通信网络系统之间建立安全传输网络,将不同地理位置之间的物理设备组成一个安全域,设备之间的身份认证以PKI(Public Key Infrastructure)公钥基础设施为基础,利用公钥密码学技术和X.509标准的身份验证框架,通过数字证书认证作为安全业务的一种措施。
- PKI系统的基本组成
公钥基础设施利用公钥加密和X.509技术,提供了标识用户身份,创建和分发证书,维护和取消证书,分发和维护加密密钥等功能,通过这些技术以达到加密通信和验证身份的目的。就比如我们的家庭宽带接入通过了身份认证后将会享受网络基础设施服务,或公民领取了身份证明那么生活在一个国家也会得到国家提供的基础设施服务相同的服务模式。
公钥基础设施是安全通信中建立信任的基础及核心组件,通过相同根CA下分发的证书信任链把分散的不同网络设备之间组成一个信任区域,相互之间安全的通信。是由程序、数据格式、措施、通信协议、安全策略以及公钥密码机制等一系列组件,以综合运行的方式组成,包括认证机构,注册机构,证书及用户。主要包括如下功能:
- CA(Certificate Authority)-认证机构,管理公钥整个生命周期,包括证书的分发、证书有效期,证书撤销等;
- RA(Registration Authority)-注册机构,用户和CA之间的接口,获取并认证用户身份,向CA提出证书请求;
- LDAP服务器,提供目录浏览服务,将用户信息以及数字证书信息加入服务器,作为存储数字证书和CRL证书撤销列表。
CA,作为类似公安局来签发身份证(数字证书),加入PKI像CA注册需提供用户身份信息和用户公钥,如身份证号和照片。数字证书,将用户和标记个人信息(公钥和唯一标识符)关联起来的机制。
- 数字证书认证技术
数字证书包括了用户主体所有者的公钥和唯一标识其所有者所需的组成部分关联起来的机制用来表面数字身份,包含序列号,版本号,身份信息,算法信息,有效期及发行证书的授权机构签名。CA以X.509技术标准来管理证书,如公安局盖章一样CA利用私钥对产生的用户证书进行数字签名,提供证书的完整性与不可否认性服务。