PKI原理与应用
前言:PKI是public key infrastructure的缩写,意为"公钥基础设施",是一个用非对称密钥算法原理和技术实现,具有通用性的安全的基础设施。
一.PKI概述
PKI利用证书标识密钥持有人的身份,通过对密钥的规范化管理,为组织机构建立和维护一个可信赖的系统环境,透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障,满足各种应用系统的安全需求。简单地说,PKI是提供公钥加密和数字签名服务的系统,目的是为了自动管理密钥和证书,保证网上数字信息传输的机密性真实性、完整性和不可否认性。
-
PKI的作用:
1)对身份合法性进行验证:以明文传输的用户名和口令存在被截获的安全隐患。
2)实现数据保密性和完整性:企业中存储的数据大多是明文存储,避免被篡改和泄露。
3)实现数据传输安全性:以明文方式在网络上传输的数据很容易被泄露。
4)实现数字签名和不可抵赖: -
PKI的体系结构:PKI的体系是由多种认证机构及各种终端实体等组件组成,其结构模式一般为多层次的树状结构。PKI是由很多CA和CA信任链组成的。CA通过3种方式组织到一起。
注:CA:证书颁发机构(Certificate Authority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
第一种:首先建立CA,再在根CA下组成分层的体系结构,上层CA向下层CA发起证书。
第二种:CA连接成的网状,并且它们之间的地位平等
第三种:桥接体系结构 -
PKI的组成:PKI的公钥基础设施体系主要由密钥管理中心、CA认证机构、RA注册审核、证书/CRL发布系统和应用接口系统五部分组成。
1)密钥管理中心(KMC):密钥管理中心向CA服务提供相关密钥服务,如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算。
2)CA认证中心:CA认证机构是PKI公钥基础设施的核心,它主要完成生成/签发证书、生成/签发证书撤销列表(CRL)、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能。
3)RA注册审核机构:RA是数字证书的申请、审核和注册中心。它是CA认证机构的延伸。在逻辑上RA和CA是一个整体,主要负责提供证书注册、审核以及发证功能。
4)发布系统:发布系统主要提供LDAP服务,OCSP服务和注册服务。注册服务为用户提供在线注册功能;LDAP提供证书和CRL的目录浏览服务;OCSP提供证书状态在线查询服务。
5)应用接口系统:应用接口系统为外界提供使用PKI安全服务入口。一般有API,JavaBean,COM等多种形式。
二.认证机构CA:
CA采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。
- CA证书签发机构:
- RA注册审核机构设置:
- KMC密钥管理:
- 发布系统:
三.数字证书:
数字证书是指网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。
-
数字证书的作用:
访问需要客户验证的安全Internet安全点。
用对方的数字证书向对方发送加密信息。
给对方发送带自己签名的信息。 -
数字证书的内容:
证书的格式有ITU标准X.509 v3来定义。
(1)证书数据:
a.版本信息,用来与X.509的将来版本兼容。
b.证书序列号,每个由CA发行的证书必须有一个唯一的序列号。
c.CA所使用的签名算法。
d.发行证书CA的名称。
e.证书的有效期限。
f.证书的主题名称
g.被证明的公钥信息,包括公钥算法、公钥的位字符串表示。
h.包含额外信息的拓展。
(2)发行证书的CA签名
证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是否由CA的签名密钥签发。 -
使用数字证书的注意事项:
(1)含有用户私钥的数字证书导出文件本身应加上密码,并且有备份,妥善保存在比较安全的地方。
(2)安装用户的数字签名证书时,应该使用密码对私钥进行保护,并且密码要足够长、很难猜测。
(3)安装用户的数字证书时最好不要将私钥标记为可导出,以防止意外。
(4)使用私钥进行数字签名或者解密时,不要选择选项记录密码。
(5)如果用户证书遗失或者被他人窃取,应及时吊销。
四.PKI的应用:
基于PKI技术,目前世界上已经出现了许多依赖PKI的安全标准,即PKI的应用标准,如安全的套接层标准SSL、传输层安全协议TLS、安全的多用途互联网邮件拓展协议S/MIME和IP安全协议IPSEC等
- 电子商务应用:
电子商务的参与方一般包括买方、卖方、银行和作为中介的电子市场。买方通过自己的浏览器上网,登录到电子交易市场的Web服务器并寻找卖方。当买方登陆服务器时,互相之间需要通过PKI验证对方以确认其身份,这被称作为双向认证。
在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后向商城提交订单。订单里有两种信息:一部分是订货信息,另一部分是提交银行的支付信息。
买方对这两种信息进行数字签名,分别用商场和银行的证书公钥加密上述信息。当商场收到交易信息后留下订货单信息,而将支付信息转发给银行。商场只有用自己的密钥解开订货信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账之后,通知起中介作用的电子市场,物流中心和买方,并进行商品配送。整个交易过程都是在PKI所提供的安全服务下进行的,实现了安全、可靠、保密和不可否认性。 - 电子政务:
电子政务的主要内容有网上信息发布、办公自动化、网上办公、信息资源共享等。按应用模式也可以分为G2C、G2B、G2G,PKI在其中的应用主要是解决身份认证、数据完整性、数据保密性和不可抵赖性等问题。
例如,一个保密文件发给谁或者哪一级公务员有权查看某个机密文件,这些都需要进行身份认证,与身份认证相关的还有访问控制,即权限控制。认证通过证书进行,而访问控制通过属性证书或者访问控制列表(ACL)完成。有些文件在网络传输中要保密以保证数据的保密性。有些文件在网上传输时要求不能被丢失或者被篡改。特别是一些保密文件的收发必须要有数字签名等。只有PKI提供的安全服务才能满足电子政务中的这些安全需求。
524
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
