0 序
- 看过上一篇文章、且有点懵的朋友,可以参看本篇————针对PKI体系的核心概念进行解释。
1 PKI体系(公开密钥基础设施体系)
1.1 PKI体系是什么?
-
PKI是Public Key Infrastructure的缩写,中文叫做公开密钥基础设施,也就是利用公开密钥机制建立起来的基础设施。 -
PKI的主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发【数字证书】),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。 -
PKI既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。 -
百度百科的PKI定义:
PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台;目的是为了管理密钥和证书。
一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。
PKI主要包括四个部分:
- X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);
- CA 操作协议;
- CA 管理协议;
- CA 政策制定
- CA中心机构——CA系统——数字证书
- CA 中心机构:管理并运营 CA 系统
负责管理并运营 CA 系统的机构称为 CA 中心机构
- CA 系统:负责颁发数字证书
- 专门负责颁发数字证书的系统称为 CA 系统
- 所有与数字证书相关的各种概念和技术,统称为
PKI(Public Key Infrastructure)。
PKI 的本质是把非对称密钥管理进行标准化。
数字证书:解决公钥与用户映射关系问题;CA:解决数字证书签发问题;KMC:解决私钥的备份与恢复问题;双证书机制:「签名证书及私钥」只用于签名验签,「加密证书及私钥」只用于加密解密。LDAP:解决数字证书查询和下载的性能问题,避免 CA 中心成为性能瓶颈。CRL(证书作废列表) 和 OSCP(在线证书状态协议):方便用户快速获得证书状态。RA:方便证书业务远程办理、方便证书管理流程与应用系统结合。电子认证服务机构:保证 CA 系统在数字证书管理方面的规范性、合规性和安全性。
1.2 PKI 基本组件
- 完整的 PKI 系统必须具有数字证书、v认证中心(CA)、证书库、证书吊销系统、密钥备份及恢复系统、PKI 应用接口系统**等构成部分。
| 组件 | 描述 |
|---|---|
| 数字证书 | 包含了用于签名和加密数据的公钥的电子凭证,是PKI的核心元素 |
| 认证中心(CA) | 数字证书的申请及签发机关,CA必须具备权威性 |
| 证书资料库 | 存储已签发的数字证书和公钥,以及相关证书目录,用户可由此获得所需的其他用户的证书及公钥 |
| 证书吊销列表(CRL)/OCSP | 在有效期内吊销的证书列表,在线证书状态协议OCSP是获得证书状态的国际协议 |
| 密钥备份及恢复 | 为避免因用户丢失解密密钥而无法解密合法数据的情况,PKI提供备份与恢复密钥的机制。必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥不能够作备份 |
| PKI应用接口(API) | 为各种各样的应用提供安全、一致、 可信的方式与PKI交互,确保建立起来的网络环境安全可靠,并降低管理成本 |
1.3 数字证书分类
