【區塊鏈自學系列-1.1】PKI和數字證書基本原理

通訊網絡系統之間創建安全傳輸網絡，將不一樣地理位置之間的物理設備組成一個安全域，設備之間的身份認證以PKI（Public Key  Infrastructure) 公鑰基礎設施爲基礎，利用公鑰密碼學技術和X.509標準的身份驗證框架，經過數字證書認證做爲安全業務的一種措施。

1. PKI系統的基本組成

公鑰基礎設施利用公鑰加密和X.509技術，提供了標識用戶身份，建立和分發證書，維護和取消證書，分發和維護加密密鑰等功能，經過這些技術以達到加密通訊和驗證身份的目的。就好比咱們的家庭寬帶接入經過了身份認證後將會享受網絡基礎設施服務，或公民領取了身份證實那麼生活在一個國家也會獲得國家提供的基礎設施服務相同的服務模式。

公鑰基礎設施是安全通訊中創建信任的基礎及核心組件，經過相同根CA下分發的證書信任鏈把分散的不一樣網絡設備之間組成一個信任區域，相互之間安全的通訊。是由程序、數據格式、措施、通訊協議、安全策略以及公鑰密碼機制等一系列組件，以綜合運行的方式組成，包括認證機構，註冊機構，證書及用戶。主要包括以下功能：

• CA(Certificate Authority)-認證機構，管理公鑰整個生命週期，包括證書的分發、證書有效期，證書撤銷等；
• RA(Registration Authority)-註冊機構，用戶和CA之間的接口，獲取並認證用戶身份，向CA提出證書請求；
• LDAP服務器，提供目錄瀏覽服務，將用戶信息以及數字證書信息加入服務器，做爲存儲數字證書和CRL證書撤銷列表。

CA，做爲相似公安局來簽發身份證（數字證書），加入PKI像CA註冊需提供用戶身份信息和用戶公鑰，如身份證號和照片。數字證書，將用戶和標記我的信息（公鑰和惟一標識符）關聯起來的機制。

2. 數字證書認證技術

數字證書包括了用戶主體全部者的公鑰和惟一標識其全部者所需的組成部分關聯起來的機制用來表面數字身份，包含序列號，版本號，身份信息，算法信息，有效期及發行證書的受權機構簽名。CA以X.509技術標準來管理證書，如公安局蓋章同樣CA利用私鑰對產生的用戶證書進行數字簽名，提供證書的完整性與不能否認性服務。