PKI = Public Key Infrastructure(公鑰基礎設施)
 
基礎設施:
就是一個普適性基礎,它在一個大環境裏起着基本框架的作用,,設施基本原理共通,操作簡便,只要遵循基本原則,不同的實體就可以方便地使用基礎設施提供的服務。
 
公鑰基礎設施:
用非對稱密碼算法原理和技術是實現並提供安全服務的具有通用性的安全基礎設施。
 
公鑰證書:
用戶的身份與之所持有的公鑰的結合,在結合之前,由一個可信任的權威機構——認證機構(CA)來證實用戶的身份。然後由可信任的CA對該用戶身份及對應公鑰相結合的證書進行數字簽名,用來證明證書的有效性。
 
一個PKI系統主要包括:
認證機構,證書庫,密鑰備份及恢復系統,證書撤銷處理系統,PKI應用接口系統。
 
PKI主要包括四個部分:
X.509格式證書,證書註銷列表CRL;
CA/RA操作協議;
CA管理協議;
CA政策制定。
 
 
密鑰對產生的兩種方式:
 
用戶自己產生密鑰對,然後將公鑰以安全方式傳給CA,該過程應保證用戶公鑰的可檢驗性和完整性(驗證身份的密鑰對應先產生)
 
CA替用戶產生密鑰對,然後將其以安全方式傳送給用戶,必須保證密鑰的機密性,完整性和可檢驗性。該方式下由於用戶的私鑰爲CA所產生,故對CA的可信性有更高的要求。
 
 
 
證書籤發兩種方式:
 
離線方式發放:面對面發放,用於企業級高級證書的發放;
在線方式發放:通過Internet使用LDAP(Lightweight Directory Access Protocol ),在i500目錄服務器上下載證書。
 
離線方式發放:
 
批准註冊—->
RA(審覈授權部門)在LDAP目錄服務器中添加企業證書申請人的有關信息—–>
RA將申請人信息傳給CA—–>
CA產生一個參照號(一次性密鑰)和一個認證碼(也稱user ID和Password),以電子郵件,或打印在保密信封中傳給申請者—–>
申請者輸入參照號級認證密碼,在RA面對面領取證書(存在軟盤或IC卡等介質中)。
 
在線方式發放:
個人證書申請者將個人信息寫入CA的申請人信息數據庫中——>
RA端接收從CA端發放的參照號和認證碼,並打印出來,交給申請人—–>
證書申請人回到自己的計算機上,登陸網站,通過瀏覽器安裝Root CA證書——>
申請人在網頁上按提示填入參照號和授權號,自助式地下載自己的證書
 
下圖給出了PKI認證和加密數據的基本流圖:

傳送過程:
A要給B 發送“我們的五年計劃是····”的明文,將不定長的明文用摘要算法計算後變爲定長的的摘要,然後用認證私鑰對摘要進行簽名,再將明文和簽名後的摘要用相應的對稱密鑰(用B的加密公鑰對對稱密鑰進行加密傳輸)進行加密變爲密文。
 
接收過程:
B用自己的加密私鑰對對稱密鑰解密,用得到的對稱密鑰對密文進行解密,用A的公鑰對摘要進行認證,通過認證後,對明文以同樣的摘要算法進行摘要計算,如果得到的摘要與A傳送過來的摘要一致,則說明明文正確。

By john

Leave a Reply