文章目錄
NISP-數字證書與公鑰基礎設施
一.數字證書
1.概述
- 數字證書也稱公鑰證書,是一個由可信機構頒發的,證明公鑰持有者身份的電子憑據。
- 目前應用最廣泛的X.509標準。
2.內容
- 綁定了用戶身份和公鑰
- 網絡世界的電子身份證
- 擁有者擁有證書公鑰對應的私鑰
- 由可信的頒發機構頒發
- 頒發機構對證書進行簽名
- 包含用戶相關的信息
3.分類
按擁有者分爲:
- 機構證書
- 人員證書
- 設備證書
按用途分爲:
- 簽名證書
- 加密證書
二.公鑰基礎設施(PKI)
1.概述
- 是一個包括硬件,軟件,人員,策略和規程的集合,用來實現基於公鑰密碼體制的密鑰和數字證書的產生,管理,存儲,分發和撤銷等功能。
- 利用公鑰技術和建立的提供信息安全服務的在線基礎設施。它利用加密,數字簽名,數字證書來保護應用通信或事務處理的安全。
- 它如同電力設施爲家用電器提供電力一樣,PKI爲各種應用提供安全保障,提供網絡信任基礎。
2.PKI的組成部分及其職能
(1).CA:認證權威機構
- 是PKI的核心。
- 負責數字證書的產生,發放,管理,保證真實性和可靠性。
- 負責管理PKI結構下的所有用戶(包括各種應用程序)證書,把用戶的公鑰和用戶的信息捆綁在一起,在網上驗證用戶身份。
功能:
- 簽發數字證書
- 簽發證書
- 更新證書
- 簽發證書
- 管理數字證書
- 撤銷,查詢
- 審計,統計
- 撤銷,查詢
- 驗證數字證書
- 黑名單認證(CRL)
- RA的設立,審查及管理
(2).RA:證書註冊機構
- A.證書註冊權威
- B.受理用戶的數字證書申請
- a.對證書申請者身份進行審覈並提交CA驗證
- b.類似於派出所
- C.提供證書生命週期的維護工作
- a.受理用戶證書申請
- b.協助頒發用戶證書
- c.審覈用戶真實身份
- d.受理證書更新請求
- e.受理證書吊銷
(3).LDAP:目錄服務
- 證書的存儲庫,提供了證書的保存,修改,刪除和獲取的能力。
- CA採用LDAP標準的目錄服務存放證書,其作用與數據庫相同。
- 優點:在修改操作少的情況下,對於訪問的效率比傳統數據庫高。
(4).CRL:證書撤銷列表(黑名單)
- 在證書有效期內,因爲某種原因(人員變動,私鑰泄露)導致的相應的數字證書內容不再真實可信的,此時進行證書撤銷,說明該證書無效。
- CRL中列出了被撤銷的證書的序列號。
3.PKI/CA的應用
- 證書的載體:內存,IC卡,軟盤,USB-Key
- 電子商務(銀行,網購),防釣魚,身份盜竊
- 電子政務領域(公文流轉,政務門戶)
- 訪問控制領域(機房門禁,Windows登錄)
- 通信領域(wifi部署)
- 軟件開發領域(代碼簽名)
- 硬件設備領域(web服務器,域名控制器,VPN)