公钥基础设施pki介绍

公钥基础设施pki介绍内容摘要：

收到的报文还原出来的消息摘要不同于用公钥解密得出的摘要 ， 这样很好地保证数据传输的安全性。  认证 :由于公钥与私钥是一一对应的。 因此 B用发送方 A的公钥解密出来的摘要 ， 其值与重新计算出的摘要一致 ， 则该消息一定是由发送方A发出。  不可否认性 :同样也是根据公钥与私钥一一对应的关系 ， 由于只有 A持有自己的私钥 ， 其他人不能假冒 ， 故 A无法否认他发送过该消息。 数字信封 数字信封技术是用密码技术的手段保证只有规定的信息接受者才能获取信息的安全技术。 它克服了秘密密钥加密中密钥分发的困难和公开密钥加密中加密时间长的问题 ， 它在外层使用公开密钥加密技术 ， 因而获得了公开密钥的灵活性 ， 同时在内层使用对称密钥技术 ， 可以提高加密效率。 而且便于在每次传送中使用不同的对称密钥 ， 提供给系统额外的安全保证。 消息 B的公钥 对称加密 消息密文 密钥密文 生成数字信封 发送方 A 对称密钥 加密算法 公钥加密 算法 数字信封 接受方 B 解开数字信封 消息密文 密钥密文 接受方 B 的私钥 数字信封 私钥解密 对称密钥 私钥解密 消息 PKI体系 PKI的概念 数字证书 PKI 基本结构 PKI 的服务实体 CA信任模型 PKI 相关协议 PKI 相关标准 概念 PKI即公钥基础设施它是在公钥密码理论和技术基础上建立起来的一种综合安全平台 ，通过第三方可信任机构 — 认证机构 (Certificate Authority,CA)， 把用户的公钥和用户的其它标识信息 (如姓名 、 Email、 身份证号等 )绑定在一起 ， 为网络用户 、 设备提供信息安全服务的 ， 具有普适性的信息安全基础设施。 PKI是一种遵循既定标准的密钥管理平台 ， 它可以为各种网络应用透明地提供采用加密和数字签名等密码服务所必须的密钥和证书管理 ， 从而达到保证网上传递信息的保密 、 真实 、 完整和不可否认性的目的。 利用 PKI， 人们方便地建立和维护一个可信的网络计算环境 ， 无须直接见面就能确认彼此的身份 ， 安全地进行信息交换。 数字证书 公钥密码体制实现了数字签名 ， 并使密钥管理也变得容易实现起来。 实体所拥有的公钥和其身份信息的一致性是整个 PKI得以实施的基础 ， 因此必须提供一种机制来保证公钥以及与公钥相关的其他信息不被偷偷篡改 ， 而且还需要一种把公钥和它的所有者绑定的机制 ， 这种机制就是数字证书。 数字证书是整个 PKI得以实施的基础。 概念 数字证书类似于现实生活中的身份证。 身份证将个人的身份信息 (姓名 、 出生年月 、 地址和其他信息 )同个人的可识别特性绑定在一起 ， 它由国家权威机关 (公安部 )签发。 数字证书是由权威公正的第三方机构认证 CA签发 ， 并将证书持有者的身份信息和其所拥有的公钥进行绑定的文件信息。 以数字证书为核心的加密技术可以对网络上传输的信息进行加密 、 解密 、 数字签名和签名验证 ， 确保网上信息传递的机密性 、 完整性 ， 及实体身份的真实性 、 签名信息的不可否认性 ， 从而保障网络应用的安全性。 证书信息  证书的版本标识 :描述证书的版本号 ， 证书系统应用工具应该可以识别任何版本的证书 ， 当使用扩展项的时候 ， 建议使用。  证书的序列号 :序列号是 CA给每一个证书分配的一个整数 ， 它是特定 CA签发的证书唯一代码 (即发行者名字和序列号唯一标识一张证书 )。  证书有效期 :证书的有效期是时间间隔 ， 在这期间 CA保证它将保证关于证书的情况的信息。 2049年以前的证书有效期以 UTCTime类型编码 ， 2 0 5 0 年后的 ， 证 书 的 有 效 日 期 以Generalized Time类型编码。  证书的扩展信息 :扩展字段仅出现在 ，它为用户提供公开密钥和证书管理等级制度相结合的附加属性的方法。 证书颁发者信息  颁发者 :颁发者字段用来标识在证书上签名和发行者的实体 ， 颁发者字段含有一非空的能辨识出的名字。  颁发者唯一标识 :这个字段只出现在版本 2或者版本 3中 ， 用来处理在超出有效时间的主题或者发行者名字再使用的可能性。  用来签名的算法标识符 :这个算法是 CA在证书上签名使用的算法 ， 也可以用来判断 CA对证书的签名是否符合所声明的算法。 证书持有者信息 主体 :用来标识证书使用者的可识别信息。 主体公钥 :使用这个字段作为携带公开密钥和密钥使用算法的标识符。 证书所有者唯一标识符。 PKI基本结构 一个完整的 PKI应具备以下功能 :根据 ， 产生密钥对 ， 管理密钥和证书。 为用户提供 PKI服务 ， 如用户安全登录 、 增加和删除用户 、 恢复密钥 、 检验证书等。 完整的 PKI系统包括认证机构 (CA)、 数字证书库 、 密钥备份及恢复系统 、 证书撤销处理系统和 PKI应用接口系统 ， 一般构建 PKI也是围绕这五个系统进行的。 认证机构 认证机构是整个 PKI的核心 ， 它主要的功能有证书发放 、 证书更新 、 证书撤销和证书验证。 CA的核心功能就是发放和管理数字证书 ，具体描述如下 :  接收验证最终用户数字证书的申请。  确定是否接受最终用户数字证书的申请 — 证书的审批。  向申请者颁发或拒绝颁发数字证书 — 证书的发放。  接受 、 处理最终用户的数字证书更新请求 — 证书的更新。  接受最终用户数字证书的查询 、 撤销。  产生和发布证书注销列表 (CRL)。 数字证书库 证书库是 CA颁发证书和撤销证书的存放地 ， 用户可以从此处获得其他用户的证书和公钥。 构造证书库的最佳方法是采用支持 LDAP协议的目录系统 ， 用户或者相关的应用通过 LDAP来访问证书库。 系统必须确保证书库的完整性。 密钥备份和恢复系统 因为某种原因用户可能丢失了解密数据的密钥 ， 密钥的丢失将导致那些被密钥加密过的数据无法恢复而造成数据的丢失。 为了避免这种情况的发生 ， PKI提供了密钥备份与解密密钥的恢复机制 ， 这就是密钥备份与恢复系统。 一个证书的生命周期主要包括三个阶段 :证书初始化注册阶段 、 证书颁发阶段和取消阶段 ，密钥的备份和恢复就发生在初始注册阶段和证书的颁发阶段。  密钥备份 用户在申请证书的初始阶段 ， 如果注册声明公 /私钥对用于加密 ， 出于对数据的机密性考虑 ， 在初始化阶段 ， 可信任的第三方机构 CA即可对该用户的密钥和证书进行备份。  密钥恢复 密钥恢复功能发生在密钥管理生命周期的颁发阶段 ， 是对终端用户因为某种原因而丢失的加密密钥给以恢复。 这种恢复由可信任的密钥恢复中心或 CA来完成。 密钥的恢复和密钥的备份一样 ， 只适合于用户的加密密钥 ， 签名私钥不应备份 ， 因为这样。