第四章-PKI技術
2017年11月15日 星期三
15:41
PKI: Public Key Infrastructure 公共密鑰基礎設施
目的:可以使用戶安心在從事商業活動,而不用擔心數據傳輸在網絡上的安全性
基礎設施的特點:
普適性,透明性,易用性
典型的PKI系統包括:
a. 認證中心CA
b. 證書庫
c. 密鑰備份和恢復系統
d. 證書撤銷處理系統
e. PKI應用接口
PKI提供的服務有:
a. 安全登錄
b. 對終端用戶透明
c. 全面的安全性
PKI的體系結構(五部分)
a. PAA (Policy Approval Authority) 政策批准機構
i. 用於創建整個PKI系統的方針,政策
b. PCA(Pocily Certification Authority) 政策認證機構
i. 制定本PCA的具體政策
c. CA 認證中心
i. 有限的政策制定
d. 在線證書審查機構 (ORA)
i. 進行證書申請者的身份認證
e. 最終實體(End Entity)
i. PKI的最終使用者
PKI的組成:
a. PKI策略: 建立和定義了一個組織信息安全方面的指導方針和密碼系統使用的處理方法
b. 軟硬件系統: 系統運行的軟硬件的集合
c. 認證中心CA: 負責管理密鑰和數字證書的整個生命週期
d. 註冊機構RA: 接受用戶的註冊申請,獲取並確認申請人的身份
e. 證書籤發系統:證書的簽發
f. PKI應用:
g. PKI接口系統:
證書發放的兩種方式:
a. 離線發放
i. 企業級用戶的申請人被批准,RA初始化申請者信息
ii. RA將初始化信息發送給CA,CA爲申請者產生一個參照號和認證碼。RA將參照號和認證碼傳給申請者,申請者輸入參照號和認證碼,在審查機構面對面領取證書
b. 在線發放
i. 個人申請者將信息寫入CA數據庫,RA端在屏幕上答應參照號和認證碼
ii. 個人申請者安裝Root CA
iii. 在網頁上輸入參照號和授權碼,通過驗證後就可以下載自己的證書
證書撤銷:(一個已經頒發的證書過期)
a. 原因:
i. 密鑰泄露
ii. 從屬變更
iii. 停止使用
iv. CA的問題
v. 申請者的問題
信任域:
服從同一組公共策略的實體的集合
信任模型:
a. 嚴格層次模型
b. 分佈式信任模型
c. Web模型
d. 以用戶爲中心的模型
交叉認證:
一種把之前無關的CA連接到一起的有用機制,使得各自主羣體之間的安全通信成爲可能。
CA的組成:
a. 註冊服務器
b. 證書申請受理和審覈機構
c. 認證中心服務器
