PKI基础知识,及PKI流程
一、 什么是数字证书
互联网(Internet)为使用者提供了一个开放的、跨越国界的的信息高速公路的同时,促进了电子商务的产生和发展。电子商务的蓬勃发展给各行各业带来了机遇,但网上欺诈、偷盗和非法闯入等行为对电子商务构成了严重威胁。身份认证中心(CA)的出现和数字安全证书的使用,有效遏制了网上欺诈等行为,为电子商务的开展提供了更加安全的网络环境。
数字安全证书就是标志网络用户身份信息的一系列数据,是用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
在网上电子交易中,商户需要确认持卡人是信用卡或借记卡的合法持有者,同时持卡人也必须能够鉴别商户是否是合法商户,是否被授权接受某种品牌的信用卡或借记卡支付。而数字安全证书就是参与网上交易活动的各方(如持卡人、商家、支付网关)身份的代表,每次交易时,都要通过数字安全证书对各方的身份进行验证。基于数字证书的关键性,数字证书必须有一个大家都信赖的公正的第三方认证机构即CA中心来颁发和管理。
数字安全证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循itut x.509国际标准。
一个标准的x.509数字安全证书包含以下一些内容:
证书的版本信息;
证书的序列号,每个证书都有一个唯一的证书序列号;
证书所使用的签名算法;
证书的发行机构名称,命名规则一般采用x.500格式;
证书的有效期,现在通用的证书一般采用utc时间格式;
证书所有人的名称,命名规则一般采用x.500格式;
证书所有人的公开密钥;
证书发行者对证书的签名。
二、数字证书可以用在什么地方
随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。
三、CA中心的概念
CA中心的核心职能是发放和管理用户的数字安全证书。CA中心在整个电子商务环境中处于至关重要的位置,它是整个信任链的起点。CA中心是开展电子商务的基础,如果CA中心不安全或发放的证书不具权威性,那么网上电子交易就根本无从谈起。
CA中心所发放的数字安全证书就是网络通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在交往中用它来识别对方的身份。
四、什么是电子签名
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。
电子签名是伴随着信息网络技术的发展而出现的一种安全保障技术,目的就是通过技术手段实现传统的纸面签面或者盖章的功能,以确认交易当事人的真实身份,保证交易的安全性、真实性和不可抵赖性。从广义上讲,在不使用纸张的电子交易环境中,所有通过技术手段生成的,可以代替纸面签字或盖章的符号、代码、标识等都可以称为电子签名。根据《电子签名法》的规定,电子签名是指数据电文中以电子形式所含的数据。与手写签名或者盖章一样,电子签名有两个基本功能:一是用于识别签名人的身份,二是表示签名人对文件内容的认可。
五、PKI及其有关概念
PKI(Public Key Infrastructure 即公钥基础设施)是一种遵循既定标准的,采用密码技术为网上安全通信提供一整套安全服务的基础平台,能够为所有网络应用提供信息加密和数字签名等密码服务及所必须的密钥与证书管理体系。也就是能够对公私钥对进行管理,支持身份验证、机密性、完整性以及不可否认性服务的具有普适性的信息安全基础设施。
PKI技术是信息安全技术的核心,也是电子商务、电子政务的关键和基础技术。
PKI涉及多个实体之间的协作过程,如CA、RA、KMC。
证书认证机构(Certificate Authority-CA)
证书认证机构又称为认证中心或CA中心,它是被用户所信任的签发公钥证书及证书注销列表的管理机构。它是可信任的,并具有权威性、公正性。
证书注册机构(Registration Authority-RA)
证书注册机构是证书认证体系中的一个组成部分,它是接收用户证书及证书注销列表申请信息、审核用户真实身份,为用户颁发证书的管理机构。
密钥管理中心(Key Management Center-KMC)
密钥管理中心是PKI中的密钥管理机构,主要负责密钥的生成、分发、保存、备份、恢复、更新、归档等管理。
1、CA的密钥:CA( Certification Authority ,证书认证中心)的密钥是整个系统的核心机密,它在系统安装时产生,生成之后加密存储在存储服务器的数据库或硬件主机加密服务器中。
2、用户的密钥:用户的签名密钥由客户端产生,生成后加密存储在客户端本机文件或操作系统安全区中。
数字证书(Digital Certificate)
数字证书是由认证机构(认证权威)数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。数字证书将PKI中的公钥信息与用户身份信息进行了绑定,由证书可以确定用户的身份。
根据X.509V3标准,数字证书中包含如下信息:
证书版本信息,即为V3;
证书的序列号,每个证书都有唯一的证书序列号;
证书主体名称;
证书所使用的签名算法标识;
证书发行机构的名称;
证书的有效期;
证书所有人的公开密钥;
扩展信息;
证书发行者对证书的签名。
证书撤销列表(Certificate Revoke List-CRL)
证书撤销列表是指由认证机构(证书发布者)确定为证书不再有效,并对无效证书进行了签名的证书列表。
依据X.509V2 CRL标准,CRL应包含以下信息:
CRL的版本号;
签名算法:包含算法标识和算法参数,用于指定证书签发机构对CRL内容进行签名的算法;
证书签发机构名称;
此次签发时间;
下次签发时间;
用户公钥信息:包括撤消的证书序列号和证书撤销时间,以及用户公钥;
签名算法:对CRL内容进行签名的签名算法标识;
CRL扩展域;
签名值。
认证机构证书(Authority Certificate)
认证机构证书是指签发给认证机构的证书。
证书验证(Certificate Validation)
证书验证是指确定证书在指定的时间内是否有效的过程。证书验证包括有效期验证、签名验证以及证书状态的检验。
1. 单证书的签发
1) 用户填写信息注册(或者由RA的业务操作员注册用户)。2) 用户信息传递到RA。
3) RA审核通过
4) 用户请求发证
5) RA审核通过
6) 用户签发证书请求。
7) RA把用户信息传递到CA。
8) CA到KMC中取密钥对,(密钥对由加密机生成,生成的密钥对)。
9) CA把用户信息和从KMC中取到的公钥制作成证书。
10) CA用自己的私钥给用户证书签名。
11) CA把自己的用户证书和用户的私钥通过SSL通路传递给RA。
12) 用户从RA下载证书。
13) 用户安装证书。
2. 双证书的签发
1) 签名证书的签发 a) 用户填写信息注册(或者由RA的业务操作员注册用户)。b) 用户本地ACTIVE控件调用IE中的加密机生成签名证书的密钥对。
c) 用户填写的信息和签名证书的公钥传递给RA。
d) RA把用户信息和公钥传递给CA。
e) CA把用户信息和从KMC中取到的公钥制作成证书。
f) CA用自己的私钥给用户证书签名。
g) CA把生成的用户证书传递给RA。
h) 用户从RA下载证书。
i) 用户安装签名证书。
2) 加密证书的签发 a) 用户把用户的签名证书传递到RA。
b) RA用户的签名证书传递到CA。
c) CA到KMC中取密钥对,(密钥对由加密机生成,生成的密钥对)。
d) CA把从签名证书中得到的用户信息和从KMC中取到的公钥制作成证书。
e) CA用自己的私钥给用户证书签名。
f) CA调用签名证书的公钥给加密证书和用户加密证书的私钥加密。
g) CA把加密之后的加密证书和加密证书的私钥传递给RA。
h) 用户从RA加密之后的加密证书和加密证书的私钥。
i) 用户在本地调用签名证书的私钥解密加密证书和加密证书的私钥。
j) 用户安装加密证书。