证书库是CA颁发证书和撤消证书的集中存放地,可供公众进行开放式查询 。一般来说,查询的目的有两个:其一是想得到与之通信实体的公钥;其二是要验证通信对方的证书是否已进入 “黑名单” 。证书库支持分布式存放,即可以采用数据库镜像技术,将CA签发的证书中与本组织有关的证书和证书撤消列表存放到本地,以提高证书的查询效率,减少向总目录查询的瓶颈 。
③密钥备份及恢复,是密钥管理的主要内容,如果用户的解密数据的密钥丢失,从而使已被加密的密文无法解开 。
为避免这种情况的发生,PKI提供了密钥备份与密钥恢复机制:当用户证书生成时,加密密钥即被CA备份存储;当需要恢复时,用户只需向CA提出申请,CA就会为用户自动进行恢复 。
④密钥和证书的更新 。一个证书的有效期是有限的,这种规定在理论上是基于当前非对称算法和密钥长度的可破译性分析;在实际应用中是由于长期使用同一个密钥有被破译的危险 。因此,证书和密钥必须有一定的更换频度,PKI对已发的证书进行密钥更新或证书更新 。
证书更新由PKI系统自动完成,不需要用户干预 。用户在使用证书的过程中,PKI会自动到目录服务器中检查证书的有效期,当有效期结束之前,PKI/CA会自动生成一个新证书来代替旧证书 。
⑤证书历史档案 。从密钥更新的过程,经过一段时间后,每个用户都会形成多个旧证书和至少一个当前新证书 。旧证书和相应的私钥组成了用户密钥和证书的历史档案,记录整个密钥历史 。例如,用户几年前用自己的公钥加密的数据无法用现在的私钥解密,那么该用户就必须从他的密钥历史档案中,查找到几年前的私钥来解密数据 。
⑥客户端软件 。为方便客户操作,解决PKI的应用问题,在客户装有客户端软件,以实现数字签名、加密传输数据等功能 。
⑦交叉认证 。交叉认证就是多个PKI域之间实现互操作 。
(4) PKI的相关标准
从PKI体系建立与发展历程来看,PKI标准主要包括:
①X.509(1993)信息技术之开放系统互联鉴别框架 。X.509由国际电信联盟(ITU-T)制定的数字证书标准 。X.500确保用户名称惟一性,X.509为用户名称提供通信实体鉴别机制,规定实体鉴别过程中适用的证书语法和数据接口 。X.509证书由用户公共密钥和用户标识符组成,还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息 。
②PKCS系列标准 。由RSA实验室制订的PKCS系列标准,是一套针对PKI体系的加解密、签名、密钥交换、分发格式及行为标准,该标准目前已经成为PKI体系中不可缺少的一部分 。
③OCSP在线证书状态协议 。OCSP(Online Certificate Status Protocol)是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准 。该标准提供给PKI用户一条方便快捷的数字证书状态查询通道,使PKI体系能够更有效、更安全地在各个领域中被广泛应用 。
(5) PKI的应用
①虚拟专用网络(Virtual Private Network),将分布在不同地点的物理网络通过Internet连接而成的逻辑虚拟子网 。VPN利用PKI与PMI和访问控制技术提高安全性,VPN需要认证、机密、完整、不可否认等完善的安全技术 。PKI技术是架构VPN的基础,为路由器之间、PKI与PMI之间或路由器和PKI与PMI之间提供加密和认证的通信 。
【公钥基础设施PKI技术】②安全电子邮件,一种标准信息交换工具,安全需求是完整、认证和不可否认 。利用PKI技术,用户可以对他所发的邮件进行数字签名 。安全电子邮件协议S/MIME (Secure Multi-purpose InternetMail Extension),是一个加密和签名邮件协议,实现依赖于PKI技术 。
③Web安全,Web交易安全问题:诈骗、泄漏、篡改、攻击 。解决Web安全问题,入手点是浏览器 。IE和Firefox支持SSL协议(Secure Sockets Layer),SSL是一个在传输层和应用层之间的安全通信层 。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信 。
2. 证书权威(CA)
CA是在PKI基础之上的产生和确定数字证书的第三方可信机构(trusted third party),主要功能发放身份证书,管理证书正常使用 。
ca具有权威性、可信赖性及公正性,承担公钥体系中公钥合法性检验 。
ca为每个使用公钥的用户发放一个数字证书,其作用是证明证书中列出的用户,合法拥有证书中列出的公钥 。
ca数字签名,攻击者不能伪造和篡改证书,ca负责吊销证书、发布证书吊销列表(crl),负责产生、分配和管理网上实体所需的数字证书 。
推荐阅读
- SSL工作原理
- IT基础设施国产替代:依次为芯片、操作系统、中间件、数据库
- 个人服务器基础设施架构简介
- Zipkin架构简介
- 密码学及公钥基础设施入门
- 网络密钥交换与公钥分发的方法
- PKI如何帮助缓解网络安全挑战
- 柬埔寨希望中国先进技术经验惠及柬基础设施建设
- 军事应用和5G电信基础设施推动GaN射频市场持续增长
- 网络安全之PKI技术原理