PKI:公钥基础设施(Public Key Infrastructure)
- 通过使用公钥技术和数字签名来确保信息安全
- 由公钥加密技术、数字证书、CA、RA组成
PKI体系能够实现的功能:
- 数据机密性
- 身份验证
- 数据完整性
- 操作的不可否认性
公钥加密技术是PKI的基础:
公钥与私钥关系
- 成对生成,互不相同,互相加密与解密
- 不能根据一个密钥来推算出另一个密钥
- 公钥对外公开,私钥只有私钥持有人才知道
- 私钥应该由密钥的持有人妥善保管
根据实现的功能不同,可分为数据加密和数字签名
数据加密:
-
发送方使用接收方的公钥加密数据
- 接收方使用自己的私钥解密数据
数据加密能保证所发送数据的机密性
数字签名:
- 发送方对原始数据执行HASH算法得到摘要值
- 发送方用自己私钥加密摘要值
- 将加密的摘要值与原始数据发送给接收方
- 对方用发送方的公钥对摘要进行解密,同时又对收到的文件用与发送方相同的HASH算法得到一个新的摘要
- 将解密的摘要与新得到的摘要进行对比,可以得出文件在传输过程中是否被破坏或篡改
数字签名保证数据完整性、身份验证和不可否认
PKI协议
- SSL
- HTTPS
- IPSec
证书用于保证密钥的合法性,主体可以是用户、计算机、服务等,格式遵循X.509标准
- 数字证书包含信息
- 使用者的公钥值
- 使用者标识信息
- 有效期
- 颁发者标识信息
- 颁发者的数字签名
数字证书由权威公正的第三方机构即CA签发
CA(Certificate Authority,证书颁发机构)
核心功能是颁发和管理数字证书
证书的颁发过程:
用户申请-RA处理申请-RA验证并签名-RA提交CA-CA制作证书并归档-CA发放证书给RA-RA颁发证书给用户-用户验证
CA分类
- 企业(域环境,证书自动颁发)
- 独立(工作组环境,证书手动颁发)
申请证书地址:http://服务器IP/certsrv
时间: 2024-12-20 11:42:36