PKI = Public Key  Infrastructure(公钥基础设施)
 
基础设施:
就是一个普适性基础,它在一个大环境里起着基本框架的作用,,设施基本原理共通,操作简便,只要遵循基本原则,不同的实体就可以方便地使用基础设施提供的服务。
 
公钥基础设施:
用非对称密码算法原理和技术是实现并提供安全服务的具有通用性的安全基础设施。
 
公钥证书:
用户的身份与之所持有的公钥的结合,在结合之前,由一个可信任的权威机构——认证机构(CA)来证实用户的身份。然后由可信任的CA对该用户身份及对应公钥相结合的证书进行数字签名,用来证明证书的有效性。
 
一个PKI系统主要包括:
认证机构,证书库,密钥备份及恢复系统,证书撤销处理系统,PKI应用接口系统。
 
PKI主要包括四个部分:
X.509格式证书,证书注销列表CRL;
CA/RA操作协议;
CA管理协议;
CA政策制定。
 
 
密钥对产生的两种方式:
 
      1.  用户自己产生密钥对,然后将公钥和×××明以安全方式传给CA,CA对用户进行身份认证,对密钥强度和持有者进行审核。审核通过后,对用户的公钥产生证书,然后通过面对面、电子邮件的方式将证书安全地方方给用户;最后CA负责将证书发布到相应的目录服务器。
 
         在某些情况下,用户自己产生密钥对后,到ORA(在线证书审核机构)去进行证书申请。此时,ORA完成对用户身份认证,通过后,以数字签名的方式向CA提供用户的公钥及相关信息;CA完成对公钥强度检测后产生证书,CA将签名的证书返给ORA,并由ORA发放给用户或者CA通过电子方式将证书发放给用户。
 
       2.CA替用户产生密钥对,然后将其以安全方式传送给用户,并自动销毁本地的用户私钥拷贝;用户取得密钥对后,保存好私钥,将公钥送至CA或者ORA,后面与1的过程相同。
 
 
 
证书签发两种方式:
 
离线方式发放:面对面发放,用于企业级高级证书的发放;
在线方式发放:通过Internet使用LDAP(Lightweight Directory Access Protocol ),在i500目录服务器上下载证书。
 
1.离线方式发放:
 
批准注册---->
RA(审核授权部门)在LDAP目录服务器中添加企业证书申请人的有关信息----->
RA将申请人信息传给CA----->
CA产生一个参照号(一次性密钥)和一个认证码(也称user ID和Password),以电子邮件,或打印在保密信封中传给申请者----->
申请者输入参照号级认证密码,在RA面对面领取证书(存在软盘或IC卡等介质中)。
 
2.在线方式发放:
个人证书申请者将个人信息写入CA的申请人信息数据库中------>
RA端接收从CA端发放的参照号和认证码,并打印出来,交给申请人----->
证书申请人回到自己的计算机上,登陆网站,通过浏览器安装Root CA证书------>
申请人在网页上按提示填入参照号和授权号,自助式地下载自己的证书
 
 
证书获取:
在验证信息的数字签名时,用户必须事先获得信息发送者的证书,用证书中的公钥对其身份进行认证
证书获取的方式如下:
1.发送者发送签名信息时,附加发送自己的证书;
2.单独发送证书信息的通道;
3.可从访问发布证书的目录服务器获得;
4.从证书的相关试题(如RA)处获得;
 
在发送数字签名的证书时,可以发布证书链,这时接受者拥有证书链上的每一个证书,从而可以验证发送者的证书。
 
 
 
密钥备份和恢复:
在PKI中密钥的备份和恢复分为CA自身的密钥和用户密钥两种情况。
 
1.CA根密钥备份和恢复:
          根密钥由硬件加密模块中加密机产生,其备份由加密机系统管理员启动专用的管理程序执行备份过程。备份方法是将根密钥分为多块,为每一块产生一个随即口令,使用该口令加密该模块,然后将加密后的密钥块分别写入不同的IC卡中,每个口令以一个文件形式存放,每人保存一块。
          恢复密钥时,由各密钥备份持有者分别插入各自保管的IC卡,并输入相应的口令才能恢复密钥。
 
 
2.用户密钥备份和恢复:
          在CA签发证书时,就可以做密钥备份,一般将用户密钥存放在CA的资料库中。进行恢复时,根据密钥对历史存档进行恢复。在完成恢复之后,相应的软件将产生一个新的签名密钥来对代替旧的签名密钥。(签名私钥不能备份和恢复)