PKI体系框架

TIME:2019-03-15   click: 327 次

 

PKl主要作用是绑定证书持有者身份和有关密钥对,让用户方便申请、作废、获取、查询证书,并用数字证书及有关服务完成通信中各实体的身份认证、完整性、抗抵赖性和保密性。

由数字证书格式及密钥管理方式的不同,PKI也有多种模式,如X.509模式、PGP模式、IBE/CPK模式、EMV模式等。X.509模式的PKI也叫PKIX。因X.509标准已是数字证书格式的现实标准,因此多数情况下PKI专门指PKIX。如非特殊说明,本文中PKI均指PKIX。PKI体系框架主要有三部分内容。

1.数字证书与私钥

只有用户或系统有自己的公钥与私钥后,才可数字签名与加解密。由于公钥是随机产生的,因此从公钥不能直接知道属于哪个用户。

为解决公钥与用户映射关系问题,PKI引入了数字证书,用于建立公钥与用户间的对应关系。实际上,数字证书是一种特殊的文件格式,含用户身份信息、公钥信息与CA私钥的数字签名。X.509标准规定了数字证书的具体格式。数字证书中只含公钥不含私钥。由于数字证书中含CA私钥的数字签名,因此它有防伪性。因数字证书中不含秘密信息,因此数字证书有公开性。数字证书作为网络身份证,可有效解决网络世界中“你是谁”的问题。

为保证私钥的安全性,通常把私钥保存在硬件密码设备中(如个人的私钥可保存在USB Kcey或IC卡中,系统的私钥可保存在加密机或加密卡中),且不让私钥导出硬件密码设备;通过口令、指纹等来访问控制该硬件密码设备。若把私钥保存在硬盘文件中,则需通过口令加密保护,但私钥文件易被复制。

2.数字证书的管理

PKI引入CA,解决了数字证书的签发问题,是对其集中签发。CA是证书权威,也叫CA中心、认证中心。它有自己的公钥与私钥,用其私钥给用户(包含CA中心自己)签发数字证书。

CA实际是一种特殊的公钥管理中心,为实现数字证书的安全性,管理数字证书的全生命周期主要有数字证书的签发和更新、作废(注销、撤销或吊销)、数冻结(挂失)和解冻、查询或下载、状态查询等。

当私钥丢失时,若没有备份和恢复机制,则公钥加密的全部数据都不能解密,可能给用户带来损失。为解决私钥的备份与恢复问题,PKI引入了KMC来管理私钥的全生命周期,用户公私钥对可由KMC产生,提交CA签发数字证书后,把私钥和数字证书一起安全交给用户,而KMC把私钥留作备份,可按需要给用户恢复。用户公私钥对也可由用户产生,在向CA中心申请数字证书时,可把私钥安全提交KMC留作备份。

为避免用户身份被冒用,应确保用户私钥唯一,不能备份恢复,为防止公钥加密后的数据不能解密,应提供用户私钥的备份恢复机制。为解决这两种矛盾,PKI引入签名和加密证书双证书机制。签名证书及私钥只用于签名验签,该公私钥对必须由用户产生,KMC不备份签名私钥。加密证书及私钥只用于加密解密,该公私钥对必须由KMC产生,且KMC备份加密私钥。

CA中心存储着全部数字证书,并通过公开服务形式供用户随时查询或下载。为解决查询或下载的性能问题,避免CA中心成为性能瓶颈,PKI引入了LDAP(轻量目录访问协议)技术,通过LDAP方式对外提供高速证书查询或下载服务。

当用户私钥泄露后,CA中心会把该用户的证书标记为失效。为方便用户获得证书状态,PKI引入了CRL(证书作废列表,也叫证书黑名单)和OCSP(在线证书状态协议)技术。

保证CA系统安全性的基础上,为方便证书业务远程办理、管理流程与应用系统结合,PKI引入了RA(又叫RA中心、注册中心),专门对用户提供面对面的证书业务服务,负责证书办理/作废申请、用户身份审核、制作证书并移交用户等功能,而涉及证书签发时则提交CA系统集中处理。有时证书管理流程会与应用业务流程结合,并不单独体现出来,如对于网上银行,证书管理流程就会融合到网银业务流程中。

为确保CA系统在数字证书管理方面的规范性、合规性和安全性,PKI引入电子认证服务机构,以第三方运营的方式对外提供数字证书相关服务。电子认证服务提供者,又叫电子认证服务机构或CA中心,需独立运营,要满足政策法规的各项要求和业务运营的业务需求。

3.数字证书的应用

基于数字证书可实现身份认证、保密性、完整性和抗抵赖性四种基本安全功能。

基于证书接口中间件应用系统可很方便地用数字证书技术,从而提高应用系统的身份认证强度、保证应用系统中各种敏感数据的保密性、应用系统中各种敏感数据和交易记录的完整性、用户各种操作或交易的不可否认性。

PKI技术经过30多年的发展,已形成较完善的标准规范体系,几乎覆盖应用系统的各个方面,如今很多软件都已支持数字证书技术。受应用环境多样性和应用技术复杂性的影响,数字证书技术应用的方式可能差异很大。

网上报税和网上银行是数字证书应用的典型案例。国内多数省份上千万家企业已通过数字证书在网上报税。数字证书(俗称U盾)已成为国内网上银行的标准配置。若无数字证书,企业用户是不能用网上银行。上亿个人用户已通过数字证书访问网上银行进行转账或汇款等资金操作。

上一篇:PKI应用 下一篇:数字证书与私钥