PKI與證書服務應用

PKI與證書服務應用

-什么是PKI：

Public Key Infrastructure，公鑰基礎結構

l PKI由公鑰加密技術、數字認證、證書頒發結構（CA），注冊機構（RA）等共同組成：數字證書用于用戶的身份驗證；CA是一個可信的實體，負責發布、更新和吊銷證書；RA接受用戶的請求等功能

l PKI體系能夠實現的功能有：身份認證；數據完整性；數據機密性；操作的不可否認性

-公鑰（Public Key）和私鑰（Private Key）

密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰可以互相加密和解密；不能根據一個密鑰來推算得出另一個密鑰；公鑰對外公開；私鑰只有私鑰的持有人才知道；私鑰應該由私鑰的持有人妥善保管。

-數據加密：

發送方式用接收方的公鑰加密數據；當接收方使用自己的私鑰解密這些數據；數據加密能保證所發送數據的機密性。

-數字簽名：

發送方式用自己的私鑰加密；接收方使用發送方的公鑰解密；身份驗證、數據的完整性、操作的不可否認性。

-什么是證書：

l PKI系統中的數字證書簡稱證書

l 它把公鑰和擁有對應私鑰的主體的標識信息（如名稱、電子郵件、***號等）捆綁在一起

l 證書的主體可以是用戶、計算機、服務等

l 證書可以用于很多方面：Web用戶身份驗證；Web服務器身份驗證；安全電子郵件；Internet協議安全（IPSec）

l 數字證書是由權威公正的第三方機構即CA簽發的

l 證書包含以下信息：使用者的公鑰值；使用者標識信息（如名稱和電子郵件地址）；有效期（證書的有效時間）；頒發者標識信息；頒發者的數字簽名

-CA的作用：

CA的核心功能就是頒發和管理數字證書；具體描述如下：處理證書申請；鑒定申請者是否有資格接收證書；證書的發放；證書的更新；接收最終用戶數字證書的查詢、撤銷；產生和發布證書吊銷列表（CRL）；數字證書的歸檔；密鑰歸檔；歷史數據歸檔。

-證書的發放過程：

1. 證書申請：用戶根據個人信息填好申請證書的信息并提交證書申請信息

2. RA確認用戶：在企業內部網中，一般使用手工驗證的方式，這樣更能保證用戶信息的安全性和真實性

3. 證書策略處理：如果驗證請求成功，那么系統指定的策略就被應用到這個請求上，比如名稱的約束、密鑰長度的約束等

4. RA提交用戶申請信息到CA：RA用自己私鑰對用戶申請信息簽名，保證用戶申請信息是RA提交給CA的

5. CA為用戶生成密鑰對，并用CA的簽名密鑰對用戶的公鑰和用戶信息ID進行簽名，生成電子證書：這樣CA就將用戶的信息和公鑰捆綁在一起了，然后CA將用戶的數字證書和用戶的公鑰公布到目錄中

6. CA將電子證書傳送給批準該用戶的RA

7. RA將電子證書傳送給用戶（或者用戶主動取回）

8. 用戶驗證CA頒發的證書：確保自己的信息在簽名過程中沒有被纂改，而且通過CA的公鑰驗證這個證書確實由所信任的CA機構頒發