2.2 数字证书与公钥基础设施（NISP一级）

数字证书

• 绑定用户身份和公钥
• 网络世界的电子身份证

1. 与现实世界的身份证类似
2. 能够证明个人、团体或设备的身份

• 包含相关信息

1. 包含姓名、地址、公司、电话号码、Email地址、..与身份证上的姓名、地址等类似
2. 包含所有者的公钥

• 拥有者拥有证书公钥对应的私钥
• 由可信的颁发机构颁发

1. 比如身份证由公安局颁发一样

• 颁发机构对证书进行签名

1. 与身份证上公安局的盖章类似
2. 可以由颁发机构证明证书是否有效
3. 可防止擅改证书上的任何资料

公钥基础设施

• PKI :Public Key Infrastructure 公钥基础设施

1. 利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全
2. 是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和数字证书的产生、管理、存储、分发和撤销等功能
3. 如同电力基础设施为家用电器提供电力一样，PKI为各种应用提供安全保障，提供网络信任基础

CA : 认证权威机构

CA专门负责数字证书的产生、发放和管理，以保证数字证书真实可靠。它是公钥基础设施 PKI 的核心，CA负责管理P阳结构下的所有用户(包括各种应用程序)证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份。

主要功能：

• 签发数字证书

1. 签发证书
2. 更新证书

• 管理数字证书

1. 撤销、查询
2. 审计、统计

• 验证数字证书

1. 黑名单认证（CRL )

• RA的设立、审查及管理

RA : 证书注册机构

• 证书注册权威

1. Registration Authority

• 受理用户的数字证书申请

1. 对证书申请者身份进行审核并提交CA制证
2. 类似于申请身份证的派出所

• 提供证书生命期的维护工作

1. 受理用户证书申请
2. 协助颁发用户证书
3. 审核用户真实身份
4. 受理证书更新请求
5. 受理证书吊销

目录服务（LDAP )

证书的存储库，提供了证书的保存、修改、删除和获取的能力。

CA采用LDAP标准的目录服务存放证书
作用与数据库相同
优点是在修改操作少的情况下，对于访问的效率比传统数据库要高

CRL 证书撤销列表

CRL 证书撤销列表 (Certificate Revocation List)，也称“证书黑名单”

在证书的有效期期间，因为某种原因（如人员
调动、私钥泄漏等等），导致相应的数字证书内容不再是真实可信，此时，进行证书撤销，说明该证书已是无效

CRL中列出了被撤销的证书序列号

证书载体

内存、IC卡、软盘、USB-KEY等均可