什么是PKI(PKI系统介绍)

一.导言

随着互联网技术的发展和成熟，已经渗透到社会的各个领域，网络电子事务越来越频繁，大大提高了传统工作的效率，增强了工作的灵活性和准确性。然而，目前网络本身固有的一些技术缺陷导致了不可避免的安全问题。典型的如冒名顶替、拦截他人敏感数据、否认发布信息等，对网络应用造成了极大的危害。

二。问题

1.在访问一个网站的时候，如何确定它是值得信赖的，是正规的网站？比如:https://www.12306.cn；

2.军事网站或系统要求访问用户必须可信，那么如何证明访问用户可信呢？

3.在发送邮件的过程中，如何保证交易双方收到的数据与原始数据完全一致，不会出现安全问题？

三。公钥基础设施的定义

公钥基础设施(Public Key Infrastructure，PKI)是硬件、软件、人员、政策和法规的集合，用于实现基于公钥密码学的密钥和证书的生成、管理、存储、分发和撤销等功能。

PKI系统是计算机硬件和软件、权威机构和应用系统的结合。它为电子商务、电子政务、办公自动化等的实施提供基本的安全服务。，让互不相识或距离较远的用户通过信任链安全沟通；

四。PKI系统的组成

一个完整的PKI系统必须有数字证书、认证中心(CA)、证书数据库、证书撤销系统、密钥备份和恢复系统等。

4.1组件描述

包裹

形容

数字证书

它包含用于签名和加密数据的公钥和电子证书，是PKI的核心元素。

认证中心

申请和颁发数字证书的机构CA必须是权威的。

证书数据库

存储已颁发的数字证书和公钥，以及相关的证书目录，以便用户可以获得他们需要的其他用户证书和公钥。

证书吊销列表(CRL)/OCSP

有效期内吊销的证书列表。在线证书状态协议OCSP是获取证书状态的国际协议。

关键备份和恢复

为了避免用户因丢失解密密钥而无法解密合法数据的情况，PKI提供了一种备份和恢复密钥的机制。必须由一个可信的组织来做。并且密钥备份和恢复只能针对解密密钥，签名私钥不能备份。

PKI应用程序接口(API)

为各类应用提供安全、一致、可信的方式与PKI进行交互，确保建立的网络环境安全可靠，降低管理成本。

4.2数字证书

PKI的核心载体是数字证书，即可信机构为个人颁发的身份证书，可视为虚拟网络世界中个人的身份证。

数字证书的分类一般分为四类:1。根据证书持有人分类；2.根据密钥分类；3.根据验证模式分类；4.按域名分类；如下图所示:

图3.1数字证书分类图

4.3 CA中心

CA中心管理和操作CA系统，负责颁发数字证书。负责颁发数字证书的系统称为CA系统，负责管理和操作CA系统的机构称为CA中心。所有与数字证书相关的概念和技术统称为PKI(公钥基础设施)。详情请参考:https://blog.csdn.net/liuhuiyi/article/details/7776825;

图4.3.1 PKI发布流程

第五，PKI的意义

PKI应用广泛，主要包括网上金融、网上银行、网上证券、电子商务、电子政务等行业。其主要功能是为网络中的数据交换提供完整的安全服务。作为一种安全基础设施，PKI可以提供六种安全服务:身份认证、数据完整性、数据机密性、数据公平性、不可否认性和时间戳。

5.1身份认证

由于网络的开放性和匿名性，非法用户通过一些技术手段在网上进行欺骗的门槛越来越低，从而对合法用户和系统造成极大的伤害。身份认证的本质是验证被认证对象的真实性和有效性的过程，被认为是网上交易的基础。在PKI系统中，认证机构(CA)对系统中的每个合法用户进行一次在线身份认证，即身份证；

图4.1.1认证

5.2数据完整性(电子邮件)

数据完整性是为了防止非法篡改信息，如修改、复制、插入、删除等。在交易过程中，需要保证双方接收到的数据与原始数据完全一致，否则交易会出现安全问题。大多数情况下，通过观察来判断数据是否发生了变化是不现实的。在网络安全中，哈希函数(也称为密码哈希函数)一般用于保证通信过程中数据的完整性。通过Hash算法，我们将任意长度的数据转化为固定长度的数字摘要(MAC)，在相同的计算条件下，原始数据中任意一位的变化都会产生完全不同的数字摘要。

这一特性便于人们判断原始数据是否被非法篡改，从而保证了数据的完整性和准确性。PKI系统中使用的主要哈希算法有SHA-1和MD-5；

图4.2.1数据完成流程图

5.3数据保密性(服务访问)

数据的机密性是对需要保护的数据进行加密，以保证信息在传输和存储过程中不被非授权者获取。在PKl系统中，所有的保密性都是通过密码技术实现的。有两个密钥对，一个叫加密密钥对，用于加密和解密；另一种称为签名密钥对，用作签名。一般来说，用于加密和解密的密钥对并不加密和解密实际的大量数据，只是协商会话密钥，会话密钥才是真正用于加密和解密大量数据的。

在实际数据通信中，发送方首先生成一个用于实际数据加密的对称算法密钥，称为会话密钥，用这个密钥对要处理的数据进行加密。然后，发送方使用与接收方的加密密钥相对应的公钥对会话密钥进行加密，并将加密的数据发送给接收方。接收到这些信息后，接收方首先用自己的加密密钥对中的私钥解密会话密钥，然后用会话密钥(对称密钥)解密实际数据。

图4.3.1数据保密流程图

5.4不可否认性(合同)

不可否认性保证了双方都不能否认他们所做的事情。在PKI系统中，不可否认性来源于数字签名。当用户签署数字签名时，签名的私钥只能由签名者本人掌握，系统中的其他实体无法进行这样的签名。因此，在私钥安全的假设下，签名人不能否认自己的签名。保护签名私钥的安全是不可否认性的基础。

5.5数字签名

因为单个且唯一的私钥创建签名，所以可以在签名的数据和私钥对应的实体之间建立连接，并且可以通过用实体的公钥验证签名来实现这种连接。如果签名验证是正确的，并且对应于用于验证签名的公钥的实体从诸如由可信实体签署的公钥证书中是已知的，则数字签名可用于证明数字签署的数据确实来自证书中标识的实体。所以PK的数字签名服务分为两部分:签名生成服务和签名验证服务。签名生成服务需要访问签名者的私钥，该私钥是敏感信息，必须受到保护，因为它代表签名者。如果被盗，其他人可以伪装成签名者，用密钥签名。因此，签名服务通常是安全应用程序的一部分，可以安全地访问签名私钥。相反，签名验证服务应该是开放的。一旦公钥由可信的签名者签名，它通常被认为是公共信息。验证服务是否收到签名数据、签名、公钥或公钥证书，然后检查签名对于所提供的数据是否有效。它返回验证是否成功的标识；

不及物动词摘要

1.我们有什么PKI？

认证中心:数字证书的申请和颁发机构(CA，自行颁发)；

证书数据库:存储已颁发的数字证书和公钥，以及相关的证书目录，以便用户获取所需的其他用户证书和公钥；

证书历史撤销列表:可以向用户提供所有有效、无效和过期的证书；

2.我们对未来有什么期待？

PKI应用接口:为各类应用提供安全、一致、可信的方式与PKI交互，确保建立的网络环境安全可靠；

目录服务系统(LDAP):解决数字证书查询和下载的性能问题，避免CA中心成为性能瓶颈；

在线证书状态验证系统(OCSP):方便用户快速获取证书状态，是否需要撤销；

以上就是由优质生活领域创作者 深圳生活网小编 整理编辑的，如果觉得有帮助欢迎收藏转发~