(一)背景
- 公钥密码体制不仅能实现加密,也能提供识别和认证服务
- 通过可信第三方提供“公钥证书(实体绑定公钥)”解决公钥真实性和所有权问题
(二)相关概念
(1)PKI(Public Key Infrastructure):是有关创建、管理、存储、分发和撒销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。提供了一种系统化的、可扩展的、统一的、易控制的公钥分发方法。
(2)认证机构:简称CA( Certification Authority),负责颁发证书(含有实体名、公钥以及实体其他身份信息)。
(三)PKI安全服务
- 身份认证
- 完整性保护
- 数字签名
- 会话加密管理
- 密钥恢复
(四)PKI构成
(五)PKI功能
主要实体 | 功能 | |
1 | 证书授权机构CA (Certification Authority) | 证书颁发、废止和更新。负责签发、管理和撤销终端用户的证书 |
2 | 证书登记权威机构RA (Registration Authority) | 将公钥和对应证书持有者的身份及其他属性联系起来,进行注册和担保。 RA可充当CA及其终端用户之间的中间实体,辅助CA完成其他绝大部分证书处理功能。 |
3 | 目录服务器 | CA通常使用一个目录服务器,提供证书管理和分发服务 |
4 | 终端实体(End Entity) | 需要认证的对象,例如服务器、打印机、Email地址、用户等。 |
5 | 客户端(Client) | 需要基于PKI安全服务的使用者,包括用户、服务进程等。 |