公鑰基礎設施PKI

2021-10-10 13:32:35 字數 3153 閱讀 7962

為什麼需要pki

pki的基本概念

pki的組成

數字證書

金鑰管理

信任模型

1、公鑰攻擊----公鑰調包

2、公鑰掉調包後----加密

後果:資訊洩露
3、公鑰調包後:數字簽名

後果:資訊篡改和身份欺騙

4、如何發布自己的公鑰?

1、公開發布


使用者分發自己的公鑰給接收者或廣播給通訊各方


缺點:偽造


任何人都可以產生乙個冒充真實發信者的公鑰來進行欺騙


直到偽造被發現,欺騙已經形成


2、公用目錄表


公用目錄表是指乙個公用的公鑰動態目錄表


公用目錄表的建立、維護以及公鑰的分布由某個可信的實體或組織承擔,稱這個實體或組織為公用目錄的管理員


3、公鑰授權


```python


為防止使用者自行對公鑰目錄表操作所帶來的安全威脅,假定乙個公鑰管理機構為各使用者建立、維護動態的公鑰目錄


即由使用者提出請求,公鑰管理機構通過認證通道將使用者所需要查詢公鑰傳給使用者


該認證通道主要用於公鑰管理機構的簽名


公鑰管理機構方式的優缺點:


每次金鑰的獲得由公鑰管理機構查詢並認證傳送,使用者不需要查表,提高了安全性。
4、公鑰數字證書

使用者通過公鑰數字證書來相互交換自己的公鑰而無需與公鑰管理機構聯絡


公鑰證書由證書管理機構ca為使用者建立
1、公鑰基礎設施技術採用數字證書管理使用者公鑰

2、pki是在公鑰技術為基礎,通過第三方可信任機構ca,以數字證書為媒介,將個人、組織、裝置的標識身份資訊與各自的公鑰**在一起,產生使用者的公鑰證書。

其主要目的是通過自動管理金鑰和證書,為使用者建立乙個安全、可信的網路執行環境

3、pki信任服務

身份認證


機密性完整性


不可抵賴性


支援金鑰管理


1、主要組成


1)註冊中心ra


主要功能:


如果把ca中心比作製證機關,那麼為使用者發放這些證書的發證機關即是註冊中心-ra


他必須能夠保證:


受理使用者證書申請


審核使用者真實身份


受理證書更新請求


受理證書撤銷


2)認證中心ca


ca是pki體系的核心,是pki的主要組成實體


ca由可信第三方充當


ca確認公鑰擁有者的真正身份,簽發並管理使用者的數字證書


ca的重要作用:


1、確認公鑰擁有者的真正身份


2、ca保證了數字證書中列出的使用者名稱與證書中列出的公開金鑰一一對應,解決了公鑰體系中公鑰的合法性問題


3、ca對數字證書的數字簽名操作使得攻擊者不能偽造和篡改數字證書


ca的主要功能


證書審批


證書簽發


證書更新


證書撤銷


證書歸檔


3)證書發放系統


1、基本內容


1、證書格式


2、序列號


3、簽名演算法


4、頒證機構


5、有效期限


6、持有人姓名


7、持有人公鑰


2、數字證書的安全性


1、證書是公開的,可複製的


2、任何具有ca公鑰的使用者都可以驗證證書有效性


3、除了ca以外,任何人都無法偽造、修改證書


4、證書的安全性依賴於ca的私鑰


3、數字證書的管理構建


1、證書申請


2、證書生成


3、證書發布


離線發布、資料庫發布


4、證書驗證


乙個可信的ca已經在證書上簽名;


證書有良好的完整性,即證書上的數字簽名與簽名者的公鑰和單獨計算出來的證書雜湊值一致


證書處在有效期內


證書沒有被作廢


5、證書使用


6、證書撤銷


方法: 週期性的發布機制


7、證書更新


金鑰更新方式:


實現自動金鑰更新


執行人工金鑰更新


8、證書歸檔


9、證書存放


金鑰管理也是pki中乙個核心問題


主要是指金鑰對的安全管理,包括金鑰產生、金鑰備份、金鑰恢復、金鑰更新等


1、金鑰產生的方式


1、使用者自己產生的金鑰對


2、ca為使用者產生金鑰對


信任模型


分布式信任模型


以使用者為中心的信任模型


基於web模型的信任模型


一、為什麼要建立信任模型?


1、實際網路環境中不可能只有乙個ca


2、多個認證機構之間的信任關係必須保證:原有的pki使用者不必依賴和信任專一的ca,否則將無法進行擴充套件、管理和包含


3、信任模型建立的目的是確保乙個認證機構簽發的證書能夠被另乙個認證機構的使用者所信任


二、信任模型


1、研究為建立信任關係而建立的一些特殊模型


2、信任模型主要解決2方面問題:


1)使用者的信任起點在何處


2)信任在系統中如何被傳遞


3、層次型信任模型


優點:


1、管理開銷小


2、減輕根ca的工作量


3、層次結構與組織的內部結構比較吻合


4、最終實體到信任錨的路徑固定,可得到在最終實體證書中傳送路徑


5、可擴充套件性好


缺點:1、最大的缺點也在於簡單和成功的原因,即只存在乙個根ca作為公共信任錨


2、世界範圍內不可能只有單個根ca


3、商業和**等信任關係不必要採用層次型結構


4、根ca私鑰的洩露的後果非常嚴重,恢復也十分困難


4、分布式信任模
 
公鑰基礎設施(PKI)簡介
目錄 證書認證機構ca 證書廢除列表crl 金鑰管理 證書使用 公鑰基礎設施 public key infrastructure,簡稱pki 是目前網路安全建設的基礎與核心。pki採用證書進行公鑰管理,通過第三方的可信任機構 認證中心,即ca 把使用者的公鑰和使用者的其他標識資訊 在一起,其中包括使...


PKI公鑰基礎設施(二)
der二進位制編碼,base64編碼格式的檔案中只包含證書 字尾.cer pkcs12 格式的檔案中即包含證書又包含私鑰 字尾 pfx p12 pkcs7 格式的檔案中包含證書以及證書鏈中所有證書 字尾 p7b pkcs10,客戶端向ca申請數字證書的請求 其中包含使用者個人資訊以及使用者公鑰資訊,...


PKI(公鑰基礎設施)基礎知識筆記
數字簽名 又稱公鑰數字簽名 電子簽章 是一種類似寫在紙上的普通的物理簽名,可是使用了公鑰加密領域的技術實現。用於鑑別數字資訊的方法。一套數字簽名通常定義兩種互補的運算。乙個用於簽名,還有乙個用於驗證。簽名是非對稱加密的一種應用。使用私鑰加密資料,就是對資料的簽名 簽名是將資料通過運算後得到簽名資訊,...