Pinvon's Blog

所见, 所闻, 所思, 所想

PKI公开密钥基础设施

安全五要素

PKI可以作为支持认证, 完整性, 机密性和不可否认性的技术基础, 从技术上解决网上身份认证, 信息完整性和抗抵赖性等安全问题.

安全五要素指: 认证, 权限, 完整, 加密, 不可否认.

如, 在信息传递过程中, 接收数据的人是否是应该得到该信息的人? 接收数据的人是否有相应的等级来查看信息? 信息在传输和保存过程中, 是否被他人暗中修改? 数据的加密措施是否可靠? 如何保证该信息就是某人发出的?

PKI

概念

PKI是以公开密钥技术为基础, 来实施和提供安全服务的, 具有普适性的安全基础设施.

PKI是软件, 加密技术和服务的组合. 用户能够使用一个PKI中的证书来确保数据的安全, 并管理来自组织内外的用户的身份验证的证书.

PKI包括:

  • 数字证书
  • 密钥和证书管理工具

数字证书

数字证书相当于网络环境中的一种身份证, 用于证明某一主体的身份及其公钥的合法性.

数字证书的主要内容:

  • 主题名称
  • CA
  • 公钥
  • CA的数字签名(CA对证书的数字签名, 保证证书的权威性, 签名之后要用CA的公钥才能验证)
  • 有效期
  • 序列号
  • 用途

用户公钥的生成方式

  1. 用户自己生成密钥对, 然后将公钥以安全的方式传送给CA, 该过程必须保证用户公钥的可验证性和完整性.
  2. CA替用户生成密钥对, 然后将其以安全的方式传送给用户, 该过程必须确保密钥对的机密性, 完整性和可验证性. 由于私钥由CA生成, 因此对CA的可信性有更高的要求.

A可以通过两种方式获取B的数字证书和公钥:

  1. B将数字证书随同发送的正文信息一起传送给A
  2. 所有的数字证书集中存放于一个数字证书库中, A从该处取得B的数字证书

公钥的用途:

  1. 验证数字签名(消息接收者使用发送者的公钥对消息的数字签名进行验证)
  2. 加密信息(消息发送者使用接收者的公钥加密用于加密消息的密钥, 进行数据加密密钥的传递)

系统中需要配置用于数字签名/验证的密钥对和用于数据加密/解密的密钥对, 分别称为签名密钥对和加密密钥对. 其中, 加密密钥对通常用于分发会话密钥, 应该频繁更换, 生命周期较短.

系统必须针对不同的用途使用不同的密钥对, 尽管有的公钥体制算法(如RSA), 既可用于加密, 又可用于签名, 但在使用中仍然必须为用户配置两对密钥, 两张数字证书, 一个用于加密, 一个用于签名.

Comments

使用 Disqus 评论
comments powered by Disqus