PKI简介分析和总结.docxVIP

PKI 简介PKI 介 绍 PKI 的概念 PKI 是Public Key Infrastructure的缩写，意为公钥基础设施，是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI 利用数字证书标识密钥持有人的身份， 通过对密钥的规范化管理，为组织机构建立和维护一个可信赖的系统环境，透明地为应用系 统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障，满足各种应用系统 的安全需求。简单的说,PKI 是 提供公钥加密和数字签名服务的系统，目的是为了自动管理密钥和证书，保证网上数字信息传输的机密性、真实性、完整性和不可否认性。 就像墙上的电源插座 和TCP/IP 栈一样 ,它的接入点是统一的。 为什么需要PKI 随着网络技术的发展，特别是Internet 的全球化，各种基于互联网技术的网上应用，如电子政务、电子商务等得到了迅猛发展。网络正逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性，网上的所有信息对所有人都是公开的，因此应用系统对信息 的安全性提出了更高的要求。 对身份合法性验证的要求 以明文方式存储、传送的用户名和口令存在着被截获、破译等诸多安全隐患。同时，还有维护不便的缺点。因此，需要一套安全、可靠并易于维护的用户身份管理和合法性验证机制来 确保应用系统的安全性。 对数据保密性和完整性的要求 企业应用系统中的数据一般都是明文，在基于网络技术的系统中，这种明文数据很容易泄密或被篡改，必须采取有效的措施保证数据的保密性和完整性。 传输安全性要求 以明文方式在网上传输的数据，很容易被截获以至泄密，必须对通信通道进行加密保护。利用通信专线的传统方式已经远远不能满足现代网络应用发展的需求，必须寻求一种新的方法来保证基于互联网技术的传输安全需求。 对数字签名和不可否认的要求 不可抵赖性为了防止事件发起者事后抵赖，对于规范业务，避免法律纠纷起着很大的作用。传统不可抵赖性是通过手工签名完成的，在网络应用中，需要一种具有同样功能的机制来保 证不可抵赖性，那就是数字签名技术。 PKI 基于非对称公钥体制，采用数字证书管理机制，可以为透明地为网上应用提供上述各种安全服务，极大地保证了网上应用的安全性。 功能组成结构 PKI 公钥基础设施体系主要由密钥管理中心、CA 认证机构、RA 注册审核机构、证书/CRL 发布系统和应用接口系统五部分组成，其功能结构如下图所示： 密钥管理中心（KMC）：密钥管理中心向 CA 服务提供相关密钥服务，如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。 CA 认证机构 ：CA 认证机构是PKI 公钥基础设施的核心，它主要完成生成/ 签发证书、生成/签发证书撤销列表（CRL）、发布证书和 CRL 到目录服务器、维护证书数据库和审计日志库等功能。 RA 注册审核机构：RA 是数字证书的申请、审核和注册中心。它是CA 认证机构的延伸。在逻辑上 RA 和 CA 是一个整体，主要负责提供证书注册、审核以及发证功能。 发布系统：发布系统主要提供LDAP 服务、OCSP 服务和注册服务。注册服务为用户提供在线注册的功能；LDAP 提供证书和 CRL 的目录浏览服务；OCSP 提供证书状态在线查询服务。 5 应用接口系统：应用接口系统为外界提供使用 PKI 安全服务的入口。应用接口系统一般采用 API、JavaBean、COM 等多种形式。一个典型、完整、有效的PKI 应用系统至少应具有以下部分 公钥密码证书管理。(证书库) 黑名单的发布和管理。 (证书撤销) 密钥的备份和恢复。自动更新密钥。 自动管理历史密钥。 CA 分布式体系结构的建立 CA 认证机构是PKI 安全体系的核心，对于一个大型的分布式企业应用系统，需要根据应用系统的分布情况和组织结构设立多级CA 机构。CA 信任体系描述了PKI 安全体系的分布式结构，具体结构形式如图 2-2 所示。 图表?1 CA 信任体系结构 CA 证书签发管理机构 CA 证书签发管理机构指包括根CA 在内的各级CA。根 CA 是整个CA 体系的信任源。负责整个CA 体系的管理，签发并管理下级CA 证书。从安全角度出发，根CA 一般采用离线工作方式。 根以下的其他各级CA 负责本辖区的安全，为本辖区用户和下级CA 签发证书，并管理所发证书。 理论上CA 体系的层数可以没有限制的，考虑到整个体系的信任强度，在实际建设中，一般都采用两级或三级CA 结构。 1.4.2. RA 注册审核机构设置 从广义上讲，RA 是 CA 的一个组成部分，主要负责数字证书的申请、审核和注册。除了根CA 以外，每一个CA 机构都包括一个RA 机构，负责本级CA 的证书申请、审核工作。 RA 机构的设置可以根据企业行政管理机构来进行，RA 的下级级构