本文深入解析了公共密钥基础设施(PKI)技术,介绍了其目的、特点、体系结构及服务,详细阐述了PKI的组成部分,如策略、软硬件系统、认证中心CA、注册机构RA等,并探讨了证书发放方式、撤销原因及信任模型。
第四章-PKI技术
2017年11月15日 星期三
15:41
PKI: Public Key Infrastructure 公共密钥基础设施
目的:可以使用户安心在从事商业活动,而不用担心数据传输在网络上的安全性
基础设施的特点:
普适性,透明性,易用性
典型的PKI系统包括:
a. 认证中心CA
b. 证书库
c. 密钥备份和恢复系统
d. 证书撤销处理系统
e. PKI应用接口
PKI提供的服务有:
a. 安全登录
b. 对终端用户透明
c. 全面的安全性
PKI的体系结构(五部分)
a. PAA (Policy Approval Authority) 政策批准机构
i. 用于创建整个PKI系统的方针,政策
b. PCA(Pocily Certification Authority) 政策认证机构
i. 制定本PCA的具体政策
c. CA 认证中心
i. 有限的政策制定
d. 在线证书审查机构 (ORA)
i. 进行证书申请者的身份认证
e. 最终实体(End Entity)
i. PKI的最终使用者
PKI的组成:
a. PKI策略: 建立和定义了一个组织信息安全方面的指导方针和密码系统使用的处理方法
b. 软硬件系统: 系统运行的软硬件的集合
c. 认证中心CA: 负责管理密钥和数字证书的整个生命周期
d. 注册机构RA: 接受用户的注册申请,获取并确认申请人的身份
e. 证书签发系统:证书的签发
f. PKI应用:
g. PKI接口系统:
证书发放的两种方式:
a. 离线发放
i. 企业级用户的申请人被批准,RA初始化申请者信息
ii. RA将初始化信息发送给CA,CA为申请者产生一个参照号和认证码。RA将参照号和认证码传给申请者,申请者输入参照号和认证码,在审查机构面对面领取证书
b. 在线发放
i. 个人申请者将信息写入CA数据库,RA端在屏幕上答应参照号和认证码
ii. 个人申请者安装Root CA
iii. 在网页上输入参照号和授权码,通过验证后就可以下载自己的证书
证书撤销:(一个已经颁发的证书过期)
a. 原因:
i. 密钥泄露
ii. 从属变更
iii. 停止使用
iv. CA的问题
v. 申请者的问题
信任域:
服从同一组公共策略的实体的集合
信任模型:
a. 严格层次模型
b. 分布式信任模型
c. Web模型
d. 以用户为中心的模型
交叉认证:
一种把之前无关的CA连接到一起的有用机制,使得各自主群体之间的安全通信成为可能。
CA的组成:
a. 注册服务器
b. 证书申请受理和审核机构
c. 认证中心服务器
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
