PKI(Public Key Infrastructure)定義

PKI：利用公鑰理論和技術(shù)建立的提供網(wǎng)絡(luò)信息安全服務(wù)的基礎(chǔ)設(shè)施。為用戶提供所需的密鑰和證書(shū)管理，用戶可以利用PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。

PKI內(nèi)容

1. 認(rèn)證機(jī)構(gòu)

PKI的核心部分，認(rèn)證中心，是數(shù)字證書(shū)的簽發(fā)機(jī)構(gòu)，權(quán)威可信任的第三方機(jī)構(gòu)

2. 數(shù)字證書(shū)庫(kù)

在使用公鑰體制的網(wǎng)絡(luò)環(huán)境中，必須向公鑰的使用者證明公鑰的真實(shí)合法性。因此，在公鑰體制環(huán)境中，必須有一個(gè)可信的機(jī)構(gòu)來(lái)對(duì)任何一個(gè)主體的公鑰進(jìn)行公證，證明主體的身份以及它與公鑰的匹配關(guān)系。

3. 密鑰備份

如果用戶丟失了密鑰，會(huì)造成已經(jīng)加密的文件無(wú)法解密，引起數(shù)據(jù)丟失，為了避免這種情況，PKI提供密鑰備份及恢復(fù)機(jī)制

4. 證書(shū)作廢

身份變更或密鑰遺失

5. 應(yīng)用接口系統(tǒng)

PKI應(yīng)用接口系統(tǒng)是為各種各樣的應(yīng)用提供安全、一致、可信任的方式與PKI交互，確保所建立起來(lái)的網(wǎng)絡(luò)環(huán)境安全可信，并降低管理成本。

安全要素

目前網(wǎng)絡(luò)交互、網(wǎng)絡(luò)交易、電子商務(wù)、電子政務(wù)，可信賴的數(shù)字信息環(huán)境，必需建立在這些安全要素之上

• 保密性：– 信息保密不被竊取
• 鑒別與授權(quán)：–確認(rèn)對(duì)方身份
• 完整性：– 確認(rèn)信息完整性
• 不可否認(rèn)：– 有證據(jù)可保證交易不被否認(rèn)

PKI基于公鑰理論，建立在公鑰加密技術(shù)之上，了解PKI就先了解公鑰加密技術(shù)。

Public Key Infrastructure 公鑰基礎(chǔ)設(shè)施：

• 主要利用加密、數(shù)字簽名、數(shù)字證書(shū)等來(lái)保護(hù)應(yīng)用、通信或事物處理的安全性。
• 根據(jù)密碼理論可分對(duì)稱密鑰、公開(kāi)密鑰、和數(shù)字簽名

對(duì)稱加密

對(duì)稱加密

在傳統(tǒng)密碼體制中，用于加密的密鑰和解密的密鑰完全相同，通過(guò)這兩個(gè)密鑰來(lái)共享信息。

這種體制所使用的加密算法比較簡(jiǎn)單，但高效快速，密鑰簡(jiǎn)短，破譯困難。然而密鑰的傳送和保管是一個(gè)問(wèn)題。例如，通訊雙方要用同一個(gè)密鑰加密與解密，首先，將密鑰分發(fā)出去是一個(gè)難題，在不安全的網(wǎng)絡(luò)上分發(fā)密鑰顯然是不合適的;另外，任何一方將密鑰泄露，那么雙方都要重新啟用新的密鑰。

常見(jiàn)算法：MD5、RSA、DES

問(wèn)題：共享的密鑰不安全、通信者都需要不通密鑰、通信雙方都可否認(rèn)信息。

非對(duì)稱加密

• 非對(duì)稱加密
• 公鑰加密、私鑰解密
• 獲取密鑰方式：直接聯(lián)系對(duì)方;第三方可靠驗(yàn)證機(jī)構(gòu)(如：Certification Authority，CA)

非對(duì)稱加密

基于公鑰鑒別：

• Alice用私鑰加密整個(gè)信息
• 所有人都可以解密這個(gè)信息
• Bob可以確信這信息是由Alice產(chǎn)生的，因?yàn)橹挥兴墓€可以解開(kāi)該信息，并且只有Alice有對(duì)應(yīng)的私鑰
• 可以鑒別簽名的真實(shí)性

數(shù)字證書(shū)

• 非對(duì)稱密碼基礎(chǔ)上，公開(kāi)密鑰發(fā)放采用數(shù)字證書(shū)簽名
• 證書(shū)認(rèn)證中心CA：公開(kāi)和私有CA(互聯(lián)網(wǎng)公開(kāi)的CA;公司或內(nèi)部使用證書(shū)服務(wù)器)
• 證書(shū)注冊(cè)中心RA
• 證書(shū)生命周期：申請(qǐng)、生成、發(fā)布、吊銷、過(guò)期、密鑰備份與恢復(fù)

數(shù)字證書(shū)