Certificates Service器（4） 認證、CA、PKI

前面連續用3篇博文介紹了網路安全中涉及到的一些基礎知識，現在終於要講到我們的正題了——認證以及認證伺服器。

1、認證

對於我們使用者來講，在實際應用中主要是通過認證來實現前面所提到的種種安全技術，就好像開車首先必須要辦理駕照一樣，我們要使用這些安全技術，首先就得去申請認證。

駕照必須要由交通局頒發，認證也是如此，必須要由權威的第三方機構頒發，這個機構就被稱為CACerfiticate Authority,認證中心）。

認證中用到的最核心技術是非對稱式加密。使用者在申請認證時，需要輸入姓名、地址與電子郵件地址等資料，這些資料會被發送到一個稱為CSPcryptographic service provider，密碼學服務提供者）的程式，此程式預設已經被安裝到申請者的電腦內。CSP會自動建立一對密鑰：一個公開金鑰與一個私密金鑰，CSP會將私密金鑰儲存到申請者電腦的註冊表中，然後將認證申請資料與公開金鑰一起發送到CA。CA檢查這些資料無誤後，會利用自己的私密金鑰將要發放的認證加以簽名，然後發放認證。申請者收到認證後，將認證安裝到自己的電腦裡。

目前所使用的認證大都遵循由國際電信聯盟制定的X.509數位憑證標準，符合該標準的認證主要包含以下內容：

650) this.width=650;" title="001.jpg" src="http://www.bkjia.com/uploads/allimg/131227/1T93B537-0.jpg" />

認證可以用於很多方面，如Web使用者身分識別驗證、Web伺服器身分識別驗證、安全電子郵件、IPSec等。

2. CA認證中心）

CA負責為使用者頒發認證，必須具有權威性，應該得到使用者的信任。

當使用者利用某CA所發放的認證來發送一封簽名的電子郵件時，接收方的電腦應該要信任由此CA所發放的認證，否則接收方的電腦會將此電子郵件視為有問題的郵件，將會出現警告資訊。

650) this.width=650;" title="001.jpg" src="http://www.bkjia.com/uploads/allimg/131227/1T9364406-1.jpg" />

Windows系統預設已經自動信任一些知名商業CA，開啟IE瀏覽器，在工具】菜單中選擇“Internet選項\內容\認證”，然後在“可信任的根憑證授權單位”中可以查看到此電腦已經信任的CA。

650) this.width=650;" title="001.jpg" src="http://www.bkjia.com/uploads/allimg/131227/1T93C359-2.jpg" />

我們可以向上述商業CA申請認證，但這需要繳納不菲的費用，如果我們只是希望在公司內部或夥伴之間，能夠安全地通過Internet發送資料的話，也可以自己來架設CA，這也就是認證伺服器，然後利用我們自己的認證伺服器發放認證給員工、客戶與供應商等，並且讓他們的電腦來信任此CA。

3. PKI公開金鑰基礎設施）

PKIPublic Key Infrastructure，公開金鑰基礎設施），是一個通過公開金鑰加密技術即非對稱式加密）與數位憑證確保資訊安全的體系，它的核心組成部分包括：公開金鑰加密技術、數位憑證、CA。

PKI其實就是把我們之前所介紹的那些安全技術以及認證、CA都綜合在一起的一個總稱，之所以稱其為“基礎設施”，是因為它在網路資訊空間的地位與電力等基礎設施在我們工業生活中的地位類似。

電力系統，通過延伸到使用者的標準插座為使用者提供能源，我們使用者只要把各種電氣裝置插到電源插座上就可以使用電力，而根本不必去關心電到底是怎麼產生的又是怎麼傳輸到我們這裡的。

PKI也是如此，它通過延伸到使用者本地的介面，為各種應用提供安全的服務。有了PKI，安全應用程式的開發人員不用再關心那些複雜的數學運算和模型，而直接按照標準使用一種插座介面）。使用者也不用關心如何進行對方的身份鑒別而可以直接使用標準的插座，正如在電力基礎設施上使用各種電氣裝置一樣。

所以對於PKI，我們只需瞭解它所能提供的三大功能：加密、簽名、驗證。

PKI中最基本的元素是數位憑證，所有安全的操作主要通過認證來實現。PKI 中最重要的裝置則是CA，負責頒發並管理憑證。PKI中的核心技術是公開金鑰加密技術非對稱式加密）。

本文出自 “一壺濁酒” 部落格，轉載請與作者聯絡！