0 序
- 看過上一篇文章、且有點懵的朋友,可以參看本篇————針對PKI體系的核心概念進行解釋。
1 PKI體系(公開密鑰基礎設施體系)
1.1 PKI體系是什麼?
-
PKI
是Public Key Infrastructure
的縮寫,中文叫做公開密鑰基礎設施,也就是利用公開密鑰機制建立起來的基礎設施。 -
PKI
的主要功能是綁定證書持有者的身份和相關的密鑰對(通過爲公鑰及相關的用戶身份信息簽發【數字證書】),爲用戶提供方便的證書申請、證書作廢、證書獲取、證書狀態查詢的途徑,並利用數字證書及相關的各種服務(證書發佈,黑名單發佈,時間戳服務等)實現通信中各實體的身份認證、完整性、抗抵賴性和保密性。 -
PKI
既不是一個協議,也不是一個軟件,它是一個標準,在這個標準之下發展出的爲了實現安全基礎服務目的的技術統稱爲PKI
。 -
百度百科的PKI定義:
PKI
(Public Key Infrastructure
)公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平臺;目的是爲了管理密鑰和證書。
一個機構通過採用PKI
框架管理密鑰和證書可以建立一個安全的網絡環境。
PKI
主要包括四個部分:
- X.509 格式的證書(X.509 V3)和證書廢止列表CRL(X.509 V2);
- CA 操作協議;
- CA 管理協議;
- CA 政策制定
- CA中心機構——CA系統——數字證書
- CA 中心機構:管理並運營 CA 系統
負責管理並運營 CA 系統的機構稱爲 CA 中心機構
- CA 系統:負責頒發數字證書
- 專門負責頒發數字證書的系統稱爲 CA 系統
- 所有與數字證書相關的各種概念和技術,統稱爲
PKI
(Public Key Infrastructure)。
PKI 的本質是把非對稱密鑰管理進行標準化。
數字證書
:解決公鑰與用戶映射關係問題;CA
:解決數字證書籤發問題;KMC
:解決私鑰的備份與恢復問題;雙證書機制
:「簽名證書及私鑰」只用於簽名驗籤,「加密證書及私鑰」只用於加密解密。LDAP
:解決數字證書查詢和下載的性能問題,避免 CA 中心成爲性能瓶頸。CRL
(證書作廢列表) 和 OSCP(在線證書狀態協議):方便用戶快速獲得證書狀態。RA
:方便證書業務遠程辦理、方便證書管理流程與應用系統結合。電子認證服務機構
:保證 CA 系統在數字證書管理方面的規範性、合規性和安全性。
1.2 PKI 基本組件
- 完整的 PKI 系統必須具有數字證書、v認證中心(CA)、證書庫、證書吊銷系統、密鑰備份及恢復系統、PKI 應用接口系統**等構成部分。
組件 | 描述 |
---|---|
數字證書 | 包含了用於簽名和加密數據的公鑰的電子憑證,是PKI的核心元素 |
認證中心(CA) | 數字證書的申請及簽發機關,CA必須具備權威性 |
證書資料庫 | 存儲已簽發的數字證書和公鑰,以及相關證書目錄,用戶可由此獲得所需的其他用戶的證書及公鑰 |
證書吊銷列表(CRL)/OCSP | 在有效期內吊銷的證書列表,在線證書狀態協議OCSP是獲得證書狀態的國際協議 |
密鑰備份及恢復 | 爲避免因用戶丟失解密密鑰而無法解密合法數據的情況,PKI提供備份與恢復密鑰的機制。必須由可信的機構來完成。並且,密鑰備份與恢復只能針對解密密鑰,簽名私鑰不能夠作備份 |
PKI應用接口(API) | 爲各種各樣的應用提供安全、一致、 可信的方式與PKI交互,確保建立起來的網絡環境安全可靠,並降低管理成本 |