2.2 数字证书与公钥基础设施(NISP一级)
tbghg

数字证书

  • 绑定用户身份和公钥
  • 网络世界的电子身份证
  1. 与现实世界的身份证类似
  2. 能够证明个人、团体或设备的身份
  • 包含相关信息
  1. 包含姓名、地址、公司、电话号码、Email地址、..与身份证上的姓名、地址等类似
  2. 包含所有者的公钥
  • 拥有者拥有证书公钥对应的私钥
  • 由可信的颁发机构颁发
  1. 比如身份证由公安局颁发一样
  • 颁发机构对证书进行签名
  1. 与身份证上公安局的盖章类似
  2. 可以由颁发机构证明证书是否有效
  3. 可防止擅改证书上的任何资料

image

公钥基础设施

  • PKI :Public Key Infrastructure 公钥基础设施
  1. 利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全
  2. 是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和数字证书的产生、管理、存储、分发和撤销等功能
  3. 如同电力基础设施为家用电器提供电力一样,PKI为各种应用提供安全保障,提供网络信任基础

CA : 认证权威机构

CA专门负责数字证书的产生、发放和管理,以保证数字证书真实可靠。它是公钥基础设施 PKI 的核心,CA负责管理P阳结构下的所有用户(包括各种应用程序)证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份。

主要功能:

  • 签发数字证书
  1. 签发证书
  2. 更新证书
  • 管理数字证书
  1. 撤销、查询
  2. 审计、统计
  • 验证数字证书
  1. 黑名单认证(CRL )
  • RA的设立、审查及管理

RA : 证书注册机构

  • 证书注册权威
  1. Registration Authority
  • 受理用户的数字证书申请
  1. 对证书申请者身份进行审核并提交CA制证
  2. 类似于申请身份证的派出所
  • 提供证书生命期的维护工作
  1. 受理用户证书申请
  2. 协助颁发用户证书
  3. 审核用户真实身份
  4. 受理证书更新请求
  5. 受理证书吊销

目录服务(LDAP )

证书的存储库,提供了证书的保存、修改、删除和获取的能力。

CA采用LDAP标准的目录服务存放证书
作用与数据库相同
优点是在修改操作少的情况下,对于访问的效率比传统数据库要高

CRL 证书撤销列表

CRL 证书撤销列表 (Certificate Revocation List),也称“证书黑名单”

在证书的有效期期间,因为某种原因(如人员
调动、私钥泄漏等等),导致相应的数字证书内容不再是真实可信,此时,进行证书撤销,说明该证书已是无效

CRL中列出了被撤销的证书序列号

证书载体

内存、IC卡、软盘、USB-KEY等均可

 评论
评论插件加载失败
正在加载评论插件