公钥基础设施(PKI)基本概念
话不多说,直接上表格,干货满满。
PKI的体系架构,如图22-10所示。国家PKI组织结构示意图,如图22-11所示。
数字证书的主要内容,如表22–4所示。
数字证书及其生命周期
【PKI/CA对数字证书的管理】是按照数字证书的生命周期实施的,包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和更新。
映射证书到用户的账户是使数字证书的拥有者安全使用制定的应用所必不可少的环节,也是PKI/CA对数字证书管理的重要内容。
CA是一个受信任的机构,为了当前和以后的事务处理,CA给个人、计算机设备和组织机构颁发证书,以证实它们的身份,并为他们使用证书的一切行为提供信誉的担保。
【数字证书的生命周期六大阶段】
阶段一:安全需求确定;阶段二:证书登记;阶段三:证书分发;阶段四:证书撤回;阶段五:证书更新;阶段六:证书审计。
【映射证书到用户的账户】证书到用户账户的映射可以分为一对一映射和多对一映射。
(1)一对一映射创建从个人证书到相应的应用里用户账户的关系。
(2)多对一的证书映射把来自一个CA的所有证书映射到相应的应用中的一个用户账户中。
信任模型
本小节包括三部分:信任的概念、PKI/CA的信任结构(层次信任结构、分布式信任结构、web模型、以用户为中心的信任模型)、实体命名(DN)信任机制
1、信任的概念
【X.509规范中给出了适于我们目标的定义】如果实体A认为实体B严格地按A所期望的那样行动,则A信任B。因此,信任涉及假设、预期和行为。
这明确地意味着信任是不可能被定量测量的,信任是与风险相联系的,而且信任的建立不可能总是全自动的。
2、PKI/CA的信任结构(层次信任结构、分布式信任结构、web模型、以用户为中心的信任模型)
(1)所有实体都信任唯一CA的严格层次结构
(2)分布式信任结构(把信任分散到两个或更多个CA上)
(3)Web模型(依赖于流行的浏览器)
例如Netscape公司的Navigator和Microsoft公司的Internet Explorer,与PKI/CA的严格层次结构模型相似。
在这种模型中,许多CA的公钥被预装在正在使用的标准浏览器上。这些公钥确定了一组CA,浏览器用户最初信任这些CA并把它们作为证书检验的根。
优点:方便性、简单互操作性。
缺点:安全性无法交叉验证;没有实用的机制来撤销嵌入到浏览器中的根密钥。
(4)以用户为中心的信任模型(代表:安全软件程序Pretty Good Privacy ( PGP ))
每个用户都对决定依赖哪个证书和拒绝哪个证书直接完全地负责,主要针对高技术性和高利害关系的群体可行,不适用一般群体如公司、金融或政府环境下。
3、实体命名(DN)信任机制
数字证书是把一个密钥对(明确的是公钥,而暗含的是私钥)绑定到一个身份上的被签署的数据结构。
但是,身份必须是唯一的与一个特定的PK实体相联系的并且它必须在使用的上下文中是有意义的。否则,安全通信是不可能实现的。
从理论方面考虑,全球实体名称的唯一性通过X.500+可识别名机制是完全可以实现的。这是一个根在顶部而命名机构在每个节点(它的唯一目的是保证它下面节点的唯一性)的层次命名结构。
如果用这种方法命名的每个实体都正式地由适当的命名机构注册并且接受它被赋予的名字,DN机制就保证了唯一性,这种方法正用于现在的互联网协议(Internet Protocol,IP)和RFC822(E-mail)的实体命名上,并成为现代电子通信中寻址和路由的基础。
应用模式
本小节主要讲了电子商务、电子政务、网上银行、网上证券四种应用模式。
在信息安全保障系统的架构体系中,PKI/CA是S-MIS和S2-MIS的安全基础平台。
PKI/ CA和PMI/AA,都是在业务应用信息系统的“底层——核心层”,充分体现了信息安全保障系统的“定义”,它的运营就是要保障其他业务应用信息系统健康、正常的运行。
原文始发于(豆豆知识杂谈)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/249199.html
