【知识总结】信息安全原理与技术-第八章

博主： Fivk
发布时间：2022 年 11 月 27 日
766 次浏览
暂无评论
2546字数
分类：知识总结

> `姓名`：吴帆
>
> `学号`：20230101041
>
> `声明`：此笔记基于”信息安全原理与技术“采用Markdown编写，左侧有目录，方便观看与复习，我认为能方便的查询记忆和快速找到在书上的原文才是写笔记的意义，故此笔记标题都标有与原教程相应的页号。

# 第八章：公钥基础设施

## 1. 理论基础（P209）

> - PKI是利用公钥密码理论和技术为网络安全应用提供安全服务的基础设施，不针对任何一种具体的网络应用，但它提供了一个基础平台，并提供友好的接口。
> - PKI采用数字证书对公钥进行管理，通过第三方的可信任机构（认证中心，即CA），把用户的公钥和用户的其他标识信息捆绑在一起。
> - PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密、数字签名技术等多种密码技术，从而保证网上数据的安全性。

### 1.1 网络安全服务（P210）

- `认证性`：认证服务与保证通信的真实性有关。认证服务向接收方保证消息来自于所声称的发送方。认证性包括实体认证和数据源认证。
- `数据保密性`：防止传输的信息收到被动攻击。
- `数据完整性`：保证消息在通信中没有被攻击者篡改。
- `不可否认性`：防止信息发送方或接收方否认传输或接受过某条消息。
- `访问控制`：限制和控制通过通信连接对主机和应用进行存取的能力。

### 1.2 密码技术（P211）

- 对称和非对称加/解密
- 消息验证码与散列函数
- 数字签名
- 数字信封
- 双重数字签名

## 2. PKI的组成（P213）

![](https://data.fivk.cn/view.php/f6850e1605afbe01ada6c3aefbc4a1cc.png)

### 2.1 认证机构（P214）

> 认证机构CA是PKI的核心组成部分，是证书的颁发机构。认证中心的任务就是负责产生、分配并管理数字证书。每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根认证中心（根CA）

#### 认证机构的职责

1. 验证并标识证书申请者的身份；
2. 确保CA用于签名证书的非对称密钥的质量；
3. 确保整个认证过程的安全性，确保签名私钥的安全性；
4. 证书资料信息（包括公钥证书序列号、CA标识等）的管理；
5. 确定并检查证书的有效期；
6. 确保证书主题标识的唯一性，防止重名；
7. 发布并维护作废证书列表；
8. 对整个证书签发过程做日志记录；
9. 向申请人发出通知。

### 2.2 证书和证书库（P215）

- `证书`:数字证书也成为公钥证书、电子证书，是公钥体制中使用的公钥的一个密钥管理载体，它是一种权威性的电子文档，形同网络环境中的一种身份证，用以证明某个主题（如用户、服务器等）的身份以及其所持有的公开密钥的真实性和合法性。证书是PKI的管理核心，PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一。证书的格式遵循ITUT X.509国际标准。
- `证书库`:证书库是CA颁发证书和撤销证书的集中存放地，是网上一种公共信息库，可供用户进行开放式查询。证书库的通常构造方法是采用支持LDAP协议的目录系统。证书及证书撤销信息在目录系统上发布，其标准格式采用X.500系列。用户或相关应用可以通过LDAP来访问证书库，实时查询证书和证书撤销信息。系统必须保证证书库的完整性，防止伪造、篡改证书。
- `证书撤销`:数字证书在有效期内可能因为一些原因需要撤销用户信息和公钥的捆绑关系。这就需要终止证书的生命期，并警告其他用户不再使用这个证书。
- PKI为此提供了证书撤销的管理机制，撤销证书有以下几种机制：

- 撤销一个或多个主体的证书；
  - 撤销由某一对密钥签发的所有证书；
  - 撤销由CA签发的所有证书。

## 3. PKI的功能（P218）

> - 证书的管理
>   1. 证书的申请和审批
>   2. 证书的签发和下载
>   3. 证书的查询和获取
>   4. 证书撤销
> - 密钥的管理
>   1. 密钥的产生和批发
>   2. 密钥的备份和恢复
>   3. 密钥的自动更新
>   4. 密钥历史存档管理
> - 交叉认证
> - 安全服务
>   1. 身份认证
>   2. 数据完整性
>   3. 数据机密性
>   4. 不可否认性
>   5. 时间戳

## 4. 信任模型（P223）

所谓信任模型就是一个建立和管理信任关系的框架。信任模型描述了如何建立不同认证机构之间的认证路径以及构建和寻找信任路径的规则。

目前较流行的PKI信任模型主要有四种：

1. 认证机构的严格层次结构模型
2. 分布式信任结构模型
3. Web模型
4. 以用户为中心的信任模型。

## 5. PKI的相关标准（P226）

> - X.209ASN.1基本编码规则
> - X.500
> - X.509
> - PKCS系列标准
> - LDAP 轻量级目录访问协议

## 6. PKI的应用与发展（P234）

**PKI的应用：**

1. 虚拟专用网络
2. 安全电子邮件
3. Web安全
4. 安全电子交易

**PKI的发展：**

- PKI发展的一个重要方面就是标准化问题，它也是建立互操作性的基础。
- PKI的发展受到应用驱动的影响，发展非常快，已经出现了大量成熟技术、产品和解决方案，正逐步走向成熟。
- 国内是从20世纪90年代末开始发展PKI及其应用，在此期间，PKI的厂商在PKI的可用性和技术实施方面也取得了很大进步。国内已经成功建设大型的行业性或是区域性的PKI/CA就有四十多个。

最后修改：2022 年 11 月 27 日