应用公钥技术对实体进行身份认证、保证信息的机密性和完整性。PKI是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。一个典型、完整、有效的PKI应用系统至少应具有以下五个部分;
(1)认证中心(CertificationAuthority,CA):CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布,后文有CA的详细描述。
(2)目录服务器:目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的轻型目录存取协议(Lightweight Directory Access Protocol,LDAP)协议查询自己或其他人的证书和下载黑名单信息。
(3)具有高强度密码算法的安全万维网(Word Wide Web,WWW)服务器:安全套接层(Secure Socket Layer,SSL)协议最初由网景(Netscape)公司发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
(4)网络(Web)安全通信平台:Web有客户端和服务器端,通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性、身份验证。
(5)自开发安全应用系统:自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。
如何确认某个人真正拥有公钥(及对应的私钥)实际上是应用公钥技术的关键。 在PKI中,为了确保用户的身份及他所持有密钥的正确匹配,公开密钥系统需要一个 值得信赖而且独立的第三方机构充当CA,来确认公钥拥有人的真正身份。就象公安局 发放的身份证一样,认证中心发放一个叫“数字证书”的身份证明。这个数字证书包 含了用户身份的部分信息及用户所持有的公钥。象公安局对身份证盖章一样,认证中 心利用本身的私钥为数字证书加上数字签名。任何想发放自己公钥的用户,可以去认 证中心申请自己的证书。认证中心在鉴定该人的真实身份后,颁发包含用户公钥的数 字证书。其他用户只要能验证证书是真实的,并且信任颁发证书的认证中心,就可以 确认用户的公钥。 CA作为PKI的核心部分,实现了PKI中一些很重要的功能,概括地说,CA的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书,具体描述如下:
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理最终用户的数字证书更新请求-证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(Certificate Revocation List,CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。 CA为了实现其功能,主要由以下三部分组成:
(1)注册服务器:通过Web服务器建立的站点,可为客户提供24小时不间断的 服务。客户在网上提出证书申请和填写相应的证书申请表。
(2)证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客 户证书申请并进行审核。
(3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的 管理、CRL的生成和处理等服务。
典型的数字证书结构:
证书版本 证书序列号(证书唯一识别号) 签名算法标识符 证书发行机构名 使用期限 证书持有者名 主体公钥 发证者身份识别符 持证者身份识别符 认证机构数字签名
389
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
