公钥基础设施 PKI及其应用
pki 应用场景和成功案例
公钥基础设施(PKI)在多种场景中都发挥了关键作用,尤其是在安全通信和数据完整性方面。
以下是一些具体的应用场景和成功案例:
1.虚拟专用网络(VPN):VPN是一种架构在公用通信基础设施上的专用数据通信网络,利用网
络层安全协议(尤其是IPSec)和建立在PKI上的加密与签名技术来获得机密性保护。
基于PKI技术的IPSec协议现在已经成为架构VPN的基础,可以提供经过加密和认证的通信。
2.安全电子邮件:作为Internet上最有效的应用,电子邮件凭借其易用、低成本和高效已经成为
现代商业中的一种标准信息交换工具。
随着Internet的持续增长,商业机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息,这就引出了一些安全方面的问题。
电子邮件的安全需求包括机密、完整、认证和不可否认,而这些都可以利用PKI技术来获得。
3.物联网领域:物联网涉及大量的设备,这些设备需要安全地交换数据并确保通信的安全性。
PKI
在物联网领域的应用示例包括智能家居、智能交通和工业自动化等。
4.区块链:区块链技术需要多个节点之间的安全通信和数据验证。
在区块链中,PKI用于验证节点
的身份和确保数据的安全性。
例如,中国电信、中国移动、中国联通均在区块链领域有不同程度的涉足,探索区块链在电信行业的应用场景,例如国内运营商间利用码号优势建立数字身份、国内运营商与国际运营商间的国际漫游结算、运营商与银行共享征信、运营商间共享计算和带宽、共享基站等。
公钥基础设施(PKI)的原理与应用
公钥基础设施(PKI)的原理与应用作者:数计系计科本091班林玉兰指导老师:龙启平摘要:安全是网络活动最重要的保障,随着Internet的发展,网络安全问题越来越受到人们的关注。
网络交易活动面临着诸如黑客窃听、篡改、伪造等行为的威胁,对重要的信息传递和控制也非常困难,交易安全无法得到保障,一旦受到攻击,就很难辨别所收到的信息是否由某个确定实体发出的以及在信息的传递过程中是否被非法篡改过。
而PKI技术是当前解决网络安全的主要方式之一,本文以PKI技术为基础,详细列举了公钥基础设施基本组成,PKI系统组件和PKI所提供的服务,并介绍了PKI技术特点与应用举例。
关键词:PKI,公钥,认证,网络安全。
一:什么叫公钥基础设施(PKI)?公钥基础设施(PKI)是当前解决网络安全的主要方式之一。
PKI技术是一种遵循既定标准的密钥管理平台,它的基础是加密技术,核心是证书服务,支持集中自动的密钥管理和密钥分配,能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。
简单来说PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施,是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体,PKI可以用来建立不同实体间的“信任”关系,她是目前网络安全建设的基础与核心。
在通过计算机网络进行的各种数据处理、事务处理和商务活动中,涉及业务活动的双方能否以某种方式建立相互信任关系并确定彼此的身份是至关重要的。
而PKI就是一个用于建立和管理这种相互信任关系的安全工具。
它既能满足电子商务、电子政务和电子事务等应用的安全需求,又可以有效地解决网络应用中信息的保密性、真实性、完整性、不可否认性和访问控制等安全问题。
二:公钥基础设施(PKI)系统的组成PKI一般包括以下十个功能组件:1、认证中心(CA)认证中心(CA)是PKI的核心组成部分,是证书签发的机构,是PKI应用中权威的、可信任的、公正的第三方机构。
安全漏洞挖掘与防护课件:公钥基础设施(PKI)
说明 X.509版本号 用于标识证书 签名证书的算法标识符 算法规定的参数 证书颁发者的名称及标识符(X.500) 证书的有效期 证书的有效期 证书持有者的姓名及标识符 证书的公钥算法 证书的公钥参数 证书的公钥
CA对该证书的附加信息,如密钥的用途 证书所有数据经H运行后CA用私钥签名
信息安全理论与技术
5
数字证书实例
信息安全理论与技术
5
4. PKI系统的组成
PKI应用
证书机构CA
注册机构RA
证书签发系统
PKI策略
软硬件系统
信息安全理论与技术
4. PKI系统的组成(续)
5
(1)PKI策略
PKI策略是一个包含如何在实践中增强和支 持安全策略的一些操作过程的详细文档,它建 立和定义一个组织信息安全方面的指导方针, 同时也定义了密码系统使用的方针和原则。
或密码杂凑函数。
3.机密性——向一个实体确保除了接收者,无人能读懂数据的关键
部分。PKI的机密性服务采用类似于完整性服务的机制,就是:首
先,A 生成一个对称密钥(也许是使用他的密钥交换私钥和B的密
钥交换公钥);其次,用对称密钥加密数据(使用对称分组密码加
密数据);最后,将加密后的数据以及A 的密钥交换公钥或用B 的
CA负责证书的颁发和管理,属于可信任的第三方,其 作用类似颁发身份证的机构。CA可以具有层次结构,除 直接管理一些具体的证书之外,还管理一些下级CA,同 时又接受上级CA的管理。
CA分为两类:公共CA通过Internet运作,向大众提 供认证服务;这类CA不仅对最终用户进行认证,而且还 对组织认证。私有CA通常在一个公司的内部或者其他的 封闭的网络内部建立,为它们的网络提供更强的认证和 访问控制。
公钥基础设施(PKI)的作用
公钥基础设施(PKI)的作用公钥基础设施(PKI)是一种加密技术体系,用于确保网络通信的安全性和可信性。
其作用包括建立和管理密钥、数字证书和数字签名等,为信息安全提供了重要的基础支持。
本文将介绍PKI的概念、功能以及在现代社会中的广泛应用。
一、概述PKI是一种安全基础设施,用于确保通信数据的机密性、完整性和认证性。
它包含了加密算法、数字证书、证书颁发机构(CA)和注册机构(RA)等组件,通过这些组件协同工作,实现了保护网络通信的目标。
二、功能1. 机密性保护:PKI通过使用公钥和私钥配对来实现信息的机密性保护。
发送方使用接收方的公钥将信息加密,只有接收方拥有与其对应的私钥,才能解密信息。
2. 完整性保护:PKI使用数字签名技术来保护数据的完整性。
发送方使用私钥对信息进行签名,接收方使用发送方的公钥来验证数字签名,以确保数据在传输过程中没有被篡改。
3. 身份认证:PKI通过数字证书来验证用户的身份。
数字证书中包含用户的公钥和一些身份信息,由可信的证书颁发机构进行签名和发布。
使用者可以通过验证数字证书的合法性,来确认通信双方的身份。
4. 密钥交换:PKI可以实现安全的密钥交换,确保通信双方的密钥不被窃取或篡改。
通过使用公钥加密算法,通信双方可以在不安全的网络中安全地交换密钥。
三、应用1. 电子商务:PKI在电子商务领域的应用非常广泛。
用户可以通过数字证书进行身份验证,并使用数字签名保护交易的机密性和完整性。
此外,PKI还可以提供交易双方之间的安全通信渠道。
2. 电子政务:PKI可用于政府机构与公民之间的安全通信和身份认证。
通过数字证书的应用,政府机构可以确保公民身份的准确性,并保证与公民之间的信息交互的安全性。
3. 敏感数据保护:PKI对于保护敏感数据的安全性至关重要。
银行、金融机构等行业可以使用PKI来保护客户的个人账户信息和交易数据,从而防止黑客攻击和数据泄露。
4. 远程访问和虚拟专用网络(VPN):PKI可用于远程访问和VPN连接的安全性保障。
PKI技术及其发展应用
PKI技术及其发展应用PKI(Public Key Infrastructure,公钥基础设施),是一种基于非对称加密技术的安全体系,用于确保网络通信的机密性、完整性和身份认证。
PKI技术的发展应用范围广泛,包括数字证书、数字签名、SSL/TLS协议、电子邮件安全等。
PKI技术的核心是公钥和私钥的配对使用。
私钥只有持有者知道,用于数据的加密和数字签名;公钥可以公开,用于数据的解密和验证签名。
通过公钥加密,发送者可以将数据安全地传输给接收者,只有接收者使用其私钥才能解密数据。
而通过私钥签名,发送者可以确保数据的完整性和真实性,接收者可以通过发送者的公钥验证签名。
1.数字证书:数字证书是PKI体系中最重要的组成部分。
数字证书通过授权机构(CA)签发,用于确认公钥和身份的关联性。
证书中包含公钥、持有者的身份信息等,由CA对这些信息进行签名。
通过验证证书,用户可以确认数据的真实性和完整性,从而确保通信的安全。
2.数字签名:数字签名是PKI技术中的一项重要应用,用于验证数据的真实性和完整性。
发送者使用私钥对数据进行签名,接收者使用发送者的公钥验证签名。
如果数据在传输过程中被篡改,验证过程将失败。
数字签名被广泛应用于电子合同、电子交易等场景,以确保数据的可靠性。
3. SSL/TLS协议:SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是一种基于PKI的安全传输协议。
通过使用数字证书和非对称加密,SSL/TLS协议可以确保网络通信的安全性。
SSL/TLS协议被广泛应用于网上银行、电子商务等需要保护用户隐私和数据安全的场景。
4.电子邮件安全:PKI技术可以用于确保电子邮件的机密性和完整性。
通过使用数字证书和加密算法,可以对邮件内容进行加密,防止被窃听和篡改。
同时,数字签名可以确保邮件的真实性和完整性。
1.长期可信性:PKI技术的可信性依赖于授权机构(CA)。
PKI在电子商务中的应用
PKI在电子商务中的应用引言随着互联网的迅猛发展,电子商务已成为全球经济发展的重要组成部分。
然而,电子商务的发展也带来了安全和信任的问题。
为了确保电子商务的安全性和可信度,公钥基础设施(PKI)被广泛应用于电子商务领域。
本文将介绍PKI的概念、原理以及其在电子商务中的应用。
PKI的概念公钥基础设施(Public Key Infrastructure,PKI)是一种密钥管理体系,用于确保在不安全的网络环境下进行安全通信。
PKI通过使用非对称加密算法和数字证书来确保数据的机密性、完整性和可靠性。
PKI的四个基本组成部分包括公钥证书机构(Certificate Authority,CA)、注册机构(Registration Authority,RA)、验证机构(Validation Authority,VA)和验证框架(Validation Framework)。
CA是负责颁发和管理数字证书的机构,RA是CA的辅助机构,负责验证申请者身份,VA负责验证数字证书的有效性,验证框架用于验证数字证书的合法性。
PKI的原理PKI的核心原理是基于非对称加密算法。
非对称加密算法使用两个密钥,即公钥和私钥。
公钥用于加密数据,私钥用于解密数据。
公钥可以公开分享,而私钥必须保密。
使用公钥加密的数据只能使用相应的私钥进行解密,保证了数据的机密性。
在PKI中,数字证书被用于证明实体的身份。
数字证书包含实体的公钥和身份信息等,由CA机构颁发并数字签名。
使用者可以通过验证证书的数字签名和CA的信任关系来验证数字证书的有效性和真实性。
PKI在电子商务中的应用数据加密和机密性保护在电子商务中,数据的机密性至关重要。
通过PKI的非对称加密算法,可以使用公钥加密敏感数据,只有具有相应私钥的实体才能解密数据。
这确保了发送的数据在传输过程中不会被窃取或篡改。
身份验证和数字证书的应用PKI在电子商务中的另一个重要应用是身份验证。
通过使用数字证书,电子商务平台可以验证用户的身份。
第六章公钥基础设施PKI案例
第六章公钥基础设施PKI案例公钥基础设施(Public Key Infrastructure,PKI)是一种用于建立、管理和撤销数字证书的系统框架。
PKI使用了一对密钥来加密和解密数据,其中一个是公钥,另一个是私钥。
公钥用于加密数据和验证数字签名,私钥则用于解密数据和生成数字签名。
PKI可以提供身份验证、数据完整性和保密性等基本安全服务。
以下是一个PKI案例的示例,展示了PKI在现实生活中的应用:ABC银行是一家大型国际银行,为了保护客户的账户安全,他们决定建立一个PKI系统。
首先,他们将与合法的证书颁发机构(Certificate Authority,CA)合作,以确保数字证书的有效性和可信度。
CA将颁发由ABC银行的私钥签名的数字证书给ABC银行的客户,证书中包含了客户的公钥和其他信息。
ABC银行的客户在办理银行业务时,会使用自己的私钥生成数字签名,以确保身份的合法性和数据的完整性。
在向银行提交请求时,客户会发送包含数字签名的消息,以及自己的数字证书。
银行接收到请求后,会验证数字签名的有效性和数字证书的合法性。
首先,银行会使用客户的公钥对数字签名进行解密,然后使用与数字证书相关的公钥检查签名是否与消息内容匹配。
如果验证通过,证明请求是合法的,银行会执行相应的业务操作。
此外,ABC银行还使用PKI来确保与其他银行和金融机构的可靠通信。
他们与这些机构共享自己的数字证书,并验证对方机构的数字证书。
通过这种方式,他们可以保证数据在通信过程中的保密性和完整性。
当然,PKI系统不仅仅局限于银行领域,在电子商务、政府机关等各个行业都有广泛的应用。
PKI可以提供一种可靠的方式,确保数据的安全性、数据传输的完整性,并保护用户的身份和隐私。
总之,PKI是一种重要的安全基础设施,可以保护数据和用户的安全。
通过数字证书的使用,PKI可以提供可信任的身份验证和安全通信,为现代社会的各个领域带来安全和便利。
PKI 基础设施安全技术研究与应用
PKI 基础设施安全技术研究与应用PKI(公钥基础设施)是一种用于确保信息安全的加密技术。
其基本原理是利用公钥与私钥两个密钥来进行加密和解密。
公钥是公开的,而私钥必须保密。
PKI 技术广泛应用于电子商务、银行业务、电子政务等领域。
本文将介绍 PKI 基础设施安全技术及其应用。
一. PKI 基础设施安全技术1. 公钥密码学公钥密码学是 PKI 基础设施的核心之一。
其基本原理是使用一对不同的密钥:一个公钥和一个私钥。
公钥可以公开,但私钥必须保密。
利用这两个密钥,可以进行加密和解密操作。
2. 数字证书与数字证书认证机构(CA)数字证书是基于 PKI 技术的一个重要组成部分。
数字证书用于验证身份和信任。
数字证书包含了公钥、身份信息等信息,类似于身份证。
数字证书认证机构(CA)是负责验证数字证书和签发数字证书的机构。
CA 会对申请数字证书的机构,进行审核和验证身份等工作,并将签发数字证书。
3. 数字签名数字签名是基于 PKI 技术的一种验证方法。
数字签名和手写的签名类似,也是用于验证文档的完整性和真实性。
数字签名使用私钥来签名,使用公钥来验证签名是否有效。
4. SSL/TLSSSL(安全套接字层)和 TLS(传输层安全)是基于 PKI 技术的一种应用层协议。
其主要作用是保护 Web 浏览器与 Web 服务器之间的通信安全。
SSL/TLS 利用PKI 技术来实现数字证书的验证、数据加密和解密等操作。
二. PKI 基础设施安全技术的应用1. 电子商务PKI 技术在电子商务中扮演了重要的角色。
通过数字证书、数字签名和 SSL/TLS 等技术,可以确保电子商务中的数据安全、交易的真实性和完整性等问题。
2. 银行业务银行业务也是 PKI 技术的一个重要应用领域。
数字证书和数字签名等技术,可以确保银行业务中的身份验证、消息加密和防止篡改等问题。
3. 电子政务随着信息技术的不断发展,电子政务已经成为了现代政务服务的重要方式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公钥基础设施PKI及其应用PKI-公钥基础设施对称加密算法相同的密钥做加密和解密DES,3-DES,CAST,RC4,IDEA,SSF33,AES加解密速度快,适合大量数据的加密,极强的安全性,增加密钥长度增强密文安全缺点用户难以安全的分享密钥,扩展性差,密钥更新困难,不能用以数字签名,故不能用以身份认证非对称加密算法——公钥算法公私钥对公钥是公开的私钥是由持有者安全地保管用公私钥对中的一个进行加密,用另一个进行解密用公钥加密,私钥解密用私钥签名,公钥验证公钥不能导出私钥发送方用接受方的公钥加密接受方用其私钥解密我国已发布了中国数字签名法签名原理发送方用其私钥进行数字签名接受方用发送方的公钥验证签名RSA,DSA,ECC,Diffie-Hellman优点参与方不用共享密钥扩展性很好实现数字签名缺点慢,不适合大量数据的加解密解决:结合对称密钥算法RSA,ECC同时支持加密和签名密钥和证书管理生命周期X509证书格式,DN,serial,valid date,CRL,public key,extensions,CA digital signature数字证书的验证证书黑名单CRL双证书签名证书密钥只作签名用私钥用户自己保管加密证书密钥做数据加密用私钥应由PKI统一管理CA安全管理证书管理中心策略批准证书签发证书撤消证书发布证书归档密钥管理中心生成恢复更新备份托管证书生命周期申请产生发放查询撤消CA交叉验证应用及证书种类email证书,SET证书,模块签名WEB浏览器证书,WEB服务器证书VPN证书公钥加密是IT安全最基本的保障数字签名身份认证,数字完整,不可抵赖数据加密第1章概述1.1 信息安全的发展趋势1.2 现今的电子商务和电子政务的安全1.3 电子商务、电子政务的安全需求1.3.1 安全策略就是实时计算机信息系统的安全措施及安全管理的知道思想,是在计算机信息系统内,用于所有与安全活动先关的一套规则。
1.授权2.访问控制策略3.责任1.3.2 安全威胁分析可分为基本的安全威胁、主要可实现的威胁和潜在威胁1.基本的完全威胁2.主要可实现的威胁3.现在威胁4.媒体废弃物1.4 网络安全服务安全服务是指一个系统新提供的安全功能,从用户的角度出发,就称做安全需求,所以安全需求与安全服务是同一事务、从两种角度提出。
1.鉴别2.认证3.授权4.访问控制5.完整性6.机密性7.不可否认性8.服务可用性9.安全审计10.责任性1.5 安全服务与安全威胁的关系1.5.1 安全服务与安全机制的关系1.5.2 安全需求与PKI(1)认证需求(2)访问控制需求(3)保密需求(4)数据完整性需求(5)不可否认性需求1.6 公钥基础设施1.7 PKI应用1.7.1 虚拟专用网虚拟专用网是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议或者会话层安全协议,以及建立在PKI上的加密与签名技术获得安全性。
1.7.2 安全电子邮件电子邮件的安全需求也是机密性、完整性、认证和不可否认性1.7.3 Web安全诈骗、泄露、篡改、攻击1.7.4 时间戳服务1.7.5 公证服务第2章PKI理论基础2.1 密码理论基础2.1.1 保密学的基本概念保密学是研究信息系统安全保密的科学。
包含两个分支,即密码学和密码分析学。
采用密码方法可以隐蔽和保护需要保密的消息,适合未授权者不能提取信息。
被隐蔽的消息称做明文。
密码可将明文变换成另一种隐蔽的形式,称为密文或密报。
这种变换过程称做加密,其逆过程,即由密文恢复出原文的过程称为解密。
2.1.2 密码体制1.单钥体制2.双钥体制2.1.3 密码分析2.2 对称密钥密码技术2.2.1 分组密码概述分组密码的工作方法是将明文分成固定长度的块,如64bit一组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。
设计分组密码算法的核心技术是:在复杂函数可以通过简单函数迭代若干轮得到的原则下,利用简单轮函数及复合运算(或称迭代运算),充分利用非线性运算。
2.2.2 美国数据加密标准DESDES是一种对二元数据进行加密的算法,数据分组长度为64bit(8byte),密文分组长度也是64Bit,没有数据扩展。
1.初始置换IP2.逆初置换IP-13.乘积变换4.选择扩展运算E5.密钥加密运算6.选择压缩运算S7.置换运算P8.子密钥产生器2.2.3 分组密码运行模式分组密码每次加密的明文数据量都有固定的分组长度n,而实用中待加密消息的数据量是不定的,数据格式可能是多种多样的。
2.3 非对称密钥密码技术最大的特点是采用两个密钥将加密和解密能力分开:一个公钥作为加密密钥,一个私钥为用户专有。
作为解密密钥,通信双方无须事先换密钥就可以进行保密通信。
2.3.1 公钥密码技术概述公钥加密算法也称非对称密钥算法,用两个密钥:一个公开密钥和一个专用密钥。
用户要保障专用密钥的安全;公开密钥则可以发布出去。
1.公钥密码算法2.Diffie-Hellman密钥交换协议3.DSA美国数字签名算法2.3.2 公钥密码体制1.RSA密码体制2.椭圆曲线密码体制2.3.3 密码杂凑函数1.椭圆曲线2.椭圆曲线上的加法3.密码学中的椭圆曲线4.椭圆曲线上简单的加密解密2.3.4 椭圆曲线在软件注册保护2.3.4 方面的应用2.4 PKI中常用密码技术2.4.1 散列函数散列函数中常用的是密码杂凑函数,它是将一个数据电文压缩成为一个定长、不可逆和唯一的一组杂凑值。
1.单向杂凑函数2.MD-5描述3.SHA描述4.散列杂凑函数的安全性2.4.2 加密/解密技术加密是指使用密码算法对数据做变换,由明文变成密文,使得只具有密钥的持有人才能恢复数据的原貌,即解密,将密文还原为明文。
主要目的是防止消息的非授权泄露。
1.对称密钥加密技术2.非对称密钥加密技术3.杂凑值2.4.3 数字签名数字签名是指使用密码算法,对待发的数据(报文或票证等)进行处理,生成一段杂凑值信息附在原文上一起发送,这段信息类似现实中的签名或印章,接收方对其进行验证,判断原文真伪。
1.具有杂凑值的数字签名2.直接用西药进行加密的数字签名2.4.4 报文检验码报文检验码是保证数据完整性的加密技术,它保证数据在存储、传输和处理过程中的真实有效性和一致性。
报文检验码,也称做报文鉴别码,简称MAC。
它的过程是使用密码算法对原始报文数据进行加密运算,得到一小段密文数据加在原文之后。
2.4.5 数字信封就是信息发送端用接收端的公钥,将一个通信密钥,即对称密钥给予加密,形成一个数字信封(DE),然后传送给接收端。
只有指定的接收方才能有自己的私钥打开数字信封,获取该对称密钥(SK),用它来解读传送来的信息。
2.4.6 双重数字签名就是在有的场合,发送者需要寄出两组相关信息给接收者,对这两组相关信息,接收者只能读其中的一组,而另一组只能转送给第三方接收者,不能打开看其内容,接收者只能解读其中的一组,而另一组只能转送给第三方接收者,不能打开看其内容。
这时发送者就需分别加密两组密文,做两组数字签名,故称做双重数字签名。
第3章PKI的基本概念3.1 PKI的概念3.1.1 一般基础设施概念作为网络基础设施,不同的网络节点之间为了不同的目的,可以互相交换数据,共享网络资源;3.1.2 PKI的应用支持安全基础设施的主要目的就是实现应用支持的功能。
1.简单识别与强识别2.终端用户的透明性3.全面的安全性4.公钥基础设施PKI的特点(1)节省费用(2)互操作性(3)开放性(4)已知的解决方案(5)可验证性(6)可选择性3.2 公钥基础设施的定义PKI是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。
PKI是一种遵循标准的利用公钥加密技术为网上电子商务、电子政务的开展,提供一整套安全的基础平台。
PKI首先必须具有可信任的权威认证机构CA,在公钥加密技术基础上实现证书的产生、管理、存档、发放、以及证书作废管理等功能。
,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范,以及为PKI体系中的各成员提供全部的安全服务。
PKI必须具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI、应用接口系统等主要组成部分。
3.3 公钥基础设施的内容3.3.1 认证机构(Certificate Authority)认证机构是PKI的核心组成部分,是PKI的核心执行机构,一般简称为CA,在业界通常称为认证中心。
它是数字证书的签发机构。
公钥机制涉及到一对密钥,即公钥和私钥,私钥只能由证书持有者秘密掌握,无须在网上传输:而公钥是公开的,需要在网上传送,故公钥体制的密钥管理主要是公钥的管理问题,目前较好的解决方案是引进证书机制。
证书是数字证书,电子证书的简称,是公开密钥体制的一种密钥管理媒介。
公钥两个用处:用于验证数字签名、用于加密信息1.签名密钥对签名密钥对由签名私钥和验证公钥组成。
2.加密密钥对加密密钥对由加密公钥和解密私钥组成3.3.2 证书库证书库是CA颁发证书和撤销证书的集中存放地,是网上的一种公共信息库,供广大公众进行开放式查询。
1.目录服务器的定义目录服务器的组成主要有目录服务器软件,用来存储目录信息,并响应访问请求;复制服务器软件,实现主目录服务器信息到从目录服务器中信息的复制映射;目录服务器管理程序,目录管理员对目录服务器进行配置、维护和管理,以及图形客户端软件等。
2.目录服务器的结构目录服务器一般为层次树状结构,一主多从,与子树组成级联方式。
3.目录服务器的安全特性●提供基于用户名和密码的简单身份认证。
●通过简单认证和安全层(SASL)提供增强的身份认证服务,提供信息的保密性和完整性保护。
●支持通过SSL/TLS为加密传输数据,提供传输层安全性。
系统的TLS/SSL机制为目录服务器和客户端之间的信息传输提供安全通道。
4.什么是LDAPLDAP 轻型目录访问协议是针对以X.500原来不是为TCP/IP网络设计的,而目录服务的最大使用者偏偏是TCP/IP客户,因此,LDAP就被设计成为一个具备目录的大部分服务的协议。
5.LDAP最大的优势●可以在任何计算机平台上,用容易获得得而且不断增加的LDAP的客户端程序访问LDAP目录。
●LDAP协议是跨平台的和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。
●LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据。
●LDAP允许你根据需要使用ACI访问控制列表控制对数据读和写的权限。
3.3.3 证书撤销证书撤销的实现方法有两种:一种方法是利用周期性的发布机制另一种方法是在线查询机制。
1.证书撤销列表CRL(1)版本号(2)签名(3)颁布者(4)本次更新(5)下次更新(6)撤销的证书列表(7)扩展理由代码、证书颁发者、控制指示代码、无效日期2.完全CRL第一是颁发的规模性第二是撤销信息的及时性。