应用方向
PKI体系
VPN技术
在网络中存在的典型问题(安全隐患):
应对方式:认证(鉴别)、授权、机密性、完整性、放抵赖
密码技术在信息安全中的作用
| 信息安全要素 | 所应对的典型威胁 | 可用的密码技术 |
| 机密性 (Confidentiality) |
| 对称加密和非对称加密 数字信封 |
| 完整性 (Integrity) |
| 哈希函数和消息认证码 数据加密 数字签名 |
| 可鉴别性 (Authentication) |
| 口令和共享秘密 数字证书和数字签名 |
| 不可否认性 (Non-repudiation) |
| 数字签名 证据存储 |
| 授权与访问控制 (Authorization & Access Contro;) |
| 属性证书 访问控制 |
PKI体系
- PKI指的是公钥基础设施,CA指的是认证中心
- 公钥基础设施(Public Key Infrastructure)
- 利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全
- 如同电力基础设施为家用电器提供电力一样,PKI为各种应用提供安全保障
- PKI/CA是一组建立在公开密钥技术基础上的硬件、软件、人员和应用程序的集合,它具备生产、管理、存储、核发和废止证书的能力,从运营、管理、规范、法律、人员等多个角度来解决网络信任问题
PKI体系对象——四类实体(CA、RA、证书存放管理、证书持有者和应用程序)
- CA(认证权威)
- RA(注册权威)
- 证书存放管理(目录服务)
- 证书持有者和应用程序
数字证书
- 数字证书是一段电子数据,是经证书权威机构CA签名的、包含拥有者身份信息和公开密钥的数据体
- 数字证书格式
- 国际标准X.509定义一个规范的数字证书格式
- 数字证书的生命周期
- 证书申请、证书生成、证书存储、证书发布、证书废止
数字证书包含得到基本内容
最少包含如下内容:
1、办证机构(CA)
2、证书持有者的名字
3、证书持有者的公钥(标识)
4、证书有效期
5、证书颁发机构的签名
不同类型的证书
根证书
个人证书
代码签名证书
服务器证书
。。。
| 服务器证书 |
|
| 个人证书 USB-KEY |
|
CA:Certification Authority
——签发机构(CA数字证书的发放机构,是PKI的核心)
其主要功能包括:
- 签发数字证书
- 签发证书
- 更新证书
- 管理数字证书
- 撤销、查询
- 审计、统计
- 验证数字证书
- 黑名单认证(CRL )
- 在线认证(OCSP)
RA:证书注册机构
- 证书注册权威
- Registration Authority
- 受理用户的数字证书申请
- 对证书申请者身份进行审核并提交CA制证
- 类似于申请身份证的派出所
- 提供证书生命期的维护工作
- 受理用尸证书申请
- 协助颂发用尸证书
- 审核用户真实身价
- 受理证书更新请求
- 受理证书吊销
目录服务(LDAP)
- 目录服务简单地讲就是信息的存储库,提供了证书的保存,修改,删除和获取的能力
- CA采用LDAP标准的目录服务存放证书,其作用与数据库相同,优点是在修改操作少的情况下,对于访问的效率比传统数据库要高
CRL
- CRL(CertificateRevocationList):证书撤销列表,也称“证书黑名单”
- 在证书的有效期期间,因为某种原因(如人员调动、私钥泄漏等等),导致相应的数字证书内容不再是真实可信。此时,进行证书撒销,说明该证书已是无效
- CRL中列出了被撤销的证书序列号
| PKI/CA典型应用场景: | CA工作流程: |
|
|
|
619
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
