PKI可以解决绝大多数网络安全问题,并初步形成了一套完整的解决方案。该体系在统一的安全认证标准和规范基础上提供在线身份认证,它是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。一个典型的PKI应用系统由认证中心(CA)、证书库、Web安全通信平台等组成,其中认证中心(CA)和证书库是PKI应用系统的核心。
认证中心(CA)作为PKI的核心部分,实现了PKI中一些很重要的功能,概括地说,认证中心(CA)的主要功能有证书颁发、证书更新、证书撤销和证书验证等。CA的核心功能就是发放和管理数字证书,具体描述如下:
●接收并验证最终用户数字证书的申请;
●确定是否接受最终用户数字证书的申请——证书的审批;
●向申请者颁发、拒绝颁发数字证书——证书的发放;
●接收、处理最终用户数字证书的更新请求——证书的更新;
●接收最终用户数字证书的查询、撤销;
●产生和发布证书废止列表(CRL);
●生成密钥对;
●密钥的备份和恢复;
●数字证书、密钥、历史数据的归档。
(1)证书的颁发
从使用者的角度来看,证书可以分为系统证书和用户证书。系统证书是指CA系统自身使用的证书。例如,最高层的根CA自身的根证书等。用户证书按照应用的角度可以分为个人用户证书、企业用户证书和服务器证书等。
申请者在CA的注册机构(RA)进行注册,RA对用户的信息进行审核,更高一级的证书需要CA进行进一步的审核,审核通过后,CA为用户颁发证书。证书的颁发采取两种方式:在线直接从CA处下载;把证书保存在光盘、IC卡、e-KEY中由申请者带走。
(2)证书的更新(www.xing528.com)
一个证书的有效期是有限的,这样规定既有理论上的原因,又有实际操作的因素。在理论上诸如关于当前非对称算法和密钥长度的可破译性分析,同时在实际应用中,证明密钥必须有一定的更换频度,才能得到密钥使用的安全性。因此一个已颁发的证书需要有过期的措施,以便更换新的证书。为了解决密钥更新的复杂性和人工干预的麻烦,应由PKI本身自动完成密钥或证书的更新,完全不需要用户的干预。它的指导思想是:无论用户的证书用于何种目的,在认证时,都会在线自动检查有效期,当失效日期到来之前的某时间间隔内,自动启动更新程序,生成一个新的证书来替代旧证书。
(3)证书的撤销
由于现实生活中的一些原因,比如说私钥的泄露,当事人的失踪死亡等情况的发生,应当对其证书进行撤销。这种撤销应该是及时的,因为如果撤销延迟,会使不再有效的证书仍被使用,造成一定的损失。在CA中,证书的撤销使用的手段是证书撤销列表或称为CRL。即将作废的证书放入CRL中,并及时公布于众,根据不同的实际情况可以采取周期性发布机制和在线查询机制两种方式。
(4)生成密钥对
用户的公钥有两种产生的方式:
1)用户自己生成密钥对,然后将公钥以安全的方式传送给CA。该过程必须保证用户公钥的可验证性和完整性。
2)CA替用户生成密钥对,然后将其以安全的方式传送给用户,该过程必须确保密钥对的机密性、完整性和可验证性。该方式下由于用户的私钥为CA所产生,所以对CA的可信性有更高的要求。CA必须在事后销毁用户的私钥。
(5)密钥的备份和恢复
如果用户由于某种原因丢失了解密数据的密钥,那么被加密的密文将无法解开,这将造成数据丢失。为了避免这种情况的发生,PKI提供了密钥备份与解密密钥的恢复机制。这一工作也是应该由可信的机构CA来完成的,而且密钥的备份与恢复只能针对解密密钥,而签名密钥不能做备份,因为签名密钥是用于不可否认性的证明的,如果存有备份,将不利于保证不可否认性。
认证中心(CA)为了实现其功能,主要由以下三部分组成:
1)注册服务器:通过Web Server建立的站点,可为客户提供不间断的服务。客户在网上提出证书申请和填写相应的证书申请表。
2)证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。
3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
证书库是CA颁发证书和撤销证书的集中存放地,它像网上的“白页”一样,是网上的一种公共信息库,供广大公众进行开放式查询。这是非常关键的一点,因为我们构建CA的最根本目的就是获得他人的公钥。目前通常的做法是将证书和证书撤销信息发布到一个数据库中,成为目录服务器,它采用LDAP目录访问协议,其标准格式采用X.500系列。随着该数据库的增大,可以采用分布式存放,即采用数据库镜像技术,将其中一部分与本组织有关的证书和证书撤销列表存放到本地,以提高证书的查询效率。这一点是任何一个大规模的PKI系统成功实施的基本需求,也是创建一个有效的认证机构CA的关键技术之一。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。