网络安全系统之——PKI体系

一、公钥基础设施

**  公钥基础设施** PKI(Public Key Infrastructure)是通过使用公钥技术和数据证书 来提供信息系统安全服务,并负责验证数字证书持有者身份 的一种体系。PKI 基础设施采用证书管理公钥,通过第三方可信任认证中心,把用户的公钥和用户的身份信息捆绑在一起,它是具有通用性的安全基础设施,是一套服务体系。

  PKI 的功能是通过答发数据证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和撤销证书提供方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中实体的身份认证,保证了通信数据的机密性、完整性、不可否认性和认证性。

二、PKI 体系架构

PKI 体系架构由证书申请者、注册机构RA、认证中心CA、证书撤销列表CRL组成。

  (1)CA (Certification Authority):负责证书的颁发和吊销(Revoke),接收来自 RA 的请求,是最核心的部分。

  (2)RA(Registration Authority):对用户身份进行验证,校验数据合法性,负责登记,审核过了就发给 CA。

  (3)**证书存储库:**存放证书,多采用 X.500 系列标准格式。

  常见的操作流程为,用户通过 RA 登记申请证书,提供身份和认证信息等;CA 审核后完成证书的制造,颁发给用户。用户如果需要撤销证书则需要再次向 CA 发出申请。

三、证书的签发

CA 对用户签发证书实际上是对某个用户公钥,使用 CA 的私钥对其进行签名,这样任何人都可以用 CA 的公钥对该证书进行合法性验证,验证成功则认可该证书中所提供的用户公钥内容,实现用户公钥的安全分发。

  用户证书的签发可以有两种方式。一般可以由 CA 直接来生成证书(内含公钥)和对应的私钥发给用户;也可以由用户自己生成公钥和私钥,然后由 CA 来对公钥内容进行签名。

  PKI实体向CA申请本地证书有以下两种方式:(1)在线申请 (2)离线申请

四、证书的撤销

  证书超出有效期后会作废,用户也可以主动向 CA 申请撤销某证书文件,由于 CA 无法强制收回已经颁发出去的数字证书,因此为了实现证书的作废,往往还需要维护一个撤销证书列表(Certificate Revocation List,CRL),用于记录已经撤销的证书序号。

  因此,通常情况下,当第三方对某个证书进行验证时,需要首先检查该证书是否在撤销列表中。如果存在,则该证书无法通过验证。如果不在,则继续进行后续的证书验证过程。

相关推荐
coderhuo42 分钟前
libcurl blind sleep导致的耗时问题
网络协议
treesforest43 分钟前
做内容平台,IP地址精准定位和IP高精度定位查询怎么帮我们提升用户留存
网络·网络协议·tcp/ip
电商API_180079052471 小时前
电商ERP 自动同步订单功能实现拆解与技术手段
服务器·前端·网络·爬虫
云计算-Security1 小时前
分组交换的可靠性来自哪里?
网络·智能路由器
ward RINL1 小时前
# GPT-5.6-sol vs GPT-5.5 新题实测:非弹性碰撞物理题和稳定路由算法
网络·gpt·算法
数据知道2 小时前
DNS 安全攻防:缓存投毒、DNS 隧道与检测实战
安全·网络安全·缓存·缓存投毒
wang_shu_mo_ran2 小时前
网络编程(二):UDP数据报在客户端与服务端之间的传输
网络·网络协议·udp
humors2212 小时前
【转帖】关于防范AI编程工具Claude Code安全后门隐患的风险提示
网络·安全·ai编程
深度智能科技2 小时前
IPv6无网络访问权限怎么解决?【图文讲解】Win10/Win11 IPv6无网络访问权限完整修复实操教程
网络·ipv6·深度c盘清理·ipv6协议开启自动获取ip·ipv6无网络访问权限·上不了网怎么办·防火墙拦截ipv6
梦帮科技3 小时前
Rust+Tauri+EVM:构建下一代内存安全级数字版权(DRM)主权音频网络与跨链金融系统的技术实践与全景架构
网络·安全·架构·rust·区块链·音视频·web3.py