|
|
|
公钥密码体制不仅能够实现加密服务,而且也能提供识别和认证服务。除了保密性之外,公钥密码可信分发也是其所面临的问题,即公钥的真实性和所有权问题。针对该问题,人们采用“公钥证书”的方法来解决,类似身份证、护照。公钥证书是将实体和一个公钥绑定,并让其他的实体能够验证这种绑定关系。为此,需要一个可信第三方来担保实体的身份,这个第三方称为认证机构,简称CA(Certification Authority)。CA负责颁发证书,证书中含有实体名、公钥以及实体的其他身份信息。而PKI(Public Key Infrastructure)就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说,PKI涉及多个实体之间的协商和操作,主要实体包括CA、RA、终端实体(End Entity)、客户端、目录服务器,如下图所示。
|
|
|
|
|
|
|
|
|
|
. CA(Certification Authority):证书授权机构,主要进行证书的颁发、废止和更新;认证机构负责签发、管理和撤销一组终端用户的证书。
|
|
|
|
. RA(Registration Authority):证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保;RA可以充当CA和它的终端用户之间的中间实体,辅助CA完成其他绝大部分的证书处理功能。
|
|
|
|
. 目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务。
|
|
|
|
. 终端实体(End Entity):指需要认证的对象,例如服务器、打印机、E-mail地址、用户等。
|
|
|
|
. 客户端(Client):指需要基于PKI安全服务的使用者,包括用户、服务进程等。
|
|
|
