1. Infraestructura de clave pública
Infraestructura de clave pública PKI (Public Key Infrastructure) es a través del uso de tecnología de clave pública y certificados digitales para proporcionar servicios de seguridad de sistemas de información, y es responsable de la verificación de la identidad de los titulares de certificados digitales de una arquitectura de. La infraestructura PKI utiliza un certificado para administrar la clave pública. A través de un centro de certificación confiable de terceros, la clave pública del usuario y la información de identidad del usuario se agrupan . Es una infraestructura de seguridad universal y un conjunto de sistemas de servicio.
La función de PKI es vincular la identidad del titular del certificado y la clave pública relevante respondiendo al certificado de datos, proporcionando una forma conveniente para que los usuarios obtengan certificados, accedan a certificados y revoquen certificados. Al mismo tiempo, los certificados digitales y los servicios relacionados (emisión de certificados, emisión de listas negras, etc.) se utilizan para realizar la autenticación de identidad de las entidades en el proceso de comunicación, asegurando la confidencialidad, integridad, no repudio y autenticación de los datos de comunicación.
2. Arquitectura del sistema PKI
La arquitectura PKI consta de solicitantes de certificados, agencias de registro RA, centro de certificación CA y lista de revocación de certificados CRL.
(1) CA ( Autoridad de Certificación ) : Responsable de emitir y revocar certificados (Revocar), recibir solicitudes de RA, es la parte central.
(2) RA (Autoridad de registro) : verifique la identidad del usuario, verifique la legalidad de los datos, sea responsable del registro y envíelo a la CA después de la revisión.
(3) Biblioteca de almacenamiento de certificados : almacene certificados, principalmente en formato estándar de la serie X.500.
El proceso de operación común es que los usuarios se registran para obtener un certificado a través del registro RA, proporcionan información de identidad y autenticación, etc., después de que se completa la auditoría de CA, el certificado se fabrica y se emite al usuario. Si el usuario necesita revocar el certificado, debe enviar la aplicación a la CA nuevamente.
3. Emisión de certificados.
CA que firma un certificado a un usuario en realidad está firmando la clave pública de un usuario, utilizando la clave privada de la CA para firmarlo , de modo que cualquiera pueda usar la clave pública de la CA para verificar la validez del certificado. Si la verificación es exitosa, se reconoce el certificado. El contenido de la clave pública de usuario proporcionada realiza la distribución segura de la clave pública de usuario.
Hay dos formas de emitir certificados de usuario. En general, la CA puede generar directamente el certificado (incluida la clave pública) y la clave privada correspondiente y enviarlo al usuario; el usuario también puede generar la clave pública y la clave privada por sí mismo, y luego la CA firma el contenido de la clave pública.
Hay dos formas para que las entidades PKI soliciten certificados locales de CA: (1) Solicitud en línea (2) Solicitud sin conexión
4. Revocación del certificado.
El certificado se invalidará después de que expire el período de validez. Los usuarios también pueden solicitar a la CA que revoque un archivo de certificado. Debido a que la CA no puede forzar la recuperación del certificado digital emitido, para lograr la invalidación del certificado, a menudo es necesario mantener una lista de revocación de certificados (Lista de revocación de certificados , CRL), utilizado para registrar el número de serie del certificado revocado.
Por lo tanto, en circunstancias normales, cuando un tercero verifica un certificado, es necesario verificar primero si el certificado está en la lista de revocación. Si existe, el certificado no puede ser verificado. De lo contrario, continúe el proceso de verificación del certificado posterior.