、双重数字签名等
PKI体系能够实现的功能有:
- 身份验证
- 数据完整性
- 数据机密性
- 操作的不可否认性
CA
CA(Certificate Authority,证书颁发机构),是PKI系统的核心。CA的作用包括处理证书申请、 发放证书、 更新证书、 接受最终用户数字证书的查询、撤销产生和发布证书吊销列表(CRL) 数字证书归档 等
CA层次结构
多层次结构,优点
- 管理层次分明,便于集中管理、政策制订和实施
- 提高CA中心的总体性能、减少瓶颈
- 有充分的灵活性和可扩展性
- 有利于保证CA中心的证书验证效率
RA
RA(Registtaion Authority,证书注册机构),进行证书申请者的身份认证,向CA提交证书申请请求,验证接收到的CA签发的证书,并将之发放给证书申请者,必要时,还协助证书作废。类似于申请身份证的派出所
LDAP目录服务
LDAP(Lightweight Directory Access Protocol)轻量目录访问协议,证书的存储库,提供了证书的保存、修改、删除和获取的能力。CA采用LDAP标准的目录服务存放证书,其作用与数据库相同,优点是在修改操作少的情况下,对于访问的效率比传统数据库要高
CRL证书作废系统
CRL (Certificate Revocation List):证书撤销列表,也称“证书黑名单”,在证书的有效期期间,因为某种原因(如人员调动、私钥
泄漏等等),导致相应的数字证书内容不再是真实可信。此时,进行证书撤销,说明该证书无效,CRL中列出了被撤销的证书序列号
数字证书
数字证书用于保证密钥的合法性,证书的主体可以是用户、计算机、服务等。证书格式遵循 X.509 标准,数字证书包含: 使用者的公钥、 使用者标识信息(如名称和电子邮件地址) 有效期(证书的有效时间)、 颁发者标识信息 、颁发者的数字签名等。数字证书由权威公正的第三方机构即CA签发。
相关文章:数字证书
证书验证
验证证书的过程是迭代寻找证书链中下一个证书和它相应的上级CA证书。在使用每个证书前,必须检查相应的CRL(对用户来说这种在线的检查是透明的)。用户检查证书的路径是从最后一个证书(即用户已确认可以信任的CA证书)所签发的证书有效性开始,检验每一个证书,一旦验证后,就提取该证书中的公钥,用于检验下一个证书,直到验证完发送者的签名证书,并将该证书中包括的公钥用于验证签名。
- 验证证书链中每一个CA证书
- 上级CA签名的有效性
- 证书有效期
- 是否作废:CRL、OCSP
证书撤销
当PKI中某实体的私钥被泄漏时,泄密私钥对应的公钥证书应被作废。或者如果证书中包含的证书持有者和某组织的关系已经中止,相应的公钥证书也应该被作废。
- 应尽快以电话或书面文件方式通知相应证书的签发CA,在密钥泄漏的情况下,应由泄密私钥的持有者通知CA
- 在关系中止的情况下,由原关系中组织方或相应的安全机构通知相应的RA或CA
- 如果RA得到通知,RA应通知相应的CA
- 一旦请求得到认证,CA在数据库中将该证书标记为已作废,并在下次发布CRL时加入该证书序列号及其作废时间
证书更新
在密钥泄漏的情况下,将产生新的密钥和新的证书;在并未泄漏的情况下,密钥也应该定时更换。
如果CA和其下属的密钥同时到达有效期截止日期,则CA和其下属同时更换密钥,CA用自己的新私钥为下属成员的新公钥签发证
书。
如果CA和其下属的密钥不是同时到达有效期截止日期,当用户的密钥到期后,CA将用它当前的私钥为用户的新公钥签发证书,而到达CA密钥的截止日期时,CA用新私钥为所有用户的当前公钥重新签发证书。
不管哪一种更换方式,PKI中的实体都应该在密钥截止之前取得新密钥对和新证书。在截止日期到达后,PKI中的实体开始使用新
私钥来签名数据,同时应该将旧密钥对和证书归档保存。
PKI系统的构成
完整的PKI系统必须具有 权威认证机构(CA)、证书注册机构(RA)、数字证书库LDAP、密钥备份及恢复系统、证书作废系统CRL、应用接口(API)等基本组成部分,构建 PKI 也将围绕着这五大系统来着手构建
- 权威认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征,CA是证书的签发机构,它是PKI的核心
- 证书注册审核系统(RA):该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能,为整个机构体系提供电子认证服务
- 数字证书库LDAP:x.500目录服务器,用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;
- 密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
- 证书作废系统CRL:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书在有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
- 应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的API应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
PKI的应用
相关文章:企业证书服务的安装