PKI:公钥基础设施(Public Key Infrastructure)
通过使用公钥技术和数字签名来确保信息安全
由公钥加密技术、数字证书、CA、RA组成
PKI体系能够实现的功能:
数据机密性
身份验证
数据完整性
操作的不可否认性
公钥加密技术是PKI的基础:
公钥与私钥关系
成对生成,互不相同,互相加密与解密
不能根据一个密钥来推算出另一个密钥
公钥对外公开,私钥只有私钥持有人才知道
私钥应该由密钥的持有人妥善保管
根据实现的功能不同,可分为数据加密和数字签名
数据加密:
发送方使用接收方的公钥加密数据
接收方使用自己的私钥解密数据
数据加密能保证所发送数据的机密性
数字签名:
发送方对原始数据执行HASH算法得到摘要值
发送方用自己私钥加密摘要值
将加密的摘要值与原始数据发送给接收方
对方用发送方的公钥对摘要进行解密,同时又对收到的文件用与发送方相同的HASH算法得到一个新的摘要
将解密的摘要与新得到的摘要进行对比,可以得出文件在传输过程中是否被破坏或篡改
数字签名保证数据完整性、身份验证和不可否认
PKI协议
SSL
HTTPS
IPSec
证书用于保证密钥的合法性,主体可以是用户、计算机、服务等,格式遵循X.509标准
数字证书包含信息
使用者的公钥值
使用者标识信息
有效期
颁发者标识信息
颁发者的数字签名
数字证书由权威公正的第三方机构即CA签发
CA(Certificate Authority,证书颁发机构)
核心功能是颁发和管理数字证书
证书的颁发过程:
用户申请-RA处理申请-RA验证并签名-RA提交CA-CA制作证书并归档-CA发放证书给RA-RA颁发证书给用户-用户验证
CA分类
企业(域环境,证书自动颁发)
独立(工作组环境,证书手动颁发)
申请证书地址:http://服务器IP/certsrv