目錄
證書認證機構ca
證書廢除列表crl
金鑰管理
證書使用
公鑰基礎設施(public key infrastructure,簡稱pki)是目前網路安全建設的基礎與核心。pki採用證書進行公鑰管理,通過第三方的可信任機構(認證中心,即ca),把使用者的公鑰和使用者的其他標識資訊**在一起,其中包括使用者名稱和電子郵件位址等資訊,以在internet網上驗證使用者的身份。pki把公鑰密碼和對稱密碼結合起來,在internet網上實現金鑰的自動管理,保證網上資料的安全傳輸。
pki管理加密金鑰和證書的發布,並提供諸如金鑰管理(包括金鑰更新,金鑰恢復和金鑰委託等)、證書管理(包括證書產生和撤銷等)和策略管理等。pki產品也允許乙個組織通過證書級別或直接交叉認證等方式來同其他安全域建立信任關係。具有互操作性的結構化和標準化技術成為pki的核心。
pki在實際應用上是一套軟硬體系統和安全策略的集合,它提供了一整套安全機制,使使用者在不知道對方身份或分布地很廣的情況下,以證書為基礎,通過一系列的信任關係進行通訊和電子商務交易。
數字證書是乙個經證書授權中心數字簽名的包含公開金鑰擁有者資訊和公開金鑰的檔案。最簡單的證書包含乙個公開金鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括金鑰的有效時間,發證機關(證書授權中心)的名稱,該證書的序列號等資訊,證書的格式遵循itut x.509國際標準。
x.509證書所包含的主要內容如下:
certificate revocation lists,又稱證書黑名單:為應用程式和其它系統提供了一種檢驗證書有效性的方式。任何乙個證書廢除以後,證書機構ca會通過發布crl的方式來通知各個相關方。目前,同x.509 v3證書對對應的crl為x.509 v2 crl,其所包含的內容格式如下:
證書機構ca用於建立和發布證書,乙個典型的ca系統包括安全伺服器、序號產生器構ra、ca伺服器、ldap目錄伺服器和資料庫伺服器等:
ca伺服器:ca伺服器是整個證書機構的核心,負責證書的簽發。ca首先產生自身的私鑰和公鑰(金鑰長度至少為1024位),然後生成數字證書,並且將數字證書傳輸給安全伺服器。ca還負責為操作員、安全伺服器以及序號產生器構伺服器生成數字證書。安全伺服器的數字證書和私鑰也需要傳輸給安全伺服器。ca伺服器是整個結構中最為重要的部分,存有ca的私鑰以及發行證書的指令碼檔案,出於安全的考慮,應將ca伺服器與其他伺服器隔離。
序號產生器構ra:登記中心伺服器面向登記中心操作員,在ca體系結構中起承上啟下的作用,一方面向ca**安全伺服器傳輸過來的證書申請請求,另一方面向ldap伺服器和安全伺服器**ca頒發的數字證書和證書撤消列表。
ldap伺服器:ldap伺服器提供目錄瀏覽服務,負責將序號產生器構伺服器傳輸過來的使用者資訊以及數字證書加入到伺服器上。這樣其他使用者通過訪問ldap伺服器就能夠得到其他使用者的數字證書。
資料庫伺服器:資料庫伺服器是認證機構中的核心部分,用於認證機構中資料(如金鑰和使用者資訊等)、日誌合統計資訊的儲存和管理。
金鑰管理也是pki(主要指ca)中的乙個核心問題,主要是指金鑰對的安全管理,包括金鑰產生、金鑰備份、金鑰恢復和金鑰更新等。
在實際應用中,為了驗證資訊的數字簽名,使用者首先必須獲取資訊傳送者的公鑰證書,以及一些額外需要的證書(如ca證書等,用於驗證傳送者證書的有效性)。
在使用證書驗證資料時,乙個完整的驗證過程有以下幾步:
如果以上各項均驗證通過,則接受該資料。
公鑰基礎設施PKI
為什麼需要pki pki的基本概念 pki的組成 數字證書 金鑰管理 信任模型 1 公鑰攻擊 公鑰調包 2 公鑰掉調包後 加密 後果 資訊洩露3 公鑰調包後 數字簽名 後果 資訊篡改和身份欺騙 4 如何發布自己的公鑰?1 公開發布 使用者分發自己的公鑰給接收者或廣播給通訊各方 缺點 偽造 任何人都可...
PKI公鑰基礎設施(二)
der二進位制編碼,base64編碼格式的檔案中只包含證書 字尾.cer pkcs12 格式的檔案中即包含證書又包含私鑰 字尾 pfx p12 pkcs7 格式的檔案中包含證書以及證書鏈中所有證書 字尾 p7b pkcs10,客戶端向ca申請數字證書的請求 其中包含使用者個人資訊以及使用者公鑰資訊,...
PKI(公鑰基礎設施)基礎知識筆記
數字簽名 又稱公鑰數字簽名 電子簽章 是一種類似寫在紙上的普通的物理簽名,可是使用了公鑰加密領域的技術實現。用於鑑別數字資訊的方法。一套數字簽名通常定義兩種互補的運算。乙個用於簽名,還有乙個用於驗證。簽名是非對稱加密的一種應用。使用私鑰加密資料,就是對資料的簽名 簽名是將資料通過運算後得到簽名資訊,...