一、PKI是什么
PKI(Public-Key Infrastructure,PKI)全称公钥基础设施。是为了能够更有效的运用公钥而制定的一系列规范和规格的总称。
用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。
注:PKI是一个总称,并非指某一个单独的规范或者规格
1、PKI的产生动机
-
公钥技术:
-
公钥和身份之间如何建立联系?
-
互联网上如何信任这就是某人的公钥
-
公钥如何管理
-
解决办法:引入数字证书,将公钥和身份关联。
2、数字证书产生的背景
数字签名技术不但证明了信息未被篡改,还证明了发送方的身份。但也存在一定问题,如果攻击者伪造接收方的公钥,那么发送方发送的信息将被攻击者用私钥解密而窥探,因而接收方公钥的真实性将直接决定数据传输的机密性。
因此,需要某项技术手段来将特定的公钥与特定的身份进行绑定,这项技术叫做数字证书。
不太懂数字证书的小伙伴可以去看看关于数字证书的文章,此处提供链接:数字证书简介和工作原理解读_bob alice的数字证书分别是由公司发布的他们如何利用不用的公司颁布的证书进-优快云博客
二、PKI的组成
-
终端实体:使用PKI的终端
-
注册中心(RA):身份验证和公钥注册
-
认证中心(CA):创建、发布、作废证书
-
证书存储库:存储证书和与PKI相关的信息
证书撤销表(CRL):当用户私钥丢失、被盗或更新等变更情况出现时,CA需要对证书进行作废。CA机构制作证书撤销表,表内包含已作废的证书序列号,并由认证机构加上数字签名,然后发布出来,即说明该证书已作废,不可再使用。
三、PKI的运行周期
-
初始化阶段:简单来说可称为申请证书阶段。即终端实体在能够使用PKI支持的服务之前,需进行初始化操作以纳入PKI体系。
-
终端实体注册
-
密钥对生成
-
证书创建和密钥/证书分发
-
证书分发
-
密钥备份
下图为终端实体注册和证书颁发流程:
-
-
颁发阶段:证书分发阶段,详见上图7,8流程。
-
取消阶段
-
证书过期
-
证书撤销
-
-
上述流程图中,有两种证书撤销的形式,分别是:
-
终端实体直接向CA发起撤销请求
-
终端实体通过向RA发起带外请求,由RA向CA发起撤销请求
-
四、PKI能解决什么问题
网上交易的安全威胁:
-
信息可能被截取
-
信息容易被复制
-
信息可能被篡改
-
难辨真假身份
-
交易可能被抵赖
-
非法访问
因此,数字证书可以解决以下问题:
-
身份真实性:信息的发送者和接收者必须被确认为事先声明的双方,此问题用数字证书实现。
-
保密性:只有合法的授权人员方才能读取传输的数据,此问题用加解密功能实现。
-
完整性:网络中传输的信息数据必须保持初始状态,没有第三方能够修改数据内容,此问题用公私钥的签名和验签实现。
-
不可否认性:信息的发送方和接收方都无法抵赖电子交易信息的传送事件,此问题用数字证书实现。
扫一扫
1245
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
