OpenSSL之PKI

從OpenSSL之安全通信基礎中瞭解到對稱加密，非對稱加密，散列函數以及數字簽名，CA等技術。那有沒有一種框架結合了各類技術來共同完成整個安全通信呢？這種框架就稱爲PKI。

PKI技術與安全服務

     公鑰基礎設施(Public Key Infrastructure，簡稱PKI)是一種遵循標準的，採用非對稱密碼算法和技術來實現並提供安全服務的，通用的安全基礎設施。它可以透明地爲網絡應用提供加密和數字簽名所必需的密鑰和證書管理。PKI體系其實是計算機軟硬件、權威機構及應用系統的結合。

     安全服務與安全機制關係圖：

     經過各類安全機制與安全服務之間的對應關係的對比分析咱們能夠發現，PKI公鑰基礎設施是對身份標識、認證、訪問控制、機密性、完整性、抗抵賴等安全服務支持最爲全面的一種安全機制，同時它還可提供比其它安全技術更高的安全服務級別。 
    採用數字證書的形式管理公鑰，經過CA把用戶的公鑰和其餘標識信息（如名稱、***號碼、e-mail地址等）綁定在一塊兒，可實現對用戶身份的標識及認證；同時，經過PKI基礎設施把公鑰密碼和對稱密碼結合起來，可有效保證用戶數據的保密性、完整性、抗抵賴。此外，PKI技術還能夠將用戶、密鑰、管理有機結合在一塊兒，也是目前國際範圍內部署最廣、應用最成熟、最可靠的安全技術基礎。同時PKI技術也是目前惟一可以同時解決強身份認證、訪問控制、信息保密和抗抵賴的安全技術，是保證網上核心業務的權威性、可信任性的關鍵技術。經過PKI體系和密鑰管理體系的建設，可爲安全網絡空間的實體身份、信息的保密、完整及抗抵賴提供可信的安全技術支撐。 

PKI體系結構

   一個基本的PKI系統由認證中心（CA ）、註冊中心（RA）、密鑰管理中心（KMC）、證書發佈系統幾個核心組件組成。其中CA認證中心做爲電子證書認證系統的核心，負責全部證書的簽發、註銷以及證書註銷列表的簽發等管理功能。RA註冊中心是認證中心證書發放、管理等業務的延伸。它負責全部證書申請者的信息錄入、審覈等工做，同時對發放的證書進行管理。密鑰管理中心（KMC）爲CA Server提供用戶加密密鑰的生成及管理服務。證書發佈系統提供頒發證書和CRL證書撤銷列表的發佈及查詢服務，其服務方式包括LDAP目錄發佈、Web發佈及OCSP線證書狀態查詢服務等。

   PKI基本體系結構圖：

PKI的各類信任模型

   1，單CA信任模型：

      

      特色：

           整個PKI體系中只有一個CA，它爲PKI中的全部終端用戶簽發和管理證書。PKI中的全部終端用戶都信任這個CA。每一個證書路徑都起始於該CA的公鑰，該CA的公鑰成爲PKI體系中惟一的用戶信任錨。

      優勢： 

           容易實現，易於管理，只需創建一個根CA，全部的終端用戶都能實現相互認證。

      缺點：

           不容易擴展到支持大量的或者不一樣的羣體用戶。終端用戶的羣體越大，支持全部必要的應用就越困難。

   2，嚴格分級信任模型：

     

       特色：

            根CA做爲信任錨，全部實體都信任它。根CA一般不直接爲終端用戶頒發證書而只爲子CA頒發證書。在根CA的下面是零層或多層子CA，子CA是全部實體集合的根。與非CA的PKI實體相對應的樹葉一般被稱爲終端用戶。兩個不一樣的終端用戶進行交互時，雙方都提供本身的證書和數字簽名，經過根CA來對證書進行有效性和真實性的認證。信任關係是單向的，上級CA能夠並且必須認證下級CA，而下級CA不能認證上級CA。

       優勢：

            1，增長新的認證域用戶容易。該信任域能夠直接加到根CA如下，也能夠加到某個子CA如下，這兩種狀況都很方便，容易實現。

            2，證書路徑因爲其單向性，容易擴展，可生成從終端用戶證書到信任錨的簡單明確的路徑。

            3，證書路徑相對較短，最長的路徑等於樹的深度加1，每一個從屬CA的證書路徑加上終端用戶的證書路徑。

            4，證書短小，簡單。由於用戶能夠根據CA在PKI中的位置來肯定證書的用途。

       缺點：

            單點CA的失敗會影響整個PKI體系。因爲全部的信任都集中在根CA，一旦根CA出現故障，將帶來毀滅性的後果。

   3，網狀信任模型：

      

       特色：

..........

PKI應用

        1，Web服務器與瀏覽器之間的通信

         2，電子郵件

         3，電子數據交換

         4，網上支付

         5，虛擬專用網(×××)

         ...........

PKI核心組件：CA

CA的基本功能：  
     （1）接收驗證最終用戶數字證書的申請

     （2）肯定是否接受最終用戶數字證書的申請-證書的審批

     （3）向申請者頒發，拒絕頒發數字證書-證書的發放

     （4）接收、處理最終用戶的數字證書更新請求-證書的更新

     （5）接收最終用戶數字證書的查詢、撤銷

     （6）產生和發佈證書廢止列表(CRL)

     （7）數字證書的歸檔

     （8）密鑰歸檔

     （9）歷史數據歸檔

經常使用的證書協議：

      1，X509v3

       2，X500

       3，SCEP

       4，PKCS#7

       5，PKCS#10

       6，PKCS#12

       7，OCSP

一個標準的X.509數字證書包含如下一些內容：

      證書的版本信息；

       證書的序列號，每一個證書在CA中都有一個惟一的證書序列號；

       證書所使用的簽名算法；

       證書的發行機構名稱，命名規則通常採用X.500格式；

       證書的有效期，如今通用的證書通常採用UTC時間格式，它的計時範圍爲1950-2049；

       證書全部人的名稱，命名規則通常採用X.500格式； (兩類：組織(主機)，我的)

       證書全部人的公鑰；

       證書發行者的惟一標識(ID)

       證書全部人的惟一標識(ID)

       擴展內容....

       證書頒發機構對證書的簽名。

數字證書圖解：