定义
PKI英文全称:Public Key Infrastructure
中文名:公开密钥基础设施
以公钥技术为核心建设的具有普适性的网络信息安全服务基础设施
要点
- 公钥技术
- 网络信息安全
- 普适性(基础设施)
构成
- 主体
- CA, 即证书认证中心:具有公信力的第三方机构,提供数字证书管理等服务
- 证书持有者:英文亦称subscriber,对象一般包括机构、个人、设备(服务器、路由器等)、软件、进程。
- 依赖方:,亦称证书用户(user、verifier),自己无证书或相关资质,但使用了CA所提供的数字证书服务,对象一般同证书持有者,但机构居多。
- 辅助
- 密钥管理系统:用于密钥的生成、存储、分发、更新、备份、恢复等等,实现密钥的管理
- 证书管理系统:证书存储、更新、CRL更新等
- RA, 即注册机构:CA的下级机构,对证书申请者提交的信息进行鉴别、审核等
核心
- 数字证书
- 一种电子数据文件
- 包含公钥数据和持有者的身份信息
- CA对该文件的数字签名
- 公钥密码学
PKI体系中的API
- API实现功能
- 密码运算
- 证书验证和解码
- 证书和CRL的获取和存储
- 通信消息处理
- 常用API
- PKCS #11,由RSA公司制定的密码设备接口标准,用于密码设备管理等
- Microsoft cryptoAPI,由微软定义,用于Windows操作系统,需要使用CSP(即Cryptographic Service Provider)
- openssl, 纯软件实现,主要接口功能
- 各种堆成密码算法
- x.509证书和CRL编解码和验证,及其扩展
- 公钥密码算法相关数据格式标准
- SSL/TLS协议的会话协商和数据传输
作用
为网络安全提供基础设施和服务,包括以下内容
- 网络身份认证
- 加解密电子数据
保证网络信息的完整性、真实性、可追踪性(不可否认)、保密性、
- 完整性:为了防止信息被篡改,对应的密码技术有单向散列函数、 消息认证码、 数字签名。
- 机密性:为了防止信息被窃听,对应的密码技术有对称密码和 公钥密码。
- 真实性:为了防止攻击者伪装成真正的发送者,对应的密码技术有消息认证码和 数字签名。
- 可追踪性:为了防止发送者事后否认自己没有做过,对应的密码技术为数字签名
九字真言:完整保密真实可追踪
名词解释
- CA(Certification Authority)证书认证机构
- RA(Registration Authority)注册机构
- OCSP(Online Certification Status Protocol)在线证书状态协议
- CRL(Certification Revocation List)证书吊销列表
- 是一种公开对用户发布的电子数据列表
- 被撤销的数字证书标识(一般为数字证书序列号)列表
- 由CA对该列表进行数字签名
其他
中国商用PKI系统标准《证书认证系统密码及其相关安全技术规范》