PKI,全稱是Public Key Infrastructure,可譯為公鑰基礎設施。它是因特網中節點通信的安全保障機制,HTTPS中的‘S’就來源於PKI。
要去學習一個技術,首先要從它的源頭考慮——為什么需要PKI?它存在的價值是什么?我們知道,在網絡通信或電子商務中,信息交互的雙方需要保證對方真的是自己想要通信的人,以及通信的內容沒有被篡改過,即(1)信息源頭可靠(2)信息內容可靠。就此,才發展出了一套安全的通信機制PKI,說它是機制,因為它不是一項單一的技術,而是一系列安全技術的組合品,首先我們來看它的架構:
先來總體介紹PKI架構,我們先它的4個關鍵組成元素:
(1)Certificate Authority(證書授權機構):負責發放證書的機構
(2)Digital Certificate(電子證書):證明用戶身份的電子證明,由Certificate Authority發放(通常遵循X.509標准)
(3)Public key & Private key(公鑰&私鑰):每個用戶的公鑰和私鑰,其中公鑰包含在由CA授予的Digital Certificate中
(4)Certificate Revocation List(撤銷證書列表):列出哪些用戶的證書已經被撤銷,不再有效。由CA負責保存
一上來引入這些概念和名詞似乎會讓人摸不到頭腦,這和我們所說的安全通信有什么關系,這些東西組合到一起怎么就能保證我們的通信安全了?要理清這個問題,我們還要理清這中間省略的一部分邏輯。
在Fabric網絡中,要求節點提供自己的身份證明,通過Identity這種機制來管理組織的訪問權限,讓我們從最基本的技術開始推演。我們首先想到的就是用非對稱密鑰對中的私鑰來對自己傳輸的信息進行簽名,然后信息的接受方要想認證發送者身份的有效性只要用發送方的公鑰來進行解密,那就可以確認對方的身份,這就是基本的數字簽名的思路。但是這種基本的方法有一個關鍵的缺陷,即我們並不知道我們獲取到“公鑰”是否就是發送者自己的,為了解決對公鑰的信任問題,我們就引入了CA(Certificate Authority)證書授權機構來對網絡節點使用的公鑰授予信任,(通過發放證書的形式)而這個CA,也就是PKI機制的信任基礎。
CA給注冊申請Identity的組織或個人頒發電子證書來證明他們的身份,證書中包含了證書持有者的用戶名、公鑰信息、有效期以及CA自身的數字簽名等。同時CA還提供密鑰的管理功能,包括密鑰的產生、密鑰的備份和恢復以及密鑰的更新。
其中CA還要維護一份CRL(Certificate Revocation List),該list記錄了除了因證書過期外其他一切原因而撤銷的證書信息,通常存儲在CA系統的LDAP服務上供用戶查詢和下載,當然,CRL還在通信時檢驗證書是否是有效的過程中起關鍵作用。
如此,我們再回到開頭,PKI機制,顧名思義,為網絡安全通信中公鑰信任問題提供了一套完整的解決方案,基於這個機制,可以和其他的很多技術或機制配合,在不同的應用中來構建自己的安全通信體系。