PKI公开密钥基础设施
安全五要素
PKI可以作为支持认证, 完整性, 机密性和不可否认性的技术基础, 从技术上解决网上身份认证, 信息完整性和抗抵赖性等安全问题.
安全五要素指: 认证, 权限, 完整, 加密, 不可否认.
如, 在信息传递过程中, 接收数据的人是否是应该得到该信息的人? 接收数据的人是否有相应的等级来查看信息? 信息在传输和保存过程中, 是否被他人暗中修改? 数据的加密措施是否可靠? 如何保证该信息就是某人发出的?
PKI
概念
PKI是以公开密钥技术为基础, 来实施和提供安全服务的, 具有普适性的安全基础设施.
PKI是软件, 加密技术和服务的组合. 用户能够使用一个PKI中的证书来确保数据的安全, 并管理来自组织内外的用户的身份验证的证书.
PKI包括:
- 数字证书
- 密钥和证书管理工具
数字证书
数字证书相当于网络环境中的一种身份证, 用于证明某一主体的身份及其公钥的合法性.
数字证书的主要内容:
- 主题名称
- CA
- 公钥
- CA的数字签名(CA对证书的数字签名, 保证证书的权威性, 签名之后要用CA的公钥才能验证)
- 有效期
- 序列号
- 用途
用户公钥的生成方式
- 用户自己生成密钥对, 然后将公钥以安全的方式传送给CA, 该过程必须保证用户公钥的可验证性和完整性.
- CA替用户生成密钥对, 然后将其以安全的方式传送给用户, 该过程必须确保密钥对的机密性, 完整性和可验证性. 由于私钥由CA生成, 因此对CA的可信性有更高的要求.
A可以通过两种方式获取B的数字证书和公钥:
- B将数字证书随同发送的正文信息一起传送给A
- 所有的数字证书集中存放于一个数字证书库中, A从该处取得B的数字证书
公钥的用途:
- 验证数字签名(消息接收者使用发送者的公钥对消息的数字签名进行验证)
- 加密信息(消息发送者使用接收者的公钥加密用于加密消息的密钥, 进行数据加密密钥的传递)
系统中需要配置用于数字签名/验证的密钥对和用于数据加密/解密的密钥对, 分别称为签名密钥对和加密密钥对. 其中, 加密密钥对通常用于分发会话密钥, 应该频繁更换, 生命周期较短.
系统必须针对不同的用途使用不同的密钥对, 尽管有的公钥体制算法(如RSA), 既可用于加密, 又可用于签名, 但在使用中仍然必须为用户配置两对密钥, 两张数字证书, 一个用于加密, 一个用于签名.
Generated by Emacs 25.x(Org mode 8.x)
Copyright © 2014 - Pinvon - Powered by EGO
