安全与VPN-PKI技术介绍-D.docx

， ， 安全与VPN-PKI技术介绍 技术介绍安全和 VPN 技术介绍 安全和 VPN 业务 目 录 i i 目 录 PKI 1 PKI简介 1 概述 1 相关术语 1 体系结构 2 主要应用 3 PKI的工作过程 3 技术介绍安全和 VPN 技术介绍 安全和 VPN 业务 PKI PAGE PAGE 1 PKI PKI 简介 概述 PKI（Public Key Infrastructure，公钥基础设施）是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。 PKI 的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥，为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务（证书发布、黑名单发布等）实现通信过程中各实体的身份认证，保证了通信数据的机密性、完整性和不可否认性。 相关术语 数字证书 数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。一般情况下数字证书中还包括密钥的有效时间、发证机关（证书授权中心）的名称和该证书的序列号等信息，证书的格式遵循 ITU-T X.509 国际标准。本手册中涉及两类证书：本地（local）证书和 CA（Certificate Authority）证书。本地证书为 CA 签发给实体的数字证书；CA 证书也称为根证书，为 CA“自签”的数字证书。 证书废除列表（CRL，Certificate Revocation List） 由于用户姓名的改变、私钥泄漏或业务中止等原因，需要存在一种方法将现行的证书撤消，即撤消公开密钥及相关的用户身份信息的绑定关系。在 PKI 中，所使用的这种方法为证书废除列表。任何一个证书被废除以后，CA 就要发布 CRL 来声明该证书是无效的，并列出所有被废除的证书的序列号。CRL 提供了一种检验证书有效性的方式。 当一个 CRL 的撤消信息过多时会导致 CRL 的发布规模变得非常庞大，且随着 CRL 大小的增加，网络资源的使用性能也会随之下降。为了避免这种情况，允许一个 CA 的撤消信息通过多个 CRL 发布出来。CRL 片断也称为 CRL 发布点。 CA 策略 CA 在受理证书请求、颁发证书、吊销证书和发布 CRL 时所采用的一套标准被称为CA 策略。通常， CA 以一种叫做证书惯例声明（ CPS ， Certification Practice Statement）的文档发布其策略，CA 策略可以通过带外（如电话、磁盘、电子邮件 等）或其他方式获取。由于不同的 CA 使用不同的方法验证公开密钥与实体之间的绑定，所以在选择信任的 CA 进行证书申请之前，必须理解 CA 策略，从而指导对实体进行相应的配置。 体系结构 PKI用户端PKI管理端证书发布注册机构RA一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成，如下 图 PKI用户端 PKI管理端 证书发布 注册机构RA 终端实体 终端实体 证书/CRL发布 证书机构CA证书/ C R L存储库图 证书机构CA 证书 / C R L 存储库 终端实体 终端实体是 PKI 产品或服务的最终使用者，可以是个人、组织、设备（如路由器、交换机）或计算机中运行的进程。 证书机构（CA，Certificate Authority） CA 是 PKI 的信任基础，是一个用于签发并管理数字证书的可信实体。其作用包括： 发放证书、规定证书的有效期和通过发布 CRL 确保必要时可以废除证书。 注册机构（RA，Registration Authority） RA 是 CA 的延伸，可作为 CA 的一部分，也可以独立。RA 功能包括个人身份审核、CRL 管理、密钥对产生和密钥对备份等。PKI 国际标准推荐由一个独立的 RA 来完成注册管理的任务，这样可以增强应用系统的安全性。 PKI 存储库 PKI 存储库包括 LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）服务器和普通数据库，用于对用户申请、证书、密钥、CRL 和日志等信息进行存储和管理，并提供一定的查询功能。 LDAP 提供了一种访问PKI 存储库的方式，通过该协议来访问并管理PKI 信息。LDAP 服务器负责将 RA 服务器传输过来的用户信息以及数字证书进行存储，并提供目录浏览服务。用户通过访问 LDAP 服务器获取自己和其他用户的数字证书。 主要应用 PKI 技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施， PKI 的应用范围非常广泛，并