|
|
|
|
|
|
|
PKI(Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。它是支持安全五要素的技术基础设施。
|
|
|
|
|
|
.数字证书:由认证机构经过数字签名后发给网上信息交易主体(企业或个人、设备或程序)的一段电子文档。文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥和私钥信息及其他属性信息等。数字证书提供了PKI的基础。
|
|
|
|
.认证中心:即CA,是PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。
|
|
|
|
.数字证书注册审批机构:即RA,是CA的数字证书发放、管理的延伸。它负责数字证书申请者信息的录入、审核以及数字证书发放等工作。RA系统是整个CA中心得以正常运营不可缺少的一部分。
|
|
|
|
.数字签名:利用发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理,这个过程和结果就是数字签名。
|
|
|
|
.密钥和证书管理工具:管理和审计数字证书的工具,认证中心使用它来管理一个在CA上的证书。
|
|
|
|
.双证书体系:PKI采用双证书体系,非对称算法支持RSA和ECC算法,对称密码算法支持国家密码管理委员会指定的算法。
|
|
|
|
|
|
.PKI信任服务体系:是为整个业务应用系统提供基于PKI数字证书认证机制的实体身份鉴别服务,包括了认证机构、注册机构、证书库、证书撤销和交叉认证等。
|
|
|
|
.PKI密钥管理中心:即KMC,提供密钥管理服务,向授权管理部门提供应急情况下的特殊密钥回复功能。包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。
|
|
|
|
|
|
|
|
.如果密钥不备份,当密钥损坏时,以前加密的信息不可解密。
|
|
|
|
|
|
|
|
|
|
|
|
.加密密钥在密钥管理中心生成及备份,签名密钥由用户自行生成并保存。
|
|
|
|
|
|
数字证书是公开密钥体制的一种密钥管理媒介。主要内容有:
|
|
|
|
|
|
.签证机关名称(CA):唯一标识证书签发者的标识符。
|
|
|
|
|
|
.CA的数字签名:CA对证书的数字签名,保证证书的权威性。
|
|
|
|
|
|
|
|
|
|
|
|
PKI/CA对数字证书的管理是按照数字证书的生命周期实施的。数字证书的生命周期包括:
|
|
|
|
.安全需求确定:安全需求的确定必须完成的工作包括标识需要证书的应用程序、确定所需要的安全级别、标识需要证书的用户、确定如何保护私有密钥。
|
|
|
|
.证书登记:从CA申请和接收一个证书的过程称为登记。这个过程可分为几个步骤,包括生成一个密钥对、收集登记信息、申请证书、用CA的公开密钥对申请进行加密、验证信息、创建证书、发送或邮寄证书。
|
|
|
|
|
|
.证书撤回:CRL(证书撤销列表)不会撤回客户端上的所有证书,仅仅撤回CRL中指定的证书。
|
|
|
|
.证书更新:当证书达到它的截止有效日期时会自动变得无效,需要更新一个新证书。
|
|
|
|
.证书审计:使用审计来监控与证书服务器上证书的颁发有关的活动。
|
|
|
|
证书映射为使用者使用数字证书进行实际的应用操作提供了安全的、实际的“交接认证”工作。证书到用户账户的映射可以分为:
|
|
|
|
.一对一映射:创建从个人证书到相应的应用里用户账户的关系。当客户数目相对很小时,使用一对一映射。
|
|
|
|
.多对一映射:为所有证书创建从一个特定CA到一个应用的用户账户的关系。能够把多个证书映射到一个用户的账户中。
|
|
|
|
|
|
X.509中信任的定义为:如果实体A认为实体B严格按A所期望的那样行动,则A信任B。
|
|
|
|
|
|
|
|
.分布式信任结构:把信任分散到两个或更多个(或许是很多个)CA上。
|
|
|
|
.Web模型的信任结构:与严格层次结构模型相似。在该模型中,许多CA的公钥被预装在正在使用的标准浏览器上,浏览器用户最初信任这些CA并把它们作为证书检验的根。
|
|
|
|
.以用户为中心的信任模型:每个用户都对决定依赖哪个证书和拒绝哪个证书直接完全地负责。
|
|
|
|
.交叉认证的信任关系:交叉认证是一种把以前无关的CA连接在一起的有用机制,从而使得在它们各自主体群之间的信任关系得到有效扩展,使彼此的终端实体之间的安全通信成为可能。
|
|
|
|
|
|
认证中心(CA)是PKI/CA提供核心服务的执行机构,广义上还应包含证书的申请注册机构(RA)。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.认证:身份识别和鉴别,确认实体即为自己所声明的实体,鉴别身份的真伪。
|
|
|
|
|
|
|
|
.不可否认性服务:从技术上保证实体对其行为的认可。
|
|
|
|
.公证服务:即数据认证,证明数据的有效性和正确性。
|
|
|
|
|
|
PKI/CA是S-MIS和S2-MIS的安全基础平台。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
