http://d-up.org/man/2010/03/pki-%e5%ad%a6%e4%b9%a01/
公钥技术系统可以使得通信安全的前提是:任何需要使用安全服务的通信都是建立在公钥基础上。
而与公钥成对的私钥只掌握在通信的另一方。这个信任基础是通过公钥证书来实现的。
公钥证书就是一个用户身份与他的公钥的结合,在结合之前由一个可信赖的权威机构CA来证实用户的身份,然后再由CA对用户身份及与对应公钥结合的证书进行数字签名,以证明证书的有效性。
PKI 系统的组成:
1.证书签发管理平台:
CA(签发中心),RA(证书注册中心,用户和CA的接口),KMC(密钥管理中心),OCSP,LDAP(证书状态查询)
2.证书应用支撑
SSL,签名,时间戳,其他安全应用
3.业务支撑(应用)
门户、财务、ERP。。。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双因子身份认证、双重数字签名等。
加密
通过密码算法对数据做变换,似的只有持有解密密钥的人才能恢复数据内容。主要目的为防止信息非授权泄露。
现在密码学的基本原则是:一切密码寓于密钥之中,即算法公开,密钥保密。
PKI把公钥密码和对阵密码结合起来,在Internet上实现密钥的自动管理,保证网上数据的传输安全。
密码与密钥的区别:
其实 就是不要把密码与密文搞混了就行了
密码算法(algorithm)也叫密码(cipher),是用来加密(encryption)和解密(decryption)的数学函数。
密钥(key)是加密和解密用的参数.用来进行明文(pliaintext)和密文(ciphertext)间的转换。
举个例子,你的密码是123
但是明文发送容易被人盗取
你用某个算法加密,密钥是:53csif253a6jt342fd621
传输的便是加密过的数据,比如:fasetqrlkerqoiruq53qrqewlkjrlfasdfa41
解密也需要密钥
加密密钥和解密密钥可以相同(对称加密算法),也可以不相同(非对称算法)
数字签名
数字签名是指使用密码算法对待发的数据进行加密处理,生成出一段信息,并附在原文上一起发送,类似与现实中的签名,由接收方来判断真伪。
每个人都有一对“钥匙”(数字身份),其中一个只有她/他本人知道(密钥),另一个公开的(公钥)。签名的时候用密钥,
验证签名的时候用公钥。又因为任何人都可以落款申称她/他就是你,因此公钥必须向接受者信任的人(身份认证机构)来注册。
注册后身份认证机构给你发一数字证书。对文件签名后,你把此数字证书连同文件及签名一起发给接受者,
接受者向身份认证机构求证是否真地是用你的密钥签发的文件。
过程:先算出数据hash,然后用私钥对hash值进行加密。并与原文一起发送给接受者,接收者只有用发送者的公钥才能对
其解密,解密出hash值后,与接收者自己对原文进行hash所得结果对比,如果结果相同说明信息是完整的,保证了完整性。
由于接受者使用发送者的公钥解密得到原文,因此实现了不可抵赖性。由于接收方使用发送方的公钥进行解密,只有使用
发送方的密钥加密的信息才能被解密,因此这其中也包含了鉴权的过程。
