PKI工作原理和组织安全指南

最新推荐文章于 2024-02-26 10:30:00 发布

Lavin_wos

最新推荐文章于 2024-02-26 10:30:00 发布

阅读量753

点赞数

分类专栏：网络安全协议 https 文章标签：安全 ssl 网络

本文链接：https://blog.csdn.net/lavin1614/article/details/121080821

版权

网络安全同时被 3 个专栏收录

122 篇文章 5 订阅

订阅专栏

https

90 篇文章 2 订阅

订阅专栏

协议

3 篇文章 0 订阅

订阅专栏

PKI工作原理和组织安全指南

一、了解PKI

公钥基础结构是我们在网络世界中日常生活的关键部分。它可以保护一切，从浏览器中的登录凭据到我们通过电子邮件共享的敏感数据，一应俱全。这种PKI运作方式的明细公钥基础结构是网络安全所固有的，好比一个保护壳，里面兜住了许多需要保护的东西。可以说，PKI是使网络安全工作的要素之一。

公钥基础结构（PKI）通常被称为一种网络安全技术或框架，但不仅限于此。你或许知道该术语与加密有关，但是你知道它实际上的主要作用或者工作方式吗？

首先我们来了解一下PKI是什么？

简而言之，公钥基础结构（PKI）是一个系统（基于加密密钥和数字证书），用于保护不同计算机系统之间的通信。它也是一个系统，可以帮助你的企业你的团队保持数据安全性和隐私要求的合规性，顺利通过等保等要求。

PKI为保护通信有两件事

身份验证：确保另一方是你要与之通信的合法服务器或者个人。

信息加密：确保没有其他方可以阅读你的通信甚至篡改你的通信。

为了更好地了解PKI的工作原理，我们首先需要使整个过程更加容易理解。因此，让我们以网站使用的SSL证书为例。在浏览器中你看到的挂锁图标，这意味着该网站正在使用基于PKI的SSL证书。

SSL使用PKI做两件事：

1. 你的浏览器会验证它是否已连接到wosign.com拥有的正确服务器。

2. 在你的浏览器和Web服务器之间传递的所有数据均已加密。

从技术角度上讲，PKI是加密技术，策略和过程的组合，可用于保护数字世界中的数据并进行身份验证。该术语还涉及数字证书和密钥的发布，使用，存储，分发，管理和吊销（也称为证书生命周期）以及颁发它们的实体。

PKI的主要功能是将公用密钥分发给正确的设备，软件和需要它们的用户。这意味着 PKI就是要确保你的敏感数据不会落入错误的人手中。

PKI的6个关键组成部分：

为了更好地了解PKI的工作原理，我们首先需要了解其中涉及的内容。

· X.509数字证书 ——这些类型的证书包括密钥，有关（证书和密钥的）所有者身份的信息以及证书颁发机构的数字签名。这些类型的证书包括：

SSL / TLS网站安全证书；

S / MIME（客户端身份验证）证书；

代码签名证书，以及文件签名证书。

· 数字签名 ——数字签名可以确保消息、文件或数据没有任何更改。它使用信息的加密哈希值来确保数据的完整性，保证任何人都无法修改信息。

· 公钥和私钥对（非对称和对称）—— PKI之所以起作用，是因为密钥对可以加密和解密数据。在非对称加密中，有一个与所有人共享的公钥和一个保密的匹配私钥。在对称加密中，双方都使用一个密钥进行通信。

· 证书颁发机构（CA）——证书颁发机构使整个PKI系统值得信赖。CA验证各方并颁发证书。没有CA，PKI根本无法工作，因为任何人都可以向自己颁发证书，说他们是wotrus.com，是淘宝网站或任何他们想冒充的人。

· 信任链——信任链是一系列证书（根证书，中间证书和叶证书），这些证书在链接回表上显示签名的颁发CA。

· 正确的证书管理工具，策略和过程——这包括使用证书管理工具（例如证书管理器）。

公钥基础结构工作概述图

二、公钥基础结构如何工作

看了上期内容的同学们想必都了解了什么是PKI以及它与公钥密码学之间的关系，接下来就讨论它的作用及其工作方式。

1. PKI通过验证用户和服务器进行工作

PKI流程的第一部分是身份验证。通过使用数字证书（例如客户端证书和SSL / TLS证书），你可以使用非对称加密对自己、客户端或服务器进行身份验证。（同样，非对称加密是两对公钥和私钥。）

例如让我们把“有人连接到wotrus.com”的场景进行身份验证的简单分步说明：

i. Web客户端（例如）连接到wotrus.com Web服务器以获取服务器的证书和公共密钥。

ii. 然后，客户端使用其受信任的根证书和信任链存储来验证该站点的证书是否由受信任的CA颁发。（注意：信任链是基于数字签名的，不能被伪造。因此，如果信任链签出，则你的浏览器可以确信它正在与正确的服务器通信。）

iii. 最后，客户端使用证书的公钥加密一条数据，并将其发送到服务器。如果服务器可以读取它，则表明该服务器具有正确的私钥，并且已连接到正确的服务器。

为了简化此过程（并最终创建一个安全的加密连接），用户的Web客户端和你的服务器开始进行所谓的SSL或TLS握手。此过程可减轻中间人（MitM）攻击和窃听的风险，从而使客户端能够：

• 确定它们都可以使用哪些加密参数，

• 验证服务器（如上所述），并生成双方都可以用来交换加密信息的唯一会话密钥。

PKI的工作方式：TLS 1.2握手的说明

PKI的工作方式：TLS 1.3握手的图示，该往返次数比TLS 1.2以前的版本少

但是，如果服务器要验证你作为用户怎么办？这也是可能的。在这种情况下，你需要由服务器信任的CA颁发的证书（客户端证书或所谓的电子邮件签名证书）在允许你访问服务器上的应用程序或内容之前，服务器会检查你的数字证书，过程与此类似。

2.PKI通过加密数据（或数据通过其传输的连接）进行工作

公钥基础结构的工作方式是，它使用不对称的，数学上相关的密钥来加密和解密数据。基本上，我们正在谈论获取一条你可以阅读的消息（纯文本）并将其扰乱为不可解密的格式（密文）。然后，当到达另一方时，需要对其进行解密或解密。

加密如何运作

易于理解的加密是一种老式的移位密码（替代密码），或者更普遍地称为凯撒密码。

在这种类型的加密中，纯文本字母根据秘密密钥“移动”一定数量的空格。例如，如果你的密钥是“ 6”，则单词“ CERTIFICATE”将成为密文“ IKXZOLOIGZK”，因为你已将每个字母移了六个空格。

当然，这是其最基本形式之一的加密。自古罗马时代以来，现代密码技术就已经走了很长一段路程。毕竟，我们现在拥有超级计算机和技术来帮助我们加密（和解密）数据、消息和其他敏感信息。

如何将加密应用于数据的不同状态

数据有三种主要状态：传输中的数据，静止的数据和使用中的数据。但是，出于本文的目的，我们在这里仅讨论其中两个数据状态。不管你是否知道，周围都在使用加密来保护传输中的数据和静止数据：

• 传输中的数据（又名移动中的数据）：在传输中的数据加密创建了一个安全通道，信息可以通过该通道从一方传输到另一方。当使用SSL / TLS证书对客户的浏览器和网站的服务器之间的通信通道进行加密时，对传输中的数据进行加密的一个示例。此过程可确保用户使用安全的HTTPS连接而不是不安全的HTTP协议连接到你的站点。

• 静态数据：保护静态数据加密涉及使用文件或设备加密。加密静态数据的一个很好的例子是，你在点击“发送”之前使用电子邮件签名证书对电子邮件进行加密。这会对邮件本身（以及所有附件）的数据进行加密，因此即使有人黑了你的邮件服务器，如果他们也没有相应的私钥，他们就无法读取邮件。

这是在服务器上安装SSL / TLS证书如何促进网站访问者的客户端与其连接的Web服务器之间的安全加密连接的说明。

3.PKI通过确保数据完整性进行工作

公钥基础结构如何工作的最关键方面之一是，它有助于确保数据的合法来源，并且不会以任何方式被篡改。它执行此操作的方法之一是使你能够将数字签名应用于电子邮件，软件或文件。此外，每个数字证书本身都是使用CA的私钥签名的。

基本上，数字签名的作用是通知用户或其客户有关文件，电子邮件或文档的信息：

· 由真实且经过身份验证的个人或企业签名，

· 并且自最初签署以来未进行任何修改。

三、各类型数字证书的验证功能

数据完整性的数据文件。数字证书具有不同的验证级别：

Ø 域验证是最基本的验证类型

它仅涉及CA通过向你发送电子邮件中的链接或要求你将文件上传到站点的Web服务器的特定文件来验证你是否拥有或控制特定域。

Ø 组织验证（OV）提供基本的业务验证

此过程需要签发CA才能使用官方的第三方资源来验证你提供的有关组织的信息。这样，它可以确保你是自称的人。

Ø 扩展验证（EV）提供了广泛的业务验证

这是这三个验证流程中最深入的一个，要求你的业务存在至少三年并且信誉良好。使用这种类型的证书的优势在于，它可以提供最多的身份保证。

在讨论PKI的工作方式时，我们必须谈论系统不可或缺的数据文件。X.509数字证书有几种类型，可以根据需要在不同情况下保护数据：

Ø SSL / TLS证书

这些证书可保护发送到你的网站或从你的网站发送的数据，并且在单域，多域，通配符和多域通配符选项中可用。

Ø S / MIME证书

也称为电子邮件签名证书，个人身份验证证书和客户端身份验证证书，这些数字证书提供了来自受信任的第三方CA的身份保证。它们可用于对电子邮件进行数字签名和加密，或（作为单个用户）向Web服务器进行身份验证。

Ø 代码签名证书

如果你是要提供身份保证的开发人员或发行者，同时还表明你的软件未被篡改，那么这是适合你的证书。这些证书可用于个人验证（IV），组织验证（OV）或扩展验证（EV）。

Ø 文档签名证书

文档签名证书通过对文档进行数字签名来验证其未被篡改。（如果文件在签名后被修改，则会弹出警告消息以警告用户。）这些证书可用于签名各种文件，包括Office文档和PDF。

当深入探讨PKI的工作原理时，谈论第三方CA的角色和职责至关重要。一个证书颁发机构，国外的像Sectigo或DigiCert，国内的像沃通，是一个值得信赖的第三方，沃通CA是国家有关部门许可设立的权威CA机构，获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》，获批电子政务电子认证服务资质。

什么是信任链？

wotrus.com的信任证书信任链的屏幕截图

（要查看SSL / TLS证书的信任链，请在浏览器中单击挂锁图标，导航到证书信息，然后单击“证书路径”选项卡。）

公钥基础结构的有效性取决于证书链或信任链的有效性。信任链指的是一系列数字证书，这些证书从你单独分配的证书返回到签署该证书的证书颁发机构。

信任链通常包含三个组件-根证书，中间证书和叶（服务器）证书。用树来考虑这些组件是最容易的。

Ø 根证书（树的根和树干）

受信任的根证书的屏幕截图

根证书（也称为受信任的根）是公钥基础结构的核心。每个CA仅颁发少数根证书，并且将它们预下载到大多数浏览器和操作系统中的信任存储或根存储中。它们对应的公共密钥也已预先下载到设备的密钥存储中。

那么，为什么该证书对PKI如此重要？由所有受信任的根证书签名的任何证书都将被所有主要操作系统和浏览器自动视为有效。每个浏览器或操作系统都可以选择默认包含哪些根证书。

Ø 中级证书（支持性树枝）

中间证书是位于受信任的根证书和叶证书之间的中介（它充当中介，因此是名称）。基本上，这是中间CA发出的两者之间的缓冲区。

由于证书颁发机构希望保持其根证书的安全，因此通常使用中间证书来颁发叶证书。由于根证书可以脱机存储，这意味着一旦它们签署了中间证书，就不再需要它们并且可以将其保存在安全的位置。这有助于CA确保其根证书私钥是安全的，并且网络罪犯不容易访问它们。

Ø 叶子（服务器）证书（叶子和小树枝）

叶证书或最终用户证书（有时也称为最终用户证书）基本上是颁发给你特定域的证书。这种类型的证书的寿命要短得多，在2020年9月1日之前发行的证书的有效期为两年，而在该日期或之后发行的任何证书的有效期都将限制为一年。

四、PKI如何保护你的业务企业网络安全的最终思考

为了使PKI正常工作，必须具有适当的证书和密钥管理

尽管这不用说，但我们还是得提醒：你的证书仅在有效期间才有效。

如果你的证书无效，可能是由于不正确的安装或配置，证书到期或颁发CA不太可能撤消而导致的，则表明你的网站不再安全。更糟糕的是，整个系统可能因此崩溃。（后续我们研究院会将会讨论“SSL证书过期时发生的事情”）

无论出于何种原因，务必要紧记这些问题。你可以通过遵循证书和密钥管理最佳实践以及使用可靠的管理工具来做到这一点。这些工具可为你提供所有证书网络的可见性，并帮助你跟踪和管理其生命周期，其中包括数字证书和密钥的发行，使用，存储，分发，管理和吊销。这样，你可以在证书过期之前重新发布证书，或者与管道中的任何撤销保持同步。

PKI如何保护你的业务

对于几乎任何现代企业而言，安全的通信和可靠的数据访问都是成功的关键。但是，PKI如何工作才能帮助保护你的业务及其宝贵的数据呢？

l 确保与网络服务器之间进行数据传输的通信通道的安全，这在Google和其他搜索引擎的眼中使其更加安全。（避免用户在访问你的网站时在浏览器中显示“不安全”警告。）

l 对电子邮件通信进行数字签名和/或加密，这有助于减轻网络钓鱼诈骗和基于电子邮件的数据泄露；

l 对文档进行数字签名（不要与电子签名混淆），以确保这些文档的完整性；

l 数字签名软件，它确认你的软件已由合法机构签名，并且自签名以来未进行任何修改，断言你的组织或个人身份；

l 控制仅对特定用户或应用程序的访问（身份验证）；

l 控制用户或应用程序可以在特定系统中执行的操作（授权）；

l 让可信赖的第三方确认你的消息和数据的完整性（不可否认）；

l 向搜索引擎证明你的网站或服务器安全地传输了数据。

为了让你更容易理解，我们以PKI如何保护电子邮件通信安全为例。

PKI如何保护和验证你的电子邮件通信