【区块链自学系列-1.1】PKI和数字证书基本原理

通讯网络系统之间创建安全传输网络，将不一样地理位置之间的物理设备组成一个安全域，设备之间的身份认证以PKI（Public Key  Infrastructure) 公钥基础设施为基础，利用公钥密码学技术和X.509标准的身份验证框架，经过数字证书认证做为安全业务的一种措施。

1. PKI系统的基本组成

公钥基础设施利用公钥加密和X.509技术，提供了标识用户身份，建立和分发证书，维护和取消证书，分发和维护加密密钥等功能，经过这些技术以达到加密通讯和验证身份的目的。就好比咱们的家庭宽带接入经过了身份认证后将会享受网络基础设施服务，或公民领取了身份证实那么生活在一个国家也会获得国家提供的基础设施服务相同的服务模式。

公钥基础设施是安全通讯中创建信任的基础及核心组件，经过相同根CA下分发的证书信任链把分散的不一样网络设备之间组成一个信任区域，相互之间安全的通讯。是由程序、数据格式、措施、通讯协议、安全策略以及公钥密码机制等一系列组件，以综合运行的方式组成，包括认证机构，注册机构，证书及用户。主要包括以下功能：

• CA(Certificate Authority)-认证机构，管理公钥整个生命周期，包括证书的分发、证书有效期，证书撤销等；
• RA(Registration Authority)-注册机构，用户和CA之间的接口，获取并认证用户身份，向CA提出证书请求；
• LDAP服务器，提供目录浏览服务，将用户信息以及数字证书信息加入服务器，做为存储数字证书和CRL证书撤销列表。

CA，做为相似公安局来签发身份证（数字证书），加入PKI像CA注册需提供用户身份信息和用户公钥，如身份证号和照片。数字证书，将用户和标记我的信息（公钥和惟一标识符）关联起来的机制。

2. 数字证书认证技术

数字证书包括了用户主体全部者的公钥和惟一标识其全部者所需的组成部分关联起来的机制用来表面数字身份，包含序列号，版本号，身份信息，算法信息，有效期及发行证书的受权机构签名。CA以X.509技术标准来管理证书，如公安局盖章同样CA利用私钥对产生的用户证书进行数字签名，提供证书的完整性与不能否认性服务。