Public Key Infrastructure,公钥基础设施是基于公钥密码技术实施的具有普适性的基础设施。
保证 信息的保密性 、信息来源的真实性 、 数据的完整性 、 行为的不可否认性 。
美国RSA公司制定的公钥密码学标准(PKCS)对PKI体系的加密和解密、签名、密钥交换、分发格式及行为等内容进行了规范。
我国制定的GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》 等系列标准对我国公众服务的数字证书认证系统的设计、建设、检测、运行及管理进行了规范。
PKI系统组件:
1.证书认证机构CA
①具有自己的公私钥对,负责为其他人签发证书,用自己的密钥来证实客户的公钥信息
②一个PKI系统中可能会有多个CA,包括根CA和各级子CA
2.证书持有者
①也称为“用户”
②拥有自己的证书,和证书中公钥匹配的私钥
③证书中包括证书持有者的身份信息和对应的公钥
3.依赖方
—般将PKI应用过程中使用其他人的证书来实现安全功能(保密性、身份鉴别等)的通信实体称为依赖方
4.证书注册机构RA
①作为CA与申请者的交互接口,专门负责各种信息的检查和管理工作。
②只有在对申请者的各种检查通过之后,RA才会将信息发送给CA,要求CA签发证书。
5.资料库
负责证书的分发,存储所有的证书,供依赖方下载
6.证书撤销列表CRL
包含了当前所有被撤销证书的标识,验证者根据最新的CRL就能够判断证书是否被撤销。
7.在线证书状态协议
①一种实时检查证书撤销状态的协议标准。
②该协议是一种“请求—响应”协议,证书验证者向OCSP服务器查询某一张特定证书是否被撤销,服务器返回的响应消息表明该证书的撤销状态(正常、撤销或者未知)。
③OCSP和CRL都是为了解决证书撤消状态查询的问题,相比较而言,OCSP的实时性更高,部署起来也相对更复杂一些。
8.轻量目录访问协议
一种开放的应用协议,提供访问控制和维护分布式信息的目录信息。CA通过把新签发的证书与证书撤销链送到LDAP目录服务器,供用户查询、下载。
9.密钥管理系统(KeyManagementSystem,KM)
为PKI系统中其他实体提供专门的密钥服务,包括生成、备份、恢复、托管等多种功能。
数字证书结构:
1.数据证书也称公钥证书,包括公钥持有者信息、公开密钥、有效期、扩展信息、以及CA对这些信息进行的数字签名。
2.实现了公钥获得的数据起源鉴别、数据完整性和不可否认性。
3.由于证书上带有CA的数字签名,用户可以在不可靠的介质上存储证书而不必担心被篡改,可以离线验证和使用,不必每—次使用都向资料库查询。
3.数字证书生命周期
数字证书的操作分为:证书的产生、证书的使用、证书的撤销、证书的更新及证书的归档。
①证书的产主主要包括密钥生成、提交申请、审核检查和证书签发四个步骤
②证书的使用操作包括证书获取、验证使用和证书存储
4.双证书体系:加密证书、签名证书