PKI等介绍

原创已于 2024-12-17 15:03:12 修改 · 1.2k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #网络安全

于 2022-12-04 16:28:42 首次发布

渗透测试&网络安全专栏收录该内容

35 篇文章

订阅专栏

PKI简介

公开密钥基础建设（英语：Public Key Infrastructure，缩写：PKI），又称公开密钥基础架构、公钥基础建设、公钥基础设施、公开密码匙基础建设或公钥基础架构，是一组由硬件、软件、参与者、管理政策与流程组成的基础架构，其目的在于创造、管理、分配、使用、存储以及撤销数字证书。

密码学上，公开密钥基础建设借着数字证书认证机构（CA）将用户的个人身份跟公开密钥链接在一起。对每个证书中心用户的身份必须是唯一的。链接关系通过注册和发布过程建立，取决于担保级别，链接关系可能由CA的各种软件或在人为监督下完成。PKI的确定链接关系的这一角色称为注册管理中心（Registration Authority，RA）。RA确保公开密钥和个人身份链接，可以防抵赖。在微软的公开密钥基础建设之下，注册管理中心（RA）又被叫做从属数字证书认证机构（Subordinate CA）。[1]

可信赖的第三者（Trusted third party，TTP）也常被用来指证书中心。PKI有时被错误地拿来代表公开密钥密码学或公开密钥算法。

目的与机能

公开密钥基础建设的设置使得未联系的电脑用户可以提出认证，并使用公钥证书内的公钥信息加密给对方。解密时，每个用户使用自己的私密密钥解密，该密钥通常被通行码保护。大致而言，公开密钥基础建设由客户端软件、服务端软件、硬件、法律合约与保证、操作程序等组成。签署者的公钥证书也可能被第三者使用，用来验证由该签署者签署的数字签名。

通常，公开密钥基础建设协助参与者对话以达成机密性、消息完整性、以及用户认证，而不用预先交换任何秘密信息。然而互通连成员间的公开密钥基础建设受制于许多现实问题，例如不确定的证书撤销、证书中心发行证书的条件、司法单位规范与法律的变化、还有信任。

组成要素

PKI的组成要素主要有:用户（使用PKI的人或机构）；认证机构（Certification Authority,CA）（颁发证书的人或机构）；仓库（保存证书的数据库）。用户和认证机构称之为实体。[2]

用户是使用PKI的人，使用PKI的人又分为两种：一种是向认证机构（CA）注册自己公钥的人，另一种是希望使用已注册公钥的人。[3]

认证机构是对证书进行管理的人或机构。认证机构进行这几种操作：代用户生成密钥对（当然可以由用户自己生成）；对注册公钥的用户进行身份验证；生成并颁发证书；作废证书。另外，对公钥注册和用户身份验证可以由注册机构（Registration Authority,RA）来完成。[3]

仓库（repository）是存放证书的数据库。仓库也叫证书目录。[3]

典型的用途

大部分企业级的公钥基础建设系统，依赖由更高阶级的证书中心发行给低端证书中心的证书，而层层构筑而成的证书链，来建立某个参与者的身份识别证书的合法性。这产生了不只一个电脑且通常涵盖多个组织的证书层次结构，涉及到多个来源软件间的合作。因此公开的标准对公钥基础建设相当重要。这个领域的标准化多由互联网工程工作小组的PKIX工作群完成。

企业公钥基础建设通常和企业的数据库目录紧密结合，每个员工的公钥内嵌在证书中，和人事资料一起存储。今日最先进的目录科技是轻量目录访问协议（Lightweight Directory Access Protocol，LDAP）。事实上，最常见的证书格式X.509的前身X.500是用于LDAP的前置处理器的目录略图。

信任网络

信任网络（Web of trust）是处理公钥如何跨越时间、空间提供公众认证的另类的方式，它使用自我签署的证书和第三者证词。论及信任网络，并非暗指单一信任网络或共同信任点的存在，而可能是多个不同互连的信任网络。这类实现如PGP和GnuPG。因为PGP和其实现允许电子邮件数字签名使用于自我发行的公钥，这相对更容易实现个人的信任网络。

信任网络的其中一个优点是它可与被某群体完全信赖的公钥基础建设证书中心协同。

简易公开密钥基础建设

另一个未处理公钥认证信息的方案是简易公开密钥基础建设（Simple public key infrastructure，SPKI），它发展出三个独立的功用以免去X.509和PGP信任网络的复杂。简易公开密钥基础建设并不链接个人与密钥，正因密钥才是真正“说话”的角色。SPKI未使用任何信任的概念，正如验证方同时也是发行者。这被称为‘授权环’（authorization loop）。