一 PKI简介
PKI(Public Key Infrastructure)公共密钥基础建设,又称为公开密钥基础架构、公钥基础建设、公钥基础设施或公钥基础机构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系,简单来说PKI就是利用公钥理论和技术建立的提供的安全服务设施,是信息安全技术的核心。其目的在于创造、管理、分配、使用、存储以及撤销数字证书。当然PKI既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。
二 PKI的主要组成组件
1、认证中心CA(证书签发)
CA是PKI的核心,即数字证书的申请及签发机关,CA必须具备有权威性的特征,它是负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还有负责用户证书的黑名单登记和黑名单发布。
2、X.500 目录服务器(证书保存)
X.500目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。
3、具有高强度密码算法(SSL)的安全WWW服务器
secure socker layer(ssl)协议最初由Netscape企业发展,现已成为网络用来鉴别和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
4、web(安全通讯平台)
Web client 端和 web server 端两部分,分别安装在客户端和服务器端,通过具有够强度密码算法的ssl协议保证客户端和服务器端数据的机密性、完整性、身份验证。
5、自开发安全应用系统
三 认证中心CA(certificate authority)
1、 接受验证最终用户数字证书的申请。
2、 确定是否接受最终用户数字证书的申请-证书的审批
3、 想申请者颁发、拒绝颁发数字证书-证书的发放。
4、 接受、处理最终用户的数字证书更新请求-证书的更新
5、 接受最终用户数字证书的车讯、撤销
6、 产生和发布证书废纸列表(CRL)
7、 数字证书的归档
8、 密钥归档
9、历史数据归档
数字签名
数字签名的生成:对于要传输的消息原文使用消息摘要算法(MD5、SHA)生成消息摘要,发送方使用自己的私钥对摘要进行加密,生成数字签名。
数字签名的验证:数字签名同消息一通传输给接收方,接收方对签名使用发送方的公钥解密还原摘要,并对得到的原文进行hash计算出消息摘要,比对两份消息摘要是否相同,可以保证消息的完整性和抗否认性。
用发送方私钥生成数字签名,用发送方公钥解密,证明消息确实是由公钥拥有者发出的。两份摘要的比对结果,可以证明消息在传输过程中是否被改动。
数字证书的生成
CA收到数字证书申请并认证申请者的真实身份后,把申请者的公钥、身份信息、数字证书的有效期等信息作为消息原文,进行hash生成摘要,并用CA的私钥加密进行签名;数字签名与证书拥有者的公钥、身份信息、证书有效期等其他信息共同组成数字证书。
数字证书的验证
接收方收到消息证书后,使用CA公钥对数字签名解密生成消息摘要,对证书内容进行hash生成摘要,两份摘要进行比对可证明证书内容的完整性与真实性。
使用CA私钥进行签名和解密,可以证明证书确实是由CA发布的;
两份摘要的对比结果,可以证明证书内容是否在传输过程中被改动;
如果消息原文中的公钥和身份信息是CA的,则是CA自签名的过程。
参考链接: