1. Infrastructure à clé publique
Infrastructure à clé publique PKI (Public Key Infrastructure) est par l'utilisation de la technologie de clé publique et les certificats numériques pour fournir des services de sécurité des systèmes d'information, et est responsable de la vérification de l'identité des propriétaires de certificats numériques d' une architecture de. L'infrastructure PKI utilise un certificat pour gérer la clé publique. Par le biais d'un centre de certification tiers, la clé publique de l'utilisateur et les informations d'identité de l'utilisateur sont liées . Il s'agit d'une infrastructure de sécurité universelle et d'un ensemble de systèmes de service.
La fonction de PKI est de lier l'identité du titulaire du certificat et la clé publique pertinente en répondant au certificat de données, offrant aux utilisateurs un moyen pratique d'obtenir des certificats, d'accéder à des certificats et de révoquer des certificats. Dans le même temps, les certificats numériques et les services associés (émission de certificats, émission de listes noires, etc.) sont utilisés pour réaliser l'authentification d'identité des entités dans le processus de communication, garantissant la confidentialité, l'intégrité, la non-répudiation et l'authentification des données de communication.
2. Architecture du système PKI
L'architecture PKI comprend les demandeurs de certificats, les agences d'enregistrement RA, le centre de certification CA et la liste de révocation de certificats CRL.
(1) CA ( autorité de certification ) : responsable de la délivrance et de la révocation des certificats (révocation), réception des demandes de RA, est la partie principale.
(2) RA (Autorité d'enregistrement) : vérifier l'identité de l'utilisateur, vérifier la légalité des données, être responsable de l'enregistrement et l'envoyer à l'AC après examen.
(3) Bibliothèque de stockage de certificats: stockez les certificats, principalement au format standard de la série X.500.
Le processus d'opération commun consiste à ce que les utilisateurs s'enregistrent pour un certificat via l'enregistrement RA, fournissent des informations d'identité et d'authentification, etc.; une fois l'audit de l'AC terminé, le certificat est fabriqué et délivré à l'utilisateur. Si l'utilisateur doit révoquer le certificat, il doit renvoyer l'application à l'autorité de certification.
3. Délivrance des certificats
L'autorité de certification qui signe un certificat à un utilisateur est en train de signer la clé publique d' un utilisateur, en utilisant la clé privée de l'autorité de certification pour le signer , afin que n'importe qui puisse utiliser la clé publique de l'autorité de certification pour vérifier la validité du certificat. Si la vérification réussit, le certificat est reconnu. Le contenu de la clé publique d'utilisateur fournie réalise la distribution sûre de la clé publique d'utilisateur.
Il existe deux façons d'émettre des certificats d'utilisateur. Généralement, l'AC peut générer directement le certificat (y compris la clé publique) et la clé privée correspondante et l'envoyer à l'utilisateur; l'utilisateur peut également générer lui-même la clé publique et la clé privée, puis l'AC signe le contenu de la clé publique.
Il existe deux façons pour les entités PKI de demander des certificats locaux auprès de l'autorité de certification: (1) Application en ligne (2) Application hors ligne
4. Révocation du certificat
Le certificat sera invalidé après l'expiration de la période de validité. Les utilisateurs peuvent également demander à l'autorité de certification de révoquer un fichier de certificat. Étant donné que l'autorité de certification ne peut pas forcer la récupération du certificat numérique émis, afin de réaliser l'invalidation du certificat, il est souvent nécessaire de maintenir une liste de révocation de certificats ( liste de révocation de certificats). , CRL), utilisé pour enregistrer le numéro de série du certificat révoqué.
Par conséquent, dans des circonstances normales, lorsqu'un tiers vérifie un certificat, il est nécessaire de vérifier d'abord si le certificat figure dans la liste de révocation. S'il existe, le certificat ne peut pas être vérifié. Sinon, poursuivez le processus de vérification de certificat suivant.