【愚公系列】2021年12月 網(wǎng)絡(luò)工程-PKI

一、PKI簡介

官方定義：PKI是Public Key Infrastructure的首字母縮寫，翻譯過來就是公鑰基礎(chǔ)設(shè)施；PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKI技術(shù)是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它的基礎(chǔ)是加密技術(shù)，核心是證書服務(wù)，支持集中自動的密鑰管理和密鑰分配，能夠?yàn)樗械木W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需要的密鑰和證書管理體系。

通俗理解：PKI就是利用公開密鑰理論和技術(shù)建立提供安全服務(wù)的、具有通用性的基礎(chǔ)設(shè)施，是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及的所有軟件、硬件集合體，PKI可以用來建立不同實(shí)體間的"信任"關(guān)系，它是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心。PKI的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于非對稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份證書和密鑰管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。

因此，用戶可利用PKI平臺提供的服務(wù)進(jìn)行電子商務(wù)和電子政務(wù)應(yīng)用。

二、PKI概述和密鑰管理

名稱：Public Key Infra…公鑰基礎(chǔ)設(shè)施

作用：通過加密技術(shù)和數(shù)字簽名保證信息的安全

組成：公鑰加密技術(shù)、數(shù)字證書、CA、RA

密鑰管理也是PKI（主要指CA）中的一個核心功能，主要是指密鑰對的安全管理，包括密鑰產(chǎn)生、密鑰備份、密鑰恢復(fù)和密鑰更新等。

（1）密鑰產(chǎn)生 密鑰對的產(chǎn)生是證書申請過程中重要的一步，其中產(chǎn)生的私鑰由用戶保留，公鑰和其他信息則交于CA中心進(jìn)行簽名，從而產(chǎn)生證書。根據(jù)證書類型和應(yīng)用的不同，密鑰對的產(chǎn)生也有不同的形式和方法。對普通證書和測試證書，一般由瀏覽器或固定的終端應(yīng)用來產(chǎn)生，這樣產(chǎn)生的密鑰強(qiáng)度較小，不適合應(yīng)用于比較重要的安全網(wǎng)絡(luò)交易。而對于比較重要的證書，如商家證書和服務(wù)器證書等，密鑰對一般由專用應(yīng)用程序或CA中心直接產(chǎn)生，這樣產(chǎn)生的密鑰強(qiáng)度大，適合于重要的應(yīng)用場合。 另外，根據(jù)密鑰的應(yīng)用不同，也可能會有不同的產(chǎn)生方式。比如簽名密鑰可能在客戶端或RA中心產(chǎn)生，而加密密鑰則需要在CA中心直接產(chǎn)生。

（2）密鑰備份和恢復(fù) 在一個PKI系統(tǒng)中，維護(hù)密鑰對的備份至關(guān)重要，如果沒有這種措施，當(dāng)密鑰丟失后，將意味著加密數(shù)據(jù)的完全丟失，對于一些重要數(shù)據(jù)，這將是災(zāi)難性的。所以，密鑰的備份和恢復(fù)也是PKI密鑰管理中的重要一環(huán)。 使用PKI的企業(yè)和組織必須恩能夠得到確認(rèn)：即使密鑰丟失，受密要加密保護(hù)的重要信息也必須能夠恢復(fù)，并且不能讓一個獨(dú)立的個人完全控制最重要的主密鑰，否則將引起嚴(yán)重后果。 企業(yè)級的PKI產(chǎn)品至少應(yīng)該支持用于加密的安全密鑰的存儲、備份和恢復(fù)。密鑰一般用口令進(jìn)行保護(hù)，而口令丟失則是管理員最常見的安全疏漏之一。所以，PKI產(chǎn)品應(yīng)該能夠備份密鑰，即使口令丟失，它也能夠讓用戶在一定條件下恢復(fù)該密鑰，并設(shè)置新的口令。 例如，在某些情況下用戶可能有多對密鑰，至少應(yīng)該有兩個密鑰：一個用于加密，一個用于簽名。簽名密要不需要備份，因?yàn)橛糜隍?yàn)證簽名的公鑰（或公鑰證書）廣泛發(fā)布，即使簽名私鑰丟失，任何用于相應(yīng)公要的人都可以對已簽名的文檔進(jìn)行驗(yàn)證。但PKI系統(tǒng)必須備份用于加密的密鑰對，并允許用戶進(jìn)行恢復(fù)，否則，用于解密的私鑰丟失將意味著加密數(shù)據(jù)的完全不可恢復(fù)。 另外，使用PKI的企業(yè)也應(yīng)該考慮所使用密鑰的生命周期，它包括密鑰和證書的有效時間，以及已撤銷密鑰和證書的維護(hù)時間等。

（3）密鑰更新 對每一個由CA頒發(fā)的證書都會有有效期，密鑰對生命周期的長短由簽發(fā)證書的CA中心來確定，各CA系統(tǒng)的證書有效期限有所不同，一般大約為2-3年。 當(dāng)用戶的私鑰被泄漏或證書的有效期快到時，用戶應(yīng)該更新私鑰。這時用戶可以廢除證書，產(chǎn)生新的密鑰對，申請新的證書。

三、信息安全三要素

機(jī)密性

完整性

身份驗(yàn)證/操作的不可否認(rèn)性

四、哪些IT領(lǐng)域用到PKI：

PKI提供的安全服務(wù)恰好可以滿足電子商務(wù)、電子政務(wù)、網(wǎng)上銀行、網(wǎng)上證券等金融業(yè)交易的安全需求，是確保這些活動順利進(jìn)行必備的安全措施，沒有這些安全服務(wù)，電子商務(wù)、電子政務(wù)、網(wǎng)上銀行、網(wǎng)上證券等都無法正常運(yùn)作。

1）SSL/HTTPS

2）IPsecVPN

3）部分遠(yuǎn)程訪問VPN

五、公鑰加密技術(shù)

作用：實(shí)現(xiàn)對信息加密、數(shù)字簽名等安全保障

加密算法：

1）對稱加密算法

加解密的密鑰一致！

DES 3DES AES

2）非對稱加密算法

*通信雙方各自產(chǎn)生一對公私鑰。

*雙方各自交換公鑰

*公鑰和私鑰為互相加解密關(guān)系！

*公私鑰不可互相逆推！

RSA DH

x+5=y(對稱加密算法）

x是原數(shù)據(jù)/原文

y是密文

5是key/密鑰

HASH算法：MD5 SHA （驗(yàn)證完整性）

HASH值可逆么？不可逆！

HASH值=摘要

數(shù)字簽名：

用自己的私鑰對摘要加密得出的密文就是數(shù)字簽名

六、證書

證書用于保證公密的合法性

證書格式遵循X.509標(biāo)準(zhǔn)

數(shù)字證書包含信息：

使用者的公鑰值

使用者標(biāo)識信息（如名稱和電子郵件地址）

有效期（證書的有效時間）

頒發(fā)者標(biāo)識信息

頒發(fā)者的數(shù)字簽名

數(shù)字證書由權(quán)威公正的第三方機(jī)構(gòu)即CA簽發(fā)

CA是權(quán)威證書頒發(fā)機(jī)構(gòu)，為了公正“公鑰”的合法性！

機(jī)密性：使用對方的公鑰加密！

身份驗(yàn)證/數(shù)字簽名：使用自己的私鑰！

網(wǎng)絡(luò)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。