公钥(非对称)密码学衍生出来的一系列网络安全管理体系,应用于互联网安全领域。PKI(Public Key Infrastructure,公钥基础设施)为基础的认证体系,为上层应用服务提供了安全可靠的密钥管理和证书管理服务,是目前应用最为广泛的网络安全管理体系。PKI引入了CA(Certificate Authority)和数字证书,有效的解决了公钥与用户的映射问题。数字证书技术和相关服务在互联网得到了广泛的应用,使用数字证书作为信任的载体,来传递信任,建立可信的服务体系。达到身份认证、完整性、抗抵赖性和保密性的目的。
PKI的框架围绕数字证书展开,主要包括数字证书的管理、数字证书的应用以及底层的技术和相关标准的支持。
1.CA和数字证书
CA(Certificate Authority)为证书认证中心,负责给用户签发证书,是信任服务体系中的基础设施,也是信任的来源。数字证书是一种特殊的文件格式,是在网络上进行身份验证的一种权威性电子文档,证明自己的身份和识别对方的身份,它承载着实体的信任,用来证明或传递。
2.LDAP
LDAP(Light-weight Directory Access Protocol)为轻量级目录访问协议,其作用是对外提供证书查询或下载。与关系数据库相比,目录服务的读取和查询效率非常高,比关系数据库快一个数量级,但写入速度相对较底,所以适合于数据不经常修改,但频繁读的场景。LDAP信息模型包括:条目(Entries)、属性(Attributes)、值(Values)。条目是目录中最基本的单元,类似与树的一个节点,在目录中添加一个条目必须包含一个或多个对象类。图1为部分目录,反映了组织的管理对象。
3.CRL
CRL(Certificate Revocation List)为证书吊销列表,也称证书黑名单,是一种特殊的文件格式,包含有效的证书清单、下次CRL的生成时间和CA中心私钥的签名,用户定期获取CRL就可在脱机验证证书是否有效。CRL的内容如表1所示。
4.OCSP
OCSP为在线证书状态查询,其作用是对用户提供实时的证书状态查询服务。用户端将待查的证书的序列号按照OCSP协议封装成OCSP请求包,发送给OCSP服务器,OCSP查询数据库对应的证书的状态,并以OCSP响应包返回给客户端,用户解析响应包获取证书的状态,通常证书的状态包含有效、作废、冻结等。OCSP需要数字签名,执行效率不高,也有采用MAC算法代替数字签名,称作简化的OCSP,SOCSP(Simple Online Certificate Status Protocol)。
5.PKI的信任模型
5.1树状信任模型
树状信任模型它具有严格的信任层次,最上级CA中心有一个唯一的根CA,其他CA都统一在根CA下,称为子CA。根CA的证书由自己签发,子CA的数字证书由上级CA签发。
5.2交叉网状信任模型
交叉网状结构中没有信任中心,各个CA之间是一种平等的关系,它们之间可以相互签发交叉认证证书。
5.3 桥CA信任模型
桥CA信任模型中引入独立的桥CA中心,所有的CA与桥CA之间相互签发交叉认证证书,每个CA中心都相对独立,所以风险分散。桥CA不向认证实体发放证书,只是 为CA之间信任传递搭建桥梁。
5.4 混合信任模型
混合信任的优点:每个PKI域可以管理本域的的证书,根据自身的需要自行建立跨域操作。允许存在多个根CA,也允许有选择性地在下层以之间进行直接交叉认证。
5.5 信任列表信任模型
在信任列表认证模型中,每个信任机构的根CA都存放在信任列表中。