公開密鑰基礎設施(PKI,Public Key Infrastructure),是以不對稱密鑰加密技術為基礎,以資料機密性、完整性、身份認證和行為不可抵賴性為安全目的,來實施和提供安全服務的、具有普适性的安全基礎設施。具體内容包括:
數字證書
不對稱密鑰密碼技術
認證中心
證書和密鑰的管理
安全代理軟體
不可否認性服務
時間戳服務
相關資訊标準
操作規範等等
也就是說,PKI是一個完整的服務體系。
PKI用于保證網絡資料的安全傳輸。
一、體系結構
PKI的基礎是數字證書,核心是認證中心CA。另外還有數字證書的注冊審批機構RA、密鑰管理中心KMC。
圖中的VA是證書驗證機構,不屬于PKI體系,屬于應用部分。比如浏覽器。為啥我們通路一些知名的站點,使用的是HTTPS協定,浏覽器非常順當的連接配接過去,而我們自己開發的站點,用的是自簽發證書,浏覽器卻彈出警告視窗,說我們網站可能不安全呢?原因就在于我們自己簽發的證書,浏覽器不認;而著名CA簽發的證書,有公信力,浏覽器從一開始就有一份這些CA的名單,認可它們的證書。
PKI的一些重要概念:
二、一些重要概念
1、雙證書、雙密鑰機制
雙證書:簽名證書、加密證書
雙密鑰:簽名一對密鑰、加密一對密鑰。簽名密鑰由使用者自行生成并儲存,加密密鑰在KMC生成及備份。
生成過程:
1)使用者使用用戶端産生簽名密鑰對
2)使用者的簽名私鑰儲存在用戶端
3)使用者将簽名密鑰對的公鑰傳送給CA中心
4)CA中心為使用者的簽名公鑰簽名,産生“簽名證書”
5)CA中心将簽名證書傳回用戶端進行儲存
6)KMC為使用者生成加密密鑰對
7)KMC備份加密密鑰對
8)CA為加密密鑰對生成證書,稱為“加密證書”
9)CA将加密私鑰和加密證書打包,打包成标準格式PKCS#12
10)将打包後的檔案傳回用戶端
11)用戶端裝入加密證書和加密私鑰
2、X.509 證書标準
X.509是一項标準,是PKI架構中數字證書的标準。本質上,數字證書是一種資料結構,它将密鑰對(公鑰在明,私鑰在暗)綁定到具體身份,并進行簽署。數字證書包含公鑰,但不包含私鑰。包含的公鑰資訊裡,有公鑰和相關使用方法名稱。
除此之外,X.509數字證書還有簽名算法辨別符、認證機構、有效期限、證書持有人基本資訊、CA簽名等。