PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分: x.509格式的证书(x.509 V3)和证书废止列表CRL (X.509 V2);CA操作协议;CA管理协议政策制定。
一个典型、完整、有效的PKI 应用系统至少应具有以下五个部分。
(1)认证中心CA (Certificate Authority)
CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。
(2)X.500目录服务器
X.500目录服务器用于发布用户的证书和黑名单信息,用户通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。
(3)具有高强度密码算法(SSL)的安全WWW服务器
Secure Socket Layer (SSL)协议起初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间加密通信的全球化标准。
(4) Web(安全通信平台)
Web有Web Client端和 Web Server端两部分,分别安装在客户端和服务器端,诵过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。
(5)自开发安全应用系统
自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的 PKI包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等),认证规则、运作制度的制定,所涉及的各方法律关系内容以及技术的实现等。
建立一个有实际使用价值的PKI 网络安全环境,必须满足以下8个基本条件。
(1)能够签发基于公钥密钥体制的数字证书。
(2)具有数字证书的存取环境和途径。
(3)能够进行证书作废处理。
(4)实现密钥备份和恢复。
(5)支持不可否认的数字签名。
(6)公开密钥对和数字证书的自动更新。
(7)公开密钥对的归档管理。
(8)支持数字证书和交叉认证等。
![加速通 [转换]-01](https://s2.d2scdn.com/u/renshang111/2022/11/14/n7jJwL8JxvZjuTFhW2harH/logo-02.png){kind=logo}
沪公网安备 31011202007778号