PKI與證書服務應用
-什麼是PKI:
Public Key Infrastructure,公鑰基礎結構
l PKI由公鑰加密技術、數字認證、證書頒發結構(CA),註冊機構(RA)等共同組成:數字證書用於用戶的身份驗證;CA是一個可信的實體,負責發佈、更新和吊銷證書;RA接受用戶的請求等功能
l PKI體系能夠實現的功能有:身份認證;數據完整性;數據機密性;操作的不可否認性
-公鑰(Public Key)和私鑰(Private Key)
密鑰是成對生成的,這兩個密鑰互不相同,兩個密鑰可以互相加密和解密;不能根據一個密鑰來推算得出另一個密鑰;公鑰對外公開;私鑰只有私鑰的持有人才知道;私鑰應該由私鑰的持有人妥善保管。
-數據加密:
發送方式用接收方的公鑰加密數據;當接收方使用自己的私鑰解密這些數據;數據加密能保證所發送數據的機密性。
-數字簽名:
發送方式用自己的私鑰加密;接收方使用發送方的公鑰解密;身份驗證、數據的完整性、操作的不可否認性。
-什麼是證書:
l PKI系統中的數字證書簡稱證書
l 它把公鑰和擁有對應私鑰的主體的標識信息(如名稱、電子郵件、身份證號等)捆綁在一起
l 證書的主體可以是用戶、計算機、服務等
l 證書可以用於很多方面:Web用戶身份驗證;Web服務器身份驗證;安全電子郵件;Internet協議安全(IPSec)
l 數字證書是由權威公正的第三方機構即CA簽發的
l 證書包含以下信息:使用者的公鑰值;使用者標識信息(如名稱和電子郵件地址);有效期(證書的有效時間);頒發者標識信息;頒發者的數字簽名
-CA的作用:
CA的核心功能就是頒發和管理數字證書;具體描述如下:處理證書申請;鑑定申請者是否有資格接收證書;證書的發放;證書的更新;接收最終用戶數字證書的查詢、撤銷;產生和發佈證書吊銷列表(CRL);數字證書的歸檔;密鑰歸檔;歷史數據歸檔。
-證書的發放過程:
1. 證書申請:用戶根據個人信息填好申請證書的信息並提交證書申請信息
2. RA確認用戶:在企業內部網中,一般使用手工驗證的方式,這樣更能保證用戶信息的安全性和真實性
3. 證書策略處理:如果驗證請求成功,那麼系統指定的策略就被應用到這個請求上,比如名稱的約束、密鑰長度的約束等
4. RA提交用戶申請信息到CA:RA用自己私鑰對用戶申請信息簽名,保證用戶申請信息是RA提交給CA的
5. CA爲用戶生成密鑰對,並用CA的簽名密鑰對用戶的公鑰和用戶信息ID進行簽名,生成電子證書:這樣CA就將用戶的信息和公鑰捆綁在一起了,然後CA將用戶的數字證書和用戶的公鑰公佈到目錄中
6. CA將電子證書傳送給批准該用戶的RA
7. RA將電子證書傳送給用戶(或者用戶主動取回)
8. 用戶驗證CA頒發的證書:確保自己的信息在簽名過程中沒有被纂改,而且通過CA的公鑰驗證這個證書確實由所信任的CA機構頒發