返回
公钥基础设施pki篇

公钥基础设施pki篇

ID:32876968

大小:98.50 KB

页数:20页

时间:2019-02-17

公钥基础设施pki篇_第1页
公钥基础设施pki篇_第2页
公钥基础设施pki篇_第3页
公钥基础设施pki篇_第4页
公钥基础设施pki篇_第5页
资源描述:

《公钥基础设施pki篇》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、公钥基础设施PKI篇中国金融认证中心工程项目技术总监关振胜一、PKI简介PKI(PubicKeyInfrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全通信。使用基于公钥技术系统的用户建立安全通信信任机制的基础是:网上进行的任何需要安全服务的通信都是建立在公钥的基础之上的,而与公钥成对的私钥只掌握在他们与之通信的另一方。这个信任的基础是通过公钥证书的使用来实现的。公钥证书就是一个用户的身份与他所持有的公钥的结合,在结合之前由一个可信任的权威机构CA来证实用户的身份,然后由其对该用户身份及

2、对应公钥相结合的证书进行数字签名,以证明其证书的有效性。PKI必须具有权威认证机构CA在公钥加密技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能,兼包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序,以及为PKI体系中的各成员提供全部的安全服务。如:实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息保密等。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。二、PKI体系结构及功能目前,在PKI体系基础上建立起来的安全证书体系得到了从普通用户、商家、银行到政府各职能部门的普遍关注。美国、加拿大等政府机构都提出了建立国家P

3、KI体系的具体实施方案。PKI系统的建立应该着眼于用户使用证书及相关服务的便利性、用户身份认证的可靠性,具体职能包括:制定完整的证书管理政策、建立高可信度的CA中心、负责用户属性的管理、用户身份隐私的保护和证书作废列表的管理;CA中心为用户提供证书及CRL有关服务的管理,建立安全和相应的法规,建立责任划分并完善责任政策。一个典型的PKI体系结构如下:1.政策批准机构PAAPAA是政策批准机构,由它来创建各个PKI系统的方针,批准本PAA下属的PCA的政策,为下属PCA签发公钥证书,建立整个PKI体系的安全策略,并具有监控各PCA行为的责任。具体功能包括:·发布PAA的公钥证书;·

4、制定本体系的政策和操作程序;·制定本PKI体系中建立PCA的政策和操作程序;·对下属PCA和需要定义认证的其他根证书进行身份认证和鉴别;·为下属PCA和需要定义认证的其他根证书产生证书;·发布下属PCA的身份及位置信息;·接收和发布下级PCA的政策;·定义下级PCA申请证书作废请求所需的信息;·接收和认证对它所签发的证书的作废申请请求;·为它所签发的证书产生CRL;·保存证书,保存CRL,审计信息,PCA政策;·发布它所签发的证书及和CRL。2.政策PCA机构PCA为政策CA,制定本PCA的具体政策,可以是上级PAA政策的扩充或细化,但不能与之相背离。这些政策可能包括本PCA范围

5、内密钥的产生、钥密的长度、证书的有效期规定及CRL的管理等等。并为下属CA签发公钥证书。具体功能包括:·发布自己的身份和位置信息;·发布它所签发的下属CA的身份和位置信息;·公布它的服务对象;·发布它所制定的安全政策和证书处理有关程序:——密钥的产生和模长——对PCA、CA、ORA系统的安全控制——CRL的发布频率——审计程序·对下属各成员进行身份认证和鉴别;·产生和管理下属成员的公钥;·发布PAA和自己的证书到下属成员;·定义证书作废请求生效所需的信息和程序;·接收和认证对它所签发的证书的作废申请请求;·为它所签发的证书产生CRL;·保存证书、CRL、审计信息和它所签发的政策;

6、·发布它所签发的证书及CRL。3.认证中心CACA是认证中心,具备有限的政策制定功能,按照上级PCA制定政策,具体的用户公钥证书的签发、生成和发布及CRL生成及发布。具体功能包括:·发布本地CA对PCA政策的增补部分;·对下属各成员进行身份认证和鉴别;·产生和管理下属证书;·发布自身证书和上级证书;·证实ORA的证书申请请求;·向ORA返回证书制作的确认信息或返回已制定好的证书;·接收和认证对它所签发的证书的作废申请;·为它所签发证书产生CRL;·保存证书、CRL、审计信息和它所签发的政策;·发布它所签发的证书和CRL。4.在线证书申请ORA进行证书申请者的身份认证,向CA提交证

7、书申请,验证接收CA签发的证书,并将证书发放给申请者。必要时,还协助进行证书制作。具体功能包括:·对用户进行身份审查和鉴别;·将用户身份信息和公钥以数字签名的方式送给CA;·接收CA返回的证书制作确认信息或制好的证书;·发放CA证书,CA的上级证书以及发放用户证书;·接受证书作废申请,验证其有效性,并向CA发送该申请。三、PKI体系结构的组织方式在一个PKI体系结构内,成员的组织可以有很多方式。包括按日常职能分类的COI方式(Communityofinterest)将PKI体系建

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。