本文介绍了PKI的基本概念,包括其功能、组成部分(如数字证书、CA、CRL等)、核心组件和在实现身份认证、保密性、完整性和抗抵赖性中的作用。还涵盖了现代密码学中的加密基元和数字证书的分类。
一、什么是PKI
PKI 是 Public Key Infrastructure 的缩写,中文叫做公开密钥基础设施,也就是利用公开密钥机制建立起来的基础设施。
PKI 是 Public Key Infrastructure 的缩写,其主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。
PKI 既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为 PKI。
PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。 一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。
CA中心——CA系统——数字证书
CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。
专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Public Key Infrastructure)。
PKI 的本质是把非对称密钥管理标准化。
现代密码学加密基元
加密基元就是一些基础的密码学算法,通过它们才能够构建更多的密码学算法、协议、应用程序。
说明:
- 散列函数(散列(hash)、指纹、消息摘要、摘要算法、杂凑函数):把任意长度的输入消息数据转化成固定长度的输出数据的一种密码算法。
- 消息验证代码:验证数据完整性,即数据没有被篡改。
- 数字签名:RSA私钥加密,公钥解密,结合散列函数。验证消息真实性。
- 伪随机函数(PRF):生成任意数量的伪随机数据。
- RSA:可以同时用于密钥交换和身份验证(数字签名)。
- DHE_RSA:DHE 算法:密钥协商,RSA 算法:身份验证(数字签名)。
- ECDHE_RSA: ECDHE 算法:密钥协商,RSA 算法:身份验证(数字签名)。
- ECDHE_ECDSA :ECDHE 算法:密钥协商,ECDSA 算法:身份验证(数字签名)。
密钥管理
PKI 的本质是把非对称密钥管理标准化
PKI 是 Public Key Infrastructure 的缩写,其主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。
PKI 模式
- 数字证书:解决公钥与用户映射关系问题;
- CA:解决数字证书签发问题;
- KMC:解决私钥的备份与恢复问题;
- 双证书机制:「签名证书及私钥」只用于签名验签,「加密证书及私钥」只用于加密解密。
- LDAP:解决数字证书查询和下载的性能问题,避免 CA 中心成为性能瓶颈。
- CRL(证书作废列表) 和 OSCP(在线证书状态协议):方便用户快速获得证书状态。
- RA:方便证书业务远程办理、方便证书管理流程与应用系统结合。
- 电子认证服务机构:保证 CA 系统在数字证书管理方面的规范性、合规性和安全性。
基于数字证书可以实现四种基本安全功能
- 身份认证;
- 保密性;
- 完整性;
- 抗抵赖性;
PKI 基本组件
完整的 PKI 系统必须具有数字证书、认证中心(CA)、证书资料库、证书吊销系统、密钥备份及恢复系统、PKI 应用接口系统等构成部分。
数字证书分类
扫一扫
968
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
