加密证书签发的过程(自己归纳).docx

证书签发的过程：加密通信的过程图解概念：签发：私钥加密+公钥解密（目的在于认证）隧道通信：公钥加密+私钥解密（目的在于加密）签发：把证书请求（REQUEST）用签发系统的私钥（SK）进行加密的过程。任何人如果拥有签发系统的公钥（整个系统的根证书），都可以进行解密。所以签发过程的重点其实在于认证，即只有签发中心签发的，才能够被正确解密。南网有一个证书管理系统，有一把根证书（ROOT0），同时南网证书管理系统有自己的私钥CASK0。各中调和地调也有自己的证书管理系统，各级调度把证书管理系统的请求发给上级调度，上级调度用CASK*进行加密后，形成CER文件，即为各级调度的根证书ROOT*。所以各级调度拥有的密钥如下：调度级别拥有的密钥来源网调（0）CASK0私钥证书签发系统自带CAPK0公钥证书签发系统自带ROOT0证书证书签发系统自带，包含CAPK0明文信息。无条件信任SBSK0私钥网调加密装置自带SBPK0公钥网调加密装置自带SB0证书网调加密装置设备证书请求文件+CASK0加密（网调签发）中调（1）CASK1私钥证书签发系统自带CAPK1公钥证书签发系统自带ROOT1证书中调CA证书请求文件（包含CAPK1信息）+CASK0加密（网调签发）SBSK1私钥中调加密装置自带SBPK1公钥中调加密装置自带SB1证书中调加密装置设备证书请求文件+CASK0加密（网调签发）地调（2）CASK2私钥证书签发系统自带CAPK2公钥证书签发系统自带ROOT2证书地调CA证书请求文件（包含CAPK2信息）+CASK1加密（中调签发）SBSK2私钥地调加密装置自带SBPK2公钥地调加密装置自带SB2证书地调加密装置设备证书请求文件+CASK1加密（中调签发）变电站（3）SBSK3私钥站端加密装置自带SBPK3公钥站端加密装置自带SB3证书500kV站：站端加密装置设备证书请求文件（包含SBPK3信息）+CASK0加密（网调签发）220kV站：站端加密装置设备证书请求文件（包含SBPK3信息）+CASK1加密（中调签发）110kV站：站端加密装置设备证书请求文件（包含SBPK3信息）+CASK2加密（地调签发）加密装置的通信实际就是一个加密和解密的过程。在一条信息从站端发到地调的过程中，加密用到的是地调的公钥SBPK2，地调解密用到的是私钥SBSK2（注意和签发过程是反的）。而如果是从地调发到站端，加密用到的是站端公钥SBPK3，站端解密用到私钥SBSK3。私钥信息包含在加密装置芯片里面，看不到也导不出来。那么我们的通信过程，首先就是要取到对端加密装置的公钥。以110kV站的通信过程为例，一般建立通信的过程如下：变电站加密装置导出证书请求文件，包含自己的特有信息+公钥SBPK3。经地调证书管理系统用CASK2私钥加密（签发），形成站端加密装置设备证书SB3导入到地调加密装置里面。然而这时地调加密虽然取得了公钥，但是是用了CASK2加密的，怎么办呢？就需要导入地调根证书ROOT2，中调根证书ROOT1、南网根证书ROOT0。为何还需要导入这些根证书呢？从地调加密装置的角度：解密SB3，需要用到CAPK2公钥，这个信息包含在了ROOT2里面。但是ROOT2里面的证书信息是经过CASK1加密的，所以必须用CAPK1解密，这个信息包含在了ROOT1证书里面……如此循环，最终必须用到ROOT0。同理，从站端加密装置的角度：站端加密首先需要导入地调加密设备证书SB2，里面包含了用CASK1加密了的地调公钥信息。解密SB2需要用到CAPK1，所以需要导入ROOT1证书。然后ROOT1里面的证书也是加密的……最终也是要用到ROOT0。