PKI体系框架「建议收藏」
PKI是 Public Key Infrastructure的缩写,主要功能是绑定整数持有者的身份和相关秘钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并且利用数字证书及相关的各种服务(证书发布、黑名单机制、时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。
根据数字证书格式和密钥管理方式的不同,PKI也包括多种模式,如X.509模式、PGP模式、IBE/CPK模式、EMV模式等,由于X.509标准已经陈伟数字证书格式的事实标准,因此大部分情况下PKI特指X.509模式。
PKI体系框架主要包括三部分内容:数字证书与私钥、数字证书的管理、数字证书的应用。 1.数字证书与私钥 PKI引入了数字证书,用于建立公钥月用户之间对应关系。数字证书包含了用户身份信息、用户公钥信息、CA私钥的数字签名。数字证书中只包含公钥,不包含私钥,证书中包含CA私钥的数字签名,因此具有防伪性。证书中不包含秘密信息,因此可以公开。数字证书好比网络身份证,可以解决”你是谁”的问题。
一般私钥会保存在硬件密码设备中(个人的私钥可以保存在USBKEY或IC卡中,系统的私钥可以保存在加密机或加密卡中),而且不允许私钥导出硬件密码设备,只能通过口令、指纹等方式来访问控制硬件密码设备。
2.数字证书的管理 PKI引入CA(Certificate Authority)是为了解决证书的签发问题,CA可以对证书进行集中的签发。CA中心拥有自己的私钥和公钥,使用自己的私钥给用户(包含CA中心自己)签发数字证书。
CA中心主要的工作就是对数字证书的全生命周期进行管理。主要包括:证书的签发和更新、证书的作废(注销、撤销或吊销)、证书的冻结(挂失)和解冻、证书查询和下载、证书状态查询等。
未解决私钥的备份和恢复问题,PKI引入了KMC(Key Managemen Center)。用户的公私钥对有KMC产生,提交CA签发证书后,将私钥和证书安全移交给用户,KMC将私钥备份,用于后期用户丢失私钥时恢复。用户也可自己产生(使用密码设备)秘钥对,向CA申请证书,将私钥安全提交给KMC备份。
此时会出现一个问题,为防止用户身份被冒用,用户私钥应该保证唯一性,不允许备份恢复。为防止公钥加密后的数据无法解密,硬对用户的私钥进行备份。这就是自相矛盾的情况,未解决这样的情况,PKI引入了双证书机制:签名证书和加密证书。签名证书及其私钥只能用于签名验签,不可加解密,此秘钥对由用户自己产生,KMC不备份。加密证书及其私钥只用于加解密,此秘钥对由KMC产生,私钥备份。
为解决证书查询或下载的性能问题,PKI引入了LDAP技术。为了解决用户可以获得对方证书是否失效的状态,PKI映入了CRL(Certificate Revocation List,证书黑名单)和OCSP(Online Certificate Status Protocol,在线查询证书状态)技术。为方便证书业务远程管理,PKI引入RA(Registry Authority),银行窗口使用的就是RA。
3.数字证书的应用 基于数字证书可实现四种基本安全功能:身份认证、保密性、完整性、抗抵赖性。 PKI体系框架如图:
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/171998.html原文链接:https://javaforall.cn
腾讯云开发者
