公开密钥基础设施(PKI,Public Key Infrastructure),是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的、具有普适性的安全基础设施。具体内容包括:
数字证书
不对称密钥密码技术
认证中心
证书和密钥的管理
安全代理软件
不可否认性服务
时间戳服务
相关信息标准
操作规范等等
也就是说,PKI是一个完整的服务体系。
PKI用于保证网络数据的安全传输。
一、体系结构
PKI的基础是数字证书,核心是认证中心CA。另外还有数字证书的注册审批机构RA、密钥管理中心KMC。
图中的VA是证书验证机构,不属于PKI体系,属于应用部分。比如浏览器。为啥我们访问一些知名的站点,使用的是HTTPS协议,浏览器非常顺当的连接过去,而我们自己开发的站点,用的是自签发证书,浏览器却弹出警告窗口,说我们网站可能不安全呢?原因就在于我们自己签发的证书,浏览器不认;而著名CA签发的证书,有公信力,浏览器从一开始就有一份这些CA的名单,认可它们的证书。
PKI的一些重要概念:
二、一些重要概念
1、双证书、双密钥机制
双证书:签名证书、加密证书
双密钥:签名一对密钥、加密一对密钥。签名密钥由用户自行生成并保存,加密密钥在KMC生成及备份。
生成过程:
1)用户使用客户端产生签名密钥对
2)用户的签名私钥保存在客户端
3)用户将签名密钥对的公钥传送给CA中心
4)CA中心为用户的签名公钥签名,产生“签名证书”
5)CA中心将签名证书传回客户端进行保存
6)KMC为用户生成加密密钥对
7)KMC备份加密密钥对
8)CA为加密密钥对生成证书,称为“加密证书”
9)CA将加密私钥和加密证书打包,打包成标准格式PKCS#12
10)将打包后的文件传回客户端
11)客户端装入加密证书和加密私钥
2、X.509 证书标准
X.509是一项标准,是PKI架构中数字证书的标准。本质上,数字证书是一种数据结构,它将密钥对(公钥在明,私钥在暗)绑定到具体身份,并进行签署。数字证书包含公钥,但不包含私钥。包含的公钥信息里,有公钥和相关使用方法名称。
除此之外,X.509数字证书还有签名算法标识符、认证机构、有效期限、证书持有人基本信息、CA签名等。