HTTP 公鑰基礎(chǔ)設(shè)施（PKI）

公開密鑰基礎(chǔ)建設(shè) PKI（Public Key Infrastructure）是一組由硬件、軟件、參與者、管理政策與流程組成的基礎(chǔ)設(shè)施，是為了保障網(wǎng)絡(luò)系統(tǒng)的安全而產(chǎn)生的機構(gòu)。PKI 里面包含了多個職能機構(gòu)，其中 CA 是證書機構(gòu)，負(fù)責(zé)管理證書的整個生命周期，它是 PKI 的核心組成。在當(dāng)前在線交易盛行的今天，網(wǎng)絡(luò)安全尤為重要。

1. 簡介

安全密鑰交換與非對稱密鑰算法，推動了網(wǎng)絡(luò)安全通信的發(fā)展，在認(rèn)證與安全訴求越來越迫切的環(huán)境下，一些廠商嗅探到市場的機遇，逐漸推出了相應(yīng)的認(rèn)證服務(wù)。

信息的安全關(guān)系到國家安全和經(jīng)濟利益，因此我國這幾年也在積極探索網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化建設(shè)，這些標(biāo)準(zhǔn)并不僅僅局限于證書的簽名算法，也包括了物理廠房的建設(shè)，人員的管理流程規(guī)則制度。當(dāng)然我們的網(wǎng)絡(luò)安全建設(shè)一方面要保證自己足夠安全，另一方面也要對接國際，畢竟今天的網(wǎng)絡(luò)今天的經(jīng)濟都是全世界共同的。

2. PKI 組成

2.1 證書管理中心

面向用戶，管理證書的申請，撤銷，瀏覽，下載。

2.2 Registration Authority(RA)

證書注冊機構(gòu)，用戶提出信息申請的請求，RA 校驗用戶身份信息的準(zhǔn)確性，審查用戶的申請資格。如果審核都通過會幫忙向 CA 提出證書申請。

2.3 Certificate Authority(CA)

證書頒發(fā)機構(gòu) CA 是 PKI 的基礎(chǔ)，它管理著證書的整個生命周期，其作用包括：發(fā)放證書，規(guī)定證書有效期，廢棄不良信用證書。

2.4 證書存儲

證書、密鑰、CRL 等信息進(jìn)行 存儲和管理。

3. 平臺結(jié)構(gòu)

3.1 證書申請步驟

1. 用戶通過非對稱加密算法生成一個自己的公鑰，然后將公鑰和其他用戶信息提交給證書管理平臺，告訴他要申請證書。
2. 證書管理將請求轉(zhuǎn)發(fā)給 VA ，進(jìn)行身份的審核資質(zhì)的認(rèn)證。
3. 審核通過將證書申請發(fā)送給 CA，CA 生成包含關(guān)于用戶及 CA 自身的各種信息的證書。
4. 用戶從管理平臺下載證書。

4. 證書如何發(fā)揮作用

了解完證書是如何獲取的，下面我們要了解下辛辛苦苦得到的這本證書是如何起到身份認(rèn)證和保證信息完整性的功效。

4.1 重要項說明

1. 用戶申請證書前生成了自己的一對公鑰 clientPub ，私鑰 clientPri，證書申請的提交內(nèi)容中需要包含 clientPub。

2. CA 機構(gòu)也有自己的 公鑰 caPub ，私鑰 caPri ，用來生成最終的 CA 證書。

3. 數(shù)字簽名：數(shù)字簽名主要是依托了 Hash 算法的單向性和非對稱加密算法的特性來實現(xiàn)。將傳輸?shù)膬?nèi)容（Http 的接口參數(shù)）用 Hash算法（如 MD5）生成一個很難反向逆推的摘要（就是一串字符串）。再繼續(xù)把摘要用非對稱算法的私鑰加密生成簽名，后面把簽名和信息體一起發(fā)送給接收者。接收著先用非對稱的公鑰對簽名進(jìn)行解密得到摘要信息，然后采用發(fā)送著相同的 Hash 算法，把收到的信息（請求參數(shù)）進(jìn)行 Hash 計算得到摘要2，將自己生成的摘要和發(fā)送過來的摘要相比較，一致就可以證明信息發(fā)送者的身份和內(nèi)容都是正確的，沒有被偽造和篡改。

4. 數(shù)字證書：數(shù)字簽名能成功，一方面是借助 Hash 算法和 非對稱算法 的特性，另一方面取決于公鑰的可靠性。就像大街上有人告訴你你家的保險箱密碼你可能不信，但是如果是你爸告訴你的，這個消息的可靠性就高很多了。所以數(shù)字證書是一個權(quán)威機構(gòu)頒發(fā)給你的，證書的內(nèi)容包含了：申請者的身份信息，申請者自己的公鑰，證書的有效期等內(nèi)容。從證書中取到公鑰，接下去就利用上面 數(shù)字簽名 的流程進(jìn)行消息內(nèi)容的驗證就好了。

當(dāng)然證書的有效性也是需要借助簽名算法來驗證的，權(quán)威機構(gòu)的 CA 公鑰大家都是知道的，瀏覽器里面也都有內(nèi)置。相當(dāng)于我要拿 CA 的公鑰借助簽名算法計算證書的有效性，之后獲取到用戶端的公鑰，再拿這個公鑰同時借助簽名算法來驗證信息體。

4.2 證書內(nèi)容

下面較詳細(xì)的列舉證書的基本字段，但不是全部。

1. 證書版本號
2. 簽名算法
3. 頒發(fā)者數(shù)字簽名信息
4. 證書有限期
5. 申請人的公鑰
6. CRL信息：(certificate revocation list）證書吊銷列表查看地址
7. 證書頒發(fā)的機構(gòu)信息

4.3 工作流程

5. CA 與 區(qū)塊鏈

CA 證書的可靠性來自 PKI 機構(gòu)的權(quán)威和安全，是一種中心化的機構(gòu)。區(qū)塊鏈?zhǔn)且环N去中心化的結(jié)構(gòu)，它的可靠性是基于共識機制，數(shù)學(xué)算法，分布式原理。兩者相比較，區(qū)塊鏈會顯得更加的客觀可靠。區(qū)塊鏈?zhǔn)且环N新的革命技術(shù)，但它更傾向保證記錄的不可磨滅性，CA 保證的是權(quán)威機構(gòu)對身份的認(rèn)證，兩者目前不能說誰絕對的優(yōu)勢，可以在某些場合互相補充。

6. 小結(jié)

認(rèn)證的核心是數(shù)字簽名，數(shù)字簽名中公鑰不可靠需要借助 CA 認(rèn)證，同時簽名算法的實現(xiàn)主要是借助 Hash 算法（又稱散列算法）的單向不可逆，和 非對稱密碼學(xué)算法。證書的頒發(fā)要有權(quán)威的頒發(fā)機構(gòu)，這個機構(gòu)中核心是 CA 證書制作機構(gòu)，其他職能機構(gòu)也是圍繞證書服務(wù)的，所有機構(gòu)組成 PKI。