计算机网络安全技术与应用第五章.pptVIP

5.3 PKI概述 3．PKI的实体构成 从广义上讲，PKI体系是一个集网络建设、软硬件开发、信息安全技术、策略管理和相关法律政策为一体的大型的、复杂的、分布式的综合系统。一个典型、完整、有效的PKI系统至少应由以下部分组成：认证中心CA、证书库（Certificate Repository，CR）、应用程序接口（Application Programming Interface，API）、密钥备份及恢复系统和证书废除系统、客户端证书处理系统。除此之外，一个PKI系统的运行少不了证书的申请者和证书信任方的参与。 5.3 PKI概述 （1）认证中心CA PKI的核心是信任关系的建立和管理。直接信任和第三方信任是所有网络安全产品实现的基础。而认证中心CA就扮演着这样一个具有权威性的第三方角色，是PKI的主要组成部分之一。其核心职责就是认证用户的身份，为信息安全提供有效的、可靠的保护机制，包括机密性、身份验证特性、不可否认性（交易的各方不可否认它们的参与）。 CA是数字证书的签发机构，是PKI的核心，并且是PKI应用中权威的、可信任的、公正的第三方机构。RA系统是CA证书发放、管理的延伸，具体负责证书申请者的信息录入、审核以及证书发放等工作，同时对发放的证书完成相应的管理功能；发放的数字证书可以存放于IC卡、硬盘或软盘等介质中；RA系统是整个CA得以正常运营不可缺少的一部分。 5.3 PKI概述 （2）证书和证书库CR 证书是数字证书或电子证书的简称，是构成PKI的基本元素。它是参与网上信息交流及商务交易活动的各个实体（例如持卡人、企业、商家和银行等）的身份证明，可证明该用户的真实身份和公钥的合法性，以及该用户与公钥的匹配关系。它相当于护照，而且是一种“电子护照”。 证书库支持分布式存放，当PKI所支持的环境扩充到几十万个或上百万个用户时，PKI信息的及时和强有力的分布机制就显得非常关键，例如目录服务器的分布式存放。这是任何一个大规模的PKI系统成功实施的基本需求，也是创建一个有效认证机构CA的关键技术之一。 5.3 PKI概述 （3）应用程序接口API PKI的价值在于使用户能够方便地使用加密、数字签名、身份认证等安全服务，因此一个完整的PKI必须提供良好的应用程序接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保网络环境的可信性、完整性和经济性。 （4）密钥备份及恢复系统 为了避免灾难的发生，PKI提供了密钥备份及恢复系统。当用户证书生成的同时，解密密钥就被CA备份并存储起来，当需要恢复时，用户只需要向CA提出申请，CA就会为用户自动进行恢复。当然，签名私钥为确保其唯一性，不能进行备份和恢复。 5.3 PKI概述 （5）密钥和证书的更新系统 与日常生活中我们使用的各种各样的身份证件相似，证书也有自己的使用期限，而且由于某种原因在有效期内也可能作废，例如密钥丢失、用户的个人身份信息发生改变、CA对用户不再信任或者用户对该CA不再信任等各种情况。为此，证书和密钥必须要有一定的更新频率。 证书的更新方式有3种：更换一个或多个主题的证书；更换由某一对密钥签发的所有证书；更换某一个CA签发的所有证书。即使在用户正常使用证书的过程中，PKI也会自动不定时地到目录服务器中检查证书的有效期，当有效期将满时，CA会自动启动更新程序，将旧证书列入作废证书列表（俗称黑名单），同时生成一个新证书来代替原来的证书，并通知用户。 5.3 PKI概述 4．PKI的系统功能 （1）证书申请和审批 作为以数字证书为核心实现的PKI安全系统，证书申请和审批功能是最基本的要求。具备证书的申请和审批功能，提供灵活、方便的申请方式，高效、可靠的审批系统，可以保证由该PKI体系提供安全服务的各方能顺利地得到所需要的证书。 （2）产生、验证和分发密钥 ① 用户自己产生密钥对 ② CA为用户产生密钥对 ③ CA（包括政策批准机构PAA、政策CA机构PCA、CA）自己产生自己的密钥对 5.3 PKI概述 （3）证书签发和下载 证书签发是PKI系统中的认证中心CA的核心功能。完成了证书的申请和审批后，将由CA签发的相应证书，其中由CA所生成的证书格式应符合X.509 V3标准。 证书的发放分为离线方式和在线方式两种。 （4）签名和验证 PKI成员对数字签名和认证可以采用多种算法，例如RSA、ECC、DES等，这些算法可以由硬件、软