PKI体系结构知识学习.pdf

PKI体系结构知识学习

.

PKI体系结构学习笔记

一PKI基础

1.1基本概念

1.PKI（publickeyinfrastructure）即公钥基础结构

2.PKI由公钥加密技术，数字证书，证书颁发机构（CA），注册机构（RA）等组成

数字证书用于用户的身份验证，CA是一个可信任的实体，负责发布，更新及吊

销证书，RA接收用户请求功能

3.数据加密是发送方使用接收方的公钥进行数据加密，接收方使用自己的私钥解密

这些数据，数据加密能保证所发送数据的机密性。

数据签名是发送方使用自己的私钥加密，接收方使用发送方的公钥解密，数据签名

能保证数据的完整性，操作的不可否认性

PKI体系结构知识学习

.

两个密钥是成对生成，不能由一个推算出另一个，公钥加密的数据由私钥解密，私

钥加密的数据由公钥进行加密

4.CA(CertificateAuthority)是数字证书认证中心的简称，是指发放、管理、废除

数字证书的机构。

5.CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以

防证书被伪造或篡改，以及对证书和密钥进行管理。

6.CA的核心功能就是发放和管理数字证书，具体功能描述如下:

（1）接收验证用户数字证书的申请。

（2）确定是否接受用户数字证书的申请，即证书的审批。

（3）向申请者颁发（或拒绝颁发）数字证书。

（4）接收、处理用户的数字证书更新请求。

（5）接收用户数字证书的查询、撤销。

（6）产生和发布证书吊销列表（CRL）。

（7）数字证书的归档。

（8）密钥归档。

（9）历史数据归档。

7.数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别

通讯各方的身份，即要在Internet上解决我是谁的问题，就如同现实中我们每

一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份

或某种资格。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密

钥的文件。

PKI体系结构知识学习

.

8.数字证书的存储介质主要有：软盘，硬盘，IC卡，UsbKey

9.数字证书的原理：

利用一对互相匹配的密钥进行加密、解密。

用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名

；同时设定一把公共密钥（公钥）并由本人公开，为一组用户共享，用于加密和验

证签名。

10.证书的主体：用户，计算机，服务等

11.证书可以用于很多方面：web用户身份验证，web服务器身份验证，安全电子邮

件，internet协议安全（IPSec）

证书发放过程：

1.证书申请

用户根据个人信息填好申请证书的信息并提交证书申请信息

2.RA确认用户

PKI体系结构知识学习

.

在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性

3.证书策略处理

如果验证请求成功，那么，系统指定的策略就被运行到这个请求上，比如名称的约束

，密钥长度的约束等

4.RA提交用户申请信息