|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
公钥密码体制不仅能够实现加密服务,而且也能提供识别和认证服务。除了保密性之外,公钥密码可信分发也是其所面临的问题,即公钥的真实性和所有权问题。针对该问题,人们采用“公钥证书”的方法来解决,类似身份证、护照。公钥证书是将实体和一个公钥绑定,并让其他的实体能够验证这种绑定关系。为此,需要一个可信第三方来担保实体的身份,这个第三方称为认证机构,简称CA(Certification Authority)。CA负责颁发证书,证书中含有实体名、公钥以及实体的其他身份信息。而PKI(Public Key Infrastructure)就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说,PKI涉及多个实体之间的协商和操作,主要实体包括CA、RA、终端实体(End Entity)、客户端、目录服务器,如下图所示。
|
|
|
|
|
|
|
|
|
|
. CA(Certification Authority):证书授权机构,主要进行证书的颁发、废止和更新;认证机构负责签发、管理和撤销一组终端用户的证书。
|
|
|
|
. RA(Registration Authority):证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保;RA可以充当CA和它的终端用户之间的中间实体,辅助CA完成其他绝大部分的证书处理功能。
|
|
|
|
. 目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务。
|
|
|
|
. 终端实体(End Entity):指需要认证的对象,例如服务器、打印机、E-mail地址、用户等。
|
|
|
|
. 客户端(Client):指需要基于PKI安全服务的使用者,包括用户、服务进程等。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
数字证书(Digital Certificate)也称公钥证书,是由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。如下图所示是一个国外机构颁发的数字证书样式。
|
|
|
|
|
|
|
|
为规范数字证书的格式,国家制定了《信息安全技术公钥基础设施数字证书格式》(征求意见稿)。其中,数字证书的基本信息域格式要求如下表所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
数字证书按类别可分为个人证书、机构证书和设备证书,按用途可分为签名证书和加密证书。其中,签名证书是用于证明签名公钥的数字证书。加密证书是用于证明加密公钥的数字证书。
|
|
|
|
当前,为更好地管理数字证书,一般是基于PKI技术建立数字证书认证系统(简称为CA)。CA提供数字证书的申请、审核、签发、查询、发布以及证书吊销等全生命周期的管理服务。数字证书认证系统的构成及部署如下图所示,主要有目录服务器、OCSP服务器、注册服务器、签发服务器等。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
