公钥基础设施PKI系统
简介
公钥基础设施(Public Key Infrastructure)是为了能够更有效地运用公钥而制定的一系列规范和规格的总称,一般根据其英语缩写而简称PKI。PKI只是一个总称,而并非指某一个单独的规范和规则。例如,RSA公司制定的公钥密码规范就是PKI的一种。
PKI组成要素
用户:使用PKI的人
认证机构:颁发证书的人
仓库:保存证书的数据库
说明:PKI中用户和认证机构不仅局限于“人”,也有可能是计算机,因此也有人称之为主体。
三种角色简介
用户
用户就是像Alice, Bob这样使用PKI的人,主要包括两种:一种是希望使用PKI注册自己公钥的人,另一种是希望使用已注册的公钥的人,例如:Bob已经注册过公钥,Alice可以使用Bob的公钥给Alice发送消息。
注册公钥的用户所进行的操作:
- 生成**对(也可以由认证机构生成)
- 在认证机构注册公钥
- 向认证机构申请证书
- 根据需要申请作废已注册的公钥
- 解密接收到的密文
- 对消息进行数字签名
使用以注册公钥的用户所进行的操作
- 将消息加密后发送给接收者
- 验证数字签名
认证机构CA
认证机构(Certification Authority)CA对证书进行管理的人,具体进行的操作如下:
- 生成**对(也可以由用户自己生成)
- 在注册公钥是对本人身份进行验证
- 生成并颁发证书
在生成证书时,需要使用认证机构的私钥进行数字签名,生成的证书格式一般都是x.509 - 作废证书
当用户的私钥丢失,被盗时,认证机构需要对证书进行作废,或者当员工从公司离职导致其失去私钥的使用权限,或者是名称变更和证书中记载的内容不一致等情况都需要作废证书。纸质证书只要撕毁就可以作废,但是这里的证书是数字信息,即便从仓库中删除也无法作废,因为用户会保存证书的副本,但是认证机构又不能入侵用户的电脑将副本删除,所以要作废证书,认证机构一张证书作废清单,简称CRL,CRL是认证机构宣布作废的证书一览表,具体的说,是一张已经作废的证书***清单,并由认证机构加上数字签名,证书***是认证机构在颁发证书是所赋予的编号。
仓库
仓库是一个保存证书的数据库,PKI用户在需要的时候可以从中获取证书,它的作用有点像打电话时使用的电话本。