首页 › 后端架构/服务器综合论坛 › 网络安全之PKI技术原理

真心哥 發表於 2023-8-17 00:00:00

网络安全之PKI技术原理

<p>
        <strong>PKI(Public Key Infrastructure)定义</strong></p>
<p>
        PKI：利用公钥理论和技术建立的提供网络信息安全服务的基础设施。为用户提供所需的密钥和证书管理，用户可以利用PKI平台提供的安全服务进行安全通信。</p>
<p>
        <strong>PKI内容</strong></p>
<p>
        1、认证机构</p>
<p>
        PKI的核心部分，认证中心，是数字证书的签发机构，权威可信任的第三方机构</p>
<p>
        2、数字证书库</p>
<p>
        在使用公钥体制的网络环境中，必须向公钥的使用者证明公钥的真实合法性。因此，在公钥体制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。</p>
<p>
        3、密钥备份</p>
<p>
        如果用户丢失了密钥，会造成已经加密的文件无法解密，引起数据丢失，为了避免这种情况，PKI提供密钥备份及恢复机制</p>
<p>
        4、证书作废</p>
<p>
        身份变更或密钥遗失</p>
<p>
        5、应用接口系统</p>
<p>
        PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。</p>
<p>
        安全要素</p>
<p>
        目前网络交互、网络交易、电子商务、电子政务，可信赖的数字信息环境，必需建立在这些安全要素之上</p>
<p>
        保密性：– 信息保密不被窃取</p>
<p>
        鉴别与授权：–确认对方身份</p>
<p>
        完整性：– 确认信息完整性</p>
<p>
        不可否认：– 有证据可保证交易不被否认</p>
<p>
        PKI基于公钥理论，建立在公钥加密技术之上，了解PKI就先了解公钥加密技术。</p>
<p>
        Public Key Infrastructure 公钥基础设施</p>
<p>
        主要利用加密、数字签名、数字证书等来保护应用、通信或事物处理的安全性。</p>
<p>
        根据密码理论可分对称密钥、公开密钥、和数字签名</p>
<p>
        对称加密</p>
<p align="center">
        <img title="网络安全之PKI技术原理" alt="网络安全之PKI技术原理" align="" border="0" src="https://zhuji.jb51.net/uploads/img/202305/51f4281edd652ebc71f60a09fe122587.jpg" width="549"></p>
<p>
        对称加密</p>
<p>
        在传统密码体制中，用于加密的密钥和解密的密钥完全相同，通过这两个密钥来共享信息。</p>
<p>
        这种体制所使用的加密算法比较简单，但高效快速，密钥简短，破译困难。然而密钥的传送和保管是一个问题。例如，通讯双方要用同一个密钥加密与解密，首先，将密钥分发出去是一个难题，在不安全的网络上分发密钥显然是不合适的;另外，任何一方将密钥泄露，那么双方都要重新启用新的密钥。</p>
<p>
        常见算法：MD5、RSA、DES</p>
<p>
        问题：共享的密钥不安全、通信者都需要不通密钥、通信双方都可否认信息。</p>
<p>
        非对称加密</p>
<p>
        非对称加密</p>
<p>
        公钥加密、私钥解密</p>
<p>
        获取密钥方式：直接联系对方;第三方可靠验证机构(如：Certification Authority，CA)</p>
<p align="center">
        <img title="网络安全之PKI技术原理" alt="网络安全之PKI技术原理" align="" border="0" src="https://zhuji.jb51.net/uploads/img/202305/0f5703036c66a92dfbb13034e82e7d8c.jpg" width="616"></p>
<p>
        非对称加密</p>
<p>
        基于公钥鉴别</p>
<p>
        -Alice用私钥加密整个信息</p>
<p>
        -所有人都可以解密这个信息</p>
<p>
        -Bob可以确信这信息是由Alice产生的，因为只有她的公钥可以解开该信息，并且只有Alice有对应的私钥</p>
<p>
        -可以鉴别签名的真实性</p>
<p>
        数字证书</p>
<p>
        非对称密码基础上，公开密钥发放采用数字证书签名</p>
<p>
        证书认证中心CA：公开和私有CA(互联网公开的CA;公司或内部使用证书服务器)</p>
<p>
        证书注册中心RA</p>
<p>
        证书生命周期：申请、生成、发布、吊销、过期、密钥备份与恢复</p>
<p align="center">
        <img title="网络安全之PKI技术原理" alt="网络安全之PKI技术原理" align="" border="0" src="https://zhuji.jb51.net/uploads/img/202305/75aecb78b2f3bb3f925a79055cc11c45.jpg" width="577"></p>

查看完整版本: 网络安全之PKI技术原理