NISP-数字证书与公钥基础设施

NISP-数字证书与公钥基础设施

一.数字证书

1.概述

• 数字证书也称公钥证书，是一个由可信机构颁发的，证明公钥持有者身份的电子凭据。
• 目前应用最广泛的X.509标准。

2.内容

• 绑定了用户身份和公钥
• 网络世界的电子身份证
• 拥有者拥有证书公钥对应的私钥
• 由可信的颁发机构颁发
• 颁发机构对证书进行签名
• 包含用户相关的信息

3.分类

按拥有者分为：

• 机构证书
• 人员证书
• 设备证书

按用途分为：

• 签名证书
• 加密证书

二.公钥基础设施(PKI)

1.概述

• 是一个包括硬件，软件，人员，策略和规程的集合，用来实现基于公钥密码体制的密钥和数字证书的产生，管理，存储，分发和撤销等功能。
• 利用公钥技术和建立的提供信息安全服务的在线基础设施。它利用加密，数字签名，数字证书来保护应用通信或事务处理的安全。
• 它如同电力设施为家用电器提供电力一样，PKI为各种应用提供安全保障，提供网络信任基础。

2.PKI的组成部分及其职能

(1).CA：认证权威机构

• 是PKI的核心。
• 负责数字证书的产生，发放，管理，保证真实性和可靠性。
• 负责管理PKI结构下的所有用户（包括各种应用程序）证书，把用户的公钥和用户的信息捆绑在一起，在网上验证用户身份。

功能：

• 签发数字证书
  • 签发证书
    • 更新证书
• 管理数字证书
  • 撤销，查询
    • 审计，统计
• 验证数字证书
  • 黑名单认证（CRL）
• RA的设立，审查及管理

(2).RA：证书注册机构

• A.证书注册权威
  • B.受理用户的数字证书申请
  • a.对证书申请者身份进行审核并提交CA验证
  • b.类似于派出所
    • C.提供证书生命周期的维护工作
    • a.受理用户证书申请
    • b.协助颁发用户证书
    • c.审核用户真实身份
    • d.受理证书更新请求
    • e.受理证书吊销

(3).LDAP:目录服务

• 证书的存储库，提供了证书的保存，修改，删除和获取的能力。
• CA采用LDAP标准的目录服务存放证书，其作用与数据库相同。
• 优点：在修改操作少的情况下，对于访问的效率比传统数据库高。

(4).CRL:证书撤销列表（黑名单）

• 在证书有效期内，因为某种原因（人员变动，私钥泄露）导致的相应的数字证书内容不再真实可信的，此时进行证书撤销，说明该证书无效。
• CRL中列出了被撤销的证书的序列号。

3.PKI/CA的应用

• 证书的载体：内存，IC卡，软盘，USB-Key
• 电子商务（银行，网购），防钓鱼，身份盗窃
• 电子政务领域（公文流转，政务门户）
• 访问控制领域（机房门禁，Windows登录）
• 通信领域（wifi部署）
• 软件开发领域（代码签名）
• 硬件设备领域（web服务器，域名控制器，VPN）