PKI基础知识
PKI及其有关概念
PKI(Public Key Infrastructure 即公钥基础设施)是一种遵循既定标准的,采用密码技术为网上安全通信提供一整套安全服务的基础平台,能够为所有网络应用提供信息加密和数字签名等密码服务及所必须的密钥与证书管理体系。也就是能够对公私钥对进行管理,支持身份验证、机密性、完整性以及不可否认性服务的具有普适性的信息安全基础设施。
PKI技术是信息安全技术的核心,也是电子商务、电子政务的关键和基础技术。
PKI涉及多个实体之间的协作过程,如CA、RA、KMC。
证书认证机构(Certificate Authority-CA)
证书认证机构又称为认证中心或CA中心,它是被用户所信任的签发公钥证书及证书注销列表的管理机构。它是可信任的,并具有权威性、公正性。
证书注册机构(Registration Authority-RA)
证书注册机构是证书认证体系中的一个组成部分,它是接收用户证书及证书注销列表申请信息、审核用户真实身份,为用户颁发证书的管理机构。
密钥管理中心(Key Management Center-KMC)
密钥管理中心是PKI中的密钥管理机构,主要负责密钥的生成、分发、保存、备份、恢复、更新、归档等管理。
数字证书(Digital Certificate)
数字证书是由认证机构(认证权威)数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。数字证书将PKI中的公钥信息与用户身份信息进行了绑定,由证书可以确定用户的身份。
根据X.509V3标准,数字证书中包含如下信息:
证书版本信息,即为V3;
证书的序列号,每个证书都有唯一的证书序列号;
证书主体名称;
证书所使用的签名算法标识;
证书发行机构的名称;
证书的有效期;
证书所有人的公开密钥;
扩展信息;
证书发行者对证书的签名。
证书撤销列表(Certificate Revoke List-CRL)
证书撤销列表是指由认证机构(证书发布者)确定为证书不再有效,并对无效证书进行了签名的证书列表。
依据X.509V2 CRL标准,CRL应包含以下信息:
CRL的版本号;
签名算法:包含算法标识和算法参数,用于指定证书签发机构对CRL内容进行签名的算法;
证书签发机构名称;
此次签发时间;
下次签发时间;
用户公钥信息:包括撤消的证书序列号和证书撤销时间,以及用户公钥;
签名算法:对CRL内容进行签名的签名算法标识;
CRL扩展域;
签名值。
认证机构证书(Authority Certificate)
认证机构证书是指签发给认证机构的证书。
证书验证(Certificate Validation)
证书验证是指确定证书在指定的时间内是否有效的过程。证书验证包括有效期验证、签名验证以及证书状态的检验。