PKI = Public Key Infrastructure(公钥基础设施)
基础设施:
就是一个普适性基础,它在一个大环境里起着基本框架的作用,,设施基本原理共通,操作简便,只要遵循基本原则,不同的实体就可以方便地使用基础设施提供的服务。
公钥基础设施:
用非对称密码算法原理和技术是实现并提供安全服务的具有通用性的安全基础设施。
公钥证书:
用户的身份与之所持有的公钥的结合,在结合之前,由一个可信任的权威机构——认证机构(CA)来证实用户的身份。然后由可信任的CA对该用户身份及对应公钥相结合的证书进行数字签名,用来证明证书的有效性。
一个PKI系统主要包括:
认证机构,证书库,密钥备份及恢复系统,证书撤销处理系统,PKI应用接口系统。
PKI主要包括四个部分:
X.509格式证书,证书注销列表CRL;
CA/RA操作协议;
CA管理协议;
CA政策制定。
密钥对产生的两种方式:
用户自己产生密钥对,然后将公钥以安全方式传给CA,该过程应保证用户公钥的可检验性和完整性(验证身份的密钥对应先产生)
CA替用户产生密钥对,然后将其以安全方式传送给用户,必须保证密钥的机密性,完整性和可检验性。该方式下由于用户的私钥为CA所产生,故对CA的可信性有更高的要求。
证书签发两种方式:
离线方式发放:面对面发放,用于企业级高级证书的发放;
在线方式发放:通过Internet使用LDAP(Lightweight Directory Access Protocol ),在i500目录服务器上下载证书。
离线方式发放:
批准注册—->
RA(审核授权部门)在LDAP目录服务器中添加企业证书申请人的有关信息—–>
RA将申请人信息传给CA—–>
CA产生一个参照号(一次性密钥)和一个认证码(也称user ID和Password),以电子邮件,或打印在保密信封中传给申请者—–>
申请者输入参照号级认证密码,在RA面对面领取证书(存在软盘或IC卡等介质中)。
在线方式发放:
个人证书申请者将个人信息写入CA的申请人信息数据库中——>
RA端接收从CA端发放的参照号和认证码,并打印出来,交给申请人—–>
证书申请人回到自己的计算机上,登陆网站,通过浏览器安装Root CA证书——>
申请人在网页上按提示填入参照号和授权号,自助式地下载自己的证书
下图给出了PKI认证和加密数据的基本流图:
传送过程:
A要给B 发送“我们的五年计划是····”的明文,将不定长的明文用摘要算法计算后变为定长的的摘要,然后用认证私钥对摘要进行签名,再将明文和签名后的摘要用相应的对称密钥(用B的加密公钥对对称密钥进行加密传输)进行加密变为密文。
接收过程:
B用自己的加密私钥对对称密钥解密,用得到的对称密钥对密文进行解密,用A的公钥对摘要进行认证,通过认证后,对明文以同样的摘要算法进行摘要计算,如果得到的摘要与A传送过来的摘要一致,则说明明文正确。