PKI背景介绍
互联网信息安全困境:
身份证明:怎么告诉别人你是谁?
鉴别:怎么向别人证明你是你所说的人?
如何实现数字签名功能?
如何实现不可否认服务?
公钥和身份如何建立联系?为何要相信这是某人的公钥?
公钥如何管理?
证书公信力--第三方CA?
PKI概念
PKI是Public Key Infrastructure的首字母缩写,即公钥基础设施;PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI技术是一种遵循既定标准的密钥管理平台,它的基础是加密技术,核心是证书服务,支持集中自动的密钥管理和密钥分配,能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。PKI的作用是确立可信赖的数字身份体系,保证信息的安全传输 ,解决应用安全的问题。
PKI是一个利用公钥加密技术为密钥和证书的管理,所设计的组件、功能子系统、操作规程等的集合,它的主要任务是管理密钥和证书,为网络用户建立安全通信信任机制。
PKI是一种标准的密钥管理平台,能够位所有网络应用透明的提供采用加密和数据签名等密码发我所必须的密钥和证书管理。
PKI 是指由数字证书、证书颁发机构 (CA) 以及对电子交易所涉及各方的合法性进行检查和验证的其它注册机构组成的一套系统。PKI 的有关标准仍处于不断发展之中,即使这些标准已被作为电子商务的要素而广泛实施。
PKI组件
PKI当中包含PKI策略、软硬件系统、证书机构CA、注冊机构RA、证书公布系统和PKI应用等。
公钥证书(由可信实体签名的电子记录,记录将公私钥对所有者的身份捆绑在一起);
证书撤销列表(CRL)(通常由同一个发证实体签名。当公钥的所有者丢失私钥,或者改换姓名时,需要将原有的证书作废);
认证机构(CA)(一个可信实体,发放和作废公钥证书,并对各作废证书列表签名);
注册机构(RA)(一个可选PKI实体与CA分开),不对数字证书或证书撤销列表CRL签名,而负责记录和验证部分有关信息特别是主体的身份,这些信息用于CA发发行证书和CRL以及证书管理中;
证书管理机构(CMA):将CA和RA结合起来称CMA;
证书存档库(Reposity):一个电子站点,存放证书和作废证书列表CRL,CA在用证书和作废证书;
署名用户(Subscriber):作为主体署名证书并依据策略使用证书和相应密钥的实体;
依赖方(Relying party):一个接收包括证书和签名信息的人或者机构,利用证书提供的公钥验证其有效性,与持证人建立保密通信,接收处于依赖的地位;
最终用户(End User):署名用户和依赖方的统称,也称末端实体,可以是人,也可以是机器,如路由器或计算机中运行程序,如防火墙。
PKI相关标准
证书标准:X.509 V3 RFC3280
硬件接口标准CSP、PCKS#11、SKF
PKCS系列标准
OCSP在线证书状态协议
目录服务LDAP
SCEP:Cisco公司开发网络设备证书协议